Smartphones et vie privée
Sommaire
- 1 Smartphones et vie privée
- 2 Présentation d’Antoine
- 3 En quoi un smartphone est différent d’un ordinateur
- 4 Sécurité vs vie privée
- 5 Les applications et la collecte de données
- 6 De quoi est composé Android
- 7 Les briques logicielles pour recréer un écosystème Android libre
- 8 Les version d’Android alternatives
- 9 Linux sur mobile <:)
- 10 Par où commencer pour installer une version alternative à Android stock ?
- 11 Conclusion
- 12 Joindre Antoine
- 13 Production de l’épisode
- 14 Licence
Walid : bonjour et bienvenue sur Projets Libres, le podcast de LinuxFr.org qui parle de logiciels libres, de communs numériques et de données ouvertes. Je suis Walid Nouh et aujourd’hui je suis ravi d’avoir avec moi Antoine Duparay. de Framasoft pour parler de smartphones et de vie privée. C’est la reprise de la série qui a commencé entre juin 2023 et janvier 2024 sur les smartphones : on avait parlé de Commown dans l’épisode 4 de la saison 1, de Fairphone dans l’épisode 1 de la saison 2, et de /e/OS et Murena dans la saison 2 épisode 11. On va y faire référence régulièrement, et si vous voulez en savoir plus, je vous conseille d’aller écouter ces différents épisodes.
J’ai découvert le sujet et Antoine à travers une conférence qu’il a donnée au Capitole du Libre en 2022 qui s’appelait « Comment protéger sa vie privée sur son smartphone ? » et on a eu la chance de discuter ensemble aux Rencontres Hivernales du Libre [voir l’épisode sur les RHL] en janvier dernier. Et donc je suis ravi d’avoir avec moi Antoine, alias Fla. Bienvenue Antoine sur le podcast Projet Libre, merci d’être là.
Antoine : et merci Walid, merci pour l’invitation. Et puis merci à tout le monde de s’intéresser à ce sujet ô combien important.
Présentation d’Antoine
Walid : et ô combien d’actualité. Avant de rentrer dans le vif du sujet, est-ce que tu peux nous expliquer qui tu es, quel est ton parcours et aussi comment tu es arrivé chez Framasoft ?
Antoine : bien sûr. Alors moi, c’est Fla. Je fais du logiciel libre depuis en gros 2012. J’ai initialement contribué à Mozilla. En fait, j’ai tout de suite été assez perturbé quand j’ai découvert toutes les collectes de données qui étaient faites par les logiciels. Et puis, quand il y a eu vraiment l’affaire Prism en 2013, ça a vraiment été le truc du genre : « bon… on savait déjà qu’on avait raison, mais c’était une confirmation officielle ». Edward Snowden révèle que la NSA espionne. Donc vraiment, je me suis mis à militer très fort là-dessus. Et c’est d’abord par le coté respect des utilisateurs et éthique que je me suis intéressé au monde du logiciel libre.
Donc d’abord chez Mozilla, où je faisais directement des confs qui expliquaient le tracking en ligne des sites web. Et puis les add-ons de Mozilla, ça s’appelait Lightbeam à l’époque, qui permettait d’observer un petit peu tout ça. En fait, j’ai… aussi beaucoup contribué au projet Diaspora parce que pour moi le point où il y avait les données les plus collectées c’était sur les réseaux sociaux et pourtant les réseaux sociaux c’est un potentiel énorme de contribution de travail ensemble de réunir des humains pour faire des trucs cool et malheureusement aujourd’hui les réseaux sociaux c’est, enfin déjà à l’époque c’était des logiciels contrôlés par des grosses multinationales donc Diaspora est un projet de réseau social alternatif qui est décentralisé et qui permet du coup de garder le contrôle de ces données. Je contribue à Diaspora depuis vraiment très longtemps, 2012, et j’ai installé diaspora-fr.org comme étant mon serveur Diaspora principal. Et puis c’est en discutant avec Pyg, de Framasoft, au JDLL de 2014, qu’il m’explique que Framasoft s’apprête à lancer une campagne « Dégouglisons Internet » pour justement parler de tous ces sujets de collecte de données et tout ça de la part des GAFAM. et qui seraient intéressés pour utiliser Diaspora comme alternative à Facebook. Et donc, c’est à ce moment-là que j’ai rejoint Framasoft pour installer Framasphere, qui était le serveur Diaspora de Framasoft à l’époque. Et j’ai gardé en ce coté, c’est-à-dire mes contributions, c’est principalement de la vulgarisation, faire des conférences, discuter, sensibiliser. Comme je suis déjà développeur web dans mon métier, et que je passe déjà ma journée à écrire du code, pour Framasoft, je suis plus. plutôt investi dans le coté communication et bien sûr aussi tout ce qui est gestion de l’administration, je suis au conseil d’administration, etc. Et donc je suis chez Framasoft depuis 2014 et toujours avec cet axe, comment est-ce qu’on peut avoir sa vie privée respectée le plus possible. Du coup, les smartphones, le sujet d’aujourd’hui, c’est un des sujets phares. Moi, j’ai du coup toujours voulu essayer d’utiliser d’autres systèmes d’exploitation qu’Android qui n’est pas très respectueux. Et donc, chez Mozilla, j’avais commencé avec Firefox OS. Quand ça s’est arrêté, j’ai ensuite utilisé Ubuntu Touch. Et puis maintenant, j’utilise /e/OS à chaque fois sur mon téléphone principal, j’entends. Et puis, j’ai bien sûr bidouillé sur plein d’autres systèmes d’exploitation dont on va discuter.
En quoi un smartphone est différent d’un ordinateur
Walid : avant de commencer sur des problèmes de vie privée, une des choses qui ressort de ce que tu as pu dire et des discussions qu’on a pu avoir ou que j’ai pu avoir avec d’autres gens, c’est que je pense qu’il faut commencer par expliquer en quoi un smartphone, c’est différent d’un ordinateur. Je suis pas sûr que tout le monde ait la vision d’à quel point c’est différent un smartphone d’un ordinateur. Est-ce que tu peux commencer par expliquer, s’il te plait, en quoi ça diffère ?
Antoine : en fait, les smartphones sont très intéressants parce qu’ils ont beaucoup évolué. À la base, on partait vraiment du téléphone, je veux pouvoir appeler, être en contact, etc. Et puis, ils sont devenus de plus en plus puissants, au point qu’aujourd’hui, un smartphone embarque une quantité de RAM qui ferait rougir des ordinateurs d’il y a seulement quelques années. Mais en même temps, ils embarquent aussi énormément de petits capteurs, de petites choses qu’on ne retrouverait jamais sur un ordinateur. Donc on a des différences majeures. La première, c’est sur l’architecture même. Un smartphone embarque, donc c’est de l’ARM, c’est des choses qui sont moins ouvertes que X86, les architectures traditionnelles qu’on va retrouver sur les ordinateurs. En plus de ça, on se retrouve avec une puce GPS, un micro, une caméra, mais aussi le téléphone lui-même va pouvoir détecter quand il bouge trop vite, où est-ce qu’il est, qu’est-ce qu’il fait, etc. Beaucoup plus de capteurs que sur un ordinateur, comme du NFC ou des choses comme ça.
Et puis, en fait, c’est un device qu’on a tout le temps sur nous, qui va collecter, enfin en tout cas qui va permettre, admettons qu’il ne soit pas… Donnons-lui le bénéfice du doute s’il n’était pas méchant. Ça reste quelque chose dont on se sert aujourd’hui beaucoup plus. On va acheter ses billets de train, on va régler son alarme pour se lever le matin. Donc, si on a accès à l’intégralité des données d’un smartphone, on a vraiment une image très précise de ce qu’est la vie de quelqu’un. On sait où il se trouve, on sait avec qui il est en contact, qui c’est qu’il appelle, avec qui il communique, ses emails. On sait à l’heure à laquelle il se lève, s’il est dans un environnement bruyant ou pas avec le micro. On peut voir ce qu’il voit avec la caméra. On va beaucoup plus loin que ce qu’on pourrait collecter avec un ordinateur.
Walid : plus de capteurs, plus de choses, plus de micro-logiciels, plus de codes dont on ne sait pas exactement ce qu’ils font tout le temps. C’est plus complexe.
Antoine : tout à fait. Effectivement, au niveau des constructeurs aussi, il y a une approche qui est assez différente. Aujourd’hui, un ordinateur par défaut, ce sera assez facile de faire tourner du Linux, des choses comme ça, dessus. Alors que les constructeurs de smartphones sont beaucoup plus possessifs sur leurs propriétés intellectuelles, sur ce qu’on peut faire avec leurs puces. Et du coup, c’est vraiment des boites noires, nos téléphones. On a très peu d’informations, et même si on les a, légalement, on n’est vraiment pas autorisé à aller les bidouiller, c’est malheureux.
Et puis il faut ajouter à ça que non seulement le matériel est plus complexe et on le contrôle moins, mais souvent un smartphone ne s’arrête pas juste à un téléphone plus un système d’exploitation. C’est tout un écosystème avec des applications dans des stores, avec un compte cloud qui va nous permettre de synchroniser nos contacts, nos agendas, etc. Avec Apple, on voit même une intégration encore plus loin. Tout un écosystème, le téléphone envoie instantanément des fichiers à son Mac, on a la possibilité de suivre en temps réel où est-ce que son téléphone est, si jamais on le perd, enfin, il y a beaucoup de choses construites autour et on ne parle pas simplement aujourd’hui d’une puce informatique qui permet de passer des appels.
Sécurité vs vie privée
Walid : c’est très différent de ce qu’on connait sur le monde PC, ça pose plein de problématiques et on va en parler un peu après. Est-ce que tu peux expliquer qu’on a ici deux concepts différents que parfois on peut avoir tendance à confondre alors qu’ils sont très différents qui sont d’un côté le respect de la vie privée et de l’autre côté le respect de la sécurité. De quoi on parle en fait ?
Antoine : ce sont deux choses qui sont effectivement très différentes, même si on les assimile. Souvent une solution qui est sécurisée est aussi une assez bonne solution pour la vie privée mais ce n’est pas forcément systématique. La sécurité, en tout cas en informatique, c’est vraiment le fait de ne pas pouvoir détourner un logiciel, une application, etc. pour lui faire faire des choses qui n’étaient pas prévues à la base. Donc en sécurité, on parle d’un attaquant et on va dire, je ne sais pas, vous avez une application qui permet d’accéder à vos comptes bancaires. S’il y a une faille de sécurité, une personne qui n’est pas censée avoir accès à vos comptes bancaires va pouvoir y avoir accès et donc l’application n’est pas sécurisée. Donc là, c’est vraiment un modèle de menace. C’est quelqu’un qui fait quelque chose qu’il n’était pas censé faire. Ça, c’est un problème de sécurité.
La vie privée c’est très différent. C’est une question de dire est-ce que mes données sont utilisées uniquement quand je suis d’accord et pour des choses où elles étaient nécessaires ? Et donc, si je reprends mon exemple de l’application bancaire, si ma banque se permet de lire tous les achats que je fais avec mon appli et de rediffuser derrière à des publicitaires, qu’est-ce que j’ai acheté parce que ça peut les intéresser, et que c’est dans les conditions d’utilisation de l’application, etc. Là, on n’a pas de problème de sécurité, c’est-à-dire que l’application fait ce qu’elle est censée faire, elle a été conçue pour diffuser mes achats bancaires, donc il n’y a pas de problème de sécurité. Par contre, il y a un énorme problème de vie privée : probablement que l’utilisateur n’est pas conscient que ces informations sont diffusées et qu’il serait tout à fait en droit de dire à la banque « Non, non, ce n’est pas parce que tu as accès aux informations de mes achats que tu as le droit d’aller les revendre à quelqu’un. »
Walid : je me rappelle quand, il y a bien longtemps, au tout début de Google, de discussions avec des gens, même des libristes autour de moi, qui me disaient « Bon, de toute façon, Google, il connait déjà toute ma vie, mais bon, ce n’est pas très grave, je n’ai rien à cacher. »
Antoine : oui.
Walid : avec le temps, on s’est aperçu de la monstruosité du truc, de ce qu’il pouvait faire avec. Et donc, finalement, si, c’était un problème.
Antoine : oui, c’est toujours un énorme problème. En fait, la phrase « je n’ai rien à cacher » , pour moi, la réponse est assez facile à avoir puisque les gens qui affirment ça, souvent, pensent « j’ai une vie banale et puis je ne fais rien d’illégal » . Ce qui, en pratique, est tout à fait vrai. Mais il y a deux choses importantes à noter. Déjà, la première, c’est que ça, c’est vrai à l’instant T.
Donc aujourd’hui, ce que tu fais te parait banal et pas illégal, mais la donnée qui est collectée aujourd’hui, elle va rester. 5 ans, 10 ans, 20 ans, on ne va jamais effacer des données et les oublier. Et on voit bien comme le monde est en train d’évoluer. Typiquement, aux États-Unis, des choses qui pouvaient paraitre banales et pas du tout illégales quand c’était Obama qui était président. peuvent aujourd’hui poser beaucoup plus de problèmes, maintenant que c’est Trump et avec sa police anti-immigration, etc. Voilà, des choses qui étaient banales ne le sont plus du tout, on ne peut pas du tout présupposer de ce que sera le futur. Le mieux, c’est encore de ne pas permettre la collecte à la base, plutôt que de se dire « Oups, à l’époque c’était tranquille, mais en fait aujourd’hui on m’attaque pour des discours que je tenais il y a dix ans qui ne sont plus du tout acceptés. »
Antoine Duparay (fla)
Ça c’est une première chose. La deuxième chose, c’est qu’il faut prendre en compte les statistiques. Et donc une information complètement banale aujourd’hui, « j’adore manger du reblochon », n’a aucune valeur si on dit juste Antoine aime le reblochon. À la limite ça intéresse des publicitaires et on va essayer de leur vendre plus de fromage mais on peut oser espérer résister à ça. Par contre si on se rend compte de par la quantité de données massive qui est collectée sur des milliards de personnes en même temps que les gens qui aiment le reblochon ont une tendance, on ne sait pas pourquoi, à avoir plus d’accidents de voiture ou… ou à ne pas réussir à rembourser leurs prêts immobiliers, ou ce genre de choses, on va avoir des personnes qui vont tenir compte de cette information, et qui vont nous faire payer plus cher notre assurance, ou qui vont peut-être nous refuser notre prêt, sur la base de données qui nous semble initialement complètement superflue et pas du tout grave. Donc, le fait de donner autant d’informations sur notre vie, notre mode de vie, à des entreprises, ce n’est pas une bonne nouvelle, même si ça n’a rien d’illégal.
Walid : une des causes visibles qu’on a vues, c’est le scandale Cambridge Analytica, où finalement, on est capable d’agréger un grand nombre de données sur les gens et après, d’influencer des votes, d’influencer les opinions.
Antoine : tout à fait. Ça a été démontré aujourd’hui que Cambridge Analytica, c’est une entreprise qui a travaillé à analyser les données de Facebook et qui a permis notamment le Brexit et la première élection de Trump en 2016 en ciblant spécifiquement. les personnes qui étaient encore indécises, et en réussissant ainsi à influencer leur vote et à faire basculer le résultat d’une élection. Donc on parle quand même de choses qui peuvent initialement sembler banales et qui vont avoir des conséquences mondiales absolument énormes.
Walid : ok, donc ce qui est important à retenir là, c’est qu’on a dans cette partie de vie privée, on a des données qu’on donne sciemment, qui peuvent être utilisées parfois d’ailleurs. Il n’y a pas très longtemps, je voulais aller écouter un podcast fait en direct : sur le site de lieu, je devais donner mes informations plus ma date de naissance [le forum des images]. Ça n’a aucun sens de faire ça. Cette information, c’est une information personnelle que j’ai donnée alors qu’en fait, je n’aurais pas dû la donner. Donc il y a ça, il y a ce qu’on va me demander sciemment de donner et puis il y a ce qu’on va collecter à mon insu.
Antoine : oui, tout à fait.
Il y a vraiment deux types de collecte de données. La première, tu l’as très bien décrit, c’est des formulaires qu’on va remplir où on va être conscient qu’on donne son information. Parfois, ils vont demander trop de choses. Mais on en est quand même conscient, donc on peut aussi répondre des choses fausses. On peut mettre une fausse date de naissance, il ne faut pas hésiter à s’amuser avec ça. Mais il y a aussi quelque chose de beaucoup plus subtil, je dirais même plutôt fourbe, qui est de la collecte de données sans qu’on s’en rende du tout compte et qui est faite par les applications qui vont observer quand est-ce que notre téléphone se réveille, quand est-ce qu’on va faire différentes choses et puis vont agir. et modifier des choses en conséquence sans qu’on en soit du tout conscient.
Antoine Duparay (fla)
Les applications et la collecte de données
Walid : une grosse partie de la problématique que je comprends, c’est une problématique autour des applications, puisque c’est majoritairement avec les applications qu’on va interagir. C’est-à-dire qu’au niveau de l’OS, il peut y avoir des fuites de données. On a vu Google qui, alors que le GPS est censé être off, collecte quand même des données en disant « Oups, désolé, on ne le fera plus, c’était une erreur » . Enfin bref, il peut y avoir des trucs, mais une bonne partie des données qui vont être collectées proviennent des applications. Qu’est-ce que tu peux en dire là-dessus, autour des problématiques des applications mobiles ? En quoi aussi les applications mobiles, c’est différent de ce qu’on peut connaitre, par exemple sur un ordinateur où tu vas plutôt utiliser ton navigateur ?
