1 an sous GrapheneOS : compatibilité, sécurité et vie privée le bonheur quoi !

[maxoxo]

Bonsoir à tous,

Il était temps que j'en parle et que je fasse un petit retour sur GrapheneOS que j'utilise maintenant depuis plus d'un an sur mon Pixel 6. Je ne vais pas décrire ici toutes les améliorations ou toute la technique, je vais me concentrer sur l'essentiel avec cet OS.

Mon cheminement

J'en ai testé des OS (ROM alternatives) pour Android. J'ai essayé LineageOS sans aucun service Google, puis e/OS/, puis LineageOS avec microG, puis LineageOS avec OpenGApps. Malheureusement, rien ne m'a convaincu. Il y avait toujours des bugs, des applications qui ne fonctionnaient pas. Des soucis de fonctionnalités ou de sécurité. Typiquement, avoir des services qui tournent avec des droits privilégiés sur la machine m'a toujours dérangé, le fait de devoir avoir un bootloader déverrouillé aussi. D'ailleurs, aujourd'hui de nombreuses applications sensibles refusent de fonctionner lorsque c'est le cas, puis le téléphone ne peut pas passer les contrôles SafetyNet ou Play Integrity API quand le bootloader est déverrouillé.

Mon application bancaire par exemple qui m'avait contraint à un retour en arrière. Je relate tout cela dans le post suivant qui date de 2021 : viewtopic.php?t=88

Mars 2022 à la découverte de GrapheneOS

En mars 2022, je cède. Je décide de remplacer mon OnePlus 5T après 5 ans de bons et loyaux services par un Google Pixel 6 afin de pouvoir installer GrapheneOS un projet que je suivais depuis des mois. Et là, je dois dire que je n'ai pas été déçu. L'OS répond enfin à tous mes besoins : performance, sécurité, ergonomie. Aucune fioriture, aucun service inutile. C'est la perfection !

Qu'est-ce que GrapheneOS ?

GrapheneOS est un OS mobile basé sur Android orienté sécurité et vie privée. Son leader technique, Daniel Micay est un expert en cybersécurité reconnu qui a aussi beaucoup apporté au noyau Linux. GOS n'est disponible que sur les Google Pixel. Certains pointent souvent l'ironie de cette situation, mais il y a plusieurs explications à cela :

GrapheneOS n'a rien à avoir avec Google et n'a aucun lien avec eux. Il se fonde uniquement sur Android Open Source Project (AOSP) qui est maintenu en effet par Google et par la communauté. Cette base ne contient aucun service propriétaire de Google, c'est vérifiable et vérifié. AOSP est la base d'Android avant que le constructeur ne rajoute ses surcouches (OneUI chez Samsung, MIUI chez Xiaomi, Pixel Experience chez Google) et que les services propriétaires de Google (GSF, GMS) soient inclus en vue d'une distribution commerciale du téléphone. Ces derniers vous les connaissez bien, il s'agit du Play Store et de la galaxie de services Google.

Ce qui a été constaté c'est qu'à l'origine AOSP vient avec un très bon modèle de sécurité, mais les constructeurs ont tendance à le casser pour ajouter leur surcouche. Tous sauf un : Google lui-même et c'est logique puisque le Pixel sert de base aux développements d'AOSP. Partant de là, il est objectivement techniquement beaucoup plus simple de développer GrapheneOS uniquement pour les Pixel sur lesquels le hardware et le software sont construits de façon cohérente. Sans compter que ces appareils ont 5 ans de mises à jour garanties.

GrapheneOS se contente donc de reprendre la base AOSP qu'il va durcir avec plein d'améliorations techniques de sécurité. Le noyau linux va être durci, les applications sont mieux isolées, la mémoire est protégée contre les fuites, on un a chiffrement au niveau fichier au top. La gestion des permissions est très complète. Enfin, côté vie privée, GrapheneOS dispose de plein d'améliorations et notamment le retrait de toutes les parties "non visibles de Google dans Android" comme par exemple le test de connectivité qui sur tous les téléphones du marché se fait en contactant les serveurs de Google...

