Journal Retour d'expérience - GrapheneOS vs LineageOS

Posté par  . Licence CC By‑SA.
34
22
fév.
2024
Ce journal a été promu en dépêche : Comparatif : GrapheneOS vs LineageOS.

Sommaire

Bonjour,

Les deux versions sont basées sur Android 14 et je vous propose un retour d'expérience assez peu technique et amateur mais qui permettra peut-être des découvertes à certains lecteurs ! :)
Si vous désirez un compte-rendu minutieux et spécialisé, ne perdez pas de temps à lire ce journal.

Installation de GrapheneOS :

Déverrouillage OEM via l'OS existant (je suis à chaque fois repassé par la version stock du téléphone, donc celle vendue en magasin), en passant par les options développeur. Il faut ensuite redémarrer et accéder au bootloader. soit en démarrant l'appareil via une combinaison de touches (Power + Vol Bas sur le Pixel 6A), soit, si le débogage USB est activé dans l'OS, via la commande :

$adb -d reboot bootloader

Il faut ensuite aller sur cette page web avec un navigateur compatible (Firefox n'est pas pris en charge à cette heure-ci) : https://grapheneos.org/install/web
4 étapes principales y sont nécessaires et accessibles à n'importe quel utilisateur : l'installateur web fonctionne réellement en 4 clics. Déverrouillage du bootloader, téléchargement de la version actuelle de GrapheneOS, flash de la version téléchargée et verrouillage du chargeur d'amorçage donc.

Problèmes rencontrés : j'ai installé l'OS plusieurs fois pour reproduire la procédure et j'ai eu plusieurs petits soucis, notamment lors de l'étape "Flash release". Le téléphone s'est mis à redémarrer en boucle, la barre de chargement s'est bloquée, j'ai eu une erreur sans solution derrière (il a fallu soit recharger la page, soit passer en mode de navigation privée).

Dans l'ensemble, c'est très facile mais je n'ai pas trop apprécié ces problèmes un peu sortis de nulle part.

Configuration de base de GrapheneOS :

C'est minimaliste : langue, fuseau horaire, activation ou non du Wi-Fi, connexion à un réseau, services de localisation.
Le Wi-Fi n'est pas activé de base (un simple bouton permet de l'activer, mais on est vraiment dans cette optique de sécurité/vie privée).
La configuration du mot de passe et de l'empreinte digitale m'a fait noter deux choses : l'une, l'écran clignotait un peu à chaque usage de l'empreinte digitale dans cette phase (le capteur est lumineux puisqu'il est sur l'écran) et, plus important, GrapheneOS n'intègre pas de déverrouillage par schéma, même de grande taille : c'est soit par code, soit par mot de passe soit sans simplement par balayage (c'est-à-dire qu'il n'y a pas de verrouillage). GrapheneOS considère que le schéma donne une illusion de sécurité et n'est donc pas compatible avec la ROM.
Ensuite, on peut restaurer des données mais je n'ai pu tester.

Arrivée sur GrapheneOS :

Arrivée sur GOS

C'est un accueil très minimaliste, tout de noir et de blanc, avec quelques applis.
Vanadium est le navigateur basé sur Chromium développé par l'équipe de GrapheneOS. Un lecteur PDF est inclus.
Il y a un petit gestionnaire d'apps dont vous pouvez voir une impression d'écran (il existe aussi le traditionnel volet déroulant, identique à celui de LineageOS plus bas). Il propose d'ailleurs d'installer Google Play Services, et GrapheneOS permet de l'installer dans un bac à sable.

Apps_GOS

Les options me semblent très normales, avec quelques réglages variés un peu partout. Je note la présence de l'auto-reboot réglé sur 18 heures : cela signifie que si le téléphone n'a pas été utilisé durant 18 heures, alors il redémarre. C'est parce qu'Android semble avoir deux conditions de chiffrement : avant et après le premier déverrouillage. Bref, en gros, c'est plus sécurisé de redémarrer l'ordiphone.
Le code PIN peut aussi être mélangé (les chiffres sont disposés aléatoirement sur l'écran de déverrouillage.
Il y a de nombreux réglages de sécurité et de vie privée dont on peut retrouver la documentation ici : https://grapheneos.org/features
Je n'ai pas pu tester, mais GrapheneOS gère Android Auto.

Concrètement, il y a beaucoup d'options et l'OS propose souvent des descriptions, mais il est un peu difficile de "tout gérer" à mon avis. J'ai l'avantage d'avoir une utilisation très simple de mon ordiphone, donc je suis peu embêté, mais le tout demande vraiment de se poser la question de ce qu'on veut partager et à qui. C'est le but de l'OS d'ailleurs.

Installation de F-Droid sur GrapheneOS :

F-Droid s'installe via le téléchargement de l'APK sur le site Web. J'aurais bien aimé une intégration comme le Google Play, mais ce n'est pas grave.
Comme vous pouvez le voir, les icônes ne s'accordent pas au thème de GrapheneOS, il y a bien une version bêta pour les couleurs des icônes, mais elle ne fonctionne pas pour toutes les applications.

Style_GOS

Performances de GrapheneOS :

C'est rapide, fiable, sans superflu. La batterie tient bien la route (dans mon cas, 50% en 60 heures).

À noter concernant GrapheneOS :

On ne peut pas être root sur GrapheneOS mais on peut utiliser adb tout de même (mais pas en root, donc).
On ne peut pas allumer la lampe torche via un long appui sur le bouton Power.
Caféine n'est pas intégré à l'OS.

Installation de LineageOS :

La procédure est identique à celle de GrapheneOS jusqu'à l'arrivée dans le chargeur de démarrage. Ensuite, connecté au PC, l'ordiphone est flashé avec fastboot et quelques procédures bien expliquées (je ne les retranscris pas ici parce qu'elles peuvent dépendre de votre matériel, LineageOS était compatible avec des centaines de smartphones).

La différence principale est que LineageOS ne permet pas de verrouiller le bootloader.

Configuration de base de LineageOS :

C'est assez identique à GrapheneOS. J'ai noté plusieurs différences cependant :
- Il y a une option supplémentaire dans les réglages de localisation : celle-ci peut se servir des réseaux pour accélérer les performances du GPS. L'option peut être désactivée.
- LineageOS demande si vous acceptez l'envoi d'informations anonymisées permettant d'aider le projet.
- On peut configurer un schéma de déverrouillage.
- Pas de souci de clignotement (c'est vraiment un détail)
- LineageOS demande quel type de navigation on préfère (soit par gestes, soit par boutons apparents ou non)

Arrivée sur LineageOS :

Arrivée sur LineageOS

C'est aussi très minimaliste ; un petit volet "Trust" est apparent (pas sur l'impression d'écran), c'est une centralisation de plusieurs informations de sécurité et de vie privée. On peut bien sûr créer plusieurs profils selon les besoins.
Il n'y a pas de lecteur PDF inclus (contrairement à GrapheneOS) : il faudra le télécharger.
Le navigateur est Jelly, il est basé sur Webview (qui est le navigateur d'Android à ce que j'ai compris). C'est assez minimaliste (par exemple, un nouvel onglet ouvre une nouvelle fenêtre…ça peut plaire à certains nostalgiques d'ailleurs !).

Apps_LOS

Les options sont aussi assez variées : il y a également le PIN scrambling mais pas d'auto-reboot.
Android Auto n'est pas géré de base / sur tous les téléphones, mais peut être installé à ce que j'ai compris. À voir donc.

Pas mal de réglages un peu partout, encore plus en mode développeur. La configuration esthétique est plus poussée que sur GrapheneOS comme on peut le voir après cette installation de F-Droid identique à celle de GrapheneOS : on peut changer les icônes, le style de celles-ci. Le menu déroulant n'en profite pas puisqu'il est garni de gros boutons (que je n'aime pas trop) qui existent depuis Android 12. Il y a aussi un mode pour unifier les icônes mais ça ne fonctionne pas non plus avec toutes les applications.

Style_LOS

Caféine est disponible ainsi l'activation de la lampe de poche par pression sur le bouton Power.

La vie privée est pas mal respectée mais moins compartimentée que sur GrapheneOS.

Performances de LineageOS:

Elles sont très similaires à celles de GrapheneOS.

Conclusion :

Ce sont deux roms très intéressantes avec des philosophies assez différentes. Les communautés sont actives et relativement accessibles. GrapheneOS vise la sécurité et la vie privée, LineageOS la personnalisation et la compatibilité avec davantage de matériel. Possiblement une extension de la durée de vie des appareils. Dans sa philosophie, GrapheneOS n'est pas réellement censée durer plus longtemps que le système de base mais rien n'empêche de le garder un peu plus longtemps même si cela casse son design de base.

  • # Lecteur PDF

    Posté par  (site web personnel, Mastodon) . Évalué à 4. Dernière modification le 22 février 2024 à 07:51.

    Je n'ai jamais trouvé un lecteur PDF qui s'intègre bien avec des Android plus récent que la version 4 et qui sache utiliser le service d'impression d'Android.

    Collabora Office est bien capable d'ouvrir et imprimer dds PDFs, mais il est vraiment très lent à l'ouverture, difficile à naviguer et à trouver l'option d'impression cachée sous le menu "Fichier".

    Heureusement, depuis quelques mois, Firefox pour Android permet d'utiliser le lecteur PDF de Firefox et, en plus, le service d'impression est disponible avec le bouton "Imprimer" du menu de Firefox (le bouton n'est pas visible dans la barre d'outil du lecteur PDF, mais il gagnerait à y être).

    Je crois que ça a été réglé récemment, mais Firefox n'était pas proposé comme lecteur PDF quand j'essayais d'ouvrir un PDF depuis une autre application.


    PS: merci pour le comparatif, il est très bien fait 🙂

    • [^] # Re: Lecteur PDF

      Posté par  . Évalué à 5.

      Mais c’est vraiment très utilisé cette fonction d’impression ? Vous avez souvent besoin d’imprimer un PDF que vous regardiez sur votre téléphone ? (Vraie question hein ; pour moi c’était juste un cas d’usage ultra exceptionnel mais ça fait deux fois en une semaine que j’entends ça)

      • [^] # Re: Lecteur PDF

        Posté par  (Mastodon) . Évalué à 6.

        Il y a plein de gens qui n'allument leur ordi qu'en dernier ressort.

        • [^] # Re: Lecteur PDF

          Posté par  . Évalué à 3.

          personnellement comme beaucoup dans mon entourage, le téléphone ne rattrape absolument pas le confort de l'ordi..

          ya clairement deux écoles, comme services indépendants vs gafam, certains font absolument tout sur tel, d'autres tout sur ordi.

          jm'en suis déjà pris une belle pour avoir nécessité à une personne de répondre à un SMS "rhaaa je déteste devoir prendre mon téléphone"

      • [^] # Re: Lecteur PDF

        Posté par  . Évalué à 2. Dernière modification le 22 février 2024 à 13:16.

        J'ai une application qui se connecte à mon imprimante, je ne passe donc je suppose pas par le service impression d'android. Mais oui, j'utilise l'impression plus régulièrement depuis mon téléphone que depuis mon PC. Ceci dit, c'est surtout des documents trouvé lors de recherches rapides ou reçus par e-mail que des documents que j'ai pondu moi même. Comme dit dans l'autre commentaire, pourquoi allumer le PC si t'as déjà le document sur ton téléphone..

      • [^] # Re: Lecteur PDF

        Posté par  (site web personnel, Mastodon) . Évalué à 2.

