(message mis à jour le 29 juin 2021)
Bonjour,
J'ai acheté un smartphone Android "pur sucre", autant dire farci de Google partout et en plus "bien" équipé en applications fournies par le constructeur.
C'est un Samsung de 2016 qui fonctionne suffisamment bien.
Il s'agit maintenant d'obtenir un bon niveau de service avec le moins de Google possible et aussi avec le moins d'applications Samsung possible, si elles sont intrusives.
Ce sujet vient naturellement à la suite de celui-ci : moins d'applis Google sur votre smartphone Android .
Il s'inspire aussi de celui-là : le tutoriel "vie privée" de Reboot
1) Pas de compte Google ! On reste dans le cadre de la maxime principale, mais pour ceux/celles qui ont déjà un compte Google, vous pouvez éventuellement déplacer cette étape (la suppression de votre compte Google) à la fin du processus décrit ci-dessous.
2) les autorisations (= permissions) des applications = à surveiller de près !
première chose à faire : un tour dans la section "paramètres / applications" pour lister les applications déjà présentes dans le téléphone. Le S 7 vous en sert 39 d'office dont certaines dont on ne sait même pas à quoi elles servent. On peut éventuellement désactiver de suite tous les Google ou apparentés et quelques Samsung ou on peut le faire plus tard. Et ça laisse encore des surprises (voir le chapitre Exodus privacy ci-dessous).
Mais l'important, c'est d'ouvrir systématiquement chacune des applications pour voir ce qu'elles ont comme autorisations d'accès. Toujours dans un premier temps, vous pouvez brider un maximum de choses, tout en étant conscient que les applis que vous voulez conserver vont peut-être "fonctionner beaucoup moins bien" ! Si c'est le cas, il sera temps de ré-ouvrir une par une les autorisations nécessaires.
3) F-Droid : le "play-store" alternatif.
Il permet de télécharger des applis open-source, par exemple FFUpdater pour choisir son navigateur (voir ci-dessous, point n° 3), ou bien Open Camera, ou bien QKSMS... Mais vous n'y trouverez pas les applis commerciales courantes. Pour celles-là, voir le point suivant.
3bis) Aurora Store : un autre play-store alternatif qu'il est utile d'avoir sur son smartphone Android. Avec Aurora Store, vous pourrez télécharger de façon anonyme (c'est à dire sans avoir un compte Google) certaines des applis non-libres qui se trouvent sur le Google Store. Vous pouvez télécharger Aurora Store sur F-Droid. Ce dernier vous avertit que Aurora Store utilise des services réseaux qui ne sont pas libres, mais il faut en passer par là si on veut certaines applis !
4) le navigateur
Pas de mystère : le navigateur d'origine, c'est Chrome, donc Google. Il ne m'a servi qu'une seule fois pour installer F-Droid (voir ci-dessous). Ensuite je l'ai prudemment désactivé.
Problème : le navigateur Firefox n'est pas disponible sur F-Droid. Il faut donc passer par FFUpdater (via F-Droid) qui donne le choix du navigateur : Firefox dans ses différentes déclinaisons, ou bien Brave, ou Iceraven (?) ou Bromite (?). J'ai choisi Firefox pour Android (version beta) et ça fonctionne très bien (sans bugs) depuis le 27 avril.
5) la messagerie instantanée -> Signal
Problème : Signal n'est pas disponible sur F-Droid, ni en téléchargement direct pour Android sur le site. On contourne ce problème en installant Aurora Store, un autre "play-store" alternatif (voir le point 3bis). Signal est arrivé sur mon téléphone par ce biais.
6) les SMS (et MMS)
Plutôt que l'application "messages" de Samsung, on peut préférer QKSMS (open source) qui fonctionne très bien et permettrait même de faire des sauvegardes de ses SMS (à vérifier). On trouve QKSMS sur F-Droid
7) la navigation cartographique -> Magic Earth ou OSMand. Ce dernier est basé sur Open Street Map, la célèbre cartographie open-source.
Magic Earth n'est disponible que sur Aurora Store. Il est très performant mais on ne sait pas s'il vraiment open-source et il est difficile de savoir qui gère ce système.
OSMand est téléchargeable sur F-Droid. Il y a une version "+" qui est payante.
