S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Sur Android, F-Droid part en guerre contre la vérification d’identité des développeurs

Visions irréconciliables

Sur Android, F-Droid part en guerre contre la vérification d’identité des développeurs

Flock Google surveillance

La boutique tierce F-Droid dénonce la décision de Google d’imposer l’enregistrement auprès de ses services de tous les développeurs souhaitant proposer des applications sur Android. Selon elle, c’est un choix délibéré de tuer les boutiques alternatives. Pour Google, tout est question de sécurité.

Le 01 octobre 2025 à 10h21

Fin aout, Google annonçait une décision importante : la vérification de tous les développeurs souhaitant publier des applications Android sur les appareils équipés de Play Protect. Cette vérification se traduit par l’enregistrement obligatoire des personnes concernées auprès de Google, via un compte développeur, avec des informations comme le nom, l’adresse, l’e-mail et le téléphone. Il faudra également y déclarer les applications que l’on souhaite proposer.

Comme nous l’indiquons alors, cette obligation existait déjà pour les applications référencées par le Play Store depuis 2023. Avec cette décision, Google annonçait donc l’extension de l’obligation au sideloading, c’est-à-dire la possibilité de télécharger les fichiers APK pour les installer manuellement. Exactement ce que propose F-Droid.

Pour Google, il ne s’agissait alors que d’une étape logique de plus vers une plus grande sécurité : « Nous avons vu comment des acteurs malveillants se cachent derrière l’anonymat pour nuire aux utilisateurs […] L’ampleur de cette menace est importante : notre analyse récente a révélé plus de 50 fois plus de malwares provenant de sources sur Internet que des applications sur Google Play ». L’idée était alors simple : augmenter la transparence et la traçabilité.

Mais dans un contexte où la position dominante du Play Store est remise en cause des deux côtés de l’Atlantique, notamment à travers le procès contre Epic, la décision de Google fait grincer des dents. F-Droid dénonce la pratique.

F-Droid vent debout contre l’enregistrement obligatoire

Dans son billet publié lundi, F-Droid ne remet pas en cause la présence de multiples malwares dans les applications des boutiques tiers. Mais la boutique serait « différente ». Elle dit ainsi distribuer des applications « dont elle a validé qu’elles fonctionnent pour les intérêts de l’utilisateur, plutôt que pour ceux des distributeurs de l’application ».

F-Droid explique que lorsqu’un développeur crée une application et publie son code source sur un dépôt public, l’équipe de la boutique l’analyse pour vérifier qu’il est bien open source et ne contient pas « d’anti-fonctions non documentées », comme des publicités et trackers. C’est cette même équipe qui compile l’application et crée le paquet en vue de sa distribution. Le paquet est ensuite signé avec la clé cryptographique de F-Droid ou, dans le cas où la compilation serait reproductible, avec la clé privée du développeur.

Ce modèle, dont l’équipe semble particulièrement fière, est « mis en péril » par la décision de Google. D’abord parce que les personnes concernées vont devoir donner leurs informations à Google et payer les 25 dollars nécessaires pour valider la création du compte développeur, mais aussi parce qu’elles devront accepter les conditions d’utilisation « non négociables et en constante évolution » de la firme américaine.

« S’il est mis en vigueur, le décret d’enregistrement des développeurs mettra fin au projet F-Droid et d’autres sources de distribution d’applications libres/open-source telles que nous les connaissons aujourd’hui, et le monde sera privé de la sûreté et de la sécurité du catalogue de milliers d’applications auxquelles on peut faire confiance et vérifiées par tous »

Sécurité centralisée contre transparence et éducation

F-Droid s’oppose également à la vision de Google selon laquelle seule une approche centralisée via une boutique peut assurer la sécurité. L’équipe rappelle que le Play Store a hébergé à plusieurs reprises des applications vérolées, montrant que cette approche contrôlée n’offre pas de garantie.

