Configurer le bac à sable Google Play sur GrapheneOS étape par étape

Guides Android » Applications Android » Guide étape par étape pour configurer le bac à sable Google Play sur GrapheneOS

GrapheneOS exécute Google Play en mode sandbox comme les applications normales, sans privilèges système ni accès incontrôlé à vos données.
L'installation de GrapheneOS est simple via un navigateur et permet de séparer les profils, en conservant un profil principal totalement exempt de Google.
L'utilisation d'un profil Google Play dédié, avec des autorisations adaptées et un compte séparé, réduit considérablement les traces et la divulgation des informations.
Les outils techniques et les analyses confirment que GrapheneOS applique le principe du moindre privilège et isole véritablement les services Google.

Configuration du bac à sable Google Play sur GrapheneOS Cela peut paraître un peu déroutant au premier abord, surtout si vous utilisez un appareil Android classique et que votre objectif est de réduire votre dépendance à Google sans renoncer à certaines applications essentielles. Heureusement, le système est conçu précisément pour cela : vous offrir un contrôle précis sur les autorisations, les profils utilisateurs et le niveau d'exposition de vos données, sans compromettre la facilité d'utilisation au quotidien.

Tout au long de cet article, vous verrez, étape par étape et de manière très détaillée, Comment préparer votre Pixel avec GrapheneOSCe guide explique comment installer et configurer les services Google Play en mode autonome, comment organiser différents profils d'utilisateurs et quelles sont les pratiques utilisées par d'autres utilisateurs pour installer des applications payantes, gérer les autorisations et améliorer leur confidentialité. Le tout est expliqué en espagnol standard (Espagne), sans jargon inutile, mais sans omettre les détails techniques importants.

Qu'est-ce que le Google Play Sandbox dans GrapheneOS ?

Dans GrapheneOS, les composants Google (Play Services, Play Store et Google Services Framework) fonctionnent comme applications normales dans le bac à sable AndroidIl ne s'agit pas de composants système aussi profonds dotés de privilèges spéciaux que sur Android standard. Cela modifie complètement le modèle de confiance par rapport à un téléphone Android classique.

Sur un Pixel avec Android pur, les services Google sont applications système dotées d'autorisations très étenduesElles ont accès à des API privilégiées, s'exécutent avec des UID spécifiques et sont signées par des certificats système. Sous GrapheneOS, en revanche, elles sont installées comme n'importe quelle autre application utilisateur, avec leur propre UID, sans signature système et soumises aux mêmes permissions strictes et au même modèle de sandbox que toutes les autres.

Comment fonctionne l'isolation de Google Play en interne ?

Lorsque vous installez des composants Google Play depuis l'App Store de GrapheneOS, chacun reçoit sa propre identité numérique, le fameux UID Android. Services Google Play et framework des services Google Elles partagent un UID d'application (par exemple, un UID dans la plage 10xxx, tel que 10252 dans certaines analyses), ce qui leur permet de communiquer entre elles sans rompre l'isolation globale du système.

La Play Store Elle possède son propre UID distinct (également dans la plage des applications classiques, comme 10251 dans un exemple concret), et elle est signée avec des certificats Google, et non des certificats GrapheneOS. Ceci est important : même si elles sont signées par Google, dans GrapheneOS Ce ne sont pas des applications système Ils ne possèdent pas non plus l'UID 1000, réservé aux composants disposant d'autorisations système.

Pour vous donner une idée, dans un système GrapheneOS bien configuré, les applications système critiques peuvent avoir IDE 1000L'UID 0 est réservé à l'utilisateur root (et n'est pas utilisé dans les versions officielles de GrapheneOS). Aucune application Google dans l'environnement sandbox ne possède l'UID 0 ou 1000. Ils ne disposent pas de privilèges root ou système.Cela démontre que le principe du moindre privilège est respecté : seuls les composants qui en ont réellement besoin se voient accorder des autorisations élevées.

Le contexte sécuritaire évolue également. SELinuxLes applications système peuvent être étiquetées « platform:privapp » avec un niveau de privilège et un accès à la partition système, tandis que les composants Google Play en mode sandbox sont identifiés par « default:targetSdkVersion=34:complete » ou un autre contexte d'application standard. En d'autres termes, Ils se comportent comme des applications classiques sous les règles strictes de SELinux.

Installation et premiers pas avec GrapheneOS

Avant de modifier le bac à sable de Google Play, votre système doit être opérationnel. L'installation de GrapheneOS sur un Pixel compatible est… Bien plus simple que beaucoup ne le pensent.Vous n'avez pas besoin d'être un expert en flashage ni d'utiliser des commandes étranges si vous ne le souhaitez pas.

Depuis le site web officiel de GrapheneOS, vous avez accès à un installateur Web L'application fonctionne directement dans votre navigateur. Il vous suffit d'un câble USB pour connecter votre Pixel à votre ordinateur, de suivre les instructions visuelles et de laisser le navigateur envoyer les commandes au téléphone. Vous n'avez pas besoin d'installer de programmes supplémentaires ni d'accéder manuellement au mode de récupération pour flasher des images si vous le souhaitez.

Si vous avez déjà installé des ROM personnalisées, ce processus vous semblera presque trivial : en quelques minutes seulement… cinq à dix minutes Le téléphone sera flashé et redémarrera sous GrapheneOS. Dans quelques minutes, la configuration initiale sera terminée et votre système sera propre. basé sur AOSPmais sans aucun composant Google préinstallé.

Dès l'accueil, vous remarquerez que l'expérience est familière, mais avec des nuances : Il n'y a pas d'Assistant Google.Aucune invitation à se connecter à votre compte n'est proposée, et aucune sauvegarde sur Drive n'est effectuée. Le système est minimaliste : il ne contient que les applications essentielles, aucun fond d'écran supplémentaire ni une vaste sélection de widgets. Tout est conçu pour que vous choisissiez les applications à installer et les autorisations à accorder.

Premières impressions d'utilisation sans Google

Google Play Sandbox sur GrapheneOS

GrapheneOS est perçu comme un système Léger, fluide et axé sur la sécuritéL'accent mis sur la confidentialité est évident dès les paramètres : on y trouve des options pour vérifier l'intégrité via des serveurs propriétaires, des autorisations supplémentaires plus explicites lors de l'installation d'applications et des outils que l'on ne trouve généralement pas dans le firmware d'origine des autres appareils Android.

Dès la sortie de l'emballage, vous ne trouverez ni le Play Store ni les services Google Play. En revanche, vous pouvez utiliser des dépôts de logiciels libres tels que… F-Droid ou consulter un Un guide complet pour vivre sans glutamate monosodique.Une autre option courante consiste à installer Aurora Store, une boutique parallèle qui vous permet de télécharger des applications depuis Google Play sans vous connecter avec votre compte Google, en utilisant des comptes anonymes ou des comptes générés par le service lui-même.

Pour remplacer d'autres services Google, de nombreux utilisateurs optent pour des clients alternatifs. Par exemple, pour YouTube, ils utilisent… applications clientes comme NouTube ou d'autres variantes ; pour le clavier, des alternatives comme FlorisBoard au lieu de Gboard ; pour les photos, des projets auto-hébergés comme Immich au lieu de Google Photos. L'expérience change, mais Cela ne s'aggrave pas forcément. si vous choisissez bien les substitutions.

La plupart des applications de messagerie et de réseaux sociaux (WhatsApp, Telegram, X, Instagram, etc.) fonctionnent correctement sans les services Google, moyennant certains sacrifices : par exemple, Sauvegarde WhatsApp sur Google Drive Ce service ne sera plus disponible. Les utilisateurs qui optent pour GrapheneOS acceptent généralement ce type de clause de non-responsabilité comme condition préalable à la reprise en main de leurs données.

Alternative officielle : l’App Store de GrapheneOS

Si vous avez encore besoin de certains services Google, GrapheneOS propose une solution voie du milieu via son App Store intégré. Cette petite boutique permet à la fois de mettre à jour les applications système et d'installer des composants optionnels, notamment :

Services Google Play en mode bac à sable.
Google Play Store, également isolé.
Cadre des services Google, requis pour certaines fonctions de Play.
Des applications supplémentaires comme Android Auto, si vous en avez besoin.

