GrapheneOS – s’affranchir de Google et d’Apple

 (blog.tomaszdunia.pl)
6 points par GN⁺ 2026-02-18 | 1 commentaires | Partager sur WhatsApp
  • GrapheneOS est un système d’exploitation open source basé sur Android conçu en donnant la priorité absolue à la protection de la vie privée et à la sécurité ; il supprime l’intégration des services Google afin de bloquer la collecte de données par les entreprises
  • Il est optimisé exclusivement pour la gamme Google Pixel et s’appuie sur la puce de sécurité Titan M ainsi que sur Verified Boot pour garantir l’intégrité du système
  • Les utilisateurs peuvent exécuter les services Google Play dans un environnement sandbox isolé, ce qui permet d’utiliser les applications nécessaires tout en limitant leurs droits d’accès au système
  • Via Obtainium et Aurora Store, il est possible d’installer des applications open source et des applications sans GMS, tout en contrôlant finement les permissions des applications et en isolant les données sensibles avec Private space
  • Le système est considéré comme une alternative réaliste pour les utilisateurs qui veulent sortir de la dépendance aux écosystèmes Google et Apple

Présentation de GrapheneOS

  • GrapheneOS est un système d’exploitation renforcé pour la sécurité (custom) basé sur l’Android Open Source Project (AOSP)
    • Il supprime l’intégration des services Google au niveau du système pour empêcher le pistage et la collecte de données
    • Le hardening du kernel et des composants principaux réduit au minimum les vulnérabilités face aux attaques
  • Les Google Play Services peuvent être exécutés dans un environnement sandbox isolé
    • L’utilisateur peut ainsi continuer à utiliser des applications populaires tout en limitant leur accès au système
  • À l’heure actuelle, seule la gamme Google Pixel est officiellement prise en charge
    • La puce de sécurité Titan M est mise à profit pour renforcer la protection des données

Appareils pris en charge et choix du terminal

  • En février 2026, la liste des appareils compatibles comprend les Pixel 6 à 10 ainsi que la Pixel Tablet, entre autres
    • Les Pixel 9a, 9 Pro, 10 Pro, etc., sont indiqués comme appareils recommandés
  • L’auteur a choisi un Pixel 9a, acheté pour environ 1600 PLN (environ 450 dollars)
    • Parmi ses atouts : 7 ans de support et un tarif raisonnable
    • L’auteur se dit satisfait de l’autonomie et des performances et envisage de le garder longtemps
    • Son point faible est une qualité photo inférieure à celle d’un iPhone 15 Pro ou d’un Galaxy Z Fold 6

Processus d’installation de GrapheneOS

  • Pré-requis pour l’installation : un smartphone Pixel, un câble compatible transfert de données et un PC équipé d’un navigateur basé sur Chromium (Windows 10/11 recommandé)
  • Résumé de la procédure
    • Déverrouillage du bootloader → téléchargement et flash de l’image système → reverrouillage du bootloader → restauration du verrouillage OEM
    • Activation de Verified Boot pour vérifier l’intégrité du système
    • Après l’installation, désactivation des options développeur puis redémarrage pour rétablir la sécurité

Façon d’utiliser GrapheneOS

  • GrapheneOS repose sur un compromis entre confort d’utilisation et respect de la vie privée
    • L’utilisateur peut ajuster librement les réglages selon le niveau de sécurité recherché
  • La fonction multi-profils utilisateurs permet de séparer deux profils, « Owner » et « Tommy »
    • Le profil Owner contient les services Google Play et des applications bancaires (mBank, T-Mobile)
    • Le profil Tommy conserve les données personnelles et les applications principales
    • En cas de besoin, supprimer le profil secondaire permet d’effacer rapidement les données personnelles
  • La fonction Private space permet d’isoler les applications financières ou sensibles dans un espace séparé
    • Exemples : Google Drive, mBank, Revolut, Santander, etc.
    • Certaines fonctions de paiement NFC ne fonctionnent pas dans Private space

Usage d’applications open source et sans GMS

  • Obtainium permet de gérer l’installation des fichiers .apk d’applications open source ainsi que leurs mises à jour automatiques
    • Principales applications utilisées : AntennaPod, Bitwarden, Brave, DAVx2, Signal, Organic Maps, Thunderbird, etc.
  • Aurora Store est un client open source de Google Play qui permet de télécharger des applications sans compte Google
    • L’usage d’un compte anonyme renforce la confidentialité, mais comporte un risque de blocage du compte
    • Le risque d’attaque de type Man-in-the-Middle doit être évalué par l’utilisateur selon le niveau de confiance accordé
  • Applications confirmées comme fonctionnant correctement sans GMS : Apple Music, Bolt, Discord, Duolingo, GitHub, Lidl Plus, Messenger, Reddit, Zepp, etc.

