3 ROM durcies, 5 réglages clés, GrapheneOS, LineageOS, CalyxOS, ce que ces alternatives Android cachent au pistage

GrapheneOS, CalyxOS, LineageOS. Derrière ces noms, une même promesse: reprendre la main sur un smartphone Android dont la collecte de données s’est imposée comme norme industrielle. L’idée n’est pas neuve, mais elle revient au centre du débat à mesure que l’usage mobile devient un identifiant permanent, combinant géolocalisation, publicité ciblée, synchronisation cloud et télémétrie. Selon le rapport 2023 de la CNIL sur l’écosystème publicitaire, le mobile reste un point d’entrée majeur du suivi cross-app via identifiants, SDK et enchères en temps réel.

Le mouvement des ROM alternatives, longtemps cantonné aux passionnés, se présente désormais comme une réponse structurée à une question simple: comment réduire l’exposition aux traceurs sans renoncer à l’ergonomie d’un smartphone moderne? Les réponses divergent selon les projets. Certaines ROM misent sur la rupture avec les services de Google, d’autres sur le durcissement du système, d’autres encore sur des réglages accessibles sans changer de système. Le choix se fait au prix d’arbitrages concrets: compatibilité applicative, sécurité, mises à jour, et niveau d’effort technique.

Les éditeurs de ROM insistent sur un point: la confidentialité ne se limite pas à enlever Google. Elle passe aussi par la gestion des permissions, l’isolation des applications, la réduction de la surface d’attaque et la rapidité des correctifs. Sur ce terrain, la promesse peut être solide, mais elle n’est pas universelle. Les ROM custom peuvent renforcer la protection, mais elles peuvent aussi fragiliser un appareil si elles sont mal maintenues ou installées au mépris des mécanismes de sécurité.

GrapheneOS sur Google Pixel: durcissement mémoire, sandbox et mises à jour rapides

GrapheneOS s’est construit une réputation sur un objectif clair: renforcer la sécurité et la confidentialité sans bricolage opaque. Le projet cible principalement les smartphones Google Pixel, un choix qui n’a rien d’idéologique et tout d’opérationnel. Les Pixel offrent un support de mises à jour régulier, une chaîne de démarrage vérifiée et des composants de sécurité matériels (comme la puce Titan selon les générations). Pour GrapheneOS, cette base facilite un durcissement cohérent plutôt qu’une adaptation au cas par cas sur des dizaines de modèles.

Dans l’architecture, le projet met en avant des mécanismes de durcissement, notamment sur la gestion mémoire et la réduction de certaines classes de vulnérabilités. L’objectif est double: limiter l’exploitation de failles et mieux contenir les applications. La logique est proche d’un principe de cloisonnement: même si une application se comporte mal, elle doit rester confinée. Cette approche se combine avec une gestion stricte des permissions et des options visant à réduire les canaux de fuite (réseau, capteurs, identifiants).

Un point souvent mis en avant est la possibilité d’utiliser les applications dépendantes de Google via une approche dite sandbox, où certains composants sont installés comme des applications ordinaires, avec des droits limités. La nuance est importante: il ne s’agit pas d’un téléphone sans Google au sens où aucune application Google ne peut fonctionner, mais d’un modèle où ces services, si l’utilisateur les installe, ne bénéficient pas d’un statut privilégié. Cette différence structurelle vise à réduire la collecte implicite et le pouvoir d’observation à l’échelle du système.

Le revers est connu: l’expérience dépend du modèle de Pixel et de la discipline de mise à jour. Une ROM durcie perd une partie de son intérêt si les correctifs de sécurité ne suivent pas le rythme des bulletins Android. Sur ce point, GrapheneOS revendique une réactivité élevée, mais le lecteur doit vérifier la réalité au moment de l’installation, via le site du projet et l’historique des versions. La promesse de confidentialité n’a de sens que si la base reste corrigée, mois après mois.

Dans les usages, GrapheneOS répond surtout à un profil: personnes exposées à des risques de surveillance, professionnels manipulant des données sensibles, ou utilisateurs exigeants qui acceptent un cadre matériel précis. Le gain n’est pas seulement moins de pubs: c’est une réduction de la surface d’attaque et une limitation du pouvoir des applications sur le système, avec une philosophie proche de la sécurité par conception.

