Une récente enquête du journal Le Monde rappelle que le marché de la donnée personnelle est florissant et qu’une grande partie de ces données proviennent d’un truc qui traîne dans nos poches depuis quelques années: Le smartphone.
Les données personnelles géolocalisées de millions d’utilisateurs sont agrégées par des courtiers en données, dans des conditions douteuses. Une menace pour la vie privée des personnes, révèle une enquête du « Monde », menée en partenariat avec plusieurs médias internationaux.
Ou encore
The tool relies on the mobile advertising ID that Google and Apple assign to each phone to serve users targeted ads. Advertisers can then build a growing profile of information around that ID based on where it accesses services that deliver ads. That can also creates a network of locations that data brokers like Babel Street, which makes Locate X, can use to create tracking tools.
Si vous êtes sur Android, allez regarder le site d’Exodus privacy pour voir combien de trackers trainent dans vos applications préférées…
Chez Apple la situation semble un peu meilleure mais il y a aussi des limites.
Even so, it’s important to bear in mind that when you ask apps not to track you, what you’re saying is that you don’t want app developers to have access to your unique identifier that Apple creates specifically for advertisers – your IDFA. Denying access to your iPhone’s IDFA doesn’t necessarily mean app developers won’t track you through other means, so it’s critical to be mindful of the apps you use and how you interact with them.
Bien conscient du problème que cela représente j’ai adopté depuis longtemps des systèmes de blocage des trackers. Cette fois-ci je passe à la vitesse supérieure et bascule sur un OS sécurisé. Malgré tout je conserve quelques applications et usages très limites comme strava ou garmin connect :-/
Le téléphone
Un google pixel 6. Seuls les téléphones Pixel sont compatibles avec grapheneOS. Par ailleurs, seuls les modèles encore supportés par Google peuvent revevoir les mises à jour de sécurité.
grapheneOS
Un OS sécurisé et respectant la vie privée. Il n’y a aucune application google de base et si comme moi vous avez acheté des applications sur le Playstore, vous pouvez installer celui-ci en sandbox pour permettre de déployer les applications concernées. Le gros avantage c’est que les services Google n’ont quasi aucun droits sur le téléphone.
Autre point important, l’OS n’est pas rooté ce qui ne compromet pas sa sécurité et le bootloader est verrouillé après l’installation.
Quelques points intéressants:
- Dans les permissions, on peut interdire l’accès au réseau à une application (Par exemple l’application caméra de google si on l’utilise pour sa gestion du hardware du Pixel).
- On peut donner accès à une partie limitée des contacts aux applications qui en ont besoin
- On peut isoler une partie du système de fichier pour chaque application. Par exemple un application de caméra ne pourra accéder qu’au dossier photos.
- On peut créer une “zone” privée pour y mettre certaines applications. Celles-ci seront isolées et seront fermées au verrouillage du téléphone.
L’installation est hypersimple et se passe sur un PC depuis un navigateur ou en CLI. Il faut une vingtaines de minutes pour basculer de l’OS de google à GrapheneOS. L’opération est réversible si votre nouvel OS ne vous plaît pas.
Au début, c’est assez perturbant, quasiment aucune application n’est installée. Il faut alors aller dans l’ app store pour installer le playstore de google et les services associés.
Bien entendu les puriste pourront se passer intégralement du playstore et utiliser F-droid ou Aurora Store. Pour ma part je continue de l’utiliser pour ne pas perdre en fonctionnalités par contre avec une gestion de la vie privée grandement améliorée.
Applications Android
Toutes les applications que j’utilise y compris la banque (Banxo) ont parfaitement fonctionné sur GrapheneOS. Certaines demandent une petite adaptation mais rien d’insurmontable.
La liste
| Application | Fonctionnelle | Commentaire | |
|---|---|---|---|
| Acalendar+ | Agenda | Oui | |
| Appareil photo (Google) | Photo | Oui | Accès réseau interdit |
| Aurora store | Magasin d’applications | Oui | |
| Authenticator | Authentification à 2 facteurs | Oui | Accès réseau interdit |
| … | Banque | Oui | Guide des applications bancaires testées |
| Bitwarden | Gestionnaire de mots de passe | Oui | |
| Brave | Navigateur web | Oui | |
| Garmin connect | Sport | Oui | |
| Strava | Sport | Oui | |
| Davx5 | Synchronisation caldav | Oui | |
| Genius Scan | Scanner avec synchro nextcloud | Oui | |
| Futo keyboard | Un clavier opensource 100% offline | Oui | |
| Simple gallery pro | Une gallerie sans fioritures | Oui | |
| Joplin | Prise de note en Markdown avec synchro sur le PC | Oui | |
| Kmail | Client mail infomaniak | Oui | |
| Komoot | Navigation pour la rando / vélo | Oui | |
| Locus map | Navigation pour la rando / vélo | Oui | |
| Magic Earth | GPS Voiture | Oui | |
| Memories | Gallerie pour nextcloud | Oui | |
| Nextcloud | Synchronisation de fichiers, sauvegarde automatique des photos | Oui | |
| Spotify | Streaming musique | Oui | |
| Tusky | Client Mastodon | Oui | |
| Wallabag | Enregistrement et lecture hors ligne d’articles | Oui |
Personal DNS Filter
Permet de bloquer une grande partie des trackers présents dans les applications. Il déploie un VPN local qui permet de capturer les flux internet pour filtrer les appels vers les sites de trackers. Suivre la documentation d’installation de Seb Sauvage
Yuka
Impossible de l’installer via le playstore en mode sandbox par contre une installation via le store Aurora en mode anonyme a parfaitement fonctionné.
Pour transférer une sauvegarde réalisée avec un compte google, il est nécessaire que le Google play services ait accès temporairement aux contacts pour restaurer la sauvegarde issue d’un compte Google. Sinon il faut passer par une sauvegarde locale.
Autres applications
Allez jeter un oeil à cette liste: https://sebsauvage.net/wiki/doku.php?id=android