L'essentiel est que ces applications, même si ce sont des applications officielles de Google, fonctionnent selon le même modèle de sécurité que n'importe quelle application téléchargée depuis une autre boutique : Ils ne disposent pas des autorisations système, vous pouvez donc les désinstaller quand vous le souhaitez. et leur accès aux données et aux capteurs dépend des autorisations que vous leur accordez explicitement.

Si un jour vous décidez que vous n'avez plus besoin du Play Store ou de ses services, il vous suffit de... Désinstallez-les comme vous le feriez pour n'importe quelle autre application.Ils ne font pas partie du système de base GrapheneOS ; votre installation reste donc exempte de composants Google quand vous le souhaitez.

Quel profil utilisateur est le mieux adapté à l'installation de Google Play ?

Une question récurrente pour ceux qui envisagent d'utiliser le Google Play Sandbox est de savoir si Il est conseillé de créer un profil utilisateur distinct Cela concerne uniquement les applications qui dépendent de Google. GrapheneOS utilise généralement le système d'utilisateurs et de profils d'Android pour compartimenter l'utilisation et les données.

Une configuration typique pourrait être :

Profil principal (Propriétaire): pas de Google, seulement des applications de confiance : travail, banque, messagerie principale, etc.
Profil secondaire « Google »: avec les services Google Play dans un environnement isolé et les applications qui nécessitent le Play Store ou dépendent de ses API.
Certains profil supplémentaire pour les tests ou des utilisations très spécifiques, si besoin est.

Cette séparation présente plusieurs avantages : le profil principal reste exempt de tout composant GoogleVous pouvez ainsi y conserver vos applications de communication essentielles, vos applications sensibles ou vos applications professionnelles. En cas de problème avec votre profil Google (autorisations excessives, applications problématiques, etc.), L'impact ne s'étend pas aux autres utilisateurs.

Il est également possible de procéder inversement : installer les services Google Play directement sur le profil principal et créer des profils secondaires pour des activités plus privées ou expérimentales. Toutefois, choisir un profil distinct pour tous les services Google est généralement plus organisé et Cela réduit la tentation de mélanger données personnelles et applications fortement dépendantes de Google..

Vérification des fichiers APK et des applications par plusieurs utilisateurs

Un autre problème qui préoccupe certains utilisateurs avancés est la manière dont vérifier l'intégrité des APK Les applications installées peuvent être difficiles à vérifier, notamment lors de la gestion de plusieurs profils utilisateurs. GrapheneOS explique comment vérifier les applications, mais la procédure peut ne pas être évidente pour tous les utilisateurs.

L'idée sous-jacente est que, même si vous percevez le système comme un seul téléphone, en interne Chaque utilisateur dispose de son propre espace d'application.Une application installée sur un profil secondaire n'est pas la même instance que celle du profil principal, même si le fichier APK est identique. Par conséquent, pour auditer l'ensemble du système, il est nécessaire d'examiner chaque profil individuellement.

Il existe différentes manières d'aborder ce problème :

Utilisez le vôtre gestionnaire d'applications de chaque profil pour vérifier ce qui est installé et les autorisations de chaque application.
Utilisez des outils spécialisés tels que App Manager (Sur les appareils disposant d'un accès root temporaire ou dans les environnements d'analyse), cela permet de consulter les signatures, les UID et autres métadonnées de toutes les applications. Cette fonctionnalité est davantage utilisée pour des audits ponctuels que pour un usage quotidien.
Faites confiance au Signatures APK et origine du magasin (App Store de GrapheneOS, F-Droid, Aurora, etc.), en comparant les hachages ou les signatures avec les versions officielles lorsque cela est nécessaire.

Configurez le Google Play Sandbox étape par étape dans un profil

Examinons maintenant un flux de travail pratique pour ceux qui souhaitent Installez et utilisez Google Play sur GrapheneOS, notamment s'ils ont besoin d'acheter des applications payantes ou de gérer les mises à jour depuis la boutique officielle.

