Installation et configuration de GrapheneOS

Il s'agit davantage d'une check-list (orienté sécurité) que d'un guide complet : à adapter en fonction de votre “modèle de menace” spécifique. Les lecteur·ices sont encouragé·es à consulter également le guide GrapheneOS for Anarchists, le guide d'utilisation et la faq officielles de GrapheneOS.

Quel appareil choisir ?

Les dernier leaks de la doc Cellebrite (Février 2025) révèlent que les téléphones Pixel (à partir de la version 6) résistent toujours très bien à l'extraction des données, et sont les seuls téléphones android à avoir ce niveau de résistance. Le Google Pixel 6a est le moins chèr, le Pixel 8a a sans doute le meilleur rapport qualité prix (en considérant le temps de support restant). Si vous pensez être activement ciblé, choisissez un Pixel 8 ou un modèle ultérieur (ou mieux : pas de téléphone du tout).

Dans tous les cas, utilisez un appareil qui est encore activement pris en charge.

Vous pouvez aussi vouloir un téléphone qui n'est pas lié à votre identité : acheté en espèces ou par l'intermédiaire d'un service communautaire qui achète des téléphones pour un grand nombre de personnes et les distribue sans conserver les traces des transactions.

Où faire l'installation ?

Pour que votre téléphone ne soit pas lié à votre identité personnelle, n'allumez pas le téléphone chez vous tant que vous n'avez pas terminé ce guide, puis gardez votre téléphone en Mode Avion lorsque vous êtes près de chez vous (et même, idéalement, en permanence). Choisissez un lieu public avec un wifi public, apportez un ordinateur portable ou un autre téléphone Android de confiance avec accès à un navigateur basé sur Chromium pour exécuter l'installateur web, et KeePass{XC,DX} pour générer vos mots de passe.

Installation

Suivez les instructions du Web installer. Vérifier le hash du système d'exploitation sur le premier écran de démarrage : – Pixel 9a : 0508de44ee00bfb49ece32c418af1896391abde0f05b64f41bc9a2dfb589445b – Pixel 9 Pro Fold : af4d2c6e62be0fec54f0271b9776ff061dd8392d9f51cf6ab1551d346679e24c – Pixel 9 Pro XL : 55d3c2323db91bb91f20d38d015e85112d038f6b6b5738fe352c1a80dba57023 – Pixel 9 Pro : f729cab861da1b83fdfab402fc9480758f2ae78ee0b61c1f2137dd1ab7076e86 – Pixel 9 : 9e6a8f3e0d761a780179f93acd5721ba1ab7c8c537c7761073c0a754b0e932de – Pixel 8a : 096b8bd6d44527a24ac1564b308839f67e78202185cbff9cfdcb10e63250bc5e – Pixel 8 Pro : 896db2d09d84e1d6bb747002b8a114950b946e5825772a9d48ba7eb01d118c1c – Pixel 8 : cd7479653aa88208f9f03034810ef9b7b0af8a9d41e2000e458ac403a2acb233 – Poids en pixels : ee0c9dfef6f55a878538b0dbf7e78e3bc3f1a13c8c44839b095fe26dd5fe2842 – Tablette Pixel : 94df136e6c6aa08dc26580af46f36419b5f9baf46039db076f5295b91aaff230 – Pixel 7a : 508d75dea10c5cbc3e7632260fc0b59f6055a8a49dd84e693b6d8899edbb01e4 – Pixel 7 Pro : bc1c0dd95664604382bb888412026422742eb3371ea0b2d19036217d49182f – Pixel 7 : 3efe5392be3ac38afb894d13de639e521675e62571a8a9b3ef9fc8c44fd17fa1 – Pixel 6a : 08c860350a9600692d10c8512f7b8e80707757468e8fbfeea2a870c0a83d6031 – Pixel 6 Pro : 439b76524d94c40652ce1bf0d8243773c634d2f99ba3160d8d02aa5e29ff925c – Pixel 6 : f0a890375d1405e62ebfd87e8d3f475f948ef031bbf9ddd516d5f600a23677e8

Configuration l'assistant de démarrage

Langue

Si vous envisagez d'utiliser un VPN (tor) et que vous êtes à l'aise avec l'anglais, l'utilisation de la langue par défaut (English (United States)) vous donnera un peu plus d'anonymat (plus grand nombre d'utilisateurs).

