| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente |
| fr:notice_graphene [2025/07/01 23:36] – modifications importantes, corrections, headers... delmob | fr:notice_graphene [2025/07/02 00:06] (Version actuelle) – [Paramétrage d'un Pixel sous GrapheneOS] delmob |
|---|
| ====== Notice pour paramétrer GrapheneOS ====== | ====== Notice pour installer et paramétrer GrapheneOS ====== |
| |
| GrapheneOS est une version modifiée du système d'exploitation Android (AOSP), basée sur la sécurité et la vie privée. Il peut être installé uniquement sur des téléphones Google Pixel ([[https://grapheneos.org/faq#supported-devices|voir liste ici]]) avec assez peu de connaissances techniques. | GrapheneOS est une version modifiée du système d'exploitation Android (AOSP), basée sur la sécurité et la vie privée. Il peut être installé uniquement sur des téléphones Google Pixel ([[https://grapheneos.org/faq#supported-devices|voir liste ici]]) avec assez peu de connaissances techniques. |
| GrapheneOS bénéficie d'au moins une mise-à-jour par mois. Il est important de l'appliquer dès que possible et redémarrer le téléphone si l'Updater le demande. | GrapheneOS bénéficie d'au moins une mise-à-jour par mois. Il est important de l'appliquer dès que possible et redémarrer le téléphone si l'Updater le demande. |
| |
| ===== Des paramètres de l'OS ===== | ===== Installation de GrapheneOS ===== |
| |
| //Tous ces réglages sont modifiables en allant dans ⚙ ⚙ Paramètres et en cherchant un peu.// | Un guide d'installation et de paramétrage a été écrit sur le blog suivant : https://1312blogs.org/arg/installation-et-configuration-de-grapheneos |
| |
| - Le mode avion est activé, mais on ne peut pas empêcher sa réactivation. Le bouton d'accès rapide "Internet" (dans le volet des notifications) ouvre un menu permettant d'activer le WiFi, mais affichant aussi un bouton pour désactiver le mode avion. Il faut donc faire attention à ne pas le cliquer par mégarde :) | On peut installer cet OS par [[https://grapheneos.org/install/web|USB + navigateur web (EN)]] ou [[https://grapheneos.org/install/cli|manuellement par lignes de commandes (EN)]] en utilisant un navigateur Chromium (Chomium, Vanadium, Brave...) et suivre les instructions sur les tutoriels. |
| - Graphene inclus un changement automatique d'adresse MAC pour le WiFi, mais par défaut l'adresse reste la même pour un réseau WiFi donné (mais est différente lors des scans et change d'un réseau WiFi à l'autre). C'est possible de changer ça (donc adresse MAC aléatoire à chaque connexion) depuis les "Options pour les développeurs" (c'est un menu caché facile à trouver (demander a internet si besoin)) | |
| - Le micro et la caméra sont désactivés par défaut: si une appli demande l'accès le système demande une confirmation. Il y des boutons de blocage/déblocage rapide dans le volet des notifications (et l'OS peut aussi demander directement) | ===== Paramétrage d'un Pixel sous GrapheneOS ===== |
| - Lorsque l'écran est verrouillé, les notifications n'affichent pas le contenu sensible | |
| - Le redémarrage automatique est activé après 4h sans déverrouillage. La conséquence c'est que certaines applis attendront un déverrouillage pour se relancer, mais c'est aussi une épaisseur supplémentaire de sécu… Ça se règle dans Paramètres → Sécurité → Auto reboot. N'empêche pas l'utilisation de réveils. | Les [[fr:parametres|conseils de paramétrages]] et [[fr:applications|conseils d'applications]] sont aussi valables sous Graphene. |
| - Les périphériques USB sont bloqués. En théorie ça rend plus complexe l'exploitation de failles USB permettant l'extraction des données du tel (ce que fait l'UFED de Cellebrite, par exemple). Ça se règle dans Paramètres → Sécurité → USB peripherals | |
