Prochaine révision | Révision précédente |
fr:notice_graphene [2024/06/23 19:13] – créée mobtel | fr:notice_graphene [2025/07/02 00:06] (Version actuelle) – [Paramétrage d'un Pixel sous GrapheneOS] delmob |
---|
Hey, | ====== Notice pour installer et paramétrer GrapheneOS ====== |
| |
Voilà, tout est prêt, et je vous joint cette énorme notice écrite pour l'occasion! | GrapheneOS est une version modifiée du système d'exploitation Android (AOSP), basée sur la sécurité et la vie privée. Il peut être installé uniquement sur des téléphones Google Pixel ([[https://grapheneos.org/faq#supported-devices|voir liste ici]]) avec assez peu de connaissances techniques. |
À ce propos je compte la partager publiquement, bien évidemment sans vous nommer. Dites moi ce que vous en pensez! | |
| |
| ===== Le système d'exploitation (OS) ===== |
| |
Le code de déverrouillage actuel est indiqué dans le corps du mail. | GrapheneOS système d'exploitation est une version modifiée d'Android. L'équipe de développement fait son maximum pour réduire la surface d'attaque (en améliorant le système Android d'origine), et propose plus d'options utiles pour améliorer la sécurité et la vie privée. |
Pensez à le changer :) Quelques infos utiles ici: https://telmob.0id.org/fr:parametres (ce wiki n'est pas très jour concernant les dernières version d'Android et dérivées, notamment rapport au chiffrement, qui est vraiment mieux sur les systèmes modernes (comme c'est le cas ici, GrapheneOS est basé sur Android 14). | Mais gardons en tête qu'aucun système informatique n'est infaillible, car aucun⋅e humain⋅e n'est infaillible, or toutes ces choses sont fabriquées par des humain⋅e⋅s. Donc comme d'habitude, des bugs sont sans aucun doute possiblement présents et une application malveillante ou une autre forme d'attaque malveillante pourrait parvenir à contourner les mécanismes de sécurité, ou à faire à peu près n'importe quoi sur le téléphone. Ça vaut pour chacune des options proposées qui, parfois, donnent une illusion de sécurité et nous amènent à faire nous-même plus d'erreurs. Le Guide d'autodéfense numérique parle aussi [[https://guide.boum.org/hors-connexions-comprendre-illusions-de-securite.html|d'autres illusions de sécurité]]. |
| |
| GrapheneOS bénéficie d'au moins une mise-à-jour par mois. Il est important de l'appliquer dès que possible et redémarrer le téléphone si l'Updater le demande. |
| |
# Le système d'exploitation (OS) | ===== Installation de GrapheneOS ===== |
| |
Le système d'exploitation est GrapheneOS: https://grapheneos.org | Un guide d'installation et de paramétrage a été écrit sur le blog suivant : https://1312blogs.org/arg/installation-et-configuration-de-grapheneos |
Ce système d'exploitation est une version modifiée d'Android. L'équipe de développement fait son maximum pour réduire la surface d'attaque (en améliorant le système Android d'origine), et propose plus d'options utiles pour améliorer la sécurité et la vie privée. | |
Mais gardons en tête qu'aucun système informatique n'est infaillible, car aucun⋅e humain⋅e n'est infaillible, or toutes ces choses sont fabriquées par des humain⋅e⋅s. Donc comme d'habitude, des bugs sont sans aucun doute possible présents et une appli malveillante ou une autre forme d'attaque malveillante pourrait parvenir à contourner les mécanismes de sécurité, ou à faire à peu près n'importe quoi sur le téléphone. Ça vaut pour chacune des options proposées, qui parfois donnent une illusion de sécurité et nous amènent à faire nous-même plus d'erreurs. Le Guide d'autodéfense numérique parle aussi d'autres illusions de sécurité: https://guide.boum.org/hors-connexions-comprendre-illusions-de-securite.html | |
| |
