Il se passe quelque chose de très grave en France depuis quelques jours. C’est insidieux, ça ne fait pas la une du 20 heures, mais c’est un indicateur inquiétant de l’avenir qu’on nous prépare. Le curseur de nos libertés est en train d’être déplacé, millimètre par millimètre, vers un autoritarisme qui ne dit pas son nom, le tout sous couvert de sécurité. Et cette semaine, le curseur a encore bougé. Pour la première fois, un système d’exploitation mobile, respecté mondialement, open source et audité par des experts, a été officiellement présenté comme un outil pour narcotrafiquants ; ce système c’est GrapheneOS [1]. Pour la première fois, un journal national et une autorité judiciaire ont décidé de présenter un outil de sécurité numérique open source, audité, respecté, comme un instrument du crime.
GrapheneOS n’a pas été analysé, critiqué ou débattu. Non ! Il a été désigné ! Et la désignation, en politique comme en droit, n’est jamais un accident parce qu’il faut bien comprendre ce qui s’est produit. Ce n’est pas un article, c’est un signal envoyé aux citoyens, un avertissement, le choix d’un récit qui consiste à dire « vouloir se protéger, c’est suspect », « chiffrer, c’est dissimuler », « renforcer son téléphone, c’est forcément avoir quelque chose à cacher ». Voilà le nouveau consensus rêvé par ceux qui, au fond, voudraient que notre intimité numérique ne nous appartienne plus.
On ne parle pas d’un système obscur, niché dans un forum clandestin. On parle d’un projet reconnu par les experts, utilisé par des journalistes, des chercheurs, des ONG, par des gens dont la seule faute est de refuser que leur vie privée soit exposée au premier acteur puissant venu. Mais, en quelques heures, le récit a basculé : ce qui protège devient ce qui menace, ce qui renforce vos droits devient ce qui entrave l’État, ce qui sécurise votre téléphone devient ce qui aide les trafiquants.
Cette offensive révèle quelque chose de plus profond : le pouvoir ne supporte plus l’idée d’un espace numérique où il n’a pas la main. Ce n’est pas la criminalité qui l’inquiète, c’est l’existence même d’un espace privé, un espace qui échappe, un espace qui résiste. GrapheneOS n’est que l’arbre ; l’enjeu, c’est la forêt, notre droit à une sphère intime que ni l’État, ni les plateformes, ni les cybercriminels ne peuvent violer à volonté.
Alors la vraie question n’est pas « qui veut la peau de GrapheneOS ? ». La vraie question c’est : qu’est-ce que cette affaire révèle de l’avenir qu’on nous prépare ? Et jusqu’où sommes-nous prêts à laisser un pays glisser vers un modèle où la simple volonté de se protéger devient un acte suspect ?

GrapheneOS est un système d’exploitation alternatif pour smartphone, comme Android ou iOS. C’est basé sur les fondations d’Android, dans une version entièrement retravaillée, libre et open source, que tout le monde peut auditer et qui est faite pour renforcer la confidentialité et la sécurité des utilisateurs. Il ne fonctionne que sur une seule famille de téléphones, les Google Pixel, tout simplement parce que ce sont, aujourd’hui, les seuls modèles qui offrent une base matérielle suffisamment solide pour que ce niveau de protection soit crédible.
Vous pouvez le télécharger et l’installer gratuitement, c’est extrêmement simple.

GrapheneOS a la particularité de sécuriser votre appareil de manière très concrète : il durcit le noyau du système, renforce l’isolation entre les applications, rend les permissions beaucoup plus strictes, chiffre l’intégralité de vos données et désactive par défaut les services Google qui collectent des informations sur votre usage. En clair, chaque application est enfermée dans sa boîte, vos données sont chiffrées et rien ne part vers l’extérieur sans que vous le décidiez. C’est cela avoir le contrôle sur son téléphone.
Et ce travail, cette rigueur, cette exigence n’ont pas été financées par un État, par une multinationale ou par un produit dérivé vendu sous le manteau !
GrapheneOS c’est une fondation à but non lucratif, basée au Canada. Il est conçu par une équipe de développeurs expérimentés qui ont réussi à rendre un système d’exploitation extrêmement difficile à attaquer. Il n’y a pas de levées de fonds, il n’y a pas de plan marketing, il n’y a pas de monétisation, pas de commercialisation. C’est un projet financé par des dons, quelques partenariats techniques et une conviction : celle qu’un monde où la vie privée disparaît est un monde qui se délite.

