Comparaison des systèmes d’exploitation basés sur Android GrapheneOS vs CalyxOS vs LineageOS
GrapheneOS vs CalyxOS vs LineageOS
Il s’agit d’une comparaison des « ROM » Android les plus populaires (meilleur terme : distributions AOSP ou OS basé sur Android). Si tu penses que quelque chose est factuellement incorrect, merci de me le faire savoir. DivestOS était à l’origine inclus dans cette comparaison, mais il a été abandonné à la fin de l’année 2024.
Comparaison des systèmes d’exploitation basés sur Android
Dernière mise à jour : 2 août 2025
| GrapheneOS | CalyxOS | IodéOS | /e/ | LineageOS | « Android « Stock | |
 |  |  |  |  |  | |
| Basé sur | AOSP | AOSP | LineageOS | LineageOS | AOSP | AOSP |
| La liberté | ||||||
| Libre et gratuit (FOSS) ? | Oui | Oui | Oui | Oui | Oui | Non |
| Débloqué ? | Oui, de manière significative | Oui, de façon significative | Oui, minime | Oui, minimal | Oui, minime | Non |
| Caractéristiques | ||||||
| Contrôles réseau pour les applications | Accès direct et indirect | Accès direct uniquement | Accès direct uniquement | Accès direct uniquement | Accès direct uniquement | Non |
| Localisation basée sur le réseau (sans GNSS) | Opt-in avec choix du serveur | Oui, en utilisant la localisation microG | Oui, en utilisant la localisation microG | Oui, en utilisant la localisation microG | Non | Oui, en utilisant Play Services |
| Blocage des connexions et des traqueurs à l’échelle du système | Paramètres DNS privés, ou via l’application VPN | Paramètres DNS privés, ou via l’application VPN | Application iode-snort, DNS privé ou VPN | Paramètres DNS privés, ou via l’application VPN | Paramètres DNS privés, ou via l’application VPN | Paramètres DNS privés, ou via l’application VPN |
| Sauvegardes téléphoniques cryptées E2E | Oui (Seedvault) | Oui (Seedvault) | Oui (Seedvault) | Oui (Seedvault) | Oui (Seedvault) | Oui, mais nécessite une connexion Google |
| Transfert de notifications à partir d’autres profils d’utilisateurs | Oui | Non | Non | Non | Non | Non |
| PIN de contrainte (pour effacer l’appareil) | Oui, voir ici | Non | Non | Non | Non | Non |
| Compatible avec Android Auto | Oui (en bac à sable), voir ici | Oui (avec des autorisations privilégiées), voir ici | Oui (avec des autorisations privilégiées), voir ici | Oui (avec des autorisations privilégiées), voir ici | Non | Oui (avec des permissions privilégiées) |
| Compatible avec Google Pay | Non | Non | Non | Non | Non | Oui (avec des permissions privilégiées) |
| Enregistrement des appels | Oui | Seulement dans certaines régions, voir ici | Seulement dans certaines régions, voir ici | Seulement dans certaines régions, voir ici | Seulement dans certaines régions, voir ici | Dépend des régions et du fabricant |
Option pour activer les captures d’écran dans toutes les applis. | Non | Non | Non | Non | Non | Non |
| Degoogling (connexions à Google) COULEURS | ||||||
| Activation de l’eSIM | Google eUICC sans partage de données | Google eUICC (préinstallé) | Google eUICC (préinstallé) | Google eUICC (préinstallé) | Google eUICC (préinstallé) | Google eUICC (préinstallé) |
| Fournisseur de services de localisation en réseau | Aucun défaut, GrapheneOS, Apple ou Google | emplacement microG | emplacement microG | emplacement microG | s/o | |
| SUPL (pour le GNSS assisté) | GrapheneOS par défaut, Google ou aucun | Google par défaut, ou aucun | Google par défaut, ou aucun | Aucun par défaut, ou Google | Google par défaut, ou aucun | |
| PSDS/XTRA (« Standard » dépend de la puce GPS) | GrapheneOS par défaut, Standard, ou aucun | Standard (excl. Google) par défaut, ou aucun | Standard (excl. Google) par défaut, ou aucun | Aucune par défaut, ou Standard | Défautstandard, ou aucun | Standard |
| Contrôle de connectivité/portail captif | GrapheneOS par défaut, Google, ou aucun. | Google (peut être modifié) | Kuketz.de (peut être modifié) | Murena.io (lié à /e/) (peut être modifié) | Google (peut être modifié) | Google (peut être modifié) |