GrapheneOS bénéficiera d'au moins une mise-à-jour par mois. Il est important de l'appliquer dès que possible et redémarrer le téléphone si l'Updater le demande. | On peut installer cet OS par [[https://grapheneos.org/install/web|USB + navigateur web (EN)]] ou [[https://grapheneos.org/install/cli|manuellement par lignes de commandes (EN)]] en utilisant un navigateur Chromium (Chomium, Vanadium, Brave...) et suivre les instructions sur les tutoriels. |
| |
| ===== Paramétrage d'un Pixel sous GrapheneOS ===== |
| |
# Des paramètres de l'OS | Les [[fr:parametres|conseils de paramétrages]] et [[fr:applications|conseils d'applications]] sont aussi valables sous Graphene. |
| |
//Tous ces réglages sont modifiables en allant dans Paramètres et en cherchant un peu// | //Tous les réglages ci-dessous sont modifiables en allant dans ⚙ Paramètres et en cherchant un peu.// |
| |
- Le mode avion est activé, mais on ne peut pas empêcher sa réactivation. Le bouton d'accès rapide "Internet" (dans le volet des notifications) ouvre un menu permettant d'activer le WiFi, mais affichant aussi un bouton pour désactiver le mode avion. Il faut donc faire attention à ne pas le cliquer par mégarde :) | - Le **mode avion** est activé, mais on ne peut pas empêcher sa réactivation. Le bouton d'accès rapide "Internet" (dans le volet des notifications) ouvre un menu permettant d'activer le WiFi, mais affichant aussi un bouton pour désactiver le mode avion. Il faut donc faire attention à ne pas le cliquer par mégarde :) |
- Graphene inclus un changement automatique d'adresse MAC pour le WiFi, mais par défaut l'adresse reste la même pour un réseau WiFi donné (mais est différente lors des scans et change d'un réseau WiFi à l'autre). C'est possible de changer ça (donc adresse MAC aléatoire à chaque connexion) depuis les "Options pour les développeurs" (c'est un menu caché facile à trouver (demander a internet si besoin)) | |
- Le micro et la caméra sont désactivés par défaut: si une appli demande l'accès le système demande une confirmation. Il y des boutons de blocage/déblocage rapide dans le volet des notifications (et l'OS peut aussi demander directement) | - Graphene inclut un **changement automatique d'adresse MAC pour le WiFi**, mais par défaut l'adresse reste la même pour un réseau WiFi donné (mais est différente lors des scans et change d'un réseau WiFi à l'autre). C'est possible de changer ça (donc adresse MAC aléatoire à chaque connexion) depuis "Options pour les développeurs" (cliquer 7 fois sur le Numéro de Build dans ⚙ Paramètres => À propos du téléphone"). |
- Lorsque l'écran est verrouillé, les notifications n'affichent pas le contenu sensible | |
- Le redémarrage automatique est activé après 4h sans déverrouillage. La conséquence c'est que certaines applis attendront un déverrouillage pour se relancer, mais c'est aussi une épaisseur supplémentaire de sécu… Ça se règle dans Paramètres → Sécurité → Auto reboot. N'empêche pas l'utilisation de réveils. | - Le **micro et la caméra sont désactivés par défaut** : si une appli demande l'accès le système demande une confirmation. Il y des boutons de blocage/déblocage rapide dans le volet des notifications (et l'OS peut aussi demander directement) |
- Les périphériques USB sont bloqués. En théorie ça rend plus complexe l'exploitation de failles USB permettant l'extraction des données du tel (ce que fait l'UFED de Cellebrite, par exemple). Ça se règle dans Paramètres → Sécurité → USB peripherals | |
- Le clavier de déverrouillage est disposé aléatoirement à chaque fois. Paramètres → Sécurité → Scramble PIN input layout | - Lorsque l'écran est verrouillé, les **notifications** n'affichent pas le contenu sensible. |