Contrôle des permissions et gestion de la sécurité

  • GrapheneOS permet un contrôle fin de l’accès au réseau et aux capteurs pour chaque application
    • Par exemple, FUTO Voice Input, FairScan, Librera n’ont pas besoin d’un accès à Internet
    • La plupart des applications n’ont pas besoin d’accéder aux capteurs, bien que cet accès soit autorisé par défaut
  • Chemin de gestion des permissions : appui long sur l’icône de l’application → App info → Permissions
    • Les choix sont Autoriser / Demander à chaque fois / Ne pas autoriser
  • Permission manager et Privacy dashboard permettent de consulter l’état global des permissions ainsi que leur fréquence d’utilisation

Soutien au projet

  • L’équipe de développement de GrapheneOS œuvre à la création d’un écosystème open source centré sur la sécurité
  • L’auteur estime que GrapheneOS constitue une alternative réaliste pour se détacher de la dépendance à Google et Apple et recommande de soutenir les développeurs

À lire aussi

1 commentaires

 
GN⁺ 2026-02-18
Avis Hacker News

  • J’utilise cet OS sur un p9 pro depuis environ un an. Globalement, il fonctionne bien
    J’avais entendu dire que Google Tap to Pay ne marchait pas, mais le Tap to Pay de Vipps fonctionne très bien. BankID marche, mais la connexion biométrique ne fonctionne pas. L’appli personnelle de DnB marche, mais l’appli pro est bloquée
    Bloquer les applis de cette manière est vraiment absurde. On peut tout faire via le site web. On peut même utiliser le site bancaire sous Linux, donc c’est assez comique de faire davantage confiance à Linux qu’à Windows
    Je ne recommande pas de séparer l’usage en plusieurs profils utilisateur. En matière de sécurité, ça n’apporte presque rien et c’est surtout pénible. Mais dans l’ensemble, j’en suis satisfait

    • J’ai entendu l’histoire d’un collègue qui avait subi un audit de sécurité dans une grande banque en ligne. Parmi les points d’audit, le risque prioritaire était toujours « l’appli s’exécute sur un téléphone rooté ! ». Alors même que les développeurs faisaient leur QA sur des téléphones rootés : un vrai théâtre de la sécurité
    • En Espagne, c’est différent. On peut accéder au site de la banque, mais les opérations réelles sont impossibles sans l’appli. Même la connexion au site exige une vérification d’identité via l’appli. Du coup, je récupère les applis sur Aurora Store et je ne fais mes opérations bancaires que sur mon Vollaphone
    • Je recommande de migrer vers GrapheneOS progressivement. Le plus important est de comprendre les frontières de sécurité application par application. Tap to Pay ne fonctionne pas et il est peu probable que ça change. Les applis bancaires sont très variables. Moi, je paie simplement par carte et je fais mes opérations bancaires sur le web. J’utilise des profils séparés pour le travail, le perso, les loisirs, etc., et le fait que les notifications ne se mélangent pas aide à rester concentré
    • J’utilise les sites bancaires depuis 2009 sur Ubuntu/Debian, et chaque banque a son propre système d’authentification. Certaines utilisent un appareil TOTP dont la batterie tient depuis 20 ans et qu’elles ne remplacent même pas. D’autres exigent appli + empreinte ou validation par SMS. Au final, il est difficile d’éviter la dépendance à Google ou Apple. GrapheneOS est aussi limité aux Pixel, donc la dépendance à Google reste présente
    • L’appli BankID a été complètement cassée en juin. J’ai écrit aux développeurs et on m’a répondu qu’ils ne bloquaient pas GrapheneOS volontairement. Au contraire, le développeur serait fan de GrapheneOS. En revanche, sur la version récente, la biométrie ne fonctionne pas parce que WebView n’est pas Chrome. Ça ressemble probablement à une simple erreur, donc je vais leur réécrire