J’ai moi-même consacré deux vidéos aux téléphones que la police ne peut pas déverrouiller en me basant sur des documents internes d’entreprises forensiques, comme Cellebrite [2], qui vendent au gouvernement des solutions pour briser les protections des appareils verrouillés et accéder à leur contenu. Et si j’ai fait ce choix éditorial, c’est parce que seules les agences gouvernementales ont les moyens de s’offrir les dernières technologies de pointe visant à briser les sécurités d’un téléphone. C’est donc un indicateur précieux pour comprendre la fiabilité et la résistance d’un système d’exploitation face à toutes les menaces et sans distinction.
Aujourd’hui, un point dérange visiblement : parmi les appareils grand public, les Google Pixel équipés de GrapheneOS font partie des seuls à opposer de façon systématique et reproductible une réelle résistance aux tentatives d’ouverture forcée. Ce n’est pas une anomalie, c’est ce qui devrait être la norme et c’est précisément ce que certains essaient de faire passer pour une menace.

Toute cette histoire est partie du premier article de Julien Constant, dans Le Parisien [3] dont le but n’était pas d’informer mais de mettre en scène avec un titre qui en dit déjà long : « La botte secrète des narcotrafiquants ». Le message du gouvernement, relayé par Le Parisien est : « GrapheneOS n’est pas un outil technologique, c’est une menace ; ce n’est pas un système d’exploitation, c’est un symbole de la criminalité qui cherche sans cesse à échapper à la justice. » Et cette rhétorique est vieille comme le monde : on choisit un groupe, ici les narcotrafiquants, on l’associe à une technologie et on laisse le public faire le reste du chemin mental. C’est efficace, c’est sensationnaliste, et surtout, c’est intellectuellement malhonnête. D’autant plus que le journaliste prend appui sur une note de renseignement du 7 novembre 2025, confidentielle, mais qui est communiquée au Parisien, émanant de la police judiciaire qui se lamente sur l’incapacité des forces de l’ordre à accéder au contenu des téléphones sous GrapheneOS. Et je vous le dis, une note de renseignement de la police judiciaire, c’est au renseignement ce que McDonald’s est à la gastronomie française !
Dans l’article du Parisien, on apprend qu’un mis en cause dans une affaire de stupéfiants, un certain Omar, aurait été interpellé avec un Pixel sous GrapheneOS et que, lorsque les enquêteurs ont tenté d’exploiter le téléphone, celui-ci se serait mystérieusement réinitialisé, effaçant toutes ses données. Mystérieusement ! Comme si le téléphone avait agi par lui-même. Il ne s’est rien passé de magique, il n’y a rien de surnaturel dans tout cela, c’est simplement ce qu’on appelle un code de contrainte, un second code distinct du code de déverrouillage classique qui efface les données lorsqu’elles sont saisies sous la menace ou dans une situation de coercition. Ce mécanisme n’est pas un gadget pour trafiquant, c’est un outil de protection pensé pour faire face à une agression, une extorsion, un enlèvement, de la violence domestique, de l’espionnage industriel, ou oui, une contrainte potentiellement abusive.
Vous ne pouvez pas vendre au public des outils qui protègent contre les criminels et exiger, dans la même phrase, qu’ils cessent de protéger dès que ça contrarie la police. La sécurité n’est pas à géométrie variable !
Dans le cas de cette affaire, il est évident que le suspect a volontairement fourni aux enquêteurs le code de contrainte en le faisant passer pour le code de déverrouillage. C’est lui qui a déclenché la suppression, ce n’est pas GrapheneOS, ce n’est pas un virus, ce n’est pas un faux Snapchat, c’est lui, point. C’est tout. Mais le journaliste, au lieu d’expliquer ça, préfère un parallèle paresseux et sensationnaliste avec EncroChat [4] et Sky ECC [5], ces téléphones chiffrés, vendus très cher et conçus exclusivement pour les activités criminelles. Oui, ces outils étaient des outils du crime organisé et ils étaient vendus comme tel, ce n’est pas un détail, c’est un business lucratif : ils ont été piégés parce qu’ils étaient précisément une plateforme commerciale dédiée aux trafiquants et pas un projet open source accessible gratuitement à tout citoyen dans le monde. Ça n’a strictement rien à voir !
Persistant dans sa volonté de peindre un tableau anxiogène, l’article précise qu’on peut se procurer GrapheneOS sur le darknet. Je vous le dis les amis, n’allez jamais chercher un système d’exploitation sur le darknet, c’est le meilleur moyen de récupérer un malware. La seule et unique façon d’installer GrapheneOS, c’est de passer par son site officiel, accessible à tous depuis un simple moteur de recherche. Dire qu’on le trouve sur le darknet, ça rajoute du sensationnalisme, ça fait peur à madame Michu, mais c’est factuellement ridicule ! Vous n’y trouverez que des copies modifiées par on ne sait qui et personne, absolument personne de sensé, de sérieux dans la cybersécurité, ne va chercher GrapheneOS sur le terrible darknet entre deux organes et une kalachnikov.

