Hey,
Voilà, tout est prêt, et je vous joint cette énorme notice écrite pour l'occasion! À ce propos je compte la partager publiquement, bien évidemment sans vous nommer. Dites moi ce que vous en pensez!
Le code de déverrouillage actuel est indiqué dans le corps du mail. Pensez à le changer :) Quelques infos utiles ici: https://telmob.0id.org/fr:parametres (ce wiki n'est pas très jour concernant les dernières version d'Android et dérivées, notamment rapport au chiffrement, qui est vraiment mieux sur les systèmes modernes (comme c'est le cas ici, GrapheneOS est basé sur Android 14).
# Le système d'exploitation (OS)
Le système d'exploitation est GrapheneOS: https://grapheneos.org Ce système d'exploitation est une version modifiée d'Android. L'équipe de développement fait son maximum pour réduire la surface d'attaque (en améliorant le système Android d'origine), et propose plus d'options utiles pour améliorer la sécurité et la vie privée. Mais gardons en tête qu'aucun système informatique n'est infaillible, car aucun⋅e humain⋅e n'est infaillible, or toutes ces choses sont fabriquées par des humain⋅e⋅s. Donc comme d'habitude, des bugs sont sans aucun doute possible présents et une appli malveillante ou une autre forme d'attaque malveillante pourrait parvenir à contourner les mécanismes de sécurité, ou à faire à peu près n'importe quoi sur le téléphone. Ça vaut pour chacune des options proposées, qui parfois donnent une illusion de sécurité et nous amènent à faire nous-même plus d'erreurs. Le Guide d'autodéfense numérique parle aussi d'autres illusions de sécurité: https://guide.boum.org/hors-connexions-comprendre-illusions-de-securite.html
GrapheneOS bénéficiera d'au moins une mise-à-jour par mois. Il est important de l'appliquer dès que possible et redémarrer le téléphone si l'Updater le demande.
# Des paramètres de l'OS
Tous ces réglages sont modifiables en allant dans Paramètres et en cherchant un peu
- Le mode avion est activé, mais on ne peut pas empêcher sa réactivation. Le bouton d'accès rapide “Internet” (dans le volet des notifications) ouvre un menu permettant d'activer le WiFi, mais affichant aussi un bouton pour désactiver le mode avion. Il faut donc faire attention à ne pas le cliquer par mégarde :) - Graphene inclus un changement automatique d'adresse MAC pour le WiFi, mais par défaut l'adresse reste la même pour un réseau WiFi donné (mais est différente lors des scans et change d'un réseau WiFi à l'autre). C'est possible de changer ça (donc adresse MAC aléatoire à chaque connexion) depuis les “Options pour les développeurs” (c'est un menu caché facile à trouver (demander a internet si besoin)) - Le micro et la caméra sont désactivés par défaut: si une appli demande l'accès le système demande une confirmation. Il y des boutons de blocage/déblocage rapide dans le volet des notifications (et l'OS peut aussi demander directement) - Lorsque l'écran est verrouillé, les notifications n'affichent pas le contenu sensible - Le redémarrage automatique est activé après 4h sans déverrouillage. La conséquence c'est que certaines applis attendront un déverrouillage pour se relancer, mais c'est aussi une épaisseur supplémentaire de sécu… Ça se règle dans Paramètres → Sécurité → Auto reboot. N'empêche pas l'utilisation de réveils. - Les périphériques USB sont bloqués. En théorie ça rend plus complexe l'exploitation de failles USB permettant l'extraction des données du tel (ce que fait l'UFED de Cellebrite, par exemple). Ça se règle dans Paramètres → Sécurité → USB peripherals - Le clavier de déverrouillage est disposé aléatoirement à chaque fois. Paramètres → Sécurité → Scramble PIN input layout - L'épinglage d'applications est autorisé. Ça permet d'ouvrir une appli et de l'épingler afin qu'il ne soit pas possible (théoriquement, comme d'hab) d'en sortir sans entrer le code de déverrouillage du tel. ATTENTION à ne pas y mettre une confiance aveugle: certaines applis peuvent ouvrir d'autres applis, parfois contournant ce système (comme c'est le cas pour l'appli Fossify Galerie par exemple, d'où l'intérêt d'utiliser l'appli Galerie par défaut de GrapheneOS). Pour épingler une appli, on affiche la liste des applis ouvertes (petit swipe de tout en bas vers le haut, stick there a second), puis on clique sur l'icone de l'appli, “Épingler”. Voir Paramètres → Sécurité → Autres paramètres de sécurité → Épinglage d'application - Il y a un “Tableau de bord Confidentialité” dans Paramètres → Confidentialité, c'est utile pour voir quelle appli demande à accéder à quoi. - Lors de l'installation d'une appli demandant la permission d'accès au réseau (Network access), il est possible de le lui interdire. Parfois on va vite et on se rend pas compte qu'on a oublié de l'autoriser, auquel cas il faut faire un appui long sur son icone → Infos sur l'appli → Autorisations - L'écran se verrouille automatiquement après 1 minute d'inactivité. Voir Paramètres → Affichage → Délai de mise en veille de l'écran. Le menu “Écran de verrouillage” a aussi plusieurs options intéressantes - Le mode nuit (“Éclairage nocture”) est activé, il y a une pastille d'accès rapide dans le volet des notifications
Il n'y a pas de services Google, donc les notifications des applis non-libres peuvent arriver plus tard voire nécessiter de fermer et rouvrir l'appli. Il est possible de les installer depuis l'appli Apps (fournie par GrapheneOS), voir plus bas.
