Daily - GuiGui's Show

GuiGui's Show - Thursday 14 November 2024

Thu, 14 Nov 2024 00:00:00 +0100

Dans le Canard enchaîné du 9 octobre 2024

Thu Nov 14 13:06:15 2024 -
http://shaarli.guiguishow.info/?hFGsng

Rien à rapporter.

GuiGui's Show - Friday 8 November 2024

Fri, 08 Nov 2024 00:00:00 +0100

VoteRef ne publie pas les bulletins de vote

Fri Nov 8 22:11:40 2024 -
http://shaarli.guiguishow.info/?em6N7w

[SebSau écrit](https://sebsauvage.net/links/?dki6cA) : « […] Il semblerait qu'aux USA il soit possible d'obtenir, par voie administrative, la liste des votants **avec leur vote**. […] ».

[*Next* écrit](https://next.ink/brief_article/vie-privee-aux-etats-unis-un-site-repertorie-les-informations-personnelles-delecteurs/) (l'emphase est de moi) : « […] un site, VoteRef, qui permet à n’importe qui de chercher très simplement les informations personnelles (**et l’historique de vote**) de n’importe quel électeur aux États-Unis. ».

Je me suis demandé si les États-Unis ont renoncé au vote par bulletin secret. Je m'étonnais que la presse française généraliste n'ait pas repris l'info. En fait, c'est juste une erreur de traduction. 404media écrit (l'emphase est de moi) : « […] VoteRef makes it trivial for anyone to search the name, physical address, age, party affiliation, and **whether someone voted** that year for people living in most states instantly and for free. […] ». Traduction : si quelqu'un a voté ou non. On retrouve l'accès à l'historique des votants dans un [article de 2022](https://www.propublica.org/article/voter-ref-foundation).

Quant à l'**affiliation à un parti** politique, un [site web du gouvernement ricain](https://vote.gov/fr/register#party) écrit : « Quand vous vous inscrivez au vote, certains États et territoires peuvent vous demander votre affiliation de parti politique. Dans des États et territoires avec des primaires fermées (en anglais), vous ne pouvez voter qu’à la primaire de votre parti politique. Pour les élections générales, vous pouvez voter pour n’importe quel candidat, quel que soit votre affiliation de parti. ». L'affiliation à un parti politique est donc une composante des listes électorales.

**En France**, les listes électorales pour les élections en cours ou à venir sont communicables, celles pour des élections passées le sont après 50 ans (archives), et les listes d'émargement sont communicables jusqu'à 10 jours après le scrutin et permettent de s'[adresser aux abstentionnistes](https://www.cnil.fr/fr/elections-est-il-possible-de-sadresser-aux-abstentionnistes-entre-les-deux-tours) puis [deviennent communicables](https://francearchives.gouv.fr/fr/subject/234682731) après 50 ans. [Source](https://www.cada.fr/administration/documents-electoraux).

GuiGui's Show - Thursday 7 November 2024

Thu, 07 Nov 2024 00:00:00 +0100

Michelin : salaires « décents » puis dégraissage

Thu Nov 7 16:38:59 2024 -
http://shaarli.guiguishow.info/?O_3-8w

Il y a deux jours, [Michelin a annoncé le licenciement de 1 254 salariés français d'ici 2026](https://www.mediapart.fr/journal/economie-et-social/051124/michelin-auchan-3-654-emplois-condamnes-en-une-journee).

Pourtant, en avril 2024, en conférence de presse, [Michelin annonçait des « salaires décents »](https://www.mediapart.fr/journal/economie-et-social/250424/le-rideau-de-fumee-des-salaires-decents-de-michelin), trololo. Le bas peuple était prié de se réjouir d'une telle générosité, d'applaudir ses maîtres. :))))

Salaire décent à Clermont-Ferrand : 2 113 € brut/mois soit environ 1 700 € net/mois, en englobant les primes. Quasiment 350 € brut / 279 € net de plus que le SMIC. (À Paris, le salaire décent est de 39 638 € brut/an. On parle aussi de postes en 3x8, avec très peu d'évolution de carrière, hein. (Le *Canard enchaîné* du 13/11/2024 pointe les [chiffres de Michelin](https://www.letelegramme.fr/economie/quest-ce-que-le-salaire-decent-annonce-par-michelin-6567959.php) annonçant que le salaire décent représentera, en moyenne, entre 1,5 et 3 fois le SMIC. En fonction du poste, je suppose. Moyenne sur le groupe, je suppose. Parce que sinon 2 113 € ça ne fait pas 1,5 fois le SMIC brut.)

Seuls 7 000 salariés sur les 132 k, soit 5,3 %, sont concernés (les autres étant déjà au-dessus).

Le montant de la « décence » a été défini par le Fair Wage Network : faire vivre un foyer de 4 personnes en subvenant aux besoins alimentaires, de logement, d'éducation et de santé. Mouaaiis… Vu le système public français, les deux items ne sont pas bien difficiles à satisfaire.

Dès fin 2023, Michelin avait annoncé la fermeture de ses usines de Karlsruhe, de Trèves et d'Ardmore d'ici 2025 pour un total de 2 900 salariés. Désormais, s'ajoutent Vannes et Cholet d'ici 2026 pour 1 254 salariés de moins. On a trouvé comment sera financé le salaire décent. La place est chère.

Source de la plupart de ces infos : le [numéro 26 de juin 2024 de la *Vie Ouvrière - Ensemble*](/?nJn6Pw).

Dans le numéro 113 (juillet - septembre 2024) de Fakir

Thu Nov 7 15:59:37 2024 -
http://shaarli.guiguishow.info/?W4KGMA

* Sur les **bibliothèques territoriales**. La lecture publique dépend des collectivités territoriales (locales, départements, communes, intercommunalités). Depuis la **[loi Robert de 2021](https://www.abf.asso.fr/6/214/984/ABF/mode-d-emploi-de-la-loi-robert-sur-les-bibliotheques-territoriales)**, il est interdit de fermer les bibliothèques *départementales* ou de ne plus les entretenir ou de ne plus les faire fonctionner (je n'y croyais pas, mais c'est l'article 9 :O ). Les bibliothèques doivent accueillir tout le monde, gratuitement, y compris pour la consultation sur place (seulement les bibliothèques municipales et intercommunales, articles 2 et 3 de la loi Robert). *Fakir* expose que la biblio qu'il visite reçoit des SDF, des télétravailleurs, des gamins qui jouent à la console de jeux, des demandeurs d'asile, etc., que la biblio propose un kiosque à journaux, de mater des films, héberge des ateliers et des conférences. Bref, il parait que l'époque de la bibliothécaire à chignon, de la salle où on dit chut, etc. (je cite *Fakir*) est révolu, que les biblios sont désormais plus des tiers-lieux. J'avais lu des choses allant dans ce sens sur la [rivière de shaarli](https://ecirtam.net/shaarlirss/) et je continue à ne pas y croire. La dernière fois que j'ai mis les pieds dans une biblio municipale, c'était silence total exigé, films en noir et blanc d'il y a > 50 ans, public de seuls bobos intellos à lunettes et leurs mômes, etc. De même, je me souviens d'un article plutôt récent du *Canard enchaîné* relatant qu'un maire avait fait retirer des titres de presse de la biblio municipale après qu'ils l'eurent critiqué. J'imagine aussi qu'il y a de grandes disparités territoriales (genre la console de jeux, peu de biblios doivent la proposer) ;

* Excellent dessin :
[![Dessin Fakir gauche battre RN Sisyphe](/data/uploads/2024/11/Dessin_Fakir_gauche_RN_Sisyphe_min.jpg "Dessin Fakir gauche battre RN Sisyphe")](/data/uploads/2024/11/Dessin_Fakir_gauche_RN_Sisyphe.jpg)

Dans le Canard enchaîné du 2 octobre 2024

Thu Nov 7 12:53:19 2024 -
http://shaarli.guiguishow.info/?fKptWg

* Rapport de la mission d'information sénatoriale du 26 septembre 2024 sur la **hausse des tarifs des mutuelles**. D'après les dirigeants de ces entités, l'essentiel est causé par le vieillissement de la population, la réforme du 100 % santé et l'augmentation du ticket modérateur pour les soins dentaires. Pour les sénateurs, ces mesures auraient dû aboutir à une hausse comprise entre 5 et 7 % en 2024 (au lieu de 8,1 % en 2024 et 6,2 % annoncé pour l'année prochaine). (Mouais, 7 % ou 8,1 %, c'est du pareil au même avec la marge d'erreur) Tout en reconnaissant la validité de l'argument « vieillissement de la population », les sénateurs attribuent la hausse aux **frais de gestion**, qui représentent, en moyenne, 20 % du montant total des cotisations ([comme en 2018](/?WnafYw), donc…). Entre 2011 et 2022, ces frais ont augmenté de 33 %, deux fois plus que l'inflation. L'écart entre mutuelle est important : sur les 100 premières (selon quel critère ?), la moitié à des frais inférieurs à 17,5 %, ce qui démontrerait l'existence d'une marge de manœuvre. Mouais, est-ce qu'on compare bien la même chose ? Une mutuelle essentiellement dématérialisée n'a pas les mêmes coûts qu'un réseau d'agences physiques, alors que les deux peuvent intéresser des publics différents. Bref, rien de neuf, comme déjà écrit, la [part des frais de gestion reste inchangée depuis la dernière décennie](/?WnafYw) ;

* La loi 2022-52, responsabilité pénale et sécurité intérieure, qui a [autorisé les drones policiers après les censures constitutionnelles](/?wA1KZA), a aussi modifié les conditions d'utilisation de la **vidéosurveillance dans les cellules de garde à vue** pour une application au plus tard au 1^er octobre 2024. La circulaire du 27 septembre 2024 du directeur général de la police nationale précise les modalités. La vidéosurveillance n'est possible que lorsqu'il existe des raisons sérieuses de penser que la personne pourrait tenter de s'évader ou qu'elle pourrait représenter une menace pour elle-même ou pour autrui (le premier flic venu considérera que c'est toujours le cas, hein). Durée maximale de 24 heures (même sur une garde à vue prolongée ? J'en doute). En respectant l'intimité et la dignité des personnes (mais bien sûûûûr). Un flic expose que tout cela sera inapplicable : la vidéosurveillance n'est autorisée que pour les gardés à vue, pas pour les personnes en dégrisement ni pour les vérifications d'identité ni pour les mandats d'arrêt, alors que tout ce beau monde atterrit dans les mêmes cellules en même temps. Conclusion : il faudra éteindre la vidéosurveillance (ou enfreindre les droits de toutes les personnes pas gardées à vue, ce que ne dit pas le *Canard*). Cette vidéosurveillance permet aussi d'agir après des violences policières ou entre détenus ;

* Je doute de l'info à venir : l'article est gloubi-boulga, l'une des co-autrices rédige souvent nawak dès qu'il s'agit de numérique / technologie, notamment des [câbles Internet sous-marins](/?NITGmA) et je ne parviens pas à recouper l'info, donc prudence maximale. Le Commissariat aux communications électroniques de défense, situé à Bercy mais rattaché à Matignon, dont les agents sont issus des services secrets, négocie avec les opérateurs (télécoms) l'installation, contre rémunération, de matériel espion pour siphonner leurs données de manière légale. (De quoi parle-t-on ? Interceptions administratives ? Interceptions judiciaires ? Données de connexion ? En temps réel ‒ les fameuses boîtes noires ‒ ou non ?) Starlink demanderait trop de thune, donc ce qui transite par lui serait inaudible pour nos grandes oreilles. (Hum, il me semble que la [tarification est régie par un arrêté](https://next.ink/8407/105970-loi-renseignement-grille-dindemnisation-operateurs/).) Starlink aurait installé en Allemagne une méga-antenne capable de capter les flux de données échangés sur les 7 060 satellites de sa constellation. (Hum, je pense qu'il s'agit d'un [Point of Presence](https://en.wikipedia.org/wiki/Point_of_presence) IP, c'est-à-dire d'équipements réseaux actifs ‒ routeur, authentification, agrégation, supervision, etc. ‒ dans un centre de données, [voir ici](https://starlink.sx/). Mais ça ne permettrait pas d'intercepter le trafic IP de l'ensemble de la constellation, uniquement celui des stations terrestres "proches".) L'Élysée voulait une antenne similaire en France pour faciliter le travail de nos espions, mais Starlink n'a installé qu'une antenne-relais à Villenave-d'Ornon en Gironde pour arroser les antennes des abonnés. (Une station terrestre discute avec les satellites, pas avec les antennes des abonnés, mais passons. Je rappelle aussi l'[oppositions des riverains](/?KmOlsg) aux stations terrestres Starlink par [peur des mézantes ondes](https://www.macg.co/services/2022/01/starlink-jette-leponge-et-ninstallera-aucune-station-terrestre-en-normandie-126789).) Les services de renseignement ont obtenu de Starlink un tunnel virtuel permettant d'acheminer en France une partie des données réceptionnées par l'Allemagne. (Je ne comprends pas : ce qui transite par Starlink est inaudible ou non ? Starlink demande trop de fric ou non ?) D'après un ponte du renseignement, les Allemands travaillant avec la NSA, celle-ci sera avertie de toutes les requêtes de nos services et pourrait filtrer les réponses. Je ne comprends pas trop tout l'article : la [loi renseignement 2 prévoit des dispositions pour la surveillance des communications satellitaires](/?m8tdhA), mais, oui, c'est peut-être moins pratique que des interceptions au niveau IP. De même, pourquoi ne pas récupérer le trafic via des demandes d'entraides judiciaires (comme quand un Français utilise un VPN étranger pour commettre des infractions en France) ?

GuiGui's Show - Monday 4 November 2024

Mon, 04 Nov 2024 00:00:00 +0100

Dans le numéro 26 de la Vie Ouvrière - Ensemble (juin 2024)

Mon Nov 4 22:44:56 2024 -
http://shaarli.guiguishow.info/?nJn6Pw

* Pour la Cour de cassation, un **licenciement ne peut pas être annoncé (notifié) par téléphone**, même si une LRAR est envoyée ultérieurement (y compris le jour-même). Pas de licenciement verbal. [Pourvoi 23-10.931](https://www.legifrance.gouv.fr/juri/id/JURITEXT000049385404) ;

* Rapport du 6 mars 2024 du Haut Conseil à l'égalité entre les femmes et les hommes : 5 ans après l'index égalité professionnelle (dit index Pénicaud), **les inégalités salariales entre femmes et hommes n'ont pas été réduites**, les femmes sont toujours payées autour d'un quart en moins, malgré de bonnes notes (88/100 en moyenne) obtenues sur l'index Pénicaud qui devait servir de base à d'éventuelles sanctions (seules 0,4 % des sociétés > 50 salariés ‒ en dessous, l'index ne s'applique pas ‒ qui n'ont pas déclaré leur index ou qui ont eu une note < 75/100 ont été sanctionnées). En 2023, un rapport de l'Institut des politiques publiques avait déjà montré que cet index n'a pas eu d'effet significatif. Sans surprise… Le Haut Conseil préconise une refonte de l'index en s'appuyant sur la [directive européenne que la France doit transposer d'ici juin 2026](/?NfnErw). Je trouve bizarre un écart de rémunération F/H de 25 % : de mémoire, on est à 12 % en France si l'on compare en temps de taff, taff, etc. identiques ;

* [Michelin annonce la mise en place d'un « salaire décent »](/?O_3-8w).

Dans le Canard enchaîné - septembre 2024

Mon Nov 4 21:50:45 2024 -
http://shaarli.guiguishow.info/?pf644A

### 04/09/2024

* L'association France Agrivoltaïsme a recensé des contrats de réservation portant sur près d'un million d'hectares de terres agricoles, c'est-à-dire plus de trois fois ce qui serait nécessaire pour, *prétendument*, remplacer tout le parc nucléaire français par du solaire (300 000 hectares). Se pose la question de la répartition de la plus-value de l'**agrivoltaïsme** car si les revenus vont uniquement chez les gros acteurs… Pour nuancer le *Canard*, il faudra aussi voir la fiabilité de l'évaluation *réelle* et *locale* des besoins en photovoltaïque ainsi que le taux de perte, c'est-à-dire les candidats dont le projet n'ira pas au terme (abandon, parcelle qui ne répond pas aux critères, trop de candidats dans la même zone géographique, etc.). Dans ce contexte, trois fois plus de candidat que nécessaire n'est pas forcément démesuré.

### 11/09/2024

* Le 7 août 2024, le *Canard* a publié que le secrétaire général de l'Union Fédérale Route de la Fédération Générale des Transports et de l'Environnement de la **CFDT**, tout comme son homologue à la fédé, **roulait en Merco** (un Minivan classe V et un coupé sport, 90 k€ et 140 k€). Le *Canard* du 11/09 écrit que c'est le secrétaire de l'Union et son adjoint qui roulaient en Merco… Le 07/08, le *Canard* écrivait que les deux véhicules ont été restitués au concessionnaire auto suite à une grogne interne. Le *Canard* du 11/09 écrit que seul le coupé sport l'a été… Dans les deux cas, s'il y a eu restitution, c'est que ça devait être de la location, pas de l'achat, donc pas les 90 k€ et 130 k€ aux frais des syndiqués intuités par le *Canard*. En avril 2021, constitution d'une SARL nommée Pendragon. Associés : l'Union et la Fédération. Formations, conseil, bref le baratin habituel. Dans son édition du 11/09, le *Canard* écrit que c'est le secrétaire général de l'Union et son adjoint qui ont créé Pendagron, [alors que non](https://www.pappers.fr/document/telecharger?token=QXhZVVBKNXRmMzBaRV9DMDAyMkExMDAxTDYyNjEwN0QyMDIxMDQyN0gxNzIwNDhUUElKVEVTMDAzUERCT1I&visualiser), c'est bien les secrétaires de l'Union et de la Fédé, comme il l'écrivait le 07/08. Le *Canard* du 07/08 relate une cession de parts intervenue en octobre 2023 entre l'Union et la Fédé d'un côté (cédants) et les deux boss (de l'Union et de la Fédé) et deux acolytes de la Fédé d'autre part (cessionnaires). Or, une [première cession a eu lieu dès septembre 2021](https://www.pappers.fr/entreprise/pendragon-898517909/documents/PENDRAGON%20-%20Statuts%20mis%20%C3%A0%20jour%2024-01-2022.pdf) et les deux acolytes ont signé les statuts de Pendragon dès avril 2021. De plus, les deux cessionnaires ne sont pas membres de la Fédé : l'un est membre de l'Union. La SARL a été radiée en novembre 2023. D'après le *Canard*, 3,5 M€ ont circulé par elle en 2021-2022. Tout ça pour organiser une réunion et les 24 Heures Camions (24 H du Mans sauce camions), ce que le *Canard* semble juger faible au regard des ressources, sans doute pour intuiter que les associés ont empoché le bonus de liquidation (sinon, pourquoi évoquer la cession de parts ?). Le 07/08, le *Canard* écrivait que l'essentiel des finances de Pendragon provient des fonds destinés au dialogue social et au paritarisme, alimenté, depuis 2019, par une contribution des sociétés commerciales à hauteur de 0,05 % de leur masse salariale brute. Dans son édition du 11/09, le *Canard* écrit que, d'après le secrétaire général adjoint de l'Union, les **fonds proviennent plutôt de partenaires de la protection sociale et de la formation professionnelle**. Le partenaire en protection sociale de l'Union serait Klesia dont le secrétaire général de l'Union serait administrateur, qui pourrait financer une manifestation à hauteur de 110 000 €. La formation professionnelle serait assurée par l'institut Artis qui serait dirigé par les deux secrétaires généraux de la Fédé. Sur la forme : **le *Canard* écrit n'importe quoi, même quand les infos contradictoires sont dispos en sources ouvertes**, tout en ayant le culot de prétendre l'inverse dans un numéro ultérieur (dans l'édition du 11/09 : « Après une grogne interne, comme l'a écrit le Palmipède, seul le coupé sport a été rendu » : habile, le « comme l'a écrit le Palmipède » peut aussi bien porter sur la grogne interne, auquel cas c'est vrai, que sur la restitution, auquel cas c'est faux). Mouin mouin, pourquoi les Français ne lisent plus la presse ? Sur le fond : rien de neuf, on connaissait déjà les gaspillages de la CGT (voir : [1](/?AOBefA) et [2](/?QigYJg)) ou encore [ceux de l'institut de recherches économiques et sociales](/?7D93pA) (Ires) dont fait partie la CFDT ;

* Le *Canard* évoque le décès de l'avocat Henri Leclerc à travers la plaidoirie qu'il avait prononcée dans le procès en diffamation intenté dans les années 80 par Jean-Marie Le Pen au titre que le *Canard* lui attribuait des actes de torture durant la guerre d'Algérie : si Le Pen a toujours nié avoir torturé, il avait justifié et approuvé plusieurs fois et en public cette pratique, donc, il ne saurait être diffamé. Le tribunal avait suivi, mais pas la Cour d'appel ni la Cassation. Plus tard, le *Canard* avait republié l'enquête dans un de ses *Dossiers* et la justice lui aurait donné raison. Mouais : les mêmes faits ? La même présentation de ceux-ci ? Les [procès en diffamation sont subtils](/?Tr18iQ) et assez éloignés de la notion de vérité (sérieux de l'enquête, bonne foi, etc.) et des lieux communs qu'on s'en fait. D'autant que Rocard et d'autres avait gagné en Cassation entre-temps et que d'autres publications étaient intervenues (dit autrement : Leclerc et le *Canard* ne peuvent s'attribuer tout le mérite).

### 18/09/2024

Rien à rapporter.

Toute la page 3 (sauf un article) est consacrée à Xavier Niel. De beaux **articles creux sans aucune mise en perspective**. L'octroi de la 4^e licence mobile, c'est maaaal et c'est de la connivence politicienne. Il ken avec la fille d'Arnault, donc c'est le diaaaable. Il a œuvré dans le minitel rose, la hoooonte. Il a acquis masse d'immobilier à Paris, c'est cacaaaa. Le *Canard*, qui taclerait des immeubles vacants, se garde bien de nous informer sur ce qu'il en fait genre s'il les loue (à qui ? montant du loyer ? usage ?), c'est moins idiot que s'il les laisse vacants pour spéculer. Il a rejoint le Conseil d'Administration du méchant TikTok qui vole les données à caractère personnel et rend addicts les enfants (et pas les autres géants du net ? pas les sociétés françaises ?). Il a fondé l'école 42, trololo c'est facile quand on n'a pas d'enseignants à payer. Etc. Bref, on est sur du journalisme d'opinion. Mouin mouin, pourquoi les Français ne lisent plus la presse ?

### 25/09/2024

* En 2019, Bernard Arnault a déclaré un peu plus de 280 M€ de revenus dont 96 % étaient des plus-values financières. Dessus, il a payé environ 45 M€ d'[IRPP](https://fr.wikipedia.org/wiki/Imp%C3%B4t_sur_le_revenu_(France)) avec la modalité **Prélèvement Forfaitaire Unique** (PFU) au lieu de 130 M€ avec l'IRPP au barème (sans PFU). Avec le PFU, ses plus-values financières (96 % des revenus déclarés, donc) n'ont été imposées qu'à 16,8 % (hors CSG, RDS & co - 17,2 % de plus), bien loin des 49 % de l'IRPP au barème (oui, le Canard cumule la dernière tranche de l'IRPP, 45 %, et la [contribution exceptionnelle sur les hauts revenus](https://fr.wikipedia.org/wiki/Bar%C3%A8mes_de_l'imp%C3%B4t_sur_le_revenu_en_France#Contribution_exceptionnelle_sur_les_hauts_revenus) de 3 à 4 %, contribution qu'il oublie dans le cas PFU, d'où il annonce un taux de 12,8 % seulement…). La famille Arnault a payé 1,25 % d'impôt (lesquels ? par quel biais ?) sur le milliard d'euros de dividendes perçu en 2019 par la holding familiale. Encore une fois, on passe à côté du vrai problème qui est ce qui est fait de cet argent, dans quoi est-il réinvesti, et si c'est normal que quelques gus décident seuls de l'investissement en France, et on retombe sur le [contre-modèle Friot-Lordon](/?hdyIKw#lcdbfedfl-institutions-conflit). Je suis étonné que le Canard ne puisse pas publier le montant exact d'impôts payé par Bernard au motif que ça serait illégal.

Dans le Canard enchaîné - août 2024

Mon Nov 4 13:17:58 2024 -
http://shaarli.guiguishow.info/?qGrwxQ

### 07/08/2024

* Dans une entrevue, Lucie Castets a déclaré que les Français expatriés devaient payer leurs impôts au fisc français, comme le font les expatriés états-uniens. Son camarade Coquerel l'a renvoyé au rapport qu'il a rédigé en 2019, concluant que ça serait inapplicable : un **impôt basé sur la nationalité et non plus sur la résidence** changerait totalement la philosophie de la fiscalité française. De plus, afin d'éviter la double imposition, il faudrait renégocier pas moins de 120 conventions fiscales bilatérales… à un rythme de 3 accords par an (d'après Coquerel, on ne sait pas faire plus). J'ajoute, car le *Canard* ne fait pas de mise en perspective, y compris avec ses articles antérieurs, qu'il y aurait ensuite trouzemilles contentieux portant sur une interprétation divergente desdites conventions fiscales par leurs signataires ([exemple ici avec Pinault](/?nGIW-A)). Bref, Castets rejoint DSK, Sarko, Hollande et tant d'autres qui ont espéré faire raquer les Français résidant à l'étranger, rien de neuf. J'ajoute que je ne suis pas convaincu par les deux arguments : d'une manière générale, un changement très lourd n'est pas infaisable et le rythme de croisière dépend de la priorité accordée au sujet ;

* L'**association des maires d'Île-de-France (Amif) organise des « voyages d'études »**. Le grand classique de toute profession & regroupement professionnel qui mélange travail et tourisme et qui est financé par l'employeur (ici les mairies) pour occuper leurs élites. Virée québécoise : 2 500 € pour un maire. Les maires sont accompagnés des patrons du BTP et des fournisseurs usuels des collectivités. 60 de ces sociétés commerciales (SFR, Eiffage, Bouygues, Engie, JCDecaux, Veolia, Transdev) adhérent à Amif Partenaires, qui finance le reste des coûts des voyages. Il faut bien s'attacher la fidélité des maires ;

* Dans son livre *S'amuser au Moyen Âge*, l'historien médiéviste estime qu'à cette époque, il y avait 90 jours chômés par an en comptant les dimanches (ce n'était donc pas bien différent d'aujourd'hui : 52 dimanches, 11 jours fériés, 25 jours de congés payés, les RTT, 52 samedis souvent chômés, etc.). Fêtes chrétiennes dont les anniversaires des saints et des saints patrons des corporations professionnelles. Influence de l'Église les rendant obligatoires de fait. Les paysans protestent : qui va s'occuper des bêtes et des champs ? Malgré les appels à la décence, les carnavals comportent déjà des démons à tête de cerf, des hommes déguisés en femmes, des gueux en évêques, des étudiants en professeurs. Ces jours-là, les épouses ont carte blanche pour batifoler avec d'autres hommes. L'arbre de mai est planté au village pour célébrer la verdure renaissante (ce n'est pas un peu tard ?). Dîner de gésine avant un accouchement. Repas de relevaille quand la mère se relève et retourne à l'église. Pour le *Canard*, on est encore loin de la pointeuse et du rendement. Je ne suis pas convaincu : ne pas bosser mais être obligé d'organiser et de participer à trouzemilles événements sociaux, pas sûr que ce soit un modèle gagnant et qu'on puisse parler de jours chômés, je me méfie des comparaisons temporelles partielles ;

* Parce qu'il faut bien aimer nos tyrans, le *Canard* nous ressert le [marronnier](https://fr.wiktionary.org/wiki/marronnier#Nom_commun_2) selon lequel les pauvres députés déchus ont bien du mal à retrouver du travail ([c'était déjà le cas en 2017](/?7Tk4kA)). Certains recruteurs voudraient s'assurer qu'ils ne retourneront pas en politique, d'autres ont peur qu'ils glandent, etc. D'autres montent leur boîte de conseil car « Quand vous perdez 4 500 euros par mois du jour au lendemain, ça fait un trou » (osef de la comparaison en absolu avec le smicard, on a tous un train de vie relatif à nos revenus). On rappellera que les députés ont une aide au retour à l'emploi [différente de la population générale](/?oENbXg) (j'ai pas écrit « plus généreuse », ça dépend du critère d'évaluation, suivre le lien pour les détails).

### 14/08/2024

* Vieille rengaine autour du **découpage électoral** : faut-il, comme aujourd'hui, prendre en compte les habitants d'une circonscription ou le nombre d'inscrits sur les listes électorales ? Derrière se cache la question de l'immigration (qui permet à la Seine-Saint-Denis d'être mieux représentée à l'Assemblée qu'un bled rural : 58 k inscrits pour 131 k habitants dans la 6^e circo de SSD versus 135 k inscrits pour 140 k habitants dans la 3^e de Vendée, donc une voix est moins diluée en SSD, donc elle pèse plus), de la ruralité, et, le *Canard* ne le dit pas vraiment, la question de [tripatouiller comme ça arrange pour remporter une élection](https://peertube.datagueule.tv/videos/watch/6d6cb4e7-6fa8-4df2-a05c-32ef9660a926?start=1m5s) puisque les quartiers populaires votent plutôt à gauche (législatives de 2022 : sur les 20 circonscriptions ayant le plus faible ratio inscrits / habitants, 18 ont élues la Nupes ‒ pourquoi prendre en compte uniquement les 20 premières, qu'est-ce que ça cache ?). L'Allemagne, le Royaume-Uni, le Portugal, l'Australie, etc. se basent sur le nombre d'inscrits. La loi 2009-39 qui a autorisé le dernier redécoupage de 2010 contenait un article en ce sens, retoqué par le Conseil constitutionnel dans sa [décision 2008-573 DC](https://www.conseil-constitutionnel.fr/decision/2009/2008573DC.htm) (points 20 à 22 et 27). Je lis surtout que le Conseil tire de la Constitution une répartition essentiellement démographique et que la loi tentait d'ajouter, comme dérogation d'intérêt général, l'évolution respective de la population et des inscrits, ce qui permet du tripatouillage par circonscription individualisée. Je pense donc que le Conseil critique plus la méthode que le concept ;

* **Les pêcheurs qui remontent un engin explosif peuvent percevoir 300 €** / jour / bateau (donc 3 obus le même jour = 300 €). À condition de prévenir illico les autorités et donc de stopper le travail en attendant l'arrivée des démineurs sur le bateau. D'où certains pêcheurs ne se signalent qu'en fin de journée voire stockent les obus afin de les écouler jour après jour. :D En 2021, deux marins avaient perçus 24 000 € pour 80 bombes, soit un engin déclaré chaque jour de la saison de pêche… toujours en fin de soirée. Pas louche du tout. Six mois de prison avec sursis et 400 € d'amende pour chacun. L'ensemble des chalutiers bretons peut ramener environ 1 000 engins par année puisque les côtes françaises sont un dépotoir : bombes non explosées de la deuxième guerre, surplus de munitions des deux guerres immergé pour s'en débarrasser gratos. La marine nationale dispose de 90 démineurs pour les 3 façades littorales.

### 21/08/2024

Rien à rapporter.

### 28/08/2024

* La France consomme 120 000 tonnes de merguez par an. Dès 2015, la DGCCRF écrivait qu'elle s'emploie à maintenir une pression de contrôle constante sur ce secteur en raison du taux d'anomalies récurrent important. 2016 : sur 249 prélèvements, 2/3 étaient en dehors des clous (mélange de viandes qui ne correspond pas à l'étiquette, additifs interdits). 2017 : sur 157 prélèvements, 41 % étaient en dehors des clous. Pas de chiffres plus récents, y compris du côté du ministère de l'Agriculture (qui a [pris la compétence des contrôles en matière alimentaire en 2023](/?Uh0Q7A)). Une merguez standard peut contenir du cochon, du mouton, du cheval, du veau, de la chèvre, du mulet, ou de l'âne, des colorants, des conservateurs, des arômes artificiels, masse de sel, du sirop de glucose, du gras de bœuf récupéré sur les carcasses (< 40 % d'une saucisse), des os et des cartilages à gogo, du collagène au-delà de la limite autorisée (25 %), etc. Conclusion : le lieu commun qui consiste à dire que les **merguez c'est du gloubi-boulga épicé** est vrai.