Antoine : alors, il faut prendre déjà un tout petit peu de recul pour comprendre pourquoi on est dans un état pareil d’autant de tracking de partout.
La chose au cœur de tout, c’est le business model. C’est comment est-ce qu’on gagne de l’argent ? Donc déjà, c’est intéressant de se rendre compte que les problèmes qu’on retrouve sur les téléphones sont les mêmes que ce qu’on retrouve sur le web ou sur les logiciels en règle générale. Il y a deux business models [modèles économiques] majeurs. Soit on fait payer l’accès au contenu, par exemple sur le site du journal Le Monde, il faut s’abonner pour avoir accès à une majorité des articles, ou sur une partie des logiciels propriétaires, il faut les acheter, donc on va les payer. Et puis sinon, si c’est gratuit, souvent c’est le modèle de la publicité. Donc soit afficher des publicités directement dans l’application, soit ne pas en afficher, mais collecter des données et puis revendre ces données à des publicitaires.
Antoine Duparay (fla)
Donc déjà, la première chose qu’on observe, c’est que Google et Apple ont choisi deux business models différents. Apple, on en parle moins dans cet épisode : eux, ils ont un écosystème qui est complètement fermé. Donc, de base, c’est quelque chose vraiment qu’en tant que libriste, on trouve qu’il est très mal, très mauvais, bref. Mais quand même de Apple ils encouragent leurs développeurs plutôt à faire des applications payantes ou avec des business models autour directement du fait d’acheter des choses dans l’application.
Alors que Google, eux, ont vraiment cette approche complètement ouvert de dire « venez tous mais en fait il n’y a pas de gardien ». Les applications peuvent faire un peu tout et n’importe quoi sur Android. Elles sont beaucoup moins contrôlées que sur iOS. Et du coup, le business model majeur des applications sur Android, c’est la pub. Ce qui fait que quand même, si vous deviez choisir entre deux systèmes du point de vue de la vie privée sans les modifier et sans faire d’étapes, un iPhone est quand même beaucoup plus respectueux par défaut qu’un Android. C’est loin d’être la panacée, mais c’est quand même le cas. Et donc, le constat qu’on peut faire, c’est que ces applications, c’est l’ouverture d’un nouveau monde pour elles, puisque ce business de tracking et d’affichage de publicité qui vient du web, il peut maintenant être réalisé avec beaucoup plus d’informations, beaucoup plus de détails, beaucoup plus d’accès aux contacts, aux micros, à la position, à des choses qui n’étaient pas du tout possibles de faire depuis un site web. Et donc déjà, le premier conseil qu’on peut donner à tout le monde, si vous n’avez pas encore l’énergie pour changer de système d’exploitation sur votre téléphone, dont on discutera après comme solution, mais c’est de dire que vous n’avez pas forcément besoin d’installer une appli. Vous pouvez très bien utiliser Blablacar, Leboncoin, en allant sur le site web, qui du coup a beaucoup moins d’informations sur vous. Et puis quand l’onglet du site web est fermé, il arrête de collecter des choses sur ce qui se passe sur votre téléphone.
Donc le petit truc idéal, c’est même d’utiliser le navigateur Web Firefox sur votre Android tout ou votre iPhone, d’ouvrir une fenêtre de navigation privée, d’aller sur Leboncoin, de faire votre achat et de refermer ça. Et là, vous aurez vraiment beaucoup limité le tracking par rapport à ce que l’appli Leboncoin ferait sur votre téléphone. Pour vous donner un exemple de jusqu’où là ça va, je ne vais pas nommer d’appli parce qu’on n’est pas 100 % sûr de tout, mais il y a des applis qui vont jusqu’à surveiller le niveau de batterie de votre téléphone. Et si votre batterie est faible, ils vont artificiellement augmenter les prix des articles que vous pouvez acheter dans l’application parce qu’ils savent que votre téléphone est sur le point d’éteindre, donc vous n’avez plus trop le temps de faire des choix, il faut que vous achetiez le truc maintenant et donc ça va couter plus cher [exemple Uber]. Là, c’est un très bon exemple, je trouve, d’une petite donnée qui de base n’a rien à cacher. Je veux dire, tout le monde s’en fout du niveau de batterie de son téléphone, ce n’est pas une donnée personnelle critique, ce n’est pas du tout votre numéro de compte bancaire, mais pourtant, elle va avoir un impact immédiat. sur votre vie en vous faisant perdre quelques euros supplémentaires parce que vous allez acheter trop cher quelque chose qui ne valait pas ce prix-là.
Walid : il y a la possibilité aussi d’utiliser des fonctionnalités du navigateur de container qui permettent de rendre étanche un onglet par rapport à un autre aussi.
Antoine : il y a tout un certain nombre d’extensions en tout cas sous Firefox, moi c’est ce que j’utilise, qui permettent de limiter la collecte des données quand on est dans le web. Je pense que c’est vraiment ça, c’est un contrôle beaucoup plus poussé de la part de l’utilisateur sur ce qui se passe quand on utilise des sites web que quand on utilise des applications. C’est un petit peu moins pratique, mais aujourd’hui avec ce qu’on appelle les PWA, les Progressive Web Apps, on a quand même un bon compromis, je trouve, entre des sites web qui restent des choses qu’on contrôle et qui peuvent être quand même utilisées offline, etc., hors réseau si jamais on a besoin, versus des applis qui ont accès à beaucoup trop de choses sans même qu’on s’en rende compte.
Walid : je fais une micro-aparté là-dessus parce qu’on en parlera certainement dans d’autres épisodes quand on parlera de Linux sur téléphone, mais
Il y a aussi la possibilité de chercher les alternatives à certaines applications, qui est un travail qui peut paraitre un peu fastidieux, mais qui permet finalement parfois de tomber sur des perles d’autres applications, parfois plus petites, parfois avec un design différent, etc., qui sont peut-être plus respectueuses. Quand tu as un téléphone sous Linux, tu es obligé de chercher des alternatives dans tous les cas. Mais parfois, tu tombes sur des perles.
Walid Nouh
Et moi, c’est un truc que j’aime bien. Ça me rappelle mes débuts sous Linux où il fallait que je cherche les alternatives à des applications où j’avais l’habitude. Bien sûr, ce n’est pas possible pour tout. Ça permet aussi de changer ses habitudes et puis de découvrir d’autres choses.
Antoine : effectivement, tu fais bien de le rappeler. On aurait peut-être dû commencer par ça. Je suis parti tout de suite sur les sites web parce qu’en fait il faut distinguer deux scénarios qui sont complètement différents.
Il faut distinguer un usage, par exemple, j’ai besoin de surveiller ma position, donc je veux accéder à ma position sur une carte. Et donc ça, c’est quelque chose qui est très personnel et les alternatives sont tout à fait possibles. Tu as fait des épisodes absolument géniaux sur OpenStreetMap [voir l’épisode d’introduction à OSM], etc. Il y a plein de choses. Des alternatives libres existent et peuvent être de très bonne qualité.
Et par contre, tu as un deuxième scénario qui est l’effet réseau. Là, si on veut accéder à quelque chose qu’on achète d’occasion en France, Leboncoin, c’est un petit peu incontournable. Et donc, on pourrait avoir un client alternatif qui se connecterait aux API du Boncoin et qui ne nous traquerait pas, qui ne serait pas l’application officielle. Mais dans tous les cas, à un moment donné, il va falloir qu’on fasse notre recherche sur Leboncoin et donc qu’on envoie ces informations sur le Boncoin. Là, je donne l’exemple du Boncoin parce qu’on est sur un podcast français, mais en fait, l’exemple majeur de l’effet réseau, c’est évidemment les réseaux sociaux. Voilà, si on doit accéder à des événements Facebook ou à des comptes Instagram ou à des choses comme ça, on peut avoir des applications alternatives pour essayer d’accéder à Instagram sans utiliser Instagram lui-même, l’application Instagram elle-même, mais à un moment donné, on va envoyer des données à Meta parce que ça restera le service Instagram.
Walid : un des exemples que j’aime bien citer, parce que moi j’utilise, c’est par exemple pour YouTube, c’est Newpipe. qui est en fait un client Android YouTube qui permet d’accéder de manière anonyme à des vidéos sur YouTube qui ne vous traquent pas.
Antoine : tout à fait, oui. NewPipe est un très bon exemple.
Walid : voilà, c’est un peu toujours le chat et la souris. Google fait une modif, ça ne marche plus. Il faut que NewPipe corrige et tout. Mais globalement, ça marche plutôt pas mal. Après, ça pose des questions sur plein d’autres questions dont on ne va pas parler sur l’effet sur les créateurs, etc. Mais voilà, globalement, il y a des possibilités.