Se connecter au Wi-Fi

Pas encore. Nous allons d’abord générer l'empreinte initiale du firmware/OS à l'aide de l'application Auditor avant d'établir toute connexion réseau : vous aurez besoin d'un autre téléphone Android (idéalement celui d'un·e camarade que vous voyez de temps en temps) pour cela.

Date et heure

Il vous suffit de sélectionner votre fuseau horaire ici.

Services de localisation

Décochez la case Allow apps that have asked your permission to use your location information. Cette option peut être activée ultérieurement à l'aide d'une bascule rapide.

Définissez un code

En théorie, si vous faites confiance à la protection de la puce de sécurité Titan M2 contre les attaques par force brute, un code PIN aléatoire de 8 chiffres est suffisant. Pour plus de sécurité (par exemple, si vous voulez être sûr que le contenu de votre téléphone ne pourra jamais être décrypté au cours de votre vie), appuyez sur Options de verrouillage de l'écran pour choisir un Mot de passe de 18 caractères aléatoires ou de 7 mots aléatoires (ou plus), c'est-à-dire suffisamment de bits d'entropie pour durer toute une vie. Conseil : Il peut être difficile de se souvenir de sept mots aléatoires au début. Commencez donc par quatre mots et modifiez régulièrement votre phrase de passe pour ajouter un nouveau mot aléatoire jusqu'à ce que vous atteigniez sept ou huit mots.

Configurez votre empreinte

On fera ça Plus tard (pour activer en même temps le deuxième facteur d'authentification via PIN).

Restore apps & data

Skip. Cette opération peut être effectuée ultérieurement si nécessaire.

Configuration de l'application Auditor

Cette app permet d'effectuer régulièrement une vérification matérielle pour s'assurer que le micrologiciel et le système d'exploitation du téléphone n'ont pas été altérés. Suivez la section correspondante du guide GrapheneOS pour les anarchistes – sauf que vous n'avez pas besoin d'une connexion Internet pour enregistrer la vérification à distance.

Seul le profil du propriétaire a besoin d'être configuré via Auditor.

Revue et sécurisation de la configuration de GrapheneOS

Seuls les paramètres qui doivent être modifiés par rapport aux valeurs par défaut (en date d'avril 2025) sont mentionnés ici. La revue des paramètre est à faire pour chaque profil utilisateur. Certains paramètres ne sont modifiable que via le profil Propriétaire car ils s'appliquent à tout le système.

Commençons par activer le Mode avion. À ce propos n'hésitez pas à modifier de menu d'accès rapide pour rendre les toggles Mode avion, Accès au micro, Accès caméra et Localisation directement accessible via les deux première lignes visibles en un seul swipe.

Réseau et internet

Internet > Préférences réseau

Décochez Autoriser les réseaux WEP. Les borne wifi en WEP ne devraient plus exister de nos jours, mais si c'est le cas, il vaut mieux être conscient que quelque chose ne va pas.

Cartes SIM

uniquement si vous disposez d'une carte SIM :

Désactivez l'option Autoriser la 2G en bas de l'écran. Cela devrait rendre plus difficiles les attaques de downgrade des IMSI-catchers. Pour aller plus loin, réglez Type de réseau préféré sur 5G or 4G uniquement.

Une fois cela fait, vous pouvez ré-activer le Mode avion.

Notes sur les cartes SIM : – Les appels Wi-Fi n'utilisent pas le VPN de votre session utilisateur, ce qui révèle votre adresse IP à votre opérateur. – À moins qu'une carte SIM ne soit désactivée, les applications peuvent voir le code de pays de votre carte SIM, et ce même si le Mode avion est activé, et l'utiliser pour participer à l'identification de l'utilisateur·ice.

Économiseur de données

L'activation de l'option Utiliser l'Économiseur de données peut s'avérer utile pour économiser quelques MBytes sur un plan de données bon marché, ou simplement pour réduire l'utilisation de la batterie. Cependant, si vous utilisez l'emplacement VPN, cela n'empêchera pas la connexion des applications qui passent par le VPN. Utilisez plutôt la fonction pare-feu de l'application VPN (disponible par exemple dans Invizible Pro ou RethinkDNS) dans ce cas.

DNS privé

si vous prévoyez d'utiliser l'emplacement VPN (pour un fournisseur VPN ou TOR), n'utilisez pas la fonction DNS privé car elle aurait la priorité sur le DNS intégré à votre application VPN, que vous devriez probablement utiliser pour éviter de vous démarquer parmi les utilisateurs de ce VPN ou de Tor.