8) Exodus privacy est une appli qui vous renseigne sur les traceurs (ou : pisteurs) qui sont contenus dans les applis qui se trouvent sur votre téléphone.
Il y a long à dire sur Exodus Privacy.
Aussi, pour ne pas encombrer le présent sujet consacré aux seules alternatives à Google, un sujet spécial "Exodus Privacy" a été ouvert ici
9) l'appareil-photo et la caméra
Plutôt que de faire confiance l'appli "camera" de Samsung, place à Open Camera, appli open source qui donne des résultats corrects.
10) calendrier et agenda
Comme pour l'appareil-photo, plutôt que de laisser en place le calendrier Samsung dont on ne sait pas très bien ce qu'il fait derrière notre dos, autant opter pour Etar, un bon calendrier opensource disponible sur F-Droid. Si on télécharge aussi l'appli DAVx5, on peut synchroniser l'agenda et les contacts du téléphone avec ceux de l'ordinateur. Très pratique et pas si difficile que ça à faire.
11) gestionnaire de mots de passe
En avant pour Bitwarden, gestionnaire de bonne qualité mais non libre. Disponible sur Aurora Store, même sans compte Google.
12) horloge, minuteur, réveil, etc...
L'application "horloge" de Samsung qui fait tout ça reste en place avec aucune autorisation accordée, ce qui limite d'éventuelles fuites de données.
A suivre : la météo, les contacts, le clavier (et oui ce dernier est aussi une appli)
moins de Google dans votre smartphone Android
moins de Google dans votre smartphone Android
JLG
actuellement en service : Acer 7630 + LinuxMint 19.3
à venir HP Probook + Fedora 39
actuellement en service : Acer 7630 + LinuxMint 19.3
à venir HP Probook + Fedora 39
-
patoo45
- Messages : 199
- Enregistré le : 04 janv. 2021 11:46
- Localisation : 45800 - Saint Jean de Braye
Re: moins d'applis Google sur vos smartphones Android (2)
Pour le navigateur GPS, j'utilise Osmand
Et pour les contacts et l'agenda, j'utilise ceux disponible avec Zaclys, en utilisant l'application Android Davx
Et pour les contacts et l'agenda, j'utilise ceux disponible avec Zaclys, en utilisant l'application Android Davx
Re: moins de Google dans votre smartphone Android
Hello,
Merci de cette indication.
Pour l'instant, j'ai mis en place Magic Earth, qui est très fort sur le plan technique. Je dirais "équivalent à Google Maps", mais comme j'ai rarement utilisé celui-ci, la comparaison est difficile.
Mais je viens de télécharger OSMand pour voir à l'usage ce que ça donne.
Merci de cette indication.
Pour l'instant, j'ai mis en place Magic Earth, qui est très fort sur le plan technique. Je dirais "équivalent à Google Maps", mais comme j'ai rarement utilisé celui-ci, la comparaison est difficile.
Mais je viens de télécharger OSMand pour voir à l'usage ce que ça donne.
JLG
actuellement en service : Acer 7630 + LinuxMint 19.3
à venir HP Probook + Fedora 39
actuellement en service : Acer 7630 + LinuxMint 19.3
à venir HP Probook + Fedora 39
Re: moins de Google dans votre smartphone Android
Salut Glenic,
Merci pour ce post, je me permets quelques précisions.
L'APK est disponible au lien suivant sous l'encart "Danger Zone" : https://signal.org/android/apk/
En revanche, ce qu'il faut savoir c'est que cet APK fourni par Signal contient tout de même les dépendances de Google (GMS et Firebase). Ainsi, s'il est installé directement à partir de l'APK sur un téléphone où les Play Services sont disponibles, Signal utilisera donc Firebase Cloud Messaging (FCM) de Google pour délivrer les notifications. Lorsqu'on utilise cet APK sur un téléphone dépourvu des Play Services, ces dépendances Google sont inactives et Signal utilise une autre technique pour les notifications appelée "websocket". Elle implique une connexion permanente de l'application en arrière-plan pour recevoir les notifications et est donc plus gourmande en batterie.
