GrapheneOS met les points sur les « i ». L’équipe derrière cet OS sécurisé n’est pas partie de France à cause d’une mauvaise presse.
Pour aller plus loin
« Nous ne nous sentons plus en sécurité en France » : pourquoi GrapheneOS retire ses serveurs de France suite à un article du Parisien
Elle est partie à cause de ce qu’elle appelle des « menaces à peine voilées » émanant directement des forces de l’ordre françaises.
L’amalgame avec des affaires de saisies de serveurs très médiatisées, comme SkyECC et Encrochat, a été l’élément déclencheur. Les développeurs l’affirment : le message des autorités est qu’elles « s’attendent à avoir un accès aux téléphones ».
Pour GrapheneOS, coopérer pour leur donner cet accès signifie une seule chose, intégrer une porte dérobée (backdoor) dans le système de chiffrement pour tout le monde. C’est inacceptable pour GrapheneOS, qui rappelle que son chiffrement est conçu sur le même modèle que celui d’Apple sur les iPhone récents : il n’est pas possible techniquement de contourner la protection par mot de passe ou la puce sécurisée a posteriori pour un appareil chiffré.
C’est le Black Friday ! Anker baisse le prix de sa batterie de 25 000 mAh. Avec ses 2 câbles intégrés et sa puissance totale de 165 watts, elle peut recharger presque tous vos appareils, où que vous soyez.
Le risque OVH : l’extraterritorialité de la loi française
Ce qui est fascinant dans cette affaire, c’est que la crainte de GrapheneOS va bien au-delà de la simple localisation. Leur crainte, c’est l’extraterritorialité.
OVHcloud est une entreprise française, ce qui signifie que ses filiales, même au Canada (Beauharnois) ou aux États-Unis, sont soumises au droit français. Alors même que GrapheneOS avait déjà commencé à réduire son usage d’OVH, les miroirs de mise à jour et le DNS autoritaire n’y étaient déjà plus hébergés, la menace légale les a contraints à l’urgence.
Pourquoi ? Un tribunal français pourrait potentiellement ordonner à OVH de fournir l’accès aux serveurs de GrapheneOS, même ceux situés à Montréal ou à Singapour. C’est la menace qu’ils ne pouvaient plus ignorer.
D’après GrapheneOS, sur les 15 serveurs OVH utilisés au début du mois, seuls cinq restaient encore à migrer. La majorité était située au Canada. Le fait que l’hébergeur soit français rend la situation intenable, d’autant que le projet de loi Chat Control (fortement soutenu par la France) montre une volonté claire de s’attaquer au chiffrement des communications privées.
L’ironie, c’est qu’Octave Klaba, le fondateur d’OVHcloud, a réagi en ligne pour affirmer que « rien ne s’est passé » sur leurs serveurs. Il a raison : la saisie n’a pas eu lieu. Le problème est que GrapheneOS part avant qu’elle ne puisse avoir lieu. Et cette réaction du géant français, bien que légitime pour protéger sa réputation, minimise la crise de confiance qui est purement juridique et politique.
L’attaque contre le chiffrement
La réalité est que les forces de l’ordre ont une difficulté croissante à pénétrer les smartphones modernes, et elles ne le cachent plus.
La police judiciaire a déjà été confrontée, dans l’affaire SkyECC, à la question de savoir si l’exploitation des données stockées sur des serveurs OVH était une simple « interception » (ce qui est plus simple) ou une « captation de données » (qui requiert une ordonnance plus stricte).
Cette fois, l’enjeu n’est plus les données stockées par un tiers, mais la capacité même d’un OS à chiffrer sans clé maîtresse. En comparant GrapheneOS à SkyECC et Encrochat, les autorités cherchent à criminaliser la simple sécurité par défaut.
Ce que dit GrapheneOS est limpide : ils ne stockent aucune donnée utilisateur sensible. Ils ne peuvent donc pas fournir d’assistance pour le déchiffrement. Si les autorités exigent de l’aide, c’est que la seule solution passe par une vulnérabilité délibérée, c’est-à-dire une backdoor. Et c’est là que le projet a tiré la ligne rouge, ils ont choisi de se retirer plutôt que de saboter la sécurité de millions d’utilisateurs à travers le monde.
Si vous voulez recevoir les meilleures actus Frandroid sur WhatsApp, rejoignez cette discussion.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix