Ce journal aurait pu être un lien avec un gros commentaire en dessous, mais je me suis dit qu'il serait préférable d'en faire un mini-journal.
Voilà ce qu'on voit dans Google quand on cherche "grapheneos" aujourd'hui :
L'article du Parisien s'appelle "Google Pixel et GrapheneOS : la botte secrète des narcotrafiquants pour protéger leurs données de la police". C'est un papier à charge qui reprend la terminologie de la police (celle qui tue, n'en déplaise à Nuñez, et de plus en plus impunément), et met prudemment les descriptions officielles de GrapheneOS entre guillemets, comme si les devs mentaient manifestement sur leurs intentions.
Du coup, ça ne leur a pas plu et ils sont allés le dire sur Mastodon :
We were contacted by a journalist at Le Parisien newspaper with this prompt:
I am preparing an article on the use of your secure personal data phone solution by drug traffickers and other criminals. Have you ever been contacted by the police?
Are you aware that some of your clients might be criminals? And how does the company manage this issue?Absolutely no further details were provided about what was being claimed, who was making it or the basis for those being made about it. We could only provide a very generic response to this.
Our response was heavily cut down and the references to human rights organizations, large tech companies and others using GrapheneOS weren't included. Our response was in English was translated by them: "we have no clients or customers" was turned into "nous n’avons ni clients ni usagers", etc…
Le fil se défoule ensuite sur la fascisation en France, mais s'éreinte aussi sur les deux autres projets de dégooglisation de smartphones bien connus : iodéOS et /e/ :
iodéOS and /e/OS are based in France. iodéOS and /e/OS make devices dramatically more vulnerable while misleading users about privacy and security. These fake privacy products serve the interest of authoritarians rather than protecting people. /e/OS receives millions of euros in government funding.
Those lag many months to years behind on providing standard Android privacy and security patches. They heavily encourage users to use devices without working disk encryption and important security protections. Their users have their data up for grabs by apps, services and governments who want it.
There's a reason they're going after a legitimate privacy and security project developed outside of their jurisdiction rather than 2 companies based in France within their reach profiting from selling 'privacy' products.
Ce à quoi Gaël Duval de /e/ a répondu "Leur violence est sans limite" et "N'importe quoi". J'imagine que ce n'est pas la première fois qu'il voit son bébé se faire taper dessus par les gens de GrapheneOS, mais c'est la première fois que j'en suis témoin.
(full disclosure : je suis d'accord avec GrapheneOS sur le portrait trompeur que leur fait le Parisien et sur la situation politique en France, en revanche je ne pense pas que leur projet soit moins du privacy LARPing que les autres forks d'Android existants. Du reste, on constate que pour les flics, ne pas vouloir de Google dans sa poche, c'est suspect. "Dont Stand Out", j'imagine.)
# Sur les fork d'Android
Posté par mrintrepide . Évalué à 1 (+0/-0).
Il est a noté que la plupart des fork d'Android ont une gestion de la sécurité qui pourrait être jugé comme insuffisant.
Android compilé en mode user-debug
Bootloader non verrouillé et donc pas de vérification de compromission du système
Autorisation du spoofing des noms d'applications (principalement pour MicroG)
Gestion des patchs de sécurité mensuel non suivie
Ne pas oublier de patch le Kernel linux
Ne pas oublier de mettre à jour la webview chromium
[^] # Re: Sur les fork d'Android
Posté par fearan . Évalué à 6 (+3/-0).
Euh, mais j'en ai rien a battre d'un booloader verrouillé, je suis pas espion, et n'ai pas un niveau de responsabilité suffisant pour que quelqu'un prenne mon téléphone plus d'une heure pour installer un clone de mon système vérolé
Ouaip.
J'ai justement changé l'OS du téléphone justement parce que l'android dessus n'avait pas reçu de mise à jour pendant plus d'un an.
voire réponse ci-dessus
bref tu peux virer fork et laisser android tout court :)
J'ajouterai que le magasin d'application par défaut est en closed source ce qui du point de vu sécurité de mes information personnelle est pire que tous les problèmes ci-dessus
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Sur les fork d'Android
Posté par mrintrepide . Évalué à 2 (+1/-0).
Le bootloader déverrouillé permet l'écriture sur lui même et tout autres partitions et il ne vérifie plus au démarrage la signature du système android.
Il faut pas une heure, mais 30 secondes ou un peu plus d'inattention.
Sur un PC Linux, il faut activer et configurer correctement secureboot pour avoir le Kernel Lockdown.
Il faut aussi ajouter un mot de passe admin au BIOS, etc
Le spoofing permet a une application de se faire passer pour une autre en dépit de la signature de l'APK.
Du même coup elle récupère les accès systèmes privilégiés.
CyanogenMod devenu LineageOS n'applique pas chaque patch kernel publié.
Liberté n'est pas égal à sécurité.
Être dégooglisé n'est pas en soit plus sécurisé aux attaques/failles de sécurité.
Je ne critique pas les fork, je ne fait qu'évoquer les problématiques toujours présentes.
[^] # Re: Sur les fork d'Android
Posté par BAud (site web personnel) . Évalué à 5 (+3/-0).
cool, tu vas pouvoir m'aider pour la Galaxy Tab 10" et la Galaxy Tab 2 pour réussir à mettre un OS actualisé dessus \o/ t'es partant ?
[^] # Re: Sur les fork d'Android
Posté par mrintrepide . Évalué à 1 (+0/-0).
On peut éditer la ROM existante sans la changer.
Installer un recovery c'est 10 Mo via le bootloader.
Après c'est un accès simple au système avec ADB
La partition /data est chiffré, mais pas /system
# Modèle de menace
Posté par Glandos . Évalué à 5 (+3/-0).
Mon modèle de menace, c'est la collecte de données à grande échelle.
A priori, toutes les versions basées sur AOSP freine ce genre de choses. Le fait qu'on ait un OS non à jour est un danger, mais surtout face à des attaques ciblées.
GrapheneOS et e/OS/ sont des bons logiciels, avec des objectifs différents. C'est dommage que la communication de GrapheneOS soit aussi agressive, je pense que ça les dessert fortement. Ce projet pourrait simplement se mettre en avant, plutôt que de dénigrer les autres.
Pour répondre à ma menace, je n'ai pas de smartphone. Pour encourager mon entourage, je leur mets e/OS/, parce que GrapheneOS, ce n'est pas possible de l'installer sur leur appareil.
[^] # Re: Modèle de menace
Posté par mrintrepide . Évalué à 1 (+0/-0).
GrapheneOS est sur le segment de la réduction de la surface d'attaque logiciel et physique.
Comme fait ou affirme Apple.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.