Si l'on veut vraiment pouvoir utiliser Signal sans binaires Google dedans sans avoir à changer l'OS du téléphone (/e/ ou LineageOS), il faut utiliser un fork de Signal qui est disponible ici : https://www.twinhelix.com/apps/signal-foss/
Le développeur fournit même un dépôt que l'on peut ajouter à F-Droid pour installer et mettre à jour plus facilement l'application. C'est toutefois sans garantie, pour l'instant ce fork est maintenu et suit les màj de Signal, mais ça peut s'arrêter du jour au lendemain...
Personnellement, j'ai installé Signal depuis le Play Store, je sais qu'ils ont minimisé à fond la collecte de données de Firebase et qu'ils chiffrent tout entre leurs serveurs et Firebase. Par conséquent Google sait seulement qu'il doit acheminer du contenu venant des serveurs de Signal vers mon téléphone, mais il n'a aucune possibilité de savoir de quoi il s'agit en détail ni de qui ça provient. La seule chose qu'il sait c'est qu'il faut envoyer une notification vers mon appareil à tel moment (ça m'empêche pas de dormir).
Quant aux permissions, tu vois un nombre élevé d'autorisations parce qu'Exodus analyse l'APK et notamment le fichier AndroidManifest.xml (qui est obligatoire dans toute application Android). Exodus relève donc les permissions telles qu'elles sont exprimées dans ce fichier, c'est-à-dire en "vue développeur".
Pour éviter de perdre l'utilisateur en lui demandant trop, Android regroupe les permissions par catégorie (téléphone, stockage, appareil photo, contacts, sms, localisation). Tu dis "oui" ou "non" par catégorie. En réalité c'est plus fin que ça. Par exemple, le développeur pour "Appareil photo" doit dire si l'application a seulement besoin de photos ou de vidéos donc lui il devra décrire deux autorisations dans AndroidManifest.xml. Toi tu verras seulement "autorisation appareil photo" mais peut-être que le développeur lui a restreint aux seules photos et n'a pas demandé la possibilité d'enregistrer des vidéos. C'est valable avec tout : la localisation, les contacts, les SMS. Les utilisateurs râleraient si on leur faisait valider manuellement 100 autorisations !
Google exige donc des développeurs qu'ils détaillent finement les autorisations nécessaires avant de publier une application.
Pour les services Samsung, malheureusement c'est comme les Play Services, ce sont des composants de l'OS qui font le lien avec plein de choses très interdépendantes, si tu cherches à les supprimer ou à les désactiver (impossible sans root la plupart du temps) tu vas au devant de gros problèmes...L'OS deviendra instable !
- Firefox et Bitwarden installés depuis le Play Store contiennent Google Firebase, mais en soit Firebase n'est qu'une infrastructure on peut faire un monstre de collecte de données où se contenter d'usages techniques (notifications, automatisation, analyse de crashs). Firefox et Bitwarden sont dignes de confiance donc je n'ai aucun doute sur le fait qu'ils aient minimisés la collecte de données.
Bitwarden fournit d'ailleurs un APK sans les dépendances Google et un dépôt F-Droid pour l'installer et le mettre à jour. Voici le lien : https://mobileapp.bitwarden.com/fdroid/
En revanche, sans Firebase Messaging, tu perds les notifications push et la synchronisation automatique du coffre (faudra faire manuellement).
Pour Firefox, tout est très bien expliqué ici : https://support.mozilla.org/en-US/kb/ho ... se-firefox
Si tu désactives la collecte de données, tu vas limiter drastiquement tout ce qui remonte vers Google Firebase et dans Mozilla Telemetry, mais le Firebase Cloud Messaging sera toujours actif. Si vraiment, c'est gênant on doit pouvoir trouver des forks sans ces dépendances, mais je pense que Mozilla n'en fournit pas directement.
Une dernière précision : même après avoir installé les versions sans dépendances Google, il se peut qu'Exodus t'affiche toujours "Google Firebase" comme pisteur. Exodus Privacy ne fait pas une analyse fine des APK installés sur ton téléphone en particulier. Il compare les applications installées sur ton tél avec sa base de données (la plupart du temps c'est donc les APK du Play Store qui lui ont été fournis pour analyse).
Merci pour ce post, je me permets quelques précisions.
