O GrapheneOS está deixando a França devido a preocupações legais e de segurança, incluindo pressão do governo por um backdoor de criptografia. Aqui está o que aconteceu e por que isso importa.

O que aconteceu com o GrapheneOS na França?

Em 24 de novembro de 2025, o GrapheneOS anunciou no X(nova janela) que removeu todos os servidores ativos da França e está em processo de encerrar seu relacionamento com o provedor de hospedagem OVHcloud. “A França não é um país seguro para projetos de privacidade de código aberto”, disse a equipe, apontando para o que descreve como as expectativas das autoridades francesas por backdoors de criptografia.

Esta decisão chega enquanto a França se torna um dos defensores mais vocais da proposta de legislação de Controle de Chat da UE, que visa forçar plataformas on-line e serviços de mensagens a escanear automaticamente chats privados, imagens e mídia em busca de material de abuso sexual infantil (CSAM) e conteúdo de aliciamento. Em março, a Assembleia Nacional Francesa rejeitou uma proposta(nova janela) que exigiria que serviços de comunicação segura como o Signal enfraquecessem ou removessem sua criptografia de ponta a ponta.

Criptografia de ponta a ponta (E2EE) significa que apenas o remetente e o destinatário podem ler o conteúdo de uma mensagem — não o provedor de serviço ou outros terceiros, incluindo autoridades governamentais ou cibercriminosos.

Além dos backdoors de criptografia, há dúvidas crescentes se a empresa francesa OVHcloud pode garantir a soberania de dados. Um tribunal canadense(nova janela) tentou forçar a empresa a entregar dados de clientes armazenados em servidores europeus usando sua subsidiária canadense — efetivamente contornando os canais legais usuais entre governos.

O que é o GrapheneOS e por que as pessoas o usam?

O GrapheneOS é um sistema operacional sem fins lucrativos, de código aberto e baseado em Android, usado por muitas pessoas que buscam melhor privacidade, segurança e controle. Aqui estão algumas das razões pelas quais as pessoas o preferem ao Android do Google:

  • Sem coleta de dados em segundo plano, rastreamento ou telemetria integrados do Google. Isso significa que seu dispositivo não envia dados de uso, diagnósticos ou informações comportamentais para o Google ou seus parceiros.
  • ID de publicidade desativado por padrão. O ID de publicidade é um identificador exclusivo atribuído ao seu dispositivo pelo Android que permite que profissionais de marketing rastreiem você para anúncios direcionados.
  • Sem bloatware, como aplicativos instalados pelo fabricante ou operadora.
  • Sem aplicativos forçados que você não pode desinstalar, como Google Assistant ou Gemini.
  • Sem avisos de fidelização do Google, como notificações persistentes incentivando serviços do Google. Você também pode usar o GrapheneOS sem uma conta Google.
  • Sem integração de nuvem padrão, como backup automático do Google Fotos.
  • Controles avançados de permissão de privacidade, como melhor proteção contra exploits de dia zero.
  • Regras de segurança mais rigorosas controlando como os aplicativos se comportam, como sandboxing que impede que aplicativos acessem dados de outros aplicativos ou recursos do sistema sem permissão explícita.

Por que backdoors de criptografia são perigosos

O GrapheneOS protege dispositivos móveis usando criptografia de disco completo para proteger todos os dados, incluindo metadados como nomes de arquivos e carimbos de data/hora. Um backdoor de criptografia significaria adicionar um método secreto que a aplicação da lei poderia usar para desbloquear dados criptografados sem seu consentimento, PIN ou rosto.

O problema com um backdoor de criptografia é que, uma vez que ele exista, pode ser descoberto, mal utilizado ou explorado por qualquer um que o encontre, incluindo cibercriminosos. Isso coloca todos em risco, não apenas pessoas visadas por uma investigação, e é por isso que defensores da privacidade consistentemente se opõem a isso.

Por que o GrapheneOS diz que um backdoor é tecnicamente impossível

De acordo com o GrapheneOS, comentários públicos recentes e memorandos internos circulando entre a aplicação da lei francesa incluíram avisos para tratar dispositivos Google Pixel como “altamente suspeitos” e o que o projeto caracteriza como desinformação sobre o GrapheneOS.

O GrapheneOS explica que, mesmo se quisesse, introduzir um backdoor de criptografia é tecnicamente impossível devido ao elemento seguro de hardware do telefone, que impõe uma cadeia de confiança estrita. Apenas firmware devidamente assinado tem permissão para ser executado, e qualquer modificação não autorizada faria com que o dispositivo falhasse na verificação. Além disso, proteções impostas por hardware limitam o número de tentativas de desbloqueio e introduzem atrasos entre elas, prevenindo ataques de força bruta.

O GrapheneOS não está sozinho na recusa em criar backdoors de criptografia

Grandes empresas de tecnologia também enfrentaram pressão para enfraquecer a criptografia e recusaram. Aqui estão alguns exemplos recentes:

  • Em 2023, quando o Reino Unido estava avançando com o Projeto de Lei de Segurança On-line, o Signal disse(nova janela) que preferiria encerrar seu serviço em uma jurisdição que trai a confiança de seus usuários do que cumprir uma lei que introduziria backdoors ou recursos que permitem vigilância.
  • Em 2025, o governo do Reino Unido forçou efetivamente a Apple a escolher entre criar um backdoor de criptografia e remover a criptografia de ponta a ponta para certos serviços. A Apple optou por retirar a Proteção Avançada de Dados (ADP) — um recurso que estende a criptografia de ponta a ponta a vários serviços do iCloud, incluindo backups, fotos, notas e arquivos — em vez de comprometer seu modelo de segurança. A Apple mais tarde apresentou um desafio legal contra a demanda do governo do Reino Unido.

Quando governos enfraquecem a privacidade, você paga o preço

A postura da França contra empresas que priorizam a privacidade e projetos de código aberto envia uma mensagem mais ampla: operem aqui e nos deem acesso aos seus dados, ou saiam.

Quando plataformas seguras como o GrapheneOS escolhem se manter firmes com seus princípios de segurança intactos e retiram sua infraestrutura do país, as próprias pessoas que elas atendem acabam perdendo acesso às ferramentas projetadas para protegê-las de violações de dados, roubo de identidade e censura estatal.

Na Proton, criptografia forte e privacidade on-line são fundamentais para nossa missão. Não seríamos capazes de fornecer à nossa comunidade e-mail seguro, V(nova janela)P(nova janela)N(nova janela), armazenamento em nuvem ou gerenciamento de senhas sem elas.