GrapheneOS, le fork d'Android libre et open source, refuse de se conformer aux exigences des nouvelles lois sur la vérification de l'âge et ne demandera jamais d'informations personnellesLes lois sur la vérification de l’âge font face à une opposition croissante au sein de l’industrie technologique. GrapheneOS, le fork Android axé sur la confidentialité, a déclaré qu'il refusera de se conformer aux lois imposant aux systèmes d'exploitation de collecter l'âge des utilisateurs lors de la configuration. Il ajoute qu'il restera utilisable par n'importe qui dans le monde sans exiger d'informations personnelles, de pièce d'identité ni de compte. Si cela implique que ses appareils ne peuvent pas être vendus dans certaines régions, il l'accepte. GrapheneOS a fermé ses portes en France en raison de menaces pesant sur les logiciels axés sur la confidentialité.
GrapheneOS est un système d'exploitation mobile renforcé, axé sur la sécurité et la confidentialité. Il est basé sur Android Open Source Project (AOSP). GrapheneOS offre une sécurité améliorée sur certains appareils, notamment Google Pixel, les smartphones, les tablettes et les appareils pliables, grâce à des fonctionnalités comme le sandboxing sécurisé des applications, le démarrage vérifié et des mécanismes avancés de vérification des mises à jour.
Le développement de GrapheneOS a été suivi de près par les défenseurs de la vie privée et les chercheurs en sécurité en raison de sa position intransigeante sur la souveraineté des appareils et de son refus de faire des compromis en matière de chiffrement. Le développement est assuré par la Fondation GrapheneOS, une association canadienne à but non lucratif. L'auteur principal est Daniel Micay, un ancien membre du projet similaire CopperheadOS.
Avec l'essor des lois imposant la vérification de l'âge au niveau du système d'exploitation, GrapheneOS voit ses promesses en matière de confidentialité mises à rude épreuve. Selon ses développeurs, il n'est pas possible de trouver un compromis entre la protection de la vie privée et la vérification de l'âge.
GrapheneOS n'appliquera pas les règles sur la vérification de l'âge
GrapheneOS a déclaré dans un message publié sur X (ex-Twitter) le 20 mars que le projet ne se conformerait pas aux nouvelles lois obligeant les systèmes d'exploitation à collecter des données sur l'âge des utilisateurs lors de la configuration de leurs appareils. Le projet a également déclaré qu'il ne demanderait jamais d'informations personnelles ni d'identification, même si cela signifie que ses appareils ne pourront pas être vendus dans certaines régions.
« GrapheneOS restera accessible à tous, partout dans le monde, sans exiger d'informations personnelles, d'identification ou de compte. Si les appareils GrapheneOS ne peuvent pas être vendus dans une région en raison de la réglementation locale, qu'il en soit ainsi », a déclaré GrapheneOS dans son message.
La déclaration intervient après l'entrée en vigueur de la loi brésilienne Digital ECA (loi 15.211) le 17 mars. Elle impose des amendes pouvant atteindre 50 millions de réais (environ 9,5 millions de dollars) par violation aux fournisseurs de systèmes d'exploitation ne mettant pas en place une vérification de l'âge. De nombreux États américains ont adopté des lois similaires au cours des derniers mois. L'Union européenne étudie également des propositions.
En Californie, le Digital Age Assurance Act (AB-1043), signé par le gouverneur Gavin Newsom en octobre 2025, entrera en vigueur le 1er janvier 2027, et oblige chaque fournisseur de système d'exploitation à collecter l'âge ou la date de naissance de l'utilisateur lors de la création du compte, pour transmettre ces données aux boutiques d'applications et aux développeurs via une API en temps réel. Le Colorado a aussi adopté une loi similaire début mars.
Les législations sont plus intrusives qu'elles n'en ont l'air
Selon l'auteur de l'enquête sur le lobbying de Meta, les projets de loi de vérification de l'âge sont très intrusifs. Ainsi, le projet de loi californien AB-1043 définit le « fournisseur de système d'exploitation » au titre de l'article 1798.500(g) comme « une personne ou une entité qui développe, concède sous licence ou contrôle le logiciel de système d'exploitation sur un ordinateur, un appareil mobile ou tout autre appareil informatique à usage général ».
