GrapheneOS : une version d’Android renforcée pour la sécurité

 (lwn.net)
1 points par GN⁺ 2025-07-25 | 2 commentaires | Partager sur WhatsApp
  • GrapheneOS est un système d’exploitation open source développé pour renforcer fortement la sécurité et la confidentialité d’Android
  • Il ne prend en charge qu’un nombre limité de matériels, notamment les appareils Google Pixel 6 à 9, et propose diverses fonctions de protection comme le hardening et le contrôle des autorisations utilisateur
  • Les applications Google Play peuvent être utilisées sous forme de sandbox, et les applications et fonctions inutiles sont supprimées par défaut
  • L’installation et la configuration initiale peuvent être peu intuitives ou prendre du temps, mais c’est une option utile pour les utilisateurs centrés sur la sécurité
  • En revanche, certaines applications et fonctions commerciales essentielles peuvent être moins pratiques à utiliser, et il existe aussi des inquiétudes sur la transparence de la gouvernance communautaire

Vue d’ensemble et contexte du projet

  • GrapheneOS est un projet open source de reconstruction d’Android né pour répondre aux problèmes de protection de la vie privée et de menaces de sécurité sur smartphone
  • Le projet part du constat que les distributions Android existantes ne défendent pas suffisamment les intérêts de leurs propriétaires ; séparé de CopperheadOS, il a ensuite évolué de façon indépendante sous l’impulsion de Daniel Micay
  • Une fondation basée au Canada, créée en 2023, soutient le développement, mais il existe très peu d’informations publiques sur son mode de fonctionnement ou sa transparence

Principales caractéristiques et stratégie de hardening

  • Basé sur l’Android Open Source Project (AOSP), le système applique une suppression importante de code ainsi qu’un grand nombre de correctifs de renforcement de sécurité
  • Parmi les changements majeurs figurent par exemple la bibliothèque hardened malloc() et l’intégrité du flot de contrôle (Control-Flow Integrity), qui améliorent la protection mémoire et la robustesse
  • La plupart des fonctions de sécurité sont conçues pour rester presque invisibles à l’utilisateur, afin de limiter au maximum les contraintes à l’usage

Installation et appareils pris en charge

  • Les appareils compatibles sont limités à la série Google Pixel 6 à 9, avec quelques exceptions pour les Pixel 4/5
    • Les modèles Pixel récents sont recommandés grâce à une garantie de 7 ans de mises à jour de sécurité et à la prise en charge de fonctions comme le memory tagging matériel basé sur ARMv9
    • La fonction de memory tagging est activée par défaut et contribue à prévenir les exploits dans l’OS et les applications compatibles
  • Deux méthodes d’installation existent : installation web et installation en ligne de commande, mais l’installation web est officiellement considérée comme plus stable

Expérience de prise en main

  • GrapheneOS offre des applications par défaut limitées et peu de fonctions de migration des données ; l’utilisateur doit donc refaire entièrement sa configuration initiale
  • Applications par défaut : seul un navigateur web (Vanadium), une application photo, un lecteur PDF et sa propre boutique d’applications sont fournis
    • Le Google Play Store et les applications associées ne sont pas inclus par défaut (mais peuvent ensuite être installés dans une sandbox)
    • La boutique d’applications ne contient au total que 13 applications
  • Le navigateur Vanadium est un fork de Chrome, avec isolation des sites sur mobile et renforcement de la sûreté du code
    • La documentation recommande d’éviter Firefox en raison de préoccupations de sécurité
  • L’application photo supprime par défaut les métadonnées Exif, et les fonctions de localisation doivent être activées explicitement

Installation d’applications et usage de l’écosystème

  • Certaines applications open source peuvent être installées depuis des boutiques alternatives comme Accrescent (par ex. : Organic Maps, Molly, IronFox)
  • F-Droid peut être utilisé, mais la communauté GrapheneOS adopte une position critique vis-à-vis de ses problèmes de sécurité
  • Comme la plupart des utilisateurs ont besoin du Google Play Store, GrapheneOS fournit un Google Play en sandbox
    • Cette version dispose de privilèges système réduits et fonctionne avec les mêmes restrictions qu’une application classique
    • Lorsqu’une application vérifie sa fiabilité via l’Integrity API, certaines peuvent ne pas fonctionner en dehors d’une image officielle
    • En usage réel, la plupart fonctionnaient correctement, mais il est indispensable de tester à l’avance la compatibilité applicative

Fonctions supplémentaires de sécurité et de confidentialité

  • Blocage de l’accès réseau par application : Android ne le prend pas en charge nativement, mais GrapheneOS permet de le contrôler application par application
  • Granularité des permissions des capteurs : d’autres capteurs comme l’accéléromètre, le capteur d’orientation ou le thermomètre sont aussi gérés via des autorisations distinctes
  • Storage/Contact Scope : une application n’accède pas à tout le stockage ni à tous les contacts de l’appareil ; seuls les fichiers ou contacts autorisés lui sont exposés de manière virtuelle
  • Des options avancées sont proposées, comme un verrouillage de 30 minutes après échec du déverrouillage par empreinte, ou l’effacement immédiat des données via un Duress PIN (code PIN d’urgence sous contrainte)
  • Une application d’audit de l’intégrité de l’appareil permet la vérification de l’intégrité en lien avec le matériel
  • Mises à jour régulières et rapides : Android 16 a été intégré moins d’un mois après sa sortie officielle
  • Un redémarrage automatique après 18 heures d’inactivité contribue à préserver le chiffrement des données et l’usage d’un logiciel à jour

Fonctionnement du projet et communauté

  • Manque de transparence opérationnelle : une fondation officielle existe, mais la prise de décision, l’usage des financements et d’autres aspects restent très peu documentés publiquement
  • La structure de la communauté de développement est floue, et l’essentiel de la participation semble centré sur les questions-réponses des utilisateurs
  • L’influence du principal développeur Daniel Micay paraît toujours déterminante, ce qui soulève certaines inquiétudes quant à la pérennité du projet en cas d’évolution des effectifs

Bilan général et retour d’usage

  • La configuration de l’appareil et la restauration de l’environnement demandent beaucoup de temps, mais l’usage peut ensuite se concentrer sur l’essentiel, sans fonctions superflues
  • L’éventail des contrôles de sécurité et de confidentialité s’élargit, tandis que les fonctions IA/Google non souhaitées sont exclues, ce qui correspond bien à l’objectif du projet
  • En revanche, il n’y a pas de saisie au clavier par “swipe”, la connexion à Google Play reste difficile à éviter, et certaines applications propriétaires indispensables peuvent présenter des limitations ou des désagréments
  • GrapheneOS constitue une option pertinente pour les utilisateurs à la recherche d’un contrôle centré sur l’utilisateur des autorisations et d’une sécurité renforcée
  • Mais si l’exécution correcte d’applications commerciales indispensables à la vie moderne est prioritaire, certaines limites subsistent, et les questions de gouvernance communautaire appellent aussi à la vigilance

À lire aussi

2 commentaires

 
GN⁺ 2025-07-25
Avis Hacker News

  • J’ai installé GrapheneOS sur un Pixel récent et je l’utilise depuis environ deux jours ; cela me redonne la même impression de « trouver un trésor dans mon jardin » que lorsque j’ai installé Linux pour la première fois en 1999. J’ai du mal à croire qu’un logiciel aussi remarquable soit gratuit à tous points de vue ; la quantité de travail est énorme, et beaucoup d’éléments sont vraiment très bien réalisés. On peut régler très finement les paramètres de sécurité et d’ergonomie comme on le souhaite. Je ne suis pas vraiment quelqu’un qui recommande facilement un mobile, mais jusqu’ici cela fonctionne remarquablement bien. Dans mon cas, j’utilise très peu d’apps tierces et aucune app exclusive au Play Store. Le point faible, c’est le matériel, mais cela échappe au contrôle de l’équipe Graphene.

    • Je me demande si ça fonctionne aussi bien lorsqu’on a besoin de services bancaires mobiles, par exemple pour accéder à son compte.

    • Je me demande d’où on télécharge et installe les apps ; je suppose qu’il s’agit de l’App Store de Google ?

    • Je me demande si tu as déjà utilisé quelque chose comme LineageOS auparavant.

    • Tu utilises GrapheneOS sur un Pixel ? Tu ne serais pas un criminel de ce genre, par hasard ? /s

  • J’ai utilisé LineageOS pendant plusieurs années sur un ancien téléphone, et l’an dernier j’ai acheté un Pixel 4 pour y installer GrapheneOS. Je suis vraiment content des deux systèmes, qui fonctionnent tous les deux très bien. GrapheneOS mérite en particulier des points bonus parce que le processus d’installation est extrêmement simple. Malheureusement, Graphene met déjà fin au support du Pixel 4, donc je vais sans doute devoir revenir bientôt à Lineage. La seule contrainte technique que j’ai rencontrée en utilisant ces ROM, c’est le GPS : la position disparaît souvent, et il faut parfois plusieurs minutes pour la retrouver — et si l’on n’a pas de chance, on ne la récupère jamais. J’imagine que c’est dû à l’absence des services de localisation de Google. J’ai aussi activé l’amélioration de la précision par Wi‑Fi/Bluetooth et essayé diverses astuces trouvées sur internet, mais sans succès. Sur Graphene, c’est encore pire, parce que la position disparaît à chaque fois que l’on ferme l’app Maps. Je pense que le problème vient soit du téléphone, soit de l’OS.

    • Sur le Pixel 8, le GPS est extrêmement rapide grâce à la nouvelle fonctionnalité de localisation réseau de Graphene. C’est vraiment une évolution majeure. Avant, il n’y avait que le Wi‑Fi, mais récemment la localisation cellulaire a aussi été ajoutée. Cela passe par un proxy des services de localisation d’Apple.

  • D’après ce que j’ai entendu récemment, Google aurait changé sa politique de gestion d’AOSP et cessé de publier les device trees et les binaires de pilotes pour les appareils Pixel. Je me demande si c’est vraiment arrêté ou simplement retardé. Je pense aussi que publier ces fichiers constitue un argument économique, car cela crée une demande utilisateur pour les appareils Pixel. Est-ce que les coûts sont devenus suffisamment élevés pour annuler cet avantage, ou est-ce simplement un problème de maintenance ? En tout cas, je suis reconnaissant à la fois envers GrapheneOS et Google d’avoir permis l’existence d’une plateforme mobile sur laquelle les fonctions essentielles marchent bien.

    • Sur Android 16, AOSP ne fournit plus de device trees pour les Pixel, mais il n’en a jamais vraiment fourni non plus pour les autres appareils. Seuls quelques OEM publient encore des trees de base pour d’anciennes versions d’Android. C’est la perte de l’un des rares avantages qu’avaient les Pixel, mais cela n’a jamais fait partie des exigences matérielles de GrapheneOS. Il y a une explication ici. Ce n’est pas pour cela uniquement que seuls les Pixel répondent aux exigences. Une collaboration est en cours avec un grand OEM Android, donc il pourrait y avoir du changement vers 2026 ou 2027. Le portage de GrapheneOS vers une nouvelle version majeure d’Android prend généralement quelques jours, et une version stable est distribuée sous deux semaines. Android 16 a aussi été porté quelques jours après sa sortie, puis il a fallu réimplémenter le code de support des appareils Pixel pour Android 16. Le premier déploiement de production a eu lieu le 30 juin, puis la version a atteint le canal stable le 8 juillet. Cette fois, cela a pris plus de temps, si bien qu’ils ont adopté un fonctionnement inhabituel en rétroportant certains correctifs Android 16 et du firmware sur la branche Android 15 QPR2. Désormais, les workflows d’automatisation sont déjà en place, donc les portages vers Android 16 QPR1 à QPR3 ou Android 17 devraient à nouveau être rapides comme auparavant.

    • J’ai entendu une rumeur selon laquelle cela serait lié à des questions antitrust ; s’ils envisagent de revendre leur activité appareils, les pilotes pourraient aussi être retirés d’AOSP.

  • Je suis utilisateur de longue date de GrapheneOS et je pense que c’est vraiment un excellent projet. Je partage une liste d’apps open source qui peuvent remplacer les apps Google

    • Aurora Store : interface anonyme pour le Play Store
    • F-Droid : boutique d’apps open source
    • Obtainium : récupérer des apps depuis GitHub, etc.
    • Organic Maps : navigation open source (pas tout à fait au niveau des apps commerciales)
    • SherpaTTS : TTS pour la navigation
    • PDF Doc Scanner : scanner de documents open source
    • Binary Eye : lecteur de codes-barres
    • K9 Mail / FairMail : clients mail
    • LocalSend : transfert de fichiers
    • Syncthing Fork : synchronisation de fichiers
    • VLC Media Player : lecteur multimédia
    • KOReader : lecteur d’ebooks
    • Voice : lecteur local de livres audio
    • AudioBookShelf : lecteur distant de livres audio
    • Immich : sauvegarde d’images
    • Fossify File Manager : gestionnaire de fichiers
    • Substreamer / DSub : streamer audio pour Navidrome
    • OpenCamera : app appareil photo open source
      J’aurais vraiment aimé connaître cette liste plus tôt ; j’espère qu’elle sera utile à quelqu’un.

  • La fonctionnalité la plus amusante de GrapheneOS, c’est qu’on peut consulter les logs de n’importe quelle app à tout moment depuis sa page App Info.

  • La fonctionnalité essentielle que j’aimerais absolument voir dans GrapheneOS, c’est un mot de passe d’urgence qui ouvrirait un « utilisateur » (profil) complètement différent en cas de contrainte. Ainsi, même si l’on est forcé de révéler son mot de passe, au moins le vrai compte reste inaccessible. À défaut, même une simple fonctionnalité de profil caché offrirait un minimum de sécurité. À noter qu’il existe à la place une fonction d’effacement complet de l’appareil, mais dans une situation de menace cela peut aussi se retourner contre soi. La discussion est visible ici.