| Vérification de la connectivité DNS | GrapheneOS par défaut, ou Google | |||||
| Serveur DNS de repli | Cloudflare | Cloudflare | Quad9 | Quad9 | ||
| Heure du réseau | GrapheneOS par défaut, ou aucun. | Google (peut être changé) & transporteur | NTP.org (peut être changé) & transporteur | NTP.org (peut être changé) & transporteur | Google (peut être changé) & transporteur | Google (peut être changé) & transporteur |
| Attestation de matériel provisionnement | GrapheneOS par défaut, ou Google | |||||
| Approvisionnement DRM (Widevine) | GrapheneOS par défaut, ou Google | |||||
| Services Google Play | ||||||
| Mise en œuvre | GmsCompat (Google Play en bac à sable) | microG | microG | microG | Aucune par défaut. Il est possible d’installer microG manuellement (LineageOS prend en charge l’usurpation de signature pour microG depuis 2024). Sinon, il existe des ROM avec microG préinstallé ou on peut ajouter des apps Google pendant le processus d’installation, mais ce n’est pas officiellement pris en charge par LineageOS. | Services Google Play |
| Facultatif ? | Oui (non préinstallé) | Oui (préinstallé mais opt-out) | Oui (préinstallé mais opt-out) | Peut être désactivé via le mode développeur | Non (préinstallé sans opt-out) | |
| Fonctionne dans un bac à sable d’application standard ? | Oui | Non | Non | Non | Non | |
| Peut-on le limiter à un profil d’utilisateur ou de travail ? | Oui | Oui | ? (À CONFIRMER) | ? (À CONFIRMER) | Non | |
| L’usurpation de signature est-elle nécessaire/autorisée ? | Non | Uniquement pour la signature Google | Uniquement pour la signature Google | Uniquement pour la signature Google | Non | |
| Notifications push via Google FCM ? | Oui | En option | En option | En option | Oui | |
| Intégrité de Google Play ? | Ne réussit que l’intégrité de base, voir ici | Ne réussit que l’intégrité de base | Non, mais l’intégrité de base est attendue prochainement | Non, mais l’intégrité de base est attendue prochainement | Oui | |
| Option pour marquer les applications comme installées par Play Store ? | Oui si la signature correspond | Fait si installé à partir du magasin Aurora | Fait si installé à partir du magasin Aurora | Non | Non | Non |
| Vie privée | ||||||
| Portées de stockage | Oui, voir ici | Non | Non | Non | Non | Non |
| Lunettes de contact | Oui, voir ici | Non | Non | Non | Non | Non |
| Contrôles des capteurs par application | Oui, voir ici | Non | Non | Non | Non | Non |
| Nettoyage de l’état DHCP par connexion | Oui | Non | Non | Non | Non | Non |
| Randomisation de l’adresse MAC | Par connexion, voir ici | Par réseau | Par réseau | Par réseau | Par réseau | Par réseau |
| SUPL : IMSI ou numéro de téléphone envoyé ? | Non | Non | Non | Non | Non | Oui |
| Qualcomm XTRA : user agent envoyé ? | Non | Partiellement (pour les puces Qualcomm) | Partiellement (pour les puces Qualcomm) | Partiellement (pour les puces Qualcomm) | Partiellement (pour les puces Qualcomm) | pour les puces GPS de Qualcomm |
| Fuites de paquets à profil croisé fermé ? | Oui | Non | Non | Non | Non | Non |
| Fuites d’identificateurs de dispositifs fermés ? | Oui, voir ici | Non | Non | Non | Non | Non |
| Suppression des métadonnées pour les captures d’écran | Oui, voir ici | Oui, voir ici | Non | Non | Non | Non |
| Suppression des métadonnées EXIF pour les photos | Oui, voir ici | Non | Non | Disponible en option | Non | Non |
| Marquage des lieux pour les photos | Opt-in | Opt-in, voir ici pour plus d’informations | Opt-in | Opt-in | Opt-in | Opt-out |
| Suivi par l’intermédiaire de l’identifiant publicitaire Android ? | Ne fait pas partie du système | ID aléatoire | ID aléatoire | ID aléatoire | Ne fait pas partie du système | Oui, mais peut être supprimé dans les paramètres |