L'installation

Il se trouve que l'installation de l'OS est extrêmement facile. Pas de commandes ADB compliquées à entrer, pas de manipulations alambiquées pour déverrouiller bootloader, installer un recovery alternatif puis installer l'OS alternatif. Non ici, il suffit d'activer les options développeur (en tapant 8 fois sur numéro de build dans Paramètres > "À propos du téléphone"). On active le "déverrouillage OEM" puis on branche le Pixel à un PC, ensuite il suffit de se rendre sur le site de GrapheneOS et de cliquer sur les différents boutons à chaque étape. Tout est guidé, automatisé et se fait sans encombre.

À la fin, on peut même reverrouiller le bootloader ! C'est très important pour la sécurité, LineageOS et e/OS/ ne le permettent pas et c'est plutôt dangereux...

Premier démarrage puis installation des services Google dans une sandbox !

GrapheneOS démarre, nous avons donc un OS qui n'a aucun service Google, ni aucune alternative à ceux-ci. Pas de GSF, pas de GMS. Pas d'émulation bancale et peu sécurisée comme le propose le logiciel libre microG (c'est pas parce que c'est libre que c'est forcément bien..). Ici nous avons une expérience Android minimale et épurée de tout service superflu. On peut bien sûr utiliser Vanadium, le navigateur basé sur Chromium à la sécurité renforcée de GrapheneOS pour aller télécharger directement quelques APK comme F-Droid.

Si l'on a besoin d'installer les services propriétaires de Google on peut le faire de façon très simple. GrapheneOS propose son marché sobrement intitulé "Apps" il permet en quelques clics d'installer au choix, le GSF seul ou une implémentation minimale du GMS (Play Store + GSF). Oui, mais attention, ce ne sera pas comme sur un téléphone constructeur. Il y a une subtilité qui CHANGE TOUT !

Les services Google Play installés dans GrapheneOS sont isolés dans une sandbox : ils ne sont pas privilégiés et sont traités comme n'importe quelle application utilisateur. Cela fait toute la différence avec la situation que l'on connaît sur les téléphones du commerce où les applications Google Play sont des applications système privilégiées (qui tournent en root). Vous ne pouvez pas les désinstaller, pas les désactiver et encore moins les retreindre. Sur GrapheneOS on peut faire tout ça ! On peut bloquer toutes les permissions des applications Google. Cela permet par exemple d'utiliser les excellents GBoard (clavier), Google Photos (Galerie) ou encore Google Camera (appareil photo) tout en leur coupant tout accès réseau afin d'empêcher une remontée d'information vers Google. Ce n'est pas tout, GrapheneOS empêchera systématiquement toute remontée d'information matérielle ou logicielle non souhaitée vers Google.

Par exemple, la localisation, certaines applications vont utiliser l'API de localisation de Google Play et donc remonter votre localisation à Google. GrapheneOS inclut un mécanisme permettant de duper l'application lui faisant croire qu'elle utilise l'API de localisation de Google alors qu'en fait elle utilise seulement la puce GNSS du téléphone (la localisation ne remonte donc pas chez Google par ce biais).

Plutôt que de perdre son temps à essayer d'imiter les Play Services ou le Play Store en prenant des risques de sécurité et de compatibilité. GrapheneOS a fait le choix de permettre son exécution mais dans un contexte sécurisé. Cela permet donc de rendre GrapheneOS compatible avec tout ou presque. Ainsi toutes les applications habituelles fonctionnent sans broncher.

Seuls les services nécessitant d'exécuter du code privilégié ne fonctionneront pas avec GrapheneOS. Ce sera donc le cas de Google Pay (paiement CB par smartphone) ou d'Android Auto.

Enfin, j'ajoute que parce que les services Google Play sont ici une application utilisateur comme une autre, il est possible de les isoler sur un profil secondaire. C'est-à-dire que l'on peut utiliser au quotidien un profil principal sans aucun service Google en arrière plan et switcher au besoin sur le profil secondaire contenant les services Google Play pour exécuter ponctuellement les applications auxquelles ils sont indispensables. Il y a un isolation très stricte entre les profils garantie par le chiffrement des fichiers avec des clés uniques à chaque profil. Comme Google Play n'est pas exécuté en mode privilégié, il ne peut pas savoir ce que fait l'autre profil ou récolter des données. Concrètement, sur GrapheneOS si l'on créé 4 profils avec les Play Services : Google voit 4 smartphones différents et ne peut pas tracer globalement les actions effectuées depuis le téléphone. Quel progrès !