Si vous n'avez pas l'intention d'utiliser un VPN, vous devez choisir un résolveur DNS respectueux de la vie privée comme quad9 ou dns0.eu.

Appareils connectés > Préférences de connexion

NFC

Activer temporairement Utiliser le NFC, puis activer Exiger le déverrouillage de l'appareil pour le NFC, puis désactiver Utiliser le NFC.

Impression > Service d'impression par défaut

À moins que vous ne prévoyiez de l'utiliser, désactivez Utiliser le service d'impression pour réduire la surface d'attaque.

Notifications > Notification sur l'écran de verrouillage

Si vous ne voulez pas que quelqu'un qui a mis la main sur votre téléphone (verrouillé) sache quelle application vous utilisez pour communiquer (par exemple Signal) : réglez ce paramètre sur N'afficher aucune notification.

Batterie

Pas une configuration lié à la sécurité, mais vous pouvez activer la fonction Optimisation de la recharge pour limiter la charge de la batterie à 80 % afin d'augmenter la durée de vie de la batterie. Vous pouvez également activer la fonction Économiseur batterie.

Système

Sauvegarde

L'application de sauvegarde (Seedvault peut sauvegarder les données de certaines applications (celles qui implémentent l'API requise), les APK et des dossiers de l'utilisateur·ice (par exemple, Documents). Il s'agit d'une application par utilisateur·ice, qui doit donc être exécutée pour chaque profil pour lequel vous avez besoin d'une sauvegarde. L'option la plus sûre consiste à effectuer une sauvegarde sur une clé USB (vous pouvez utiliser la même clé USB pour plusieurs utilisateurs/appareils) qui peut être cachée dans un endroit sûr (et en faire une copie de temps en temps, stockée dans un autre endroit).

Mises à jour du système

Pour plus de sécurité, mais au risque de manquer certaines notifications, activez l'option Automatic reboot, sauf si vous prévoyez d'utiliser un profil secondaire et de vous fier à ses réveils : ceux-ci ne sonneront pas après un redémarrage tant que votre profil secondaire n'aura pas été déverrouillé. Les réveils du profil du propriétaire fonctionnent grâce à la fonction Direct-Boot, mais même dans ce cas, il vaut mieux ne pas compter sur la fonction “Snooze”, car elle risque de ne pas fonctionner.

Pour économiser sur un petit plan de données, vous pouvez régler Permitted networks sur Unmetered.

Utilisateurs

Les profils Utilisateurs et Espace privé (profil Propriétaire uniquement pour l'instant) peuvent être utilisés pour séparer les applications en profils isolés (presque comme s'il s'agissait de téléphones différents) en fonction de leurs (non) respect de la vie privée et/ou pour isoler vos activités professionnelles/personnelles/militantes. En particulier pour atténuer un problème majeur d'android, à savoir que de nombreuses applications peuvent voir quelles applications sont actives dans le même profil.

Si vous souhaitez uniquement isoler le Play Store et certaines applications installées à partir de celui-ci (par exemple les applications bancaires), vous pouvez utiliser la fonctionnalité Espace privé de GrapheneOS dans Sécurité et confidentialité. Gardez à l'esprit que les applications dans l'Espace privé ne peuvent pas recevoir de notifications lorsque l'espace privé est verrouillé, et que leurs données ne peuvent pas être sauvegardées à l'aide de l'application Seedvault.

Pour ces raisons, il est souvent préférable d'utiliser un profil utilisateur à part entière, eg. un profil secondaire Défaut, comme le recommande le guide AnarSec. L'un des principaux avantages est que vous pouvez fermer la session secondaire, qui revient alors à l'état Before First Unlock (Avant le premier déverrouillage), tout en vous permettant d'utiliser votre téléphone via le profil Propriétaire. Ce dernier étant principalement utiliser pour l'installation et la mise à jour des application (une mise à jour d'app est effective pour tout les profils utilisateurs en même temps).

Le guide AnarSec recommande un mot de passe différent pour le profil secondaire, mais l'utilisation du même mot de passe fort que pour le profil propriétaire n'est pas un grand risque pour la sécurité, surtout si vous utilisez le déverrouillage par empreinte digitale + 2FA-PIN après le premier déverrouillage du profil.

Sécurité et confidentialité

Déverrouillage de l'appareil

Configuration du Verrouillage de l'écran

Activez la fonction Scramble PIN input layout pour qu'une caméra cachée ou un observateur ait plus de mal à deviner votre code PIN.

