Diplomatie
Un système pensé pour la sécurité… récupéré par les trafiquants
The back of the Google Pixel, Wikimedia Commons
GrapheneOS est un système d’exploitation mobile open source, dérivé d’Android (AOSP), développé depuis 2014 par une organisation à but non lucratif basée au Canada, avec un objectif affiché : durcir la sécurité et la protection de la vie privée sur les smartphones, en particulier les Google Pixel, seuls modèles pouvant héberger l’application.
Concrètement, le système renforce le chiffrement, le cloisonnement des applications et la maîtrise des permissions (caméra, micro, GPS…), tout en permettant des fonctions avancées comme l’usage de codes alternatifs qui peuvent déclencher une réinitialisation complète du téléphone. C’est précisément ce détournement qui inquiète la PJ : lors d’une interpellation, un suspect peut saisir un « faux » code devant les policiers et ramener l’appareil à son état d’usine, rendant inaccessibles photos, messages et historiques d’appels.
Dans une affaire récente en région parisienne, les enquêteurs ont ainsi tenté d’exploiter un Google Pixel saisi dans un dossier de stupéfiants ; le téléphone s’est réinitialisé avant toute extraction de données, selon la note interne citée par Le Figaro et Europe 1.
Concrètement, le système renforce le chiffrement, le cloisonnement des applications et la maîtrise des permissions (caméra, micro, GPS…), tout en permettant des fonctions avancées comme l’usage de codes alternatifs qui peuvent déclencher une réinitialisation complète du téléphone. C’est précisément ce détournement qui inquiète la PJ : lors d’une interpellation, un suspect peut saisir un « faux » code devant les policiers et ramener l’appareil à son état d’usine, rendant inaccessibles photos, messages et historiques d’appels.
Dans une affaire récente en région parisienne, les enquêteurs ont ainsi tenté d’exploiter un Google Pixel saisi dans un dossier de stupéfiants ; le téléphone s’est réinitialisé avant toute extraction de données, selon la note interne citée par Le Figaro et Europe 1.
De Marseille à Barcelone : la méfiance policière se généralise
La France n’est pas seule à se heurter à ce binôme Pixel + GrapheneOS. En Catalogne, des responsables de la lutte antidrogue expliquent que le Google Pixel est devenu « le mobile préféré des narcotrafiquants » : chaque fois qu’un Pixel est repéré, il est désormais considéré comme un signal d’alerte, en raison de sa compatibilité avec GrapheneOS et des possibilités de chiffrement avancé et d’effacement à distance.
Les services espagnols décrivent des terminaux dont les caméras, micros et GPS ont parfois été physiquement désactivés, combinés à des fonctions d’autodestruction des données via un PIN d’urgence ou l’outil « Localiser mon appareil » détourné. L’Allemagne est même allée jusqu’à alerter ses ressortissants sur le risque de contrôles renforcés en Espagne pour les détenteurs de Pixel équipés de GrapheneOS.
Les services espagnols décrivent des terminaux dont les caméras, micros et GPS ont parfois été physiquement désactivés, combinés à des fonctions d’autodestruction des données via un PIN d’urgence ou l’outil « Localiser mon appareil » détourné. L’Allemagne est même allée jusqu’à alerter ses ressortissants sur le risque de contrôles renforcés en Espagne pour les détenteurs de Pixel équipés de GrapheneOS.
Confidentialité pour tous ou nouvelle frontière du soupçon ?
Les développeurs de GrapheneOS contestent vigoureusement l’assimilation de leur logiciel à un outil « des criminels ». Sur leur site et dans leurs prises de position publiques, ils rappellent que la majorité du code provient d’Android et du noyau Linux, et que leur projet open source vise d’abord des usages légitimes : journalistes, chercheurs, défenseurs des droits humains ou simples citoyens soucieux de limiter la collecte de données.
Ils soulignent aussi que des entreprises commerciales vendent des téléphones prétendument basés sur GrapheneOS, sans lien officiel avec le projet, en ajoutant leurs propres fonctionnalités opaques – par exemple des mécanismes d’effacement agressifs – que les autorités attribuent à tort à l’OS original.
Comment concilier le besoin opérationnel des services de sécurité – accéder vite à la preuve numérique – avec le droit, pour tout un chacun, d’utiliser des outils de chiffrement robustes ? Jusqu’où peut-on considérer qu’un niveau élevé de confidentialité constitue en soi un « indice d’intention de dissimulation » ?
La séquence ouverte par la note de la PJ française et les alertes venues d’Espagne montre que GrapheneOS est devenu un marqueur de sophistication pour les réseaux criminels, au même titre qu’EncroChat hier. Mais criminaliser l’usage d’un système d’exploitation renforcé reviendrait à délégitimer, de facto, la recherche d’une meilleure protection numérique pour l’ensemble des citoyens. Le vrai enjeu pour les États européens se joue désormais sur deux fronts : adapter les protocoles de saisie et d’investigation aux outils de sécurité de nouvelle génération, tout en évitant de franchir la ligne où la simple volonté de rester maître de ses données devient, en soi, suspecte.
Ils soulignent aussi que des entreprises commerciales vendent des téléphones prétendument basés sur GrapheneOS, sans lien officiel avec le projet, en ajoutant leurs propres fonctionnalités opaques – par exemple des mécanismes d’effacement agressifs – que les autorités attribuent à tort à l’OS original.
Comment concilier le besoin opérationnel des services de sécurité – accéder vite à la preuve numérique – avec le droit, pour tout un chacun, d’utiliser des outils de chiffrement robustes ? Jusqu’où peut-on considérer qu’un niveau élevé de confidentialité constitue en soi un « indice d’intention de dissimulation » ?
La séquence ouverte par la note de la PJ française et les alertes venues d’Espagne montre que GrapheneOS est devenu un marqueur de sophistication pour les réseaux criminels, au même titre qu’EncroChat hier. Mais criminaliser l’usage d’un système d’exploitation renforcé reviendrait à délégitimer, de facto, la recherche d’une meilleure protection numérique pour l’ensemble des citoyens. Le vrai enjeu pour les États européens se joue désormais sur deux fronts : adapter les protocoles de saisie et d’investigation aux outils de sécurité de nouvelle génération, tout en évitant de franchir la ligne où la simple volonté de rester maître de ses données devient, en soi, suspecte.
