IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

GrapheneOS, le système Android open source sécurisé, annonce la fermeture de son infrastructure en France, citant les menaces pesant sur les logiciels axés sur la confidentialité dans ce pays

Le , par Anthony

158PARTAGES

25  0 
GrapheneOS, le système d'exploitation Android open source sécurisé, annonce la fermeture de son infrastructure en France, citant les menaces pesant sur les logiciels axés sur la confidentialité dans ce pays

GrapheneOS, le système d'exploitation Android open source axé sur la confidentialité, a annoncé la fermeture complète de son infrastructure en France, invoquant une intensification du harcèlement et une détérioration de l'environnement juridique en matière de chiffrement. Le projet a annoncé qu'il procéderait rapidement à la mise hors service des serveurs français, à la rotation des clés de chiffrement et à la migration des services essentiels d'OVH Canada vers le fournisseur allemand Netcup, dans un premier temps, puis vers des serveurs colocalisés à Toronto, dans un second temps. Les développeurs du projet avertissent que les récentes tentatives politiques visant à affaiblir le chiffrement créent des conditions incompatibles avec les normes de sécurité de GrapheneOS.

GrapheneOS est un système d'exploitation mobile renforcé, axé sur la sécurité et la confidentialité, basé sur Android Open Source Project (AOSP). Il offre une sécurité améliorée sur certains appareils, notamment Google Pixel, les smartphones, les tablettes et les appareils pliables, grâce à des fonctionnalités telles que le sandboxing sécurisé des applications, le démarrage vérifié et des mécanismes avancés de vérification des mises à jour. Son développement a été suivi de près par les défenseurs de la vie privée et les chercheurs en sécurité en raison de sa position intransigeante sur la souveraineté des appareils et de son refus de faire des compromis en matière de chiffrement.

La décision de GrapheneOS intervient alors que l’Union européenne multiplie les initiatives visant à affaiblir le chiffrement de bout en bout, créant un climat d’incertitude pour les acteurs spécialisés dans la confidentialité. Le projet ProtectEU, perçu comme une redite de ChatControl, prévoit aux autorités répressives de déchiffrer les données privées des citoyens « de manière légale, tout en préservant la sécurité en ligne et les droits fondamentaux » d'ici 2030. Cette orientation marque un durcissement notable de l’environnement réglementaire autour de la protection des communications privées.

GrapheneOS a récemment annoncé la fermeture complète de son infrastructure en France, accélérant son retrait du fournisseur d'hébergement OVH et invoquant les menaces croissantes qui pèsent sur les logiciels axés sur la confidentialité dans le pays. Le projet a fait état d'un harcèlement accru à l'encontre de son équipe et d'inquiétudes croissantes concernant le climat juridique français en matière de chiffrement.


L'annonce de GrapheneOS décrit une série de changements infrastructurels visant à éloigner GrapheneOS de la juridiction française. Selon les développeurs, cette mesure implique la mise hors service de tous les serveurs actifs en France, la rotation des clés de chiffrement utilisées pour TLS et DNSSEC, et la préparation d'une migration à court terme des services essentiels, tels que la messagerie électronique, le chat Matrix, les forums, Mastodon et les serveurs d'attestation, d'OVH Canada vers le fournisseur allemand Netcup. L'objectif à long terme est la colocation à Toronto, au Canada.

Le groupe affirme que la France n'est plus un pays sûr pour les projets open source liés à la confidentialité, en référence aux récentes pressions politiques visant à introduire des portes dérobées dans les technologies de chiffrement et à instaurer des sanctions pénales pour ceux qui refusent de déverrouiller leurs appareils. Bien que le projet de loi controversé « Narcotrafic », une proposition de surveillance agressive qui incluait des obligations en matière de portes dérobées dans le chiffrement, ait été rejeté par le Parlement français plus tôt cette année, GrapheneOS avertit que le pays reste hostile aux technologies respectueuses de la vie privée.