| - Le clavier de déverrouillage est disposé aléatoirement à chaque fois. Paramètres → Sécurité → Scramble PIN input layout | //Tous les réglages ci-dessous sont modifiables en allant dans ⚙ Paramètres et en cherchant un peu.// |
| - L'épinglage d'applications est autorisé. Ça permet d'ouvrir une appli et de l'épingler afin qu'il ne soit pas possible (théoriquement, comme d'hab) d'en sortir sans entrer le code de déverrouillage du tel. ATTENTION à ne pas y mettre une confiance aveugle: certaines applis peuvent ouvrir d'autres applis, parfois contournant ce système (comme c'est le cas pour l'appli Fossify Galerie par exemple, d'où l'intérêt d'utiliser l'appli Galerie par défaut de GrapheneOS). Pour épingler une appli, on affiche la liste des applis ouvertes (petit swipe de tout en bas vers le haut, stick there a second), puis on clique sur l'icone de l'appli, "Épingler". Voir Paramètres → Sécurité → Autres paramètres de sécurité → Épinglage d'application | |
| - Il y a un "Tableau de bord Confidentialité" dans Paramètres → Confidentialité, c'est utile pour voir quelle appli demande à accéder à quoi. | - Le **mode avion** est activé, mais on ne peut pas empêcher sa réactivation. Le bouton d'accès rapide "Internet" (dans le volet des notifications) ouvre un menu permettant d'activer le WiFi, mais affichant aussi un bouton pour désactiver le mode avion. Il faut donc faire attention à ne pas le cliquer par mégarde :) |
| - Lors de l'installation d'une appli demandant la permission d'accès au réseau (Network access), il est possible de le lui interdire. Parfois on va vite et on se rend pas compte qu'on a oublié de l'autoriser, auquel cas il faut faire un appui long sur son icone → Infos sur l'appli → Autorisations | |
| - L'écran se verrouille automatiquement après 1 minute d'inactivité. Voir Paramètres → Affichage → Délai de mise en veille de l'écran. Le menu "Écran de verrouillage" a aussi plusieurs options intéressantes | - Graphene inclut un **changement automatique d'adresse MAC pour le WiFi**, mais par défaut l'adresse reste la même pour un réseau WiFi donné (mais est différente lors des scans et change d'un réseau WiFi à l'autre). C'est possible de changer ça (donc adresse MAC aléatoire à chaque connexion) depuis "Options pour les développeurs" (cliquer 7 fois sur le Numéro de Build dans ⚙ Paramètres => À propos du téléphone"). |
| - Le mode nuit ("Éclairage nocture") est activé, il y a une pastille d'accès rapide dans le volet des notifications | |
| | - Le **micro et la caméra sont désactivés par défaut** : si une appli demande l'accès le système demande une confirmation. Il y des boutons de blocage/déblocage rapide dans le volet des notifications (et l'OS peut aussi demander directement) |
| | |
| | - Lorsque l'écran est verrouillé, les **notifications** n'affichent pas le contenu sensible. |
| | |
| | - Le **redémarrage automatique** est activé après 4h sans déverrouillage. La conséquence c'est que certaines applications attendront un déverrouillage pour se relancer, mais c'est aussi une épaisseur supplémentaire de sécurité… Ça se règle dans ⚙ Paramètres => Sécurité => Auto reboot. N'empêche pas l'utilisation de réveils. |
| | |
| | - Les **périphériques USB sont bloqués**. En théorie, ça rend plus complexe l'exploitation de failles USB permettant l'extraction des données du tel (ce que fait l'UFED de Cellebrite, par exemple). Ça se règle dans Paramètres => Sécurité => USB peripherals |
| | |
| | - Le **clavier de déverrouillage est disposé aléatoirement** à chaque fois. ⚙ Paramètres => Sécurité => Scramble PIN input layout |