Signal pour Android peut directement être téléchargé depuis le site officiel. On peut donc éviter de passer par le Play Store ou par Aurora Store.Glenic a écrit : ↑14 mai 2021 13:15 5) la messagerie instantanée -> Signal
Problème : Signal n'est pas disponible sur F-Droid, ni en téléchargement direct pour Android sur le site. On contourne ce problème en installant Aurora Store, un autre "play-store" alternatif (voir le point 3bis). Signal est arrivé sur mon téléphone par ce biais.
L'APK est disponible au lien suivant sous l'encart "Danger Zone" : https://signal.org/android/apk/
En revanche, ce qu'il faut savoir c'est que cet APK fourni par Signal contient tout de même les dépendances de Google (GMS et Firebase). Ainsi, s'il est installé directement à partir de l'APK sur un téléphone où les Play Services sont disponibles, Signal utilisera donc Firebase Cloud Messaging (FCM) de Google pour délivrer les notifications. Lorsqu'on utilise cet APK sur un téléphone dépourvu des Play Services, ces dépendances Google sont inactives et Signal utilise une autre technique pour les notifications appelée "websocket". Elle implique une connexion permanente de l'application en arrière-plan pour recevoir les notifications et est donc plus gourmande en batterie.
Si l'on veut vraiment pouvoir utiliser Signal sans binaires Google dedans sans avoir à changer l'OS du téléphone (/e/ ou LineageOS), il faut utiliser un fork de Signal qui est disponible ici : https://www.twinhelix.com/apps/signal-foss/
Le développeur fournit même un dépôt que l'on peut ajouter à F-Droid pour installer et mettre à jour plus facilement l'application. C'est toutefois sans garantie, pour l'instant ce fork est maintenu et suit les màj de Signal, mais ça peut s'arrêter du jour au lendemain...
Personnellement, j'ai installé Signal depuis le Play Store, je sais qu'ils ont minimisé à fond la collecte de données de Firebase et qu'ils chiffrent tout entre leurs serveurs et Firebase. Par conséquent Google sait seulement qu'il doit acheminer du contenu venant des serveurs de Signal vers mon téléphone, mais il n'a aucune possibilité de savoir de quoi il s'agit en détail ni de qui ça provient. La seule chose qu'il sait c'est qu'il faut envoyer une notification vers mon appareil à tel moment (ça m'empêche pas de dormir).
L'application Magic Earth n'est pas opensource, mais elle utilise des services libres. Derrière cette application, il y a une société hollandaise. Ils indiquent ne conserver aucune information personnelle directement identifiante sur les utilisateurs dans leur politique de confidentialité. Ils fournissent également bcp de détails sur les données et leur durée de conservation ICIGlenic a écrit : ↑14 mai 2021 13:15 7) la navigation cartographique -> Magic Earth ou OSMand. Ce dernier est basé sur Open Street Map, la célèbre cartographie open-source.
Magic Earth n'est disponible que sur Aurora Store. Il est très performant mais on ne sait pas s'il vraiment open-source et il est difficile de savoir qui gère ce système.
OSMand est téléchargeable sur F-Droid. Il y a une version "+" qui est payante.
Exodus Privacy est une excellente application, toutefois il faut garder deux choses à l'esprit pour bien comprendre et interpréter ses résultats. En dépit de la terminologie connotée très péjorativement de "Pisteurs", tous ces éléments ne sont pas à mettre à la même enseigne. Pisteur ou Traceurs sont des termes techniques, mais ils existent des pisteurs/traceurs vertueux qui n'ont pas pour vocation de dérober des données personnelles, mais simplement de permettre aux développeurs d'améliorer l'application, de comprendre pourquoi elle dysfonctionne dans un contexte donné. Le problème n'est donc pas qu'il y ait des pisteurs, mais bien que leur présence ne soit pas transparente vis-à-vis de l'utilisateur. Le développeur doit informer et éventuellement permettre à l'utilisateur soit de donner son consentement préalable soit de s'opposer à posteriori (si le consentement n'est pas légalement requis pour le traitement de données). Exodus doit être utilisé en ce sens pour déceler cela. Il est trop simple de considérer qu'une application qui contient 0 pisteurs est forcément honnête et réciproquement.Glenic a écrit : ↑14 mai 2021 13:15 8) Exodus privacy est une appli qui vous renseigne sur les traceurs (ou : pisteurs) qui sont contenus dans les applis qui se trouvent sur votre téléphone. Elle vous renseigne aussi sur les autorisations (= permissions) que votre téléphone accorde à ces applis. Intéressant, n'est-ce pas ?
