Un avis sur MicroG, LineageOS, Fakestore et YalpStore

Bonjour à tous,

Je suis à la recherche d’une explication claire de microG et des implications en terme de securité que son installation implique.

J’ai pour le moment une installation de lineageOS avec les PlayServices et le PlayStore (et donc Google). Deux alternatives existent: ne pas installer les gapps ou installer microG.

Si j’ai bien compris, microG comprend du signature spoofing (imitation de signature faite par les playservices) et cela représente un risque ou pas. C’est selon… (voici un exemple de review: https://blogs.fsfe.org/larma/2016/microg-signature-spoofing-security/ )

A titre personnel, j’ai besoin de certaines applis (banking) dispo uniquement sur le playstore et de positionnement précis (pris en charge par les PlayServices ou via UnifiedNLP et donc microG).

Est-ce que quelqu’un utilise microG (FakeStore, YalpStore, le positionnement) et a une connaissance sur les risques encourus?

Merci!

Voila une question fort intéressante.
Je suis aussi utilisateur de lineage os. Les dépendance aux services google play sont toujours une véritable plaie. Je ne connaissait pas FakeStore et microG. Je manque aussi d’information sur les appli préinstallées (sms, contacts…). Ça reste les même que sous Android ? Bref je suis preneur de toute information sur le sujet.

Bref je suis le sujet.

Juste pour info, il y a des images de LineageOS avec microG près installé sur https://download.lineage.microg.org/

Reste à savoir si c’est sécurisé…

Je suis tombé sur ce post sur le forum de fairphone https://forum.fairphone.com/t/lineageos-fork-including-microg/34877/5 . En gros, ils disent que micro-G ajoute effectivement une vulnérabilité mais son exploitation nécessite les droits root… A partir du moment où un script/appli s’exécute avec ce niveau de droit sur le téléphone, il peut déjà faire ce qu’il veut… De ce fait la vulnérabilité “n’en est pas vraiment une” (c’est une vulnérabilité techniquement mais si il faut être root pour l’exploiter. Dans cette situation, il y a pas mal de choses au delà de la vulnérabilité pour lesquelles il faut s’inquiéter…)

Si je tombe sur d’autre info, je continuerai à les partager ici :wink:

J’utilise une image lineageos microg depuis juillet 2018 en passant par l’App Aurora store pour les quelques applis nécessitant les “services” Google / uniquement dispo sur le play store.
Le tout sans Google account ni bloatware sur mon tel.

Je ne reviendrai plus en arrière (OpenGapps = Google apps)

Salut!

Tournant sous /e/ depuis hier sur mon Fairphone 2, je m’interroge plus que jamais sur la véritable dégooglisation de mon téléphone.

J’ai installé /e/ sur mon Fairphone2 avec en tête l’envie de me dégoogliser un max, et je suis relativement satisfaite.
Est-ce que l’utilisation de microG (installé automatiquement sur /e/) ne me fait pas replonger dans google justement?
Du fait que /e/ soit encore très frais, il n’est pas encore vraiment à mon gout et nécessite certaines modifications de l’utilisateur. Par exemple, le launcher est encore un peu kraspek et surtout ne permet pas trop de modifications. La communauté /e/ suggère par exemple d’installer un autre launcher (du type Evie par exemple), ce qui nécessite de passer par le Yalp Store (ou encore Aurora).
Mais si je fais ça, est-ce que je ne me regooglise pas de fait?
J’avoue avoir du mal à trouver des infos critiques sur l’utilisation de Yalp et sur sa manière de gérer les informations transmises à google.
J’ai posé la question sur le forum /e/, mais j’aimerais bien avoir votre avis.

Hello !

Voici un tableau qui résume le taux de déGooglisation selon la ROM utilisée :

ROM Applications du Google Play utilisables ? taux de déGooglisation Commentaire
Stock ROM (Samsung, Huawei, etc.) oui avec compte Google 0% “owned” by Google
LineageOS seul oui via APK récupéré sur ? si pas de dépendance au GSF 100% Fort probable que les apps installées dépendant de près ou de loin du GSF se plantent
LineageOS + OpenGapps oui avec compte Google 0% “owned” by Google
LineageOS + MicroG (équivalent fonctionnel de /e/) yes 100% De base, rien ne fuite vers Google tant que des apps “respectueuses” sont installées via Yalp/Fake/Aurora store

"owned" by Google : Même sans installer une quelconque app, le téléphone va discuter régulièrement avec les serveurs de Google et fuiter potentiellement/sûrement des infos personnelles.

