GrapheneOS : Le système d'exploitation mobile le plus sécurisé ?

Si c'est gratuit, vous êtes le produit !

Selon le dernier baromètre du numérique de l'Arcep, Android est le système d'exploitation utilisé par plus de sept détenteurs de smartphone sur dix. Bien qu'Android repose sur le noyau Linux et que son cœur (le projet AOSP) soit open source, sa version commerciale reste largement sous le contrôle de Google depuis son acquisition en 2005.

Android intègre les Google Play Services, une surcouche logicielle propriétaire qui permet aux services Google de fonctionner en arrière-plan. Ces services sont devenus indispensables au bon fonctionnement de la majorité des applications du Play Store.

L'avantage ? Le système est fluide, stable et fiable.

Le problème ? L'utilisateur n'a pas la main : les Google Services fonctionnent de manière opaque. Et surtout, Google se finance principalement par la publicité, en collectant d'énormes quantités de données personnelles.

Autrement dit, les services Google sont les maîtres du jeu, mais nous ne connaissons pas leurs cartes.

Et si on veut s'en passer ?

Les Google Services ne sont pas une simple application que l'on peut désinstaller. Ils sont profondément intégrés au système. Les retirer complètement est très complexe ; et même déconseillé sur une installation Android classique, car de nombreuses fonctionnalités essentielles en dépendent.

---

La solution ? GrapheneOS

GrapheneOS est un système d'exploitation alternatif axé sur la sécurité et la vie privée. En fait, GrapheneOS se base toujours sur AOSP (Android Open Source Project), mais sans imposer la surcouche de Google.

Pour des raisons techniques, GrapheneOS n'est compatible qu'avec les Google Pixel récents. Paradoxalement, bien que Google soit à l'origine du développement d'Android, c'est justement leur version d'Android assez minimaliste, qui permet de revenir à l'essentiel. Les Google Services étant désormais optionnels, il devient possible d'avoir un smartphone dégooglisé.

Si besoin, il est possible (et facile) de réinstaller les services Google en sandbox, toutefois les Pixel Features (Add Me, Unblur, Magic Eraser, Circle To Search, traduction de l'écran IA, le shazam by Google) ainsi que le paiement via Google Wallet seront inutilisables.

Les Pixel Features sont absentes de GrapheneOS car elles dépendent d'algorithmes IA et de services propriétaires intégrés dans la surcouche Google, qui ne sont ni open source ni inclus dans AOSP.

Concernant le paiement sans contact (NFC) : ironiquement, Google Wallet ne fonctionne pas sur GrapheneOS, pour des raisons de sécurité. En effet, Wallet exige que l'appareil soit certifié Play Protect par Google, ce qui implique une intégration des Google Services directement au niveau système (non sandboxés).

Or, l'un des piliers de GrapheneOS est justement d'exécuter les Google Services dans un environnement isolé (sandbox), afin d'en limiter l'accès aux données et de renforcer la sécurité. C'est cette approche qui empêche la validation de la certification Play Protect. C'est pourquoi Google Wallet ne fonctionne pas.

Si vous êtes prêt à vous passer des fonctionnalités exclusives aux Pixels (Pixel Features) ainsi que du paiement NFC, nous pouvons continuer.

---

Installation

Pour l'installation, il suffit de suivre la documentation de GrapheneOS. Voici la marche à suivre :

1. Sauvegarder les données du téléphone (sans oublier les contacts) sur un autre support.
2. Activer les options développeurs : Paramètres -> À propos du téléphone et appuyez plusieurs fois sur numéro de build.
3. Autoriser le Déverrouillage du bootloader : Paramètres -> Système -> Options pour les développeurs et activez le paramètre de déverrouillage OEM.
4. Si votre PC est sous Linux (Debian), dans un terminal tapez : sudo apt install android-sdk-platform-tools-common et sudo systemctl stop fwupd.service (pour que l'installation fonctionne sans problème).
5. Ouvrir le bootloader : redémarrer le Pixel, puis maintenez le bouton volume bas à l'allumage. Un triangle rouge ainsi que le message Fastboot Mode devraient apparaître.
6. N'appuyez PAS sur le bouton power, afin de rester dans le bootloader.
7. Connectez le Pixel à votre PC avec un câble USB
8. Depuis votre PC et un navigateur basé sur Chromium, allez sur le site d'installation.
9. Déverrouiller le bootloader : Cliquez sur le bouton Unlock bootloader. Une pop-up devrait s'ouvrir pour sélectionner le smartphone. Ensuite, appuyez sur volume bas, puis sur le bouton power du Pixel pour valider. Attention, cette opération supprime toutes les données du téléphone.
10. Télécharger GrapheneOS : Cliquez sur le bouton Download release, pour télécharger l'image de GrapheneOS.
11. Installer GrapheneOS : Une fois le téléchargement terminé, cliquez sur Flash release et ne touchez plus au Pixel pendant l'installation.
12. Verrouiller le bootloader : Cliquez sur le bouton Lock bootloader. Ensuite, appuyez sur volume bas, puis sur le bouton power du Pixel pour valider.
13. Rallumez le Pixel, vous pouvez appuyer sur Power (Start) pour booter sur GrapheneOS
14. Il vous suffit ensuite de suivre les étapes de configuration de GrapheneOS, comme un Android classique.

Les applications natives GrapheneOS

GrapheneOS propose des alternatives libres et sécurisées aux solutions propriétaires.