| Sécurité | ||||||
| Démarrage vérifié (si l’appareil le permet) ? | Oui, y compris les mises à jour de l’application système | Oui, mais à l’exclusion des mises à jour de l’application système | Oui, mais à l’exclusion des mises à jour de l’application système | avec clés de test ; excluant les mises à jour de l’application système | Non | Oui, mais à l’exclusion des mises à jour de l’application système |
| Vérification de la sécurité basée sur le matériel | Oui, voir ici | Non | Non | Non | Non | Certains appareils, voir ici |
| Protection contre le déclassement de l’application système | Pour les mises à jour et le démarrage, avec fs-verity | Pour les mises à jour (incomplètes) | Pour les mises à jour (incomplètes) | Pour les mises à jour (incomplètes) | Pour les mises à jour (incomplètes) | Pour les mises à jour (incomplètes) |
| Sécuriser le lancement de l’application ? | Oui (exec) | Non | Non | Non | Non | Non |
| Marquage de la mémoire matérielle ? | Oui, si l’appareil le permet | Non | Non | Non | Non | Non |
| Compilation/profilage JIT Android Runtime | CompilationAOT sans profilage | Interprète/JIT avec profilage | Interprète/JIT avec profilage | Interprète/JIT avec profilage | Interprète/JIT avec profilage | Interprète/JIT avec profilage |
| Prévention du chargement de code dynamique pour les applications | Système, opt-in pour les applications hors système | Aucun | Aucun | Aucun | Aucun | Aucun |
| Secure TLS pour SUPL ? | TLSv1.2 | TLSv1.1 ou TLSv1.0 | TLSv1.1 ou TLSv1.0 | TLSv1.1 ou TLSv1.0 | TLSv1.1 ou TLSv1.0 | TLSv1.1 ou TLSv1.0 |
| Serveur DNS de repli avec DNSSEC ? | Oui | Oui | Non | Oui | Oui | Oui |
| Connexion sécurisée au serveur de temps du réseau ? | HTTPS via le serveur GrapheneOS | NTP sans NTS et heure basée sur l’opérateur | NTP sans NTS et heure basée sur l’opérateur | NTP sans NTS et heure basée sur l’opérateur | NTP sans NTS et heure basée sur l’opérateur | NTP sans NTS et heure basée sur l’opérateur |
| Peut-on désactiver les données de l’USB-C et des broches pogo ? | Par défaut (quand il est verrouillé), voir ici | Non | Non | Non | Non | Non |
| Peut-on désactiver la charge USB-C ? | Opt-in (après le démarrage), voir ici | Non | Non | Non | Non | Non |
| Peut-on désactiver les connexions USB ? | Par défaut (quand il est verrouillé), voir ici | Défaut (pendant le verrouillage), logiciel uniquement | ? (à confirmer - comme Lineage ou stock ?) | ? (à confirmer - comme Lineage ou stock ?) | Opt-in, logiciel uniquement | API d’administration des appareils |
| Peut-on désactiver automatiquement le WiFi s’il n’est pas utilisé ? | Oui | Oui | Non | Non | Non | Non |
| Peut-on désactiver automatiquement le Bluetooth s’il n’est pas utilisé ? | Oui | Oui | Non | Non | Non | Non |
| Peut-on désactiver automatiquement la NFC si elle n’est pas utilisée ? | Oui | Non | Non | Non | Non | Non |
| Minuterie de redémarrage automatique pour les appareils verrouillés | Oui | Oui, avec des défauts (pas d’état BFU correct) | Non | Non | Non | Non |
| Déverrouillage par empreinte digitale à 2 facteurs | Oui (empreinte digitale + code PIN), voir ici | Non | Non | Non | Non | Non |
| Composants du système renforcés | Oui, l’allocateur de mémoire, le noyau, la libc, le webview (Vanadium), la politique SELinux et d’autres durcissements ont été renforcés. Voir ici | Non (comme AOSP) | Non (comme AOSP) | Non (comme AOSP) | Non (comme AOSP) | Non (comme AOSP) |
| Mises à jour | ||||||
| Vitesse des mises à jour de sécurité (sous-ensemble AOSP de ASB) | Généralement le jour même | Pas de mise à jour pour le moment | 2-4 semaines, parfois plus | 1 à 2 mois, parfois plus | 1 à 2 semaines, parfois plus | Cela dépend du fournisseur du téléphone |
| Des correctifs complets sur des appareils entièrement pris en charge | Plusieurs jours | Pas de mise à jour pour le moment | Plusieurs mois à plusieurs mois | De plusieurs mois à plus d’un an | Plusieurs mois à plusieurs mois | Cela dépend du fournisseur du téléphone |
