Votre vie privée libérée de Google ? Comment installer GrapheneOS sur votre mobile
Degooglisons-nous, dans la joie et la bonne humeur – Bien le bonjour chères lectrices, chers lecteurs. Aujourd’hui, je vous propose un article un brin différent de notre production habituelle sur le Journal du Coin. En ce samedi, et si nous faisions un petit atelier pratique d’hygiène numérique ? Laissez-moi vous présenter GrapheneOS, l’OS libre idéal et gratuit pour votre mobile, à installer en cinq minutes montre en main, et en quelques clics… un OS qui vous fera aimer la cryptographie, mais garanti sans Bitcoin ni cryptomonnaie !
Table des matières
- Une question aussi bien philosophique que technique
- Votre téléphone, un ami qui sait écouter… comme personne
- Sortir Google de son mobile : la solution GrapheneOS
- Installer GrapheneOS en deux temps trois mouvements
- Le quotidien avec GrapheneOS : que peut-on installer, et que gagne-t-on à l’avoir fait ?
Une question aussi bien philosophique que technique
La question des traces que tout un chacun laisse sur le Net au quotidien mériterait un ouvrage entier (et pour cause, il en existe déjà de très bons, écrits par des auteurs bien plus compétents pour discuter de cette question que votre serviteur). Précisons-le donc d’emblée : cet article ne sera pas pour moi l’occasion de m’emporter dans des envolées lyriques à propos de l’importance de notre sacro-sainte vie privée, bafouée par de méchants géants du numérique, incarnations démoniaques de titans totalitaires qui se régaleraient des données abandonnées par des utilisateurs totalement inconscients (lequels, naturellement, s’en ficheraient totalement).
Mais si j’espère ici éviter les clichés les plus éculés, il n’empêche que se poser quelques instants sur ces thématiques à la fois si proches et si lointaines des cryptomonnaies à proprement parler ne fait pas de mal. Comme le disait l’estimé Frédéric Ocana dans un récent épisode de l’excellent podcast Univers Bitcoin, les cryptos sont tout un écosystème.
Les idéaux des débuts – s’ils s’effacent souvent face à la vague du mainstream, du prix du Bitcoin qui monte et qui monte – sont aussi ceux pourquoi certains d’entre nous sont arrivés dans ce grand cirque qu’est parfois la cryptosphère.
Votre téléphone, un ami qui sait écouter… comme personne
Et si la période actuelle du COVID qui traîne en longueur est par moments pesante, c’est aussi qu’elle bouscule un certain nombre d’acquis. Et aujourd’hui, donc, on va en discuter en pratique et le plus simplement possible, avec un exemple très terre-à-terre : votre mobile.
Parce que si bien du monde s’est inquiété des implications théoriques et hypothétiques pour la vie privée d’une application décriée, coûteuse et un peu trop solutionniste comme TousAntiCOVID, et alors que la question des données personnelles et de l’économie de la surveillance qui en naît revient régulièrement sur la table… force est de constater qu’elle finit bien vite sous le tapis, la praticité d’une foultitude d’outils désormais parfaitement intégrés à nos quotidiens ne faisant plus débat. Et parce que ces petits espions qu’on connaît très bien mais qu’on feint tous de ne plus voir sont somme toute bien confortables, ils sont tout à fait redoutables.
Il est donc l’heure pour moi d’arrêter ici cette envolée avant de me faire traiter de néo-luddiste (ce qui serait un comble) : pleurnicher sur un état de faits bien installé et solidement ancré ne le fera pas s’en aller, et comme je le disais en préambule de cet article avant de me perdre, il existe déjà une littérature dense pour qui souhaite s’intéresser plus en détails à ce fameux capitalisme de surveillance et à ses rouages.
Sortir Google de son mobile : la solution GrapheneOS
Alors plutôt que de se poser en PLS dans un coin de votre salon en visitant compulsivement des sites obscurs qui finiront de vous convaincre que tout ce qui vous arrive de mauvais est naturellement la faute d’un vaste complot ourdi par les forces les plus sombres de l’univers, je vous propose de vous demander ce que vous pourriez bien faire pour améliorer un peu votre hygiène numérique au milieu de toute ce grand cirque qui se joue de vos données (et ce juste un peu, vous verrez, c’est déjà pas mal). Posons les bases d’office : partons du principe que vous recherchez une solution vous permettant d’utiliser au quotidien un mobile, quasiment comme vous le feriez aujourd’hui, mais en partageant moins de vos précieuses données personnelles avec des acteurs privés qui ne vous demandent pas vraiment votre avis (ou le font à la marge, et font ripaille après). Pour ma part, j’ai trouvé que le meilleur compromis se nommait GrapheneOS. Mais qu’est-ce donc ?