- L'épinglage d'applications est autorisé. Ça permet d'ouvrir une appli et de l'épingler afin qu'il ne soit pas possible (théoriquement, comme d'hab) d'en sortir sans entrer le code de déverrouillage du tel. ATTENTION à ne pas y mettre une confiance aveugle: certaines applis peuvent ouvrir d'autres applis, parfois contournant ce système (comme c'est le cas pour l'appli Fossify Galerie par exemple, d'où l'intérêt d'utiliser l'appli Galerie par défaut de GrapheneOS). Pour épingler une appli, on affiche la liste des applis ouvertes (petit swipe de tout en bas vers le haut, stick there a second), puis on clique sur l'icone de l'appli, "Épingler". Voir Paramètres → Sécurité → Autres paramètres de sécurité → Épinglage d'application | |
- Il y a un "Tableau de bord Confidentialité" dans Paramètres → Confidentialité, c'est utile pour voir quelle appli demande à accéder à quoi. | - Le **redémarrage automatique** est activé après 4h sans déverrouillage. La conséquence c'est que certaines applications attendront un déverrouillage pour se relancer, mais c'est aussi une épaisseur supplémentaire de sécurité… Ça se règle dans ⚙ Paramètres => Sécurité => Auto reboot. N'empêche pas l'utilisation de réveils. |
- Lors de l'installation d'une appli demandant la permission d'accès au réseau (Network access), il est possible de le lui interdire. Parfois on va vite et on se rend pas compte qu'on a oublié de l'autoriser, auquel cas il faut faire un appui long sur son icone → Infos sur l'appli → Autorisations | |
- L'écran se verrouille automatiquement après 1 minute d'inactivité. Voir Paramètres → Affichage → Délai de mise en veille de l'écran. Le menu "Écran de verrouillage" a aussi plusieurs options intéressantes | - Les **périphériques USB sont bloqués**. En théorie, ça rend plus complexe l'exploitation de failles USB permettant l'extraction des données du tel (ce que fait l'UFED de Cellebrite, par exemple). Ça se règle dans Paramètres => Sécurité => USB peripherals |
- Le mode nuit ("Éclairage nocture") est activé, il y a une pastille d'accès rapide dans le volet des notifications | |
| - Le **clavier de déverrouillage est disposé aléatoirement** à chaque fois. ⚙ Paramètres => Sécurité => Scramble PIN input layout |
| |
| - **L'épinglage d'applications** est autorisé. Ça permet d'ouvrir une appli et de l'épingler afin qu'il ne soit pas possible (théoriquement, comme d'hab) d'en sortir sans entrer le code de déverrouillage du tel. ATTENTION à ne pas y mettre une confiance aveugle : certaines applis peuvent ouvrir d'autres applis, parfois contournant ce système (comme c'est le cas pour l'appli Fossify Galerie par exemple, d'où l'intérêt d'utiliser l'appli Galerie par défaut de GrapheneOS). Pour épingler une appli, on affiche la liste des applis ouvertes (petit swipe de tout en bas vers le haut, stick there a second), puis on clique sur l'icone de l'appli, "Épingler". Voir ⚙ Paramètres => Sécurité => Autres paramètres de sécurité => Épinglage d'application |
| |
| - Il y a un "**Tableau de bord Confidentialité**" dans ⚙ Paramètres => Confidentialité, c'est utile pour voir quelle appli demande à accéder à quoi. |
| |
| - Lors de l'installation d'une application demandant la **permission d'accès au réseau** (Network access), il est possible de le lui **interdire**. Parfois, on va vite et on se rend pas compte qu'on a oublié de l'autoriser, auquel cas il faut faire un Appui long sur son icone => Infos sur l'appli => Autorisations |
| |
| - L'**écran se verrouille automatiquement après 1 minute** d'inactivité. Voir ⚙ Paramètres => Affichage => Délai de mise en veille de l'écran. Le menu "Écran de verrouillage" a aussi plusieurs options intéressantes. |
| |
| - Le **mode nuit** ("Éclairage nocture") est activé, il y a une pastille d'accès rapide dans le volet des notifications. |
| |