GuiGui's Show - Friday 1 November 2024

Fri, 01 Nov 2024 00:00:00 +0100

Installer GrapheneOS sur un ordiphone

Fri Nov 1 10:03:49 2024 -
http://shaarli.guiguishow.info/?qoTXIg

* Problème
* Sauvegarde
* Choix d’un remplaçant

* Achat et livraison
* Reconditionné

* UPS = escrocs

* Déballage
* Première mise en service
* Raboter la SIM

* Premier démarrage, bonne surprise et mauvaises surprises
* Trololo winwin, vraiment ?
* Entendre la sonnerie et le son d’un appel dans des prothèses auditives
* Aides auditives, Bluetooth et vie privée

* Récupérer l’apk d’une application installée
* Installer GrapheneOS
* Premier démarrage de GrapheneOS
* Configurer GrapheneOS

* Installer des logiciels additionnels sur GrapheneOS

* Divers
* Notification appel manqué / SMS non-lu

* MMS : par où ça passe ?

* Sauvegarde réellement opérationnelle ?

* Pare-feu

* Permissions

* Faut-il avoir le contrôle total (root) ?

* Appels téléphoniques via Wi-Fi
* Quelques nuances sur GrapheneOS

* Conclusion

Problème

Mon Samsung Galaxy S3 acheté d’occasion en janvier 2023 a le [même problème technique](/?8KKMZg) que son prédécesseur.

Nouveauté : après un énième redémarrage automatique, il ne démarre plus, il reste bloqué sur le bootloader, avant de donner la main au système.

Accès impossible au recovery (là encore, ça reste bloqué sur le bootloader). Pas moyen d’en [reflasher un](/?CbxM2Q) :

Session begun.

Downloading device’s PIT file...
ERROR: Failed to receive PIT file size!
ERROR: Failed to download PIT file!
Ending session...
ERROR: Failed to send end session packet!
Releasing device interface...

Sauvegarde

Vu que [je l’utilise très très peu](/?3ZsJWA), je prête aucune attention à mon smartphone. À part mes contacts et la liste de mes applications, je ne sauvegarde volontairement rien (il n’y a rien d’utile). Néanmoins, ma dernière sauvegarde de mes contacts date de 2017, donc j’en ai perdu. Oups, j’ai été négligeant. Certains se retrouvent dans les emails (bien joué à ceux qui rappellent leurs coordonnées dans leur signature), mais ce n’est pas la majorité. Bref, ça peut t’arriver, pense à faire une sauvegarde de ton ordiphone (régulière, aussi exhaustive que désiré, vérifiée, etc.).

Choix d’un remplaçant

Aucune raison valable de partir une [3^e fois](/?8KKMZg) sur un Samsung Galaxy S3.

Mes besoins n’ont pas changé : SMS, [GPS avec des cartes libres](https://www.openstreetmap.org/), téléphone, et accès de secours à Internet. Vu [mon très faible usage](/?3ZsJWA), je veux un prix modeste. Même en échange d’un petit prix, et malgré mon faible usage d’un smartphone, je peine à envisager de renoncer à un [système libre](https://fr.wikipedia.org/wiki/Logiciel_libre) et/ou communautaire qui me donne le contrôle (autant que raisonnablement possible) et qui est raisonnablement respectueux de ma vie privée (c’est-à-dire sans Google à tous les étages ni les surcouches des principaux équipementiers).

En cas de système libre et/ou communautaire, je ne veux plus d’un système boiteux. D’abord, je veux un véritable approvisionnement : un cycle de développement (pas de la nightly en permanence), un téléchargement et une installation propres et sécurisées (c’est-à-dire pas des bouts non signés à récupérer à droite et à gauche sur des forums différents), etc. Ensuite, je ne veux plus des dysfonctionnements de mon système [LineageOS](https://lineageos.org/) : l’[écran qui s’allume en permanence](/?8KKMZg) comme si j’avais touché l’ordiphone, le chiffrement du système qui ne marche pas, le Wi-Fi qui se rallume automatiquement (ce qui impose la mise en place de [contournements](/?GB8Z6g)), l’explorateur de fichiers qui affiche sans cesse une erreur « Hôte MTP a cessé de fonctionner », le transfert de fichiers sur USB en mode MTP qui ne fonctionne pas, le partage de connexion qui cafouille, l’[impossibilité de me connecter aux points d’accès FreeWifi_secure](/?z_gVgQ), etc. Enfin, mon Galaxy S3 n’était plus pris en charge par LineageOS, donc j’étais bloqué en Android 7, donc j’aimerais avoir un système à jour afin d’éviter un maximum de failles de sécurité, même si c’est assez peu pertinent vu j’ai très peu d’applis et que je navigue sur le web uniquement en dernier recours.

[Comme l’année dernière](/?8KKMZg), j’ai eu la giga flemme de me farcir un comparatif des systèmes pour mobile existants et des smartphones avec lesquels ils sont compatibles. Donc j’ai sondé autour de moi. Les libristes et les défenseurs de la vie privée de mon entourage sont soit [/e/](https://e.foundation/fr/e-os/) (/e/OS) sur [Fairphone](https://www.fairphone.com/fr), soit [GrapheneOS](https://grapheneos.org/) sur Google Pixel (de fait, c’est les seuls modèles compatibles).

Concernant Fairphone, je constate que le site web officiel est lourd (11 Mo, 138 requêtes) et qu’il fait télécharger un paquet de ressources web depuis des tiers. Pareil pour celui de LineageOS même si c’est pas mal moins. Ceux d’/e/ et de GrapheneOS sont totalement propres. Celui de GrapheneOS est même bien conçu (55 ko, 9 requêtes), ce qui inspire confiance sur le fait que le système est maîtrisé et qu’il ne sera pas surchargé de merdes. Vu que ça a été un sujet pour moi ces dernières années (voir, par ex. : [1](/?HLalig), [2](/?Wfb_Ig)), ça fait des points en plus pour GrapheneOS et /e/.

Concernant /e/, le nom lui-même annonce des recherches web difficiles en cas de problème. Tout comme GrapheneOS, il est possible de l’installer via un navigateur web, ce qui en fait les deux systèmes les plus accessibles et aboutis (à mes yeux). /e/ est préinstallé sur les ordiphones de la [société française Murena](https://murena.com/fr/) (mais leur prix de vente est au-dessus de ce que je suis prêt à débourser pour un smartphone) alors que GrapheneOS ne l’est pas.

Concernant GrapheneOS, comme /e/, le projet recourt à la licence MIT (libre) pour ses développements (je rappelle qu’il est très difficile de faire un système pour ordiphone totalement libre, système, pilotes, firmwares, applis, [héritage des licences](https://grapheneos.org/faq#copyright-and-licensing), etc.). J’observe surtout que [GrapheneOS a pensé à beaucoup de choses en termes de vie privée et de sécurité](https://grapheneos.org/faq) : accorder ou non, via l'API standard des permissions d'Android, l’accès au réseau et aux capteurs à chaque appli (pratique contre une application indiscrète comme OSMAnd~ qui envoie un identifiant unique, désactivable dans ses préférences) ; possibilité de restreindre, via l’API des permissions, pour chaque appli, l’accès aux contacts et au stockage à un sous-ensemble (nom : [contact](https://grapheneos.org/features#contact-scopes) / [storage scope](https://grapheneos.org/usage#storage-access)), pratique contre des [applis indiscrètes comme Signal](/?TNWQwA) ; [transparence totale et explications des connexions sortantes sur le réseau](https://grapheneos.org/faq#default-connections) et leur minimisation (moins de données envoyées, pour SUPL, par ex. et serveurs proxy et cache maison pour les tests de connectivité, l’assistance au GPS ‒ A-GPS, SUPL, PSDS ‒, etc.) ; [résolveur DNS de repli](https://grapheneos.org/faq#default-dns) : Cloudflare au lieu de Google ; MAC aléatoire à chaque connexion Wi-Fi par défaut (au lieu d'une MAC par point d'accès avec un Android de base) ; redémarrage automatique en cas d’inactivité prolongée (18 h par défaut, ça se paramètre ou désactive) afin de compliquer l’accès au stockage (chiffré) ; code permettant d’effacer le stockage en faisant mine de saisir son code de déverrouillage ; possibilité d’installer les services Google Play et Google Play lui-même dans un profil dédié et/ou de ne pas les exécuter avec les privilèges globaux ; [possibilité d’utiliser des applis qui exigent l’API Play Integrity](https://grapheneos.org/articles/attestation-compatibility-guide) pour vérifier l’intégrité d’un système mobile (et donc l’[absence de root](#igsuo-root)), comme les applis bancaires ; durcissement de la sécurité (adressage mémoire, chargement de code hors APK, chargement des applis, etc.) ; [isolation raisonnable du réseau mobile](https://grapheneos.org/faq#baseband-isolation) ; etc. Je ne dis pas que c’est parfait, je dis que ça a été réfléchi, y compris le [modèle de menace, les bonnes solutions aux problèmes et sans fausse promesse](https://grapheneos.org/faq#cellular-tracking), donc ça inspire confiance. GrapheneOS a un cycle de développement (alpha, beta, release) et un [vrai changelog](https://grapheneos.org/releases#changelog) dispo en RSS (celui d’/e/ est plus difficile à trouver, dans [leur gitlab](https://gitlab.e.foundation/e/os/releases/-/releases)).

Clairement, **/e/ et GrapheneOS se démarquent** (sérieux, installateur web, site web pas merdique, etc.). **GrapheneOS se démarque encore plus** par ses fonctionnalités spécifiques (lire le paragraphe précédent) et sa documentation immédiatement mise en avant qui prodigue le niveau d’information technique que je recherche et qui révèle un état d’esprit / une réflexion / préoccupation sur les sujets qui m’intéressent (vie privée, sécurité). Je vais donc m’orienter vers GrapheneOS.

Vu que [j’utilise très peu et le moins possible mon smartphone](/?3ZsJWA) et que j’ai besoin de peu de fonctionnalités, j’ai également pensé à acheter le modèle d’ordiphone le moins cher disponible dans les grandes surfaces (Carrefour, Auchan, Darty, FNAC, etc.) ou chez les reconditionneurs (via BackMarket, Recommerce, etc.). J’ai identifié des modèles à 60-70 € TTC, pas moins, même chez les reconditionneurs. Évidemment, de tels smartphones ne sont pas pris en charge par /e/ ou GrapheneOS, et ils sont équipés d’une vieille version d’Android. Du coup, j’ai longuement hésité.

Vu mon très faible usage, le prix est un critère important. J’ai donc envisagé le reconditionné. Un Fairphone 3 reconditionné, c’est minimum 350 €, donc c’est non, d’autant que je ne crois ni à leur vertu ([lire ici](https://grisebouille.net/encore-un-nouveau-fairphone/) + je ne crois pas à l’existence d’une extraction vertueuse des minerais), ni à leur [réparation facile](https://www.bortzmeyer.org/capitole-du-libre-2023.html). Un Google Pixel 6a (la 6^e est la gamme la plus ancienne encore maintenue par Google), c’est 205 € minimum, ça picote déjà bien assez (relativement à mon non-usage).

Au croisement de tous ces critères (flemme, système libre dégooglisé qui octroie un contrôle raisonnable, sérieux, mises à jour, prix), surtout de la grosse flemme de comparer ce qui existe, et aussi l’envie de découvrir quelque chose (ce qui exclut un Android constructeur ou LineageOS que je connais déjà), le Google Pixel 6a semble bien. J’avoue que la [batterie inamovible m’a fait hésiter](/?suYfcw)… Mais bon, quel autre modèle et avec quel système ? Aucune nouvelle version d’Android à partir de mi-2025 et plus de mise à jour de sécurité après mi-2027 ([source](https://support.google.com/nexus/answer/4457705?hl=fr)). Le Pixel 7a aura des mises à jour de sécu jusqu’à mi-2028. Jusqu’à mi-2031 pour les 8a et la 9^e génération. Mais tout ça est hors de prix : 310 € le 7a reconditionné pour gagner un an de mise à jour, c’est non ; > 415 € le 8a reconditionné… Surtout, j’ignore la qualité et la durabilité des smartphones Google, donc le 6a jusqu’en 2027 laisse le temps de voir venir sans trop débourser.

J’ai donc choisi un **Google Pixel 6a reconditionné** pour y installer **GrapheneOS**. Ouais, j’ai choisi une voiture de course pour rouler en ville, et je n’en suis pas fier.

Achat et livraison

Reconditionné

J’ai choisi de recourir à un reconditionneur afin d’éviter les embrouilles d’un achat entre particuliers : absence de garantie ; sur Le Bon Coin, plein de revendeurs de Google Pixel ne veulent pas que le paiement s’effectue par l’intermédiaire du Bon Coin, ce qui est, pour moi [comme pour d’autres](https://lehollandaisvolant.net/?d=2024/08/17/11/55/54-sur-la-confiance-lors-des-achats-en-ligne), une alerte rouge ; il faut décrypter les sous-entendus des annonces pour comprendre l’état réel du smartphone ; etc.

J’ai comparé les principaux reconditionneurs et places de marché de reconditionneurs établis en France : BackMarket, Largo, YesYes, SMAAART, et Recommerce.

Il n’y a pas photo : BackMarket m’a permis de trouver le reconditionneur français le moins cher (à l’instant T), et pas qu'un peu, pour un Pixel 6a désimlocké. J’ai donc choisi BackMarket

J’ai choisi un Pixel 6a en « parfait état » à 219 € (dont 4 € de commission BackMarket) car l’écart de prix avec un état « correct » d’un autre colori (205 €) d’une part, et avec un « très bon état » (211 €) de même colori, d’autre part, était insignifiant. L’état « premium » m’a fait hésiter : je n’ai pas besoin d’une batterie pour un usage intensif (BackMarket annonce deux heures supplémentaires), mais les pièces originaires de Google m’ont attiré comme certitude d’avoir aucune embrouille avec GrapheneOS, puis je me suis dit que, si le système de Google fonctionnait sur des pièces non-Google, ce que je pourrais constater dès la réception du produit, GrapheneOS devrait fonctionner, il n’y a pas de raison. L’important écart de prix entre « parfait état », 215 €, donc, et « premium », entre 250 € et 317 € en fonction de la couleur de la coque, ne se justifie pas à mes yeux.

J’ai choisi un revendeur français (BackMarket n’est qu’une place de marché) afin d’éviter les complications transfrontalières si jamais je devais faire intervenir la DGCCRF. De plus, il n’était pas plus cher que des revendeurs allemand ou britanniques.

Ma vie privée s’est envolée durant ma commande : impossible de terminer une commande sans désactiver uBlock origin, NoScript, Smart Referer, etc. Back Market est conçu avec le cul : 10 Mo, 142 requêtes, trouzemilles ressources web téléchargées depuis trouzemilles tiers, etc., ce n’est pas sérieux (et ça, c’est en refusant tous les cookies).

D’après un ami, après commande, BackMarket va envoyer des spams relous. Dans l’email confirmant l’achat, je lis « Nous vous recontacterons d’ici quelques jours pour un rapide sondage à propos de votre achat. ». Donc, oui, ça craint. Et, en effet, la semaine suivant mon achat, j’ai reçu deux emails dont l’un avec un sujet étrange (« On veut des nouvelles de votre Google Pixel 6a 128GB - Negro - Libre. » ‒ negro et libre au lieu de noir et débloqué ‒), Dans mon espace client, j’ai trouvé aucune option pour m’opposer à ça. Heureusement, j’ai utilisé une [adresse emails contenant une étiquette](https://en.wikipedia.org/wiki/Email_address#Sub-addressing) que j’invaliderai après réception de ma commande. Et je vais clôturer rapido mon compte (mais il faut envoyer un email au motif qu’une commande serait en cours ou que mon porte-monnaie serait en crédit ou…). Évidemment, les emails contiennent des [liens et des images de traçage](/?xbQHUw) sans recueil du consentement et le bandeau cookies n’est pas conforme au RGPD ([taille, type et couleur différenciés pour le bouton de refus](https://www.autoriteprotectiondonnees.be/publications/beslissing-ten-gronde-nr.-131-2024.pdf)).