Storage Scopes : la sécurité à un niveau très fin

La dernière fonctionnalité de sécurité que je souhaite présenter est Storage Scopes. Il s'agit d'un mécanisme de sécurité permettant de limiter l'accès des applications à des répertoires ou des fichiers précis. Android permet de manière générale de donner l'accès au stockage de fichiers ou seulement aux photos/vidéos. Le problème c'est que si l'on donne l'accès au stockage de fichiers on le donne pour l'ensemble. L'application pourra donc lire/écrire des données dans l'intégralité du stockage téléphone.

Grâce à Storage Scopes, on peut donc restreindre cette autorisation. On peut ainsi donner les droits uniquement sur un répertoire précis, voire sur des fichiers déterminés. L'application ne pourra donc accéder à aucune autre ressource que celles explicitement autorisées par l'utilisateur. C'est top niveau confidentialité et sécurité !

Conclusion

GrapheneOS est pour moi, le meilleur OS alternatif Android disponible. On a ici quelque chose qui concurrence largement iOS d'Apple sur l'aspect confidentialité/sécurité (voire le surpasse même dans certains domaines). Je ne regrette absolument pas d'avoir investi dans un Google Pixel. Certes ce n'est pas donné (650 € pour le Pixel 6 en mars 2022), mais j'ai un excellent téléphone sur le plan hardware, très performant avec un appareil photo de grande qualité. Je sais qu'il sera supporté pendant 5 ans et grâce à GrapheneOS j'ai un OS ultra sécurisé et très régulièrement mis à jour.

Je suis prêt à n'acheter que des Pixel tous les 5 ou 6 ans si ça me permet de continuer à utiliser ce merveilleux OS !

[Glenic1]

Merci pour cette présentation détaillée et enthousiaste !

Mais pour les débutants, l'installation réserve peut-être quelques subtilités.
Je conserve l'idée de passer au Pixel + GrapheneOS dans quelque temps.

[skol]

Merci maxoxo pour cette présentation enthousiaste et détaillée comme le dit Glenic je crois que je vais craquer ! cela fait un an que je prospecte, récemment j'ai failli acheter un Fairphone sur le site murena avec /e/os pour remplacer un très vieux smartphone.
J'essaierai de faire l'installation de GrapheneOS avec mes petits moyens techniques.

[skol]

Bonjour Maxoxo,
Suite à ta présentation enthousiaste, j'ai acheté un Google pixel 7 pro avec l'intention d'installer Graphene OS. Maintenant j'ai commencé l'installation et je suis bloquée au moment du déverrouillage du tel connecté à l'ordinateur : " aucun appareil compatible n'est connecté".
Je suis donc perdue, est ce possible que je passe à une réunion reboot pour sortir de cette mauvaise passe. Merci

[maxoxo]

Salut

Suite à ta présentation enthousiaste, j'ai acheté un Google pixel 7 pro avec l'intention d'installer Graphene OS.

Excellent choix matériel et logiciel !

Maintenant j'ai commencé l'installation et je suis bloquée au moment du déverrouillage du tel connecté à l'ordinateur : " aucun appareil compatible n'est connecté".
Je suis donc perdue, est ce possible que je passe à une réunion reboot pour sortir de cette mauvaise passe. Merci

Il n'y a pas de réunion en juillet/août Je vais plutôt te dépanner ici ou par un autre canal (si tu utilises Element/Matrix je peux t'envoyer mon ID en MP)

Pour commencer, peux-tu vérifier les étapes suivantes :
1. Utilises-tu bien un navigateur à base Chromium ? (Chromium, Brave, Google Chrome ) C'est un pré-requis, l'installateur web ne fonctionne pas avec Firefox
2. As-tu bien mis à jour le téléphone avant de tenter l'installation ? C'est important.
3. As-tu bien activer les options développeur et activer le déverrouillage OEM ? Voici comment faire :

3.1 Dans paramètres / À propos du téléphone / Trouver numéro de build et taper 7-8 fois dessus. Cela va activer les "options développeur" ;
3.2 Retour dans paramètres / Système / Options développeur et là tu actives "Déverrouillage OEM"

4./ Quelle distribution et environnement de bureau utilises-tu ? Si t'es sur Ubuntu/Mint, il faut que tu installes le paquet android-sdk-platform-tools-common.