Il n'y a pas de services Google, donc les notifications des applis non-libres peuvent arriver plus tard voire nécessiter de fermer et rouvrir l'appli. Il est possible de les installer depuis l'appli Apps (fournie par GrapheneOS), voir plus bas. | Il n'y a pas de services Google, donc les notifications des applis non-libres peuvent arriver plus tard voire nécessiter de fermer et rouvrir l'appli. Il est possible de les installer depuis l'appli Apps (fournie par GrapheneOS), voir plus bas. |
| |
| |
# Les applis | ===== Les applis ===== |
| |
Sur l'écran d'accueil, j'ai classé les applis par catégorie: Communication (Signal, SMS, Contacts, …), Configuration et sécurité (Wasted, Scrambled Exif, RiseupVPN), Magasins d'applis (F-Droid, Aurora Store, Apps), Web (Mull, Vanadium, Tor Browser), Photos & Vidéos (Caméra, Galerie, Newpipe, VLC). | Sur l'écran d'accueil, on peut classer les applis par catégories : Communication (Signal, SMS, Contacts, …), Configuration et sécurité (Wasted, Scrambled Exif, RiseupVPN), Magasins d'applis (F-Droid, Aurora Store, Apps), Web (Mull, Vanadium, Tor Browser), Photos & Vidéos (Caméra, Galerie, Newpipe, VLC). |
| |
| |
- L'application RiseupVPN est installée, démarre automatiquement, et toute connexion sera bloquée si l'appli n'est pas connectée. Il est possible d'utiliser une autre appli de VPN, comme ProtonVPN ou Mullvad (disponibles dans F-Droid). Ne pas oublier de s'assurer que les connexions sont bloquées si le VPN n'est pas actif! Paramètres → Réseau et Internet → VPN → Icone d'engrenage. C'est l'option "VPN permanent" qui permet de s'assurer qu'il est bien lancé au démarrage, et l'autre option fait bien ce qu'elle dit :) //Ne pas oublier non-plus que notre fournisseur de VPN connait la liste des sites web qu'on visite (sans en voir le contenu des échanges)// | - L'application RiseupVPN est installée, démarre automatiquement, et toute connexion sera bloquée si l'appli n'est pas connectée. Il est possible d'utiliser une autre appli de VPN, comme ProtonVPN ou Mullvad (disponibles dans F-Droid). Ne pas oublier de s'assurer que les connexions sont bloquées si le VPN n'est pas actif ! ⚙ Paramètres => Réseau et Internet => VPN => Icone d'engrenage. C'est l'option "VPN permanent" qui permet de s'assurer qu'il est bien lancé au démarrage, et l'autre option fait bien ce qu'elle dit :) //Ne pas oublier non-plus que notre fournisseur de VPN connait la liste des sites web qu'on visite (sans en voir le contenu des échanges)// |
| |
- Wasted permet quelques trucs sympas, mais est risqué. Si on l'active, il déclenche au choix: | - Wasted permet quelques trucs sympas, mais est risqué. Si on l'active, il déclenche au choix: |
- Aurora Store est donc une interface libre à Google Play. Elle permet de télécharger et installer les applis présentes dans Google Play Store sans avoir à installer l'appli éponyme (lol je pensais pas un jour placer ce mot!) ni se connecter à un compte Google. Au lancement Aurora peut nous demander la manière dont on souhaite se connecter, choisir "Anonyme" et réessayer plusieurs fois jusqu'à ce que ça marche | - Aurora Store est donc une interface libre à Google Play. Elle permet de télécharger et installer les applis présentes dans Google Play Store sans avoir à installer l'appli éponyme (lol je pensais pas un jour placer ce mot!) ni se connecter à un compte Google. Au lancement Aurora peut nous demander la manière dont on souhaite se connecter, choisir "Anonyme" et réessayer plusieurs fois jusqu'à ce que ça marche |
| |
- Mull est un navigateur web basé sur Firefox, mais amélioré par l'équipe de DivestOS (un autre OS stylé basé sur Android), il y a aussi un raccourci Navigation Privée (je conseille de n'utiliser que celui-ci). Y installer l'extension UBlock Origin pour bloquer les pubs | - <del>Mull est un navigateur web basé sur Firefox, mais amélioré par l'équipe de DivestOS (un autre OS stylé basé sur Android)</del>, il y a aussi un raccourci Navigation Privée (je conseille de n'utiliser que celui-ci). Y installer l'extension UBlock Origin pour bloquer les pubs. L'équipe de DivestOS ayant arrêté le développement de certains de ses services, d'autres personnes ont repris le développement de Mull à partir de son code source : IronFox. |