# Les applis
Sur l'écran d'accueil, j'ai classé les applis par catégorie: Communication (Signal, SMS, Contacts, …), Configuration et sécurité (Wasted, Scrambled Exif, RiseupVPN), Magasins d'applis (F-Droid, Aurora Store, Apps), Web (Mull, Vanadium, Tor Browser), Photos & Vidéos (Caméra, Galerie, Newpipe, VLC).
- L'application RiseupVPN est installée, démarre automatiquement, et toute connexion sera bloquée si l'appli n'est pas connectée. Il est possible d'utiliser une autre appli de VPN, comme ProtonVPN ou Mullvad (disponibles dans F-Droid). Ne pas oublier de s'assurer que les connexions sont bloquées si le VPN n'est pas actif! Paramètres → Réseau et Internet → VPN → Icone d'engrenage. C'est l'option “VPN permanent” qui permet de s'assurer qu'il est bien lancé au démarrage, et l'autre option fait bien ce qu'elle dit :) Ne pas oublier non-plus que notre fournisseur de VPN connait la liste des sites web qu'on visite (sans en voir le contenu des échanges)
- Wasted permet quelques trucs sympas, mais est risqué. Si on l'active, il déclenche au choix:
- une notification (pour tester son fonctionnement);
- l'effacement des données du téléphone (plus particulièrement, l'effacement du profil dans lequel est installé Wasted);
- la suppression des données eSIM
Le déclenchement peut se faire de plusieurs manières:
- Pastille d'accès rapide du volet des notifications
- Fausse appli de messagerie
- Code secret apparaissant dans une notification (qu'on peut envoyer par sms par exemple)
- Écran non déverrouillée pendant une durée déterminée
- Branchement d'un périphérique USB…
- Faux code de déverrouillage (en association avec l'appli Duress)
La configuration de Wasted nécessite un temps d'apprentissage et des tests sur un téléphone dédié, ainsi qu'une augmentation du risque d'erreur humaine, ça vaut donc le coup de bien se poser la question avant de l'utiliser.
Si on utilise pas Wasted, il vaut mieux le désinstaller: sa présence pourrait faire croire aux keufs qu'on cache quelque chose, ou plus simplement on pourrait faire une fausse manip et perdre ses données.
- ScrambledExif supprime les métadonnées. Pour l'utiliser, on choisit une ou plusieurs photos ou autre document à nettoyer, puis on utilise le bouton Partage (différent pour chaque appli). On choisit alors Scrambled Exif, qui nettoie les métadonnées et nous affiche de nouveau l'écran de partage. On peut alors partager le document avec l'appli de notre choix. Pour supprimer les métadonnées et enregistrer l'image, il faut partager avec “Gestionnaire de fichiers”
- Hypatia est un scanner de malware. Il télécharge régulièrement des signatures de malwares et analyse le système à la recherche de signatures connues. J'ai accepté les autorisations demandées et activé les options suivantes: activé toutes les bases de données, activé Scanner en temps réel, activé Scanner /system. Développé par l'équipe de DivestOS. https://github.com/Divested-Mobile/Hypatia/blob/stable/README.fr.md
- Gestionnaire de fichiers: c'est une appli de la suite Fossify (https://www.fossify.org, toutes sont dispo gratos dans F-Droid). Elle a quelques fonctionnalités qui manquent à l'appli de gestion de fichiers de base (appelée Fichiers). Il est déconseillé de supprimer ou désactiver l'application Fichiers de base car certains composants du système en dépendent
- F-Droid est le magasin d'applis ne proposant que des applis opensource. Opensource ne veut pas dire “sécurisé” ni même “digne de confiance”, mais simplement que l'accès à la recette de fabrication est possible. Sa modification et sa distribution dépendent de la license de l'application (voir “Logiciels propriétaires, open source, libres” sur https://guide.boum.org/hors-connexions-comprendre-illusions-de-securite.html#hors_connexions-comprendre-illusions_de_securite-logiciels_libres). C'est le premier endroit où chercher des applis à installer. C'est aussi ici que la plupart des mises-à-jour des applis devront être installées. Parfois ça bug un peu, il faut recharger les dépôts (glisser vers le bas quand on est sur l'onglet Nouveautés), ou parfois fermer l'appli, ou même redémarrer le tel. Rien de bien méchant!