Pour l’équipe de la boutique alternative, le fonctionnement qu’elle propose n’est pas non plus une garantie, mais il fournit une approche différente de la sécurité, basée sur la transparence et la responsabilisation : « chaque application est gratuite et open source, le code peut être audité par n’importe qui, le processus de construction et les journaux sont publics, et les builds reproductibles garantissent que ce qui est publié correspond exactement au code source ».

L’argument de la sécurité est d’autant plus critiqué que Google possède déjà un mécanisme de remédiation pour les logiciels malveillants, à savoir Play Protect. Il peut agir sur n’importe quel code exécuté sur Android, pas uniquement les applications provenant du Play Store. Pour F-Droid, tous ces risques peuvent aussi être atténués par l’éducation des utilisateurs, la transparence de l’open source et les mécanismes existants de sécurité.

Les régulateurs appelés à la rescousse

Pour l’équipe, on devrait pouvoir faire avec un appareil mobile ce que l’on fait avec un ordinateur : installer ce que l’on veut, d’où l’on veut. La vision de Google (et d’Apple) est que tout doit passer par la boutique officielle. Et si ce n’est pas le cas, il faut au moins que les développeurs montrent patte blanche pour avoir le droit de publier des applications sur Android.

F-Droid tente une comparaison : « Forcer les créateurs de logiciels à s’inscrire de manière centralisée pour publier et distribuer leurs travaux est aussi choquant qu’obliger les écrivains et les artistes à s’inscrire auprès d’une autorité centrale pour être en mesure de diffuser leurs œuvres ».

Ce que demande F-Droid ? Que les autorités de régulation et de concurrence se penchent sérieusement sur la question. « Nous exhortons les organismes de réglementation à préserver la capacité des boutiques d’applications alternatives et des projets open source à opérer librement et de protéger les développeurs qui ne peuvent ou ne veulent pas se conformer aux systèmes d’enregistrement d’exclusion et aux demandes d’informations personnelles ».

L’équipe demande à toutes les personnes se sentant concernées d’écrire à leurs représentants pour les informer du problème. Un lien est directement donné vers la page de la Commission européenne pour contacter l’équipe en charge du DMA.

Google reste droite dans ses bottes

Du côté de la firme américaine, on insiste : le changement va accentuer la sécurité. Dans un billet qu'elle vient de mettre en ligne, la société n'évoque pas les critiques de F-Droid. Elle indique simplement avoir collecté des retours depuis l'annonce initiale et vouloir répondre à quelques questions fréquentes.

Google veut bien sûr désamorcer le début de crise autour du sideloading, en réaffirmant qu’il ne disparaitra pas. Il est même décrit comme « fondamental pour Android ». La société ajoute que ses nouvelles exigences « sont conçues pour protéger les utilisateurs et les développeurs contre les acteurs malveillants, et non pour limiter le choix ». Les possibilités restent les mêmes, à condition que les développeurs s'enregistrent et prouvent leur identité.

La société ajoute que l'utilisation d'Android Studio ne sera pas affectée par le processus de vérification, « car les déploiements effectués avec adb, qu’Android Studio utilise en arrière-plan pour envoyer des builds aux appareils, ne sont pas affectés ».

En revanche, si un développeur distribue des fichiers APK à d'autres membres de son équipe à des fins de tests, il aura besoin de faire vérifier son identité dans le compte Google et d'enregistrer le paquet. Même chose pour les tests internes Google Play, pour Firebase ou toute solution tierce similaire.

Au cas où des applications ne seraient distribuées qu'à un petit nombre de personnes, l'obligation d'enregistrement pour les paquets est recommandée, mais pas absolue. Google parle cette fois encore d’un « type de compte développeur gratuit qui permettra aux enseignants, aux étudiants et aux amateurs de distribuer des applications sur un nombre limité d’appareils sans avoir à fournir une pièce d’identité officielle », mais de nouveau sans donner le moindre détail. Les personnes intéressées par ce type de compte sont invitées à le faire savoir à Google.

