#KeepAndroidOpen : AdGuard appelle Google à repenser sa politique qui pourrait restreindre la distribution indépendante d'apps Android
AdGuard est fier de figurer parmi les signataires d'une lettre ouverte récemment publiée s'opposant à la future politique de vérification des développeurs de Google. La campagne a été lancée par F-Droid l'année dernière et n'a cessé depuis de rallier des soutiens. La lettre a désormais été signée par un nombre croissant d'associations de la société civile et d'organisations technologiques, dont F-Droid lui-même, l'Electronic Frontier Foundation, la Free Software Foundation et Vivaldi. Elle est adressée aux dirigeants de Google Sundar Pichai, Larry Page et Sergey Brin, entre autres.
Le message est clair : la politique proposée représente un changement fondamental dans le fonctionnement de l'écosystème Android — et ce n'est pas pour le mieux. Nous soutenons pleinement toutes les préoccupations soulevées dans la lettre et sommes solidaires des organisations qui demandent à Google de reconsidérer sa position.
Quelles sont les nouvelles exigences de Google en matière de vérification des applications ?
Au cœur du débat se trouve un nouveau système de vérification obligatoire pour les développeurs Android. Contrairement aux exigences existantes qui s'appliquent uniquement aux applications distribuées via Google Play, ce cadre va beaucoup plus loin. Il exige que tous les développeurs Android, même ceux qui distribuent leurs applications de manière indépendante via leurs propres sites web, des boutiques d'applications tierces, des systèmes d'entreprise ou des transferts de fichiers directs, obtiennent d'abord une autorisation de facto de Google.
Concrètement, cela signifie que les développeurs devront créer un compte dans une nouvelle console Google, accepter les conditions générales de Google, payer des frais d'inscription de 25 dollars et suivre une procédure de vérification d'identité. Cette procédure comprend la présentation d'une pièce d'identité officielle valide, telle qu'un passeport ou un permis de conduire, la fourniture d'une adresse e-mail et d'un numéro de téléphone vérifiés à l'aide de codes à usage unique, et la liaison cryptographique de leur application à leur identité vérifiée. Les développeurs doivent télécharger l'empreinte publique SHA-256 de leur clé de signature et soumettre un APK signé contenant un fichier de vérification désigné afin d'associer le nom du package de l'application à leur identité enregistrée.
Il faut noter que les développeurs qui ont déjà des applications sur Google Play n'auront pas à repartir de zéro. Au lieu de créer un tout nouveau compte, ils disposeront d'une nouvelle option dans leur console Play existante pour enregistrer toutes les applications qu'ils distribuent en dehors de Google Play. Les développeurs qui distribuent uniquement des applications en dehors du Play Store devront toutefois créer un tout nouveau compte et suivre l'intégralité du processus d'enregistrement et de vérification. Cela signifie que pour de nombreux développeurs établis, les nouvelles exigences sont une extension de ce qu'ils font déjà pour Google Play plutôt qu'un système entièrement distinct. Pour ceux qui travaillent exclusivement en dehors de l'écosystème Play, cependant, il s'agit d'une série d'étapes entièrement nouvelles.
Ce programme est en phase de prélancement depuis novembre 2025 et sera ouvert à tous les développeurs en mars 2026. À partir de septembre 2026, il sera appliqué au Brésil, en Indonésie, à Singapour et en Thaïlande. À partir de cette date, tout développeur n'ayant pas terminé le processus de vérification et enregistré ses applications verra celles-ci bloquées et ne pourra plus les installer sur les appareils Android certifiés dans ces pays. Google a indiqué que cette politique serait ensuite étendue à l'échelle mondiale.
Google a déclaré que les étudiants et les développeurs amateurs pourront créer des comptes spéciaux soumis à moins de contrôles et sans avoir à payer les frais standard de 25 dollars. Si cela peut alléger légèrement la charge, cela ne change rien à la réalité sous-jacente : la distribution indépendante de logiciels sur Android nécessitera désormais l'accord explicite de Google.
C'est un changement profond qui bouleverse complètement le principe même de l'écosystème Android, longtemps considéré comme l'antithèse de l'écosystème fermé d'Apple. Jusqu'à présent, Android se positionnait comme un écosystème ouvert, dans lequel les développeurs pouvaient créer et distribuer des logiciels sans avoir à passer par un seul et unique contrôleur d'accès. Dans le nouveau cadre, cette ouverture est fondamentalement restreinte. Cette politique étend le contrôle de Google au-delà de son propre Play Store et à l'ensemble de l'écosystème Android, donnant ainsi à l'entreprise la capacité technique d'empêcher l'installation d'applications qu'elle n'a pas approuvées
Qu'est-ce qui ne va pas avec les nouvelles règles de Google ?
L'impact sur la communauté des développeurs et, avant tout, sur l'innovation de pointe au sein de celle-ci pourrait être considérable. Les projets open source gérés par des bénévoles, les développeurs soucieux de la confidentialité et les équipes situées dans des régions où les services Google sont limités ou difficiles d'accès pourraient tous se heurter à de nouveaux obstacles. Ce qui semble être un « processus de 10 minutes » sur le papier peut facilement se transformer en un véritable obstacle pour les petites équipes disposant de peu de temps et de ressources limitées.
