Les smartphones sont des Ă©ponges Ă donnĂ©es, ils ont accĂšs Ă beaucoup d’informations qu’on aimerait garder privĂ©es.
Cependant les smartphones (IOS et Android) sont bien plus sĂ©curisĂ©s que les systĂšmes d’exploitation de bureau (Windows, Linux, macOS). Vous avez remarquĂ© par exemple qu’il y a un systĂšme de permission sur les smartphones qu’il n’y a pas sur les PC. Vous savez, les fenĂȘtres qui s’affichent “Autoriser l’accĂšs la position” ou “Autoriser l’accĂšs Ă la camĂ©ra”.
Recommandations
Pour les smartphones, je vous recommande uniquement un iPhone ou un Google Pixel.
N’achetez PAS de Google Pixel chez votre fournisseur d’accĂšs Ă Internet (Orange, Free, SFR, Bouygues). Le tĂ©lĂ©phone est bloquĂ© et vous ne pouvez pas dĂ©verrouiller le bootloader comme expliquĂ© plus loin dans le chapitre dĂ©diĂ©. Achetez toujours votre tĂ©lĂ©phone dans les magasins comme la Fnac, Boulanger, Amazon, etc.
Alors oui, je vous voir venir, mais si je vous recommande uniquement ces deux smartphones, c’est parce qu’ils sont les plus sĂ©curisĂ©s du marchĂ©. Par exemple, vous pouvez mettre un code PIN Ă 4 chiffres sur ces tĂ©lĂ©phones (iPhone et Google Pixel), que ça prendrait des dizaines d’annĂ©es Ă cracker (normalement, ça prend beaucoup moins de temps sur d’autres marques de tĂ©lĂ©phones).
Les Google Pixel, Ă partir du 6, ont 5 ans de support minimum.
Je vous Ă©pargne les dĂ©tails techniques, mais pour faire trĂšs simple, les Google Pixel ne sont pas juste “un peu mieux sĂ©curisĂ©s” que les autres marques, ils sont excellents en terme de sĂ©curitĂ©. Je vous conseille donc trĂšs fortement de ne rester qu’avec un Google Pixel.
- Google Pixel : Android done right - Wonderfall (français)
- iOS : chez Apple, la prison dorée - Wonderfall (français)
- Google Pixel - PrivacyGuides (anglais)
- Recommended Phones - PrivSec.dev (anglais)
Le problĂšme de confiance
Il faut comprendre Ă©galement que sur tous les smartphones Android qui contiennent les applications Google, vous avez une application appelĂ©e “Services Google Play”. Cette application permet de faire beaucoup de choses, cependant, elle a accĂšs Ă toutes les permissions du tĂ©lĂ©phone, mĂȘme les plus sensibles, et sont irrĂ©vocables. C’est Ă cause de cette application que les problĂšmes de vie privĂ©e apparaissent. Android en lui-mĂȘme n’est pas un problĂšme, c’est l’ajout des applications de Google, et notamment des “Services Google Play” qui fait d’Android un cauchemar pour votre vie privĂ©e.
Si vous achetez un Samsung par exemple, cela veut dire que vous faites confiance à Google (à cause des Services Google Play) ET à Samsung pour vos données. Il est donc logique de réduire cette confiance à une seule entité et donc de prendre un Google Pixel.
Sécurité
AOSP et firmware
Je vous conseille de prendre un smartphone neuf, c’est Ă dire encore supportĂ© par le constructeur, voici pourquoi :
Deux types de mises à jour sont à faire sur un matériel informatique :
- la partie logicielle
- la partie firmware
La partie logicielle est le systĂšme d’exploitation, donc Android. Mais cela s’applique Ă©galement Ă IOS et aux PC avec Windows, MacOS, Linux, ChromeOS, etc. La partie firmware, Ă©galement appelĂ©e micrologiciel en français, est un mini-systĂšme d’exploitation pour les composants du matĂ©riel (la carte mĂšre, la carte rĂ©seau, etc.). Ce n’est pas comme un pilote pour ceux ou celles qui se poseraient la question. Pour faire trĂšs simple, le firmware est le manuel d’utilisation des composants pour le systĂšme d’exploitation.
Je vais rapidement vous expliquer Android pour que vous compreniez bien. Voici un schéma qui vous explique le projet AOSP :
AOSP signifie Android Open Source Project, c’est le cĆur de tous les tĂ©lĂ©phones Android aujourd’hui, AOSP Ă lui tout seul est trĂšs limitĂ© : vous n’avez pas d’applications Google par exemple. Comme ce projet est open source (mais dĂ©tenu par Google) beaucoup de marques (toutes celles qui ne sont pas Apple, donc Samsung, Xiaomi, Huawei, OnePlus, Pocco, et j’en passe) vont prendre le code d’AOSP et le modifier un peu Ă leur sauce. C’est ce qu’on appelle la surcouche Android. LineageOS est une surcouche Android dĂ©veloppĂ©e par des bĂ©nĂ©voles.
Quand on parle d’Android, on parle en rĂ©alitĂ© d’AOSP.
La surcouche de Samsung par exemple, s’appelle OneUI, celle de OnePlus, OxygenOS, et celle de Xiaomi s’appelle MIUI. Cela fait toujours parti du systĂšme d’exploitation, ce ne sont pas des logiciels.
Cependant, si AOSP est open source, les surcouches ne le sont pas forcĂ©ment ! LineageOS est une surcouche open source par exemple, mais MIUI ne l’est pas !
On parle de surcouche, mais en réalité, les constructeurs prennent le projet AOSP pour le modifier selon leurs besoins puis ajouter leurs programmes, leurs fonctionnalités, etc. Ce sont ces modifications et ces ajouts qui sont appelés la surcouche.
Dites-vous qu’AOSP, c’est comme une recette de cuisine, tout le monde connaĂźt cette recette, mais certains cuisiniers ajouteront quelques Ă©pices ou d’autres ingrĂ©dients secrets. Donc oui vous connaissez prĂ©cisĂ©ment la recette de base, mais non, vous n’en savez pas plus sur les ingrĂ©dients ajoutĂ©s. Une surcouche tel que GrapheneOS est open source, on connaĂźt donc les ingrĂ©dients ajoutĂ©s.
Comprenez bien que si vous souhaitez installer LineageOS sur votre tĂ©lĂ©phone, cela veut dire que vous supprimez le systĂšme d’exploitation de votre tĂ©lĂ©phone. En gros, si vous allumez votre tĂ©lĂ©phone aprĂšs avoir supprimĂ© le systĂšme d’exploitation de Samsung par exemple, vous ne pourrez plus dĂ©marrer votre tĂ©lĂ©phone, car il n’y aura rien Ă dĂ©marrer ! Sauf si vous installez LineageOS juste aprĂšs, Ă©videmment đ.
Si vous changer le systĂšme d’exploitation de votre tĂ©lĂ©phone Android avec un autre Android, imaginons par exemple que vous avez un Samsung et que vous souhaitez installer LineageOS Ă la place de OneUI, vous pourrez en effet toujours bĂ©nĂ©ficier des mises Ă jour d’Android (grĂące aux bĂ©nĂ©voles de LineageOS) mĂȘme si Samsung a arrĂȘtĂ© le support de votre smartphone. Cependant, le firmware ne pourra jamais ĂȘtre mise Ă jour, car uniquement Samsung peut le faire ! C’est un Ă©norme risque de sĂ©curitĂ© qui ne devrait pas ĂȘtre pris Ă la lĂ©gĂšre !
Le firmware, pour expliquer grossiĂšrement, ne fait pas parti du systĂšme d’exploitation d’Android. C’est le mini-systĂšme d’exploitation des composants intĂ©grĂ©s Ă votre tĂ©lĂ©phone.
Si le firmware n’est pas mis Ă jour, de grosses failles de sĂ©curitĂ©s peuvent survenir. Un smartphone qui n’est plus supportĂ© par les constructeurs est complĂštement vulnĂ©rable !
C’est pour cela que je vous recommande un Google Pixel. Je vous conseille mĂȘme de prendre au minimum un Google Pixel 6 (ou 6 pro, ou 6a), car tous les Google Pixel Ă partir du 6, bĂ©nĂ©ficieront de 5 ans de mises Ă jour de sĂ©curitĂ©, et 7 ans Ă partir des sĂ©ries 8 !
Cependant, je vous DĂCONSEILLE d’installer LineageOS sur votre tĂ©lĂ©phone, car vous devez dĂ©verrouiller le bootloader, et cela dĂ©truit tout le modĂšle de sĂ©curitĂ© d’Android. Je vous conseille soit de garder l’Android que vous avez par dĂ©faut, ou alors d’installer GrapheneOS, car vous pouvez reverrouiller le bootloader.
Bootloader
Pour faire simple, le bootloader est la partie qui cherche ce qu’il faut dĂ©marrer (ici, Android) juste aprĂšs la mise sous tension de l’appareil. Le bootloader possĂšde une fonctionnalitĂ© appelĂ©e “Android Verified Boot” (AVB) ou “dĂ©marrage sĂ©curisĂ©” en français. AVB permet entre autre de vĂ©rifier que le systĂšme d’exploitation est correct et n’a pas Ă©tĂ© modifiĂ© (par un virus, par quelqu’un ou par autre chose) ! Si le systĂšme avait Ă©tĂ© modifiĂ©, AVB aurait annulĂ© ces modifications au dĂ©marrage !
Si vous déverrouillez votre bootloader, AVB sera désactivé, et donc vous aurez un manque total de sécurité sur votre smartphone.
Vous ne pouvez pas reverrouiller votre smartphone avec LineageOS, mais vous pouvez cependant le faire avec GrapheneOS ! Ne vous inquiĂ©tez pas, l’installation de GrapheneOS est moins compliquĂ© qu’il n’y paraĂźt đ, et tout fonctionnera pareil que d’habitude (mais en plus sĂ©curisĂ©).
Si vous souhaitez l’installer, vous devez possĂ©der un Google Pixel (quelqu’il soit, de prĂ©fĂ©rence Ă partir des Pixel 6 pour bĂ©nĂ©ficier des 5 ans de mises Ă jour), puis vous devez suivre les instructions sur leur site web (ne sautez pas d’Ă©tapes, suivez les instructions Ă la lettre, et ça fonctionnera).
Antivirus
Pour la sĂ©curitĂ© de votre smartphone, n’installez PAS d’antivirus, gratuits ou payants. Les antivirus se basent sur le badness enumeration (littĂ©ralement : l’Ă©numĂ©ration du mal) qui est une mĂ©thode complĂštement dĂ©tachĂ©e de la rĂ©alitĂ©.
Je vous suggĂšre de lire l’article de Wonderfall concernant la sĂ©curitĂ© sur les smartphones.
Code PIN
Je vous dĂ©conseille trĂšs fortement d’utiliser des schĂ©mas (ou patterns) pour dĂ©verrouiller votre tĂ©lĂ©phone. Une Ă©tude a prouvĂ© l’inefficacitĂ© des schĂ©mas. Si vous possĂ©dez un Google Pixel ou un iPhone vous pouvez utiliser un code PIN, ces deux tĂ©lĂ©phones sont tellement sĂ©curisĂ©s que juste mettre un code PIN Ă 4 chiffres prendrait plusieurs dizaines d’annĂ©es Ă ĂȘtre bruteforce (mais mettez quand mĂȘme 8 chiffres au minimum).
De maniĂšre gĂ©nĂ©rale, je vous conseille d’utiliser un code PIN Ă 6 chiffres. Cependant, il serait plus avisĂ© de mettre un code PIN de 8 chiffres ou plus. Et non, ne mettez pas la vitesse de la lumiĂšre, le nombre pi, ou n’importe quelle autre constante mathĂ©matique. Et surtout ne mettez pas votre date de naissance, celle d’un proche ou de votre animal.
Vous pouvez, en complĂ©ment, utiliser l’empreinte digitale, cela Ă©vitera que les gens vous voient taper votre code PIN.
Le problĂšme des prix
Alors oui la sĂ©curitĂ© et la vie privĂ©e ont trĂšs souvent un prix, je vous conseille donc de prendre la version “a” des Google Pixel, comme le Google Pixel 6a ou le Google Pixel 7a. Il y a beaucoup de rĂ©ductions en ce moment (la version charbon du 6a est actuellement disponible aux alentours de 340⏠sur Amazon, faites attention Ă ce qu’il soit neuf, et non d’occasion, c’est trompeur sur Amazon). Vous pouvez Ă©galement l’acheter neuf via le Google store pour la modique somme de 349âŹ. Le Google Pixel 7a est actuellement Ă 400⏠sur Amazon, si vous souhaitez le payer au moins cher, je vous conseille d’acheter le 7a ce mois-ci (dĂ©cembre 2023), vous pouvez Ă©galement attendre les prochaines soldes dĂ©but 2024.
De plus, si vous achetez des smartphones Ă 200⏠tels que les Xiaomi par exemple, vous perdrez plus d’argent, car Xiaomi ne possĂšde pas beaucoup de support (2 ans en moyenne) et ils ont une fĂącheuse tendance Ă ralentir rapidement au fil du temps… Si vous rachetez un smartphone tous les 2 ans, au bout de 5 ans vous aurez payĂ© 500⏠(200+200+100). Si vous achetez un Google Pixel 6a au prix fort, 349⏠au moment oĂč je vous Ă©cris, vous Ă©conomisez bien 91⏠sur 5 ans (car le Google Pixel 6a a 5 ans de mises Ă jour), voire plus si vous arrivez Ă avoir des rĂ©ductions (aux alentours de 330⏠en ce moment, donc vous Ă©conomisez 170⏠sur 5 ans).
En dĂ©cembre 2023, le Pixel 6a est Ă ~340⏠et le Pixel 7a Ă ~400âŹ. Le support du Pixel 6a s’arrĂȘtera en Juillet 2027 (3 ans et 7 mois de support restant) et celui du Pixel 7a en Mai 2028 (4 ans et 5 mois restants).
Pixel 6a: 340/(3*12+7) = 7.90âŹ/mois
Pixel 7a: 400/(4*12+5) = 7.54/mois
Le Pixel 7a coûte un peu moins cher sur le long terme que le Pixel 6a, plus nous avancerons dans le temps, moins le Pixel 7a sera cher comparé au 6a.
Car en effet, je vous conseille de garder votre smartphone jusqu’Ă ce que :
- Le support s’arrĂȘte
- Il soit tellement cassĂ© qu’il soit inutilisable/irrĂ©parable.
Pour conclure, oui les smartphones sont chers, mais Ă©talĂ© sur 5 ans, voire 7 ans pour les Pixel 8, ça reste tout Ă fait abordable. De plus, vous pourrez probablement les avoir Ă beaucoup moins cher que ça au moment oĂč vous lirez cet article.
Si vous voulez en savoir plus sur les calculs des prix des smartphones, je vous renvoie vers mon article sur mon blog dédié à ce sujet, vous pourrez notamment y lire une fourchette de prix par rapport au prix mensuel.
Notes
J’ai fait ce chapitre sur les prix des smartphones, mais je ne suis pas ici pour vous dire comment dĂ©penser votre argent.
Cependant, j’avais besoin d’Ă©crire un article lĂ -dessus car certaines personnes sous-estiment parfois le prix des smartphones.
Pour vous donner une fourchette de prix raisonnable pour un smartphone dĂ©cent, il faut compter entre 300 et 500âŹ. En dessous de 300âŹ, vous trouverez rarement des smartphones qui dureront dans le temps.
Pour les iPhones, je vous conseille de prendre un iPhone SE, ils ont tendance Ă ĂȘtre moins chers que les hauts de gamme, et restent tout de mĂȘme trĂšs performants. Vous pouvez vous procurer un SE Ă partir de l’iPhone SE 2020 au minimum (Ă©galement appelĂ© “2Ăšme gĂ©nĂ©ration”), la premiĂšre gĂ©nĂ©ration (2016) possĂ©dant du matĂ©riel trop vieux, donc moins sĂ©curisĂ©, le support risque en plus de s’arrĂȘter prochainement puisqu’il est mis Ă jour depuis dĂ©jĂ 6 ans.
L’iPhone SE 2020 n’Ă©tant plus mis en vente, vous pouvez l’acheter d’occasion ou en reconditionnĂ©. Amazon propose un service de reconditionnement et vend actuellement l’iPhone SE 2020 Ă ~250âŹ.
Fairphone
Je vous dĂ©conseille fortement le Fairphone car il n’est pas sĂ©curisĂ© par dĂ©faut. En effet, Fairphone met Ă jour leurs tĂ©lĂ©phones pendant plusieurs annĂ©es (leur premier tĂ©lĂ©phone de 2013 est toujours mise Ă jour) mais ne met pas Ă jour les firmwares ! Car seuls les constructeurs Qualcomm peuvent le faire !
Qualcomm est l’entreprise qui crĂ©Ă©e la plupart des composants tels que les processeurs, puces graphiques, cartes mĂšres pour la plupart des smartphones (Samsung, Xiaomi, OnePlus, Fairphone, etc.). C’est Qualcomm qui, en rĂ©alitĂ©, met Ă jour les firmwares de ces composants, les entreprises ne font que suivre ces mises Ă jour.
Google construit ses propres composants depuis le Google Pixel 6, c’est pourquoi ils peuvent le mettre Ă jour pendant 5 ans, voire plus si Google le souhaitait. MĂȘme chose pour Apple avec leur propres composants.
De plus, Fairphone utilise souvent les avant-derniers processeurs et autres composants de Qualcomm, sachant que Qualcomm met Ă jour ses composants pendant environ 3 ans, Fairphone utilise donc des composants qui sont en fin de support. Pour rĂ©itĂ©rer, quand vous achetez un Fairphone, vous achetez un smartphone qui n’est dĂ©jĂ presque plus supportĂ© par les constructeurs !!! C’est un gros problĂšme de sĂ©curitĂ© !
Alors Ă©videmment, je suis pour l’Ă©cologie et la protection de l’environnement, mais il faut avoir une bonne balance entre sĂ©curitĂ©, vie privĂ©e et Ă©cologie. Si vous prenez un Xiaomi par exemple, vous n’avez ni sĂ©curitĂ© (par rapport Ă un Google Pixel ou un iPhone), ni respect de votre vie privĂ©e, ni respect de l’environnement. En prenant un Fairphone, vous respectez un peu l’environnement (ça reste polluant de fabriquer un smartphone), vous n’avez pas de vie privĂ©e (les Services Google Play sont toujours lĂ ) et pas de sĂ©curitĂ© du tout ! Avec un Google Pixel, vous gagnez en sĂ©curitĂ©, et en Ă©cologie car vous gardez votre tĂ©lĂ©phone 5 ans, mais vous ne gagnez toujours pas en vie privĂ©e. Cependant, si vous installez GrapheneOS sur votre Pixel, vous gagnez en sĂ©curitĂ©, Ă©cologie et en vie privĂ©e !
iPhones
J’avoue ne pas ĂȘtre un grand fan d’Apple et je ne connais pas trĂšs bien le sujet. Je vous conseille donc de lire l’article sur IOS par Wonderfall qui en parle mieux que moi.
Cela dit, je tiens Ă prĂ©venir que si Apple promet de respecter votre vie privĂ©e, nous n’avons en rĂ©alitĂ© aucune preuve. Peut-ĂȘtre la respecte-il, peut-ĂȘtre que non, peut-ĂȘtre un peu des deux. Parfois, on voit bien qu’Apple n’a pas accĂšs Ă certaines donnĂ©es car le chiffrement de bout en bout est implĂ©mentĂ© ou que les donnĂ©es restent en local. Cependant ce n’est pas toujours le cas.
iCloud ne propose pas de chiffrement de bout en bout pour la plupart des services, tels que vos sauvegardes, vos contacts, vos calendriers, vos photos, etc.
N’ayez confiance en un service cloud uniquement si celui-ci propose du chiffrement de bout en bout !
iCloud Backup sauvegarde votre historique iMessage avec la clé pour pouvoir le déchiffrer (si ce dernier est activé). (Sachant que les sauvegardes ne sont pas protégées par le chiffrement de bout en bout.). Donc oui, Apple a accÚs à vos messages si vous activez iCloud Backup.