Des visions irréconciliables

Quoi qu'il en soit, la pression s’accroit sur Google, notamment pour la position dominante de sa boutique. Le procès contre Epic s’est soldé par une défaite majeure pour la firme, qui doit maintenant laisser les développeurs publier leurs applications où ils le souhaitent et utiliser le système de paiement qu’ils veulent. Google a fait appel à la Cour Suprême américaine pour faire bloquer le jugement, mais la juridiction avait botté en touche avec Apple sur un sujet similaire.

Pour F-Droid, Google se sert de la sécurité pour imposer plus de contrôle et de centralisation. La question peut d’ailleurs se poser : la firme de Mountain View n’y verrait-elle pas de moyen de garder la main alors qu’elle est pressée de toutes parts par la justice d’ouvrir sa boutique ?

En attendant, la bascule n’est pas pour tout de suite. Google a mis en place des pré-inscriptions courant octobre, pour les personnes souhaitant prendre les devants. Certains pays, comme Brésil, l’Indonésie, Singapour et la Thaïlande seront d’abord concernés. L’obligation d’enregistrement n’est cependant pas censée s’étendre au reste du monde avant 2027. À la manière de Microsoft avec les mises à jour pour Windows 10, l’Union européenne aura peut-être droit à un traitement différent.

Commentaires (30)

votre avatar
Bah, faisons confiance à Google.

Après tout, leur slogan n'est-il pas "Don't be evil" ? 😬
votre avatar
leur slogan n'est-il pas "Don't be evil" ? 😬
Etait ! :cap:

Ca fait bien longtemps que ce slogan a disparu (2018)
votre avatar
J'ai oublié la balise :troll: dans mon message dsl 😅
votre avatar
Depuis 2015 c'est "Do the right thing" le slogan de Google, plus "Don't be evil"
votre avatar
Depuis 2015 c'est "Do the right thing" le slogan de Google, plus "Don't be evil"
C'est pour ça que, depuis 2015, à chaque annonce, on se pose la question "the right thing, for whom ?"
votre avatar
Ça plus le fait qu'ils sont en train de verrouiller aosp, on va se retrouver avec un truc aussi fermé qu'ios 🫠
votre avatar
Pire, Apple offre depuis peu la possibilité d'installer des applications ne provenant pas de son appstore

(Il y a peut-être eu des contraintes de l'Union européenne. Mais bon, aller ! L'histoire dira qu'Apple a ouvert son écosystème alors que Google le fermait)
votre avatar
Ça plus le fait qu'ils sont en train de verrouiller aosp, on va se retrouver avec un truc aussi fermé qu'ios 🫠
C'est exactement ce qui est prévu, même en bien pire, et ils n'ont aucune raison de ne pas le faire : google c'est pas la fondation charité, c'est pire que meta/apple.

c'est exactement pour ça qu'ici nous avons éjecté tout système iOS/AOSP/application.

vie zéro appli, zéro probleme. Surtout aucun retour en arrière.

Un service en ligne exige une appli? Soit ce sera sur ordi (firefox), soit dans la vraie vie (sans nos appareils perso), soit pas dans nos vies (boycott simple)

les gafam nous radicalisent, très bien, radicalisons nous sans eux ;)
votre avatar
Ben oui mais jetez vos smartphones et revenez sur PC aussi...
votre avatar
Hé bien, espérons que Fdroid obtiendra gain de cause... Sinon, cata...
votre avatar
Comme dit dans l'article, y a moyen d'aider
L’équipe demande à toutes les personnes se sentant concernées d’écrire à leurs représentants pour les informer du problème. Un lien est directement donné vers la page de la Commission européenne pour contacter l’équipe en charge du DMA.
votre avatar
Je suis pour un système de validation des apps signées qui sont sideloader.
Mais peut-être pas obligatoire et encore moins payant.
Cela permettrait de pouvoir distribuer des apk et de pouvoir afficher directement que c'est d'un développeur certifié, jusqu’à ce qu'il soit révoqué si nécessaire.

