S3 1 Tio
S3 1 Tio
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

La vérification obligatoire des développeurs Android arrive en 2027

Pas de papiers, pas d'application

La vérification obligatoire des développeurs Android arrive en 2027

Google va bel et bien lancer l’année prochaine son système de vérification pour les développeurs d’applications Android, qu’elles soient distribuées sur le Play Store ou dans des boutiques alternatives. Pour le géant du web, c’est un pas de plus vers une amélioration de la sécurité de l’écosystème Android ; pour certaines échoppes en revanche, ce processus est une menace existentielle.

La vérification pour les développeurs Android sera exigée partout dans le monde à partir de 2027, a rappelé Matthew Forsythe, directeur produit chargé de la sécurité des applications Android. Plusieurs pays feront office de cobayes dès le mois de septembre : Brésil, Indonésie, Singapour et Thaïlande. La mesure, présentée en août 2025, oblige les développeurs à enregistrer leurs applications auprès de Google et à vérifier leur identité, avant de pouvoir les distribuer sur les appareils Android certifiés.

Image : Google

Une carte d’identité pour chaque développeur

Les apps proposées sur le Play Store sont concernées bien sûr (elles sont généralement enregistrées automatiquement), mais aussi celles des boutiques alternatives. Pour la première fournée automnale, Google liste ainsi les magasins d’Honor, OPlus, Samsung, Transsion, Vivo et Xiaomi. Depuis le mois de mars et l’ouverture de la validation à tous les développeurs, ce sont « des millions d’apps qui ont été enregistrées », affirme le dirigeant. Ces applications couvrent « la quasi-totalité des installations effectuées via Google Play ainsi qu’une large majorité de celles réalisées en dehors de la boutique de Google ».

Le processus comprend deux étapes : la vérification du développeur à proprement parler, et l’enregistrement de ses applications. Le développeur doit créer un compte dans l’Android Developer Console et fournir des informations pour vérifier son identité (nom réel ou nom de l’entreprise, adresse, un contact, une pièce d’identité officielle…). Google veut être en mesure d’associer chaque développeur à une identité vérifiée.

Ouvrir un compte développeur pour le Play Store coûte 25 dollars. Les développeurs qui ne distribuent par leurs apps sur la boutique officielle et qui veulent malgré tout les enregistrer auprès de Google (ce n’est pas comme s’ils avaient vraiment le choix…) doivent s’acquitter de la même somme.

Chaque application doit ensuite être enregistrée auprès de Google à l’aide de son nom de paquet, qui fait office d’identifiant unique du logiciel sur Android. Plusieurs boutiques alternatives se sont opposées au système, en particulier F-Droid qui a lancé la contre-offensive : elle estime en effet que cette vérification donne à Google un trop grand pouvoir de contrôle sur toutes les apps Android, y compris celles distribuées en dehors du Play Store.

La boutique a publié le 24 février une lettre ouverte plaidant pour une révision profonde du système de vérification et pour préserver un moyen de distribuer des applications sans devoir obtenir l’approbation de Google. La lettre compte parmi les signataires l’Electronic Frontier Foundation, Proton, la Quadrature du Net, ou encore AdGuard.

Le sideloading survivra, mais ce sera compliqué

Matthew Forsythe précise dans son billet que les apps non enregistrées peuvent toujours être installées en sideloading, via Android Debug Bridge ou « parcours d’installation avancé ». Ce processus a le mérite d’exister, mais il est particulièrement lourd. L’utilisateur devra confirmer qu’il n’est pas forcé d’installer l’application, de redémarrer son appareil, et… d’attendre 24 heures. Au bout du délai, l’installation sera finalement possible.

Image : Google

Google a aussi mis au point des comptes de distribution limités permettant aux étudiants et aux amateurs de partager des apps sur un maximum de 20 appareils, sans avoir à fournir de pièce d’identité ni payer de frais d’inscription.

L’entreprise annonce également de nouvelles API pour vérifier si un nom de paquet est déjà enregistré, et une autre pour enregistrer et gérer des apps directement depuis des outils tiers. Un mécanisme de délégation OAuth est aussi disponible pour effectuer des opérations pour le compte de développeurs sur des boutiques alternatives. Autrement dit, Google ne veut pas forcer les développeurs à passer par la console du Play Store.

Les oppositions à ce nouveau système ne devraient toutefois pas s’éteindre. À compter de ce mois de juin, Google va en effet déployer un nouveau service qui va s’installer automatiquement sur la plupart des terminaux Android. Ce dernier va s’assurer qu’une application est enregistrée auprès d’un développeur vérifié. Ce qui placera Google dans une position d’autorité : l’entreprise pourra ainsi décider quelles apps possèdent une identité reconnue sur Android, même si elles sont distribuées en dehors du Play Store.