Le ton fun, guignol et infantilisant m’a bien bien gonflé et navré : « Vous êtes fatigués ? On-n’est-pas-fatigués ! », dans le formulaire de connexion : « Qui va là ? » - « C’est moi », « Hourra ! Votre achat est confirmé. », « Cet email a été écrit et envoyé avec ♥ depuis un ordinateur reconditionné. », « Bonne nouvelle ! Votre commande est prête à être expédiée », « C’est vrai, quelque chose de spécial est en route. Il semble que votre commande devrait arriver le XX », « Tout le monde à son poste, c’est pour aujourd’hui », etc. Je pensais que le summum figurait sur le bon de commande : « Quelle belle journée, votre commande XXXX expédiée par YYYY vient d’arriver ! En plus, c’est un choix judicieux, autant pour vous que pour la planète. Mais ça ne nous étonne pas de vous. ». Il n’y a rien qui va, genre j’ai sauvé la planète en achetant une merde technologique reconditionnée, mais bien sûûûûr… Mais en fait, l’email pour recueillir un avis après réception de la commande est tout aussi navrant : « Dans l’espoir que les nouvelles soient aussi bonnes que possible, je vous prie de croire en mes sentiments les plus etc, etc. Forza ! ». Ce monde dans lequel tout doit être « good vibes » me donne envie de gerber. Aucun problème ne se résout ainsi. J’ai vraiment l’impression de vivre dans une société de profonds attardés dans laquelle on n’arrive plus à penser, précisément car c’est inconfortable. Ça me terrifie.

**ÉDIT DU 01/11/2024 À 15 H 15** : après mon achat, une première connaissance m’a informé que la **qualité n’est souvent pas au rendez-vous en passant par BackMarket** genre batterie gonflée. Ce témoignage n’était pas qualifié ni de première main et cette connaissance ignorait que BackMarket n’est qu’une place de marché, donc j’avais choisi de ne pas intégrer son retour dans cet article. Après sa publication, une deuxième connaissance m’a remonté un problème de qualité avec BackMarket. Elle gère la téléphonie fixe et mobile de son employeur, donc elle raisonne en volume. Son employeur est souvent obligé de renvoyer les smartphones reçus *indirectement* via BackMarket (écran décollé, micro HS, pièces internes désolidarisées, etc.). J’ai donc eu de la chance… **FIN DE L’ÉDIT DU 01/11/2024 À 15 H 15**.

UPS = escrocs

Le livreur choisi par le reconditionneur est UPS.

Comme tous les autres transporteurs, UPS n’a pas accompli sa prestation.

Je passe sur le suivi web qui annonce un jour, puis reporte d’un jour, puis annonce 9 h 30 - 13 h 30, puis, alors que la tournée a commencé à 9 h 45 et qu’il y a au moins une heure de route depuis le dépôt, annonce 9 h - 11 h. Au final, livraison à 11 h 40.

Comme d’habitude quand j’attends un colis, je passe mon temps à presser F5. Soudainement, je lis « Votre colis n’a pas pu être livré. Il est en chemin vers un UPS Access Point™ sécurisé […] ». Le livreur n’a pas sonné, et il n’est pas passé dans la rue, j’en suis raisonnablement très sûr puisque j’avais ma fenêtre ouverte et que je regardais en permanence (sauf quand je faisais F5 sur le suivi UPS).

UPS pourrait se défendre que, lors de la commande sur BackMarket, j’ai saisi un numéro de téléphone invalide. Mais, d’une part, je n’ai pas de téléphone, c’est l’objet du colis, et, d’autre part, c’est une donnée à caractère personnel qui n’est pas strictement nécessaire à la livraison (si le livreur avait fait son taff et était venu, il m’aurait trouvé sans difficulté) donc je suis toujours réticent à la communiquer.

En bas du suivi web, UPS m’indiquait un magasin situé précisément à 157 mètres de chez moi (par la route). (Mais le livreur n’a pas pu se déplacer jusque-là !) Vu que le colis était « en chemin », j’ai foncé là-bas, et je suis tombé sur le livreur.

Déjà, camion pas aux couleurs ni logo d’UPS. Idem pour la tenue du livreur. Je ne suis pas tatillon sur la tenue, mais quand on œuvre dans la relation client, il faut être identifiable.

Je récupère mon colis auprès du point relai. Il ne me fait pas signer alors que le suivi consignait « signature obligatoire ».

Je dialogue avec le livreur UPS, désigné par le tenancier du relai, avec mon colis en main : « ‒ Bonjour, vous êtes le livreur UPS ? ; ‒ Oui ; ‒ Vous auriez pu venir à mon domicile, quand même ; ‒ Oui, je sais, désolé ». Évidemment, il m’a dit ça avec un grand sourire provoquant me signifiant qu’il se fiche de moi.

Je souhaite signaler le problème à UPS. Je rappelle aux naïfs que j’ai payé indirectement ce service (livraison gratuite ne veut pas dire que ce n’est pas répercuté sur le prix du produit).

Évidemment, pour accéder au [formulaire de réclamation](https://www.ups.com/claims/create?loc=fr_FR), il faut créer un compte. Tout comme BackMarket, le site web d’UPS est codé avec le cul, ça dégueule de ressources web téléchargées à droite et à gauche, etc. Mention spéciale au formulaire qui ne valide l’identifiant, saisi sur l’écran précédent, qu’après la validation des CGV sur l’écran suivant, un régal. Évidemment, le formulaire de réclamation, limité aux cas de colis perdu ou endommagé, ne permet pas de saisir du texte libre pour décrire son problème.

Je finis par trouver le [formulaire de contact](https://www.ups.com/upsemail/input?loc=fr_FR) (nommé « Envoyer un e-mail à UPS »). Bien entendu, il m’oblige à saisir un numéro de téléphone (pour un formulaire nommé « Envoyer un e-mail à UPS », hein). Évidemment, les rubriques les plus appropriées, comme « Réception d’un colis », obligent à choisir des sous-rubriques qui ne correspondent pas au problème. Reste la rubrique « Généralités » dont tu sens bien qu’elle sera lue par [Dave Null](https://fr.wikipedia.org/w/index.php?title=Dave_Null) (on dit « IA » de nos jours). UPS propose un champ texte de 500 caractères. Grand seigneur ! C’est vrai que ça coûte cher, les caractères, il faut plus de lutins du Ternet pour les transporter.

J’ai donc envoyé à UPS le message suivant :
> Livreur pas venu à mon domicile. Colis livré à mon insu dans un Access Point à 150 mètres de chez moi. J’ai échangé avec le livreur : "- Bonjour, vous êtes le livreur UPS ? ; - Oui ; - Vous auriez pu venir à mon domicile, quand même ; - Oui, je sais, désolé ;" avec un grand sourire provoquant me signifiant qu’il se fiche de moi. Pas professionnel.
> Livreur et camion pas aux couleurs d’UPS. Pas pro.
> Signature pas demandée.
>
> Je suis très insatisfait. UPS = escroc. Choisissez mieux vos prestataires.

UPS s’engage à répondre sous un jour ouvrable. Le lendemain matin, j’ai reçu :
> Bonjour Monsieur ,
>
> Je vous remercie pour votre e-mail, je m’excuse au nom d’UPS pour le retard causé et la gêne occasionnée.
> Pour le comportement de chauffeur, je vais passer ces informations à mon supérieur.
>
> Notre système m’indique que vous avez retiré votre colis au point relais indiqué le à .
>
> Bien cordialement,
>
>
> UPS Service Clientèle

Bref, une réponse inutile, à moitié à côté de la plaque et à moitié type, et qui ne fera rien avancer.

Déballage

Le reconditionneur ne m’a pas entourloupé : l’**état du smartphone est excellent** à part quelques micro-éclats sur deux des tranches et quelques rayures sur la coque arrière, ce qui correspond bien au « parfait état » annoncé. Je suis favorablement impressionné.

Première mise en service

Avant d’installer GrapheneOS, je veux tester que l’ordiphone est fonctionnel. Sinon, il sera impossible de désigner la source d’un dysfonctionnement (GrapheneOS ? Matériel ?).

Raboter la SIM

L’emplacement pour la carte SIM s’ouvre avec un outil dédié… ou un trombone.

Ensuite, il faut loger la SIM dans le tiroir retiré de l’emplacement. Il faut une carte SIM au format nano (uniquement la puce) et j’en ai une au format micro (la puce et du plastique inutile autour)… Que c’est relou…

J’avais lu sur le web qu’il est possible de redimensionner soi-même sa SIM, sans en commander une nouvelle auprès de son opérateur téléphonique. D’ailleurs, les opérateurs mobiles envoient une SIM pré-découpée selon plusieurs formats.

J’ai découpé, avec un couteau mais ça se ferait tout aussi bien avec un cutter, le plastique superflu autour de la puce afin de ne laisser qu’elle. Mais ça ne suffisait pas, la SIM n’entrait pas dans le tiroir donc impossible de l’insérer dans le smartphone.

En fait, il ne faut pas avoir peur de rogner sur la prétendue puce (le truc doré). J’y suis allé en grattant, au couteau, trois des côtés de la SIM. Petit à petit, en testant souvent. Ne pas oublier de couper en diagonal l’angle qui doit l’être. Évidemment, je n’avais pas mémorisé quel angle de la SIM était coupé en diagonal. Pour le savoir, on peut regarder le sens d’insertion de la puce (et sa "décoration") dans n’importe quel tuto, [comme celui-ci](https://www.mode-d-emploi.bouyguestelecom.fr/aide/device/google/pixel-6a/topic/premiers-pas/inserer-la-carte-sim/5).

Premier démarrage, bonne surprise et mauvaises surprises

Évidemment, mon Samsung Galaxy S3 avait un port microUSB, alors que le Google Pixel 6a a un port USB type C… Reloouu… Merci au reconditionneur d’avoir fourni le câble et le chargeur (BackMarket affichait que seul le câble serait fourni).

Le smartphone démarre. Il me demande le code PIN de ma SIM et l’accepte. Il s’enregistre sur le réseau de mon opérateur mobile. Je peux passer un appel téléphonique à la messagerie vocale de mon opérateur. Je peux envoyer à un SMS à mon opérateur pour obtenir le suivi de ma consommation. Donc carte SIM, téléphone et SMS OK (malgré un redimensionnement peu précis et soigneux de la SIM).

Tester le GPS avec Maps : OK.

Ho, un SMS de Free mobile m’informant que mon hors forfait sur le service Internet dépasse 10 €. Hé oui, Google a téléchargé 260 Mo de mises à jour sur mon forfait 50 Mo (2 €). Pourtant, je n’ai jamais répondu favorablement à sa notification, mais bon, une multinationale, et plus généralement une personne morale, et le consentement, ça fait trouzemille. J’ai coupé les données mobiles pour stopper l’hémorragie… Au moins, cela a testé spontanément l’Internet mobile.

Wi-Fi OK.

Bref, ce smartphone est fonctionnel pour les usages que j’attends de lui.

Forcément, c’est l’**explosion de notifications originaires de Google** : terminer l’installation de mon Pixel (copier les données depuis un autre smartphone, créer un compte gogole, choisir le navigateur web et le moteur de recherche, saisir un code de verrouillage de l’écran ou utiliser mes empreintes digitales pour ce faire ‒ le capteur est situé dans l’écran ‒), installer des logiciels additionnels sauce Google (bien que j’ai décoché chaque logiciel proposé, je constaterai plus tard qu’il m’en a quand même installé… Google et le consentement, toujours…), mise à jour, régler l’« Ad Privacy » (on dirait la version mobile de la Privacy Sandbox, genre sujet ‒ topic ‒ des pubs, etc.), « learn more on parental control », « Pixel tips », etc. Relou bien comme il faut.

Truc rigolo : dans Settings, Security & privacy, More security & privacy, Encryption & Credentials, « Encrypt phone » dit « Encrypted » et rien ne permet de le désactiver. Le chiffrement du stockage (y compris le système) est [obligatoire depuis Android 10](https://source.android.com/docs/security/features/encryption/file-based?hl=en), ce qui est une très bonne chose. Pourtant, je n’ai pas encore verrouillé mon smartphone avec un code ou avec mon empreinte, ce qui signifie qu’il existe une clé de chiffrement par défaut. En tout cas, c’était le cas [avant](https://security.stackexchange.com/questions/266720/android-file-encryption-without-screen-lock).

L’absence des boutons (retour au bureau, liste des applis ouvertes, et retour arrière) me paume. En l’absence de boutons physiques sur un Pixel 6a, on peut faire [revenir ces boutons sous forme virtuelle](https://support.google.com/android/answer/9079644?hl=en).

Trololo winwin, vraiment ?

Quand j’étions jeune, on rigolait bien sur le compte de Microsoft winwin (à partir de winwin 7), notamment dans les milieux libristes : comment un système peut-il occuper 20 Go ?!

De base, l’Android sauce Google installé sur mon ordiphone occupe… 20 Go. Lala. (Je rappelle qu’Android est généralisé, première place sur le marché des sytèmes mobiles en termes de part de marché.)

De même, on rigolait des mises à jour de winwin : plutôt que de les soumettre à validation d’un bloc et de les ordonnancer lui-même, winwin proposait des mises à jour, puis il imposait le redémarrage, puis il proposait de nouvelles mises à jour, redémarrage, etc.

Android m’a proposé une mise à jour de 659 Mo, puis un redémarrage, puis une màj de 32 Mo puis un redémarrage.

C’est beau, le progrès.

Entendre la sonnerie et le son d’un appel dans des prothèses auditives

Avant d’installer GrapheneOS, j’ai voulu tester une fonctionnalité d’Android.

Quand j’étions un gosse, on pouvait transmettre le son de la TV dans des prothèses auditives, mais il fallait un boîtier intermédiaire. Idem après la généralisation des ordiphones.

Lors du dernier renouvellement de mes prothèses auditives, vu leur coût, j’avais demandé à mon audioprothésiste si les équipementiers ont progressé sur le sujet, c’est-à-dire si l’on fait mieux de nos jours qu’un boîtier intermédiaire. Réponse positive : un smartphone peut directement transmettre du son (sonnerie, appel téléphonique, musique) auxdites prothèses. Bon, évidemment, il faut un système mobile récent, tout ça.

Mes recherches sur le web m’avaient amené vers le **Bluetooth et ASHA (Audio Streaming for Hearing Aids)** disponible depuis Android 10. Mon LineageOS étant un Android 7 bricolé, c’était même pas en rêve.

Mon Pixel 6a étant doté d’un Android 14, ça se tente.

L’équipementier propose un [site web pour tester la compatibilité de son téléphone](https://www.rexton.com/fr-fr/support/compatibility/). Je scanne le QR code (brrrr je déteste ça, [absence de sécurité](https://lehollandaisvolant.net/?id=20241014180744), tout ça). Il me dit que mon téléphone est compatible avec son application et aussi avec le « streaming audio direct vers les aides auditives Rextin Bicore » (note bien, ça aura son importance : « Bicore »). Pourtant, on notera que le texte en dessous mentionne le Pixel 6, mais pas les 6a et 6 pro alors qu’il référence les 7 / 7a / 7 pro. Bref, documentation contradictoire, comme bien souvent.

Je lis la [documentation de Google](https://support.google.com/pixelphone/answer/9393002?hl=fr). J’observe qu’il existe plusieurs normes et que les anciennes générations de Pixel ne prennent pas en charge la plus récente. Je vais donc dans Settings, Accessibility, Hearing devices, j’active « Hearing aid compatibility, et après quelques efforts, j’arrive à appairer mes prothèses en Bluetooth, y compris en validant « Also allow access to contacts and call history ? Info will be used for call announcements and more ». Je constate l’effectivité de l’appairage dans le « menu » Bluetooth standard d’Android. Mais elles n’apparaissent pas dans le menu Hearing Devices, sous-rubrique « Available hearing devices ». Et forcément, ça ne fonctionne pas lors d’un appel téléphonique, même en activant l’option dans l’application téléphone.

Je me décide à installer l’application de l’équipementier. Évidemment, elle n’est distribuée que dans les magasins d’applications de Google et d’Apple. Évidemment, le magasin d’applications de Google nécessite la création d’un compte Google, ce que je fais à reculons (on notera que, contrairement à la version web qui demande de valider la création par SMS, là, que dalle, et on rigolera que le si avant-gardiste Google accepte « toortoor75 » comme mot de passe…). Je télécharge l’application. (J’apprendrai plus tard que j’aurai pu utiliser [Aurora, un client alternatif et sans compte pour Play](https://f-droid.org/fr/packages/com.aurora.store/).) J’appaire à nouveau mes prothèses via l’application. Je peux les piloter et changer quelques paramètres depuis l’application. Mais toujours pas de transmission de la sonnerie et du son lors d’un appel. Je ne suis pas surpris, le paragraphe précédent montre que, intuitivement, l’audio n’a rien à voir avec l’appli, c’est plus bas dans le système. Bref, **application mobile inutile, comme trop souvent**.