Un OS libre qui coche à mes yeux de pseudo-néophyte un nombre de cases certain, dès lors que vous souhaitez aussi que votre mobile soit donc beaucoup moins permissif vis-à-vis de vos données et des compromis opérés lorsqu’il fonctionne, que ce soit lors de son boot, de son fonctionnement quotidien, et des autorisations qu’il donne ou non aux applications que vous installez et utilisez. Si le sujet vous intéresse (ce qui serait logique, vu que vous parcourez cet article), vous ne couperez pas à la lecture de cet article de l’excellent Wonderfall (en français, n’ayez crainte).
GrapheneOS : késako ?
Je suis tombé un peu par hasard sur GrapheneOS, en cherchant un OS à installer sur mon Huawei, qui justement… ne serait pas Huawei, si vous voyez ce que je veux dire. Je me suis donc retrouvé à creuser au milieu de projets ouverts plus ou moins accessibles, chacun promettant un mobile plus libre que les autres. Je n’en demandais pas tant, mais j’ai donc fouillé tantôt du côté des Librem, tantôt du côté des mobiles Copperhead mis en avant au sein de la communauté Bitcoin par certains acteurs qui proposaient des mobiles pré-installés offrant des synergies avec le wallet privatif Samouraï Wallet. Mais je ne les citerai ici et ne les conseillerai pas, et ce pour deux raisons. D’abord, leurs prix m’ont paru particulièrement prohibitifs : tout respectueux de la vie privée qu’ils puissent être, je fais une allergie aux mobiles coûteux, et à l’image du matériel nécessaire pour faire tourner un nœud complet Bitcoin, j’aime l’idée que le libre reste aussi libre de barrières à l’entrée pécuniaires démesurées. Ensuite, Copperhead partage une filiation agitée avec GrapheneOS, les deux équipes ayant dans le passé collaborées et dérivant d’un même noyau, avant de se séparer avec fracas et d’entretenir aujourd’hui une relation très conflictuelle – que nous n’aborderons pas plus en détails ici.
J’ai ainsi jeté mon dévolu sur GrapheneOS, parce que leur solution est tout simplement gratuite. Oui, libre, open source et gratuite. Cet OS mobile est développé par le chercheur en sécurité Daniel Micay et est destiné à vous offrir un système d’exploitation plus respectueux de votre vie privée, de vos données et axé sur une sécurité à toute épreuve… le tout, en étant compatible (quasi intégralement) avec l’écosystème des applications Android, tout en vous débarrassant des services Google, non inclus et bannis. Et si, il y a encore quelques semaines, il vous fallait avoir envie de tâter de la ligne de commande, frissonnant à l’idée de faire une bêtise en tentant l’installation sur votre précieux mobile, ce n’est plus le cas aujourd’hui : comme nous allons le voir, à l’aide d’un nouvel outil d’installation et de flash de l’OS intégré à leur site internet, vous pourrez flasher GrapheneOS en quelques clics (ou presque), avec un process automatisé.
Précisons enfin pour conclure qu’un article en particulier m’a décidé à me lancer dans cette installation : la présentation technique mais accessible de Wonderfall justement. Je vous invite à la lire également, parce que je n’ai aucunement la prétention de rentrer dans un détail technique qui me serait trop étranger. Alors, envie de défendre vos données, sans parler blockchain bullshit ni cryptomonnaies… mais juste grâce au travail acharné de cryptographes de talent ?
De quel matériel ai-je besoin pour installer et utiliser GrapheneOS ?
Pour vous lancer, il vous suffira de faire trois choses :
- Vous rendre sur le site officiel de GrapheneOS, en utilisant un poste équipé de l’OS de votre choix (MacOS Big Sur, Windows 10, Debian, Ubuntu, ChromeOS, notamment) et en navigant à l’aide du navigateur Chromium, idéalement,
- Acheter un mobile compatible. Et parce que la situation ne manque pas de sel, vous pouvez donc flasher au choix l’un des mobiles de Google : libre à vous de faire votre choix entre les Pixel 5, 4a (5G), 4a, 4 XL, 4, 3a XL, 3a, 3 XL ou 3. Ce mobile doit être desimlocké.
- D’un câble USB pour connecter votre futur nouveau mobile libéré à votre ordinateur.
Une fois que vous avez tout ceci, le plus dur sera fait, ou presque !