Empreinte digitale

L'utilisation du déverrouillage par empreinte digitale protège contre les attaques de type “shoulder surfing” visant votre code PIN. Mais un adversaire pourrait vous forcer à déverrouiller votre téléphone avec votre doigt (vous pouvez toujours essayer d'utiliser un doigt non enregistré), c'est pourquoi le guide AnarSec le déconseille. Mais il est maintenant possible de créer un Second factor PIN, qui atténue le problème ; 6 chiffres devraient suffire.

Duress password

Il s'agit d'un code PIN qui déclenche l'effacement des clés de décryptage de tous les profils et le redémarrage du téléphone. Ce code peut être est saisi à n'importe quel un endroit où un code PIN ou mot de passe de session est demandé (quelque soit l'utilisateur en cours).

La question d'utiliser un mot de passe ou PIN duress est délicate et dépend des implications pratiques et juridiques. Le fait de ne pas donner son code PIN peut avoir moins de conséquences juridiques que le fait d'être accusé de destruction de preuves. Un compromis consisterait à utiliser un code PIN et un mot de passe que l'adversaire pourrait essayer, sans que vous ayez à le donner (mais je ne suis pas juriste, donc je ne sais pas vraiment), par exemple en utilisant votre date de naissance ou 1312/acab.

Si vous créez un mot de passe/NIP de contrainte, veillez à ce que vos sauvegardes soient à jour.

Exploit Protection

Auto reboot (Redémarrage automatique)

Il s'agit d'une fonctionnalité majeure de sécurité de GrapheneOS qui redémarre l'appareil (le ramène à l'état Before First Unlock) si il n'est pas déverrouillé pendant un certain laps de temps (18 heures par défaut). Des délais plus courts améliorent la sécurité : n'hésitez pas à raccourcir temporairement ce délai lorsque vous en avez besoin (eg. avant une manif, si vous devez prendre votre téléphone). 12 heures est probablement une bonne valeur pour la plupart des cas d'usage.

Turn off Wi-Fi automatically (Désactiver automatiquement le Wi-Fi)

Le configurer à quelque chose comme 5 minutes, pour réduire l'utilisation de la batterie (et très légèrement la surface d'attaque : très peu probable d'être un vecteur d'attaque cependant.

Turn off Bluetooth automatically (Désactiver automatiquement le Bluetooth)

Idem que ci-dessus.

Native code debugging

Activez l'option Block for third-party apps by default pour améliorer le sandboxing.

WebView JIT

Activez l'option Disable for third-party apps by default pour réduire la surface d'attaque.

Dynamic code loading via memory

Activez l'option Restrict for third-party apps by default pour les mêmes raisons que ci-dessus.

Dynamic code loading via storage

Même chose que ci-dessus (comme indiqué, vous devrez peut-être l'activer manuellement pour certaines applications qui dépendent du service Play).

Sécurité et confidentialité renforcée

Désactiver la permission Allow Sensors permission to apps by default. Vous pourrez la donner manuellement pour les applications qui en ont réellement besoin (par exemple, pour la rotation automatique).

Comment installer des applications ?

La recommandation habituelle pour l'installation d'une application tierce est d'essayer dans l'ordre :

  1. Lorsqu'une application web est disponible et que vous n'avez pas besoin des fonctionnalités de l'application native (par exemple, les notifications) : utilisez la webapp. Dans Vanadium, appuyez sur Ajouter à l'écran d'accueil.
  2. Accrescent, un app store sécurisé et open-source qui peut être installé à partir de l'App Store intégré à GrapheneOS.
  3. Google Play Store (également installé à partir du App Store intégré)
  4. L'APK publié sur la forge du projet en utilisant Obtainium et App verifier (ce dernier étant installé à partir de d'Accrescent et est utilisé pour vérifier l'APK d'Obtainium).
  5. The project own f-droid repo (eg. repos of The Guardian Project, SimpleX, Briar, FUTO).
  6. IzzyOnDroid f-droid repo.
  7. Repo officiel de F-Droid.

Cet ordre a été choisi en fonction des pratiques de sécurité impliquées et pour minimiser à la fois le délai de mise à jour et le nombre de tiers à qui faire confiance.

Le repo F-droid en particulier devrait être évité pour des raisons de sécurité en raison, entre autres, de leur processus de mise à jour (lent) et de leur environnement de construction (souvent obsolète).

Pour les applications uniquement disponibles dans un dépôt f-droid (tiers ou officiel), utilisez Obtainium ou F-droid Basic.