GSF : Google Services Framework

C’est la vision que j’ai de part mon passage par ces 4 phases depuis que j’utilise un ordiphone :wink:

  • Avec les GoogleApps et les OpenGapps, il n’y a pas de déGooglisation, toutes “Open” que soient les OpenGapps.
  • Avec LineageOS seul, la déGooglisation est totale, mais l’installation d’une app par exemple de gestion de compte bancaire (c’est un exemple) etc. relève du miracle car celles-ci dépendent impérativement du GSF.
  • Avec MicroG, le GSF est “simulé” et les applis dépendant du GSF sont donc utilisables. Tant qu’aucune appli provenant d’un store non-libre est installée, la déGooglisation est encore totale. Par contre si, via [Yalp/Fake/Aurora]Store tu installes Google Maps bah… Welcome back Google :wink:

[Yalp/Fake/Aurora]Store utilise un compte Google anonyme. Mais aucune idée de la façon dont c’est implémenté techniquement. Là aussi, si on utilise un compte Google, ça a moins d’intérêt.

A mon avis, tu devrais plutôt utiliser la ROM de microG pour le fairphone en attendant que /e/ soit opérationnel plutôt que d’utiliser un launcher non libre : https://reports.exodus-privacy.eu.org/en/reports/24497/

C’est mon avis, il n’engage que moi et je peux me tromper !

A+

3 Likes

Salut,
Je suis super intéressé pour tester lineageOS + MicroG.
Utilisateur de linux depuis 15 ans sur mon PC, il est temps pour moi de me mettre à niveau question smartphone :wink:
Une question quand même : j’ai dû acheter quelques (rares) applis sous google play bien utiles pour moi. Sans compte google, vais-je pouvoir les réinstaller une fois avoir basculé mon smartphone sur cet OS ?

La réponse est simple : non ! :heart_eyes:

A moins de (non testé) renseigner ton compte G dans une des applis capables d’en installer d’autres depuis GPlay (Yalp store, Aurora).

J’ai eu aussi ce genre de considération au tout début de mon switch vers LineagesOS + MicroG. Je me suis résigné et j’ai intégré que ces (peu) d’applis payées étaient perdues.
Je ne m’en porte pas moins beaucoup mieux. Vu la médiocrité des applis payantes, c’est du racket, pour au final être pisté, non-respecté, etc :wink:

Franchement, au début, j’ai eu les boules, aujourd’hui, je n’ai plus de compte G et je me dis que ces applis payantes que j’utilisais étaient bien pourries (et le sont toujours pour celles qui on survécu mais que je n’utilise plus).

Perso, ce que j’ai fait lors du switch et de mes tests, c’est que j’ai gardé sous le coude un ancien téléphone dans lequel je pouvais placer ma SIM si jamais je faisais une bétise avec le tel principal. Tout reconfigurer et installer from scratch prends du temps.

A+

Hey !

Juste une petite remarque par rapport au tableau. Les “apps respectueuses” (e.g des app open-sources avec une communauté active pour vérifier que rien dans le code ne compromet la sécurité) sont surtout trouvable sur f-droid plus que sur yalp/aurora store nan ?

Chercher ses apps sur f-droid avant de passer par les autres store est un reflexe a prendre je pense.

En ce qui concernet la sécurité je rappel l’existance de shelter.
Et une question pour hatori pourrait être : tu te sens plus en sécurité avec des Gapps propriétaires d’une multinationale ou avec microG opensource et communutaire ? Tu n’est pas technicien donc, a qui tu fais confiance ?

Bonsoir à tous,

J’utilise microG depuis quelques jours (installé via un zip de migration Lineage OS) et je suis très content. Les quelques applis qui nécessitaient les GSF fonctionnent parfaitement et surtout OSM grâce à l’installation de Mozilla Unified Nlp.
Petit bémol, la MàJ Lineage OS ne veut plus s’installer.

Bonjour, je suis passé sur lineage Os 16.0 depuis quelques semaines. Depuis j’evite donc le plus possible toutes les applications propriétaires et celles qui dépendent de Google. Mais en fouillant un peu du côté des applications natives de lineage qui gèrent mes contacts et mes appels et en allant dans les ‘‘règles de confidentialité’’ et les ‘‘conditions d’utilisations’’ je me suis aperçu que je tombais sur …Google. Ces applis sont donc fournies pas google. N’y a t-il pas moyen de les remplacer? Merci de vos réponses expérimentées.

En fait une bonne partie de LineageOS est faite par Google, vu que celui-ci est le développeur d’AOSP (Android Open Source Project), donc du code source sur lequel toutes les versions (et dérivés) d’Android se basent. Donc les applications présentent ici sont bien faites par Google, mais sont open source et n’ont rien à voir avec ses appli propriétaires présentent sur la plupart des smartphones et le Play Store.

