La porte d'Android verrouillée : la nouvelle règle de Google limite l'accès aux apps
Google a annoncé qu'à partir de 2026, tous les développeurs d'applications devront vérifier leur identité s'ils souhaitent que leurs applications restent disponibles sur Android. Bien que cette règle touche toutes les apps, quel que soit leur lieu d'installation, les développeurs dont les applications sont déjà disponibles sur le Google Play Store ne remarqueront probablement pas de grand changement.
Google indique que si une application est déjà disponible sur le Play Store, le développeur a très certainement déjà fourni toutes les informations nécessaires à la vérification. Le magasin utilisera simplement ces informations existantes pour enregistrer automatiquement l'application.
Les personnes concernées sont les développeurs qui distribuent leurs applications en dehors du Play Store, ainsi que les utilisateurs qui dépendent de ces applications. Cela inclut les applications partagées via des boutiques tierces telles que APKPure, F-Droid, Amazon Appstore et autres, ainsi que les applications proposées directement sur les sites web des développeurs sous forme de fichiers .APK.
Google a expliqué qu'en introduisant cette nouvelle procédure de vérification, il vise à « mieux protéger les utilisateurs contre les acteurs malveillants qui répandent des logiciels malveillants et des escroqueries ». Selon les données de l'entreprise, les applications disponibles sur Google Play contiennent plus de 50 fois moins de logiciels malveillants que celles distribuées en dehors de la boutique.
À quoi ressemblera la vérification et qui sera concerné ?
Google indique qu'il est en train de développer une nouvelle console Android Developer Console spécialement destinée aux développeurs qui distribuent leurs applications en dehors du Play Store. Pour ceux qui souhaitent avoir un aperçu, la société a publié une documentation décrivant les premières étapes du nouveau processus.
Il est important de noter que si un développeur distribue des applications à la fois sur Google Play et en dehors de Google Play, il n'aura pas besoin de créer un compte Android Developer Console distinct. Une nouvelle option sera ajoutée à son compte Play Console existant, où il pourra enregistrer les applications qu'il distribue en dehors du Play Store. Les développeurs qui distribuent des applications exclusivement en dehors de Google Play devront toutefois créer un nouveau compte.
Dans le cadre du processus d'inscription, les développeurs, qu'il s'agisse de particuliers ou d'organisations, devront fournir une pièce d'identité officielle en cours de validité (par exemple, un passeport ou un permis de conduire), ainsi qu'une adresse e-mail et un numéro de téléphone vérifiés. Ceux-ci devront être confirmés à l'aide d'un code à usage unique envoyé par Google. Le système guide ensuite le développeur dans le processus de liaison du nom du package de son application à son identité vérifiée, en soumettant l'empreinte digitale publique SHA-256 de sa clé de signature et en téléchargeant un APK signé contenant un fichier de vérification spécifique. Pour la plupart des développeurs, en particulier ceux qui utilisent une seule clé et un nom de package unique, le processus devrait être rapide et simple, et prendre environ 10 minutes.
Il est à noter que le contenu réel de l'application n'est pas examiné au cours de ce processus. Google compare l'étape de vérification à un contrôle d'identité à l'aéroport : il s'agit de confirmer votre identité plutôt que de scanner vos bagages à l'aide d'un appareil à rayons X.
Google a également déclaré que les développeurs amateurs et les étudiants seront exemptés des exigences de vérification complète, qui pourraient autrement leur causer des tracas. Ils pourront plutôt créer un type de compte spécial avec moins de contrôles et sans avoir à payer les frais habituels de 25 dollars. Tous les autres développeurs devront toujours passer par le processus de vérification complet et payer les frais de 25 dollars pour créer un compte dans la nouvelle console.
Des avantages incertains pour les utilisateurs, un casse-tête certain pour les développeurs
La nouvelle politique a immédiatement suscité une vive réaction de la part de la communauté des développeurs. L'une des préoccupations était que les nouvelles règles ne dissuaderaient guère les acteurs malveillants, qui trouveraient le moyen de contourner le nouveau système, car des attaquants déterminés ont déjà démontré leur capacité à contourner les mesures de sécurité existantes au sein du propre écosystème de Google.
Ce n'est un secret pour personne que des centaines d'applications malveillantes continuent de passer entre les mailles du filet du Google Play Store, malgré le fait que les développeurs y soient déjà soumis à une vérification d'identité et à des contrôles de sécurité. Une récente enquête menée par Bitdefender a mis au jour une campagne de fraude publicitaire et d'hameçonnage à grande échelle impliquant au moins 331 applications malveillantes sur Google Play, qui ont cumulé plus de 60 millions de téléchargements. Ces applications ont facilement contourné les restrictions de sécurité d'Android 13, ont utilisé des techniques avancées pour dissimuler leur présence et ont même déployé des attaques de phishing pour voler les identifiants et les données de carte de crédit des utilisateurs, tout en opérant sous le couvert d'applications utilitaires légitimes.
En attendant, pour les développeurs légitimes — qui sont bien plus nombreux que les acteurs malveillants —, le nouveau système ne fera probablement que créer davantage de difficultés. On ne sait pas encore exactement à quel point le processus sera fastidieux, mais son impact devrait être notable. Les petits développeurs et ceux qui ont recours au sideloading ou à des boutiques d'applications tierces plutôt qu'à Google Play sont susceptibles d'être les plus touchés.
Faux sentiment de sécurité et choix limité
Du point de vue de l'utilisateur, ces changements pourraient avoir des conséquences négatives imprévues et potentiellement importantes. Tout d'abord, le choix d'applications, en particulier en dehors de Google Play, risque de se réduire. Les développeurs indépendants légitimes qui dépendent du sideloading ou des boutiques d'applications tierces pourraient choisir de se retirer plutôt que de se soumettre aux obstacles supplémentaires liés à la vérification. Ironiquement, cela pourrait entraîner une concentration plus importante d'applications malveillantes dans ces espaces, car les escrocs sont plus enclins à se soumettre à la vérification que les petits développeurs, qui ne tirent souvent que peu ou pas de revenus de leurs applications.
La nouvelle politique risque également de créer un faux sentiment de sécurité. Si les utilisateurs commencent à supposer que toutes les applications, même celles installées en dehors du Play Store, sont sûres simplement parce qu'elles proviennent d'un développeur vérifié, ils risquent de baisser leur garde. Cela pourrait se traduire par des habitudes de téléchargement plus imprudentes, les utilisateurs négligeant les précautions élémentaires et installant des applications sans tenir compte des risques.
Qu'adviendra-t-il d'AdGuard pour Android ?
Ceux qui utilisent le bloqueur de publicités AdGuard sur Android savent que l'application n'est pas disponible sur Google Play. En effet, les politiques de Google interdisent les bloqueurs de publicités complets au niveau du réseau. Vous pouvez télécharger la version complète d'AdGuard directement depuis notre site officiel, et elle est également disponible sur plusieurs boutiques d'applications tierces.
Pour notre part, nous restons déterminés à rendre AdGuard accessible à tous. Et nous pouvons vous assurer que nous prendrons toutes les mesures nécessaires pour nous conformer à la nouvelle politique de Google et garantir que l'application reste disponible à l'avenir.