OK, donc sur les applications, il y a un vrai enjeu de par le business model. Moi, à titre perso, ce que je fais, c’est que toutes les applications que je n’utilise pas tous les jours, je passe par le site Internet. Typiquement, Leboncoin, je n’y vais pas tout le temps et quand j’y vais, j’y vais dans mon navigateur Firefox. C’est aussi l’occasion, par exemple, pour un calculateur d’itinéraire. Il y en a des très connus et tout ça, mais en fait, finalement, en cherchant, il y en a d’autres. Je suis tombé sur un qui s’appelle Bimba. Ce n’est pas encore très beau et tout ça, mais globalement, ça peut faire le job. Et donc, voilà. Mais par contre, ça demande du passé du temps, de rechercher et tout. Et les gens, ils n’ont pas forcément envie de passer du temps et chercher.
Mais bon, bref, il y a un peu de tout. Et puis, il y a aussi certainement, je pense, de notre part, à faire connaitre des alternatives, des applications alternatives sympas.
De quoi est composé Android
Walid : toi, tu avais noté dans la trame qu’on avait faite qu’il fallait éviter d’utiliser l’Android de base.
Antoine : oui, c’est ça. En fait, aujourd’hui, dans Android, déjà, on n’a peut-être pas très bien défini ce qu’est Android. On pourrait peut-être juste dire un mot là-dessus.
Android, c’est donc le système d’exploitation créé par Google et qui équipe aujourd’hui une grande majorité des terminaux mobiles, des smartphones. Et Android est divisé en deux, en fait. Il y a un projet qui s’appelle AOSP, Android Open Source Project, qui est, comme son nom l’indique, open source, les sources sont disponibles. Moi, je ne le considère pas comme un projet libre, c’est-à-dire que la licence fait qu’on peut accéder au code source, le modifier, le redistribuer, etc. Pour autant, pour moi, un projet qui est libre, c’est un projet qui a un minimum d’éthique, qui va accepter des contributions. Or là, ce n’est pas du tout le cas. Google verrouille tout ce qu’on intègre dans Android, qui va avoir une gouvernance ouverte. C’est pareil, ce n’est pas du tout le cas. Google décide tout seul de la direction du projet, etc. Donc voilà, mais c’est quand même une base qui est ouverte, contrairement à iOS où là, on n’a aucun accès de rien du tout de la part de Apple.
Antoine Duparay (fla)
Et par-dessus cette base ouverte, Google rajoute tout un écosystème d’applications. Donc en tout premier, le Google Play Store, qui sert à télécharger d’autres applications, mais aussi l’application Gmail, l’application Google Maps, etc., qui sont basées sur des API. Donc là, on rentre dans un truc un petit peu technique, mais qui s’appelle les Play Services. Donc là, ce qu’il faut en gros comprendre, c’est qu’il y a un système de base qui est libre, mais qui est très simpliste, qui ne permet pas grand-chose. Et par-dessus ça, il y a une couche complètement privatrice de Google qui fait à la fois la valeur ajoutée d’Android et qui, en même temps, est vraiment catastrophique du point de vue de la vie privée.
La solution ultime, mais on n’en parlera pas trop aujourd’hui, on fera d’autres épisodes là-dessus, c’est de carrément dire qu’on ne veut pas d’Android parce que, justement, Google le contrôle beaucoup trop. On est dépendant de la direction qui va donner à l’OS et donc on reconstruit un autre système pour téléphone typiquement basé sur Linux. Donc là, on a PostMarketOS, Ubuntu Touch. Il y a plein de projets autour de ça dont on pourra parler plus tard.
Mais une autre solution, c’est de dire on part de cette couche AOSP et on développe des alternatives à la couche propriétaire, la couche Google Play, pour avoir à nouveau un écosystème complet sur notre téléphone et fonctionnel. mais où il n’y a plus de code propriétaire.
Walid : si vous avez un peu de compétences techniques, je vous invite fortement à aller écouter l’épisode avec Agnès Crépet sur Fairphone, où on rentre en détail dans ces sujets-là et on parle de comment maintenir sur la durée, sur des années, un téléphone. Et justement, où Agnès explique tous ces différents types de couches, la responsabilité de Google, le contrôle de Google sur les sorties des téléphones Android, les tests de conformité, etc. On rentre assez dans le détail là-dedans.
Les briques logicielles pour recréer un écosystème Android libre
Walid : si vous avez des compétences techniques, c’est un bon complément pour aller un peu plus loin sur ce qu’Antoine vient de dire. Ça nous mène justement à la partie suivante que je voulais aborder qui est, très bien, je veux faire une alternative. Je veux faire l’alternative à une version d’Android qui est fournie par un fournisseur de téléphone. Quelles sont les briques de base dont on a besoin pour arriver à faire une alternative crédible ? C’est-à-dire, comme on a dit, un smartphone, ce n’est pas juste du matériel et de l’OS, mais c’est un écosystème. Quels sont les briques de base dont on a besoin ?
Antoine : il y a beaucoup de choses, mais la toute première chose, c’est le store. Aujourd’hui, c’est comme ça que les utilisateurs installent des logiciels sur un smartphone. Là encore, il y a deux approches. Il y a une approche plutôt de se dire, je ne veux pas utiliser les applications traditionnelles qui sont privatrices, qui sont pleines de trackers, etc.
Et donc, il y a un boulot formidable qui est fait. par les personnes derrière le projet F-Droid, qui est de dire, nous, on va vraiment lister les applications qui sont évidemment open source, mais ils vont beaucoup plus loin. Ils analysent le code, ils le rebuildent même dans certains cas, peut-être dans tous les cas, je ne sais plus. Mais bref, en tout cas, une application qui est disponible sur F-Droid, elle va arriver avec une analyse fine de ce qu’elle va réellement faire, des permissions qu’elle va avoir, etc. Et tout ça est listé dans le store. Et donc, c’est vraiment une approche idéale si vous voulez être sûr que votre smartphone ne fait pas de bêtises. Mais qui arrive évidemment avec ses limites, qui est qu’une application comme Too Good To Go, par exemple, évidemment qu’elle est propriétaire et ne sera pas disponible sur F-Droid. Et malheureusement, ils ne font pas de version web de Too Good To Go. Donc, pas d’autre solution si on veut pouvoir avoir accès, encore une fois, effet réseau au magasin qui propose ça. Eh bien, il va falloir installer cette application.
Et donc, si on ne veut pas du Google Play Store qui nécessite en plus de ça un compte Google pour télécharger des applis, on peut utiliser un autre projet qui s’appelle Aurora Store. Alors là, il y en a d’autres, des stores comme ça, mais c’est peut-être le plus connu qui est en fait l’équivalent un peu d’un proxy. Il faut comprendre un intermédiaire entre notre téléphone et puis le magasin d’applications de Google et qui nous permet de télécharger des applications sans avoir donné d’informations à Google et sans avoir installé Google Play sur son téléphone. Donc je maintiens le warning, attention, typiquement, Too Good To Go est une application qui a pas mal de trackers. Donc ce n’est pas parce qu’on l’a installée à travers Aurora Store que l’application est propre. C’est juste la façon dont on l’a obtenue qui évite d’avoir donné des informations à Google.
Antoine Duparay (fla)
Mais une fois que l’application est là, elle a toutes les mêmes permissions. C’est vraiment le même build, donc c’est la même version compilée, le même APK pour les applications Android. que celui qui est sur le Google Play Store. Donc tous les trackers que les fabricants de Too Good To Go ont pu avoir mis dans l’application seront installés sur le téléphone.
Walid : ce qu’il faut aussi, une des forces d’Android, c’est toutes les applications Google de collaboration. Je pense à Google Drive, Google Photos, etc. Et là, en libre, on a aussi des alternatives si on veut se faire sa propre suite alternative.
Antoine : ce qui est intéressant aujourd’hui, c’est que comme la base d’Android est open source, énormément de gens se sont posés sur la question. Cela fait très longtemps qu’il y a des gens qui travaillent sur ces sujets, donc on a des alternatives pour à peu près tout. Donc là, typiquement, tu viens de parler des synchronisations, des contacts, etc. Ça fait très longtemps qu’un projet comme OwnCloud, qui est devenu Nextcloud aujourd’hui, existe et permet d’avoir sur un serveur son propre cloud personnel et donc qu’on peut utiliser pour synchroniser son agenda, ses contacts, automatiquement uploader toutes ses photos pour avoir une sauvegarde, ce genre de choses.
Et puis l’avantage c’est qu’il y a plein de gens qui proposent ça aujourd’hui. Par exemple Zaclys, nous avec Framasoft, on répertorie les CHATONS, les collectifs d’hébergeurs qui vont proposer des alternatives aux géants des web. Donc trouver quelqu’un qui fait du Nextcloud et qui l’installe pour vous, c’est facile. Vous n’avez pas besoin d’avoir à installer votre propre serveur. Et vous pouvez tout à fait synchroniser votre téléphone qui serait libéré de son compte Google, et synchroniser ce téléphone avec un NextCloud.