1. Contacts et Téléphone : alternatives libres aux applis de Google.
2. Navigateur Vanadium renforcé : basé sur le moteur Chromium, mais sans le pistage de Google.
3. Lecteur PDF sandboxé : protégé contre les documents intégrant du code malveillant.
4. Messages : alternative (trop) minimaliste à Google Messages.
5. Clock : horloge classique ;
6. Files : explorateur de fichiers classique ;
7. Camera : appareil photo basique ;
8. Galerie : l'interface est à revoir. J'ai préféré installer Google Photos, tout en n'autorisant pas l'appli à accéder à internet (voir plus bas).
9. App Store : store propre à GrapheneOS, permettant notamment d'installer les Google Services et le Play Store.

Gestion fine des permissions :

GrapheneOS se démarque en proposant, notamment, une gestion avancée des permissions accordées aux applications. En effet, via une nouvelle permission network, il est possible de refuser l'accès au réseau internet à une appli. Idem pour les capteurs de votre smartphone, avec la permission sensors. Enfin, si une appli demande l'accès complet à votre stockage, vous pouvez limiter l'accès à un dossier.

On a également accès au logs, aux journaux des applications en temps réel. C'est génial, si vous souhaitez comprendre/vérifier ce que fait vraiment une application.

Alternatives au Google Play Store

• F-Droid : un store alternatif libre et open source.
• Aurora Store permet d'installer les applis du Play Store sans compte Google. Aurora Store utilise un compte anonyme pour accéder au Play Store, ainsi les sources sont officielles. Pas d'APK modifiées, c'est exactement les mêmes.

Mes alternatives à certaines apps GrapheneOS :

Je n'apprécie guère les apps natives Messages, Camera et Gallery. C'est pourquoi, j'ai trouvé des alternatives plus intuitives et/ou efficaces.

Je vous recommande donc fortement :

• QKSMS, open source et disponible sur F-Droid, à la place de Messages par défaut.
• Pixel Camera de Google pour retrouver l'appareil photo magique du Pixel. Même s'il faudra se passer des Pixel Features, GrapheneOS oblige, la qualité photo/vidéo demeure au rendez-vous.
• Google Photos en remplacement de la Galerie native.

Pour Pixel Camera et Google Photos, je vous conseille vraiment de désactiver la permission réseau. Cela fonctionne très bien en local, tout en empêchant le tracking de vos données par Google. Le meilleur des deux mondes.

Aussi, par défaut le clavier est archaïque. Ce n'est pas Gboard de Google, mais une alternative libre bien moins performante. J'ai d'abord tenté Gboard, sans lui donner accès à internet (permission network), mais l'expérience en est négativement impactée. J'ai finalement trouvé mon bonheur avec HeliBoard qui offre un bon compromis.

Les Profils :

GrapheneOS propose la création de profils secondaires, à l'image des sessions d'ordinateur. Ainsi, il est possible d'avoir différents profils, chacun avec un usage propre et des applications distinctes. Chaque profil possède un stockage séparé et potentiellement un code différent.

Pour ma part, j'ai opté pour un profil principal dégooglisé. Ainsi, j'ai installé les Google Services sur des profils secondaires. De cette façon, si une application requiert les services Google pour fonctionner, je peux l'installer et l'utiliser normalement.

Enfin, il est possible de gérer les différents profils depuis le principal. Par exemple, on peut permettre à un profil secondaire de recevoir les appels/SMS entrants.

Points négatifs ?

GrapheneOS mise tout sur la sécurité et la vie privée, en voulant supprimer le superflu : notamment le tracking et les fonctionnalités IA. Toutefois, en rendant les Pixel Features inutilisables, l'OS bride le potentiel du Google Pixel. En outre, l'absence du paiement NFC est regrettable. D'autant plus que même si la raison est techniquement logique, c'est théoriquement incohérent : GrapheneOS étant plus sécurisé qu'Android.

Remarque : pour les mêmes raisons, certaines applications bancaires peuvent refuser de fonctionner. Dans la plupart des cas, ce problème peut être contourné en allant dans les paramètres système de l'application concernée, puis dans Play Integrity API, et en activant l'option Block usage attempts. Cette option empêche l'application d'accéder à l'API Play Integrity, ce qui lui fait croire que celle-ci est simplement indisponible.

Aussi, l'objectif d'un tel système d'exploitation est de se passer de Google. Le plus possible, en tout cas. Donc cela nous amène à partir à la recherche d'alternatives multiples. Souvent, on finit par passer des heures à configurer une appli de clavier. Dans ces moments-là, on regrette le confort offert par les solutions propriétaires, mais clés en main.

Enfin, le principal problème est qu'à ce jour GrapheneOS n'est compatible qu'avec les Google Pixels.

GrapheneOS est-il fait pour vous ?

Au final, en s'adaptant à ce nouveau système : on y prend rapidement goût. En effet, une fois la configuration fastidieuse terminée, le système reste fluide et fonctionnel à 99 %. Par contre, la perte du paiement NFC et des Pixel Features demandent un temps d'adaptation. Cependant, en réalisant que ces fonctionnalités étaient plutôt gadgets et certainement pas essentielles, on s'y habitue.

On redécouvre ainsi un système que l'on contrôle, et non l'inverse. Pour ma part, c'est une belle découverte : un Android à la fois épuré et sécurisé. Toutefois, je pense que GrapheneOS s'adresse avant tout aux passionnés et aux personnes très soucieuses de préserver leur vie privée.