        Il y a 2 cas pour moi:

        • j'ai reçu sur mon téléephone un mail avec un pdf que je dois signer. Je l'ai déjà sous les yeux, autant l'imprimer depuis là sans devoir démarrer mon laptop pour retrouver le même mail
        • pour des travaux actuellement je vis chez des connaissances qui ont une imprimante qui ne fonctionne pas avec Linux, mais très bien avec Android. C'est temporaire alors imprimer depuis Android est largement suffisant.
      • [^] # Re: Lecteur PDF

        Posté par  . Évalué à 2.

        1 fois par semaine, impression, signature / remplissage de formulaires, scan depuis mon téléphone. La flemme de passer sur l'ordinateur pour faire ça.

  • # Ça vaut bien une dépêche

    Posté par  (site web personnel, Mastodon) . Évalué à 5.

    Il faudra seulement une petite intro. Une dépêche donnera plus de visibilité.

    « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

  • # Carte µSD

    Posté par  . Évalué à 3.

    Quid des possibilités de chiffrement des cartes µSD sur les deux systèmes ?
    Je pose naïvement la question car je n'ai pratiquement jamais eu entre les mains de téléphone Android et encore moins Graphene OS et Lineage OS, mais de ce que j'ai pu lire au travers des forums, j'ai l'impression que les solutions ne sont pas triviales.

    • [^] # Re: Carte µSD

      Posté par  . Évalué à 3.

      Je ne pense pas que les cartes SD soient chiffrées, sauf si tu fusionnes les deux mémoires (l'OS considère la microSD comme une extension de la mémoire principale, donc). Je ne pense pas que GrapheneOS déroge à la règle (et les Pixel n'ont plus de port µSD je crois).

      • [^] # Re: Carte µSD

        Posté par  (site web personnel) . Évalué à 1.

        Il y a bien du chiffrement par défaut sur GrapheneOS. Il se fait par utilisateur/profil (ce n'est pas une clef pour tout le stockage).

        • [^] # Re: Carte µSD

          Posté par  . Évalué à 2.

          Sur la carte µSD du coup ? Quels modèles sont compatibles ? Je n'ai pas trouvé l'information.

          • [^] # Re: Carte µSD

            Posté par  . Évalué à 3.

            La question d'origine concernait bien les cartes micro SD externes ? Sauf erreur, Graphene OS ne s'installe que sur des téléphones Google Pixel, qui n'ont pas de micro SD. Son chiffrement par défaut, comme celui de LineageOS, s'applique à la sdcard interne.
            Je suis moi-même à la recherche d'une solution de chiffrement de la micro SD qui soit transparente pour les applis Android et qui puisse être déchiffrée sous Linux.

            • [^] # Re: Carte µSD

              Posté par  . Évalué à 2. Dernière modification le 23 février 2024 à 19:14.

              La question d'origine concernait bien les cartes micro SD externes ?

              Oui.

              Je suis moi-même à la recherche d'une solution de chiffrement de la micro SD qui soit transparente pour les applis Android et qui puisse être déchiffrée sous Linux.

              Sailfish OS ! Mais ce n'est pas une solution entièrement libre. Pour autant cela reste une des solutions alternative possible.

  • # Matériel

    Posté par  . Évalué à 7.

    C’est dommage tu n’as pas spécifié une différence importante entre les 2 ROM.
    Lineage a pour but de supporter un maximum de matériel
    Graphene se limite aux téléphones emportant certains composants de sécurité qui ne se trouve pas partout. Soit uniquement les téléphone Pixel de chez Google, ce que je trouve un peu ironique pour un téléphone orienté vie privé. Ensuite ils ne ferment pas la porte à d’autre téléphone, mais c’est a vous de générer l’image par vos propre moyen.

    • [^] # Re: Matériel

      Posté par  . Évalué à 4.

      Je le précise indirectement :

      (je ne les retranscris pas ici parce qu'elles peuvent dépendre de votre matériel, LineageOS était compatible avec des centaines de smartphones).

      GrapheneOS vise la sécurité et la vie privée, LineageOS la personnalisation et la compatibilité avec davantage de matériel.