  • J’ai installé GrapheneOS sur un Pixel 8, et je garde un vieil iPhone utilisé uniquement à la maison pour les paiements et les assurances. C’est contraignant, mais ça permet d’utiliser les applis officielles nécessaires tout en préservant au maximum la vie privée
    Pour les applis, j’utilise surtout F-Droid, Aurora en complément, et Obtainium en dernier recours. Parmi les applis Google, la seule vraiment indispensable pour moi est l’appareil photo, que j’isole en sandbox sans permission réseau
    Pour les sauvegardes, j’utilise une combinaison de Seedvault de GrapheneOS, immich et MyPhoneExplorer. Voici quelques applis open source que j’utilise souvent : Newpipe, Organic Maps, Wireguard, Signal, KOReader, etc.

    • Je partage aussi mes applis FOSS du quotidien : Aegis (2FA), Breezy Weather, OnlyOffice Documents, Aves, Termux, Unexpected Keyboard, etc. Installation facile avec Obtainium
    • J’aime bien Organic Maps. C’est propre, sans pub ni flux social. Le client desktop pour Linux est aussi utile
    • Récemment, je suis passé à CoMaps parce que l’intégration de l’édition OpenStreetMap est meilleure, ce qui m’a permis de faire ma première contribution
    • Ce genre de liste d’applis aide vraiment les nouveaux venus sur une plateforme. J’aimerais bien qu’il existe aussi un site de curation d’applis du même type pour le desktop Linux
    • Je me demande à quoi ressemblerait une appli comme Google Maps en sandbox. J’aimerais savoir si l’identification de l’appareil reste possible même sans connexion au compte

  • C’est ironique de devoir acheter un Pixel pour « sortir de Google », mais en pratique c’est le téléphone Android le plus ouvert. Déverrouiller le bootloader est facile, et la restauration l’est aussi

    • Il y a des infos selon lesquelles GrapheneOS prépare un nouveau partenariat avec un OEM pour un usage sans dépendance à Google (article Android Authority)
    • Les Pixel sont vraiment des appareils bien conçus. Les rendre inutilisables, même volontairement, est presque impossible. Cette vidéo montre quelqu’un qui a essayé. En achetant un appareil reconditionné d’occasion, on peut éviter de verser de l’argent à Google
    • J’utilise GrapheneOS sur un Pixel 6a, mais à cause du rappel batterie, je dois revenir à Android stock. Le processus de sauvegarde et de restauration est pénible
    • Aujourd’hui, le suivi de localisation au niveau matériel est tellement précis qu’une anonymat complète est impossible. Du coup, je pense qu’il vaut mieux adopter un modèle de « gray man » discret
    • Je n’ai pas pu essayer, mon Pixel 5 ayant rendu l’âme à cause d’un défaut d’écran et de carte mère

  • Avec GrapheneOS, on peut aussi sortir de l’écosystème des montres connectées grâce à GadgetBridge (gadgetbridge.org)
    La combinaison Thinkpad (NixOS) + Pixel 9 (GrapheneOS) + Amazfit fonctionne parfaitement. KDE Connect et GadgetBridge s’intègrent bien et permettent une synchronisation complète sans cloud

    • En revanche, GadgetBridge ne synchronise pas encore automatiquement les données d’activité (.fit, .gpx). J’utilise donc ActivityLog2 (lien) pour faire des sauvegardes manuelles. Si GadgetBridge prend un jour en charge la synchro de dossier local, je reviendrai dessus
    • Les montres Garmin sont assez ouvertes. J’envoie mes données vers InfluxDB, puis je les visualise sur des tableaux de bord Grafana
    • En alternative, il y a aussi la PineTime. On peut choisir soi-même l’OS
    • Mais au bout de quelques mois, les applis de banque, d’administration ou d’événements détectent souvent le bootloader déverrouillé et refusent de se lancer. Ça dépend des régions, mais c’est une contrainte bien réelle

  • J’utilise GrapheneOS sur un Pixel 9 et j’en suis très satisfait. Les fonctions suivantes m’ont particulièrement marqué