Installer GrapheneOS en deux temps trois mouvements
J’ai pour ma part jeté mon dévolu sur un Google Pixel 3a de récup, et pour un budget de 230€ tout compris, j’étais parti pour me lancer dans l’aventure.
Commencez par les pré-requis : il va vous falloir passer en mode root et prendre définitivement le contrôle de ce qui réside sur votre Pixel. Pour ça, il va vous falloir procéder à un déverrouillage OEM, ceci vous donnant accès au bootloader que vous pourrez utiliser pour flasher l’OS de GrapheneOS. Pour ce faire, démarrez votre Pixel, rendez-vous dans les paramètres après l’installation initiale si nécessaire, et venez ouvrir « A propos du téléphone ».
De là, descendez jusqu’en bas, et venez tapoter le numéro de build de l’OS jusqu’à ce que cette manipulation vous permette de passer en mode développeur.
C’est bon, vous êtes développeur (au moins dans l’âme !). Revenez ensuite aux paramètres, et allez dans « Système ». Ouvrez les paramètres avancés, des options réservées aux développeurs vous seront proposées. A l’intérieur de cette nouvelle sous-section, recherchez et activez temporairement le déverrouillage OEM. N’oubliez pas que votre mobile a besoin d’avoir un accès Internet fonctionnel à ce moment-là.
Pour ma part, j’ai procédé ensuite directement au flash depuis un Mac, mais notez que si vous débarquez sur Linux, il vous faudra passer par une petite étape supplémentaire en installant le paquet android-sdk-platform-tools-common
sur Ubuntu ou Debian. Pour procéder à ce flash, commencez par éteindre et redémarrer votre mobile, mais en maintenant la touche volume du bas enfoncée au redémarrage. Vous vous retrouverez alors sur l’interface du bootloader à proprement parler.
Connectez ensuite votre mobile à votre ordinateur avec le câble USB. Lancez votre navigateur Chrome ou Chromium, et rendez-vous à https://grapheneos.org/install/web. De là, descendez, et suivez tout simplement chacune des étapes, en cliquant comme il se doit. Procédez au déverrouillage en cliquant sur Unlock bootloader.
En validant le déverrouillage du bootloader, vous serez invités à confirmer votre action sur votre mobile. Utilisez les touches du volume pour sélectionner le déverrouillage et lancez-le en validant avec le bouton power. Ayez bien conscience qu’à partir de cette étape, plus de retour en arrière sans casse : en validant, vous allez effacer toutes les données stockées sur le mobile connecté.
Vous allez ensuite télécharger l’image de l’OS de GrapheneOS, en cliquant sur le bouton Download release. Cliquez pour lancer le téléchargement de l’image en question.
Une fois le téléchargement terminé, vous serez invités à flasher l’OS nouvellement téléchargé. Toutes vos anciennes données et l’OS propriétaire de Google seront effacées, pour laisser la place et installer le nouvel OS.
Pendant cette phase cruciale du flash, ne touchez plus à rien : laissez l’installateur web faire son travail, votre mobile faire ce qui lui chante et redémarrer tout seul plusieurs fois au fil de l’installation. Pas d’inquiétude, tout va bien se passer ! 🙂 Une fois le formatage de votre mobile et les différents rounds d’installation terminés, vous allez devoir verrouiller à nouveau le bootloader, et ce afin de vous assurer que personne d’autre que vous n’aura pu modifier le coeur de votre mobile.
Cette étape cruciale (parfois absente lors de l’installation d’autres solutions dites libres) vous permet également de ré-activer une sécurité capitale : la vérification systématique au démarrage de votre mobile que rien n’a été changé ni modifié au niveau logiciel, et que votre mobile n’est pas vérolé ou la cible d’une tentative de modification. Là encore, le verrouillage du bootloader devra être sélectionné et confirmé sur votre mobile, à l’aide des touches de volume et la touche power.