En ce qui concerne la sĂ©curitĂ©, les iPhones sont excellents. En revanche, je ne dis pas que les iPhones sont meilleurs qu’Android sur ce point. Je dirais qu’ils sont plutĂŽt Ă©quivalents. Par contre, les iPhones ET les Google Pixels sont bien les meilleurs en terme de sĂ©curitĂ© que tout le reste du marchĂ© des mobiles. Si vous installez GrapheneOS sur un Google Pixel, vous ĂȘtes gagnant en sĂ©curitĂ© et dans la protection de vos donnĂ©es. Si vous avez un iPhone vous gagnez en sĂ©curitĂ©, mais vous ĂȘtes un peu perdant concernant vos donnĂ©es.
Tout ceci est mon interprĂ©tation de l’article de Wonderfall. Je vous invite donc fortement Ă le lire pour vous faire votre propre opinion.
Je vous conseille quand mĂȘme un Google Pixel au lieu d’un iPhone car vous pouvez choisir quelles applications utiliser, vous pouvez prendre Brave ou Firefox au lieu de Safari. Beaucoup d’applications sont bien meilleures sur Android. Sur IOS, vous ĂȘtes limitĂ© voire bloquĂ©.
Sur IOS, tous les navigateurs web doivent utiliser le mĂȘme moteur de rendu, celui d’Apple : WebKit. Donc en utilisant Brave, Google Chrome ou Firefox, c’est comme si vous utilisiez Safari.
Depuis IOS 16.2, vous pouvez activer l’option Advanced Data Protection, ce qui permet de bĂ©nĂ©ficier du chiffrement de bout en bout pour des services essentiels tels qu’iCloud Backup, iCloud Drive, Photos, Notes, Rappels, Signets Safari, Raccourcis Siri, Dictaphones et vos cartes (Wallet).
Je vous recommande fortement de l’activer pour votre vie privĂ©e.
Vous avez besoin de Raivo OTP pour le 2FA (Two Factor Authentication), disponible sur l’App Store, cette application sert uniquement pour votre compte Apple. Et vous avez Ă©galement besoin d’enregistrer la clĂ© de rĂ©cupĂ©ration dans votre gestionnaire de mots de passe prĂ©fĂ©rĂ© afin de dĂ©chiffrer vos donnĂ©es dans le cas d’une perte de votre tĂ©lĂ©phone ou d’un changement.
Conclusion
Pour réitérer :
- Prenez uniquement un Google Pixel (Ă partir du 6, car 5 ans de support) ou un iPhone rĂ©cent (A12+) (Ă partir de l’iPhone XR/XS/XS Max).
- N’installez pas d’applications qui se disent amĂ©liorer la sĂ©curitĂ© ou la performance de votre tĂ©lĂ©phone. Suivez la rĂšgle KISS.
- Utilisez un code PIN de 6 chiffres minimum, mais 8 chiffres ou plus est recommandé.
- Installez GrapheneOS sur votre Google Pixel.
- Achetez uniquement des tĂ©lĂ©phones neufs ou quasi-neufs. N’achetez pas de tĂ©lĂ©phones qui ne sont plus supportĂ©s.
- Si vous avez achetĂ© un autre tĂ©lĂ©phone, revendez-le (surtout si c’est un Fairphone) et achetez un Google Pixel 6/6a/6 Pro minimum (ou un iPhone).
- Si vous avez achetĂ© des antivirus (ou d’autres applications comme CCleaner), arrĂȘtez ces abonnements, car vous jetez littĂ©ralement de l’argent par les fenĂȘtres. Puis achetez un smartphone rĂ©cent grĂące aux Ă©conomies que vous aurez faites. (Car il est plus sĂ©curisĂ© d’utiliser un smartphone rĂ©cent et mis Ă jour rĂ©guliĂšrement qu’un vieux tĂ©lĂ©phone dotĂ© d’un antivirus.)
En savoir plus & crédits
- đ«đ·ïž Le modĂšle de sĂ©curitĂ© mobile - Wonderfall
- đŹđ§ïž Android - Madaidan
- đŹđ§ïž Android Tips - PrivSec.dev (j’ai le mĂȘme thĂšme que son site web car c’est un thĂšme publique et gratuit, ne soyez pas Ă©tonnĂ©)
- đŹđ§ïž Badness Enumeration - PrivSec.dev (en anglais)
- đŹđ§ïž The Android Platform Security Model (Source originelle)