    1. L’appli appareil photo Pixel fonctionne parfaitement
    2. GPhotosShim permet l’aperçu sans Google Photos
    3. Android Auto, QuickShare, NFC, Yubikey et Screencast fonctionnent tous
    4. On peut bloquer l’accès aux capteurs et à Internet pour chaque appli
    • Les SSD externes sont aussi parfaitement reconnus. Testé jusqu’à 2 To en exFAT
    • Quelqu’un a aussi demandé si Android Auto exige l’installation de Google Play (documentation officielle)
    • Certains se demandaient aussi si Open Camera était suffisante ou si l’appareil photo Pixel apportait réellement quelque chose de plus
    • Il y avait aussi une question sur QuickShare : est-ce que ça fonctionne sans compte Google, et les données partent-elles chez Google ?
    • D’autres regrettaient que Yubikey ne soit pas compatible avec Bitwarden

  • J’utilise GrapheneOS depuis le Pixel 3a jusqu’au 10 Pro, et je pense que je ne pourrai plus revenir à un autre OS
    Ce qui me manque, en revanche :

    • ne pas pouvoir régler l’accès aux contacts de manière fine par label
    • ne pas pouvoir installer d’extensions dans le navigateur Vanadium
    • ne pas pouvoir utiliser plusieurs VPN en même temps (par ex. Tailscale + blocage des pubs + limitation de productivité, etc.)
      J’ai demandé ce genre de fonction dans une issue de l’appli Rethink, mais ce serait mieux si c’était pris en charge au niveau de l’OS
    • Avec les droits root, on peut faire du blocage de pub basé sur /etc/hosts avec AdAway depuis F-Droid. J’y ai même ajouté Reddit et HN
    • Avec le navigateur IronFox, on peut installer les extensions Firefox (disponible sur le store Accrescent)
    • En séparant les profils, on peut activer 2 ou 3 VPN en même temps
    • Les labels de contacts permettent déjà un certain contrôle partiel
    • Ça me donne envie de chercher un Pixel 10 Pro d’occasion

  • Il y a eu récemment sur HN une discussion sur les spywares capables de compromettre WhatsApp, Telegram et Signal au niveau de l’OS, et je me demandais à quel point GrapheneOS était sûr (discussion liée)

    • GrapheneOS avait déjà corrigé les principales vulnérabilités avant mi-2026 (notes de version). Bien plus rapidement que les grands fournisseurs
    • Bien sûr, ça ne peut pas arrêter des attaques étatiques, mais pour un utilisateur normal, c’est largement suffisant. Il suffit de voir que certains gouvernements européens veulent interdire GrapheneOS
    • Grâce à hardened_malloc, les attaques exploitant des vulnérabilités mémoire sont beaucoup plus difficiles. Cela dit, Android conserve encore une surface d’attaque importante
    • Il reste malgré tout beaucoup de blobs firmware et matériels, donc une sécurité totale est impossible. Le plus réaliste est de traiter l’appareil comme non digne de confiance
    • Certains disent que « ce n’est au fond qu’un fork d’Android, donc ce sera tout aussi vulnérable »

  • Quand je travaillais chez Microsoft, j’utilisais FreeBSD, mais comme adb était pénible, j’installais les ROM personnalisées depuis un portable Windows. Maintenant, j’utilise Fedora et c’est bien plus simple, car les drivers Android sont intégrés par défaut. Au final, j’ai eu plus de problèmes de pilotes sous Windows

    • Même expérience pour moi. Mes AirPods se connectaient immédiatement sous Linux, alors que sous Windows ils se déconnectaient sans cesse à cause de problèmes de pilotes

  • J’utilise GrapheneOS depuis 3 ans. La plupart des applis bancaires fonctionnent aussi sans problème, et j’ai installé Google Play en sandbox avec deux profils
    En revanche, il m’est arrivé une fois que l’appli Uber suspende mon compte sans raison. Je n’avais fait que créer le compte et réserver, puis j’ai été bloqué pour violation des conditions d’utilisation. Après plusieurs jours de discussions avec le support, le compte a été rétabli, mais ce genre de risque me fait hésiter

    • J’ai utilisé Uber sans problème sur GrapheneOS. Ça ressemble plutôt à un problème côté Uber
    • Ne pas pouvoir utiliser Uber n’est peut-être pas si grave. Les taxis payés en espèces sont plus éthiques et sûrs
    • J’ai aussi laissé tomber Uber et je ne prends plus que des taxis. C’est même moins cher
    • J’utilise très bien Uber sur GrapheneOS. Aucun problème
    • Certains se demandent aussi si c’est vraiment lié à GrapheneOS ou non