GrapheneOS affirme que les membres de son équipe ont été victimes d'un harcèlement accru, de campagnes de diffamation et de perturbations dans leurs efforts de développement, notamment un retard dans le déploiement de la prise en charge expérimentale du Pixel 10. L'organisation rapporte que les demandes des forces de l'ordre visant à accéder à des appareils chiffrés sont techniquement impossibles à satisfaire, car les protections sont assurées par des éléments sécurisés (SE) qui nécessitent des mises à jour signées du micrologiciel et l'authentification de l'utilisateur. Elle souligne que même si cela était légalement obligatoire, il n'est techniquement pas possible de contourner les protections contre les attaques par force brute.

Contrairement au Canada ou aux États-Unis, où le refus de divulguer un mot de passe est protégé par le droit de ne pas s'incriminer soi-même, la France criminalise ce type de refus, supprimant ainsi une garantie fondamentale de la vie privée des individus, ont expliqué les responsables du projet.

En réponse aux risques sécuritaires et juridiques, GrapheneOS est en train de remodeler son infrastructure comme suit :

  • Les miroirs de mise à jour sont désormais hébergés par des sponsors à Los Angeles, Miami et, temporairement, Londres, à la suite d'une migration d'urgence.
  • L'infrastructure DNS a été transférée vers Vultr et BuyVM, qui permettent l'annonce BGP d'un espace IP personnalisé.
  • Les services principaux sont en cours de transition vers Netcup, avec des plans à long terme pour la colocation de serveurs physiques à Toronto.
  • Les protections cryptographiques pour les mises à jour, les applications et le processus de démarrage restent en place, avec une vérification multicouche contre les attaques par altération et par rétrogradation.

L'organisation garantit aux utilisateurs que toutes les sauvegardes sont chiffrées et peuvent rester temporairement sur les systèmes OVH pendant la transition.

La fermeture des services français de GrapheneOS intervient sur fond de préoccupations croissantes relatives à la protection des communications chiffrées. En février dernier, la Cour européenne des droits de l'homme a rappelé que l'introduction de portes dérobées dans les applications de messagerie chiffrée pour déchiffrer les communications privées constituait une violation des droits de l'homme. Cette position de la Cour accentue les doutes quant à la viabilité des projets de la Commission européenne pour un encadrement renforcé du chiffrement.

L'annonce par GrapheneOS de la fermeture complète de son infrastructure en France est présentée ci-dessous :

« Nous n'avons plus aucun serveur actif en France et poursuivons le processus de départ d'OVH. Nous allons faire tourner nos clés TLS et les clés de compte Let's Encrypt épinglées via accounturi. Les clés DNSSEC pourraient également être renouvelées. Nos sauvegardes sont chiffrées et peuvent rester chez OVH pour l'instant.

Notre App Store vérifie les métadonnées de l'App Store à l'aide d'une signature cryptographique et d'une protection contre la rétrogradation, ainsi que d'une vérification des paquets. Le gestionnaire de paquets Android dispose également d'un autre niveau de vérification des signatures et de protection contre la rétrogradation.

Notre System Updater vérifie les mises à jour à l'aide d'une signature cryptographique et d'une protection contre la rétrogradation, ainsi que d'une autre couche dans update_engine et d'une troisième couche via un démarrage vérifié. La signature des noms des canaux de publication est également prévue.

Nos miroirs de mise à jour sont actuellement hébergés sur des serveurs sponsorisés par ReliableSite (Los Angeles, Miami) et Tempest (Londres). Londres est un emplacement temporaire en raison d'un déménagement d'urgence d'un fournisseur qui a quitté le secteur des serveurs dédiés et va déménager. D'autres miroirs de mise à jour sponsorisés sont à venir.

Notre réseau anycast ns1 est hébergé sur Vultr et notre réseau anycast ns2 sur BuyVM, car les deux prennent en charge le protocole BGP pour annoncer notre propre espace IP. Nous transférons actuellement nos principaux serveurs web/réseau utilisés pour les connexions OS par défaut vers un mélange d'emplacements Vultr+BuyVM.