CalyxOS et microG: réduire la dépendance à Google sans rompre l’usage quotidien

CalyxOS se situe à un autre endroit du spectre. Le projet vise un compromis: améliorer la confidentialité tout en conservant une compatibilité large avec les applications. Une partie de cette compatibilité passe souvent par microG, un ensemble de composants libres qui tentent de remplacer certaines interfaces des services Google. L’enjeu est pratique: beaucoup d’applications reposent sur des notifications push, des API de localisation ou des services d’authentification fournis par Google.

Cette stratégie répond à un constat de marché: la majorité des utilisateurs ne veut pas d’un téléphone expérimental. Ils veulent que la banque, la messagerie, la navigation et les services du quotidien fonctionnent. CalyxOS s’adresse à ce public en mettant l’accent sur l’ergonomie et une réduction du pistage, plutôt que sur une rupture totale. La confidentialité est recherchée via des réglages par défaut plus stricts, des outils de contrôle réseau et une approche moins intrusive des services préinstallés.

Le débat porte sur le niveau de confiance à accorder à ces substituts. microG n’est pas Google, mais il vise à reproduire des comportements attendus par les applications. Cela peut limiter certaines collectes, mais cela ne transforme pas automatiquement l’écosystème applicatif en environnement propre. Les SDK publicitaires et les traceurs intégrés aux applications restent un problème central. D’après le rapport Exodus Privacy (base de données publique régulièrement citée par la presse spécialisée), de nombreuses applications populaires embarquent plusieurs traceurs, indépendamment du système.

Autre point: la sécurité dépend de la qualité du suivi des mises à jour et du périmètre matériel. Comme pour toute ROM, le niveau de protection varie selon la fréquence des correctifs, la transparence des changements et la capacité du projet à suivre les évolutions d’Android. Sur ce terrain, l’utilisateur doit regarder des signaux concrets: calendrier de patchs, documentation, procédures de vérification, et durée de support des appareils.

La force de CalyxOS tient à ce pragmatisme: rendre la confidentialité accessible sans transformer l’usage en parcours d’obstacles. Le risque est de vendre une idée trop simple, comme si remplacer un composant suffisait à neutraliser le suivi. La réalité est plus prosaïque: la confidentialité est un empilement de décisions, dont la première est souvent le choix des applications et des services en ligne.

LineageOS: compatibilité large, mais niveau de protection très variable selon les modèles

LineageOS est la ROM alternative la plus connue du grand public, héritière d’une longue histoire communautaire. Sa force est sa couverture: de nombreux modèles sont supportés, parfois bien après l’arrêt des mises à jour officielles. Sur le plan de la confidentialité, l’intérêt est immédiat: un appareil abandonné par son fabricant peut retrouver des correctifs et une version plus récente d’Android, ce qui réduit l’exposition à des failles connues.

Mais cette largeur de support a un coût: la qualité n’est pas uniforme. Le niveau de sécurité dépend du mainteneur, de la disponibilité des pilotes, du support des composants matériels et de la capacité à intégrer rapidement les correctifs. Une ROM communautaire peut être excellente sur un modèle et fragile sur un autre. Le lecteur doit donc éviter les jugements globaux. LineageOS n’est pas un bloc monolithique, c’est une constellation de portages et de maintenances.

Sur la question Google, LineageOS peut être utilisé sans les services Google, ou avec un paquet d’applications Google ajouté après installation. Dans le premier cas, l’utilisateur réduit une partie de la collecte systémique, mais il doit gérer les conséquences: certaines applications ne fonctionneront pas, d’autres perdront des fonctions clés comme les notifications. Dans le second cas, la confidentialité dépend surtout de la manière dont Google retrouve une place centrale, avec des services parfois très intégrés.

LineageOS apporte aussi un intérêt concret pour le contrôle: permissions, options développeur, et parfois des réglages plus souples sur ce que le système autorise. Mais il ne faut pas confondre plus de contrôle et meilleur modèle de menace. Une ROM qui prolonge la vie d’un appareil peut être un gain net si elle apporte des patchs. Elle peut aussi être une régression si l’installation impose de déverrouiller le bootloader et de désactiver des protections, sans cadre de vérification solide.

Le choix de LineageOS relève souvent d’un arbitrage économique et écologique: prolonger un smartphone de 3 ou 4 ans plutôt que le remplacer. Sur ce point, l’argument est fort. Mais il doit être accompagné d’une discipline: vérifier le statut officiel du build, la fréquence des mises à jour, et la réputation du mainteneur. Sans cela, le gain de confidentialité peut se transformer en exposition accrue.