En ce qui concerne le Play Store, vous devriez pouvoir vous y inscrire, sans donner de numéro de téléphone (si vous ne passez pas par un VPN), avec une [adresse YopMail] dédiée (https://yopmail.com) par exemple.

Une fois Obtainium installé, supprimez la capacité d'installation Allow from this source de l'app Fichiers ou de Vanadium qui a été accordée pour installer l'APK.

Si une application n'est pas installée via un store sécurisé (Accrescent ou Play Store), pensez à valider sa signature avec AppVerifier. Si la signature n'est pas dans la base interne de AppVerifier, demander à un·e camarade ayant déjà installé l'app de vous fournir la signature (issue de son AppVerifier) via un canal sécurisé.

Applications recommandées

VPN / Tor

Un bon VPN (ie. Mullvad / IVPN) est probablement suffisant pour la plupart des activités. Vous pouvez utiliser le navigateur Tor pour Android en cas de besoin, mais le navigateur Tor sur ordinateur / Tails fournira probablement un meilleur anonymat (plus grand nombre d'utilisateurs).

Néanmoins, si vous ne voulez pas payer pour un VPN, l'utilisation d'un VPN basé sur TOR, Orbot ou Invizible Pro, est viable, d'autant plus qu'il est souvent plus rapide que le VPN gratuit RiseUp. Si vous avez choisi d'utiliser le profil propriétaire uniquement pour installer/mettre à jour des applications, utilisez un VPN (si votre routeur domestique n'en dispose pas) plutôt que TOR, qui peut souvent se déconnecter lorsqu'il n'est pas utilisé pendant une longue période (et donc vous risquez de manquer des mises à jour). RiseUp VPN convient parfaitement à cet usage.

Signature Invizible Pro Beta (la version beta n'a pas de popup “demander un don”) (pour AppVerifier) :

pan.alexander.tordnscrypt
1E:A0:9E:90:62:28:59:84:FF:E8:96:56:05:ED:AB:8B:01:ED:19:DF:A0:19:C3:14:84:A3:38:2A:CC:C1:9A:CE

Invizible dispose d'une option personnalisée “DNS Crypt” que vous pouvez utiliser pour éviter le chargement des publicités, mais c'est au prix de se démarquer un peu parmi la plupart des utilisateurs de TOR qui s'appuient sur le nœud de sortie pour la résolution de noms.

Si vous souhaitez superposer Invizible à, par exemple, Mulllvad VPN, vous pouvez vous connecter à Mullvad via Shadowsocks en mode proxy : – https://mullvad.net/en/help/shadowsocks-androidhttps://invizible.net/en/tor-over-vpn/ Cependant TOR sur VPN n'est généralement pas un gain de sécurité (voir les liens à la fin pour la documentation InviZible ci-dessus), sauf si vous souhaitez utilisez Shadowsocks pour contourner facilement la plupart des pare-feu wifi publics et/ou si vous ne voulez pas être identifié par le réseau/ISP comme un utilisateur de TOR et/ou si vous voulez que certaines applications soient acheminées par votre VPN uniquement et non par TOR.

Voici la signature de Shadowsock-android pour AppVerifier :

com.github.shadowsocks
92:41:6E:A4:16:64:22:61:3D:3D:1D:58:5A:C1:C7:0F:03:83:40:70:77:13:46:36:B4:CF:B2:F0:BD:8E:01:F0

(utilisez -tv- pour le filtre APK inversé dans Obtainium).

Email

Soit FairEmail, soit Thunderbird-Android (plus simple, moins configurable, moins de fonctionnalités anti-tracking, mais peut importer tous vos comptes depuis Thunderbird facilement), avec OpenKeychain pour le support GPG.

Messagerie instantanée

Les suspects habituels : Signal (ou mieux : Molly, installé via Accrescent), SimpleX, Cwch et Briar.

Atténuation du risque de vol de téléphone déverrouillé

Vous pouvez activer la fonction Google Play Verrouillage en cas de détection de vol dans Google Settings > Protection contre le vol mais les conditions qui activent le verrouillage sont assez particulières. Vous pouvez donc également installer Private Lock. L'application est assez ancienne, mais elle fonctionne. La sensibilité réglée sur 30 semble utilisable.

Gestionnaire de mots de passe

KeepassDX est une bonne solution. Peut être synchronisé avec votre PC avec syncthing si nécessaire.

Diverses autres applications

#GrapheneOS #Cellebrite #OpSec #Android