Ciblée par les autorités et les médias généralistes français qui l'associent aux communautés de cybercriminels, l'équipe derrière le système d'exploitation sécurisé GrapheneOS a récemment annoncé qu'elle quittait le territoire français. Contacté par nos soins, un porte-parole du projet, anonymisé sous le pseudonyme Dave Wilson, réfute les allégations de collusion avec les réseaux criminels et pointe l'ignorance de la police judiciaire.
La tension est montée d'un cran entre les développeurs de cet OS mobile centré sur la vie privée et les forces de l'ordre, suite à une couverture médiatique s'appuyant sur des rapports de police. Les responsables du projet qualifient désormais la France de territoire à risque et procèdent au déménagement de ses serveurs, tout en clarifiant la situation pour les utilisateurs.
Un projet open source rendu opaque
Pour GrapheneOS, les autorités n'ont aucune idée de la manière dont fonctionne un logiciel open source. Ou du moins, c'est ce qu'elles laissent croire. Le système est basé sur AOSP (Android Open Source Project), le socle commun à tous les téléphones Android. Cela signifie que le code source est libre d'accès et peut donc être utilisé et modifié par n'importe qui. Le système GrapheneOS lui-même est open source. "Il y a beaucoup d'entreprises qui installent GrapheneOS – ou une version modifiée de celui-ci - sur un Pixel et le vendent en tant que produit", nous précise-t-on.
Mais bien évidemment, puisque le code est libre d'accès, il n'y a finalement pas que des entreprises "classiques" qui le développent. David Wilson ajoute : "Tout comme nous utilisons AOSP comme base et construisons dessus, n'importe qui peut prendre notre code, ajouter des fonctionnalités (douteuses) par-dessus et le vendre en tant que produit". Il n'y a, selon lui, pas d'application Snapchat contrefaite livrée par défaut avec le système lorsqu'il est récupéré directement depuis le site officiel, contrairement à ce qu'explique la police auprès de nos confrères.
Il soulève toutefois un autre point : ces forks "douteux" ne semblent pas prendre la peine de renommer l'OS sur lequel ils se sont basés. Sur les smartphones des cybercriminels, on y retrouve alors toujours la mention GrapheneOS. Le porte-parole affirme : "Ces entreprises enfreindraient notre marque déposée et violeraient ainsi la loi. De toute façon, nous ne sommes impliqués dans rien de tout cela, la France nous confond avec eux."
Un cliché trop facile qui revient toujours
Pour GrapheneOS, les médias français ont complètement détruit la réputation de ce système avant tout pensé pour la confidentialité de ses utilisateurs. "Cette information s'est diffusée sur des centaines de sites d'actualités, à la radio, à la télévision, etc. Il est important de souligner que ces publications reprennent largement des citations directes des autorités policières." On imagine que le porte-parole fait référence à plusieurs citations publiées dans Le Parisien, dont ce très bel amalgame émanant d'un représentant des forces de l'ordre qui laisse sous-entendre qu'une personne faisant usage de GrapheneOS a forcément quelque chose à cacher.
Oui, cet amalgame, on le connait bien. C'est celui que Bruno Retailleau, ancien ministre de l'Intérieur, a tenté d'utiliser pour faire interdire le chiffrement dans le cadre de la loi Narcotrafic. C'est celui que Catherine De Bolle, directrice d’Europol, aime aussi mettre en avant pour également maitriser les outils de cryptage. Et c'est encore lui que le ministre danois de la Justice, Peter Hummelgaard, utilise pour voir l'apparition de backdoors au sein des messageries chiffrées dans le cadre du projet de loi européen Chat Control.
"GrapheneOS n'offre pas les fonctionnalités qu'ils revendiquent, n'est pas distribué selon les modalités qu'ils annoncent, et ils ne comprennent pas réellement le logiciel open source. Ils se rangent derrière le poncif habituel : si vous utilisez GrapheneOS, c'est forcément que vous avez quelque chose à cacher", explique le représentant de la communauté open source rattachée au développement du système mobile. Selon lui, la majorité des utilisateurs sont des citoyens ordinaires cherchant simplement à se prémunir contre la surveillance de masse et la collecte de données publicitaires.
Dave Wilson ajoute : "L'État français nous a menacés de représailles si nous refusions de coopérer avec lui, et il propage des idées entièrement fausses sur notre identité et nos projets. Ils n'ont pas encore pris de mesures contre nous, mais nous n'allons pas attendre que cela se produise."
C'est donc la raison pour laquelle l'équipe du projet se retire des serveurs de OVH localisés en France et se tourne vers le Canada et l'Allemagne. L'homme précise que les services de GrapheneOS ne collectent ni ne stockent de données utilisateur sensibles. Et de conclure : "Toute notre infrastructure critique est bien entendu sous notre contrôle physique. Il n'y aura aucun impact direct sur nos utilisateurs français."
GrapheneOS a-t-il donné le coup d'envoi ? D'autres entreprises proposant des solutions de chiffrement ont déjà fait part de leurs inquiétudes vis-à-vis des projets de loi en cours visant à amoindrir ou à interdire le chiffrement en France, en Suisse, au Royaume-Uni et au sein de l'Union européenne. On le sait, c'est notamment le cas de Signal ou de Proton.
💬 À la rencontre de la tech
Au-delà des actualités et des tests, nous avons discuté avec les leaders de la Silicon Valley et les startups en pleine croissance à travers le monde pour mieux comprendre leurs enjeux, leurs visions et leurs valeurs. Découvrez comment ces acteurs clés façonnent l'avenir des technologies.