De la même façon, tout ce qui est des API vraiment un peu internes de Google et des Play Services, il y a le projet microG qui existe et qui est une réimplémentation libre et qui permet du coup un contrôle beaucoup plus fin des données. Donc ça, c’est quelque chose d’un peu compliqué parce que beaucoup d’applications se servent de ça.
La façon dont ça fonctionne, je reprends un tout petit peu de hauteur, on a le projet AOSP qui est libre et la surcouche Google. La base de cette surcouche, c’est ce qu’on appelle les Play Services. Ce sont vraiment des outils pour les applications qui donnent beaucoup de facilité. Typiquement, un des usages les plus connus, c’est les notifications.
Les notifications, pour éviter qu’une appli aille constamment demander, je vais prendre l’exemple de Signal : « est-ce que j’ai reçu un nouveau message ? ». Au lieu de faire ce qu’on appelle du pulling, on va avoir du push. Donc, Google, qui va être capable de dire à travers son service : « tu as reçu une nouvelle notification » qui va réveiller à distance le téléphone au lieu que ce soit le téléphone qui constamment aille vérifier s’il y a des nouveaux messages, ce qui en termes de gestion de batterie pose un gros problème. Et évidemment c’est ça c’est ce qu’on appelle un SDK un software developer kit donc tous les développeurs d’applications Google sont toujours Android sont toujours très encouragés à utiliser le SDK de Google à utiliser toutes ces API là et comme on l’a dit et ben Google au passage ne ne se gêne pas pour collecter toutes les données. Donc à chaque fois que les applis parlent avec le téléphone, ils observent tout ça. Et donc microG, c’est une réimplémentation de SDK, mais en libre, et qui va du coup permettre de dire « Ok, je suis d’accord que tu utilises les notifications push, mais je ne suis pas d’accord que tu utilises la géolocalisation fine, par exemple, ou ce genre de choses. On ne va pas rentrer dans les détails parce qu’il va y avoir trop de choses là. Mais c’est un peu une contre-mesure pour contrôler toujours le code source de ce qui est exécuté sur son téléphone.
Walid : pour en savoir plus sur microG, on en parle dans l’épisode avec Gaël Duval sur /e/OS et Murena de ce qu’est microG, de la personne qui fait ça, comment c’est financé, etc. Donc pareil, si vous voulez en savoir plus, vous pouvez vous reporter à cet épisode. Désolé, je t’ai coupé.
Antoine : non, non, c’est tout à fait ça. Je voulais juste finir pour dire qu’évidemment, le but, c’est quand même de communiquer avec les API de Google. Donc, même si on n’a plus de code propriétaire exécuté sur son téléphone, toutes les données qu’on envoie à Google, qu’on continue de les envoyer, ça a quand même ses limites. Sur la question du push, il y a le Unified Push et puis il y a d’autres technologies qui sont en train d’être mises en place, mais on ne va pas rentrer dans les détails.
Walid : sur microG, par exemple, pour donner une idée, jusqu’à assez récemment, ça fait quelques mois maintenant, il y avait une fonctionnalité, par exemple, qu’on n’avait pas, qu’on a un compte Google et qu’on veut se connecter. Google peut envoyer une notification sur votre téléphone qui dit que vous voulez vous connecter sur un autre appareil, c’est bien moi ou ce n’est pas moi. Avant, ce n’était pas pris en charge par microG. On ne pouvait pas utiliser cette méthode d’authentification. Alors que maintenant, par exemple, ça fonctionne. C’est-à-dire qu’on peut utiliser cette fonctionnalité et parfois, c’est quand même bien pratique. Moi, je sais que sur mon compte professionnel, sur mon téléphone sur /e/OS, avoir cette fonctionnalité, c’est quand même pratique pour me connecter à mon compte professionnel Google, par exemple.
Antoine :
quelqu’un qui serait complètement à dire « je veux me passer des API de Google à 100 % » n’installerait pas microG, il n’en aurait pas besoin. Mais sans cette couche-là, il y a énormément d’applications qui ne fonctionnent pas. Une application bancaire, par exemple, va quasiment systématiquement vérifier que ce qu’ils appellent les standards de sécurité, donc ces integrity checks, etc., sont correctement disponibles sur le téléphone pour vérifier que le téléphone est, d’après eux, sécurisé, donc n’a pas été piraté. En réalité, c’est un petit peu l’inverse, si je peux me permettre, mais bref… Du coup, voilà, s’il n’y a rien d’installé sur le téléphone, l’application va tout simplement refuser de s’exécuter.
Antoine Duparay (fla)
Alors que microG va être une solution qui peut permettre de faire croire à l’application que oui, oui, les API Google sont bien disponibles et oui, oui, ce téléphone est sécurisé. Alors même que justement, il n’y a pas de code Google qui est exécuté sur le téléphone. Donc selon ce qu’on cherche à faire avec son téléphone, c’est presque indispensable d’avoir un microG installé pour avoir un Android fonctionnel.
Walid : je pense qu’on en parlera dans les prochains épisodes des applications bancaires parce que c’est un peu la liste de toutes les applications. L’application bancaire, elle a une bonne place. Et donc, le fait de passer par une version alternative d’Android en termes de sécurité, ça veut dire qu’on peut rajouter des outils supplémentaires. En plus de ce qu’on a dit sur microG et tout, on peut rajouter des outils supplémentaires. Est-ce que tu veux en dire deux mots de ces outils qui nous permettent d’améliorer la partie vie privée ?
Antoine : oui, il y a beaucoup de choses qui existent. Je pense qu’on va peut-être… Pas faire tout plein de détails aujourd’hui, mais notamment, tu as parlé de Shelter juste avant, qui est une application qui contourne un petit peu le système d’Android de profil pour exécuter des applications dans des profils qui sont vierges. Donc ça, par exemple, très intéressant, vous n’arrivez pas pour l’instant à vous passer de l’application Instagram qui demande d’avoir accès à vos contacts et ce genre de choses. Eh bien, si vous l’exécutez dans un profil professionnel, qui du coup est vide, vous aurez quand même l’application installée, vous lui donnerez l’accès aux contacts, mais en fait, les contacts qu’elle regardera, ce sera une liste de contacts vides, et donc vous n’avez pas donné l’accès à vos vrais contacts de votre téléphone.
Il y a aussi l’application Exodus Privacy qui essaye de donner des notes, de surveiller un petit peu chaque autre application. En fait, c’est une analyse des applications qui existent dans le téléphone ou dans les stores. en disant voici les trackers qu’on a pu détecter dedans, etc. Il y a aussi Privacy Badger. Il y a vraiment beaucoup de choses qui peuvent exister sur l’écosystème Android en général. Il y a plein de gens qui se sont posés sur la question. Je pense qu’on aura l’occasion d’en rediscuter. Il y a des choses à faire sur comment configurer son téléphone.
Les version d’Android alternatives
Walid : maintenant, ce que j’aimerais, c’est qu’on parle un peu des alternatives qui existent. Android de base ou Android des opérateurs, des fabricants de téléphones. Là, il y a plusieurs systèmes qui sortent un peu du lot. Je pense que le premier dont on peut parler, c’est justement un système qui est plutôt basé sur l’idée d’avoir de la sécurité. C’est GrapheneOS. Est-ce que tu veux dire quelques mots sur Graphene ?
Antoine : alors, ce qu’il faut savoir, c’est qu’en gros, on repart de AOSP à chaque fois, l’Android de base. Le projet le plus connu à l’époque, il y a déjà 15 ans peut-être, c’était un projet qui s’appelait CyanogenMod, qui est donc une récupération de Android AOSP en essayant de l’installer sur d’autres téléphones, là où Google ne fournissait pas forcément le support, etc. Projet qui a évolué, qui s’appelle maintenant LineageOS, et qui est en gros un peu la base de tous les systèmes Android alternatifs qu’on observe. Donc ça, c’est un peu le bloc primaire du truc.
Et puis après, il y a des approches et des philosophies qui sont très différentes selon les projets. Donc GrapheneOS, c’est un projet qui est porté par des experts en sécurité. C’est un projet qui reste très proche de l’Android de Google, mais avec toute une multitude de patches supplémentaires pour vraiment essayer de sécuriser au maximum les différents usages qu’on peut avoir, notamment dès qu’il y a des patches de sécurité d’Android qui sortent, tout de suite ils sont réappliqués. C’est un projet qui permet de reverrouiller le bootloader [chargeur de démarrage], donc là c’est quelque chose d’un peu technique. Il faut savoir que sur les téléphones supportés par Graphene, on a un niveau de sécurité là-dessus qui est important. Et puis, c’est une approche de sandbox en fait pour les applications qui sont donc ce qu’on appelle un bac à sable en français, qui sont exécutées dans un environnement qui est contrôlé. Les applications ne sont pas censées en sortir. Donc, il y a beaucoup, beaucoup de choses qui sont faites sur la sécurité. C’est un très bon système d’exploitation. Pour autant, il n’y a pas énormément de choses qui sont faites sur la vie privée.