    • Je suis le community manager de GrapheneOS. Le problème avec ce genre de fonctionnalité, c’est qu’en pratique elle ne peut pas être dissimulée avec des outils de base. C’est aussi pour cela que la fonctionnalité Duress PIN/Password n’essaie pas d’être cachée. Au contraire, le simple fait que la fonctionnalité existe peut rendre la situation plus dangereuse, car l’attaquant peut « croire qu’il y a quelque chose à cacher ». Le simple fait que cette possibilité existe peut déjà conduire à des situations dangereuses où l’on est forcé de déverrouiller l’appareil et de livrer aussi les informations cachées. Je pense que c’est un problème très difficile à résoudre dans la pratique ; ce n’est pas quelque chose qu’on peut vraiment régler par une simple proposition de ce type.

    • Le forum de discussion de GrapheneOS affiche le message « ce site fonctionne mieux avec un navigateur moderne avec JavaScript activé », ce qui est vraiment problématique du point de vue de la sécurité. J’ai demandé au community manager d’améliorer ce point et aussi de proposer un site en .onion.

    • Ce type de fonctionnalité (mot de passe d’urgence) est demandé depuis longtemps dans plusieurs communautés de modding ; je me demande si c’est simplement difficile à implémenter.

    • Je trouve ce genre de formulation extrême un peu excessif. Si quelqu’un doit survivre en se faisant passer pour un faux utilisateur, alors le problème de fond est probablement bien plus grave qu’une absence de fonctionnalité au niveau du système d’exploitation.

  • Mon seul reproche envers Graphene, c’est le nombre trop limité d’appareils pris en charge. Je comprends les contraintes liées aux exigences de sécurité, mais j’aurais quand même préféré pouvoir utiliser Graphene plutôt que l’Android de base de Google, même avec un niveau de renforcement de la sécurité un peu moindre.

    • Je suis le community manager de GrapheneOS. À l’heure actuelle, seuls les appareils de Google répondent aux exigences de support de Graphene (lien), mais une collaboration est en cours avec un autre OEM et nous espérons élargir le support à ses produits vers 2026 ou 2027. Rien n’est encore confirmé, mais nous sommes optimistes.

    • On dit souvent qu’il y a peu d’appareils supportés, mais même chez Pixel il existe déjà 4 ou 5 générations — avec les séries A, Pro, ainsi que des versions compactes et grandes — et des prix variés ; en pratique, j’ai l’impression que cela couvre à peu près tout le monde.

    • Au contraire, je trouve bien que Graphene se concentre sur les Pixel. Contrairement à Fairphone, on peut acheter un Pixel dans de nombreux pays. Autrement dit, Graphene n’est pas limité uniquement aux pays développés ou occidentaux. S’il n’y a pas de support pour d’autres marques, c’est probablement à cause de la taille de l’équipe, du fait que chaque OEM a une implémentation Android très différente donc difficile à maintenir, ainsi que des politiques de mise à jour de Google, entre autres raisons.

    • Google semble peut-être devenir moins coopératif avec le projet, donc si beaucoup de monde en a vraiment besoin, il faudra sans doute tenter directement le support de nouveau matériel.

    • CalyxOS prend en charge d’autres appareils et semble mettre davantage l’accent sur la véritable confidentialité.

  • Graphene est un excellent système d’exploitation pour les appareils Pixel : simple, fiable, riche en fonctions de sécurité et de confidentialité, et il procure une sensation de stabilité rassurante. Les mises à jour système sont automatiques et les fonctions de base comme les appels sont impeccables. Mon seul regret concerne la qualité de l’appareil photo, probablement à cause de l’absence de pilotes propriétaires. Signal fonctionne aussi plutôt bien sans services Google, ce qui en fait un excellent choix comme téléphone principal au quotidien. Un immense merci aux développeurs.

  • GrapheneOS m’intéressait beaucoup, mais je trouve dommage qu’il ne soit utilisable que sur un nombre limité d’appareils comme les Pixel. J’aurais aimé pouvoir l’essayer aussi sur un Galaxy A55.

  • Je trouve intéressant que les seuls appareils répondant aux exigences de sécurité soient tous des produits Google. Je me demande si Google utilise en interne une version d’Android encore plus axée sur la sécurité. Du point de vue de Google, le piratage des appareils personnels de ses ingénieurs clés constituerait un risque de sécurité majeur ; je me demande donc s’il n’existe pas, en interne, une version plus orientée sécurité.