| Mises à jour de sécurité partielles (ASB) après la date EoL | jusqu’à 5 ans après le lancement | Pas de mise à jour pour le moment | Plusieurs années | Plusieurs années | Plusieurs années | Par définition : Non |
| Nombre de versions d’Android prises en charge | Généralement 1 version Android | Pas de mise à jour actuellement | Généralement 1 version Android | 2-3 versions Android | Généralement 3 versions Android | Généralement 3 versions Android |
| Vitesse de mise à jour de la Webview | <2 jours | Pas de mise à jour actuellement | <2 semaines | Plusieurs semaines/mois | <2 semaines | Dépend du fournisseur du téléphone |
| Appareils pris en charge | Exigences en matière de matériel | Exigences en matière de matériel | ||||
| Asus* | Non | Non | Non | Anciens appareils seulement | Appareils plus anciens uniquement | Oui (ZenUI) |
| Fairphone | Non | Pas encore disponible | Oui | Oui | Oui | Oui |
| Oui | Pas encore disponible | Oui | Oui | Oui | Oui | |
| Motorola | Non | Non disponible pour l’instant | Oui | Oui | Oui | Oui |
| Oneplus | Non | Non | Oui | Anciens appareils seulement | Oui | Oui (OxygenOS) |
| Samsung* | Non | Non | Appareils plus anciens seulement | Appareils plus anciens seulement | Appareils plus anciens uniquement | Oui (OneUI) |
| Sony | Non | Non | Oui | Appareils plus anciens seulement | Oui | Oui |
| Xiaomi | Non | Non | Appareils plus anciens seulement | Appareils plus anciens uniquement | Oui | Oui (HyperOS) |
| * ces fabricants ne prennent plus en charge le déverrouillage du bootloader pour tous ou la plupart de leurs nouveaux appareils. « Anciens appareils uniquement » = pas d’appareils sortis depuis 2023. |
Annexe 1 : utilisation de différents profils dans Android
Il est possible d’utiliser différents profils pour séparer les apps, les fichiers et autres données les uns des autres. Du moins au plus séparé du profil principal de l’utilisateur, les options sont les suivantes : profil de travail, espace privé (depuis Android 15) et utilisateurs secondaires. Tu trouveras ci-dessous une comparaison de leurs différences :
| Profil de travail (avec abri) | Espace privé | Profils d’utilisateurs secondaires | |
| Vie privée et accès aux données | |||
| Accès aux fichiers | Séparer | ||
| Accès aux contacts | Séparer | ||
| Rangement des calendriers | Séparé | ||
| Presse-papiers | Partagé avec le profil principal | Partagé avec le profil principal (GrapheneOS : le partage peut être désactivé). | Séparer |
| Connexions VPN | Séparer | ||
| Connexions WiFi et Bluetooth enregistrées | Partagées avec le profil principal | ||
| DNS privé (dans les paramètres) | Partagé avec le profil principal | ||
| Paramètres du système | Principalement partagés avec le profil principal | Complètement séparés | |
| Historique des appels et des SMS | Impossible d’accéder aux appels et aux SMS | Accès optionnel (« activer les appels téléphoniques et les SMS ») | |
| Communication avec d’autres applications | Limitée aux autres apps du même profil | ||
| Voir quelles autres applications sont installées | Limité aux autres applications du même profil | ||
| Commodité | |||
| Le profil peut être exécuté en arrière-plan ? | Oui | ||
| Le profil peut démarrer automatiquement après un redémarrage ? | Oui | Non (il faut d’abord déverrouiller le profil) | |
| Cloner des applications depuis/vers le profil principal | Oui, dans les deux sens (via Shelter) | GrapheneOS uniquement, du principal au privé | GrapheneOS uniquement, du principal au secondaire |
| Peut-on utiliser la biométrie dans les applications ? | Oui | Seulement si des données biométriques distinctes sont configurées pour ce profil. | |
| Intégration au profil principal | |||