À l’aide de leur facture, je trouve la fiche produit de mon [modèle exact d’aides auditives](https://www.biotone.fr/wp-content/uploads/sites/171/2022/03/Fiche-technique-M-CORE-R-312-40.pdf). Dans les fonctions, je lis « Direct audio streaming / Made for iPhone : •/• ». « • » signifie « équipement standard » (c’est-à-dire pas optionnel). « Made for iPhone » est clair. En revanche, le slash doit-il être compris comme « la fonction Direct audio streaming aussi nommée Made for iPhone » ou bien comme « fonction Direct audio streaming et fonction Made for iPhone » ? Le double rond me fait pencher pour le deuxième cas. Mais un [site web expose le contraire](https://www.soundlife.com.my/product/rexton-m-core-r312-20-ric-hearing-aid/).

Je trouve aucun moyen évident de contacter l’équipementier. Je téléphone à la secrétaire-assistante de mon audioprothésiste, lui invente que je dispose d’un smartphone compatible seulement pour aujourd’hui, et lui demande si elle peut me mettre en relation avec l’équipementier. Elle pine pas trop, il faudrait prendre rendez-vous mais c’est pas avant longtemps, blablabla, elle est débordée, elle me rappelle.

Je poursuis mes recherches sur le web. Elles m’amènent au distributeur français exclusif de la marque de mes prothèses : Biotone. (C’est d’ailleurs de ce site que provient la fiche produit de mes aides auditifs sus-pointée.) Aucun moyen de contact rapide (seulement un formulaire web). Mais avec un [Google dork](https://fr.wikipedia.org/wiki/Google_hacking#Requ%C3%AAtes_sp%C3%A9ciales) et en supposant que la société est située en Île-de-France (ce qu’on peut vérifier dans le registre des sociétés), « site:biotone.fr filetype:pdf "01" », je trouve un numéro.

Je téléphone, j’expose immédiatement que je ne suis pas un professionnel et sollicite la bienveillance. Mon interlocutrice me précise que oui, cette ligne n’est que pour les pros normalement, qu’elle ne sait pas me répondre, mais qu’elle va me mettre en relation avec un collègue susceptible de savoir. À nouveau, je lui précise que je ne suis pas un pro, il me répète que c’est uniquement pour les pros normalement mais accepte d’écouter ma question. Premier point, mon smartphone. Ha, officiellement le Pixel 6a n’est pas pris en charge, seulement les 6 et 6 Pro, le test de compatibilité devait préciser cela en petits caractères (non). Deuxième point, le modèle de mes aides auditives. Aussitôt, il me dit que ce modèle n’est pas compatible. Il n’est compatible qu’avec les produits Apple. C’est donc ce que veut dire la fiche produit ? Oui. Seule la gamme Bicore est compatible Android (en effet, une [fiche produit](https://www.biotone.fr/wp-content/uploads/sites/171/2022/03/DS_BiCore_R-Li__Ess_EN.pdf) mentionne « Made for iPhone / Android version 10 or higher (ASHA) »). Mais un boîtier intermédiaire, le Smart Mic, peut s’intercaler entre un smartphone Android et des prothèses auditives.

Fin de partie pour moi. Leçon à tous ceux qui pensent que le progrès technique est permanent, blablabla : rien n’a changé en plus de quinze ans.

Aides auditives, Bluetooth et vie privée

L’appairage entre un smartphone et les aides auditives se fait au démarrage de celles-ci. La marque de l’équipementier est alors diffusée par Bluetooth. L’adresse MAC change à chaque redémarrage des prothèses (et même plus fréquemment, j’vais y revenir). Durant l’appairage, elles communiquent une adresse MAC stable (reconnaissable par son [OUI réservé](https://gist.github.com/aallan/b4bb86db86079509e6159810ae9bd3e4) par et pour l’équipementier). (Évidemment, le trafic échangé entre un smartphone et cette MAC finale sera visible et pourra être capturé.)

Après l’appairage, durant les connexions, les prothèses communiquent leur vrai nom. Dans mon cas : « Aides aud. de Guil… » (ce n’est pas moi qui tronque).

Après quelques minutes, la marque n’est plus diffusée par Bluetooth, et l’adresse MAC change régulièrement. Un ordi (ou autre) qui fut appairé peut toujours se connecter (sans appariement préalable) aux MAC temporaires et donc obtenir le vrai nom et le niveau de la pile. Un ordinateur qui n’a jamais été appairé voit les MAC mais ne peut pas s’y connecter. Dans les deux cas, aucun appairage possible.

Pour mettre en exergue tout cela, j’ai utilisé `blueman` (paquet du même nom dans Debian bookworm) et son applet pour Mate ainsi que `bluetoothctl` (paquet Debian `bluez`) et `rfkill` (paquet Debian du même nom) : `rfkill unblock bluetooth` ; `bluetoothctl power on` ; `bluetoothctl scan on` ; `bluetoothctl pair ` ; `bluetoothctl connect ` ; `bluetoothctl disconnect ` ; `bluetoothctl power off` ; `rfkill block bluetooth` ; etc.

Attention lors des tests : il semble y avoir de la mise en cache à plusieurs endroits (interface graphique Android, blueman / bluetoothctl, mémorisation des appairages passés côté aides auditives, etc.), donc il faut être très rigoureux et prudent avant de tirer des conclusions.

Récupérer l’apk d’une application installée

Sur mon système définitif, je ne veux pas de Google et encore moins de compte Google (quand bien même GrapheneOS permet de l’isoler dans un profil dédié). Je souhaite donc récupérer l’apk de l’application de l’équipementier de mes prothèses auditives, juste au cas où. Je précise qu’elle n’est pas disponible sur [APKMirror](https://www.apkmirror.com/) et consorts (et que, de toute façon, je n’ai plus envie de récupérer des logiciels depuis ce genre de source). Bien entendu, j’imagine que l’appli exigera les Google Play services ou autre, mais bon, ça coûte rien d’essayer de la récupérer.

Il y a plein de tutos pour ce faire. [Celui-ci](https://stackoverflow.com/questions/11012976/how-do-i-get-the-apk-of-an-installed-app-without-root-access), par exemple.

En résumé, d’abord on active le débogage USB : Settings, About phone, appuyer sept fois sur « Build number » puis aller dans Settings, System, Developer options, USB debugging. Sur l’ordi, installer `adb` (paquet du même nom dans les dépôts officiels Debian). Raccorder le smartphone à l’ordi en USB. Les appairer (`adb devices` pour vérifier).

Ensuite, `adb shell pm list packages -3 -f` pour lister les logiciels (applis) installés et le chemin vers leur apk.

Enfin, `adb pull /data/app/~~dJpAmpUN13iBNO3XVs7pfQ==/com.connexx.rta-IcUvWS5wxd-GLzdhYZ4lfg==/base.apk` pour récupérer l’apk.

Installer GrapheneOS

Il suffit de suivre l’[installateur web](https://grapheneos.org/install/web). Je vais consigner quelques remarques.

Je ne comprends pas le pré-requis de 32 Go d’espace de stockage libre sur l’ordi compte-tenu que l’image téléchargée occupe 1,5 Go (et que le système installé en occupe environ 10 Go). En tout cas, j’avais libéré 45 Go et octroyé 4 Go de RAM à mon tmpfs monté sur /tmp. Il me restait donc plus de 16 Go de RAM.

Mon ordi portable n’a pas de port USB à l’arrière, uniquement sur les côtés. Peu importe le port USB que j’utilise, le smartphone est toujours raccordé au même port / hub dans `lsusb`. En revanche, si je branche un disque dur USB 3 à mon ordi, avec certains ports, il tombe sur le même port / hub et il est limité à 480 mégas, mais avec d’autres, il apparaît alors sur un hub 5 gigas et il transfère à 5 Gbps. Quelque chose m’échappe à ce stade. Néanmoins, j’ai branché mon Pixel 6a à ces ports USB qui peuvent monter à 5 gbps.

Sur mon ordi, j’utilise un système Debian GNU/Linux bookworm (version stable actuelle).

Je suis déçu de constater que Firefox n’implémente pas WebUSB. J’ai donc le choix entre Chrome, Edge, Brave et Chromium… Ça illustre le triste état oligopolistique dans lequel le secteur des navigateurs web se trouve. J’ai choisi Chromium. J’utilise un profil de base (aucune extension, paramètres par défaut). **Attention** : avec Chromium 130 empaqueté dans Debian bookworm, le flashage échouera avec l’erreur « Error: You need to download a release first! ». Télécharger Chromium étant une vraie plaie, j’ai utilisé [ces scripts](https://github.com/scheib/chromium-latest-linux) pour ce faire. Le flashage a fonctionné avec Chromium [vanilla](https://fr.wiktionary.org/wiki/vanilla#en-adj-1) version 132. Vu le faible écart de version, je pense que Debian doit activer un paramètre qui sème la zizanie, comme restreindre l’espace de stockage afin de préserver la vie privée en brouillant la prise d’empreinte.

J’ai bien mis à jour mon ordiphone, à l’exception d’Android 15, car j’avais peur que ça bloque l’accès à GrapheneOS. Je suis en Android 14, mise à jour de sécurité du 05/09/2024.

Je n’ai pas le service fwupd sur mon ordi et le paquet logiciel censé le contenir, `fwupd` n’est pas installé.

Le téléchargement de GrapheneOS est plutôt rapide, 5 mo/s, ça va.

L’installation de GrapheneOS se passe bien avec Chomium 132 **non empaqueté dans Debian**.

Premier démarrage de GrapheneOS

Huhuhu le gros avertissement indiquant la présence d’un autre système que le système Android sauce Google. Cela fait perdre du temps alors que le système Android de Google démarre super rapidement (je le calcule entre l’appui sur le bouton marche/arrêt et l’arrivée sur l’écran de verrouillage et la demande du code PIN de la SIM).

L’assistant de configuration de GrapheneOS est classique : choix de la langue, connexion au Wi-Fi, choix du fuseau horaire, accorder la permission de chercher la localisation, code de verrouillage de l’écran (ou empreinte digitale), restaurer les applis et les données, tutoriel pour apprendre les gestes pour se diriger dans l’interface graphique (je rappelle qu’on peut [ré-activer les trois boutons de navigation](https://support.google.com/android/answer/9079644?hl=en) à la place), réactiver le verrouillage OEM (désactivé à la première étape de l’installation de GrapheneOS).

Je me suis dit « dommage que l’installateur ne bascule pas en français après le choix de la langue ». Mais, en fait, dans les menus, aucune des fonctionnalités ajoutées par GrapheneOS n’est traduite en français. Le reste du système l’est, bien entendu, puisqu’il s’agit d’Android.

Au final, je me retrouve sur un système Android version 15. Android-GrapheneOS occupe 9,6 Go (mieux que les 20 Go du système de base de Google) et les applis 314 Mo. Malgré plusieurs redémarrages, je constate 1,7 Go de fichiers temporaires (2 Go quand j’écris ce shaarli 10 jours plus tard, donc le système s’encrasse plutôt vite). [Comme d’autres](https://linuxfr.org/news/retour-d-experience-sur-l-utilisation-de-grapheneos-rom-android-libre), je trouve que le noir (et blanc pour les icônes) des écrans de verrouillage et d’accueil est très austère et surprenant, d’autant qu’aucun fond d’écran n’est fourni…

Configurer GrapheneOS

Je vais simplement pointer les paramètres que je trouve intéressants dans le menu Paramètres.

Le temps de bricoler, je préconise d’allonger la durée avant la mise en veille automatique de l’écran (Paramètres, affichage, « Délai de mise en veille de l’écran ») ou celle avant le verrouillage après la mise en veille de l’écran (Paramètres, sécurité et confidentialité, déverrouillage de l’appareil, verrouillage de l’écran, « Verrouiller après la mise en veille »).

Réseau et Internet :
* DNS privé. En mode automatique, le système essaye d’utiliser [DNS-over-TLS](/?DX1ENw) avec les résolveurs DNS fournis par DHCP ([source](https://grapheneos.org/faq#private-dns-ip)). [Hors de question d’utiliser les résolveurs DNS de mon opérateur](https://arn-fai.net/fr/internet-alternatif/dns#title_est-ce-qu-il-existe-des-cas-concrets-de-comportements-qui-nous-semblent-abusifs) ou du premier point d’accès Wi-Fi venu, DoT ou pas, donc je passe en manuel pour ajouter un récursif DNS de confiance en regrettant de ne pouvoir saisir qu’une seule adresse IP ;

* On peut désactiver les tests de connectivité (quand bien même ils pointent par défaut vers des serveurs de GrapheneOS).

Appareils connectés : désactiver le Bluetooth et le service d’impression par défaut (dans le sous-menu « Préférences de connexion »).

Applications, Accès spéciaux des applis, désactiver « Special access to hardware accelerators for Google maps » (je n’utilise pas de logiciels Google).

Notifications :
* Désactiver les bulles ;

* Désactiver les alertes d’urgence sans fil (t’sais, FR-ALERT, tout ça, qui finit toujours par être [utilisé à mauvais escient](https://www.francetvinfo.fr/les-jeux-olympiques/paris-2024-le-dispositif-fr-alert-utilise-pour-signaler-l-ouverture-du-site-pour-circuler-dans-paris-pendant-les-jeux_6543845.html)) ;

* Désactiver les notifications améliorées.

Batterie : désactiver le « gestionnaire de batterie » et activer l’affichage du pourcentage dans la barre d’état.

Son et vibreur :
* Choisir ses sons, les différents volumes sonores (sonnerie, notifs, alarmes, etc.) et désactiver les sons qu’on ne veut pas (pour moi : clavier, appuis et clics, et verrouillage) ;

* Ne pas déranger. Au début, je n’avais pas compris comment **passer en mode vibreur** : il faut presser volume haut ou bas puis presser l’icône haut-parleur située au-dessus de la barre de volume (je pensais que cette icône informait juste de ce qui est réglé par la barre, à savoir le volume audio, pas qu’il s’agit d’un bouton…). Donc, en palliatif, je voulais utiliser le mode « ne pas déranger » qui peut s’activer depuis la barre d’état. Mais je me suis rendu compte que tout appel ou SMS déclenche la sonnerie… Dans ce sous-menu, on peut faire en sorte qu’aucune personne (téléphone et SMS) ni aucune application (notification) ne puisse interrompre le mode « ne pas déranger » ;

* Multimédia :
* Désactiver l’affichage de contenus multimédias sur l’écran de verrouillage (motif : j’ai tout à cacher) ;

* Désactiver l’affichage des recommandations de Google Assistant (qui n’est pas installé sur GrapheneOS, de toute façon) ;

* Désactiver le raccourci pour annihiler la sonnerie. Je le trouve peu pratique.

Affichage :
* Écran de verrouillage :
* Raccourcis. Je les désactive tous. Pas envie qu’un relou de passage prenne des photos à mon insu pour rigoler, par ex. (histoire vraie) ;

* Désactiver l’horloge dynamique c’est-à-dire l’adaptation de la taille de l’horloge à l’espace disponible sur l’écran de verrouillage (si l’on ne met rien sur cet écran, alors sa démesure la rend difficilement lisible) ;

* Appuyer pour activer l’écran. **Attention** : une pression sur l’écran ne produit aucun effet quand le smartphone est branché au secteur.

* Activer le thème sombre.

Fond d’écran et style : aucun fond n’est fourni… J’ai repris celui que j’utilisais sur mon Galaxy S3, c’est-à-dire l’un de [ceux fournis par LineageOS](https://github.com/LineageOS/android_packages_apps_CMWallpapers/tree/cm-14.1/res).