Dans ce système, F-Droid enregistre leur clé de signature et valide d'un coup toutes leurs compilations avec.
votre avatar
Moi je suis pas contre un tel système de validation.

Mais à condition que ce système, même si il est présent par défaut, soit désactivable. Y compris si cette désactivation est complexe (genre activer le mode développer, envoyer une commande par adb, tout ça).
Bref, que l'utilisateur garde le contrôle. Pas Google. Pas les développeur des applis. L'utilisateur.

Le fait que ce soit par défaut et que 99.99% des gens sont de parfaits ignare en informatique fait que le nombre de personne qui, dans le monde, désactivera la protection sera ridiculement faible, empêchant par nature la viralité des choses.

Ensuite , pour moi, l'identification des développeurs , c'est comme la vidéosurveillance : Ca n'évite rien, ça permet juste de (peut-être) identifier un acteur malveillant à postériori. Le vrai problème des apps c'est celles qui se mettent à jour après coup avec un payload malicieux, et ça, tintin pour le chopper avec un certificat.

=> Bref, pour moi encore un coup le but de google ici reste d'empêcher NewPipe et ReVanced , qui sont beaucoup plus dangereux pour son modèle que les méchants devs.
Sécurité, oui, mais sécurité financière pour google, rien à voir avec les utilisateurs....

Je vais réagir sur la page du DMA, même si je me fait pas d'illusions.
votre avatar
Pour moi aussi, avoir un système de type "auteur vérifié" pourrait suffir selon moi. Au pire, pour le quidam du coin, lui mettre une popup au moment d'installer une appli d'un dev non "vérifié" devrait suffir à mettre la pression pour que les devs se fassent "vérifier" et pour que les utilisateurs se méfient d'une appli obscure.


Et sinon, quid de l'usurpation d'identité ou de l'utilisation de faux papiers ?
votre avatar
Ben si F-droid/autres plateformes est validé par google et que F-droid /autres plateformes valide les dev gratuitement, ben tous sont content, non ?
Ah, on me dit dans l'oreillette que Google n'est pas content.
votre avatar
De ce que j'ai compris, Google la tente façon Apple et tente de faire sauter le DMA et le DSA pour faire aussi une prison dorée. Sauf que Apple n'a pas particulièrement de succès en Europe ...
votre avatar
Plus généralement, nous allons forcément nous confronter à court terme à ce conflit entre deux visions :
- Le monde ouvert "Open Source" , dont l'objectif est de répondre aux intérêts de l'utilisateur, ce dernier pouvant en dernier recours adapter les sourcesde ses logiciels pour correspondre à son besoin

- Le monde "fermé", dans lequel l’intérêt des plateformes, leurs clients (qui ne sont pas forcément leurs utilisateurs),leurs fournisseurs (ex. ayants droits) et maintenant les états qui ajoutent leurs propres besoins dans les spécification des logiciels

Techniquement, ca se concrétise par la création d'enclaves inaccessibles par l'utilisateur (TPM), la signature de toute la chaine matériel / OS / logiciels, les bootloaders etc.

Contractuellement ou juridiquement, cela prend la forme de délégation de pouvoir, ou les états, les clients... demandent aux plateformes d'endosser une partie de la responsabilité des actions de leurs utilisateurs, y compris sur leurs équipements.

Forcément, à un moment il va falloir choisir, mais la route que l'on prend est qu'il sera de moins en moins possible d'avoir accès à des services si l'on est pas dans un environnement approuvé par l'une ou l'autre plateforme.

Il est impossible de défendre à la fois l'open source, et de demander à des tiers d'exercer un controle sur les logiciels
votre avatar
Ici un PC sous Fedora avec SecureBoot/TPM actif.
J'utilise le TPM pour unlock mon disque système luks qui vérifie les registres PCR.
J'autosigne les modules compilés par DKMS et j'importe la clé avec mokutil.