| | |
| | - **L'épinglage d'applications** est autorisé. Ça permet d'ouvrir une appli et de l'épingler afin qu'il ne soit pas possible (théoriquement, comme d'hab) d'en sortir sans entrer le code de déverrouillage du tel. ATTENTION à ne pas y mettre une confiance aveugle : certaines applis peuvent ouvrir d'autres applis, parfois contournant ce système (comme c'est le cas pour l'appli Fossify Galerie par exemple, d'où l'intérêt d'utiliser l'appli Galerie par défaut de GrapheneOS). Pour épingler une appli, on affiche la liste des applis ouvertes (petit swipe de tout en bas vers le haut, stick there a second), puis on clique sur l'icone de l'appli, "Épingler". Voir ⚙ Paramètres => Sécurité => Autres paramètres de sécurité => Épinglage d'application |
| | |
| | - Il y a un "**Tableau de bord Confidentialité**" dans ⚙ Paramètres => Confidentialité, c'est utile pour voir quelle appli demande à accéder à quoi. |
| | |
| | - Lors de l'installation d'une application demandant la **permission d'accès au réseau** (Network access), il est possible de le lui **interdire**. Parfois, on va vite et on se rend pas compte qu'on a oublié de l'autoriser, auquel cas il faut faire un Appui long sur son icone => Infos sur l'appli => Autorisations |
| | |
| | - L'**écran se verrouille automatiquement après 1 minute** d'inactivité. Voir ⚙ Paramètres => Affichage => Délai de mise en veille de l'écran. Le menu "Écran de verrouillage" a aussi plusieurs options intéressantes. |
| | |
| | - Le **mode nuit** ("Éclairage nocture") est activé, il y a une pastille d'accès rapide dans le volet des notifications. |
| |
| Il n'y a pas de services Google, donc les notifications des applis non-libres peuvent arriver plus tard voire nécessiter de fermer et rouvrir l'appli. Il est possible de les installer depuis l'appli Apps (fournie par GrapheneOS), voir plus bas. | Il n'y a pas de services Google, donc les notifications des applis non-libres peuvent arriver plus tard voire nécessiter de fermer et rouvrir l'appli. Il est possible de les installer depuis l'appli Apps (fournie par GrapheneOS), voir plus bas. |
| |
| |
| - L'application RiseupVPN est installée, démarre automatiquement, et toute connexion sera bloquée si l'appli n'est pas connectée. Il est possible d'utiliser une autre appli de VPN, comme ProtonVPN ou Mullvad (disponibles dans F-Droid). Ne pas oublier de s'assurer que les connexions sont bloquées si le VPN n'est pas actif! Paramètres → Réseau et Internet → VPN → Icone d'engrenage. C'est l'option "VPN permanent" qui permet de s'assurer qu'il est bien lancé au démarrage, et l'autre option fait bien ce qu'elle dit :) //Ne pas oublier non-plus que notre fournisseur de VPN connait la liste des sites web qu'on visite (sans en voir le contenu des échanges)// | - L'application RiseupVPN est installée, démarre automatiquement, et toute connexion sera bloquée si l'appli n'est pas connectée. Il est possible d'utiliser une autre appli de VPN, comme ProtonVPN ou Mullvad (disponibles dans F-Droid). Ne pas oublier de s'assurer que les connexions sont bloquées si le VPN n'est pas actif ! ⚙ Paramètres => Réseau et Internet => VPN => Icone d'engrenage. C'est l'option "VPN permanent" qui permet de s'assurer qu'il est bien lancé au démarrage, et l'autre option fait bien ce qu'elle dit :) //Ne pas oublier non-plus que notre fournisseur de VPN connait la liste des sites web qu'on visite (sans en voir le contenu des échanges)// |
| |
| - Wasted permet quelques trucs sympas, mais est risqué. Si on l'active, il déclenche au choix: | - Wasted permet quelques trucs sympas, mais est risqué. Si on l'active, il déclenche au choix: |