Une fois que tu as vérifié tout ça, tu peux éteindre le téléphone puis l'allumer en mode Fastboot (maintenir Power + Volume moins). Ensuite tu peux le brancher et tenter l'aventure en appuyant sur les boutons que tu trouves ici : https://grapheneos.org/install/web#unlo ... bootloader

Attention, il faut faire les étapes dans l'ordre et laisser chaque étape se terminer avant de cliquer sur le bouton suivant. Il faut bien aller jusqu'à l'étape Lock Bootloader

Après, pour renforcer la sécurité tu peux refaire l'étape 3 en sens inverse pour désactiver le déverrouillage OEM. Pense ensuite à désactiver les options développeur.

Tiens moi au jus

[skol]

Merci Maxoxo, je vais répondre point par point :
1. Utilises-tu bien un navigateur à base Chromium ? (Chromium, Brave, Google Chrome ) C'est un pré-requis, l'installateur web ne fonctionne pas avec Firefox
Oui OK
2. As-tu bien mis à jour le téléphone avant de tenter l'installation ? C'est important.
Je viens de l'acheter, que signifie mis à jour du téléphone, version d'Android 13, c'est cela ?
3. As-tu bien activer les options développeur et activer le déverrouillage OEM ?
OK c'est fait
4./ Quelle distribution et environnement de bureau utilises-tu ?
Ubuntu 22.04.2 LTS
Une fois que tu as vérifié tout ça, tu peux éteindre le téléphone..
OK
puis l'allumer en mode Fastboot (maintenir Power + Volume moins).
OK c'est écrit dans le texte en bas à gauche de l'écran : "device state locked" ?? et dans le menu que doit on choisir ?: Start - Restart bootloader- Recovery mode - Rescue Mode - Bar code et reste power off.

Ensuite tu peux le brancher et tenter l'aventure en appuyant sur les boutons que tu trouves ici : https://grapheneos.org/install/web#unlo ... bootloader
J'aimerai bien ..
encore merci

[skol]

Suite de mon message précédent :

J'ai bien mis à jour le système. La version 13 Android est à jour

J'ai redémarré en fastboot et je me suis connectée auPC. J'ai cliqué sur "Dévérouiller le chargeur de démarrage" et j'ai obtenu cela :
Erreur : Échec de l'exécution de 'open' sur 'USBDevice' : Accès refusé.

????

[maxoxo]

Salut,

Erreur : Échec de l'exécution de 'open' sur 'USBDevice' : Accès refusé

OK ça ressemble à un problème lié à une politique de sécurité côté Ubuntu ça. En gros, Ubuntu empêche le navigateur d'accéder aux ports USB. Quel navigateur utilises-tu précisément ? Comment l'as-tu installé ? Je pense que si c'est un paquet snap (Ubuntu les proposant en priorité) ça ne va pas fonctionner car ces paquets sont très restreints en permissions.

Peux-tu essayer avec Brave ? En suivant la méthode indiquée ici pour l'installer ce navigateur

https://brave.com/linux/#release-channel-installation

[skol]

Bonsoir Maxoxo,
Merci merci j'ai avancé, mais je rencontre encore un problème.
Après avoir désinstallé Brave puis réinstallé en suivant le lien que tu avais proposé. J'ai fait "Download release" puis "Flash release" OK mais j'ai eu le message suivant : "Error : Failed to execute 'claiminterface' on 'USBDevice': Unable to claim interface". Je suis arrivée à lancer "GrapenOS" mais je n'arrive pas à "fermer le bootloader" ou "lock bootloader". Impossible via le PC de me reconnecter au smartphone en suivant la même méthode du début
Dommage. Espère que je n'ai rien fait de grave !
Cdlt et bonne soirée

[maxoxo]

Salut,

Tu ne peux pas lock le bootloader si l'OS est démarré. Il fait faire la manipulation quand tu es en mode fastboot.

1. Éteindre le téléphone
2. Allumer le téléphone en appuyant sur POWER et VOL-

Puis retenter les manips depuis Brave