J'ai même essayé le mode déploiement de SecureBoot pour inscrire une clé racine dans mon test d'utilisation d'un Kernel UKI + systemd-boot.

Même chose avec GrapheneOS sur les Google Pixel, le bootloader peut avoir une clé Android Verified Boot custom.

C'est donc pas impossible. C'est juste compliqué. Il y a une ligne possible entre ne rien faire et le contrôle total par les entreprises.
votre avatar
Dans ce cas, c'est toi l'utilisateur de TPM, et tu autosignes. Donc tu gardes la main.

C'est pas ce dont je parles ou c'est l'éditeur de l'OS qui profite de l'enclave TPM et de la chaine de confiance, avec ses signatures.
votre avatar
Bon là, c'est pas à la portée de tout à chacun.
votre avatar
Il est impossible de défendre à la fois l'open source, et de demander à des tiers d'exercer un controle sur les logiciels
Affirmation sans arguments.
Au contraire dans l'Open Source, une solution est de donner une clé privée au développeur initial d'un logiciel, prouvant que c'est bien lui.
Il n'est pas utile de lui demander des informations personnelles, la possession de la clé suffit.

Cela permet de prouver que le développement, les mises à jour, etc... proviennent bien d'une source légitime qui a la clé pour signer.

On peut sans doute améliorer le système qui est en l'occurrence à 1 facteur (possession) par un deuxième facteur mot de passe (connaissance), mais ça nécessite alors un organe plus ou moins centralisé qui vérifie le mot de passe... à réfléchir comment s'en passer (blockchain, etc...) !..

Il y a donc bien des "solutions techniques" à ce problème, mais je vous l'accorde... peu d'empressement "business" à raffiner ces solutions, aussi bien des monopoles privés que des états.

Je ne suis pas sûr FDroid parte dans le bon sens en râlant contre les demandes de données privées plutôt qu'en avançant des "solutions alternatives" au problème qui en est vraiment un (il y a des attaques toutes les semaines sur des pans d'Open Source).
votre avatar
Ce n'est pas une simple question de signature, et de valider les signatures pour s'assurer de l'intégrité / provenance dun paquet. C'est effectivement le cas depuis un paquet de temps sur les distributions et gestionnaire de paquet.

Ici, il s'agit que google devienne responsable de l'ensemble des developpements sur sa plateforme, et donc par définition que l'on ne puisse modifier librement les logiciels ou mettre les logiciels que l'on souhaite.
votre avatar
Oui, ne t'inquiète pas, j'ai bien compris le "problème" Google/Apple et je lutte à ma façon en n'ayant pas de smartphone. Peu ici peuvent en affirmer autant, pourtant attaquer au porte-feuille est la seule façon qui compte.

Je pointais juste sur le fait que la colère de FDroid ne va pas forcément dans le bon sens. Au lieu de se morfondre de la direction que prennent les choses, ils feraient mieux d'utiliser des arguments positifs pour pousser des alternatives viables au problème de sécurité des développements (le problème n'étant pas nié).

Au passage les états sont de toute façon ravis de ces évolutions car ils peuvent compter sur la "police" Google/Apple pour révéler tous les petits secrets de tout le monde sans se salir les mains à le faire eux-mêmes.
Bon c'est sûr, on a aussi zéro souveraineté vu qu'il s'agit d'acteurs américains... mais tant qu'ils coopèrent...

