microG est mauvaise implémentation des Play Services car nécessite du signature spoofing (moins un problème sur CalyxOS qui whitelist uniquement microG, mais quand même) et n'implémente pas correctement le modèle de sécurité pensé pour les API Play Services (exemple : pas de certificate pinning ou d'autres bonnes pratiques protégeant de MITMs).
microG a encore d'autres problèmes qui leur ont été reportés mais ils ont été peu réceptifs. Par bon sens, il faut donc la considérer comme une surface d'attaque supplémentaire, privilégiée dans l'OS qui plus est, ce qui n'a rien d'anodin (tout comme les Play Services propriétaires, au passage). On ne peut pas promettre de la vie privée sans notion de sécurité derrière pour la soutenir. Sans compter qu'avec microG, tu passes par les serveurs Google, tu envoies des données à Google ; et c'est normal, car c'est une implémentation qui fait exactement cela.
A savoir que GrapheneOS prévoit de développer une implémentation stub justement qui vise à rendre certaines applications compatibles en simulant que les serveurs Play Services sont down. Ce sera une implémentation minimale qui peut être activée et limitée à un user profile.
Enfin, chacun est libre d'utiliser microG, mais il convient de dire les choses clairement et d'éviter de faire une recommandation qui ne convient pas forcément à tout le monde. Il faut faire un choix éclairé : clairement, utiliser microG n'est pas sans conséquences. Et a priori le but de cette dépêche est d'expliquer simplement à tout le monde que oui, utiliser Android (vraiment) sans Google, c'est possible.
Ensuite, chacun mesure les sacrifices qu'il a à faire. Utiliser microG n'est pas une mauvaise chose en soi. Chacun est libre de ses choix, mais la vraie liberté de choix vient avec l'information.
[^] # Re: Lapin compris
Posté par Wonderfall (site web personnel) . En réponse à la dépêche De l'art d'installer GrapheneOS sur son smartphone. Évalué à 9. Dernière modification le 11 juin 2021 à 19:14.
microG est mauvaise implémentation des Play Services car nécessite du signature spoofing (moins un problème sur CalyxOS qui whitelist uniquement microG, mais quand même) et n'implémente pas correctement le modèle de sécurité pensé pour les API Play Services (exemple : pas de certificate pinning ou d'autres bonnes pratiques protégeant de MITMs).
microG a encore d'autres problèmes qui leur ont été reportés mais ils ont été peu réceptifs. Par bon sens, il faut donc la considérer comme une surface d'attaque supplémentaire, privilégiée dans l'OS qui plus est, ce qui n'a rien d'anodin (tout comme les Play Services propriétaires, au passage). On ne peut pas promettre de la vie privée sans notion de sécurité derrière pour la soutenir. Sans compter qu'avec microG, tu passes par les serveurs Google, tu envoies des données à Google ; et c'est normal, car c'est une implémentation qui fait exactement cela.
A savoir que GrapheneOS prévoit de développer une implémentation stub justement qui vise à rendre certaines applications compatibles en simulant que les serveurs Play Services sont down. Ce sera une implémentation minimale qui peut être activée et limitée à un user profile.
Enfin, chacun est libre d'utiliser microG, mais il convient de dire les choses clairement et d'éviter de faire une recommandation qui ne convient pas forcément à tout le monde. Il faut faire un choix éclairé : clairement, utiliser microG n'est pas sans conséquences. Et a priori le but de cette dépêche est d'expliquer simplement à tout le monde que oui, utiliser Android (vraiment) sans Google, c'est possible.
Ensuite, chacun mesure les sacrifices qu'il a à faire. Utiliser microG n'est pas une mauvaise chose en soi. Chacun est libre de ses choix, mais la vraie liberté de choix vient avec l'information.