Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS
GitHub Discord

À propos

Abonnez-vous

Android : Google va imposer une vérification d’identité à tous les développeurs

Le 26 août à 08h00

Dans un billet de blog, Google annonce une « nouvelle couche de sécurité pour les appareils Android certifiés » Play Protect : la vérification par les développeurs. Déjà en place sur Google Play depuis 2023, elle sera nécessaire pour le sideloading (téléchargement direct d’APK, boutiques alternatives) à partir de l’année prochaine.

Un accès anticipé sera mis en place à partir d’octobre de cette année pour tester (sur invitation) la vérification, avant de s’ouvrir à tous les développeurs en mars 2026. Cela passera par une nouvelle console pour les développeurs, avec deux étapes : vérification de l’identité (nom, adresse, email et téléphone) et enregistrement de vos applications.

À partir de septembre 2026, au Brésil, en Indonésie, à Singapour et en Thaïlande, toutes les applications installées sur un terminal Android certifié devront provenir de développeurs vérifiés. Le déploiement de cette fonctionnalité continuera au niveau mondial en 2027. Pour les développeurs étudiants et amateurs, Google proposera une autre Developer Console adaptée à leurs besoins, sans plus de détails pour l’instant.

« Nous avons vu comment des acteurs malveillants se cachent derrière l’anonymat pour nuire aux utilisateurs […] L’ampleur de cette menace est importante : notre analyse récente a révélé plus de 50 fois plus de malwares provenant de sources sur Internet que des applications sur Google Play », explique le géant du Net pour justifier son changement de politique.

Enfin, Google termine par une pique à Apple, qui est vent debout contre l’ouverture, forcée par l’Europe, de son App Store : « Pour être clair, les développeurs garderont la même liberté de distribuer leurs applications directement aux utilisateurs par sideloading ou d’utiliser la boutique de leur choix. Nous pensons que c’est ainsi qu’un système ouvert devrait fonctionner – préserver le choix tout en améliorant la sécurité. Android continue de montrer qu’avec la bonne conception et les bons principes de sécurité, l’ouverture et la sécurité peuvent aller de pair ».

Ces belles annonces sur l’ouverture n’empêchent pas Google d’abuser de sa position sur la distribution des applications, comme l’a récemment confirmé la justice étasunienne, obligeant Google à modifier les règles de son Store.

Le 26 août à 08h00

Commentaires (34)

votre avatar
Toutes les excuses sont bonnes pour aspirer un peu plus d'infos personnelles.
Vivement que les utilisateurs doivent faire pareil. Pour notre sécurité, bien entendu :ouioui:
votre avatar
Comment ça va se matérialiser ? Une signature dans l'APK, un hash dans une liste blanche publiée par Google ?

L'idée du sideloading, c'est que Google soit en dehors de la boucle (soit parce que le développeur ne veut pas demander une autorisation à Google, soit parce que Google ne veut pas le gérer)

Par exemple, des applications que Google n'aime pas (NewPipe par exemple)
Est-ce que ça veut dire que Google pourrait reprendre la main sur ces applications non souhaitées ?

C'est pas à contresens que Google commence à certifier des applications en dehors de son Google Play, alors que ça ligne directrice c'est "tant que vous restez dans Play, on vous garantit" ?
votre avatar
Il me semble que Play protect est désactivable
votre avatar
Heureusement que c'est possible, mais il faut le savoir. Parce que l'erreur quand on installe un APK n'est pas du tout explicite. Ça te donne pas la raison du blocage. Ça te dit juste que tu peux pas.
votre avatar
Déjà quand je vois tout ce qu'il faut faire pour installer l'APK d'un store concurrent. Tout est fait pour qu'on ne le fasse pas.
votre avatar
D'après la capture d'écran, il faudra fournir le nom du package et la signature, j'imagine qu'il y aura une comparaison avec une base de donnée "approuvée".

Je sais pas trop quoi en penser, je sais que le développeur de Stratum (Authenticator Pro) a failli retirer son app du Store à cause de la vérification d'identité car il ne voulait rester anonyme, mais dans l'idée j'aime bien me dire que si un jour une app douteuse se propage, on sera en mesure d'en identifier l'origine.