Bien lancé, Julien Constant nous explique que le logiciel peut afficher une fausse page Snapchat pour tromper les enquêteurs pendant qu’il s’efface. D’un point de vue technique, cette phrase est un non-sens absolu. Il n’existe aucune fonctionnalité native de ce genre sur la version officielle de GrapheneOS. Mais, comme c’est un logiciel libre, n’importe qui peut le modifier et créer sa propre version exotique. Mais, attribuer ces modifications au projet officiel, c’est de la désinformation pure et simple !
Et pour en finir avec ce papier qui n’est absolument pas dans la nuance, vous l’avez parfaitement compris, l’article cite une source policière anonyme qui affirme que « la présence de ce système sur un mobile est un indicateur clair de sophistication et d’intention de dissimulation ». Il n’y a aucune intention de dissimulation là-dedans. Il y a juste un enquêteur contrarié parce qu’il a un outil qui résiste à ses méthodes. C’est d’autant plus hypocrite que les derniers iPhone, parfaitement grand public, posent des problèmes similaires aux enquêteurs grâce à leur gestion du chiffrement et pourtant personne ne dit qu’acheter un iPhone est un acte de dissimulation criminelle. Eh bien oui, d’un coup on est un peu plus frileux à attaquer Apple plutôt qu’un petit projet open source canadien !

On nous sermonne en permanence parce que nos appareils ne sont pas patchés, parce qu’on utilise des mots de passe pourris, parce qu’on téléphone encore sur des Android vulnérables, et le jour on fait les choses bien, où l’on prend la sécurité au sérieux, où l’on installe un OS robuste, soudain on devient suspect ! Il va falloir choisir une version. Soit on veut que les citoyens se protègent, soit on veut qu’ils restent vulnérables pour faciliter le travail de la police, mais on ne peut pas reprocher les deux en même temps !

GrapheneOS, probablement lassé par tant d’amalgames, a répondu très justement : « Les criminels utilisent aussi des voitures rapides, des couteaux et de l’argent liquide. Ce sont des outils utilisés par tout le monde, pourtant on n’interdit pas la vente de couteaux de cuisine sous prétexte qu’ils peuvent servir à autre chose qu’à couper des tomates ».

Visiblement le premier article n’a pas suffi. Le même jour, à deux heures d’intervalle, Julien Constant remet ça dans une interview parfaitement coordonnée avec Johanna Brousse, vice-procureure à Paris, responsable de la lutte contre la cybercriminalité, la spécialiste du dark web et des hackers. On pourrait s’attendre à une expertise pointue, mais on peut lire à propos des téléphones sous GrapheneOS : « Ces engins protègent les communications et ne partagent pas les données sur les serveurs. » Pause ! On respire !
GrapheneOS est un système d’exploitation, ce n’est pas une application de messagerie. On respire encore, je répète « c’est un système d’exploitation, ce n’est pas une messagerie ! ». Quand vous utilisez votre téléphone, vos données ne partent pas sur les serveurs de GrapheneOS tout simplement parce qu’il n’y en a pas. Vos données restent sur votre téléphone et on va faire plus simple pour les derniers au fond de la classe : vous avez un téléphone sous Android, vous ouvrez Le Parisien si vous en avez envie. Que se passe-t-il ? Votre application contacte les serveurs du Parisien pour afficher l’article sur votre téléphone. L’OS, lui, ne stocke rien sur ses propres serveurs, parce que ça n’existe pas. La magistrate précise ensuite qu’elle reconnaît une certaine légitimité à vouloir protéger ses échanges, avant d’ajouter une menace : « Ça ne nous empêchera pas de poursuivre les éditeurs si des liens sont découverts avec une organisation criminelle ou qu’ils ne coopèrent pas. » Le mot est lâché : « coopérer ». Dans la bouche d’un magistrat, face à un outil de chiffrement, coopérer veut dire donner les clés, veut dire installer une porte dérobée, c’est exiger de casser la sécurité du système pour tout le monde, rendre vulnérable 400 000 utilisateurs parce qu’une poignée de criminels utilisent les mêmes outils qu’eux. Et elle conclut par une phrase qui résonne comme un défi « rien n’est inviolable ». C’est assez ironique de finir là-dessus parce que, si rien n’était inviolable, madame la procureure, vous ne seriez pas en train de vous plaindre dans la presse que vous n’arrivez pas à accéder au contenu de ces téléphones.