Sécurité et confidentialité :
* Déverrouillage de l’appareil, verrouillage de l’écran. Désactiver l’accès à la caméra quand le smartphone est verrouillé. C’est également ici qu’on peut configurer un « duress password » (mot de passe sous contrainte), c’est-à-dire un faux code de déverrouillage qui efface le stockage ;

* Paramètres de confidentialité : comme dans la barre d’état, on peut désactiver, en sus de la localisation (GPS ou plus en fonction de ce qu’on a activé dans le menu dédié, cf. infra), l’accès à la caméra et au micro, y compris pour les applis autorisées (qui ont la permission). Les applis demanderont l’accès, y compris la caméra, et le téléphone lors d’un appel entrant (si le téléphone est verrouillé, il faut saisir le code de déverrouillage) ;

* Espace privé : pour masquer des applis (dans le launcher, dans le menu Paramètres, etc.) ;

* Exploit protection : ajouts de GrapheneOS.
* Désactiver ou rallonger le délai avant un **redémarrage automatique après 18 heures sans déverrouillage** ;

* USB-C port. Par défaut, Android désactive le transfert de données mais si l’on branche l’ordiphone à un ordi, on voit a minima son nom dans un explorateur de fichiers. C’est équivalent à l’option GrapheneOS « Charging only when locked » de ce menu. Avec l’option « Charging only », plus rien n’apparaît, y compris dans kern.log. Je pense que ça rajoute une mini-protection supplémentaire contre les [stations d’extraction des flics](/?mkSyqw). Par contre, j’ai eu une mauvaise expérience : revenir à « Charging when locked » n’a pas fait apparaître la notif qui permet ensuite d’activer le transfert de fichiers, j’ai dû activer les options développeurs. Je n’arrive pas à reproduire ce bug, donc… ;

* On peut désactiver le Wi-Fi et/ou le Bluetooth après l’épuisement d’un délai ;

* J’ai activé toutes les options de durcissement des applications : blocage du native code debugging, désactivation de Webview JIT, restriction du dynamic code loading via storage *pour chaque application que j’ai installé en supplément*, et activation du secure app spawning. Tous mes logiciels fonctionnent toujours (je rappelle que j’en utilise très peu). Si une appli dysfonctionne, ces renforcements peuvent être désactivés pour chaque logiciel depuis le menu « Applications » ;

* Sécurité et confidentialité renforcées :
* « Allow Sensors permission to apps by default » (désactivation de l’octroi par défaut de la permission d’accès aux capteurs). **À faire avant d’installer de nouvelles applis**, sinon elles auront la permission (il est possible de la leur retirer une par une) ;

* Désactiver l’horodatage des captures d’écran (dans leurs métadonnées) ;

* Chiffrement et identifiants. Sous le libellé trompeur « Identifiants de confiance », il est possible de ne plus accorder sa confiance à des autorités de certification x509 (ou d’en installer, afin de faire de l’interception de trafic).

Localisation : on peut activer / désactiver les recherches Wi-Fi et Bluetooth, SUPL, et PSDS.

Sécurité et urgences : désactiver SOS Urgences (l’appui rapide au moins 5 fois de suite sur le bouton marche/arrêt déclenche un son très fort et appelle le 112).

Mots de passe, clés d’accès et comptes : même si je n’ai aucun compte, j’ai désactivé la synchronisation automatique des données des applis.

Système :
* Clavier, clavier à l’écran, appuyer sur le clavier Android de base :
* Préférences : désactiver le vibreur et le son à chaque touche, et désactiver la touche de saisie vocale ;

* Correction du texte : désactiver le blocage des termes choquants, les suggestions personnalisées, le recours au nom des contacts pour la correction, et la suggestion du prochain mot.

* Gestes :
* Désactiver l’ouverture rapide de l’appareil photo depuis l’écran de verrouillage (en appuyant deux fois sur marche/arrêt) ;

* Mode de navigation : permet de revenir aux trois boutons ou de piloter l’ordiphone par gestes (sur l’écran) ;

* Utilisateurs : c’est ici que l’on peut créer des **profils distincts afin d’isoler des applis**, comme une application bancaire et les Google Play services qu’elle requerra ;

* View logs : accès et exportation des journaux système, y compris ceux du GSM (il faut cocher « radio » dans « Log buffers » dans les 3 points en haut à droite).

Dans les paramètres de **l’appli SMS/MMS**, j’ai désactivé l’émission d’un son lors de l’envoi d’un SMS. Dans les paramètres avancés, j’ai activé la demande d’un accusé de réception automatique par le téléphone du destinataire, ainsi que la réception automatique des MMS, y compris en itinérance. (En sus de l’accusé de réception par le terminal du destinataire, [Silence](https://f-droid.org/fr/packages/org.smssecure.smssecure/) permettait d’afficher la bonne prise en charge d’un SMS par mon opérateur. L’appli SMS/MMS ne le permet pas.)

Dans ses paramètres, **Vanadium** (le navigateur web livré par GrapheneOS) ne permet pas de choisir Startpage comme moteur de recherche par défaut. Pour cela, il faut configurer Startpage pour utiliser HTTP GET plutôt que POST, puis faire une recherche dans Startpage, puis revenir dans les préférences de Vanadium. [Source](https://discuss.grapheneos.org/d/296-vanadium-custom-search-engine-and-ad-blocker/3).

Installer des logiciels additionnels sur GrapheneOS

GrapheneOS propose quasiment aucune appli et nous [invite à utiliser le magasin d’applis de notre choix](https://grapheneos.org/faq#bundled-apps). J'apprends l'existence d'**[Aurora, un client alternatif et sans compte pour Play](https://f-droid.org/fr/packages/com.aurora.store/)**.

Ainsi, depuis [Vanadium](https://grapheneos.org/usage#web-browsing) (Chromium configuré et renforcé par GrapheneOS) j’ai téléchargé [F-Droid](https://f-droid.org/), le magasin d’[applis libres](https://fr.wikipedia.org/wiki/Logiciel_libre).

**Intéressante permission** pour autoriser un logiciel, comme l’explorateur de fichiers, à installer une application.

Intéressante demande, lors de l’installation d’une appli, de lui **octroyer ou non la permission d’accès aux réseaux IP** (Wi-Fi, mobile). Très pratique pour désactiver la télémétrie d’une appli avant de lui octroyer l’accès au réseau (voir OSMAnd~, par exemple).

J’ai été contraint d’actualiser ma [liste de logiciels pour mobile](/?32zfLA).

Applis installées sur mon Pixel 6a - GrapheneOS :
* OpenVPN for Android. Client OpenVPN ;

* OSMAnd~. Pour éviter l’envoi d’un identifiant unique, ne pas accorder la permission réseau lors de l’installation, désactiver cela dans les paramètres d’OSMAnd~ (sous-menu paramètres OSMAnd, « Analyses » et « Identifiants »), puis octroyer la permission réseau. Il faudra que je me penche sur Organic Maps qui a moins de fonctions indésirées qu’OSMAnd~ d’après F-Droid (mais j’ai l’impression que les listes sont incomplètes pour les deux applis) ;

* SatStat. L’installation échoue (même en désactivant tous les durcissements proposés par GrapheneOS). **GPSTest** répond à mon besoin. **Attention** : comme SatStat, il prétend réussir à importer des données PSDS même quand il n’y a pas de réseau, et forcément, il galère à fixer le GPS… ;

* Simply Do. N’existe plus. Je m’en servais plutôt pour prendre des notes, en réalité. Du coup, j’ai cherché sur F-Droid un logiciel de prise de notes léger qui prend en charge le [markdown](https://fr.wikipedia.org/wiki/Markdown) et qui ne demande aucune permission : Easy Notes répond à ce cahier des charges ;

* VLC. Attention de ne pas en faire le logiciel par défaut pour les contenus multimédias, sinon il devient impossible de lire des vidéos depuis la galerie (je ne sais plus comment j’ai corrigé le tir).

J’ai cessé d’utiliser les logiciels suivants :
* AFWall+ : comme l’indique sa description dans F-Droid, il repose sur DroidWall qui n’est plus maintenu. De plus, il repose sur Netfilter alors qu’Android utilise [BPF](https://discuss.grapheneos.org/d/4113-arguement-against-gos-firewall-makes-no-sense-to-me/11). Bref, pas ouf niveau pérennité. De plus, il requiert un accès root alors que GrapheneOS ne le permet pas et le déconseille vivement. De plus, la permission permettant d’octroyer ou non l’accès au réseau à chaque appli, le filtrage, par OpenVPN for Android, des applications pouvant l’utiliser, et la fonctionnalité de base d’Android « Bloquer les connexions sans VPN » répondent à mon besoin ([lire ci-dessous](#igsuo-firewall)) ;

* Barcode Scanner : le logiciel Caméra a déjà cette fonctionnalité (et elle fonctionne impec) ;

* Busybox et Terminal Emulator : je trouvais cool d’avoir un accès en ligne de commande à mon système, notamment car j’avais [installé Debian sur mon premier smartphone](/?6y0PtQ), mais je m’en suis très rarement servi, et je n’avais pas réinstallé ces logiciels sur mes Galaxy S3 ;

* ConnectBot : je trouvais cool de pouvoir me connecter en SSH depuis mon ordiphone, mais, en pratique, j’utilise l’auth par clé sur mes serveurs et il était hors de question de mettre ma clé privée sur un smartphone non-chiffré, et je ne m’en suis jamais servi (pas d’usage), il n’était déjà plus installé sur mes Galaxy S3 ;

* Etar ([en remplacement](/?8KKMZg) d’Offline calendar et de l’appli agenda de base de LineageOS) : en pratique, je n’ai jamais utilisé d’agenda sur mon ordiphone ;

* Firefox (puis IceCat puis Fennec, [historique ici](/?S-sdEw)). GrapheneOS propose [Vanadium](https://grapheneos.org/features#vanadium), un Chromium configuré et durci par leur soin, qui inclut un filtrage des merdes via deux listes de blocage, Easylist anglais et Easyprivacy, donc ça ne vaut pas uBlock, mais vu [mon non-usage de mon smartphone](/?3ZsJWA), ça n’est pas un problème), qui ne permet pas d’installer des extensions. D’un côté, Chromium est devenu un quasi-monopole, donc nous avons besoin de diversité, donc je devrais installer Firefox. D’un autre côté, GrapheneOS a plutôt bien configuré Vanadium (contre-mesure minimale contre les fuites webRTC, pas de prise en charge des DRM ni des cookies tierce partie, activation du state partitionning, de [DoT](/?DX1ENw), etc.), mieux qu’un Firefox de base, donc si j’installais Firefox, il faudrait le configurer et assurer le suivi à chaque version vu que Firefox rajoute des fonctionnalités indésirées sans arrêt. Tout ça pour un navigateur web que je n’utiliserai qu’en dernier secours… Fleeeemme. Au final, vanadium me convient ;

* Ghost commander : GrapheneOS ne propose pas un accès root et le déconseille vivement. Sans un tel accès, l’explorateur de fichiers de base est bien suffisant. Je n’utilisais Ghost commander que pour ça, pour explorer l’intégralité du stockage (et, dans un temps reculé, pour [modifier des fichiers de configuration](/?la8dMA)) ;

* Hacker’s Keyboard : pratique dans un shell, inutile sinon. Il n’était déjà plus installé sur mes Galaxy S3 ;

* Linphone : je n’en ai plus l’usage depuis longtemps ;

* MuPDF : GrapheneOS fourni déjà une visionneuse PDF ;

* Silence (ex-SMSSecure, fork de TextSecure ‒ remplacé par Signal du même éditeur ‒) : en pratique, je ne chiffre pas mes SMS par absence de correspondants compatibles ; je m’en servais surtout pour chiffrer mes SMS sur le stockage (avec un code de déverrouillage spécifique à Silence) puisque le chiffrement du stockage par le système ne fonctionnait pas. Maintenant qu’il est fonctionnel, Silence perd son intérêt ; aucune mise à jour depuis 2019 et site web officiel HS ;

* Torch : tout comme Android de base et mes Galaxy S3 sous LineageOS, GrapheneOS propose nativement cette fonctionnalité ;

* Wi-Fi Matic : ce logiciel n’est plus disponible dans F-Droid et Android implémente nativement ses fonctionnalités (Paramètres, Réseau et Internet, Internet, Préférences réseau, Activer automatiquement le Wi-Fi). De plus, contrairement à LineageOS, GrapheneOS ne réactive pas automatiquement le Wi-Fi (sauf si c'est configuré explicitement), et j’emporte très rarement mon téléphone hors de mon domicile à l’improviste, donc je n’ai plus [besoin](/?GB8Z6g) de ce logiciel.

Divers

Notification appel manqué / SMS non-lu

Sur mon Galaxy S3, une LED clignotait pour signaler un appel téléphonique manqué ou un SMS non-lu.

Ce n’est plus le cas avec mon Google Pixel 6a qui en est dépourvu et ça me manque. C’est très pratique pour vérifier, de loin, en passant, alors que l’ordiphone est posé sur un meuble, si un événement est survenu et qu’on n’a pas entendu la notification sonore.

Android propose les notifications lumineuses (Paramètres, notifications), c’est-à-dire faire clignoter l’écran d’une couleur choisie et/ou faire clignoter le flash de la caméra. Cette fonctionnalité ne produit un effet qu’au moment de la réception, en même temps que la notification sonore (si l’on n’est pas en vibreur), pas après, donc ça ne répond pas à mon besoin. De plus, tout comme la notification sonore et le vibreur, ça s’active aussi lors de la survenue d’un événement pendant que l’on utilise le smartphone, ce qui ajoute du désagréable.

Sur le web, je trouve un contournement basé sur les notifications répétées cumulées aux notifs lumineuses. Je n’ai pas trouvé ce paramètre dans les menus. Sur F-Droid, on trouve uniquement des applis pour des notifications sonores répétées, mais ça ne m’intéresse pas (ça peut être pénible si t’es plongé dans une activité). Sur Google Play, on trouve quelques applis qui prétendent faire de la notif répétée en allumant l’écran, mais je souhaite utiliser uniquement des [logiciels libres](https://fr.wikipedia.org/wiki/Logiciel_libre) et ne pas recourir à Google Play (ni à [Aurora, un client alternatif et sans compte Google pour Play](https://f-droid.org/fr/packages/com.aurora.store/)).

Autre contournement : Always-On Display, c’est-à-dire écran toujours allumé. A priori, c’est ce mode que je peux activer dans Paramètres, affichage, écran de verrouillage, « Toujours afficher heure et infos ». Mais ça ne convient pas à mon besoin : en cas d’appel manqué (ou de SMS), il y a une toute petite icône sous l’horloge. On est loin de quelque chose qui se voit de loin, qui appelle le regard.

À ce jour, je n’ai pas trouvé de solution satisfaisante.

MMS : par où ça passe ?

Android propose un **paramètre « Envoyer et recevoir des MMS lorsque les données mobiles sont désactivées »** (Paramètres, réseau et Internet, SIM, choisir la SIM). Elle est disponible uniquement quand les données mobiles sont désactivées.

[Johndescs](https://www.jonathan.michalon.eu/shaarli/) pensait qu’il s’agit d’un contournement, que les MMS transitent bien par les données mobiles, mais que le reste du trafic Internet est bloqué. De mon côté, je me souviens qu’il y a 20 ans, au début des années 2000 donc, je recevais et émettais des SMS depuis un téléphone mobile, un Nokia 3410, dépourvu de données mobiles / d’accès IP (la [3G a été commercialisée en France en 2004](https://fr.wikipedia.org/wiki/T%C3%A9l%C3%A9phonie_mobile_en_France#Arriv%C3%A9e_de_la_3e_g%C3%A9n%C3%A9ration_(3G))), c’était l’époque du [WAP](https://fr.wikipedia.org/wiki/Protocole_WAP), donc je pensais que ça n’utilise pas les données mobiles.

Une fois encore, [Wikipédia a la réponse](https://fr.wikipedia.org/wiki/Multimedia_Messaging_Service) : à l’époque, les MMS utilisaient le WAP. De nos jours, ça utilise bien les données mobiles. Cela se confirme par l’expérience : je désactive les données mobiles, j’échange des images par MMS, puis je constate que mon Pixel a comptabilisé l’usage de 1,71 Mo de données mobiles.

Le fonctionnement des MMS a toujours été une purge, tant sur mon [Motorola Moto G](/?yOxxlQ) et son système d’origine que [sur LineageOS](/?p1_lHg). Notamment parce que, si l’on l’utilise, il faut autoriser le bon composant du système dans AFWall+, et que celui-ci a rarement un nom explicite. En tout cas, telle était la cause du dysfonctionnement des MMS sur mon dernier Galaxy S3 (évidemment, je n’ai pas noté le nom du composant logiciel à autoriser dans AFWall+).