1. Créez un profil utilisateur pour Google.

Dans Paramètres > Système > Utilisateurs multiples (ou une option similaire selon la version), vous pouvez ajouter un nouvel utilisateurDonnez-lui un nom identifiable, comme « Google » ou « Play Store », afin d'indiquer clairement que c'est là que les services Google seront exécutés.

Lors de votre première connexion avec ce compte utilisateur, vous devrez effectuer une brève configuration initiale. Idéalement, ce profil devrait rester inutilisé autant que possible. aussi minimaliste que possibleN'incluez que les applications qui ont réellement besoin des services Google Play ; ne dupliquez pas l'intégralité de votre écosystème sur votre profil principal, sauf si cela est absolument nécessaire.

2. Installez les composants Google depuis l'App Store de GrapheneOS.

Dans le nouveau profil, ouvrez le L'App Store de GrapheneOSÀ l'intérieur, vous trouverez l'option d'installation :

Services Google Play.
Cadre de services Google.
Google Play Store.

Installez-les dans cet ordre pour éviter les erreurs de dépendance. À chaque fois que vous en installez un, Examinez attentivement les autorisations. Au premier démarrage, il demande les autorisations nécessaires et évalue soigneusement celles qui sont essentielles à votre utilisation. Sachez que sous GrapheneOS, vous pouvez refuser les autorisations sensibles, comme l'accès à votre position géographique, tout en conservant de nombreuses fonctionnalités.

3. Ajuster les autorisations et les capteurs pour limiter les données

Un avantage majeur du Google Play Sandbox est que vous pouvez refuser des autorisations que vous considérez normalement comme obligatoires. Par exemple:

Bloquez l'accès permanent à la localisation et n'accordez-le que lorsqu'une application spécifique en a besoin.
Limitez l'accès aux contacts, au calendrier ou aux SMS si vous n'utilisez pas les fonctionnalités qui le requièrent.
Contrôlez l'accès aux capteurs tels que le microphone et la caméra, en le révoquant lorsque vous n'utilisez pas activement l'application qui en a besoin.

GrapheneOS offre également des contrôles plus précis sur activité de fondCela vous permet d'empêcher les services Google de traiter ou de synchroniser des données en continu. Vous réduisez ainsi la consommation de la batterie et la quantité de données exposées.

4. Créez ou choisissez un compte Google

Si votre priorité est la confidentialité, de nombreux utilisateurs choisissent d'utiliser un compte Google séparé et plus « jetable »au lieu de leur récit historique personnel. Une pratique courante consiste à le créer relié par un VPNafin que l'adresse IP source ne puisse pas être directement retracée jusqu'à votre connexion domestique.

En matière de vérification d'identité (téléphone, cartes, etc.), certaines personnes ont recours à des méthodes telles que… numéro de téléphone secondaireLes services de cartes virtuelles comme privacy.com ou les cartes prépayées sont acceptables, à condition de respecter les conditions d'utilisation du fournisseur. L'objectif est de minimiser le lien entre votre identité principale et le profil de consommation de votre compte Google, dans les limites de la légalité.

Une fois que vous avez créé ou choisi votre compte, connectez-vous à Google Play Store dans le profil « Google »Tous les achats d'applications, abonnements et licences seront associés à ce compte, et les applications seront installées exclusivement sur ce profil, en gardant les autres utilisateurs séparés.

Utilisation concrète : installer des applications payantes avec un minimum de concessions.

En pratique, de nombreux utilisateurs de GrapheneOS n'ont besoin que du Google Play Sandbox pour quelques applications payantes très spécifiquesEn particulier les logiciels multimédias ou les utilitaires très spécifiques sans alternatives dans les boutiques de logiciels libres. Par exemple, des lecteurs comme Symphonium Music ou Cast Player, qui se distinguent par leur intégration avec des serveurs comme Jellyfin et la lecture locale.

Il existe des applications pour lesquelles vous pouvez trouver des alternatives en dehors du Play Store (des fichiers APK directement auprès des développeurs, des versions d'essai comme Poweramp, d'autres options comme Shuttle 2 ou Finamp), mais parfois la fonctionnalité ou l'intégration que vous recherchez Elle est uniquement disponible dans la version du Play Store.Dans ces cas-là, il est judicieux d'utiliser le Sandbox de manière très ciblée : s'y connecter, acheter, installer et utiliser le logiciel dans ce profil.