Commentaires (20)

votre avatar
Je suis peut-être naïf, cependant, ne serait-ce pas l'exemple d'un cas de position dominante ?
votre avatar
Ah ! Mais en plus du processus scandaleux "au nom de la sécurité", faut en plus que les devs payent pour ça, en plus de sacrifier leur vie privée... Double peine quoi :vomi2:

Ca devient une horreur sans nom Android entre ça et du Gemini à toutes les sauces. Ai(e)Ai(e)Ai(e).

Ca me conforte toujours plus dans le fait d'avoir basculer vers /e/OS dont je suis très content et qui répond totalement à mes besoins.
votre avatar
Mon prochain téléphone sera très probablement un Fairphone avec /e/OS.
votre avatar
Je comprends la réticence mais dans le même temps il est nécessaire de mettre à niveau la sécurité. C'est certain, les entreprises hégémoniques comme Google ont bien souvent déçu mais ils vont dans la bonne direction au fond.
votre avatar
Non, ils sont en train de tuer toute la partie libre / open-source avec ça. Surtout que le PlayStore lui même est truffé de merdes. Donc ça ne changera pas grand chose niveau sécurité...
votre avatar
Reste que l'idée derrière n'est pas mauvaise. Beaucoup de malwares, pour échapper à l'analyse, dropent / installent une seconde application (et/ou chargent dynamiquement des classes).

Donc grâce à leur système, ils peuvent bloquer rapidement des menaces.
Pour des gens peu avertis, cela est pratique.

Mais en effet, cela donne un contrôle global à Google.

Ce serait bien que ce système tombe comme contrôle d'accès et que l'on puisse utiliser d'autres sortes de bases de données pour faire la même chose (par exemple une base de données de F‑Droid).

Edit :
Cela me fait penser au proxy / au DNS menteur que l'État voulait appliquer sur les box internet. En soi ce n'est pas une mauvaise idée. Pour les personnes qui s'y connaissent pas, cela les protège des menaces.
votre avatar
Ah et, il y a quand même pas mal d'OS que l'on peut installer si on veut vraiment se débarrasser de Google...
votre avatar
Mais les tels sont aussi utilisé à titre pro... sinon j'utiliserai toujours mon Huawei P30lite...
votre avatar
Alors, dans ma boite, on est obligé d'utiliser Microsoft Intune, qui utilise l'API de Google derrière la gestion du téléphone. Qui exige à utiliser des applications spécifiques, genre le google keyboard (euh mais pourquoi mon clavier à besoin d'internet), ou edge... Un enfer !

Et si tu parles d'applications spécifiques à ton entreprise. Eh bien dans mon cas, cela crée une instance de Google Play avec que les applications interne de l'entreprise. (Mais bon toutes les entreprises n'ont pas ces moyens...)
votre avatar
Je n'avais pas conscience qu'il n'y avait rien en libre/open source sur iOS. Pourtant, la pratique est la même (et c'est même pire, car c'est un abo annuel, beaucoup plus cher et non pas one shot).

Je ne me prononce pas sur le bienfondé ou non de cette décision (je suis mitigé). Je me contente juste de rappeler que cette pratique existe déjà ailleurs. Et si Google doit être attaqué sur ce point, alors Apple le devrait aussi.
votre avatar
Sur le Google Play store, c'est 25€ (si cela n'a pas changé) et à vie. Le Microsoft store c'était 15€, mais ils l'ont passé en gratuit. Oui c'est assez courant.
votre avatar
Dans une autre news, Apple est aussi attaqué sur un sujet similaire (non publication si appli. non "pertinante" du point de vue Apple...
votre avatar
Pour le coup, c'est pire. Là on est au niveau au dessus puisqu'ils en sont à décider de l'utilité d'une application.
votre avatar
L'enfer est pavé de bonne attention.
Après c'est pas comme s'il n'y avait jamais eu de programme de surveillance généralisé ou de coercition de la part des USA (entre autre) vis-à-vis du reste du monde...
votre avatar
Tu parles de cette sécurité ? next.ink Next

Malwares distribués par Google : > 0
Malwares distribués par F-Droid : 0
votre avatar
L'échelle de soumission n'est pas le même.
votre avatar
Le libre n'est pas protégé des malwares, mais j'imagine que le nombres d'utilisateurs est tellement faible par rapport à d'autres systèmes que ce n'est pas (encore) une cible privilégiée.
votre avatar
Il y aura donc une mise à jour pour tous les équipements depuis Android 8... Ils ont mis les moyens pour que l'on ne puisse pas y échapper.
votre avatar
Je ne comprends pas bien si la vérif se faire dans l'appli Play Store, ou du système.
Si on a le Play Store mais LinageOS (ou autre alternative), on est concernés ou pas ?
Et est-ce qu'on pourra toujours installer des applis directement depuis l'apk ?
votre avatar
Si j'ai bien compris, ça se passera au niveau des services Google, donc si tu les as installés sur ton LineageOS, ça sera effectif