Graphene OS

Par un salop d'anonyme

Graphene OS est un fork d'android orienté sur la sécurité et l'anonymat. Pour cela, il retire les applications fortement liées à Google et les place dans une sandbox lorsqu'ils sont utilisés.

Pré-requis

  • Avoir un téléphone Pixel compatible. A l'heure de l'écriture de cette saloperie de tutoriel, les Pixels sortis entre le Pixel 6 et le pixel 9A sont compatibles

Installation

Suivre les étapes de configuration web sur le site de Graphene OS : https://grapheneos.org/install/web

Configuration

Avant d'installer des applications, aller dans les paramètres et désactiver l'option "Allow sensors permissions to apps by default" Ces permissions donnent accès a des capteurs non couverts par les permissions de base comme l'accéléromètre, le thermomètre, la boussole ou d'autres capteurs. Certaines applications ont besoin de ces droits auquel cas graphene os fera une notification pour dire que l'accès a un capteur a échoué et vous pourrez autoriser a ce moment la et redémarrer l'appli pour que ce changement de droits soient pris en compte.

App stores

Graphene OS propose un app store minimal. Cet app store minimal propose de télécharger Accrescent, un app store minimal un peu plus fourni.

Une fois Accrescent téléchargé, utiliser accrescent pour télécharger l'application App Verifier. C'est une application qui permettra de valider la signature des APK téléchargés par d'autres moyens.

Télécharger le dernier APK dObtainium sur github et utiliser App Verifier pour vérifier que la signature correspond à celle indiquée dans le README du repo. Obtainium permet d'automatiser le téléchargement de mises à jour pour des applications dont les APK sont disponibles sur github, gitlab, F-Droid ou directement téléchargeables depuis un site. Pour certaines applications dont l'installation n'est pas d'une, https://apps.obtainium.imranr.dev/ propose des configurations prètes à l'emploi. Ce site n'est cependant pas exhaustif sur les applications pouvant être installées.

Utiliser Obtainium pour installer Aurora Store (pensez a bien vérifier la signature). Aurora store est un app store permettant l'installation d'applications du google Play Store sans authentification et en passant par des proxy pour rester Anonyme. Quelques rares applications (généralement les banques) ont besoin de l'API du play store pour certaines actions, auquel cas, passer par le play store (installable depuis le premier app store utilisé) sera nécessaire. Il est, sinon, préférable d'utiliser Aurora Store

Après l'installation de tous ces app stores, lorsque vous souhaiterez installer une nouvelle application, le mieux est de

  • Regarder si l'application ou un équivalent répondant au besoin est disponible dans l'app store graphene OS
  • Sinon, regarder dans Accrescent
  • Sinon, chercher une source fiable de l'APK et passer par Obtainium
  • Sinon, utiliser Aurora store
  • Dans le cas ou l'application aurait besoin des services google, passer par le google play store

Profils

Lors de l'installation du téléphone, le profil Owner sera utilisé. Si vous souhaitez séparer des utilisations de votre téléphone, il est recommandé de créer plusieurs profils utilisateurs. Par exemple, créer un profil séparé pour l'installation du google play et des applications liées est conseillé

Conseils d'applications

  • Aegis (obtainium) : gestionnaire de 2FA équivalent à google Authenticator ou Authy
  • Calendar (obtainium) : application d'agenda pouvant se synchroniser avec un serveur CalDav (nextcloud par exemple) par l'intermédiaire de Davx5. Le hash de la signature de cet APK est difficile à trouver
  • Pixel Camera (Aurora store) : une application permettant de profiter au mieux des capacités de l'appareil photo des téléphones pixel. Désactiver l'autorisation d'accès au réseau (ça reste Google)
  • CoMaps (obtainium) ou Organic Maps (Accrescent) : remplaçant de google Maps fonctionnant hors ligne (une fois les cartes téléchargées). Le premier est un fork du second pour des raisons de gouvernance
  • DavX5 (obtainium depuis Github) : permet la synchronisation de CalDav (calendriers), CardDav (contacts) et Webdav (fichiers) avec un serveur compatible (Nextcloud par exemple)
  • Foldersync (Aurora store pour la version gratuite, Obtainium pour la version payante) : permet de synchroniser des fichiers locaux avec de nombreux types de serveurs de fichiers
  • Heliboard (obtainium) : Clavier personnalisable. L'installation d'une lib closed source supplémentaire permet le swipe keyboard avec
  • Immich (obtainium) : Equivalent de google photo sans google. Nécessite un serveur configuré pour. (pas de hash trouvable pour vérifier l'apk 😢)
  • NewPipe (obtainium) : Youtube sans pubs ni trackers
  • Sleep (obtainium) : Application de réveil et de suivi du sommeil
  • Signal (obtainium) : Application de conversation chiffrée de bout en bout

Configuration spécifiques

Pour mettre en place des sauvegardes régulières, Graphene OS propose un system automatique de backup quotidiennes. Il est recommandé d'utiliser un serveur WebDAV pour la synchronisation mais la sauvegarde peut sinon être faite sous forme de fichier sur le téléphone puis synchronisée avec FolderSync