Les devs de LineageOS développent aussi certaines appli pour remplacer les appli par défaut d’AOSP. Mais là comme ça, je ne pourrais pas te dire lesquelles.

Après, si tu veux les remplacer, tu trouveras certainement ton bonheur sur F-droid.

Merci pour ta réponse. Lineage Os n’est donc qu’une demi dégoogelisation. J’ai cherché sur Fdroid et je n’ai trouvé qu’une application pour gérer les contacts depuis laquelle on peut lancer un appel mais on passe par l’application Google. J’avoue que je suis un peu déçu… Donc l’alternative serait du côté du Librem 5 qui coûte un bras ou d’abandonner le smartphone.

Tout dépend de ce qu’on appelle “dégooglisation”. Ici ça n’utilise aucun service, aucune appli fermée, aucun “espion” de Google. Ce sont juste des logiciels, libres, mais faits par Google.

Ensuite, selon ton téléphone, tu as la possibilité de mettre d’autres OS, comme Ubuntu Touch (UBports), Firefox OS, Sailfish OS, Postmarket OS, Plasma Mobile… Et à la place du Librem, regarde du côté du Pine Phone, beaucoup moins chère.

Et sur F-droid, avec l’appli Simple Contact, ça ne passe pas par autre chose si tu lui donnes toutes les autorisations nécessaires.

2 Likes

Bonjour,
Comment fonctionne Shelter ? Ca isole les applis dont on ne veut pas qu’elles nous espionnes c’est ça ?
Et j’ai vu (sur ce site : https://pled.fr/?p=11469 ) que microg ralentissait énormément le téléphone, quels sont vos retours ?

Hello à tous,

Je suis ravi de voir que le sujet passionne autant de personnes.

A titre perso, j’ai fait une croix sur micro-g. J’utilise un lineage basique avec F-droid. En fait, ca me suffit pour quasiment tout. Pour le reste, aurora store mais la aussi il y a des questions de sécurité que je n’ai pas pu creuser. L’intérêt du Play Store est la signature des apk par Google. Si je télécharge une appli depuis leur store, je suis certain de l’authenticité du paquet installé. En passant par Aurora, je suppose que oui car ils utilisent les API de google mais je ne suis pas certains. Je fais confiance…

Donc en résumé, je dirait que mon smartphone est pas parfaitement libre mais j’ai avance.

En fait, il faut juste passer le pas. Après, on s’y habitue et il n’y aura plus de retour en arrière pour moi.
Après, je n’utilise quasi aucun service de google (pas de mail,cloud ou autre). Seulement youtube et pour cela, j’utilise newpipe qui est fantastique pour moi (et pour mon entourage que j’ai converti :smiley:).

Il reste les questions du matériel (bootloader et des drivers). Replicant supporte trop peu de device pour que je puisse passer le pas.
Enfin, Lineage n’est plus officiellement supporté pour mon smartphone et je dois encore le compiler ou trouver une image (avec quelle confiance?) pour celui-ci.

hatori

Donc qui inclut les Services Google, notamment pour la géolocalisation?

A priori non (Je dis apriori car a quelle point leur android ne contient pas de google? Si je me souviens bien, par defaut, la recherche c’est via google (à valider car cela fait très ltgps que je n’ai pas fait d’installation de zéro)).
Qd tu installes lineage, tu dois toi mm ajouter les google apps (il existe plusieurs versions du paquets en fct de ce que tu veux mais le minimun c’est les google service).

Oui, shelter isole les app dans un espace virtuel différent. Tu peux gérer cet espace comme un autre téléphone (avec d’autres comptes, d’autres contacts, un autre espace de stockage etc). Ca permet un niveau de sécurité en plus. Par contre, si tu ne fait rien contre, les apps on toujours acces à ton micro, camera etc. C’est pour ca que je parlais de le combiner avec privacy guard (qui est installer par défaut sur lineage il me semble).

Comme tu peux le voir sur leur site micro-G ne pèse que 27mb…donc le problème de l’espace de stockage donc parle l’article que tu cite n’est pas vraiment défendable. Comme il le souligne, le problème viens sûrement de son utilisation de micro-g mais pas d emicro-g en soit.
En ce qui concerne la consommation de batterie, je pense que ca dépend beaucoup des applications que tu utilise. Selon mon expérience, l’appli silence est beaucoup plus optimisé pour la batterie avec micro-G que sans…donc dans mon cas, micro-g me fait gagner de la batterie. Par contre, si tu n’as pas d’appli mal optimiser sans les api google, micro-g ne doit pas te faire économiser de batterie et ne sert à rien…