Chaque fournisseur de système d'exploitation doit alors : fournir une interface lors de la configuration du compte permettant de recueillir la date de naissance ou l'âge, et exposer une API en temps réel qui diffuse la tranche d'âge de l'utilisateur (moins de 13 ans, 13 à 15 ans, 16 à 17 ans, 18 ans et plus) à toute application fonctionnant sur le système. Selon les experts en sécurité, cette législation pose un réel problème en matière de sécurité.
Chaque application sur votre appareil peut interroger une API au niveau du système qui renvoie votre tranche d'âge en temps réel. Il ne s'agit pas d'une vérification de l'âge au moment de l'accès à un contenu restreint. Il s'agit d'un service de diffusion permanente de l'âge intégré au système d'exploitation lui-même, accessible à toutes les applications installées. Cette loi a été signée en octobre 2025 et entrera en vigueur le 1er janvier 2027.
Les mécanismes de protection de la vie privée sont mis à mal
Ces projets de loi ne se contentent pas de vérifier l'âge une seule fois. Ils créent une couche d'identité permanente au sein du système d'exploitation, que les applications peuvent interroger à leur guise. Les fournisseurs de ce système facturent entre 0,10 et 2,00 $ par vérification, exigent l'utilisation de SDK propriétaires, demandent des clés API liées à des comptes commerciaux et opèrent exclusivement sur le cloud, sans option d'autohébergement.
Vos données de vérification d'âge sont transmises à un service cloud tiers. « Comparez cela à ce que l'UE a mis en place. Le portefeuille d'identité numérique de l'UE, dans le cadre de l'eIDAS 2.0, dispose d'une implémentation de référence publiée sous licence Apache 2.0/EUPL et utilise des identifiants à divulgation sélective. Un utilisateur peut prouver qu'il appartient à une tranche d'âge sans communiquer sa date de naissance », indique le rapport.
La nouvelle loi européenne sur les services numériques (DSA) impose des obligations de vérification de l'âge aux très grandes plateformes en ligne (plus de 45 millions d'utilisateurs mensuels), et non aux systèmes d'exploitation. Les projets FOSS qui n'agissent pas en tant que services intermédiaires sont explicitement exclus du champ d'application. Les microentreprises et les petites entreprises bénéficient d'exemptions supplémentaires.
Les impacts sur les droits à la liberté des adultes et des jeunes
En octobre 2024, l'Electronic Frontier Foundation (EFF) et l'ACLU ont déposé un mémoire demandant à une cour d'appel fédérale des États-Unis de continuer à bloquer la loi sur la vérification de l'âge sur les plateformes de médias sociaux. Selon les experts de l'EFF, ces projets de loi menacent la liberté d'expression et font des sites de médias sociaux qui collectent les données les plus sensibles des cibles de choix pour les pirates informatiques.
L'EFF s'est battue contre les mandats de vérification de l'âge parce que, selon l'ONG, ils sapent les droits à la liberté d'expression des adultes et des jeunes, créent de nouvelles barrières à l'accès à Internet et mettent en danger la vie privée, l'anonymat et la sécurité de tous les utilisateurs d'Internet. Pour l'EFF, exiger des fournisseurs de services qu'ils vérifient l'âge des utilisateurs n'est pas la bonne approche pour protéger les personnes en ligne.
L'EFF avait notamment conclu : « les lois sur la vérification de l'âge nuiront plus qu'elles n'aideront ». Pour l'organisation, les systèmes d'identité numérique soulèvent de graves préoccupations en matière de respect de la vie privée et d'équité. L'EFF met en garde contre les abus potentiels de ces systèmes.
Les impacts sur GrapheneOS et d'autres systèmes d'exploitation
Les lois sur la vérification de l'âge menacent la vie privée des utilisateurs. GrapheneOS est développé par une organisation canadienne à but non lucratif, bien que des questions de compétence restent en suspens compte tenu des récents précédents en matière d'application transfrontalière. Cette position complique le partenariat récemment annoncé avec Motorola, qui prévoit de commercialiser des appareils équipés de GrapheneOS en 2027.
GrapheneOS n’est pas le premier acteur à refuser catégoriquement de se conformer à ces exigences, et il ne sera pas le dernier. Les développeurs du micrologiciel open source pour calculatrices DB48X ont récemment publié un avis juridique indiquant que « leur logiciel n’implémente pas, ne peut pas et n’implémentera pas de système de vérification de l’âge », tandis que MidnightBSD a mis à jour sa licence pour interdire l’accès aux utilisateurs au Brésil.
