Den kanadensiska organisationen inriktad på öppen källkod bakom det säkerhetsfokuserade mobilsystemet GrapheneOS meddelar att de avslutar all verksamhet i Frankrike.
Bakgrunden är en eskalerande konflikt med franska myndigheter, som enligt GrapheneOS-teamet sprider falska anklagelser i media och hotar med arresteringar och serverbeslag.
GrapheneOS, ett icke-vinstdrivande projekt som utvecklar ett operativsystem för Android-telefoner med extra fokus på integritet och säkerhet, har de senaste dagarna publicerat en rad inlägg på plattformen X om vad de beskriver som en koordinerad kampanj från franska polisen. Enligt teamet har myndigheterna skickat ut interna meddelanden till landets poliskårer där alla Google Pixel-telefoner med GrapheneOS stämplas som misstänkta. Detta har lett till en våg av artiklar i franska medier, där påståenden om att systemet används för kriminella ändamål upprepas utan faktakontroll eller möjlighet för GrapheneOS att bemöta dem.
"Frankrikes polis sprider upprörande falska och obevisade påståenden om GrapheneOS, som trycks i både statlig och företagsmedia som fakta trots att de inte är det", skriver GrapheneOS i ett inlägg på X den 23 november. Teamet betonar att de inte fick någon chans att granska eller svara på anklagelserna innan publicering. Istället har de tvingats in i en defensiv position, där de nu planerar att utöva sin rätt till svar i franska medier.
Hot om ingripanden och krav på eftergifter
Konflikten har eskalerat till direkta hot, enligt GrapheneOS. I kontakter med franska myndigheter har teamet uppmanats att assistera vid dekryptering av enheter, något som de tekniskt inte kan eller vill göra på grund av systemets design.
"De har ställt flera ganska direkta hot om arresteringar och beslag av servrar, precis som de gjorde med SkyECC och Encrochat", framhåller GrapheneOS i en uppdatering den 25 november. Referensen syftar på tidigare fall där franska myndigheter gripit in mot krypterade kommunikationsnätverk.
Myndigheterna kräver i praktiken att GrapheneOS slutar distribuera fungerande disk-kryptering, annars riskerar projektet rättsliga åtgärder. Detta liknas vid den kända tvisten mellan Apple och FBI i USA, men med en twist: Googles hårdvara i Pixel-telefoner är utformad för att motstå sådana krav, och GrapheneOS bygger vidare på den säkerheten. "De kräver inte samma sak av Google för standard-Pixel trots nästan identisk kryptering, eftersom de är mycket mindre säkra och kan utnyttjas i förväg", förklarar teamet.
GrapheneOS understryker att deras arbete är lagligt i länder som Kanada, Tyskland, USA och Nederländerna. Frankrike driver dock på för lagar som tvingar fram bakdörrar i kryptering, en politik som ännu inte är implementerad men som polisen agerar som om den redan gäller.
Avveckling av infrastruktur och framtida planer
Som svar på hoten har GrapheneOS inlett en snabb avveckling av sin närvaro i Frankrike. De lämnar serverleverantören OVH, ett franskt bolag, och migrerar sina 15 servrar – spridda över Kanada, Singapore, Tyskland och USA – till alternativa platser.
"Vi lämnar Frankrike som serverplats och OVH som leverantör innan de gör något", meddelar de i ett inlägg på tisdagen. Redan nu har tio servrar bytts ut, inklusive de som används för standarduppdateringar. De återstående fem, som hanterar e-post, forum och andra tjänster i Beauharnois, Kanada, planeras flyttas till colocation-servrar i Toronto.
För europeiska användare lovar GrapheneOS bibehållen prestanda genom servrar i Schweiz, Luxemburg och Nederländerna – länder som inte stödjer EU:s kontroversiella "Chat Control"-förslag om massövervakning. "Vi kan erbjuda låg latens och hög genomströmning till användare i Frankrike utan servrar där", försäkrar teamet. De avser även undvika resor till Frankrike, inklusive konferenser, och avråder från att anställda arbetar från landet.
Händelsen väcker frågor om EU:s framtid för open source-projekt inom integritet. GrapheneOS, som finansieras genom donationer och sponsorer, har byggt sitt rykte på öppen källkod och robusta skyddsåtgärder mot exploits (säkerhetsbrister som kan utnyttjas). Nu ser de Frankrike som en "osäker plats för open source-integritetsprojekt".
En talesperson för franska inrikesdepartementet har inte kommenterat anklagelserna, men tidigare uttalanden från regeringen pekar på en hårdare linje mot kryptering i kampen mot organiserad brottslighet.
Svenskt företag fortsätter satsa på GrapheneOS trots konflikten
Mitt i den pågående konflikten visar det svenska teknikföretaget Teuton Systems fortsatt förtroende för GrapheneOS. Företaget arbetar uteslutande med systemet i sin integritetssäkra mobil, Matrix-mobilen, som är en av de första sådana produkterna på den nordiska marknaden. Teuton Systems betonar att installationen av GrapheneOS sker enbart via den officiella källan och med öppna källkodsverktyg som Aurora Store och F-Droid, för att säkerställa transparens och maximal integritet utan beroende av Google-tjänster.
Matrix-mobilen, baserad på Google Pixel-telefonernas hårdvara, levereras med GrapheneOS förinstallerat och förberedda säkra appar för vardagliga uppgifter, inklusive stöd för BankID och de flesta svenska bankappar. Produkten erbjuder avancerade funktioner som granulär kontroll över appbehörigheter, sensorblockering och automatiska säkerhetsuppdateringar. "GrapheneOS ger användarna full kontroll över sin data i en tid av ökande övervakning, utan att kompromissa med användarvänligheten", framhåller Teuton Systems på sin webbplats.
Företaget, som fokuserar på nordiska användare, understryker systemets oberoende granskning och frånvaro av bakdörrar, vilket gör det till ett pålitligt val för integritetsmedvetna användare.