Craignant qu’il en soit de même sur GrapheneOS, j’ai donc procédé à quelques tests d’envoi et de réception de MMS, avec le paramètre « Envoyer et recevoir des MMS lorsque les données mobiles sont désactivées » activé :
* Connecté en Wi-Fi + données mobiles désactivées + aucun VPN établi + « Bloquer toutes les connexions hors VPN » : OK. Donc ça contourne la fonctionnalité visant à bloquer les connexions hors VPN ;

* Connecté en Wi-Fi + données mobiles désactivées + VPN établi + « Bloquer toutes les connexions hors VPN » : OK ;

* Sans Wi-Fi + données mobiles désactivées + « Bloquer toutes les connexions hors VPN » : OK ;

* Sans Wi-Fi + 4G + « Bloquer toutes les connexions hors VPN » : OK ;

* Sans Wi-Fi + 4G + VPN établi + « Bloquer toutes les connexions hors VPN » : OK.

Si je désactive le paramètre « Envoyer et recevoir des MMS lorsque les données mobiles sont désactivées » :
* Wi-Fi + données mobiles désactivées + sans VPN + avec ou sans « Bloquer toutes les connexions hors VPN » : pas OK. Donc **les MMS n’empruntent pas en Wi-Fi** ;

* Sans Wi-Fi + 4G + sans VPN + avec ou sans « Bloquer toutes les connexions hors VPN » : OK.

Bref, la réception de MMS fonctionne. \o/

Sauvegarde réellement opérationnelle ?

GrapheneOS propose Seedvault comme outil de sauvegarde ([voir](https://grapheneos.org/features#encrypted-backups)). Il se trouve dans Paramètres, système, sauvegarde.

Il permet de planifier une sauvegarde régulière des applis et des fichiers (expérimentalement). Quid des paramètres du système ?

Il prend en charge WebDAV, Nextcloud (en ne le recommandant pas, sans raison explicite), une clé USB, le téléphone lui-même (avec un avertissement qu’il s’agit d’une très mauvaise idée) ou [DAVx](https://f-droid.org/fr/packages/at.bitfire.davdroid/) (une appli CalDAV / CardDAV). Je peine à déterminer si tous les modes se valent : DAVx, en tant qu’appli CalDAV / CardDAV peut-elle vraiment sauvegarder des fichiers ?

Les sauvegardes sont chiffrées. Le mot de passe est composé de 12 mots anglais choisis aléatoirement.

Vu [mon absence d’usage de mon smartphone](/?3ZsJWA), je ne suis pas intéressé, j’exporterai mes contacts depuis l’appli dédiée (le reste ne m’intéresse pas), mais j’ai testé le stockage local. Dans ce mode, la sauvegarde est placée dans un dossier « .SeedvaultAndroidBackup » à la "racine" visible depuis l’explorateur de fichiers. Comme son nom l’indique, ce dossier est masqué, il faut demander à l’explorateur, depuis son menu "trois points", d’afficher de tels fichiers et dossiers.

**Je ne suis vraiment pas convaincu** : ma sauvegarde de mes applis comporte deux fichiers, un de 352 octets, l’autre de 5,23 k. C’est beaucoup moins que le volume de données utilisateurs de plusieurs de mes applis tel qu’il est affiché dans Paramètres, stockage, applis. N’ayant pas d’autres GrapheneOS sous la main ni envie de dégommer le mien, je ne peux pas tester la sauvegarde pour vérifier mes craintes.

Pare-feu

Sur mon [Motorola](/?1dF_bA) avec le système par défaut puis sur LineageOS, mon utilisation d’AFWall+ visait quatre objectifs :
* Interdire l’accès au réseau sauf à quelques logiciels, notamment bloquer les [bloatwares](https://fr.wikipedia.org/wiki/Bloatware) de Motorola. Cela est désormais possible nativement avec la permission « accès au réseau » proposée par GrapheneOS qui est actionnable au moment même de l’installation d’un logiciel puis à tout moment. Néanmoins, les composants du système et les applis de base qui le nécessitent, selon GrapheneOS, ont déjà la permission, ce que je trouve dommage car mon cas d’usage ne le nécessite pas, et faire le tri est fastidieux ;

* Forcer mes applis à utiliser un VPN OpenVPN (d’un [fournisseur d’accès à Internet associatif](https://www.ffdn.org/fr/membres)). Cela est désormais possible nativement avec le **paramètre « Bloquer les connexions sans VPN »** (Paramètres, réseau et Internet, VPN, roue crantée de l’appli VPN). Attention : [du trafic contourne ce paramètre](https://discuss.grapheneos.org/d/1233-hardening-always-on-vpn) : appels téléphoniques sur Wi-Fi (VoWiFi, qui doivent être explicitement activés), MMS, tests de connectivité (qui peuvent être désactivés), DNS (au moins pour établir le VPN), détection d’un portail captif (en toute logique), etc. Pour certains usages, c’est pour le mieux : il n’y a aucun intérêt à faire transiter dans un VPN le trafic destiné à mon opérateur téléphonique mobile. Deuxième point de vigilance : lorsque le VPN est établi, ce paramètre ne bloque donc plus les connexions, et toutes les applis qui ont la permission d’accéder au réseau peuvent emprunter le VPN, voir ci-dessous ;

* [Bloquer des destinations précises](/?4yXBfA), comme les résolveurs DNS du FAI qui désert ma maison, [afin d’éviter des fuites](/?snA56Q). Sur mon Pixel, Linphone ne prend en compte que les trois premiers résolveurs DNS qu’il obtient via l’appel système. Comme ils sont classés dans l’ordre "récursifs IPv4 et IPv6 du VPN puis récursifs obtenus par DHCP", Linphone ne fuite pas vers le résolveur de mon FAI, mais c’est un coup de chance. Sur ce point, les solutions proposées par GrapheneOS et présentées dans les deux points précédents, sont impuissantes. Je n’utilise plus Linphone car je n’en ai plus besoin, mais il faut lire ce qui précède comme un exemple ;

* Bloquer les connexions entrantes (qui ne disposent pas d’un état). J’utilise un VPN qui attribue des IP v4 et v6 publiques et sans pare-feu en amont. Je veux donc bloquer les connexions entrantes dans le cas improbable où un logiciel autorisé, y compris système, ouvrirait un port en écoute. GrapheneOS ne propose pas de solution sur ce point. Pour nuancer, seuls la compromission d’une appli autorisée ou le changement de comportement d’un logiciel par son éditeur (sur mes serveurs, ce fut le [cas d’OpenDNSSEC](/?Mfvd7A) et [celui d'ejabberd](/?Q8iSdA), par ex.) exposeraient mon smartphone sur Internet.

Il y a un hic qui m’a échappé dans un premier temps : quand le VPN est établi, toutes les applis qui ont la permission d’accéder au réseau peuvent l’emprunter.

Plusieurs **applications peuvent se faire passer pour un VPN afin de proposer des fonctionnalités de filtrage** équivalentes à celles d’AFWall+. On en trouve plusieurs sur F-Droid.

L’ennui, c’est qu’Android permet un seul VPN à la fois. Donc si je filtre avec une appli, je ne peux plus établir mon VPN OpenVPN. Même sans cela, sans mettre en œuvre du routage avancé pas facilement automatisable par une application (netns, tables de routage multiples, etc.), il est impossible de router l’ensemble du trafic sur deux interfaces réseau TUN, l’une à la suite de l’autre.

Certaines applis de filtrage proposent prétendument de se chaîner à un VPN. Je ne vais traiter que celles disponibles sur F-Droid, les autres, pas forcément libres, ne m’intéressent pas. NetGuard permet de transmettre le trafic à un proxy SOCKS, qui n’est donc pas un VPN OpenVPN. Rethink permet d’utiliser un VPN WireGuard (en étant lui-même un client WireGuard, je suppose, point de chaînage), mais pas OpenVPN (et ce, [pendant encore possiblement longtemps](https://github.com/celzero/rethink-app/issues/64)).

**OpenVPN for Android propose de bloquer toutes les applis l’empruntant** sauf celles sélectionnées ou de bloquer uniquement les applis sélectionnées. L’ennui, c’est qu’il est difficile de savoir quoi autoriser (je rappelle que, sur mon dernier smartphone, la réception des MMS était une plaie car je n’avais pas autorisé un composant système au nom sans rapport avec la fonctionnalité à accéder à Internet). Quant à exclure des applis : si j’ai des soupçons, autant leur retirer la permission d’accès au réseau que de doublonner le filtrage (permissions + OpenVPN).

J’ai surveillé le trafic Wi-Fi émis par mon Pixel en créant un point d’accès Wi-Fi avec mon ordi (avec `hostapd`) et en surveillant le trafic qui y a transité (avec `wireshark`). 12 h en mode « Bloquer toutes connexions hors VPN » et 12 h sans. Je n’ai rien vu passer dans le premier cadre. Dans le deuxième, j’ai vu deux connexions à des serveurs de GrapheneOS, dont une pour la synchronisation du temps, et elles sont [prévues par la doc’](https://grapheneos.org/faq#default-connections). Encore une fois, GrapheneOS et mes applis inspirent confiance. Ceci dit, mon test est incomplet puisque je n’ai pas utilisé mes applis durant l’interception du trafic. Dès lors, **un pare-feu se justifie-t-il ?**

Pour info, AFWall+ repose sur Netfilter alors qu’[Android utilise BPF](https://discuss.grapheneos.org/d/4113-arguement-against-gos-firewall-makes-no-sense-to-me/11) pour filtrer et superviser le trafic (pour produire les stats d’usage du réseau par logiciel et comptabiliser l’usage des données mobiles, par ex.).

Permissions

J’ai l’impression que les permissions sont plus fines que sur un Android 7. Sur mon LineageOS, il me semble que, au moment de l’installation d’une appli, je devais autoriser toutes les permissions demandées, c’était à prendre ou à laisser. Sur mon GrapheneOS Android 15, les permissions sont demandées à l’usage, et une par une. [Johndescs](https://www.jonathan.michalon.eu/shaarli/) a le même souvenir que moi.

Inversement, j’ai l’impression qu’aujourd’hui certaines permissions sont silencieusement accordées de base. Je me souviens qu’à l’époque, des applis comme OSMAnd~ demandaient l’accès au stockage (et la notif système disait, en gros, "si tu accordes cette permission, l’appli pourra lire tes photos et vidéos"), plus maintenant alors que plusieurs de mes applis stockent des données utilisateurs (Easy Notes, par ex.). Cela s’explique peut-être par l’absence de stockage externe (carte SD) sur un Google Pixel ? De même, sauf erreur, OSMAnd~ m’a demandé la permission uniquement pour la localisation (et l’accès au réseau), et, dans le menu Paramètres, applications, il disposait des permissions micro, appareils à proximité, etc. avant que je les lui retire.

Pour toutes les applis installées par l’utilisateur, Android a une option « Suspendre l’activité appli si inutilisée » (Paramètres, applications) qui **retire automatiquement les permissions et supprime les fichiers temporaires d’une appli** si elle n’est plus utilisée pendant plusieurs mois (combien ? Ce n’est pas précisé). Je trouve ça excessif dans mon cas d’usage (j’ai six logiciels, raisonnablement de confiance, etc.), donc j’ai désactivé ça pour mes 6 applis.

J’ai évidemment accordé le moins possible de permissions aux applis que j’ai installé (liste ci-dessus).

En regardant les autorisations octroyées aux applis préinstallées, l’**octroi systématique de la permission d’accès aux capteurs** m’a intrigué : pourquoi la calculette, la galerie, l’horloge, l’appli infos de GrapheneOS, etc. ont-elles cette permission ? Car il s’agit d’une permission spécifique à GrapheneOS, donc toutes les applis préinstallées l’ont car il serait fastidieux de faire le tri (l’appli caméra en a besoin pour [enregistrer une photo au format paysage en tant que telle](https://discuss.grapheneos.org/d/6310-why-so-many-apps-need-sensor-access/8), par ex.) pour un gain dérisoire de sécurité ([source](https://discuss.grapheneos.org/d/6310-why-so-many-apps-need-sensor-access/13)). Dans la [section « Configurer GrapheneOS »](#igsuo-config) ci-dessus, j’ai parlé d’un paramètre (dispo dans Paramètres, sécurité et confidentialité, sécurité et confidentialité renforcées) qui permet de désactiver l’octroi automatique de cette permission pour les applis installées ultérieurement, mais elle ne couvre pas les applis déjà installées (même source).

Dans Paramètres, applications, voir toutes les applis, menu trois points, **la fonctionnalité « Réinitialiser les préférences des applis » ne restaure par les permissions** par défaut, autant pour les logiciels système qu’utilisateur. Autant pour les logiciels fournis de base que ceux installés par l’utilisateur. Tant pour les applis utilisateurs que système, les permissions deviennent un mélange entre la configuration de base et mes modifs. De même, cela n’a pas redonné la pleine permission contacts à l’appli SMS/MMS quand, pour tester, je l’avais mise dans un contact scope et qu’elle n’avait pas apprécié.

J’ai constaté des étrangetés : pourquoi l’appli galerie a-t-elle besoin d’une autorisation pour lire les fichiers image, son et vidéo alors que VLC ne demande même pas une telle permission ? Pourquoi le même logiciel a-t-il besoin de la permission d’accès au réseau ? Pourquoi l’explorateur de fichiers n’a pas besoin de la permission fichiers alors que la galerie en a besoin ? Pourquoi l’appli contacts a-t-elle besoin d’accéder au réseau ? Au téléphone ? Pourquoi l’appli SMS a besoin de la permission téléphone ? Etc.

Après, il y a des permissions de confort : on peut concevoir que le téléphone a besoin de la permission d’envoyer des SMS "pas dispo, je te rappelle", que le téléphone et l’appli SMS ont besoin de l’accès aux contacts pour les afficher ou en créer un à partir d’un appel / SMS reçu, que les contacts ont besoin d’accéder au journal des appels pour l’afficher dans la fiche de chaque contact, mais je me demande pourquoi chaque appli ne fait pas juste son taff et ne collabore pas avec les autres, genre pour créer un contact à partir d’un appel ou d’un SMS, l’appli tél (ou SMS) passe la main à l’appli contacts qui, elle, enregistrera le contact ? La seule réponse que j’identifie est qu’une communication directe entre logicielle est moins sécurisée qu’en utilisant les API système et leurs points de contrôle.

Bref, **difficile d’en vouloir à GrapheneOS pour ces permissions un peu lestes** : pour favoriser son adoption, il faut aussi qu’un smartphone reste utilisable selon des modalités très proches de ce que permet un Android de base, et il n’existe pas de solution totalement satisfaisante au problème.

J’ai rationalisé autant que possible les permissions données aux logiciels utilisateurs. Puis j’ai découvert les logiciels système (Paramètres, applications, voir toutes les applis, menu trois points, « Afficher le système »). Un GrapheneOS de base comporte environ 170 logiciels et composants système. Les fonctionnalités précises assumées par chacun est faiblement documenté. Le risque de casser une fonctionnalité sans m’en rendre compte est grand, surtout d’une fonctionnalité que je n’utilise pas dans l’instant. Et comme la réinitialisation des préférences ne restaure pas vraiment les permissions (cf. quatre paragraphes plus haut), les conséquences seront très pénibles à assumer. Enfin, en regardant quelques composants au hasard, je me suis rendu compte qu’ils ont uniquement la permission d’accès aux capteurs discutée supra. Face à l’impossibilité de tout vérifier (sauf à y passer un temps déraisonnable), au désir d’éviter la casse, et aux quelques permissions octroyées qui montrent que GrapheneOS est raisonnablement digne de confiance, j’ai décidé de laisser les permissions des logiciels systèmes dans leur état.

… Sauf à « Intent Filter Verification » à qui j’ai retiré la permission réseau après avoir lu [la doc’](https://grapheneos.org/usage#app-link-verification).

Faut-il avoir le contrôle total (root) ?

Comme je l’ai déjà écrit, GrapheneOS ne propose pas un accès root et même le déconseille vivement.

J’ai toujours estimé que, *dans mon cas d’usage* (je n’utilise pas mon smartphone pour naviguer sur le web en permanence, j’ai très peu d’applis, et je ne suis pas une cible / personne publique exposée, je suis plutôt informé et prudent, etc.), les arguments anti-root, notamment que ça briserait le fameux modèle de sécurité d’Android, relèvent de l’exagération : il faut des pratiques en rapport avec son [modèle de menace](https://fr.wikipedia.org/wiki/Mod%C3%A8le_de_menace). De plus, l’implémentation de `su` que j’utilisais sur mes anciens smartphones demande une confirmation, donc le coup d’une appli malveillante qui devient root me concerne assez peu. Pour être compromis, il faudrait donc un accès physique à mon smartphone (car l’accès root fait sauter le Verified Boot), et encore vu le chiffrement du stockage, ce qui est improbable vu mon [absence d’usage de mon smartphone](/?3ZsJWA), ou que j’octroie un accès root par inadvertance à une appli malveillante, ce qui est improbable vu mon usage de mon smartphone (j’installe des applis libres, uniquement depuis F-Droid, uniquement à la mise en service de mon ordiphone, dans le calme), ou qu’une de mes applications se fasse véroler, ce qui est improbable vu mon absence d’usage et que je n’octroie l’accès au réseau qu’aux applis dont j’évalue qu’elles en ont besoin pour répondre à un de mes besoins.

