(désolé pour les liens, je peux pas tous les mettre parce que je suis nouveau donc j’en ai mis aucun)
Bonjour, j’espère que vous êtes toujours ouverts aux contributions.
J’ai passé pas mal de temps à essayer de faire fonctionner l’application chez moi, avec un minimum de compromis (je ne réinstallerais l’OS de base de mon téléphone et verrouillerais le bootloader qu’en dernier recours), et je suis assez content d’avoir réussi !
Sur la plupart (voire tous) les témoignages, on retrouve un verrouillage bootloader, ce qui est assez risqué je trouve.
Attention cependant, j’ai juste réussi à passer la première vérification (le classique « Oups… l’absence de certains mécanismes de sécurité sur votre téléphone empêche l’utilisation de France Identité… »), j’attends ma nouvelle carte d’identité pour tout confirmer, mais on est pas à l’abri d’un second problème.
Si l’application fonctionne quand je reçois ma carte d’identité, alors l’application est aveugle (car il me reste encore énormément de traces de LineageOS et de root très apparentes selon l’application Native Detector (github point com/reveny/Android-Native-Root-Detector)) et le message d’erreur est faux car le problème n’est pas matériel.
Je n’ai pas eu besoin de verrouiller mon bootloader pour que l’application fonctionne, j’ai mon téléphone qui est rooté, j’ai LineageOS 22 (Android 15) sur mon Xiaomi Redmi 10C (fog).
Le verdict Play Integrity de mon téléphone est MEETS_DEVICE_INTEGRITY, MEETS_STRONG_INTEGRITY n’est donc pas nécessaire pour utiliser France Identité.
J’ai déjà essayé de bidouiller un peu sur mon ancien OS (une GSI (developer point android point com/topic/generic-system-image) de SuperiorOS), sans succès, et le seul changement que je vois entre les deux c’est que l’application Key Attestation (github point com/chiteroman/KeyAttestation) (c’est un fork de l’application originale) dit maintenant que mon téléphone a son bootloader verrouillé et que ma chaîne de confiance est complète (en tout cas il y a plus aucune erreur au niveau des clés). Ce qui coïnciderait avec tous les témoignages sur le fait que France Identité vérifie si le bootloader est verrouillé.
Je pense que France Identité vérifie le bootloader verouillé, la chaîne de confiance des clés du téléphone (deux informations vérifiées par Key Attestation), et potentiellement aussi un MEETS_DEVICE_INTEGRITY au niveau du Play Integrity, mais pas du tout sûr (et aussi sûrement 2-3 bricoles à droite et à gauche genre si il y a une application Magisk ou une commande su
).
Encore une fois, je vous recommande vraiment de voir le diagnostic que fait l’application Key Attestation car je suis persuadé qu’il est très fortement corrélé au fonctionnement de l’application France Identité.
Maintenant la partie intéressante : comment ?
Je vais essayer de décrire ma configuration le plus précisément possible, n’hésitez pas à me poser d’autres question. Au passage, je compte rester actif car je suis très motivé pour « vaincre » cette application qui, selon moi, aurait déjà dû avoir son code source publié depuis des lustres.
À mon avis, 50% des choses de cette liste ne servent pas, mais bon je testerai plus tard et puis « If it works, don’t touch it ! ».
Root : J’utilise le fork Kitsune Mask (github point com/1q23lyc45/KitsuneMagisk) (version 27.3-kitsune-4) de Magisk (github point com/topjohnwu/Magisk).
- Dans les paramètres de Kitsune Mask, j’ai caché l’application.
- Dans les paramètres de Kitsune Mask, j’ai activé l’option « Zygisk ».
- Dans les paramètres de Kitsune Mask, j’ai activé l’option « MagiskHide ».
- Dans les paramètres de Kitsune Mask, j’ai activé l’option « Enforce SuList ».
- Dans les paramètres de Kitsune Mask, j’ai configuré la SuList et y ait inclus l’application des paramètres du téléphone, le paquet de base de l’interface (com.android.systemui), AdAway (adaway point org/), KsuWebUI (github point com/5ec1cff/KsuWebUIStandalone) (une application qu’il va falloir installer plus tard pour configurer un module de Magisk), Termux et X-plore (gestionnaire de fichiers que je ne recommande pas).
- J’utilise le module NeoZygisk (github point com/JingMatrix/NeoZygisk), version 1-0.0, (apparemment il faut pas activer le Zygisk dans les paramètres si on a ce module mais bon
).
- J’utilise le module Play Integrity Fork (github point com/osm0sis/PlayIntegrityFork/), version 12, et j’ai appuyé sur le bouton d’action.
- J’utilise le module Tricky Store (github point com/5ec1cff/TrickyStore), version 1.2.1, je crois que il n’est pas open source. J’ai appuyé sur le bouton d’action après avoir installé KsuWebUI, et dans les option (le bouton avec trois barres), j’ai « Select All », puis « Deselect Unnecessary », puis « Set Valid Keybox ».
- J’utilise TrickyAddon (github point com/KOWX712/Tricky-Addon-Update-Target-List), version3.9.
Les liens de téléchargement pour les impatients :
Kitsune Magisk (github point com/1q23lyc45/KitsuneMagisk/releases)
KsuWebUI (github point com/5ec1cff/KsuWebUIStandalone/releases)
NeoZygisk (github point com/JingMatrix/NeoZygisk/tags)
Play Integrity Fork (github point com/osm0sis/PlayIntegrityFork/releases)
Tricky Store (github point com/5ec1cff/TrickyStore/releases)
Tricky Addon (github point com/KOWX712/Tricky-Addon-Update-Target-List/releases)
Système : J’utilise LineageOS 22 natif (pas GSI).
- J’ai le débogage USB activé ainsi que le débogage rooté, aucun problème là-dessus.
- Mon téléphone est chiffré (rien d’anormal).
- SELinux (source point android point com/docs/security/features/selinux) est appliqué.
- Les correctifs de sécurité d’Android datent de « quelques mois ».
- J’ai les services Google Play (je les ai pas installés, ils étaient inclus dans ma ROM).
Et maintenant ?
- J’attends patiemment ma nouvelle carte d’identité, je vous tiendrai au courant (j’ai un peu peur d’avoir écrit tout ce message « pour rien » si il y a quelque chose d’autre qui cloche après). Au passage, si vous ne le savez pas ou si vos proches ne le savaient pas, vous pouvez désormais demander votre renouvellement de carte d’identité pour la raison « Je veux une identité numérique » ou quelque chose du genre, ça fonctionne très bien pour ceux qui sont impatients et qui avaient refait leur carte d’identité juste avant qu’ils mettent en place les nouvelles cartes d’identité (il faut que votre carte expire dans plus d’un an).
- J’ai entendu des rumeurs sur une potentielle refonte du système de Play Integrity en mai de cette année 2025, mais aucune information de plus.
- Je vais peut-être envoyer un mail ou deux au support de France Identité, pour avoir une idée de leur avancement sur plusieurs sujets (rendre l’application open source, régler le problème des appareils sur lesquels l’application ne fonctionne pas), et pour leur avis sur ma « solution » à un problème d’apparence matériel, mais je vais d’abord attendre la confirmation que tout fonctionne bien chez moi.
Merci d’avoir tout lu, j’ai conscience que c’est un peu long mais je voulais être sûr de ne rien oublier. Lire mon message quelques mois plus tôt m’aurait économisé des heures et même des jours, j’espère aider certains qui étaient dans la même situation que moi et qui passent par là, n’hésitez pas à nous donner votre retour !