      • [^] # Re: Matériel

        Posté par  . Évalué à 2.

        En effet, j’ai lu un peu vite ce passage

    • [^] # Re: Matériel

      Posté par  . Évalué à 5.

      La raison est cohérente avec l'approche sécurité de GrapheneOS: seuls les Pixels permettent de reverrouiller le bootloader.
      C'est ironique je te l'accorde.

      Je n'avais pas fait attention que l'on peut soit-même générer une image pour un appareil.
      Je crains que ce soit extrêmement raide comme apprentissage, un gouffre de temps pour un résultat incertain.
      A défaut d'avoir trouvé des retours chez XDA qui ont verrouillé leurs forums y compris la recherche.

    • [^] # Re: Matériel

      Posté par  . Évalué à 2.

      effectivement, je viens de le lire, ce serait une grande erreur que de ne pas le rectifier dans le journal d'origine (et pas que en commentaires ) : graphene ne peut être installé QUE sur téléphone pixel (et une autre marque je crois)

      sur un samsung ordinaire, ca passera pas

    • [^] # Re: Matériel

      Posté par  . Évalué à 2.

      Soit uniquement les téléphone Pixel de chez Google, ce que je trouve un peu ironique pour un téléphone orienté vie privé.

      google essaie de récupérer les geeks par tous les moyens pour éviter de se retrouver "avec les miettes" et ainsi piquer la place de samsung dans l'univers android.

      et en profiter pour se mettre à fond "respect de la vie privée" comme leur concurrent numéro 1, apple.

  • # GrapheneOS

    Posté par  (site web personnel, Mastodon) . Évalué à 10. Dernière modification le 22 février 2024 à 10:29.

    Merci pour le journal.

    Quelques précisions sur GrapheneOS :

    • Il est possible d'utiliser l'ancienne interface à 3 boutons ou le mode gestuel, ce dernier étant recommandé.

    • Les icônes en noir et blanc me semblent être une mauvaise idée (et je ne suis pas le seul, à en juger par certains commentaires sur Internet). Mais au fur et à mesure que l'on installe d'autres applications, il y a plus de couleurs, c'est plus agréable.

    • Ce qui n'est pas mentionné dans le journal, mais reste important, c'est que le lecteur PDF et le navigateur intégré bénéficient d'une sécurité renforcée, selon la documentation.

    • MicroG n'est pas utilisé car il se connecte aux serveurs Google par défaut pour certaines fonctions (d'après ce que j'ai lu). À la place, GrapheneOS compartimente les services Google. Ces derniers ne sont pas installés par défaut, mais s'ils le sont, ils possèdent les mêmes droits que n'importe quelle autre application, ce qui est une énorme avancée. Cela signifie une excellente compatibilité avec la plupart des applications, sans octroyer un accès excessif à ces services. Cette fonctionnalité pourrait à elle seule justifier l'utilisation de GrapheneOS.

    • Par ailleurs, l'utilisation de profils différents est encouragée, le nombre de profils autorisés étant nettement supérieur à celui des ROMs d'origine.

    • La gestion des permissions est plus précise. Il est possible de révoquer la permission Internet pour empêcher une application de se connecter. Par exemple, si vous utilisez un clavier alternatif et souhaitez vous assurer qu'aucune donnée n'est envoyée à un serveur externe, vous pouvez désactiver l'accès au réseau. Une autre "killer feature" à mon avis.

    • Un système de "scopes" (périmètres) est disponible. Vous pouvez autoriser l'accès aux fichiers et à vos contacts tout en les limitant : soit l'application n'aura accès à rien, soit uniquement à ce que vous avez spécifié. Mais elle fonctionnera normalement parce que la permission est accordée, et pour l'application c'est transparent.

