URL: https://linuxfr.org/news/de-l-art-d-installer-grapheneos-sur-son-smartphone Title: De l'art d'installer GrapheneOS sur son smartphone Authors: Veehem Julien Jorge, Ysabeau, bobble bubble et palm123 Date: 2021-06-06T21:31:49+02:00 License: CC By-SA Tags: mobile, grapheneos, smartphone et android Score: 6 Sur Linux.fr, j’avais lu [Quel téléphone (plus ou moins) libre en 2021 ?](https://linuxfr.org/news/quel-telephone-plus-ou-moins-libre-en-2021) L’article rejoignait mes expériences. Précédemment, j’avais rooté plusieurs smartphones pour y installer Cyanogen, puis Lineage, ou /e/, je soutiens également Librem… Hélas, Librem est trop inconfortable (pour le moment ?) et Lineage souvent ardu à installer (rien que débloquer un Xiaomi met une semaine) et n’est pas disponible sur les smartphones récents ; or justement l’intérêt est d’installer une nouvelle ROM au moment où l’on change de smartphone. Bref rien ne me satisfaisait jusqu’au moment où j’ai entendu parler de [CalyxOs](https://calyxos.org/get/) (qui conserve MicroG, donc pose problème en termes de vie privée) et [GrapheneOS](https://grapheneos.org/) (complètement déconnecté de Google), notamment via ce billet de [Wonderfall](https://wonderfall.space/grapheneos-2021/) qui attirait l’attention sur les dangers des roms du style Lineage imposant de garder le bootloader ouvert. Je me suis donc décidé à passer à GrapheneOS. Mais… ---- ---- # Avertissements 1. Si vous êtes un vrai geek, vous n’apprendrez rien ici (allez directement voir chez wonderfall). Je ne suis ni opposant Biélorusse, ni un vendeur d’armes, je ne considère pas avoir besoin d’une protection totale et c’est hors de mes compétences. Par contre je pense qu’un certain niveau de bidouillage est accessible à tout le monde et permet une sensibilisation à comment mieux protéger sa vie privée. D’ailleurs je fais des concessions comme on le lira plus loin. 2. La ROM GrapheneOS ne s’installe que sur des Pixels. Pourquoi ? Parce que seuls ces smartphones permettent de débloquer le bootloader afin d’installer une ROM alternative, mais ensuite d’être rebloqués, ce qui est indispensable pour des raisons de sécurité. Cet aspect technique devrait être standardisé sur tous les Android. # Le look Avant d’aller plus loin, je vous mets une image de mon écran. Le site de GrapheneOS est aussi attrayant qu'une porte de prison. Avant de commencer, j’avais peur que la ROM lui ressemble et c’est un peu le cas. Mais en moins d’une minute j’avais installé mon environnement habituel [Lawnchair](https://play.google.com/store/apps/details?id=ch.deletescape.lawnchair.plah&hl=fr&gl=US) et [Abstruct](https://play.google.com/store/apps/details?id=com.hampusolsson.abstruct). Ce n’est ni très gamer, ni cyberpunk, chacun trouvera mesure à ses goûts. En fait GrapheneOS ne change pas radicalement d’AOSP/Android pur. Ça ressemble donc à Android sans surcouche. ![Abstruct](https://i.imgur.com/JY9YCPq.png) # Préparation Commençons par faire le ménage et voyons ce qui est installé sur le smartphone que l’on quitte : près de 200 applications ! [List My Apps](https://f-droid.org/en/packages/de.onyxbits.listmyapps/) dresse la liste et permet un export, par exemple en tableur ce qui va permettre de voir ce que l’on garde, ce que l’on remplace, ce que l’on jette. Comme bon outil de vérification, on utilisera [Exodus](https://exodus-privacy.eu.org/fr/) qui donne pour chaque application le nombre de trackers et de permissions. C’est déjà une manière de choisir ses applications. Comme j’avais déjà une instance Nextcloud, j’y avais déjà installé mon carnet d’adresse et mon agenda (on y reviendra). Pour remplacer Google Authenticator, j’ai pris [Aegis](https://f-droid.org/en/packages/com.beemdevelopment.aegis/). Sur un téléphone rooté, il permet de récupérer les données de celui de Google et de faire un backup. Si le smartphone n’est pas rooté, il faut le faire manuellement ou utiliser un script du type de celui que l’on trouve dans la [Matt's code cave](https://mattscodecave.com/posts/how-to-move-from-google-authenticator-to-aegis.html) # Installation Le billet de Wonderfall et la [FAQ de GrapheneOS](https://grapheneos.org/faq) sont à lire en parallèle, ils m’ont servi de guide. Je