En revanche, il y a des contreparties complexes dans les pays où les droits de l'homme sont restreints (par exemple les apps de communication offline)
votre avatar
C'est bête mais il y a aussi le droit européen : si j'"achète" une application ou utilise un service (même gratuit), je dois être en mesure d'identifier l'entreprise derrière. Pour exercer ma rétractation, ma garantie, aller porter plainte, etc.
votre avatar
Ce sont les conditions d'utilisation / mentions légales du service qui doivent porter ces infos.
votre avatar
Une appli qui n'a pas les mentions légales est illicite. Google pourrait être attaqué dans la plupart des pays s'ils mettent à disposition des applications illicites.

Donc c'est une manière logique pour eux de se sécuriser juridiquement, même si je me doute que ce n'est évidemment pas le seul but de la manœuvre.
votre avatar
Ils font ce qu'ils veulent dans leur store. Par contre, ils n'ont aucune responsabilité sur les applis installées directement avec un apk ou sur un store alternatif.
votre avatar
Justement, c'est le sujet de la "mise à disposition" qui est un peu limite ici.

On se parle d'APK tiers fournis à côté et chargés en sideload. A un moment, c'est quand même compliqué d'engager la responsabilité de Google quand l'utilisateur multiplies les efforts pour sortir de l'écosystème Google. Pour moi c'est plus eux qui mettent à disposition dans ce scénario.

En revanche, le niveau de sécurité attendu devient tellement énorme pour protéger des données de plus en plus sensibles (un smartphone Android c'est désormais la carte identité, les clé de voiture, les accès bancaires...) que je vois pas comment ils pourraient faire autrement.

Un système de sandbox restrictif limiterai les fonctionnalités possibles et on viendrait dire que Google favorise son Play Store...
votre avatar
si j'"achète" une application ou utilise un service (même gratuit), je dois être en mesure d'identifier l'entreprise derrière
Google parle des développeurs, pas du responsable légal.
Dans le cas de la société où je bosse, l'adresse communiquée à Google est une adresse spécifique à cet usage, qui dépend de la DSI.
En tous cas, ce n'est pas l'adresse du service client.
votre avatar
Oui, enfin c'est presque toujours le responsable légal qui signe l'application. Évidemment après si on met sur la page du Play Store le numéro de la DSI, c'est qu'on cherche à devenir un standard téléphonique.
votre avatar
Elle n'est pas sur la page application.
Mais on met le service client comme adresse Google, ce sont les notifs relatives à la vie de l'appli qui passeront à la trappe ; ce ne sont pas les mêmes fonctions.

Autre exemple : ma communauté d'agglo pousse une appli pour la gestion des déchets (encombrants...), le contact éditeur, c'est le nom de l'ESN qui apparait.
votre avatar
valable seulement si paiement, ou quand la personne en face est une entreprise...

un autre exemple: google peut aller crever pour que je lui refile ET mon identité, ET mon appli PERSONNELLE de WoL de mes appareils (en plus avec les logins codés en dur parce que je sait pas faire autrement et que j'ai pas le temps de continuer de dev)

edit: en plus, il faut donner ses clés de signature (l'équivalent de la clé PRIVÉE pour GPG ou HTTPS) a google, comme ça, il peut modifier et re-signer tes apk comme ils veut, YOUPI... :reflechis:
votre avatar
edit: en plus, il faut donner ses clés de signature (l'équivalent de la clé PRIVÉE pour GPG ou HTTPS) a google, comme ça, il peut modifier et re-signer tes apk comme ils veut, YOUPI... :reflechis:
J'en doute. De ma compréhension, il faudra juste fournir la clé publique afin de dire que ce package sera signé avec telle clé (pour prouver que celui qui diffuse une application est bien celui qui la développe). Cela évitera que des petits malins ne redistribuent une application (par exemple, payante) alors qu'ils n'en ont pas le droit.

Pour ça, juste la clé publique suffit.
votre avatar
Ou une signature cryptographique, Google signerait bêtement la clé du développeur (ce qui ne nécessite pas de fournir la clé privée à Google)
votre avatar
pour moi, "app signing keys" au pluriel veux dire qu'il demande la clé privée, non?

dans mes souvenirs, ils avaient commencé à les demander aussi pour mettre ses apps sur le play store (news de 2021? 2022? je sait plus)
votre avatar
C'est écrit : nom de l'application et signature.
Donc il n'y a pas à envoyer le code d'application.

Après pour les applications illégales (youtube vanced) ou qui ne respecte pas les conditions d'utilisations des services Google (newpipe), je ne sais pas ce qu'il va se passer.
votre avatar
L'État Google fait maintenant des vérifications d'identité ! On est mal barré !
Non, Google, la machine sur laquelle tourne votre OS ne vous appartient pas. Il n'y a pas de raison que vous contrôliez ce qui y tourne sauf si un état vous l'impose. Vous ne devez pas créer de lois, juste les respecter.