    • Même en utilisant les services Google, la localisation est par défaut redirigée vers les services de l'OS, donc aucune information n'est envoyée à Google. Cela fonctionne bien, mais certaines fonctionnalités peuvent manquer (comme la localisation d'un téléphone perdu ou volé). Elle peut être désactivée si vous tenez vraiment à envoyer tous vos déplacements à Google et que vous vous moquez de votre vie privée.

    • Au jour le jour, l'utilisation est agréable, et les ajouts de sécurité ne sont pas très gênants.

    • GrapheneOS n'est à ce jour officiellement compatible qu'avec les téléphones "Pixel", apparemment les seuls qui permettent de reverrouiller le système de démarrage (bootloader). Et ils offrent la même durée de support que le téléphone d'origine, puisqu'ils dépendent des mises à jour de sécurité.

    Deux astuces:

    1. Si vous utilisez plusieurs profils : comme ils sont isolés, le copier/coller ou le partage d'informations entre eux n'est pas possible. Ceci dit, en installant KDE Connect, les profils sont traités comme des appareils distincts. Modifiez leurs noms dans les paramètres de l'appareil pour simplifier leur gestion, puis installez KDE Connect sur votre profil principal et partagez l'installation avec les autres profils dans les paramètres. Vous pourrez ainsi partager des données entre les profils via KDE Connect.

    2. N'utiliser pas le F-Droid d'orgine, il est fait pour être compatible avec de veille versions d'Android, et n’implémente pas la mise à jour automatique des applications (c'est à dire que vous devez télécharger et manuellement installer chaque application à la main à chaque mise à jour). À la place, utiliser F-Droid Basic ou Neo Store, tous les 2 disponibles dans les dépôts F-Droid.

    • [^] # Re: GrapheneOS

      Posté par  . Évalué à 6.

      Concernant les téléphones perdus ou volés, l'application "Find my device" peut être utile : un envoi de SMS (à partir de numéros de téléphone que vous aurez autorisés), on peut choisir de faire sonner le téléphone, lui faire allumer le GPS et envoyer ses coordonnées ou même en effacer toutes les données. Ça ne fonctionne pas avec un téléphone éteint évidemment mais ça peut toujours servir.

      https://f-droid.org/fr/packages/de.nulide.findmydevice/

      • [^] # Re: GrapheneOS

        Posté par  . Évalué à 2.

        ca m'a l'air super, j'ai seulement peur que pour un tel de seconde main, il soit indispensable d'avoir un abonnement actif pour le retrouver, alors que le wifi peut être très appréciable

        j'aurais adoré une appli qui envoie la géoloc ET via requete SMS, email et xmpp.
        je reve un peu, mais ca me parait pas si tordu..

    • [^] # Re: GrapheneOS

      Posté par  (site web personnel) . Évalué à 3.

      Merci pour ce commentaire détaillé. Ça rapproche le jour où je rejoindrais la légion des utilisateurs d'ordinateurs jetables de smartphones. Si je comprends bien, il est possible d'avoir un profil dédié à des applications espionnes (du genre celles que la famille emploie pour échanger des nouvelles ou des photographies, ou bien celles de localisation), et un autre pour la vie de tous les jours ? Et il est possible de débrayer complètement l'un des deux, l'empêchant totalement de collecter et envoyer ces infos tant qu'il n'est pas en service ? C'est ma femme qui va être contente.

      « IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace

      • [^] # Re: GrapheneOS

        Posté par  (site web personnel, Mastodon) . Évalué à 5.

        Oui les profils sont complètement isolés, donc tu peux en avoir un avec les services Google par exemple, et les applications qui les nécessitent, et un sans.

        Par contre ça a quelques inconvénients, outre le partage plus compliqué (mais utilisable avec KDE Connect comme indiqué dans mon commentaire précédent), les notifications sont envoyés (si on autorise le profil à fonctionner en arrière plan) mais non lisibles tant qu'on ne change pas de profil : seul le nom de l'application source de la notification est affiché. Et il faut déverrouiller avec un code (l'empreinte digitale ne fonctionne pas dans ce cas) à chaque fois qu'on change de profil. Les appels et SMS sont désactivés par défaut mais on peut les activer par profil.