suggère également d’installer (sur le PC) [Element](https://element.io/) et de se brancher sur le canal GrapheneOS Off Topic, ou via le web, à l['espace Matrix Graphene Community](https://app.element.io/#/room/%23community:grapheneos.org). En cas de problème, la communauté y est très réactive. Je lance Android, le pixel est neuf, je passe toutes les étapes proposées par Google, demande les accès développeurs, Enable OEM unlocking, etc. puis passe à l’installation via la page web qui est recommandée. Mettez votre système à jour, ouvrez un navigateur « propre », ne cliquez pas partout, suivez les instructions étape par étape, et c’est fait ! Je n’ai jamais vu une installation aussi simple d’une ROM alternative. # Les applications de base Quelques applications de base sont installées : Vanadium (navigateur), Galerie, Appareil photo, Fichiers, PDF Viewer, Contacts, Calendrier, Calculatrice, un utilitaire de backup et Auditor qui permet (grâce à un autre Android) de valider l’intégrité du système d’exploitation. # Remplacer le Play store Comme nous n’avons plus accès au Play Store de Google, nous allons installer F-Droid qui permet d’installer de nombreuses applications et (avec F-Droid) Aurora qui va remplacer Google Play. En principe, Aurora fonctionne de manière anonyme, mais cela semble en panne pour le moment. Donc, si l’on veut l’utiliser, il y a lieu d’y encoder son accès Google Play. # Pub, traqueurs et VPN Plusieurs solutions coexistent pour s’affranchir des pubs & traqueurs - ​Il y a, bien sûr, la possibilité de bloquer les pubs dans son navigateur, ce qui est effectué d’office par Bromite ou Brave. Mais cela ne va pas supprimer les éventuelles pubs ni surtout les traqueurs dans d’autres applications. - ​Ma préférence va à personalDNSfilter en suivant le tuto de [Sebsauvage](https://sebsauvage.net/wiki/doku.php?id=dnsfilter). Petit problème : personalDNSfilter et mon VPN utilisent tous les deux la fonction VPN d’Android. En principe, un seul peut être actif à la fois. (Une [version modifiée d’OpenVPN ](https://github.com/IngoZenz/ics-openvpn)qui peut fonctionner de concert avec DNSFilter semble exister. J’ai un message d’erreur quand je veux l’utiliser). Donc, j’installe OpenVPN et passe de l’un à l’autre selon mes besoins. - ​Plutôt que d’utiliser personalDNSfilter on peut modifier les DNS et passer par exemple par [Adguard](https://adguard.com/fr/welcome.html) ou [NextDNS](https://nextdns.io/fr) dont l’application est d’une grande simplicité. Pour mieux comprendre, voir les explications chez [Pixel de Tacking](https://www.pixeldetracking.com/fr/home/nextdns-mon-nouveau-bloqueur-de-publicites-prefere) - ​Mais ces deux solutions manquent d’élégance, donc à la prochaine échéance, je change de VPN et passe à un VPN qui fait également le filtrage des pubs et traqueurs. ([IVPN](https://www.ivpn.net/), [Incognet](https://incognet.io/), [Privateinternetaccess](https://www.privateinternetaccess.com/), [Mullvad](https://mullvad.net/fr/), [surfshark.com](https://surfshark.com/), etc.) gageons que cela va peu à peu devenir la norme dans les offres VPN - ​Les bidouilleurs trouveront [chez wonderfall](https://wonderfall.space/dns-over-tls-docker/) comment filtrer tout cela via son propre serveur. # Les mails Pour les mails, outre Protonmail, j’utilisais déjà l’excellent [FairEmail](https://github.com/M66B/FairEmail/releases) ([page web](https://email.faircode.eu/)), à soutenir, qui fonctionne très aisément pour les comptes classiques. Maintenant, partons de l’idée que nous avons encore un ou plusieurs Gmail que l’on souhaite encore (provisoirement ?) utiliser. La [FAQ de FairEmail](https://github.com/M66B/FairEmail/blob/master/docs/FAQ-fr-rFR.md) est précise, [plusieurs options sont possibles.](https://github.com/M66B/FairEmail/blob/master/docs/FAQ-fr-rFR.md#user-content-faq6) - **Une option peu sécurisée et non recommandée** : - allez dans votre [compte Google](https://myaccount.google.com/?pli=1) et dans les options de sécurité, activez le paramètre « Autoriser les applications moins sécurisées » ; - ​dans FairEmail encodez manuellement vos paramètres IMAP. Si nécessaire, vérifiez-les ici : [paramètres IMAP & SMTP](https://support.google.com/mail/answer/7126229?hl=fr). - **L’option