Sans ROM custom: réglages Android, permissions, DNS chiffré et choix d’applications

Changer de ROM n’est pas la seule voie. Sur un Android récent, une partie du travail se fait dans les réglages, à condition de les utiliser avec méthode. Le premier levier est la limitation des permissions: localisation uniquement pendant l’utilisation, accès aux photos via sélection limitée, micro et caméra désactivables. Ces options, renforcées au fil des versions d’Android 12, 13 et 14, réduisent les collectes opportunistes, même si elles ne neutralisent pas les traceurs intégrés.

Le deuxième levier est le réseau. L’activation d’un DNS chiffré (DNS over TLS) via un fournisseur de confiance limite l’observation par certains intermédiaires, même si cela ne masque pas tout. Un VPN peut aussi réduire une partie de la corrélation, mais il déplace la confiance vers l’opérateur VPN. Dans une logique de confidentialité, le choix est moins VPN ou pas que à qui confier le trafic, et avec quelles garanties. Les politiques de conservation, la juridiction et les audits publics comptent plus que le marketing.

Le troisième levier est le choix des applications. Les navigateurs orientés vie privée, l’usage d’extensions anti-traqueurs quand c’est possible, et la préférence pour des applications open source réduisent l’exposition. Des magasins alternatifs comme F-Droid facilitent l’accès à des applications libres, mais ils ne garantissent pas une absence totale de collecte: la confidentialité dépend aussi des services distants utilisés par l’application. Un client de messagerie peut être exemplaire, mais il reste lié au fournisseur de mail.

Quatrième levier: limiter les identifiants publicitaires et la personnalisation. Android permet de réinitialiser ou restreindre l’identifiant publicitaire, et de couper certaines options de personnalisation. Ce n’est pas une solution miracle, car d’autres techniques de fingerprinting existent, mais cela réduit un canal de suivi connu. Les autorités de protection des données, dont la CNIL, rappellent régulièrement que la publicité ciblée repose sur une chaîne complexe où chaque maillon compte.

Enfin, la mesure la plus efficace reste parfois la plus simple: maintenir l’appareil à jour. Un smartphone qui reçoit les correctifs mensuels réduit le risque d’exploitation de failles connues, ce qui rejoint l’objectif initial des ROM durcies. La confidentialité n’est pas seulement une affaire de réglages, c’est aussi la capacité à rester corrigé face à un paysage de vulnérabilités en évolution continue.

Déverrouillage du bootloader: gain de contrôle, perte possible de garanties et d’intégrité

Installer une ROM implique souvent de déverrouiller le bootloader. C’est une étape technique, mais ses conséquences sont politiques au sens de la sécurité: elle modifie le modèle de confiance de l’appareil. Sur de nombreux smartphones, le déverrouillage entraîne un effacement complet des données, et peut désactiver certaines vérifications d’intégrité. Cela peut aussi impacter des services sensibles comme le paiement sans contact ou certaines applications bancaires, qui s’appuient sur des mécanismes d’attestation.

Le débat est souvent mal posé. Le déverrouillage n’est pas mauvais par nature, il est un choix. Il donne la liberté d’installer un système contrôlé, mais il peut aussi ouvrir la porte à des modifications non désirées si l’appareil est physiquement compromis. Les ROM orientées sécurité tentent de compenser via des mécanismes de vérification et des procédures d’installation encadrées. Mais toutes les ROM ne se valent pas, et toutes les procédures publiées sur internet ne sont pas fiables.

Autre point sensible: la chaîne d’approvisionnement logicielle. Télécharger une image système depuis une source non officielle, ou suivre un tutoriel obsolète, peut introduire un risque supérieur à celui que l’on cherchait à éviter. La confidentialité se perd vite si l’on installe un système dont l’origine ou l’intégrité n’est pas vérifiable. Sur ce terrain, les projets sérieux publient des signatures, des empreintes et une documentation claire. C’est un critère éditorial simple: sans vérification, pas de confiance.

Il faut aussi regarder la question des mises à jour sur la durée. Une ROM installée une fois puis oubliée devient un point faible. Le bénéfice d’un système durci se mesure à sa capacité à absorber les correctifs d’Android et à publier rapidement ses propres patches. Sur un appareil utilisé au quotidien, la sécurité se joue dans la routine: mises à jour, hygiène applicative, sauvegardes, et contrôle des permissions.

La confidentialité, dans ce cadre, ressemble moins à un interrupteur qu’à un contrat d’entretien. Les ROM custom peuvent être un excellent outil, mais elles exigent une responsabilité accrue. Le choix doit se faire en regardant le support matériel, la transparence du projet, et la compatibilité avec les usages critiques, y compris les usages professionnels et bancaires.