La réaction ne se fait pas attendre. Pendant que Le Parisien et la vice-procureure déroulent tranquillement leur récit anxiogène, GrapheneOS, de son côté, encaisse puis explose littéralement. D’ordinaire c’est un projet assez austère, presque froid dans sa communication, mais là, le ton change brutalement. Sur les réseaux sociaux, l’équipe balance une série de messages qui ne laissent aucun doute sur ce qu’ils pensent de la tournure des événements. Je vous cite leurs mots, pas la version édulcorée. Ils parlent d’un pays de plus en plus autoritaire où les forces de l’ordre fascistes propagent des allégations scandaleuses et mensongères au sujet des projets open source. Pour eux, il ne s’agit pas d’un simple article raté ou d’une maladresse, ils y voient une offensive politique contre le chiffrement, un tournant assumé vers un modèle de surveillance où l’État ne supporte plus que des outils efficaces lui résistent.
Ils ne se contentent pas non plus de mots, ils agissent, très vite.
GrapheneOS annonce qu’il coupe tout ce qui, de près ou de loin, dépend de la juridiction française : « Nous n’avons plus aucun serveur actif en France » écrivit-il. C’est immédiat. Les serveurs hébergés chez OVH, qui supportaient leur miroir de téléchargement et une partie de l’infra communautaire, sont débranchés.
Dans la logique, c’est simple : tant qu’une partie de leur infrastructure dépend du droit français, il y a un risque.
Dans la foulée, OVH rétorque qu’il ne s’est rien passé, qu’aucune réquisition n’a eu lieu. Mais GrapheneOS ne parle pas du passé, il parle du risque. OVH est une société française, donc soumise au droit français y compris pour ses datacenters à l’étranger. Et tant qu’une brique de leur architecture dépend de cette juridiction, il y a une possibilité d’accès direct comme dans EncroChat. Alors ils font ce que ferait n’importe quelle personne ciblée publiquement par un magistrat, ils coupent avant que ça n’arrive. Ils vont également changer toutes leurs clés cryptographiques et conseillent à leurs développeurs d’éviter physiquement la France. Quand vous êtes un ingénieur en sécurité, un mainteneur open source, un développeur, et que vous lisez dans la presse qu’une vice-procureure se réserve le droit de poursuivre les éditeurs qui ne coopèrent pas avec la justice, vous commencez à réfléchir à l’endroit où vous avez envie de poser les pieds. Eux ont tranché ! La France n’est plus un pays où ils se sentent en sécurité. Au passage, ils règlent leurs comptes avec ce qu’ils appellent les faux OS de confidentialité français. Ils citent nommément /e/OS [6], le projet Murena [7], et iodéOS [8], qu’ils accusent de vendre des systèmes à confidentialité extraordinairement pauvre, en retard de patch, incitant à déverrouiller le bootloader, exposant les utilisateurs tout en se parant du discours privacy. Ils rappellent au passage que ces projets ont touché des financements publics, tandis que eux, projet bénévole, se retrouvent cloués au pilori.
Dans plusieurs messages, ils formulent clairement : « La France n’est plus un pays sûr pour les projets open source axés sur la vie privée » et c’est vertigineux quand on y pense. Parce qu’un des systèmes d’exploitation mobiles les plus respectés au monde, recommandé par des figures comme Edward Snowden [9], utilisé par des ONG, des journalistes, des défenseurs des droits humains, place officiellement la France dans la catégorie des juridictions hostiles, pas simplement un désaccord profond, hostiles ! Et, au milieu tout cela, la France envoie d’autres signaux totalement contradictoires :
d’un côté selon GrapheneOS lui-même, l’ANSSI, l’Agence nationale de cybersécurité française, a activement utilisé le système, audité son code, remonté des bogues très pointus et proposé des protections à intégrer. Autrement dit, les experts de l’État savent parfaitement que ce n’est ni un gadget de narco ni un jouet de complotiste. C’est un outil de sécurité sérieux qu’ils ont eux-mêmes exploités et testé ;
de l’autre côté, les mêmes institutions laissent se diffuser dans la presse l’idée que GrapheneOS serait la botte secrète du crime organisé.