Antoine Duparay (fla)
Rappelez-vous la distinction. Si une application a accès à vos contacts ou à des choses comme ça inclue des pisteurs, GrapheneOS ne va pas essayer d’empêcher ça, il va laisser l’exécution de l’application normale. [Correction de Walid et Antoine : La version originale du texte prenait l’exemple erroné des contacts. GrapheneOS a en réalité un mécanisme d’isolement des contacts entre les applications, appelé « Contacts scopes ». Merci au projet GrapheneOS de nous l’avoir signalé. Pour en savoir plus sur les fonctionnalités relatives à la vie privée dans GrapheneOS, consultez cette page : https://grapheneos.org//faq#security-and-privacy ]
Typiquement, l’approche par rapport au Play Services dont on parlait avant, c’est d’utiliser ceux de Google parce que c’est les plus récents, parce que c’est eux qui font les dernières mises à jour, et donc c’est ceux dans lesquels il y a le moindre risque d’avoir des failles de sécurité. Mais du coup, la collecte traditionnelle de données peut avoir lieu.
GrapheneOS, c’est vraiment l’approche sécurité. Vous êtes journaliste, vous êtes activiste, vous voulez être certain que votre téléphone ne soit pas attaqué par quelqu’un, un gouvernement ou quelque chose comme ça. Je ne dis pas que c’est impossible de casser Graphene OS, mais c’est la solution la plus sécurisée sur le marché. Par contre, si on compare ça à d’autres OS qui sont plus orientées vie privée, tu as cité /e/OS, il y a Iodé aussi, il y a CalyxOS, il y a plusieurs alternatives qui existent. Là, on est sur quelque chose d’assez différent. Le but, c’est plutôt d’utiliser microG, d’enlever le plus possible d’applications propriétaires pour contrôler le plus possible la collecte de données, et surtout celles qui sont insidieuses, celles dont on n’a pas forcément conscience.
Donc typiquement, si on creuse un tout petit peu /e/OS, même si tu as déjà beaucoup parlé avec Gaël, on ne va pas rentrer dans les détails, mais l’approche, c’est plutôt de bloquer les trackers avec une liste noire basée sur les noms de domaine. Donc ça, c’est un module qui s’appelle Advanced Privacy. Ils ont leur propre store qui s’appelle le App Lounge, qui est un peu la même chose que Aurora Store. Donc, c’est de permettre d’installer des applications sans avoir de Google. Et puis, ils ont fait tout un effort d’aller enlever, par exemple la synchronisation temps, je crois, qui était encore fait par les serveurs Google, même sur
Walid : AOSP. Ils enlèvent tous les appels à Google.
Antoine : oui, ils ont vraiment essayé de faire un audit global de AOSP et de dire tout ce qui parle à Google, on l’enlève, et de permettre de configurer microG précisément pour ne laisser passer que ce qu’on veut, etc. Ils vont même plus loin d’ailleurs. On parlait de dire qu’un smartphone aujourd’hui, c’est un écosystème. C’est l’idée de regrouper dans un seul système Android tout un certain nombre d’alternatives qui pensent pertinentes et de les rendre cohérentes et d’avoir un écosystème cohérent. On parlait de Exodus Privacy pour avoir l’analyse des applis. Ça, c’est intégré dans AppLounge. Dans son store, on voit les notes que Exodus Privacy donne aux applications. Et puis, ils fournissent aussi un cloud pour synchroniser justement ces contacts, etc. Donc là, ils ont une approche vraiment globale, en mode on veut quelque chose de clé en main, qui fonctionne pour tout le monde.
Le projet CalyxOS, il est un petit peu différent de ce point de vue-là. Par exemple, ils choisissent plutôt de partir de quelque chose de plus minimaliste. Et puis par contre, au premier lancement du téléphone, ils vont vous dire, tiens, en messagerie, qu’est-ce que vous voulez installer ? Est-ce que vous voulez Signal ? Est-ce que vous voulez autre chose ? Ils vont plutôt suggérer des applications alternatives. Ce qui permet, quand on veut vraiment contrôler finement ce qui est installé sur son téléphone, d’avoir quelque chose d’un peu plus personnalisable. Il y a plusieurs approches différentes, mais en gros, c’est les trois qu’on a citées, /e/OS, Iodé et CalyxOS, qui sont plus orientées vie privée quand Graphene OS est plus orienté sécurité.
Walid : encore faut-il que ces OS tournent dessus. On peut avoir Lineage OS qui tourne dessus, mais pas forcément un des autres OS. Je ne suis pas sûr que /e/OS par exemple, supporte tous les téléphones qui sont supportés par LineageOS.
Antoine : en théorie, comme /e/OS est basé sur Lineage, il n’y a rien qui empêche d’installer i sur un téléphone sur lequel Lineage fonctionnerait. Par contre, il faut le compiler pour ça. Et donc, Murena, l’entreprise qui est derrière iOS, n’offre pas du support sur tous les téléphones Android sur lesquels quelqu’un s’est amusé à faire tourner Lineage.
Donc, il y a déjà une distinction entre les téléphones officiellement supportés par Murena, donc ceux où on a vraiment un build de iOS disponible. Les téléphones qui sont supportés par la communauté. Donc là, c’est des gens qui se sont dit : « moi, j’ai tel téléphone, j’ai compilé /e/OS pour, ça fonctionne. Je mets à disposition ce build à d’autres personnes et donc vous pouvez l’installer ». Quand on somme ces deux catégories, on a déjà quand même plus de 200 appareils qui sont disponibles. Et puis après, il y a toute une liste d’appareils qui sont supportés par LineageOS et où personne n’a encore pris le temps de compiler /e/OS pour. Mais du coup, techniquement, il ne devrait pas y avoir de limitation à faire ça.
Et puis, la quatrième catégorie, c’est les téléphones qui ne sont même pas supportés par LineageOS et souvent qui sont très verrouillés par le constructeur. Et là, évidemment, du coup, il y aurait beaucoup de travail de reverse engineering [rétro-ingénierie], c’est-à-dire essayer de comprendre comment le téléphone fonctionne pour pouvoir installer quelque chose à la main dessus. Ce sont des problématiques sont très techniques, c’est pas à la portée de tout le monde.
Linux sur mobile <:)
Walid : donc sur ces histoires de systèmes d’exploitation, on va parler quand même assez brièvement, même si on reviendra beaucoup plus en détail dans des épisodes suivants de la série, il y a une approche qui est de ne pas essayer de partir d’AOSP, mais d’essayer de partir de Linux. Je ne vais pas vous mentir, je trouve cette approche hyper excitante, surtout que moi-même j’ai mis un téléphone sous postMarket OS, donc un des OS dont on va parler. Et c’est assez excitant, ça pose plein une foultitude d’autres problématiques. Est-ce que tu peux introduire le sujet de Linux sur les smartphones ?
Antoine : absolument, surtout que moi, c’est vraiment ça qui m’a intéressé en premier lieu. Moi, j’ai eu un téléphone, un smartphone pour la première fois en 2010, Android 2.2 dessus. C’était un HTC, et au bout de même pas six mois, un an je n’avais eu une seule mise à jour de Android et j’étais passé en 2.2.2. J’ai très vite compris qu’il n’y aurait aucun support du matériel, du constructeur, enfin qu’ils s’en foutaient complètement.
C’est là où j’ai découvert CyanogenMod à l’époque, qui m’a permis de faire tourner Android 4 sur mon téléphone, j’étais déjà super content.
Parce qu’on ne l’a pas mentionné, mais un des avantages majeurs d’utiliser ces systèmes d’exploitation alternatifs, c’est que du coup, tant qu’il y a des gens motivés pour les faire fonctionner, eh bien, ils fonctionnent ! Contrairement à un constructeur qui n’a plus aucun intérêt financier de faire des mises à jour à long terme sur des téléphones, moi aujourd’hui mon téléphone principal c’est un Pixel 3a. On en est au Pixel 9 ou 10 maintenant je pense chez Google, donc j’ai 7 générations de retard, mais j’ai la toute dernière version d’Android qui tourne dessus avec Lineage et du coup /e/OS aujourd’hui, parce qu’il y a des gens qui continuent de porter des dernières versions d’Android.
Antoine Duparay (fla)
Donc ça c’est déjà quelque chose de très intéressant. Mais une approche encore plus différente, c’est de basculer sur du Linux. La première fois que je fais ça, c’était avec Firefox OS, qui est quand même un Linux assez particulier, qui était principalement un OS web par Mozilla, qui a du coup été abandonné par Mozilla, mais qui continue notamment en Asie sous le nom de KaiOS, si j’ai bien suivi.
