❌

Vue lecture

Il y a de nouveaux articles disponibles, cliquez pour rafraĂźchir la page.

Retour d’expĂ©rience sur l’utilisation de GrapheneOS (ROM Android libre)

Suite Ă  la dĂ©pĂȘche Comparatif : GrapheneOS vs LineageOS, je souhaitais faire part d’un retour d’expĂ©rience sur l’utilisation de GrapheneOS sur un tĂ©lĂ©phone Android Pixel 7a. Ce commentaire est repris ici sous forme de dĂ©pĂȘche.

    Sommaire

    Le point de dĂ©part est celui d’un utilisateur sensible aux logiciels libres mais qui utilise un tĂ©lĂ©phone Android Samsung « comme tout le monde », avec :

    • Utilisation du Google Play Store, avec un compte Google personnel
    • Utilisation d’un compte Google professionnel
    • Utilisation du Samsung store, avec un compte Samsung
    • Utilisation d’une montre connectĂ©e Samsung avec appli Samsung health

    L’utilisateur a dĂ©jĂ  expĂ©rimentĂ© par le passĂ© les solutions suivantes :

    • UbuntuOS (abandonnĂ© rapidement par manque d’applications)
    • LineageOS, avec Micro-G + « signature spoofing » pour permettre l’installation des applications bancaires

    PixelOS

    Installation

    La mise en Ɠuvre du systĂšme « stock » installĂ© sur le smartphone est trĂšs facile et simple d’utilisation. Les tĂ©lĂ©phones Pixel proposent des fonctionnalitĂ©s « avancĂ©es » spĂ©cifiques qui sont proposĂ©es au dĂ©marrage, avec Ă  chaque fois le jeu de « voulez-vous activer cette fonctionnalitĂ© ? Si oui, acceptez le contrĂŽle des donnĂ©es suivantes  »
    On est dans un environnement full google, donc avec quelques habitudes Ă  changer me concernant venant d’un environnement Samsung (la surcouche de l’OS est diffĂ©rente).

    Interface

    Launcher Pixel avec une barre de recherche Google qui ne peut pas ĂȘtre enlevĂ©e (The search bar cannot be removed from the bottom of the home screen, it's part of the Pixel Launcher https://support.google.com/pixelphone/thread/133065648/is-there-any-way-to-remove-the-google-search-bar-from-the-home-screen?hl=en), sinon tout est fluide / "beau"

    Fonctionnalités spécifiques/avancées de PixelOS

    • DĂ©blocage du tĂ©lĂ©phone par reconnaissance faciale (probablement un cauchemar en termes de privacy, mais je pourrais comprendre pourquoi une personne lambda souhaiterait activer ce service)
    • « Double tap » au dos du tĂ©lĂ©phone pour lancer une action (dans mon cas : la lampe torche)
      • On peut utiliser Torchie pour une fonctionnalitĂ© proche (https://f-droid.org/fr/packages/in.blogspot.anselmbros.torchie/)
      • Les fonctions d’urgence « avancĂ©es » fournies par l’application « sĂ©curitĂ© personnelle » (https://play.google.com/store/apps/details?id=com.google.android.apps.safetyhub&hl=fr&gl=US)
      • L’application est disponible sur le playstore mais ne fonctionne pas sur GrapheneOS
      • Il existe une fonction d’urgence « de base » dans GrapheneOS (AOSP ?) (appuyer 5x sur power pour lancer un appel d’urgence vers le 112)
      • Dans PixelOS, il y a un conflit de raccourcis entre « appuyer 5x sur power pour lancer un appel d’urgence » et l’option « appuyer 2x pour lancer l’appareil photo » (quand les deux sont activĂ©es : l’appareil photo prend le dessus)
    • Paiements NFC (non accessibles sur GrapheneOS)
      • Certaines applications de paiement autres que Google Wallet peuvent fonctionner (par ex. Paylib)
    • FonctionnalitĂ© « bien ĂȘtre numĂ©rique », notamment le fait de passer l’écran en noir & blanc Ă  partir d’une certaine heure pour tenter de limiter le temps devant les Ă©crans. L’application existe dans le Play Store (https://play.google.com/store/apps/details?id=com.google.android.apps.wellbeing&hl=fr&gl=US) mais impossible Ă  retrouver depuis le client Play Store sur le tĂ©lĂ©phone.
      • Il existe probablement des alternatives

    GrapheneOS

    Installation

    ProcĂ©dure d’installation web trĂšs simple et rassurante. C’est la premiĂšre fois que je me verrai recommander ce type d’install Ă  un utilisateur non technique (alors que la procĂ©dure d’install de LineageOS - Ă  l’époque ou j’ai essayĂ© - est complexe et obscure, avec le risque de se planter Ă  plusieurs Ă©tapes).