Vous pouvez la télécharger sur F-Droid. Les résultats affichés sont parfois surprenants : on découvre ainsi des applis cachées qui ne sont pas listées dans le chapitre "paramètres" du téléphone.
Sur le Samsung S 7, il y a :
- Android System Webview (source = Google) : heureusement => zéro pisteur, mais quand même 2 autorisations
- ANT Radio service (source = Google) : heureusement => zéro pisteur, mais quand même 7 autorisations
- ANT+ Plugins service (source = Google) : 3 pisteurs, mais cette fois-ci zéro autorisation
- Samsung Experience service : 1 pisteurs et 99 autorisations ! ! Comment le désinstaller ? ou au moins comment le désactiver ?
- Samsung Push service : 1 pisteur et 18 autorisations ! ! Comment le désinstaller ? ou au moins comment le désactiver ?
Quant aux permissions, tu vois un nombre élevé d'autorisations parce qu'Exodus analyse l'APK et notamment le fichier AndroidManifest.xml (qui est obligatoire dans toute application Android). Exodus relève donc les permissions telles qu'elles sont exprimées dans ce fichier, c'est-à-dire en "vue développeur".
Pour éviter de perdre l'utilisateur en lui demandant trop, Android regroupe les permissions par catégorie (téléphone, stockage, appareil photo, contacts, sms, localisation). Tu dis "oui" ou "non" par catégorie. En réalité c'est plus fin que ça. Par exemple, le développeur pour "Appareil photo" doit dire si l'application a seulement besoin de photos ou de vidéos donc lui il devra décrire deux autorisations dans AndroidManifest.xml. Toi tu verras seulement "autorisation appareil photo" mais peut-être que le développeur lui a restreint aux seules photos et n'a pas demandé la possibilité d'enregistrer des vidéos. C'est valable avec tout : la localisation, les contacts, les SMS. Les utilisateurs râleraient si on leur faisait valider manuellement 100 autorisations !
Google exige donc des développeurs qu'ils détaillent finement les autorisations nécessaires avant de publier une application.
Pour les services Samsung, malheureusement c'est comme les Play Services, ce sont des composants de l'OS qui font le lien avec plein de choses très interdépendantes, si tu cherches à les supprimer ou à les désactiver (impossible sans root la plupart du temps) tu vas au devant de gros problèmes...L'OS deviendra instable !
Je reprends du coup la logique précédente :
- Firefox et Bitwarden installés depuis le Play Store contiennent Google Firebase, mais en soit Firebase n'est qu'une infrastructure on peut faire un monstre de collecte de données où se contenter d'usages techniques (notifications, automatisation, analyse de crashs). Firefox et Bitwarden sont dignes de confiance donc je n'ai aucun doute sur le fait qu'ils aient minimisés la collecte de données.
Bitwarden fournit d'ailleurs un APK sans les dépendances Google et un dépôt F-Droid pour l'installer et le mettre à jour. Voici le lien : https://mobileapp.bitwarden.com/fdroid/
En revanche, sans Firebase Messaging, tu perds les notifications push et la synchronisation automatique du coffre (faudra faire manuellement).
Pour Firefox, tout est très bien expliqué ici : https://support.mozilla.org/en-US/kb/ho ... se-firefox
Si tu désactives la collecte de données, tu vas limiter drastiquement tout ce qui remonte vers Google Firebase et dans Mozilla Telemetry, mais le Firebase Cloud Messaging sera toujours actif. Si vraiment, c'est gênant on doit pouvoir trouver des forks sans ces dépendances, mais je pense que Mozilla n'en fournit pas directement.
Une dernière précision : même après avoir installé les versions sans dépendances Google, il se peut qu'Exodus t'affiche toujours "Google Firebase" comme pisteur. Exodus Privacy ne fait pas une analyse fine des APK installés sur ton téléphone en particulier. Il compare les applications installées sur ton tél avec sa base de données (la plupart du temps c'est donc les APK du Play Store qui lui ont été fournis pour analyse).