Cela soulève également des préoccupations légitimes en matière de confidentialité pour les développeurs eux-mêmes. Exiger une pièce d'identité délivrée par le gouvernement, des numéros de téléphone vérifiés et d'autres données personnelles concentre des informations sensibles en un seul endroit. Pour les développeurs qui créent des outils spécialement conçus pour protéger la vie privée des utilisateurs, être contraints de divulguer leurs propres données personnelles comme condition préalable à la distribution est profondément contradictoire.
Le contexte général de l'application de cette règle est tout aussi préoccupant. Google a une longue histoire de suspensions et de rejets d'applications que les développeurs qualifient d'opaques, incohérents et difficiles à contester. Accorder à l'entreprise une autorité élargie sur toute la distribution des applications Android — et pas seulement sur les listes du Play Store — amplifie les inquiétudes concernant l'application arbitraire de la loi et les recours limités.
De plus, il y a de bonnes raisons de se demander si cette politique permettra d'atteindre son objectif déclaré, à savoir améliorer la sécurité. Des acteurs malveillants déterminés ont démontré à plusieurs reprises leur capacité à contourner les mesures de sécurité, même au sein de Google Play, où des contrôles d'identité et de conformité existent déjà. Une enquête menée l'année dernière par Bitdefender a révélé que plus de 331 applications malveillantes avaient réussi à se faufiler sur la plateforme, touchant des millions d'utilisateurs malgré les exigences de vérification existantes. Ces applications ont pu contourner les mesures de sécurité d'Android 13 et tromper les utilisateurs, tout en se faisant passer pour des logiciels légitimes.
Pour les développeurs légitimes, cependant, l'impact sera immédiat et réel. Les créateurs indépendants qui dépendent du sideloading ou des boutiques d'applications tierces pourraient décider que les formalités administratives supplémentaires, les frais et les casse-tête liés à la conformité n'en valent tout simplement pas la peine. Le résultat ? Moins d'applications en dehors de Google Play et en général, non pas parce que les utilisateurs n'en veulent pas, mais parce que les frictions supplémentaires éloignent les développeurs. Cela aura pour effet de décourager la concurrence et de ralentir l'innovation.
Du point de vue de l'utilisateur, cette politique pourrait également créer un faux sentiment de sécurité. Si les applications ne peuvent être installées qu'après avoir été « vérifiées », les utilisateurs pourraient supposer que « vérifié » signifie automatiquement « sûr ». Ce n'est pas le cas. La vérification confirme simplement qui est à l'origine de l'application, elle ne garantit pas un code propre ni n'exclut tout comportement malveillant. Cette confiance mal placée pourrait rendre les utilisateurs moins prudents, affaiblissant ainsi la sensibilisation à la sécurité que le système d'alerte d'Android était censé encourager.
Que peut-on faire à la place ?
Android dispose déjà d'outils de sécurité solides intégrés. Des fonctionnalités telles que le sandboxing, les contrôles d'autorisation détaillés, la signature vérifiée des applications, les avertissements de sideloading et Google Play Protect créent plusieurs niveaux de protection. Si ces outils sont correctement appliqués — et ce « si » est vraiment important —, ils devraient être plus que suffisants pour faire face aux menaces réelles de sécurité sans soumettre l'ensemble de l'écosystème à un contrôle centralisé plus strict.
Par exemple, Google Play Protect analyse en permanence les applications présentes sur un appareil, y compris celles qui ne proviennent pas de Google Play, et les compare aux systèmes de détection des menaces de Google. Il peut avertir les utilisateurs de la présence d'applications malveillantes, les désactiver ou les supprimer dans les cas graves. En bref, il est conçu pour détecter les comportements malveillants, quelle que soit la provenance de l'application.
Ainsi, sécurité et transparence ne sont pas nécessairement incompatibles. Android parvient à trouver un équilibre entre les deux depuis des années. Mais lorsque de nouvelles politiques accordent encore plus de contrôle à un seul propriétaire de plateforme, et cela à une époque où les régulateurs surveillent déjà de près la compétitivité et la maîtrise du marché, cela soulève des inquiétudes légitimes. De telles mesures peuvent renforcer le pouvoir de contrôle de Google, marginaliser les boutiques d'applications alternatives et rendre plus difficile la concurrence à armes égales pour les développeurs indépendants. Il semble qu'il ne s'agisse pas seulement de sécurité, mais plutôt de savoir qui contrôle l'accès aux utilisateurs.
La plus grande force d'Android a toujours été dans son caractère ouvert. C'est ce qui a attiré les développeurs et les utilisateurs au départ. Nous sommes convaincus que préserver cette ouverture profite à tout le monde.
Pour nous, chez AdGuard, ce n'est pas seulement théorique. Nos utilisateurs savent que la version complète d'AdGuard pour Android n'est pas disponible sur Google Play, car les politiques de Google n'autorisent pas les bloqueurs de publicités complets et à l'échelle du système sur cette plateforme. Elle peut être téléchargée directement depuis notre site web officiel ou depuis des boutiques d'applications tierces de confiance.
Nous restons déterminés à rendre AdGuard accessible à tous et nous prendrons toutes les mesures nécessaires pour nous conformer à la nouvelle politique de Google afin de garantir que l'application reste disponible à l'avenir, si et quand elle entrera en vigueur. Cependant, à ce stade, nous ne savons pas encore exactement ce qui sera exigé de nous pour rester pleinement conformes au nouveau cadre. Dans le même temps, nous pensons que la meilleure solution serait que Google reconsidère cette orientation et préserve l'ouverture qui caractérise depuis longtemps l'écosystème Android.