recommandée qui va progressivement devenir obligatoire** : - ​dans votre compte Google (options de sécurité), activez [la double authentification](https://cyberguerre.numerama.com/11230-prenez-5-minutes-pour-activer-la-double-authentification-sur-votre-compte-google.html) et ensuite demandez [un mot de passe d’application](https://support.google.com/accounts/answer/185833) ; - ​dans FairEmail, prenez l’option de configuration manuelle d’un compte, encodez votre adresse mail et remplacez votre mot de passe habituel par le mot de passe d’application de 16 caractères que Google vous a fourni. Dans les paramètres, régler la boite « En continu ». C’est fait une fois pour toutes. # Carnet d’adresse, agenda, notes… Je dispose d’espace serveur (Infomaniak) pour quelques applications que j’utilise chaque jour. - ​Je commence par installer [Nextcloud](https://f-droid.org/en/packages/com.nextcloud.client/). Dans les paramètres, Nexcloud permet de télécharger [DAVx](https://f-droid.org/en/packages/at.bitfire.davdroid/)⁵ à paramétrer ensuite pour synchroniser les contacts et l’agenda. Il y a également moyen d’utiliser DAVx⁵ pour se synchroniser directement sur l’agenda et le carnet d’adresse de Google ([Voir ici](https://www.davx5.com/tested-with/google)). - ​Après avoir paramétré DAVx⁵, l’application native de contact se synchronise, il en va de même pour l’agenda, néanmoins pour avoir le widget sur mon écran je mets [Simple Calendar Pro](https://f-droid.org/en/packages/com.simplemobiletools.calendar.pro/). - ​Je termine en installant [Nextcloud](https://f-droid.org/en/packages/it.niedermann.owncloud.notes/)[Notes](https://f-droid.org/en/packages/it.niedermann.owncloud.notes/), Tiny Tiny RSS pour suivre mes fils RSS et [S](https://f-droid.org/fr/packages/com.dimtion.shaarlier/)[haarlier](https://f-droid.org/fr/packages/com.dimtion.shaarlier/) pour accéder à mes bookmarks [Shaarli](https://shaarli.readthedocs.io/en/master/) (encore merci [Sebsauvage](https://sebsauvage.net/)) # Les applications installées Je reprends ci-dessous quelques applications installées pour bien montrer que l’on navigue dans un univers (presque) normal. Merci aux commentaires qui auront de meilleures suggestions d’applis : - ​**navigateurs** : comme je passe parfois d’un navigateur à l’autre, j’ajoute [Bromite](https://www.bromite.org/) et éventuellement Brave ; - ​**communication** : Signal, Element, Mattermost Telegram, Zoom, Discord (M), Fedilab Lite et… WhatsApp car de nombreux contacts ne sont pas encore passés à Signal notamment car le son et/ou la vidéo restent souvent médiocres. Notons que le push de WhatsApp fonctionne sans Play Services et, si pour celui qui utilise très peu WhatsApp (quelques correspondants), il est toujours possible de le mettre sur un autre profil utilisateur (indépendant de celui du carnet d’adresse) ; - ​**son** : [S](https://f-droid.org/fr/packages/com.simplemobiletools.voicerecorder/)[imple voice recorder](https://f-droid.org/fr/packages/com.simplemobiletools.voicerecorder/) et [Music Player](https://f-droid.org/en/packages/com.simplemobiletools.musicplayer/), AntenaPod, RadioDroid et Callrecorder ; - ​**video & image** : Opencamera, VLC, Snapseed ; - ​**bureau** : WordReference, MoonReader, Openscan ; - ​**utilitaires** : QR Scanner, FindMyDevice, Ooni, Bitwarden, GadgetBridge, TotalCommander  ; - ​**cartographie** : Magic Earth et Osmand, Maps ; - ​**divers** : [Altimeter](https://play.google.com/store/apps/details?id=org.ssandon.altimeter) Loupe (App2U). # Les applis qui ne fonctionnent pas Nous arrivons au hic… certaines applications ne fonctionnent pas car elles nécessitent MicroG. On retrouve sur [Plexus](https://plexus.techlore.tech/) celles qui s’en passent. Je n’ai pas tout testé, par exemple les applis utilisées le temps d’un voyage. Mais hélas, certaines applications d’usage courant ne fonctionnent pas sans les services de Google : Bridgefy, Basecamp, Discourse, Waze. Gros problème pour Waze ; on a beau dire qu’Osmand est très bien quand on est dans un embouteillage, on a rarement vu mieux que Waze. Il faut que je teste Maps. Certaines de ces applis fonctionneraient via Application Web (PWA), pas celles que j’ai testées.