SOMMAIRE
- Les prérequis pour installer GrapheneOS sur votre appareil
- Remplacer Google Android par GrapheneOS étape par étape
- Améliorer la sécurité de GrapheneOS
GrapheneOS est un système d'exploitation open source pour smartphone, axé sur la confidentialité et la sécurité. Dans ce tutoriel nous allons voir, comment installer GrapheneOS sur votre smartphone.
GrapheneOS propose un tutoriel sur son site web, pour remplacer facilement Google Android sur votre smartphone Google Pixel. Malheureusement celui-ci est uniquement disponible en anglais. Je vous propose donc, de suivre mon tutoriel, en français.
GrapheneOS peut être installer de deux manières :
- Avec la méthode CLI (en ligne de commande).
- Avec la méthode WebUSB (depuis un navigateur Web).
Pour ce tutoriel, nous allons utiliser la méthode la plus simple, depuis un navigateur Web.
Les prérequis pour installer GrapheneOS sur votre appareil
Pour procéder à l'installation de GrapheneOS, vous devez disposer d'une connexion internet stable et les batteries de vos appareils doivent être suffisamment chargées.
GrapheneOS peut être installé sur les appareils suivants :
| Appareil | Fin de prise en charge minimale OEM | Longueur de support minimale OEM |
|---|---|---|
| Google Pixel 7 Pro* | Octobre 2027 | 5 années |
| Google Pixel 7* | Octobre 2027 | 5 années |
| Google Pixel 6a* | Juillet 2027 | 5 années |
| Google Pixel 6 Pro* | Octobre 2026 | 5 années |
| Google Pixel 6* | Octobre 2026 | 5 années |
| Google Pixel 5a | Août 2024 | 3 années |
| Google Pixel 5 | Octobre 2023 | 3 années |
| Google Pixel 4a 5G | Novembre 2023 | 3 années |
| Google Pixel 4a | Août 2023 | 3 années |
GrapheneOS pouvait être installé sur des appareils Google Pixel plus ancien, mais ils ne sont plus mis à jour. Ils sont donc exclus de ce tableau et il est fortement déconseillé de continuer de les utiliser.
Un appareil qui ne bénéficie plus de mise à jour de sécurité, ne peut plus assurer la sécurité et la confidentialité de vos données.
Vous aurez besoin d'un cable USB pour connecter votre appareil à un autre appareil et procéder à l'installation. Il est recommandé d'utiliser le cable USB officiel, fournit avec votre Google Pixel.
Voici la liste des systèmes d'exploitation officiellement pris en charge pour la méthode d'installation Web de GrapheneOS :
- Windows 10
- Windows 11
- macOS Big Sur (11)
- macOS Monterey (12)
- macOS Ventura (13)
- Arch Linux
- Debian 10 (buster)
- Debian 11 (bullseye)
- Ubuntu 20.04 LTS
- Ubuntu 22.04 LTS
- Ubuntu 22.10
- ChromeOS
- GrapheneOS
- Google Android (stock Pixel OS) et autres variantes Android certifiées
Voici la liste des navigateurs officiellement pris en charge pour la méthode d'installation Web de GrapheneOS :
- Chromium (en dehors d'Ubuntu, car ils expédient un package Snap cassé sans WebUSB fonctionnel)
- Vanadium (GrapheneOS)
- Google Chrome
- Microsoft Edge
- Brave
Remplacer Google Android par GrapheneOS étape par étape
Pour ce tutoriel, je vais utiliser un Google Pixel 6 déjà sous GrapheneOS avec le navigateur web Vanadium, pour installer GrapheneOS sur mon autre smartphone Google Pixel 6.
1 - Activer le déverrouillage OEM
Sur votre Google Pixel, allez sur "Paramètres" -> "À propos du téléphone" et appuyez à plusieurs reprises sur "Numéro de build", jusqu'à ce qu'il vous demande de saisir votre code de déverrouillage (si vous en avez configuré un).
Un message va apparaître "Vous êtes désormais un développeur !" :
Toujours dans les "Paramètres", allez dans "Système" -> "Options pour les développeurs" et appuyez sur "Déverrouillage OEM". Vous devrez de nouveau saisir votre code de déverrouillage pour activer ce paramètre.
Lorsqu'un message apparaît, vous demandant si vous voulez activer le déverrouillage OEM, appuyez simplement sur "Activer" :
Le déverrouillage OEM est désormais activé sur votre Google Pixel :
2 - Démarrer dans l'interface du chargeur de démarrage
Vous devez éteindre votre Google Pixel, puis le rallumer en maintenant le bouton de réduction du volume enfoncé pendant le démarrage du téléphone, jusqu'à ce qu'il démarre dans l'interface du chargeur de démarrage :
3 - Connecter le téléphone
À l'aide du cable USB-C, connectez votre Google Pixel à votre autre appareil avant de continuer.