L’affaire dépasse largement GrapheneOS. Quand un projet comme celui-là, mondialement respecté, écrit noir sur blanc que la France est de plus en plus autoritaire et n’est plus un pays sûr pour les projets open source axés sur la vie privée, ce n’est pas juste une dispute technique, c’est un diagnostic politique. Et, que cela nous plaise ou non, ce diagnostic commence à être entendu bien au-delà de nos frontières.
Il faut regarder cette histoire pour ce qu’elle est vraiment : non pas juste un conflit technique, mais un glissement idéologique, une manière subtile, progressive, de transformer la protection individuelle en soupçon, la sécurité personnelle en anomalie, le chiffrement en délit moral. Un glissement politique où l’État commence à considérer que ce qu’il ne peut pas ouvrir devient par principe suspect.

C’est exactement ce que l’écrivain François Sureau [10] décrit lorsqu’il écrit que « la tentation de sacrifier la liberté au nom de la sécurité est la pente naturelle des démocraties fatiguées », et il ajoute, phrase essentielle pour comprendre ce moment, « une société qui cède à la peur ne gagne jamais la sécurité, mais elle perd la liberté. »

La question qui se pose ici est élémentaire : avons-nous encore le droit de disposer de nos appareils, de nos données, de nos outils numériques comme nous l’entendons ? Ou bien, allons-nous accepter que ce droit soit conditionné, interprété, surveillé, toléré seulement s’il ne gêne pas l’appareil sécuritaire.
C’est notre droit de choisir notre système d’exploitation, notre droit de chiffrer nos communications, notre droit de limiter les données que nous partageons, notre droit de protéger nos échanges, notre travail, nos vies privées. Ces droits ne sont pas des privilèges octroyés par l’État, ils lui préexistent, ils découlent de la souveraineté individuelle, ils constituent la base même d’une société libre. Et pourtant, dans cette affaire, on voit se dessiner une logique inverse :
un citoyen qui sécurise son téléphone devient sophistiqué,
un outil qui protège devient une intention de dissimulation,
une barrière technique légitime devient un obstacle à contourner,
un OS open source devient le smartphone des narcos.
C’est ainsi que naissent les dérives, en inversant la charge de la preuve : en laissant entendre que la liberté est dangereuse parce qu’elle échappe au contrôle, en suggérant que la sécurité de chacun menace soudain la sécurité de tous. C’est l’ombre portée d’une idéologie qui avance masquée, celle selon laquelle l’État aurait un droit naturel d’accès à toute information, à tout appareil, à tout donnée dès lors qu’il en exprime le besoin ; celle selon laquelle la vie privée serait un obstacle, un luxe, un caprice, une gêne opérationnelle ; celle selon laquelle un citoyen protégé est un citoyen potentiellement coupable. Mais c’est exactement pour éviter cela que nos constitutions, nos lois, nos traditions intellectuelles ont érigé des digues.
Alors oui, cette affaire dépasse GrapheneOS. Dans le fond, elle parle de nous, de la place que nous acceptons de laisser à l’État dans nos vies numériques, de ce que nous sommes prêts à céder au nom d’une sécurité qui ne cesse, année après année, de réclamer plus d’espace, de notre capacité à dire non, à dire stop.

Si vous pensez que la vie privée n’a pas à être négociée, si vous pensez que la sécurité individuelle n’est pas un crime, alors je vous invite vraiment à soutenir GrapheneOS en faisant un don à la fondation. Le lien est en description. Et surtout restons vigilants, parce que les dérives n’arrivent jamais d’un coup, elles arrivent quand on ne regarde plus, quand on se fatigue. Dans une démocratie, la liberté précède toujours la sécurité, jamais l’inverse.