Après toutes ces aventures, voilà, vous pouvez lancer votre mobile qui bootera sous l’OS de GrapheneOS. N’oubliez pas là encore d’aller reverouiller toutes les options de développeur que nous avions dû ouvrir avant de nous lancer : retourner dans les options de développeur, verrouillez à nouveau l’OEM, puis revenez en arrière dans « Système », ouvrez les paramètres avancés, et désactivez les options réservées aux développeurs. Elles vous ont bien servi, vous pouvez maintenant bomber le torse comme si vous étiez le nouveau Satoshi Nakamoto, mais point trop n’en faut : il est l’heure de redescendre parmi le commun des mortels 😉
Précisons que je n’aborde pas ici la question du sens inverse et du retour à un mobile d’usine tournant sous l’OS Google. Je ne l’ai pas testé (et n’ai pas prévu de le tester). L’utilitaire de GrapheneOS précise qu’en pareil cas, il vous faudra vous échiner avec quelques étapes supplémentaires de flash en sens inverse, à l’aide d’une image d’OS d’usine (que vous pourrez trouver juste ici). Je me décharge donc de toute responsabilité éventuelle si vous venez à bidouiller n’importe comment et en dehors des grandes étapes fournies par l’utilitaire web de GrapheneOS, très simple à suivre : s’il-vous-plaît, ne tentez pas des manipulations obscures, ne vous prenez pas pour Vitalik Buterin parce que vous avez ouvert un terminal (alors que ce n’est pas nécessaire en l’espèce), bref, ne transformez pas votre mobile en brique comme à la grande époque des jailbreaks sauvages de PSP. 😉
Le quotidien avec GrapheneOS : que peut-on installer, et que gagne-t-on à l’avoir fait ?
Un mobile sous carapace
Là encore, pour un détail technique accessible des grandes fonctionnalités vous assurant une meilleure sécurité, je me permettrais de vous renvoyer à l’article de Wonderfall déjà cité. Résumons simplement : GrapheneOS est doté d’un nombre conséquent de fonctionnalités qui vous assurent une moins grande perméabilité de données. Vous gérez pour chacune des applications installées l’intégralité des permissions qui peuvent être accordées, au cas par cas. De plus, seule l’application en cours d’exécution et que vous utilisez activement peut consulter ce que vous êtes en train de faire, si vous l’y avez autorisée, et non pas celles qui tourneraient éventuellement en arrière plan. Le chiffrement opéré par l’OS est aussi un tantinet différent de celui des OS grand public : pour éviter de raconter des sottises, je ne rentrerais pas dans ce détail technique, consultable ici en anglais. Les accès aux informations propres à votre mobile, son modèle et vos habitudes sont aussi drastiquement modifiés, assurant une plus grande confidentialité à ces données ultra sensibles mais auxquelles on ne pense même pas forcément (ici, pour le détail détaillé).
Précisons cependant que GrapheneOS n’a pas la prétention de vous rendre invisible aux yeux du monde, ni de vous permettre d’agir sans laisser de traces : les protocoles informatiques du quotidien avec lesquels nous interagissons tous sont ce qu’ils sont. GrapheneOS propose par exemple un certain nombre de particularités dans son rapport au Wifi, au Bluetooth, ou aux connexions réseaux : elles ne vous permettront pas pour autant d’enfiler une cape d’invisibilité numérique.
Les applications libres, et les autres : un quotidien un peu changé, mais pas forcément bousculé
Terminons en évoquant le plus important : certes, GrapheneOS est compatible avec l’écosystème Android, mais cela ne signifie pas que vous pourrez installer le magasin d’apps de Google Play pour installer vos applications. Bienvenue donc dans un monde sans services Google. Alors, certes, il reste possible d’installer MicroG : mais si cette implémentation libre des bibliothèques Google est installable, elle apporte un certain nombre de nouveaux compromis qui gâcheraient à mon sens l’intérêt réel de GrapheneOS.
La navigation Internet sur GrapheneOS
Ainsi, la navigation web se fera à l’aide de Vanadium, une version remaniée de Chromium, plus respectueuse de votre vie privée, et au modèle de sécurité et d’exécution bien plus compartimenté.
Les App Store libres
Le coeur des applications libres que vous souhaiterez installer, vous les trouverez en utilisant FDroid. Pour ce faire, vous naviguerez vers https://f-droid.org/fr/ depuis le navigateur Vanadium, justement, et cliquerez sur « Téléchargez ». Vous serez alors en mesure de récupérer le paquet logiciel permettant d’installer ce magasin d’applications libres. Validez le téléchargement de l’APK (.apk), puis validez aussi son installation. Voilà, vous venez d’installer votre première application libre 😉 Elle vous permettra par exemple, après quelques menues réglages d’installer des applications comme VLC, Jitsi (pour les conférences vidéos à la mode en ce moment), ou encore le Samouraï Wallet, le Tor Browser et l’utilitaire Orbot. Pour cela, il faudra aller trifouiller quelques réglages liés aux sources de logiciels disponibles : n’hésitez pas à suivre ce tutoriel (en anglais, mais tout à fait compréhensible) pour installer certaines des applications les plus simples et pratiques en question.