| Tu peux passer rapidement d’une application à l’autre à partir de différents profils ? | Oui, les applications apparaissent dans la liste des applications récentes du profil principal. | Non, il faut changer d’utilisateur actif | |
| Intégration dans le gestionnaire de fichiers en tant qu’emplacement de stockage | Oui (via Shelter) | Non | |
| Partage des fichiers entre les profils via le menu « Partager | Oui | Non | |
| Peut-on ajouter un raccourci d’application à l’écran d’accueil (du profil principal) ? | Oui | Non | |
| Peut-on ajouter des widgets à l’écran d’accueil (du profil principal) ? | Non | ||
| Peut-on afficher les notifications des applications dans le profil principal ? | Oui, comme les notifications des applications en cours d’exécution dans le profil principal. | si tu utilises le verrouillage de l’écran de l’appareil pour l’espace privé : Oui ; si tu utilises un code PIN/biométrique séparé pour l’espace privé : Oui, mais aucun contenu de notification n’est affiché, seulement le nom de l’application. | GrapheneOS uniquement & optionnel pour chaque profil ; aucun contenu de notification n’est affiché, juste le nom de l’appli. |
| Protection et sécurité | |||
| NIP et biométrie | Peut utiliser le même profil que le profil principal ou mettre en place une authentification séparée | Doit être configuré séparément mais peut aussi n’en utiliser aucun (« sauter ») | |
| Faut-il saisir un code PIN/une empreinte digitale pour déverrouiller le profil ? | Seulement si un code PIN distinct a été défini pour le profil de travail | Oui (après le redémarrage ou après avoir éteint l’écran) | Facultatif (uniquement si un code PIN a été défini pour le profil) |
| Après avoir déverrouillé le profil, dois-tu saisir le code PIN/l’empreinte digitale pour démarrer les applications ? | Non | si tu utilises le verrouillage de l’écran de l’appareil pour l’espace privé : Non ; si tu utilises un code PIN/biométrique séparé pour l’espace privé : Oui, après avoir éteint l’écran. | Non |
| La session de profil peut être arrêtée ou mise en pause ? | Oui | ||
Annexe 2 : Quels sont les autres systèmes d’exploitation mobiles alternatifs ?
Outre Android et les systèmes d’exploitation libres et open source basés sur Android (voir le tableau ci-dessus), la seule alternative viable pour la plupart des gens est l’iOS d’Apple. Il y a eu de nombreuses tentatives pour établir un troisième système d’exploitation mobile, mais jusqu’à présent, aucune d’entre elles n’a été couronnée de succès : La liste ci-dessous est une liste non exhaustive de systèmes d’exploitation mobiles, à la fois ceux que tu peux essayer aujourd’hui et ceux qui ont essayé et échoué dans le passé :
- iOS
- Android, à la fois des distributions propriétaires préinstallées comme OneUI de Samsung ou HyperOS de Xiaomi, et des forks open source d’AOSP, comme GrapheneOS FOSS ou LineageOS FOSS.
- Windows Mobile/Phone († 2020)
- BlackBerry OS († 2018)
- Symbian († 2012)
- Distributions Linux mobiles qui peuvent exécuter des applications Linux génériques (de bureau), telles que postmarketOS FOSS et PureOS FOSS ou des versions mobiles de distros Linux de bureau telles que Fedora, OpenSUSE, OpenMandriva, Debian (Mobian), Manjaro, etc. FOSS(voir ici pour une bonne liste)
- Autres systèmes d’exploitation mobiles utilisant le noyau Linux mais incapables d’exécuter des applications Linux génériques (de bureau) ; ils ont donc besoin d’applications spécifiquement développées pour eux (Android entre techniquement aussi dans cette catégorie) :
- SailfishOS
- Ubuntu Touch LOGICIELS LIBRES
- KaiOS
- FirefoxOS († 2015) FOSS
- Tizen († 2017 - pour les smartphones au moins, il est encore utilisé dans les Smart TV).
- Meego († 2012) FOSS
- Maemo († 2011)
- webOS († 2011 - pour les smartphones au moins, il est encore utilisé dans les Smart TV).
Source : https://eylenburg.github.io/android_comparison.htm