    Interface

    • Le bureau par dĂ©faut est trĂšs minimaliste et pas trĂšs accueillant (je sais que cela peut paraĂźtre peu important, mais le fond noir + icĂŽnes en noir & blanc peut rebuter / n’est pas aussi accueillant que le systĂšme de base).
    • Le clavier par dĂ©faut m’a dĂ©rangĂ© (aprĂšs des annĂ©es Ă  utiliser le clavier Gboard), surtout pour l’écriture « swipe » (que je pratique souvent quand j’écris un message Ă  une main).

    Applications et « stores »

    • Le « store » par dĂ©faut « Apps » contient le minimum vital.

    Pour le Store Google, il est possible d’installer plusieurs « briques » de l’éco-systĂšme :

    • Google Services Framework (GSF), dont dĂ©pendent :
      • Google Play services + Google Play Store (interdĂ©pendants) On peut donc choisir : rien du tout, GSF pour les applis qui en dĂ©pendent, ou les trois.

    Gestion des autorisations

    • Les possibilitĂ©s sont trĂšs fournies = positif (permet de limiter les accĂšs rĂ©seau, les accĂšs stockage)
    • Les possibilitĂ©s sont trĂšs fournies = complexe Ă  gĂ©rer : il faut se poser des questions / passer du temps Ă  configurer les choses.
      • Exemple : la synchronisation des contacts Google ne se fait pas sans la permission « Contacts » dans l’appli « Google Services Framework ».

    SĂ©paration des usages

    Il existe deux approches possibles de séparation des usages :

    • Utilisation d’un « user profile » : il s’agit d’un profil complĂštement distinct. On peut passer de l’un Ă  l’autre assez facilement. Les deux profils ne peuvent pas se parler, sauf via les notifications croisĂ©es (https://www.youtube.com/watch?v=WjrANjvrSzw)
    • Utilisation d’un « work profile » : ici on utilise un seul profil, mais Ă  l’intĂ©rieur duquel on vient activer la fonctionnalitĂ© « work profile » d’Android pour sĂ©parer les usages (via une application tierce telle que Shelter, https://www.youtube.com/watch?v=20C0FD7mGDY pour une explication dĂ©taillĂ©e)

    DĂ©tail des approches suivies

    1Êłá”‰ approche

    • Profil « owner » avec Shelter
      • Profil « Personnel » = pas de services Google
      • Profil « Professionnel » = Services Google avec compte personnel
    • 2ᔉ Profil « Travail » = Services Google avec compte professionnel

    Ce qui bloque : je voulais utiliser la fonctionnalitĂ© « work profile » d’Android avec Shelter pour isoler mon compte Google personnel. Hors c’est ce compte qui jusqu’ici synchronise les contacts. Les applications par dĂ©faut de GrapheneOS ne gĂšrent pas cette synchro (autrement que via import/export manuel, ou alors je n’ai pas trouvĂ© comment). Si on veut quelque chose qui s’intĂšgre tout seul il faut passer par les applications Google de TĂ©lĂ©phone/Contacts/Calendrier. Hors ces applications ne peuvent pas devenir « applications par dĂ©faut » (pour remplacer celles existantes de GrapheneOS) dans le « work profile », c’est le profil personnel qui gĂšre cette configuration.

    2ᔉ approche (test en cours)

    • Profil « owner » (unique, sans Shelter) = Services Google avec compte personnel
    • 2ᔉ Profil « Travail » (unique, sans Shelter) = Services Google avec compte professionnel

    Ce qui bloque : j’utilise le tĂ©lĂ©phone Ă  la fois pour le pro & perso, sauf que le fait d’avoir deux profils implique de jongler systĂ©matiquement entre les deux profils. Trop compliquĂ© au quotidien.

    3ᔉ approche (d’ici une semaine)

    • Profil « owner » avec Shelter
      • Profil « standard » = Services Google avec compte personnel
      • Profil « work » = Services Google avec compte personnel

    DĂ©tails : utilisation sans les services Google

    Synchronisation des contacts & agendas

    La premiĂšre problĂ©matique c’est la synchro des contacts et des agendas. Pour se passer de Google sur ce point, il faut mettre en place au prĂ©alable un service de partage de contact / agenda :

    Bref c’est un projet en tant que tel, pas forcĂ©ment Ă  la portĂ©e de tous

    Quid des applications non libres hébergées sur le play store

    À ce stade, pour accĂ©der Ă  d’éventuelles applications uniquement prĂ©sentes sur le Play Store, il est possible de :

    • passer par l’application Aurora
    • passer par apkmirror pour les tĂ©lĂ©charger une Ă  une

    Cependant, de nombreuses applications du Play Store requiĂšrent l’installation du Google Services Framework (« GSF ») pour fonctionner.