Il est effectivement temps que Google soit démantelé.
votre avatar
Sans compter que notre État force de plus en plus à passer par un smartphone, nous rendant dépendant à Google ou Apple.
Je me débrouille avec mon /e/os, mais combien de temps encore...
votre avatar
La vérification d'identité est déjà imposé par la loi sur certain usage, notamment fiscal ou récemment pour les sites interdis au mineur.

Le démantèlement de Google ne changera rien sur ce sujet, hormis le faite que Google soit en possession de cette liste.
votre avatar
Les sites interdits au mineurs ne collectent pas l'identité (principe du double anonymat). Les règles sont définies par l'État.
Le KYC correspond à une contrainte légale, sur certains acteurs, mais avec des règles définies par l'État.

Ici, c'est Google veut contrôler l'identité des développeurs, c'est avec l'idée qu'il y aura des bons développeurs autorisés et des mauvais développeurs qu'il faudra bannir.
On a des règles "para-légales" décidées par Google qui déterminera qui est bon, qui est mauvais. Selon quelles règles ? Quel droit (extraterritorialité américaine ?) ? Quel recours ? Google pourra être juge et partie dans certains cas.

A la base, l'essence même du sideloading, c'est qu'on ne veut pas rendre compte à Google (pour raisons légitimes ou non), mais est-ce que c'est à une société privée de définir ce qui légitime ?
votre avatar
Par la loi, oui. Ce n'est pas la cas ici puisque Google veut l'imposer à tous les états.

Google s'arroge une prérogative d'un état, ce que je critique ici.
votre avatar
Erf, ils respectent la loi ici.
Par exemple en droit européen (et dans la plupart des autres pays), si j'"achète" une application ou utilise un service (même gratuit), je dois être en mesure d'identifier l'entreprise derrière. Pour exercer ma rétractation, ma garantie, aller porter plainte, etc.

En faisant ça, Google s'assure juste d'être irréprochable juridiquement ("c'est la faute de Google ils autorisent l'installation d'applications illicites").
Il n'y a rien d'illégal tant qu'ils ne refusent pas la validation pour maintenir un monopole (par exemple en refusant de signer la clé des développeurs de Fdroid ou d'un store alternatif).

C'est la même chose avec Google Play Integrity, qui permet aux applications de vérifier qu'elles tournent bien sur un OS respectant un cahier des charges en terme de cybersécurité : ce n'est pas illégal en soit de proposer ce service.
Ce qui est illégal par contre c'est que Google Play Integrity indique comme vérifiés des téléphones partenaires ne respectant pas ledit cahier des charges, et refuse de vérifier des OS/téléphones non partenaires qui le respectent (même si bon la plupart des ROM ne le respectent pas, y compris les trucs les plus basiques).
votre avatar
Non. Ils imposent leur loi.

De ce que je lis de tes commentaires une application gratuite (et pas un service) n'est pas concernée.
Mais de toute façon, Google n'est pas responsable des applications installées en dehors de son store.
votre avatar
C'est une manière de se sécuriser juridiquement, ils n'ont pas envie de se prendre de procès où un des arguments c'est "mais Play Protect a laissé passé ça, c'est de votre faute", même si c'est idiot comme argument de notre point de vue, ces procès ça arrive.

Une application gratuite peut être considérée comme un service ou un produit, de la même manière qu'un site web qui ne vends strictement rien a quand-même besoin de mentions légales ou que les cadeaux gratuits d'une marque doivent quand-même respecter les normes en vigueur.

Après évidemment je suis pas débile, dans le cas spécifique de Google, c'est très probablement aussi pour préparer le terrain pour d'autres procédés en maintien de monopole (comme refuser la vérification à certains concurrents).
Le fait est que tant que ces procédés ne sont pas en place, autrement dit tant que Google ne fais que valider l'identité du fournisseur et aucun autre filtre, il n'y a rien qui s'oppose à ce que Google demande cette validation.
votre avatar
J'ai toujours pu installer ce que je voulais sur mon PC, parfois même de "l'illicite", sans que jamais Microsoft ou Manjaro ne soient inquiétés.
Et cela aurait été juste scandaleux si ça avait été le cas.
Faire du smartphone un cas différent joue parfaitement le jeu de Google.
votre avatar
Je n'ai pas dit que c'était souhaitable qu'ils fassent ça.