Mais ensuite, quand Mozilla a abandonné Firefox OS, j’ai basculé sur Ubuntu Touch. Et là, effectivement, on découvre un monde complètement différent. Pour moi, l’inconvénient majeur de tout ça, c’est la compatibilité avec les applications Android. Même s’il y a un projet qui s’appelle Waydroid qui permet de faire tourner un émulateur Android sur Linux et donc d’exécuter des APK sur les téléphones, ça fonctionne plutôt pas trop mal. Mais il y a quand même des problèmes autour de ça. Ce n’est pas fait pour à la base. Linux, c’est Linux et ce n’est pas Android.
Android est basé sur un noyau Linux, mais vous avez compris ce que je veux dire, ce n’est pas l’écosystème Android. Donc personnellement j’ai utilisé Ubuntu Touch de 2017-18 à 2020 comme téléphone principal. Et ça marche très bien, tout ce qui est SMS, appel, GPS, caméra, enfin tout ce qu’on peut vouloir faire avec un téléphone, ça fonctionne. Mais on n’a pas accès aux applis, et puis on n’a pas accès non plus aux blobs binaires des constructeurs. Donc typiquement, quand je vous dis que la caméra fonctionne, on sait qu’aujourd’hui il y a énormément de post-traitement qui est fait dans les puces des caméras pour faire des photos super jolies. Et bien ça on l’aura pas sous Linux mais il n’empêche que ça fonctionne très bien.
Je pense que ce qui est très important dans cette approche c’est que, comme on le disait avant, Android n’est pas un projet libre : sa gouvernance n’est pas du tout partagée. Google a vraiment le contrôle total et on a de nombreux signes ces derniers temps que Google s’apprête à refermer de de plus en plus Android. Et donc, avoir une vraie alternative au cas où Google tue un OSP, ce serait vraiment essentiel pour pouvoir garder le contrôle de nos téléphones.
Walid : donc, tu as Ubuntu Touch, qui est à la base Ubuntu, ça avait été porté par la société Canonical, qui édite les distributions Ubuntu. Ils ont arrêté, ça a été repris par une communauté, mais je pense qu’on essaiera d’en parler plus en détail dans un autre épisode de la série. Il y a d’autres alternatives. Celles que j’ai choisies à mettre sur mon téléphone pour tester, je vais les tester au fur et à mesure, c’est postmarketOS, qui a encore une philosophie potentiellement un peu différente parce qu’eux, ils ne veulent pas du tout se baser sur Android. Ils veulent faire en sorte que tous les pilotes et toutes les modifications qu’ils font au niveau des pilotes matériels, etc., sont remontés directement dans le noyau Linux [upstream]. Le but étant de faire tourner une version Linux la plus à jour possible avec un noyau le plus à jour possible sur le téléphone.
Antoine : oui, tu as raison de le dire. Il y a deux choses importantes tant qu’on parle un petit peu de Linux sur mobile, même si tu le détailleras dans d’autres épisodes. Il y a deux points importants. Le premier, c’est qu’en fait, on retrouve sur téléphone la même diversité que ce qu’on retrouve sur ordinateur. C’est-à-dire qu’il y a différentes couches, différentes briques.
On est libre de les agencer comme on veut. Donc, c’est tout à fait possible d’utiliser un environnement Plasma Mobile qui est fait par KDE, il y a Phosh, Gnome Mobile, il y a Ubuntu Touch, leur environnement graphique s’appelle Lomiri.
Il y a vraiment la diversité possible des projets et puis de ce qu’on choisit d’installer sur son téléphone est équivalente à ce qu’on peut retrouver, c’est encore un peu balbutiements. On peut avoir une base Debian, une base Gentoo, une base Alpine pour le cas de postmarketOS et puis dessus installer le Shell, l’interface graphique qu’on veut. Donc les possibilités sont infinies, il y a vraiment plein de choses différentes à faire.
Donc ça c’est une chose. Et puis l’autre chose importante c’est effectivement la compatibilité du matériel. Là, il y a deux approches. La première, c’est la plus belle, philosophiquement, de supporter le matériel directement dans le noyau Linux. Donc ça, c’est un projet qui est quand même assez complexe, puisque, comme on le disait, les constructeurs ne jouent pas forcément le jeu. Et puis, on est obligé de faire de la rétro-ingénierie pour comprendre comment ça fonctionne. Mais voilà, il y a certains téléphones qui sont assez bien supportés. Les gens de Fairphone, par exemple, tu le citais avant, font un très bon boulot pour essayer de soumettre des patchs et il y a même un des développeurs de postMarketOS qui est un employé de Fairphone [Luca Weiss]. Donc voilà, il y a des contributions entre les projets.
Une autre approche, du coup, c’est d’utiliser un projet qui s’appelle Halium, qui est de dire qu’on garde le noyau Linux d’Android. On flash le téléphone avec une version d’Android. Typiquement, on va installer Android sur le téléphone, on va garder cette couche-là et puis on va installer l’écosystème Linux par-dessus les pilotes Android. Et donc, en faisant ça, on a accès à tout le matériel, et notamment les puces GSM, la caméra, etc. Ce sont des choses qui ne sont pas forcément supportées dans Linux Vanilla. Mais certains projets favorisent une approche par rapport à une autre. Encore une fois, ce sont des briques et puis ce sont des choix de l’utilisateur. Par exemple, sur Ubuntu Touch, si vous le faites sur un Pixel comme moi je suis en train de le faire, je vous encourage plutôt à utiliser Halium si vous voulez avoir un bon support de votre téléphone. Il y a tout un tas de composants pixels qui sont supportés directement dans le kernel Linux Vanilla et donc vous aurez aussi la possibilité d’installer Ubuntu Touch sans Halium sur un pixel. Il y a pas mal de choses qui marcheront moins, mais par exemple si vous installez Ubuntu Touch sur un PinePhone, là vous êtes 100 % sur un kernel Linux normal, pas celui d’Android. Donc tout est possible, on peut choisir ou pas d’utiliser Halium, on peut choisir son noyau, on peut choisir d’utiliser une distribution ou une autre selon ce qu’on préfère, et puis on peut choisir à l’intérieur de la distribution son interface graphique. Il y a vraiment beaucoup de choses qui sont possibles avec Linux.
Walid : on en reparlera vraiment dans d’autres épisodes, parce qu’il y a aussi Sailfish OS, Mobian, il y en a plein de projets qui sont plus ou moins avancés, qui ont une philosophie plus ou moins différente, qui sont plus ou moins open source. Ça fait pas mal penser à Linux sur le desktop il y a 20 ans. Alors moi, personnellement, je trouve ça hyper excitant. Vraiment ça m’éclate de faire ça. Mais voilà, mon téléphone OnePlus 6T sur Post Market OS, ce n’est pas encore prêt forcément à être mis dans les mains de tout le monde. Ne serait-ce que parce que tu ne peux pas téléphoner. C’est parfois un peu compliqué.
Par où commencer pour installer une version alternative à Android stock ?
Walid : si les gens sont convaincus ou sont intéressés par installer une version alternative d’Android sur leur téléphone, ma première question, c’est par où commencer ? Qu’est-ce qu’on peut donner comme conseil aux gens ? sachant que soit ils ont déjà un téléphone, soit ils vont devoir changer de téléphone, auquel cas bien sûr c’est pas pareil. Qu’est ce que tu donnerais comme conseil toi ?
Antoine : il y a plusieurs questions à se poser. La première c’est : « est-ce que j’ai envie d’y passer un peu de temps ? Est-ce que j’ai envie de comprendre comment ça marche ? Est-ce que je suis curieux ? Ou alors est-ce que je veux juste que ça marche et j’ai pas envie de m’en préoccuper ? ».
Si c’est le second cas, là il n’y a pas 50 solutions différentes. Si vous n’avez pas envie de faire l’installation vous-même, soit il faut trouver des gens autour de vous qui vont faire ça. Il y en a pas mal, de la même façon qu’il y a des gens qui vous aident à installer Linux sur vos ordinateurs, il y a des gens qui vous aident à le faire sur vos téléphones.
Et la seconde solution, c’est évidemment d’acheter un téléphone déjà installé. Donc typiquement, Murena avec /e/OS a un partenariat avec Fairphone. C’est aussi le cas de Ubuntu Touch qui a des partenariats avec Fairphone et avec Volla. Murena aussi, d’ailleurs Volla qui est un constructeur allemand qui fait des téléphones qui sont aussi facilement bidouillables.
Alors évidemment, ne rachetez pas un téléphone juste pour ça, pas de gaspillage écologique s’il vous plait, mais voilà vous pourrez vous dire « le prochain téléphone que j’achète j’irai sur sur le site de Murena ou de Fairphone ou de Volla ou machin et puis j’achèterai un téléphone avec un linux ou avec un android libéré, préinstallé donc ça ça résout le problème ».
