GrapheneOS accuse Google et Apple d'utiliser leurs systèmes de vérification d'appareils pour écarter les systèmes d'exploitation alternatifs. Concrètement, le duopole américain va pouvoir contrôler, et surtout exclure les internautes n'utilisant pas leurs produits.
L'équipe du projet GrapheneOS a publié un long thread sur X pour sonner l'alerte. L'attestation matérielle est de plus en plus utilisée pour contrôler quels appareils et quels systèmes d'exploitation peuvent accéder à certains services. Concrètement, un service peut demander à votre téléphone de prouver qu'il est bien un appareil "certifié" par Google ou Apple avant de vous autoriser l'accès. Si votre téléphone échoue à ce test, la porte est fermée. Autrement dit, c'est Google et Apple qui contrôlent les accès
Play Integrity API : de la sécurité à l'exclusion
Google dispose des interfaces de programmation Play Integrity. Celles-ci sont utilisées notamment par les applications bancaires pour vérifier l'intégrité d'un appareil. Ce système contrôle si le téléphone tourne sur une version d'Android certifiée par Google et si son bootloader est verrouillé. De son côté, GrapheneOS est bloqué par ce mécanisme, non pour des raisons techniques, mais parce qu'il ne distribue pas Google Mobile Services, le pack de services exigé pour obtenir la certification Android.
Mais comme le souligne GrapheneOS, la situation est parfois très paradoxale. Des appareils Android n'ayant reçu aucune mise à jour de sécurité depuis dix ans peuvent passer ce contrôle, quand un système alternatif réputé plus sécurisé est rejeté. D'emblée, l'argument de la sécurité ne tient donc plus vraiment. Rappelons par ailleurs que les restrictions de Google sur les ROM personnalisées pour Pixel avec Android 16, comporte des obligations commerciales. Or, les projets alternatifs ne peuvent pas, ou ne veulent pas, les respecter.
La situation se complique encore du côté des institutions. L'Union européenne pousse l'adoption de Play Integrity et d'App Attest d'Apple pour des usages comme la vérification d'identité, les paiements numériques ou le contrôle de l'âge. Au lieu de freiner ces pratiques, les gouvernements les valident et participent à leur diffusion.
Une sécurité contrôlée par deux géants américains
Et le problème ne va pas aller en s'arrangeant. Google prépare une évolution de son système reCAPTCHA, visant à distinguer les bots des humains. En effet le géant californien veut y intégrer en plus une vérification matérielle. Concrètement, dans certains cas, un utilisateur devra scanner un QR code avec un smartphone certifié iOS ou Android avec Google Mobile Services pour accéder à un site web.
Cette approche aurait des effets directs pour les utilisateurs de Linux ou FreeBSD qui ne disposent pas d'un tel appareil. GrapheneOS évoque également un projet baptisé "Unified Attestation", porté par des entreprises européennes, qui appliquerait une logique similaire à plus grande échelle, avec le même effet d'exclusion des systèmes non certifiés.
Pour GrapheneOS, la question est claire : ces systèmes servent-ils réellement la sécurité, ou permettent-ils à Google et Apple de décider qui accède à internet et dans quelles conditions ? Pour le projet, exiger un appareil iOS ou un Android certifié relève de la pratique anticoncurrentielle, pas de la protection des utilisateurs.