Nous disposons de 5 serveurs au Canada chez OVH avec plus que du contenu statique et des services réseau de base : e-mail, Matrix, forum de discussion, Mastodon et attestation. Notre projet est de les transférer vers des serveurs racine Netcup ou un fournisseur similaire à court terme, puis vers des serveurs colocalisés à Toronto à long terme.

La France n'est pas un pays sûr pour les projets open source liés à la confidentialité. Elle exige des portes dérobées dans le chiffrement et l'accès aux appareils. Les appareils et services sécurisés ne seront pas autorisés. Nous ne nous sentons pas en sécurité en utilisant OVH, même pour un site web statique hébergé sur des serveurs situés au Canada/aux États-Unis via leurs filiales canadiennes/américaines.

Nous étions sur le point de lancer très prochainement une version expérimentale compatible avec Pixel 10, mais cela a été interrompu. Les attaques contre notre équipe, sous forme de diffamation et de harcèlement continus, se sont intensifiées, tout comme les raids sur nos salons de discussion, entre autres. La situation est difficile en ce moment et votre soutien est très apprécié.
»

Source : Annonce de GrapheneOS

Et vous ?

Quelle lecture faites-vous de cette situation ?
Trouvez-vous cette initiative de GrapheneOS justifiée et pertinente ?

Voir aussi :

Après plus de 16 ans, Google décide de développer l'OS Android en privé dans le but de rationaliser son développement, mais s'engage à publier le code source sur AOSP à chaque version stable

La France est sur le point d'adopter la pire loi de surveillance de l'UE : une porte dérobée dans WhatsApp, Telegram et Signal, une proposition de loi qui provoque la stupéfaction

Retour déguisé du projet UE de surveillance des messages privés après son rejet suite à l'indignation publique : le plan de surveillance de masse de l'UE est de retour ; rebaptisé et plus invasif qu'auparavant
Vous avez lu gratuitement 24 300 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Artaeus
Nouveau Candidat au Club https://www.developpez.com
Le 26/11/2025 à 19:24
Les différences entre la France et la Russie ou la Chine s'amoindrissent à vitesse grand V.
Entre le DSA, les "vérifications d'âge" (=vérifications d'identité), le ChatControl et les lois de surveillance, cela devient un enfer (comme prévu).
7  0 
Avatar de smarties
Expert confirmé https://www.developpez.com
Le 27/11/2025 à 9:56
C'est dommage car en plus de la sécurité et de la confidentialité, j'ai le minimum vital d'application après installation du système.
4  0 
Avatar de Fagus
Membre expert https://www.developpez.com
Le 23/03/2026 à 13:05
En Californie, le Digital Age Assurance Act (AB-1043), signé par le gouverneur Gavin Newsom en octobre 2025, entrera en vigueur le 1er janvier 2027, et oblige chaque fournisseur de système d'exploitation à collecter l'âge ou la date de naissance de l'utilisateur lors de la création du compte.
le projet de loi californien AB-1043 définit le « fournisseur de système d'exploitation » au titre de l'article 1798.500(g) comme « une personne ou une entité qui développe, concède sous licence ou contrôle le logiciel de système d'exploitation sur un ordinateur, un appareil mobile ou tout autre appareil informatique à usage général ».
ça va être pratique pour les microcontrôleurs dotés d'un OS (freeRT OS par ex.).

Non mais c'est n'importe quoi ce flicage.

On aurait pu juste mettre un lancement d'un contrôle parental à la configuration des smarphones et PC (comme le choix du navigateur), et ça aurait largement fait le job.

Si ensuite les parents décident que leur progéniture est assez mature ou pas pour être encadrée ou pas, c'est un choix éducatif privé et l'état a d'autres mission plus régaliennes et urgentes à mon humble avis.
3  0