Le flux de travail typique d'un utilisateur attentif ressemblerait à ceci :

Créez le profil « Google » uniquement lorsque vous allez mettre à jour ou installer des applications.
Limitez les applications de ce profil à celles qui nécessitent réellement les services Google Play, sans y intégrer de réseaux sociaux ou de messagerie si ce n'est pas nécessaire.
Configurez les mises à jour automatiques avec parcimonie ou effectuez-les manuellement. modifications de la version de contrôle dans les applications clés.

En ce qui concerne le véritable anonymat, il est important de comprendre que lors de l'utilisation du Play Store et des applications associées, il y aura toujours un certain niveau de télémétrie et de suivi des achatsLe bac à sable ne supprime pas cela, mais il limite considérablement ce que Google peut voir du reste de votre vie numérique sur l'appareil, en verrouillant ces services dans un profil et un ensemble d'autorisations spécifiques.

Compatibilité avec le mode sandbox, notifications et limitations

En intégrant Google Play dans l'environnement sandbox normal des applications, certaines fonctionnalités se comportent d'une certaine manière. légèrement différent d'Android avec Google préinstalléDans la plupart des cas, la couche de compatibilité de GrapheneOS garantit le bon fonctionnement de l'ensemble du système, mais il convient de garder à l'esprit certains points spécifiques.

Par exemple, les notifications push basées sur Messagerie Firebase Cloud (FCM) Elles fonctionnent toujours, mais leur comportement peut dépendre de la façon dont vous gérez l'accès en arrière-plan et les services réseau. Si vous êtes trop restrictif quant aux autorisations ou à l'activité en arrière-plan, certaines applications pourraient mettre plus de temps à recevoir les notifications, voire ne plus les recevoir du tout dans des situations très spécifiques.

Concernant les applications payantes, la gestion des droits numériques (DRM) et les licences, la plupart fonctionnent correctement dans l'environnement de test (Sandbox), car Ils perçoivent les services Google Play comme s'ils se trouvaient sur un appareil Android normal.Bien que ces autorisations soient effectivement restreintes, il est possible que certaines applications très spécifiques réclament des permissions système qu'elles ne possèdent plus. Toutefois, ces cas sont de moins en moins fréquents.

Le principal « prix » à payer avec ce modèle est qu'il faut consacrer quelques minutes au début pour comprendre et ajuster les autorisationsAcceptez l'idée que l'expérience n'est pas aussi entièrement automatisée et intégrée que sur Android. En contrepartie, de nombreuses tâches sont plus transparentes et vous êtes constamment invité à réfléchir aux données que vous souhaitez partager.

Expériences avancées et vérification approfondie

Certains utilisateurs très techniques sont allés plus loin et ont analysé comment les applications Google sont installées et exécutées sur GrapheneOS. Certains ont utilisé Racine temporaire avec KernelSU et des outils comme App Manager pour inspecter les signatures SELinux, les UID et les politiques.

Ces analyses ont confirmé que Aucune application n'est incluse dans les versions officielles. (même l'application GrapheneOS de base) ne s'exécute pas avec l'UID 0 (racine), et cela Très peu d'applications système ont un UID de 1000.Seuls ceux qui nécessitent réellement des privilèges étendus en bénéficient. Tout ceci confirme que le projet applique rigoureusement le principe du moindre privilège.

En comparant les politiques SELinux du système et des applications Google, on constate que ces dernières sont étiquetées avec contextes d'application standardCes fichiers ne comportent pas d'étiquettes système privilégiées. L'examen des détails de chaque APK de Google Play Services, du Play Store ou de Google Services Framework confirme qu'ils sont signés par Google et que leur UID se situe dans la plage des applications utilisateur, comme indiqué dans la documentation officielle.

Considérations finales

Ces types d'audits avancés ne sont pas nécessaires pour l'utilisateur moyen, mais ils contribuent à renforcer la confiance dans le fait que, sous le capot, GrapheneOS isole véritablement les services Google Et il ne s'agit pas seulement de changer l'étiquette.