Sinon si vous avez un petit peu envie de quand même vous dire est-ce que c’est si compliqué que ça ou pas, il faut savoir en fait la complexité de l’installation d’un OS alternatif dépend énormément de votre modèle de téléphone. Il y a des téléphones qui sont ouverts. Je parlais des pixels de Google et sur lesquels la manipulation est relativement simple. Alors, ça va prendre quand même un petit peu de temps parce que comme vous allez effacer votre téléphone, il faut d’abord faire une sauvegarde de vos contacts, etc. pour pouvoir remettre les choses par-dessus. Alors, évidemment, ne faites pas de synchronisation avec un compte Google parce que si c’est pour remettre le compte Google et tout resynchroniser derrière, ça ne servait pas à grand-chose de mettre un Android dégooglisé. Du coup voilà une fois que vous aurez fait vos sauvegardes à la main en exportant les contacts en téléchargeant vos photos etc vous pourrez sur un téléphone comme le Pixel, utiliser des logiciels à la fois Murena comme Ubuntu Touch et puis il y en a d’autres fournissent des petites applis qui s’appellent l’Easy Installer dans le cas de Murena. On branche le téléphone, on suit les étapes sur l’écran de son ordinateur, on clique suivant, suivant, suivant, suivant et puis le téléphone est installé. Donc ça c’est pour des modèles où c’est facile à faire comme les Pixels.
Il y a d’autres modèles sur lesquels c’est beaucoup plus difficile parce que le fabricant ne va pas vouloir qu’on déverrouille le bootloader qui est vraiment la partie initiale du téléphone. qui permet de choisir vers quel système d’exploitation on va basculer. Donc voilà, selon le téléphone qu’on possède, ça peut être très rapide, beaucoup plus lent, voire complètement impossible. Donc pour ça, il y a chaque projet qui répertorie les téléphones qui sont supportés ou pas. Donc il faut aller sur devices.e.foundation et vous aurez la liste de tous les téléphones supportés par /e/OS. Là, on en a plus de 200, donc vous avez quand même une petite chance d’avoir le vôtre dans le lot. Voilà, si c’est pas le cas, là, il n’y a pas grand-chose d’autre à faire que d’attendre et d’acheter un prochain téléphone.
Walid : troisième option, c’est de louer son téléphone. Là, je vous renvoie vers l’épisode qu’on a fait avec les gens de Commown [note : l’auteur du podcast est société chez Commown] aussi, qui font des locations de matériel de téléphone, mais d’autres matériels aussi sans option d’achat, et donc qui sont capables de faire durer les téléphones le plus longtemps possible dans le temps. Il y a cette approche-là aussi de location du téléphone.
Antoine : tout à fait.
Walid : avec le service qui va avec derrière pour avoir toujours un téléphone fonctionnel. Ok, donc les GUL, les groupes d’utilisateurs Linux, effectivement, il y a pas mal d’install-parties. Il y a pas mal de gens qui peuvent vous aider à installer un OS alternatif sur votre téléphone si votre téléphone est supporté par un de ces OS alternatifs. C’est vers là qu’il faut se tourner si on ne veut pas essayer de le faire soi-même. Moi, perso, je me suis renseigné pour savoir quel téléphone était supporté.
Et j’ai fini par, parce que j’avais cassé mon téléphone, je devais en prendre un autre, par prendre un téléphone reconditionné. sur lequel j’étais sûr qu’il tournait bien. Si tu veux rajouter un truc là-dessus.
Conclusion
Antoine : moi, si je devais résumer puis conclure ce qu’on est en train de dire là. Évidemment, le truc à retenir, c’est le téléphone est un appareil qui traque bien plus encore qu’un ordinateur et donc il ne faut pas rester sur le système d’exploitation de base de son téléphone. On ne peut pas malheureusement lui faire confiance.
Mais le truc que je trouve vraiment sympa, c’est que comme tu viens de le dire, en fait, ça peut être une aventure très excitante. de redécouvrir son téléphone, d’en reprendre le contrôle, de se dire « ouais, mais en fait, je peux faire plein de trucs que je ne pensais pas possibles forcément avec mon téléphone avant parce qu’il était un peu verrouillé, contrôlé, etc. »
Antoine Duparay (fla)
Pour les plus geeks d’entre nous, ça va même être de se dire « ouais, mais en fait, je me connecte en SSH sur mon téléphone, maintenant je fais des backups avec Borg et tout. » Enfin bref, on peut faire plein de trucs différents qui peuvent être très rigolos. C’est une aventure qui peut être très excitante, de s’amuser à changer des interfaces, à découvrir des nouvelles applis, à faire plein de trucs. C’est aussi une aventure qui peut être évidemment un peu effrayante, parce que son téléphone, c’est quand même, comme on l’a dit, son appareil qu’on utilise le plus. C’est avec ça que, je ne sais pas, on va se dire, là, maintenant, je suis dans le train, il faut que je présente mes billets que je viens d’acheter. Et si mon téléphone est en train de planter pour x ou y raison, ça va me contrarier. Il faut que le téléphone marche. Ça, c’est assez cool de se rendre compte que les gens qui sont derrière ces projets en sont quand même bien conscients. Ils essayent vraiment de faire des projets qui sont de qualité et qui ne vont pas nous laisser tomber.
Typiquement, coté Linux ou Ubuntu Touch, ils ont décidé d’avoir un téléphone dont la partition principale est en lecture seule et où ils déconseillent fortement, même si c’est effectivement techniquement possible, de faire des apt-get install parce qu’ils disent, si vous mettez votre téléphone dans un état bizarre en installant n’importe quel paquet, ça va être compliqué. On part du principe que ce n’est pas ce que vous voulez faire. Donc, c’est quand même des projets qui sont sérieux. Ce n’est pas que de la bidouille. La chose à garder en tête, c’est que si vous utilisez déjà beaucoup des services Google, des logiciels, des choses de Google, il faut d’abord apprendre à vous passer de ça avant de passer à ces OS alternatifs.
Moi, je pense que j’ai installé /e/OS à au moins une trentaine de personnes autour de moi, incluant mes parents, petites sœurs, grand-mères, enfin vraiment, tout le monde s’en sort très bien. Et les seules personnes avec qui j’ai eu des problèmes et qui m’ont dit « non mais en fait, j’en veux plus, remets-moi Android de base », c’était au contraire des collègues de boulot, des gens très techniques avec qui je me disais qu’il n’y a aucun problème. Et en fait, non, ils n’avaient pas du tout anticipé leur dépendance à Google. Ils ne s’étaient pas rendus compte à quel point ils servaient de Google tout le temps. Ils utilisaient Google Pay avec leur carte bancaire à l’intérieur de leur téléphone. Ils rentraient à la maison, ils utilisaient leur téléphone avec du Chromecast sur la télé, ce genre de choses. Évidemment, du coup, quand on enlève Google du téléphone, et c’est le but, ça ne va plus marcher. Voilà, s’il n’y a plus Google dans le téléphone, on ne peut plus stocker sa carte bancaire avec Google.
Donc finalement, la question à vous poser avant de vous dire est-ce que je saute le pas ou pas, ce n’est pas est-ce que je suis assez bon techniquement, parce que ce n’est pas du tout nécessaire d’être bon techniquement pour utiliser ces solutions aujourd’hui, elles sont matures. C’est plutot à quel point je suis dépendant de Google et est-ce que je suis prêt à m’en passer. Si votre réponse, c’est en fait, je n’utilise pas grand-chose de Google et je pense que c’est bon. alors allez-y, il n’y a aucun problème à sauter le pas vers un système alternatif dont Google est enlevé.
Antoine Duparay (fla)
Walid : je ne vais rien rajouter de plus. La suite au prochain numéro, comme vous avez compris, ça va être une série. Il va y avoir d’autres épisodes qui vont arriver au long de l’année là-dessus. Ça tombe bien puisqu’on avait fait un petit sondage pour savoir quelles étaient les thématiques qui vous intéressaient, vous, auditrice, auditeur du podcast Projets Libres : la majorité des gens ont répondu qu’ils étaient intéressés par tout ce qui tournait autour du smartphone et de la dégooglisation du smartphone. Donc, vous êtes au bon endroit ! On va continuer à en parler.
Avant de se quitter aussi, je vous invite, si vous voulez en savoir plus sur comment se passaient des services Google, à écouter les nombreux épisodes qu’on a fait avec d’autres personnes de Framasoft là-dessus. Vous avez de la matière.
Voilà. On se retrouve bientôt pour des prochains épisodes. Merci beaucoup d’être venu nous parler, Antoine, pour les auditrices, auditeurs, comme d’habitude. Parlez-en autour de vous. intéressez-vous aux alternatives à Google et aux autres et puis on se reparle bientôt. Merci !
Antoine : merci Walid, merci !
Joindre Antoine
- Mastodon : fla@mastodon.social
- Diaspora : fla@diaspora-fr.org
- Email : fla@framasoft.org
Production de l’épisode
- Enregistrement à distance le 23 mars 2026
- Trame : Walid Nouh et Antoine Duparay
- Montage : Walid Nouh
- Transcription : Walid Nouh
Licence
Ce podcast est publié sous la licence CC BY-SA 4.0 ou ultérieure