C'est pourquoi j'aimerais vraiment que l'Agent Orange appuie sur le gros bouton rouge pour cesser tout service Google/Apple envers ces Européens dont la communauté n'a été créée que pour entuber (sic) les Américains. Ainsi on verrait vite le problème "souveraineté", et l'apport d'entités comme FDroid, même si celle-ci à la mauvaise idée d'être outre Manche.
Mais l'Agent Orange ne fera malheureusement pas cela, c'est dommage, car il y a bien trop d'intérêts sonnants et trébuchants pour ses copains aux manettes de ce duopole !
votre avatar
C'est un peu dommage (source Wikipedia) :
Le projet est maintenant dirigé par l'association anglaise F-Droid Limited.
Si ce n'était pas porté par une entité venant de la perfide Albion, ils pourraient sans doute attaquer au nom du RGPD pour que les développeurs n'aient pas à révéler d'informations qu'ils ne souhaitent pas rendre publiques.
votre avatar
Rien n'empeche d'en faire un fork chez les chatons ;)
votre avatar
Du côté de la firme américaine, on insiste : le changement va accentuer la sécurité.
Et en voici la preuve :
donner leurs informations à Google et payer les 25 dollars
C'est pourtant clair, non ? :francais:
« L’ampleur de cette menace est importante : notre analyse récente a révélé plus de 50 fois plus de malwares provenant de sources sur Internet que des applications sur Google Play »
Et évidemment, ce rapport (et ses sources) sont publics, pour qu'on puisse vérifier que Google n'est pas en train de nous enfumer ?
... Non ?
votre avatar
Ah, dès lors qu'on touche à un ptit bout de leur joyau, les geeks partent en guerre pour défendre le système de leur "précieux" ;)

Ivres, ils s'imaginent que GOogle va garantir l'accès et le fonctionnement d'android/AOSP, pendant trèèèès longtemps, sans aucune emm* en retour. Réponse : Non. Android n'est pas, et ne sera pas gratuit, surtout pour les dégooglisés : Google n'a rien à y gagner de refiler cet OS gratos, c'est tout sauf une oeuvre de charité.


Vous avez aimé la merfidication de youtube, qui n'a pas encore atteint son apogée? Alors vous ne manquerez pas d'adorer la merdification d'android/AOSP (variantes), qui sera poussée bien plus à son paroxisme que le simple youtube.

AOSP libre/opensource jusqu'en 2040? mais vous rêvez....
Si déjà les variantes lineage/graphene survivent jusqu'en 2035, ce sera pas "pour tous", si elles sont encore là..

Nous avons fait le choix d'arreter le smartphone il y a un moment déjà, face à la folle lubie des "applis à tout va". Postmarketos ici, la version de base, appels/SMS. Tout le reste? sur ordi. Un service en ligne, c'est soit sur mon ordi (firefox), soit dans la vraie vie (sans écran/appareil m'appartenant), soit pas dans ma vie (boycott), et pour rien au monde je ne changerai.

Google veut nous radicaliser? très bien, radicalisons nous : quittons définitivement tout ce qui touche, de près, ou de loin, à google (AOSP/gmail/youtube en tête de peloton, donc exclusion définitive des applis, point. Et la banque qui sait pas gérer ça, on sort le popcorn pour la regarder couler)
votre avatar
Mouais. Sinon Fairphone, c'est bien, aussi.
votre avatar
Bien dit ! Pour la petite histoire, puisque tu parles des banques, j'avais un compte secondaire chez B4Bank (filiale du Crédit Patate), et ils ont annoncé : "c'est super, on va tout faire sur app"... j'ai poliment demandé si l'accès web continuerai et j'ai eu un enfumage en réponse.

Résultat, j'ai préventivement retiré 100% de mes avoirs, et je les ai mis ailleurs, chez des banques qui savent encore faire un site web qui fonctionne !..

Bien m'en a pris, effectivement, B4Bank n'est désormais accessible que sur smartphone : sans moi donc !
votre avatar
Longue vie à F-DROID :D

Sur Android, F-Droid part en guerre contre la vérification d’identité des développeurs

  • F-Droid vent debout contre l’enregistrement obligatoire

  • Sécurité centralisée contre transparence et éducation

  • Les régulateurs appelés à la rescousse

  • Google reste droite dans ses bottes

  • Des visions irréconciliables

Fermer