4 - Déverrouiller le chargeur de démarrage
Rendez-vous sur le site web de GrapheneOS et cliquez sur le bouton "Unlock bootloader". Une boîte de dialogue va apparaître, cliquez sur votre appareil, puis sur le bouton "Connexion" :
Vous devez autoriser l’accès à votre appareil :
Votre appareil va redémarrer :
Appuyer une fois sur le bouton pour baisser le volume, "Unlock the bootloader" sera sélectionné, presser le bouton power pour valider :
Votre appareil va redémarrer et le chargeur de démarrage sera déverrouillé :
5 - Télécharger l'images de GrapheneOS
Cliquez sur le bouton "Download release" pour télécharger l'image de GrapheneOS sur votre appareil. Le téléchargement peut prendre plusieurs minutes :
Lorsque la barre de progression est pleine et que le message passe de "Downloading ..." à "Downloaded ...", le téléchargement est terminé :
6 - Flasher le smartphone avec l'image de GrapheneOS
Cliquez sur le bouton "Flash release" pour lancer l'installation de GrapheneOS. Votre appareil va redémarrer plusieurs fois et l'installation va prendre environ 20 minutes, ne touchez à rien :
Votre appareil va démarrer sur un nouveau menu, c'est normal, ne touchez à rien et laisser l'installation progresser :
Lorsque la barre de progression est pleine et que le message indique "Flashed ...", l'installation est terminée :
7 - Verrouiller le chargeur de démarrage
Cliquez sur le bouton "Lock bootloader". Un message "Bootloader locked" sera affiché :
Votre appareil va redémarrer :
Appuyer une fois sur le bouton pour baisser le volume, "Lock the bootloader" sera sélectionné, presser le bouton power pour valider :
Votre appareil va redémarrer et le chargeur de démarrage sera verrouillé.
Appuyez simplement sur le bouton power pour démarrer votre appareil sur GrapheneOS :
8 - Démarrage de GrapheneOS
À chaque démarrage de votre appareil, un avertissement sera affiché. Ignorez le, cela n'a aucune incidence. Votre appareil vous avertis que l'OS qui est installé dessus n'est pas celui d'origine.
Vous remarquerai une ligne ID suivi d'un hash. Vous pouvez le comparer avec celui correspondant à votre appareil, sur cette page. Il doivent être identique :
Voici l'écran de démarrage de GrapheneOS :
Vous pouvez procéder à la configuration de votre appareil, fraîchement installé :
9 - Désactiver le déverrouillage OEM
Maintenant que vous avez installé GrapheneOS sur votre appareil et que tout fonctionne, il reste une dernière étape. Vous devez désactiver le déverrouillage OEM.
Sur votre Google Pixel, allez sur "Paramètres" -> "À propos du téléphone" et appuyez à plusieurs reprises sur "Numéro de build", jusqu'à ce qu'il vous demande de saisir votre code de déverrouillage (si vous en avez configuré un).
Un message va apparaître "Vous êtes désormais un développeur !" :
Toujours dans les "Paramètres", allez dans "Système" -> "Options pour les développeurs" et appuyez sur "Déverrouillage OEM" :
Un message s’affiche vous demandant de redémarrer votre smartphone. Redémarrez le pour poursuivre :
Une fois votre smartphone redémarré, retournez dans les "Paramètres", allez dans "Système" -> "Options pour les développeurs" et appuyez sur "Utiliser les options pour les développeurs" :
Vous pouvez maintenant quitter les paramètres :
10 - Vérifier votre appareil avec Auditor
L'application Auditor vérifie que votre appareil exécute le système d'exploitation d'origine avec le chargeur de démarrage verrouillé et qu'aucune altération ne s'est produite avec le système d'exploitation.
Sur votre appareil Google Pixel avec GrapheneOS fraîchement installé, il y a une application "Auditor". Il s'agit d'un service d'attestation pour surveiller la sécurité et l'intégrité de votre appareil Android. Dans ce tutoriel nous allons utiliser le service d'attestation à distance.
Vous devez créer un compte sur cette page. Aucune information personnelle ne vous sera demandé :
Dans l'application auditor, cliquez sur le menu (les trois points en haut à droite) :
Cliquez sur "Enable remote verification" :
Scannez le code QR du compte affiché sur cette page, lorsque vous êtes connecté.
Configurez une adresse e-mail d'alerte pour recevoir des alertes si l'appareil ne parvient pas à fournir des attestations valides à temps
Actualisez cette page, pour afficher le résultat initial de l'attestation
Améliorer la sécurité de GrapheneOS
Voici mes astuces pour améliorer la sécurité et la confidentialité de GrapheneOS.
Vous devriez désactiver la 2G, car le réseau 2G n'est pas sécurisé. Allez sur "Paramètres" -> "Réseau et Internet" -> "Profils SIM" et désactivez "Autoriser la 2G" en bas du menu :
Vous devriez activer la fonctionnalité "PIN scrambling". Elle permet d'afficher une saisie aléatoire, du code de déverrouillage de votre appareil. Si quelqu'un à proximité de vous, tente de deviner votre code en regardant où vous placer vos doigts, cela ne fonctionnera pas, car les chiffres de saisie sont affichés de façon aléatoire. Allez sur "Paramètres" -> "Sécurité" et activez "PIN scrambling" :
Voici la saisie du code de déverrouillage lorsque la fonctionnalité "PIN scrambling" est désactivée :
Voici la saisie du code de déverrouillage lorsque la fonctionnalité "PIN scrambling" est activée :
Si je verrouille et déverrouille de nouveau mon smartphone, "PIN scrambling" génère une nouvelle saisie :
Vous devriez activé la fonctionnalité "Auto reboot". Les profils utilisateurs sont bien plus sécurisés lorsqu'ils sont déconnectés. La fonctionnalité "Auto reboot" permet de redémarrer automatique votre appareil, lorsque celui-ci n'a pas été déverrouillé depuis un certain temps. Allez sur "Paramètres" -> "Sécurité" et cliquez sur "Auto reboot" pour sélectionner la durée d'inactivité :