Juste que d'un point de vue business et d'un point de vue légal, c'est tout à fait logique qu'ils fassent ça (pour se protéger juridiquement... et probablement paver le chemin pour un procédé anti-concurrentiel) et ce n'est pas illégal (tant que ledit procédé n'est pas en place)
votre avatar
Par exemple en droit européen (et dans la plupart des autres pays), si j'"achète" une application ou utilise un service (même gratuit), je dois être en mesure d'identifier l'entreprise derrière. Pour exercer ma rétractation, ma garantie, aller porter plainte, etc.
Dans le cadre où c'est une relation commerciale, oui. Mais il y a des tas d'applications qui n'ont aucune vocation commerciale et qui ne sont pas des "services", notamment dans le milieu Open Source.
Un étudiant qui s'exerce à apprendre le code et fait un truc intéressant qu'il veut diffuser ou utiliser pour valoriser son CV, un geek qui fait ça sur son temps libre parce qu'il en avait besoin pour lui et s'est dit que ça peut intéresser d'autres personnes... Bref, il y a absolument zéro monétisation, on est dans de l'échange entre particuliers.

Pour faire un parallèle, là c'est un peu comme si l'agence immobilière cherchait à encadrer juridiquement le partage de boutures de plantes entres voisins en disant que c'est pour protéger la copropriété.
votre avatar
Cela reste un service, c'est très reconnu juridiquement qu'un site web ou une application est un service peu importe l'auteur, qu'il soit professionnel ou non, et doit respecter le droit en vigueur pour les "services de communication au public en ligne" comme c'est appelé dans la plupart des lois.
Sur mon portfolio, qui n'est absolument pas édité par une société, je dois quand-même avoir des mentions légales et quand-même respecter les règles de modération des contenus.

D'ailleurs c'est un gros soucis dans l'open-source de croire qu'on a pas à respecter les lois. C'est juste faux : si tu rends disponible une application au public, tu respectes les lois sur les services, que ça soit open-source ou gratuit n'y change rien.
votre avatar
nouvelle console pour les développeurs,
Si déjà ils pouvaient juste rendre un peu moins imbitable la console, cela ne fera que du bien.


Cette vérification est largement discutable en terme de sécurité. Rien que la transmission des documents... Une image JPG toute droit venue de "make your ID online .com" ??? Faut voir. Sans compter qu'il y a déjà des comptes dont l'identité est vérifiée à cause d'AdSense. Le système existe déjà me semble-t-il.


L'enregistrement de l'application... Bin rien que de déclarer et manipuler une app (une publication) dans la play console est un "enregistrement" de facto. A moins d'avoir mal compris tout ce temps.



En vérifiant:
Extrait de la page de la console (visiblement pas encore traduite):
In most cases, we'll automatically register your Play apps. Our latest analysis shows that we will be able to automatically register 98% of all published Play apps. You'll only need to take action in specific situations, such as if a package name has more installs outside of Play, than from Play.
Ça sent l'imbroglio dans tous les sens. ... Ou le Trumpisme.
votre avatar
Intéressant le lien "PlayProtect" . Premier paragraphe:

*Les appareils certifiés Play Protect :
- incluent des applications propriétaires concédées sous licence par Google ;
- ont réussi les tests de compatibilité Android*

Or, déjà, le nom est trompeur: Play Protect . Donc autant le second point, je suis d'accord (test de compatibilité), autant le 1er point c'est purement commercial: Tu peux pas être "protégé" si... tu n'inclue pas du code proprio Google - c'est purement commercial.

Bref, tant qu'on peux le désactiver moi ça me va.

Je regarde du coté de HarmonyOS , et bien sur de /e/OS.
Ça ne résous pas le problème des applis scélérates qui plongent avec délectation dans les filets de Google, imposant ainsi leurs choix aux utilisateurs telle que PlayIntegrity (les applis bancaires en particulier , ce que je trouve problématique, ou les machins type IdNum , FranceConnect, ... )
votre avatar
Ivres, ils se rendent compte à quel point Android/AOSP, le petit jésus des services de Google, par Google, pour GOogle, va se merdifier vitesse Grand V.... Vous appréciez celle de Youtube? VOus adorerez celle d'Android/AOSP.

Android : Google va imposer une vérification d’identité à tous les développeurs

Fermer