GrapheneOS est un OS mobile basé sur le code source d'Android (AOSP) visant à renforcer la sécurité et la vie privée !

À cette fin, il est dépourvu des services de Google (mais on peut les installer) et bénéficie de nombreuses mesures de renforcement de la sécurité, très bien expliquées dans cet article.

Actuellement, cette "ROM custom" ne fonctionne que sur les Google Pixel, qui sont, contrairement aux apparences, des appareils bien conçus d'un point de vue du matériel et de la sécurité :
- Au moins 3 ans de mises à jour majeures et de sécurité ;
- Possèdent un IOMMU configuré strictement (isolation baseband) ;
- Possèdent une enclave sécurisée moderne ;
- Permettent de verrouiller le bootloader avec OS et clés custom ;
- Etc.

Ils représentent ainsi une base solide pour le projet !

Comme mentionné, il y a la possibilité d'installer les Play Services de Google dans GrapheneOS, de manière sandboxée (installation et désinstallation comme n'importe quelle application) et par profil utilisateur : https://wonderfall.space/grapheneos-play-services/

D'ailleurs, l'article m'apprend l'existence de ce site communautaire qui répertorie les applications Android et dans quelle mesure celles-ci fonctionnent sans les services de Google ou avec l'implémentation microG : https://plexus.techlore.tech/

Je suis franchement impressionné et je ne fais que survoler les atouts de GrapheneOS.

Lisez cet article, de qualité, même si vous ne possédez pas de Pixel. Perso, ça me donnerait presque envie d'en acheter un rien que pour pouvoir utiliser cette ROM 😋

Aujourd'hui est la journée mondiale de la protection des données et quoi de mieux que faire un état des lieux de ses sites web ?

Je possède un blog personnel - ce site - et un site éducatif (lemotdujour.info).

Ce dernier affiche une page informant sur la politique de confidentialité et l'usage des cookies, ainsi qu'un moyen de les bloquer.

J'y utilise en outre le logiciel de mesure de statistiques Matomo (ex-Piwik), auto-hébergé et configuré de manière à anonymiser les adresses IP collectées et de respecter l'option « Do not track » des navigateurs, en plus de proposer un cookie d'exclusion.

Je ne prétends pas que ça soit parfait (il manque par exemple le détail des cookies), mais j'ai essayé de faire au mieux pour respecter les différentes législations de protection des données en vigueur (LPD en Suisse, RPGD en Europe), sans oublier l'aspect purement éthique (informer l'internaute, minimiser la collecte de ses données...) !

Au sujet de mon blog, malheureusement presque tout reste à faire ! Je me tarde par exemple à remplacer Google Analytics par Matomo...

Et vous, ami(e)s webmaster, quel bilan pouvez-vous faire aujourd'hui de vos sites ?

Explications et devoirs des webmasters, par le Préposé fédéral à la protection des données et à la transparence (PFPDT, la CNIL suisse quoi).

Ce que je retiens surtout, c'est qu'on dirait bien que le PFPDT rend *obligatoire* le respect du "Do not track" par les éditeurs !

J'en veux pour preuve le dernier paragraphe : "De nombreux navigateurs sont aujourd'hui munis d'une fonction «Do not track» (...) Du point de vue de la protection des données, le non-respect d'une telle déclaration d'opposition constitue une atteinte illicite à la personnalité. "

Ça donne un sacré crédit à cette fonction généralement snobée, je trouve :D

J'avais contacté l'Administration fédérale des douanes à ce sujet et j'ai récemment reçu une réponse (très amicale).

Tout d'abord, ils me confirment « qu’aucune donnée n’est récoltée dans l’application qui est actuellement mise en téléchargement. »

La présence de ces permissions et des trackers s'explique car l'application « a été réalisée sur la base de react-native » et utilise le framework Expo « qui définit les permissions par défaut. »

Ainsi : « Ces permissions prévoient en effet un accès possible à la caméra ou au micro du téléphone portable. Ces accès sont toutefois tous désactivés dans QuickZoll. »

Pour finir, « davantage de clarté sera apportée » au sujet des permissions demandées « dans le cadre du release 1.0.3 ».

"Aucune donnée n'est collectée" selon l'Administration fédérale des douanes (AFD).

Vraiment ? J'ai soumis l'application au projet Exodus et voici le résultat (peu glorieux) : https://reports.exodus-privacy.eu.org/reports/5574/

Jugez plutôt : 31 permissions requises (GPS, enregistrer l'audio, lire les contacts...) et présence de 13 trackers dans le code (dont Facebook et Google) !

En plus - c'est le plus étrange - l'APK est signé par... Google ?!

Une infographie animée créée par la Commission européenne et qui résume le RGPD (règles, obligations, sanctions).

Comme expliqué, le problème ne se présente plus avec des versions récentes d'Android, car la recherche de réseaux WiFi se fait avec des adresses MAC aléatoires. Il me semble avoir déjà partagé un lien sur le sujet d'ailleurs.

Cela n'enlève évidemment rien au côté intrusif et scandaleux de telles pratiques ! Avec la RGPD on peut espérer du changement, j'espère...

« Piwik est une solution d’analytics qui peut être paramétrée pour s’exempter de la demande de consentement avant de déposer un cookie. Ce guide vous explique comment configurer Piwik pour être en conformité avec les recommandations de la CNIL. »