| |
- Vanadium est un navigateur web basé sur Chromium (développé par Google et servant de grosse base à Google Chrome). Certaines personnes préfèrent Firefox, d'autres Chromium. Pour ma part je suis team Firefox, mais à vous de voir! (Donc ici, le choix revient à Mull ou Vanadium) | - Vanadium est un navigateur web basé sur Chromium (développé par Google et servant de grosse base à Google Chrome). Certaines personnes préfèrent Firefox, d'autres Chromium. Pour ma part je suis team Firefox, mais à vous de voir! (Donc ici, le choix revient à Mull ou Vanadium) |
- Tor Browser, le Navigateur Tor | - Tor Browser, le Navigateur Tor |
| |
- Signal est installé depuis le site web: https://signal.org/android/apk | - Signal est installé depuis le site web : https://signal.org/android/apk |
Le fingerprint affiché sur la page de téléchargement a été comparé depuis plusieurs circuits Tor différents et plusieurs navigateurs, le niveau de confiance est donc censé être équivalent à une installation depuis Google Play (et pour ma part je préfère le faire comme ça, et de toutes façons, il n'y a pas Google Play sur le tel :p) | Le fingerprint affiché sur la page de téléchargement a été comparé depuis plusieurs circuits Tor différents et plusieurs navigateurs, le niveau de confiance est donc censé être équivalent à une installation depuis Google Play (et pour ma part je préfère le faire comme ça, et de toutes façons, il n'y a pas Google Play sur le tel :p) |
| |
- VLC pour mater des vids et écouter du son | - VLC pour mater des vids et écouter du son |
| |
- Newpipe est un client Youtube, SoundCloud et autres extrêmement bien, avec possibilité de s'abonner sans compte Youtube, télécharger vidéos et audio, lire en arrière plan, … | - Newpipe est un client Youtube, SoundCloud et autres extrêmement bien, avec possibilité de s'abonner sans compte Youtube, télécharger vidéos et audio, lire en arrière plan… |
| |
Instagram n'est pas installé, je vous laisse faire ça depuis Aurora Store :) | Instagram n'est pas installé, je vous laisse faire ça depuis Aurora Store. |
| |
Enfin, comme déjà dit, pour des applis simples et fonctionnelles il existe la suite Fossify: Gallery, Draw, Music Player, Voice Recorder, Keyboard, et d'autres. | Enfin, comme déjà dit, pour des applis simples et fonctionnelles il existe la suite Fossify: Gallery, Draw, Music Player, Voice Recorder, Keyboard, et d'autres. |
Enfin, on peut vouloir utiliser l'appli Insular pour avoir un profil "normal" et un profil "pro", qui ne partagent rien. On peut ainsi séparer (un peu) des usages. Mais ça mériterait une longue discussion :) | Enfin, on peut vouloir utiliser l'appli Insular pour avoir un profil "normal" et un profil "pro", qui ne partagent rien. On peut ainsi séparer (un peu) des usages. Mais ça mériterait une longue discussion :) |
| |
Pour finir, comment faire des sauvegardes? GrapheneOS propose un système de backup, pas totalement au point mais c'est le mieux qu'on a. Ça se passe dans Paramètres → Système → Sauvegarde. Il y a peu de documentation sur le sujet mais j'ai trouvé que les options étaient assez claires. Aussi il est toujours possible de faire des sauvegardes manuelles si besoin! À vous de voir :) | ===== Sauvegardes des données ===== |
| |
| Pour finir, comment faire des sauvegardes ? GrapheneOS propose un système de backup, pas totalement au point mais c'est le mieux qu'on a. Ça se passe dans ⚙ Paramètres => Système => Sauvegarde. Il y a peu de documentation sur le sujet mais j'ai trouvé que les options étaient assez claires. Aussi il est toujours possible de faire des sauvegardes manuelles si besoin ! |