Bonjour à tous, j’ai essayé de poster dans r/privacy, mais un mod m’a suggéré de venir ici à la place, car mentionner un VPN va à l’encontre de leur politique.
Je utilise GrapheneOS (une version durcie et axée sur la confidentialité d’Android), et je ne peux pas et ne veux pas rooter mon téléphone. Je utilise aussi un très bon VPN.
Je voudrais arrêter les trackers des applications. Si vous allez sur https://reports.exodus-privacy.eu.org/en/ et que vous cherchez une application, elle liste les trackers et permissions de l’app. La partie trackers est ce que je voudrais bloquer, je ne veux pas qu’ils appellent à la maison ou analysent mon usage.
Idéalement, je voudrais une solution FOSS, j’ai essayé quelques applications de F-Droid : TrackerControl (ne fonctionne pas, car l’application utilise un pseudo-VPN et Android ne permet qu’un seul VPN… ce qui signifie que je dois compromettre mon très bon VPN au profit du faux VPN) et AdAway (se bloque à l’écran de bienvenue, à chaque fois).
Je pense que je pourrais envisager un Pi-Hole, mais d’après ce que je comprends, cela fonctionne au niveau LAN et pas sur la connexion de données mobiles.
Je conteste toujours que r/privacy pourrait être une communauté plus adaptée à ma situation, mais je suis leur suggestion de mod de poster ici.
Alors, qu’en pensez-vous ?
Le problème vient des trackers et de la dépendance des applications à leur égard. Bugsnag ou Sentry sont assez faciles à bloquer sans problème, mais certaines applications perdraient des fonctionnalités clés ou crasheraient si vous bloquez des trackers comme Google Firebase Analytics.
Ensuite, il y a la question de certains trackers qui appellent à la maison pour un pool d’adresses IP en expansion perpétuelle. WhatsApp et AliBaba sont notoires à ce sujet.
Si vous fréquentez r/privacy, peut-on supposer que votre “très bon VPN” est l’un des trois* listés sur le site PG ?
Comme l’autre commentaire l’a mentionné, Pi-Hole (ou Adguard Home, ou un proxy DNSCrypt) sur un VPS fonctionnerait. L’autre option serait quelque chose comme NextDNS. Vous devrez vérifier les logs (assurez-vous d’avoir configuré votre compte NextDNS pour que les logs soient stockés en Suisse) pour voir ce qui est autorisé ou non, et quelles fonctionnalités de l’app se brisent dans le processus.
Toute domaine ou IP spécifique que vous avez déterminé comme étant contacté par une app mais qui n’est pas bloqué, vous pouvez l’ajouter à votre liste de refus (notez que les changements sur les listes d’autorisation/d’autorisation prennent environ 10 minutes à s’appliquer).
En résumé, beaucoup de tâtonnements nécessaires, et cela avant de réaliser que le niveau de filtrage que vous avez choisi pour neutraliser l’espionnage des apps empêche aussi la plupart des sites Web de fonctionner dans votre navigateur web, vous devrez donc que votre navigateur utilise un profil de filtrage DNS moins agressif (Bromite peut le faire avec sa fonction DNS sécurisé, donc je suppose que Graphene’s Vanadium peut aussi) et compléter cela par un blocage plus fort dans le navigateur (Bromite peut, pas sûr pour Vanadium) pour combler les lacunes.
Vous avez mentionné que vous utilisez GrapheneOS. Utilisez-vous au moins ces applications dans le bac à sable Google Play fourni ? Je ne suis pas sûr des règles que vous pouvez leur assigner, car je ne possède pas de Pixel (pas disponible où je vis, l’importation ne couvre pas la garantie). Avez-vous vérifié s’il est possible d’avoir une autre option DNS qui fonctionne uniquement pour le bac à sable ? Cela vous permet d’être aussi agressif que possible dans le bac à sable et d’être un peu plus indulgent pour les apps en dehors.
- Parmi ces trois VPN, je n’en ai utilisé que deux. L’un d’eux (basé à Gibraltar) permet d’entrer des chaînes DoH dans la configuration DNS personnalisée de l’app pour remplir facilement votre profil NextDNS et faire que vos requêtes DNS avec leur filtrage se passent dans le tunnel sécurisé. L’autre (basé en Suède) ne permet que des adresses IP, donc c’est plus compliqué. Vous devrez utiliser l’app officielle WireGuard et entrer l’adresse DoH dans une configuration personnalisée. Je n’ai aucune expérience avec le troisième fournisseur (celui en Suisse), donc je ne sais pas comment procéder avec celui-là.
Je vous remercie vraiment pour votre temps et votre perspicacité. Vous m’avez donné beaucoup de matière à réfléchir, je n’avais pas vraiment prêté attention au bac à sable par défaut, c’est quelque chose que je devrais aussi apprendre. Il semble qu’il n’y ait pas actuellement d’application FOSS qui répond à mes attentes, et je pense que je vais devoir adopter une approche alternative comme vous l’avez démontré. Merci encore pour votre perspicacité, j’ai encore des recherches à faire.
Merci pour votre temps et votre insight. Je me demande si mon vieux Raspberry Pi Model B de 2012 (512 MB de RAM, CPU à 700 MHz, et Ethernet 100 Mbps) est utilisable à cet égard…
Une application FOSS qui me vient à l’esprit - Shelter - mais je ne suis pas sûr de comment l’adapter à vos besoins et votre modèle de menace. Vous devrez vérifier vous-même.