La législation californienne n'exige ni pièce d'identité avec photo ni vérification biométrique ; les utilisateurs se contentent de déclarer leur âge lors de la configuration. Toutefois, les détracteurs, parmi lesquels plus de 400 informaticiens ayant signé une lettre ouverte, font valoir que ces lois mettent en place une infrastructure de surveillance sans pour autant protéger efficacement les enfants, car il est très facile de contourner cette autodéclaration.
Meta a dépensé des milliards pour imposer la vérification de l'âge
Un rapport récent a mis en lumière le lobbying de plus de 2 milliards de dollars mené par Meta pour convaincre les législateurs américains d'imposer l'implémentation de la vérification de l'âge aux fournisseurs de systèmes d'exploitation. Bien que certains États aient envisagé la proposition du géant des plateformes de médias sociaux, il n'a pas eu beaucoup de succès à Washington. L'entreprise de Mark Zuckerberg a dans son viseur Google et Apple.
L'enquête a été menée par l'utilisateur GitHub « upper-up ». Elle retrace les flux financiers via des organisations telles que la Digital Childhood Alliance (DCA), créée le 18 décembre 2024 et qui a témoigné en faveur du projet de loi SB-142 de l'Utah quelques jours plus tard. Fait important, le soutien de Meta au projet de loi DCA s’inscrit dans une stratégie fragmentée de super PAC de 70 millions de dollars conçue pour échapper au suivi de la FEC.
Selon le rapport, les exigences traditionnelles en matière de divulgation des dépenses électorales ne s’appliquent pas à cette approche fragmentée. Les activités de lobbying de Meta s'étendent à 45 États et recourent à des organisations à but non lucratif fictives pour contourner les obligations de transparence.
Le système d'exploitation Horizon de Meta pour le casque de réalité virtuelle Quest met déjà en œuvre cette infrastructure via les contrôles du Family Center. Aujourd'hui, Meta veut qu'Apple et Google développent des systèmes similaires accessibles à toutes les applications, transformant ainsi la vérification de l'âge en empreinte digitale permanente de l'appareil. Selon les experts, ce projet instaurerait un mécanisme de surveillance dangereux.
Conclusion
Ces projets de loi imposeraient des API au niveau du système d'exploitation permettant aux applications d'interroger les informations sur l'âge des utilisateurs, créant ainsi une couche d'identité permanente inscrite dans les fonctions centrales du téléphone. Selon les experts en sécurité, il s'agit d'une orientation dangereuse. Meta a déjà mis en place une infrastructure similaire dans son système d'exploitation Horizon OS pour les casques Quest VR.
L'objectif serait désormais de contraindre Apple et Google à construire des systèmes équivalents accessibles à toutes les applications, transformant la vérification d'âge en un véritable outil de traçage permanent des appareils. Et pour cela, le géant des médias sociaux dépense des milliards de dollars en lobbying.
Cependant, ces législations se heurtent à une opposition croissante. GrapheneOS n’est pas un cas isolé. D’autres projets ou systèmes ont également refusé d’implémenter des mécanismes de vérification d’âge ou ont modifié leurs conditions d’utilisation pour éviter certaines juridictions. (En novembre dernier, GrapheneOS a fermé son infrastructure en France, citant des menaces pesant sur les logiciels axés sur la confidentialité dans ce pays.)
Source : billet de blogue
Et vous ?
Que pensez-vous de la posture de GrapheneOS face aux lois sur la vérification de l'âge ?
Quels impacts cette position pourrait-elle avoir sur le développement du projet et ses partenariats ?
GrapheneOS se dit prêt à abandonner certains marchés si la vérification de l'âge est imposée. Qu'en pensez-vous ?Voir aussi
GrapheneOS, le système Android open source sécurisé, annonce la fermeture de son infrastructure en France, citant les menaces pesant sur les logiciels axés sur la confidentialité dans ce pays
Meta a dépensé plus de 2 milliards de dollars en lobbying via des réseaux sombres pour faire pression en faveur d'une technologie invasive de vérification de l'âge, selon un rapport
Motorola a annoncé qu'elle allait renforcer la sécurité mobile en adoptant GrapheneOS en remplacement du système d'exploitation Android standard de Google sur tous ses futurs appareils
Vous avez lu gratuitement 5 123 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.