        Il y a d'autres choses super intéressantes dans GrapheneOS, ça vaut le coup de lire en détail la documentation. Par défaut l'adresse MAC est changée aléatoirement à chaque connexion WIFI par exemple.

      • [^] # Re: GrapheneOS

        Posté par  . Évalué à 6.

        Concernant le côté jetable de l'ordiphone :

        • Ma compagne utilise LineageOS depuis 2018 sur un appareil qui date de 2015.
        • J'utilise LineageOS depuis 2021 sur un appareil qui date de 2018.

        En revanche, on utilise juste F-Droid et le système de base ; je n'ai pas d'applications propriétaires, mais tu peux de plus en plus les "contraindre", c'est sûr.

        • [^] # Re: GrapheneOS

          Posté par  . Évalué à 2.

          100% pareil, tel de 2018, ramait en 2022, hyper réactif dégooglisé en 2024. Sans applis proprio

  • # Plus d'infos

    Posté par  (site web personnel) . Évalué à 6.

    Pour les personnes intéressées, je suis tombé cette semaine sur ce site, avec pleins d'infos concernant GrapheneOS : https://wonderfall.space/

    • [^] # Re: Plus d'infos

      Posté par  . Évalué à 3.

      C'est très intéressant (et technique). J'ai lu trois articles et c'est vraiment bien.

  • # Table de comparaison des roms alternatives

    Posté par  (Mastodon) . Évalué à 9. Dernière modification le 22 février 2024 à 14:13.

    Cette table de comparaison des roms alternatives est intéressante pour savoir où chaque rom en est en terme de sécurisation / protection de la vie privée:

    https://eylenburg.github.io/android_comparison.htm

    Elle est mise à jour régulièrement.

  • # GraphenOS vs root

    Posté par  . Évalué à 1.

    On ne peut pas être root sur GrapheneOS mais on peut utiliser adb tout de même (mais pas en root, donc).

    Aucun contournement n'est possible ? C'est tout de même bien pratique d'avoir un accès root, ne serait-ce que pour faire des sauvegardes. Certes, on peut faire des "adb backup", mais ça suppose une manip manuelle et l'accès autant que de besoin à la machine sur laquelle on fait les sauvegardes. Difficile par exemple lorsqu'on est en voyage.

    • [^] # Re: GraphenOS vs root

      Posté par  . Évalué à 4. Dernière modification le 22 février 2024 à 21:48.

      Alors, de ce que j'ai compris, si, notamment via Magisk. Mais c'est très déconseillé par les développeurs de GrapheneOS puisque cela casse vraiment l'intérêt de l'OS. Le bootloader sera d'ailleurs déverrouillé (sauf avec un enième bricolage).

      La communauté y est d'ailleurs très fermée (sur ce sujet et d'autres) avec l'argument magique de "C'est pour la sécurité, donc non, cette option n'est pas disponible" et tu n'obtiendras pas vraiment d'aide sur ce sujet par là. Les forums XDA sont un peu plus ouverts sur le sujet.

      Quelques infos ici (les plus pertinentes que j'ai trouvées jusqu'à maintenant) : https://xdaforums.com/t/fyi-magisk-works-on-grapheneos-and-calyxos.4473445/

  • # le S c'est pour Sécurité dans "biométrie"

    Posté par  (site web personnel) . Évalué à 6. Dernière modification le 23 février 2024 à 08:46.

    GrapheneOS considère que le schéma donne une illusion de sécurité et n'est donc pas compatible avec la ROM.

    Pourquoi la biométrie est-elle considérée plus sécurisée qu'un mot de passe ? Comment je fais pour révoquer mes empreintes en cas de compromission ?

    Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

    • [^] # Re: le S c'est pour Sécurité dans "biométrie"

      Posté par  (site web personnel, Mastodon) . Évalué à 4.