    Me concernant, j’ai la liste suivante d’applications que j’ai pu rĂ©cupĂ©rer par ce biais (et qui fonctionnent sans GSF) :

    • Appli Banque (SG)
    • Paiement NFC via Paylib (pas encore testĂ© « en vrai » mais l’appli s’installe sans broncher)
    • Deezer (musique)
    • Somfy (alarme)
    • NetAtmo (thermostat connectĂ©)
    • Doctolib (SantĂ©)
    • Appli mutuelle (Alan)
    • Freebox connect (utilitaire freebox)
    • Wifiman (utilitaire rĂ©seau)

    Certaines applications nĂ©cessitent le GSF, c’est le cas notamment de :

    DĂ©tails : Utilisation avec les services Google

    Dans un profil séparé

    J’ai mis du temps Ă  comprendre / trouver comment activer la fonctionnalitĂ© de profils multiples (alors que c’est simple) : ParamĂštres > SystĂšme > Utilisateurs multiples > Autoriser plusieurs utilisateurs (https://www.youtube.com/watch?v=SZ0PKtiXTSs)

    Le profil sĂ©parĂ© Ă  l’avantage d’ĂȘtre comme un « deuxiĂšme tĂ©lĂ©phone ». C’est aussi un inconvĂ©nient pour les personnes qui ne sont pas prĂȘtes Ă  faire cet « effort » (passer de l’un Ă  l’autre), mĂȘme si les notifications « cross profile » aident sur ce point.
    Il faut reproduire sur chacun des profils toutes les « custo » faites (changement de launcher, de clavier, configurations diverses, etc).

    Via la fonction « work profile » d’Android

    La fonction work profile fournit une sĂ©paration moins forte, mais c’est aussi plus « pratique » au quotidien car toutes les applications (et les comptes) sont dans un seul profil. J’ai testĂ© via l’application Shelter.

    Avantages :

    • Tout est accessible dans le mĂȘme profil
    • Dans le tiroir d’application, on retrouve deux « onglets » sĂ©parant les applications « perso » et « pro ».

    Inconvénients :

    • Comme pour le profil sĂ©parĂ©, il y a une « double maintenance »
      • Ex: en cas d’utilisation de deux profils Google Play (profil perso + pro), il faut faire les mises Ă  jour « des deux cĂŽtĂ©s »
    • Il faut bien choisir dans quel contexte on souhaite installer chaque application
    • Je n’ai pas trouvĂ© comment faire pour 1. Synchroniser mon compte Google perso dans le « work profile » de Shelter et 2. faire remonter ces informations dans les applications « contacts » et « tĂ©lĂ©phone » par dĂ©faut de GrapheneOS. C’est le profil « Personnel » qui va dicter quelles applications par dĂ©faut sont utilisĂ©es.

    Conclusion, cas d’usages et « threat model » (modĂšle de menace)

    J’ai passĂ© beaucoup plus de temps que prĂ©vu Ă  comprendre GrapheneOS, tester diffĂ©rentes solutions et configurer les options / trouver des alternatives. Je suis bien conscient que plusieurs « problĂšmes » remontĂ©s pourraient tout simplement ĂȘtre rĂ©solus si j’acceptais de faire les choses diffĂ©remment. Cela me pousse Ă  m’interroger sur le compromis Ă  choisir entre sĂ©curitĂ© / respect de la vie privĂ©e / facilitĂ© d’utilisation ? Cette question dĂ©pend bien sur du modĂšle de menace (« threat model ») de chacun.

    Sécurité

    GrapheneOS rĂ©pondrait parfaitement Ă  des contraintes de sĂ©curitĂ© « forte » pour des personnes Ă©tant journaliste / activiste / lanceur d’alerte / dĂ©putĂ©. Dans ce cas d’usage, le coĂ»t de la sĂ©curitĂ© est acceptĂ©.

    Vie privée

    GrapheneOS apporte un choix indéniable permettant à chacun de trouver le meilleur usage possible.

    FacilitĂ© d’utilisation

    Dans mon cas d’usage, je trouve que la fonction de profil sĂ©parĂ© apporte trop de friction au quotidien, et je suis prĂȘt Ă  tout rassembler au sein du mĂȘme profil. L’utilisation de deux tĂ©lĂ©phones diffĂ©rents (un perso / un pro) pourrait ĂȘtre une alternative. De la mĂȘme maniĂšre, je n’ai pas encore passĂ© le pas de me sĂ©parer de mon compte Google (pour la synchro des contacts / agendas), donc pour le moment je continue d’utiliser le Play Store. À terme, j’essaierai de ne plus en dĂ©pendre.

    Note : l’impact du matĂ©riel (« hardware ») sur la vie privĂ©e

    • Un casque Bluetooth Bose nĂ©cessite l’app « Bose Connect » qui dĂ©pend de GSF/Play Store
    • Un casque Bluetooth Samsung Buds2 Pro nĂ©cessite l’app Samsung qui demande la crĂ©ation d’un compte cloud chez eux
    • L’application Google Wallet me permet de rĂ©gler mes courses via paiement NFC, mais donne accĂšs par ce biais Ă  un pan entier de donnĂ©es personnelles

    À chaque fois la question est : est-ce utile ou pas ? Puis-je facilement m’en passer ?

    Commentaires : voir le flux Atom ouvrir dans le navigateur

    ❌