Naturellement, il peut être difficile de se passer du Google Play Store, au moins par l’habitude que nous avons de l’utiliser, et d’utiliser certaines des applications qu’il renferme. Heureusement pour vous, si vous êtes dans ce cas, il existe une solution : télécharger l’Aurora Store en allant visiter ce site depuis votre mobile. Cet utilitaire vous permettra d’accéder, de télécharger et de mettre à jour la plupart des applications du Google Play Store, le tout avec des techniques d’obfuscation vous permettant de cacher quel mobile vous utilisez, et à l’aide de comptes anonymes, si vous le souhaitez. En effet, Google ne goûte à priori que peu ce genre d’initiatives, et cela ne surprendra pas. Pour être complet, précisons que certaines des applications ainsi téléchargées rencontreront des soucis : d’abord, les services Google n’étant pas présents sur votre mobile GrapheneOS, certaines applications ne fonctionneront qu’en mode dégradé, ou pas du tout. Par exemple, si vous êtes un aficionado d’Uber Eats, l’application ne pouvant pas vous géolocaliser grâce à Google ne vous permettra jamais d’aller au bout d’une commande ; et CityMapper qui vous permettait de survivre dans les grandes métropoles du monde entier pourra vous aider pour les transports en commun mais pas pour vous déplacer en vous suivant, naturellement. Enfin, certaines applications ne se mettront pas correctement à jour depuis le client Aurora.
Une autre solution, moins secure et pour le coup discutable et non conseillée sera de passer par des moteurs de recherche d’apk externes pour installer les applications concernées (comme il en existe un nombre certain sur le net, comme par exemple APKPure, qui propose sa propre application de gestion des paquets). Là encore, tout sera question de compromis de votre part, et de choix : on est alors très loin de la vérification stricte des outils installés sur votre mobile.
La question de l’installation d’un VPN sur GrapheneOS
Je ne saurais trop vous conseiller d’installer une application de VPN. Les recommandations sont très diverses à ce propos. A défaut, vous pouvez utiliser Orbot justement pour faire transiter votre trafic (ou seulement celui des applications que vous choisirez) par Tor. Pour ma part, et sans que cela ne corresponde à une quelconque pub de ma part, j’ai installé ProtonVPN (l’utilisant déjà), en activant les fonctionnalités qui me semblaient utiles : en l’espèce, l’activation d’un VPN permanent et une fonctionnalité de Kill Switch coupant l’accès à Internet en cas de coupure du VPN. Là encore, l’utilisation ou non d’un VPN, le choix de ce dernier et les options offertes et appliquées seront fonction de votre modèle de menace, et de vos propres préférences.
La communication au quotidien avec GrapheneOS
Pour communiquer, qu’il s’agisse de messages, d’appels ou de vidéos, j’ai décidé d’installer Signal. Comme pour les autres, il faut se rendre sur le site dédié, et trouver l’APK original. Pour ce faire, rendez-vous juste ici : https://signal.org/android/apk/. De là, descendez vers la Danger Zone, et téléchargez l’APK de Signal (vous pouvez naturellement pousser le vice jusqu’à vérifier l’.apk téléchargé).
Dans les multiples réglages de l’application, vous pourrez par exemple choisir de « toujours relayer les appels » par le serveur Signal pour mieux camoufler votre IP, et de faire de Signal votre utilitaire d’appels et de messages par défaut (c’est mieux que rien, mais pas non plus magique vis-à-vis de vos contacts qui n’utilisent pas Signal).
Des mises à jour et des autorisations (encore)
Le mobile et son OS à proprement parler se mettent à jour automatiquement, si vous l’autorisez, et les mises à jour de sécurité se suivent sans discontinuer grâce au travail acharné de son développeur principal.
Rappelons encore une fois que le contrôle des autorisations accordées aux applications est très poussé, et ce pour toutes les applications, quelles qu’elles soient.
Avec un peu de chance, le présent tutoriel vous aura donné envie de vous lancer, pour tranquillement tester ce fameux monde dé-Googlifié. Il ne s’agira pas ici de vous inciter benoîtement à faire le grand saut, en prétendant que vous en avez nécessairement besoin, qu’il est d’une quelconque façon impensable de vivre comme tout le monde et qu’il vous faut absolument vous intéresser à ce genre de solutions. Comme vous l’aurez compris, GrapheneOS s’inscrit dans une tendance de fonds, qui ne vous promet ni miracle, ni simplicité, ni enrichissement rapide, mais seulement un bon compromis entre simplicité d’usage et protection de vos précieuses données. Alors, quand est-ce que vous passez chez GOS ?