      Je pense qu’il s’agit de « schéma » fait en glissant les doigts sur une grille (ce qui revient au même qu’un code « pin » numérique, avec limitation, comme la CB, au final)

      “It is seldom that liberty of any kind is lost all at once.” ― David Hume

    • [^] # Re: le S c'est pour Sécurité dans "biométrie"

      Posté par  . Évalué à 4.

      GrapheneOS considère le schéma comme une fausse illusion de sécurité, pas le mot de passe. Tu peux donc avoir un mot de passe + la biométrie, mais pas de schéma.

    • [^] # Re: le S c'est pour Sécurité dans "biométrie"

      Posté par  (site web personnel, Mastodon) . Évalué à 5.

      Un schéma est beaucoup plus facile à voir par dessus l'épaule, et on ne peut pas mélanger les positions. Dans GrapheneOS tu as la possibilité de mélanger les chiffres pour limiter le risque de voir le code par dessus l'épaule. Si tu veux les détails, c'est sur ce ticket : https://github.com/GrapheneOS/os-issue-tracker/issues/570

      Le lecteur d'empreinte est durci par rapport à la ROM d'origine, il est limité à 3 essais, et est désactivé plus facilement (quand on change de profil par exemple, il faut passer par le code).

      Par contre en public, je trouve ça plus sûr et plus pratique d'avoir le lecteur d'empreinte, plutôt que faire son code devant tout le monde.

      J'ai aussi entendu parler d'une application qui verrouille le téléphone et désactive le lecteur d'empreinte s'il détecte un mouvement brusque (du type "on prend le téléphone de force").

  • # Possibilité de limiter le sideloading sur GrapheneOS ?

    Posté par  . Évalué à 2.

    Merci pour cette comparaison.

    J'utilise LineageOS au quotidien et un petit point me chagrine : l'impossibilité de bloquer l'installation d'application via un fichier APK !

    Sur Android/Google, Play Store joue a cette fonction de contrôle (via le compte GMail) mais sur LineageOS, rien de tel. N'importe qui peut installer n'importe quel programme sur un smartphone (déverrouillé) sous LineageOS avec un fichier APK via l'explorateur de fichiers et il n'y a, sauf erreur de ma part, aucun moyen d'empêcher cela.

    "It's not a bug, it's a feature" peut-être mais ça me parait quand même sacrément léger…

    GrapheneOS diffère-t-il de ce point de vue ?

    Et autre question : LineageOS est livré avec les options de débogage activées, est-ce également le cas pour GrapheneOS ?

    • [^] # Re: Possibilité de limiter le sideloading sur GrapheneOS ?

      Posté par  . Évalué à 4.

      GrapheneOS n'est pas livré avec les options de débogage USB activées.

      Pour l'interdiction de fichiers APK, tu peux empêcher l'installation depuis des sources inconnues mais ce que tu voudrais, c'est un système qui demande un mot de passe par exemple ? Parce que, de base, l'OS te demande de mettre sur liste blanche sa capacité d'installation de fichiers APK, ce n'est pas du "clic > ça fonctionne". C'est plutôt du "clic > autorisez-vous l'installation via cette source ? > installation".

    • [^] # Re: Possibilité de limiter le sideloading sur GrapheneOS ?

      Posté par  (site web personnel, Mastodon) . Évalué à 4.

      Sur GrapheneOS tu peux faire un profil avec interdiction d'installer ou mettre à jour des applications. Tu peux dans cas faire un profil "d'installation", et utiliser celui où ça n'est pas possible comme profile principal (depuis le profil d'installation, tu peux choisir quelle application partager avec les autres profils).

      Et normalement il faut explicitement autoriser un navigateur ou n'importe quelle application pour qu'elle puisse installer quelque chose.

      Ceci dit, si quelqu'un a un accès à un téléphone déverrouillé, c'est déjà mal embarqué.

      Note qu'il y a aussi un profil "guest", si tu veux temporairement prêter le téléphone à quelqu'un (je crois que ça vient d'Android AOSP, donc de base).

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.