Sur mon premier smartphone, je voulais être root pour être root, avant même d’en avoir besoin (pour AFWall+, par exemple). C’est l’obsession de tous les libristes. Alors, qu’au final, des pans entiers de nos systèmes rootés sont opaques (blobs additionnels aux pilotes, BIOS / EFI, firmwares, microcode de CPU, etc.) et/ou échappent à notre contrôle (je pense à tous les logiciels libres qui font des choses derrière notre dos, y compris de la télémétrie et/ou qui changent de comportement par défaut à un rythme effréné), sans qu’un accès root ne permette vraiment d’influer sur ça, même quand on s’en rend compte.

Le contrôle, est-ce l’accès root ? N’est-ce pas là une vision restrictive ? Le contrôle, n’est-ce pas plutôt de parvenir raisonnablement à utiliser son appareil comme on l’entend (toute raison gardée), à en faire ce qu’on en veut, et à avoir raisonnablement confiance qu’il ne trahira pas ? Si ces deux points adviennent sans accès root, à quoi sert-il ? S’il est impuissant dans cette quête (cf. paragraphe précédent), à quoi sert-il ?

Ai-je besoin de l’accès root ? Avant, je l’utilisais pour [utiliser Debian sur mon smartphone](/?6y0PtQ), pour [utiliser un pare-feu](#igsuo-firewall), pour configurer l’assistance au GPS, et pour me connecter aux points d’accès Freewifi_secure ([lire ici](/?la8dMA)). Je n’utilise plus Debian sur mon ordiphone depuis longtemps. De même, je n’ai plus besoin de modifier des fichiers pour optimiser le GPS ou pour me connecter aux points d’accès Wi-Fi FreeWifi_secure avec EAP-SIM (à la connexion, il suffit de choisir « SIM » dans « Méthode EAP »). Le cas du pare-feu est déjà [discuté supra](#igsuo-firewall).

Un accès root ferait évidemment [sauter les mises à jour auto](https://github.com/schnatterer/rooted-graphene) et/ou demanderait du travail pour le rétablir après chaque màj. Cela contredit donc mon objectif d’avoir un système à jour (sans efforts). De même, il faudrait récupérer une implémentation de `su` voir une [image entière](https://github.com/schnatterer/rooted-graphene) depuis des endroits chelous (sans signature ni rien, quoi). Cela contredit mon objectif d’éviter de telles manips.

Ainsi, je n’ai pas rooté mon Pixel 6a.

Appels téléphoniques via Wi-Fi

J’avais entendu parler du Voice over Wi-Fi (VoWiFi), c’est-à-dire de la possibilité d’émettre et de recevoir des appels téléphoniques en Wi-Fi, mais je n’avais pas pu tester car mon LineageOS 14.1-Android 7 ne proposait pas cette fonctionnalité.

[Comme l’expose Wikipédia](https://fr.wikipedia.org/wiki/VoWiFi#Fonctionnement_[2]), et comme j’ai pu le constater (avec `hostapd` et `wireshark`), **la VoWiFi transporte également les SMS**.

Au niveau technique, comme le relate Wikipedia, il s’agit d’un tunnel IPSec entre l’ordiphone et l’opérateur téléphonique.

Plusieurs amis ayant des terminaux et opérateurs téléphoniques différents me rapportent que le VoWiFi dysfonctionne plus ou moins, que ce n’est pas la panacée.

Quelques nuances sur GrapheneOS

Ci-dessous, dans la [section « Choix d’un remplaçant »](#igsuo-choix) puis tout au long de cet article, je tresse des lauriers à GrapheneOS.

Pour changer, une liste de trucs qui m’ont déplu et/ou qui m’ont fait douter de la réflexion / maîtrise derrière GrapheneOS :
* Je l’ai déjà écrit, mais l’austérité des écrans d’accueil et de verrouillage, et l’absence de fourniture de fonds d’écran m’ont grave étonné ;

* J’ai écrit que GrapheneOS dispose d’un cycle de développement et j’ai sous-entendu que les gens derrière le projet savent ce qu’ils font. Google a publié la version 15 d’Android le 15 octobre 2024. GrapheneOS a publié sa [première version basée sur Android 15](https://grapheneos.org/releases#2024101600) le 16 octobre. Durant les 5 jours suivants, le projet a publié une version stable par jour. Certaines corrigent des régressions qui portent atteinte à la vie privée : « Settings: enable our per-connection Wi-Fi MAC randomization feature by default for new networks again on Android 15 instead of the standard per-network approach » (le mot « again » laisse supposer que ce n’est pas la première fois que ça arrive) ; « stop enabling the new Android 15 "Send device name" toggle for Wi-Fi networks by default to continue avoiding sending the device model (default) or user configured device name as a DHCP client hostname » ; plusieurs corrections à la deuxième version post-Android 15. De même, je vois des mini-versions qui ajoutent des fonctionnalités au lieu d’une version « stable » qui regroupe plusieurs fonctionnalités. Je vois également des mises à jour qui mélangent sécurité et fonctionnalités (comme les [DSA](https://www.debian.org/security/#DSAS) pour certains logiciels, quoi). Bref, le cycle de développement n’est pas aussi rigoureux qu’il m’est apparu de prime abord ;

* Alors que j’étais à la recherche d’informations sur l’opportunité d’un pare-feu, plusieurs écrits du projet m’ont fait douter de la bonne compréhension des concepts manipulés et/ou de la qualité de la communication autour d’eux. Le summum : « Linux without any special configuration drops new inbound connections unless something is listening on the port. […] eBPF is used to drop all inbound traffic. […] New inbound traffic is dropped by default. Only apps added to the whitelist via the INTERNET permission can listen on a port. » ([source](https://discuss.grapheneos.org/d/4113-arguement-against-gos-firewall-makes-no-sense-to-me/11)). Dans un contexte de pare-feu, on cherche justement à ajouter une couche de protection, notamment pour éviter qu’un logiciel autorisé n’écoute sur un port car on l’a mal configuré et/ou que son comportement par défaut a changé à notre insu (sur mes serveurs, ce fut le [cas d’OpenDNSSEC](/?Mfvd7A) et [celui d'ejabberd](/?Q8iSdA), par ex.).

Conclusion

Puisque nous avons terminé les manipulations, je préconise de réduire la durée avant la mise en veille automatique de l’écran (paramètres, affichage, « Délai de mise en veille de l’écran ») ou celle avant le verrouillage après mise en veille de l’écran (paramètres, sécurité et confidentialité, déverrouillage de l’appareil, verrouillage de l’écran, « Verrouiller après la mise en veille ».

Il y a un **écart très significatif entre Lineage 14.1-Android 7 et GrapheneOS-Android 15**. Certaines fonctionnalités sont apportées par Android (chiffrement du stockage, profils / comptes multiples, [prise en charge conditionnelle des aides auditives](#igsuo-aides-auditives), granularité des permissions, enregistrement d’un appel téléphonique, permission pour installer des applis tierces qui ne nécessite plus d’activer les outils pour développeurs, mode "MMS uniquement", mode "bloquer toutes les connexions IP hors VPN", EAP-SIM, Wi-Fi qui demeure désactivé quand on le demande, quasiment plus aucune interaction à partir de l'écran de verrouillage sans saisie du code ‒ ça évite les petits farceurs, même s'il est toujours possible de vider la batterie avec la lampe torche ou d'activer le mode ne pas déranger ‒, etc.), d’autres par GrapheneOS (permissions pour l’accès au réseau et aux capteurs, contacts et storage scopes, serveurs relais et minimisation des requêtes réseaux pour SUPL & co, durcissement, conteneurisation de Google Play, désactivation totale des données du port USB, etc.), d’autres par la maîtrise découlant du peu de matériels supportés (comme le Wi-Fi qui reste éteint après une demande de l’utilisateur, comme l’écran qui reste éteint en cas d’inactivité, etc.).

Le **niveau d’intégration, d’agencement et de qualité proposé par Android est ouf**. :O Un système GNU/Linux sur un ordi peut aller se rhabiller. (Évidemment, je parle d’un système sans Google, sinon c’est un [tsunami de notifications](#igsuo-bootgoogle).)

La tenue de la batterie, qui n’est même pas neuve, n’a rien à voir avec celles de mes Galaxy S3 : plus de cinq jours, pour environ 6 h d’écran allumé. Pour ne rien faire à part accrocher le réseau mobile, ça me paraît être le minimum. Bon, mes Galaxy S3 étaient d’occasion (pas reconditionnés), leur écran s’allumait toutes les deux minutes (probable bug), et le Wi-Fi s’activait derrière mon dos, donc, forcément, la comparaison est fortement biaisée.

En tout cas, pour quelqu’un qui [limite au maximum son utilisation d’un ordiphone](/?3ZsJWA), j’en suis au 5^e en dix ans. Ça fait cher par rapport à l’usage. [Premier smartphone](/?1dF_bA), neuf, en 2014. trois d’occasion dont [un simlocké par erreur](/?gXsoKg), entre [2017](/?CbxM2Q) et [2024](/?8KKMZg). Puis, désormais, un 5^e, reconditionné. Certes, je les ai utilisés jusqu’à leur fin sauf le simlocké, mais bon, maigre consolation… Au final, pas sûr que l’occasion et/ou un système qui n’est plus maintenu (oui, j’établis une corrélation entre LineageOS et les [dysfonctionnements de mes Galaxy S3](/?8KKMZg)) soient le bon plan écolo (un téléphone reconditionné Google avec un système maintenu = 7 ans sauf panne matérielle > 5 ordiphones en 10 ans). À suivre.

GuiGui's Show - Thursday 31 October 2024

Thu, 31 Oct 2024 00:00:00 +0100

Migration OVH depuis VPS 2018 vers VPS 2020

Thu Oct 31 20:00:21 2024 -
http://shaarli.guiguishow.info/?z3dIXA

Email d'OVH. Fin des gammes VPS 2018, il faut migrer avant la fin de l'année sinon OVH s'en chargera (ou résilier). C'est l'progrès !

Actuellement, j'ai 1 CPU, 4 Go de RAM et 40 Go de stockage SSD pour 7,30 € HT. L'email évoque une migration vers une offre à 9,20 €, sans préciser HT ou TTC… Super pratique ! Il s'agit de **prix HT**.

Le manager web me propose de migrer soit vers un VPS 2020 Value 1 CPU, 4 Go, et 40 Go SSD pour 9,20 € HT (soit 2 € HT d'augmentation, soit quasi 30 € TTC/an :O ) soit vers un VPS 2020 Value 1 CPU, 2 Go, et 40 Go SSD pour 5,80 € HT (soit 1,5 € HT de réduction). (Cette deuxième offre étant exposée sur le site web d'OVH, c'est ainsi que j'ai pu déduire que les prix annoncés dans l'email et dans le manager web sont HT.)

Si l'on regarde la nouvelle gamme proposée par OVH, on a le VLE-4 4 CPU, 4 Go de RAM et 80 Go SSD pour 10 € HT, c'est-à-dire 3 cœurs CPU et 40 Go SSD supplémentaires pour seulement 0,80 € HT de plus, ainsi que le VLE-2, 2 CPU, 2 Go de RAM et 40 Go SSD pour 5 € HT, c'est-à-dire 1 cœur CPU supplémentaire pour 0,80 € HT en moins. Bref, **sur le plan tarifaire, la proposition d'OVH de migrer vers la gamme Value plutôt que la gamme VLE se réfléchit**.

La gamme VLE n'est pas disponible dans tous les centres de données et dans aucun de ceux situés en France, et parmi ceux situés en Europe, uniquement en Allemagne ou en Angleterre. Du coup, je ne suis pas intéressé.

J'ai décidé de ne pas utiliser la fonctionnalité du manager web pour migrer mon VPS, mais de le faire moi-même. Aucun grief contre OVH, mais si j'ai le choix entre un outil sur lequel je n'ai pas le contrôle, dont j'ignore la verbosité, dont j'ignore la fiabilité, etc. et ma [procédure de migration](/?UPeRMw) qui a déjà fait ses preuves plusieurs fois, le choix est vite fait. De plus, je veux résilier mon ancien VPS ce jour afin qu'il ne soit pas renouvelé pour un mois. Or, la vitesse de la migration dépend de mon ordre dans la file d'attente de l'hyperviseur (OVH annonce entre 30 minutes et plusieurs heures en fonction de la taille de l'espace de stockage afin de ne pas se mouiller, comme il annonce 24 heures max pour créer un VPS alors que la livraison est effective en moins de 10 minutes…). Enfin, en cas de plantage de la migration, avec ma procédure, j'ai la certitude que mon VPS restera fonctionnel sans une quelconque intervention humaine, ce qui n'est pas le cas avec une migration côté hyperviseur, ce qui est intéressant à la veille d'une fin de semaine de trois jours.

La **gamme Value 2020 comprend des améliorations** :
* Une IPv6 est associée au nom du VPS (vpsXXXXXXXX.ovh.net). ENFIN \o/ ;

* … Mais, avec Debian 12 préinstallé, elle n'est pas assignée à l'interface réseau du VPS. Poin poin poiiiin. :( En revanche, l'IPv6 est fonctionnel dans le mode rescue :D ;

* Au passage, dans son Debian 12 préinstallé, OVH utilise DHCP (:O tout en restant en /32) et netplan, donc il n'y a plus rien dans `/etc/network/interfaces` ;

* Dans le Debian 12 préinstallé, l'identifiant par défaut n'est plus root mais debian. Le mot de passe (à la livraison ou lors du passage en rescue) n'est plus communiqué par email mais via un lien valable 30 jours qui pointe vers un espace dédié dans le manager. Le mot de passe doit impérativement être changé à la première connexion SSH. `sudo` permet de passer root ;

* Dans son Debian 12 préinstallé, OVH utilise GPT, avec une partition EFI et une [partition de boot BIOS](/?Nc952A). Le démarrage s'effectue avec le BIOS ;

* La **gestion des enregistrements DNS inverses** (PTR) depuis le manager est une plaie. Après modification, un message sur fond vert apparaît pour dire que la modification a été effectuée, mais la valeur ne change pas dans le tableau. **Il faut seulement attendre** environ 15 minutes… (Plusieurs modifications à la suite génèrent une erreur.) Pour mon ancien VPS, le manager web prétend qu'il n'a pas de reverse IPv6 alors que si…

Voilou.

GuiGui's Show - Friday 25 October 2024

Fri, 25 Oct 2024 00:00:00 +0200

man qprint (1): encode / decode file as RFC 1521 MIME Quoted-Printable

Fri Oct 25 18:52:01 2024 -
https://manpages.org/qprint

`echo -n '=41=70=70=72=6F=75=76=C3=A9' | qprint -d`

\#Linux #commande

GuiGui's Show - Friday 11 October 2024

Fri, 11 Oct 2024 00:00:00 +0200

[ Pétition contre le cadre de protection des données UE–États-Unis ] | Parlement européen

Fri Oct 11 19:09:42 2024 -
https://www.europarl.europa.eu/petitions/fr/petition/content/0529%252F2024/html/P

**À soutenir** : une [pétition auprès du Parlement européen demandant la révision ou l'annulation de la décision d'adéquation au RGPD des États-Unis d'Amérique](https://www.europarl.europa.eu/petitions/fr/petition/content/0529%252F2024/html/P).

Cette décision d'adéquation, nommée Data Privacy Framework (DPF), permet une libre circulation des données à caractère personnel entre l'UE et les USA alors que le respect des droits fondamentaux en matière de vie privée n'y est pas garanti (au sens européen) et au détriment de tout protectionnisme réglementaire qui permettrait de créer et de soutenir un écosystème numérique européen (indépendance, économie, etc.). Bref, c'est une saloperie. [Plus d'infos](/?ATyeLQ).

Cette pétition a été initiée par l'un des co-fondateurs de l'[association Pour un RGPD respecté](https://asso-purr.eu.org/) (PURR).