- Apps est le gestionnaire d'applis intégrées à GrapheneOS. On y trouve les quelques applis de base développées par l'équipe de GrapheneOS, ainsi que les Google Play services. Si l'on a besoin des Google Play services, on peut installer l'appli “Google Services Framework”, pas besoin d'installer le Play Store (puisqu'il requiert de toutes façons un compte Google, alors que Aurora Store le remplace efficacement
- Aurora Store est donc une interface libre à Google Play. Elle permet de télécharger et installer les applis présentes dans Google Play Store sans avoir à installer l'appli éponyme (lol je pensais pas un jour placer ce mot!) ni se connecter à un compte Google. Au lancement Aurora peut nous demander la manière dont on souhaite se connecter, choisir “Anonyme” et réessayer plusieurs fois jusqu'à ce que ça marche
- Mull est un navigateur web basé sur Firefox, mais amélioré par l'équipe de DivestOS (un autre OS stylé basé sur Android), il y a aussi un raccourci Navigation Privée (je conseille de n'utiliser que celui-ci). Y installer l'extension UBlock Origin pour bloquer les pubs
- Vanadium est un navigateur web basé sur Chromium (développé par Google et servant de grosse base à Google Chrome). Certaines personnes préfèrent Firefox, d'autres Chromium. Pour ma part je suis team Firefox, mais à vous de voir! (Donc ici, le choix revient à Mull ou Vanadium)
- Tor Browser, le Navigateur Tor
- Signal est installé depuis le site web: https://signal.org/android/apk Le fingerprint affiché sur la page de téléchargement a été comparé depuis plusieurs circuits Tor différents et plusieurs navigateurs, le niveau de confiance est donc censé être équivalent à une installation depuis Google Play (et pour ma part je préfère le faire comme ça, et de toutes façons, il n'y a pas Google Play sur le tel :p)
- Camera est l'appli d'appareil photo, vidéo et QR-code fournie par GrapheneOS. Elle fait très bien le taf et est même un peu plus sécurisée que l'appli officielle d'Android, notamment car elle n'enregistre pas de métadonnées pour les photos (autant que possible, en tous cas, les rayures sur l'objectif ne peuvent par exemple pas être enlevées). Il semble que ça ne soit pas autant le cas pour les vidéos, à tester (de toutes façons les vidéos c'est toujours un peu chiant à cleaner)
- La Galerie par défaut est tout ce qu'il y a de plus basique. L'appli Fossify Gallery est vraiment bien aussi
- VLC pour mater des vids et écouter du son
- Newpipe est un client Youtube, SoundCloud et autres extrêmement bien, avec possibilité de s'abonner sans compte Youtube, télécharger vidéos et audio, lire en arrière plan, …
Instagram n'est pas installé, je vous laisse faire ça depuis Aurora Store :)
Enfin, comme déjà dit, pour des applis simples et fonctionnelles il existe la suite Fossify: Gallery, Draw, Music Player, Voice Recorder, Keyboard, et d'autres.
Les applis auront de très nombreuses mises-à-jour, qu'on doit appliquer une par une dans F-Droid et dans Aurora Store (malheureusement il n'est pas toujours possible d'automatiser les mise à jour). C'est aussi très important de les installer! Dans F-Droid il est possible de vérifier les mises à jour manuellement, dans l'onglet Nouveautés, swipe down (j'ai aucune idée de comment dire ça en français).
Vous pouvez trouver une liste d'applis ici (pas hyper hyper à jour cette liste mais c'est déjà cool) : https://telmob.0id.org/fr:applications Et quelques conseils personnels d'applis disponibles dans F-Droid: - Emails: K9 Mail - XMPP/Jabber (si jamais): Conversations - Lire des eBooks: Librera Reader - Visioconf: Jitsi - Widget Calendrier: Fossify Calendar (la version F-Droid est la version “pro”), de la suite d'applis Fossify - Notes (avec widget): Fossify Notes, de la même suite - Cartes: Organic Maps
Enfin, on peut vouloir utiliser l'appli Insular pour avoir un profil “normal” et un profil “pro”, qui ne partagent rien. On peut ainsi séparer (un peu) des usages. Mais ça mériterait une longue discussion :)
Pour finir, comment faire des sauvegardes? GrapheneOS propose un système de backup, pas totalement au point mais c'est le mieux qu'on a. Ça se passe dans Paramètres → Système → Sauvegarde. Il y a peu de documentation sur le sujet mais j'ai trouvé que les options étaient assez claires. Aussi il est toujours possible de faire des sauvegardes manuelles si besoin! À vous de voir :)