Lettre ouverte de Google sur l’obligation d’enregistrement des développeurs pour la distribution d’applications

 (keepandroidopen.org)
2 points par GN⁺ 2026-02-25 | 1 commentaires | Partager sur WhatsApp
  • 38 organisations de la société civile, associations à but non lucratif et entreprises technologiques du monde entier ont exprimé leur opposition à la politique de Google rendant obligatoire l’enregistrement des développeurs pour la distribution externe d’applications Android
  • Elles soulignent qu’Android dispose déjà de diverses protections telles que la sécurité au niveau du système d’exploitation, la signature des applications et Play Protect
  • Elles critiquent le fait qu’un système d’enregistrement centralisé menace l’innovation, la concurrence, la vie privée et la liberté des utilisateurs, et crée une structure permettant à Google de contrôler toute distribution d’applications
  • Elles avertissent également que cette politique augmente les barrières à l’entrée pour les petits développeurs, les projets open source, les développeurs vivant dans des pays sous sanctions et les défenseurs des droits humains
  • Les organisations signataires demandent à Google de retirer cette politique, de rétablir l’ouverture et la neutralité, et de mener une concertation transparente avec la communauté

Contexte de l’opposition à la politique

  • Google prévoit désormais de rendre obligatoire un enregistrement centralisé pour tous les développeurs souhaitant distribuer des applications en dehors du Play Store
    • La procédure comprend la soumission d’une pièce d’identité, l’acceptation de conditions d’utilisation et le paiement de frais
  • Les signataires estiment que cette mesure étend le pouvoir de gatekeeping de Google à des domaines sans lien avec ses services
    • Ils avertissent que Google obtiendrait ainsi le pouvoir de désactiver arbitrairement des applications dans le monde entier

Barrières à l’entrée et frein à l’innovation

  • L’obligation d’enregistrement pénalise les développeurs individuels, les petites équipes et les projets open source
    • De nombreux cas rendent l’enregistrement difficile, en raison d’un manque de ressources, d’un accès limité à l’infrastructure ou de la résidence dans des pays sous sanctions
  • Les développeurs centrés sur la protection de la vie privée, les défenseurs des droits humains et les organisations de réponse d’urgence sont eux aussi exposés à des risques
  • Cette charge administrative pourrait entraîner une réduction de la diversité logicielle et une concentration accrue autour des grandes entreprises

Inquiétudes sur les données personnelles et la surveillance

  • Le système d’enregistrement de Google constituerait une base de données de renseignements personnels sur l’ensemble des développeurs Android
    • Des inquiétudes sont soulevées quant à la conservation, l’utilisation de ces données et la manière de répondre aux demandes des autorités
  • Pour ceux qui développent des applications protégeant la vie privée ou politiquement sensibles, cela crée un risque de surveillance inutile

Risques d’application arbitraire et de suspension de comptes

  • Le système actuel de revue des applications de Google est déjà critiqué pour ses décisions opaques et des procédures de recours limitées
    • Sont notamment pointés du doigt les jugements automatisés, les suspensions sans motif clair et la possibilité d’une influence de facteurs politiques ou concurrentiels
  • Une structure où une seule entreprise contrôle tous les droits de distribution va à l’encontre d’un écosystème concurrentiel sain

Restrictions de concurrence et questions réglementaires

  • Grâce à l’enregistrement, Google pourrait suivre toutes les tendances du développement d’applications et les stratégies de ses concurrents
    • Cela risque de créer une asymétrie d’information sur le marché et d’accroître le risque de blocage préventif ou de copie de produits concurrents
  • Des régulateurs de l’Union européenne, des États-Unis et d’ailleurs enquêtent déjà sur les monopoles de plateforme et les pratiques d’auto-préférence,
    et les signataires insistent sur le fait que Google doit préserver l’ouverture et l’interopérabilité

Caractère suffisant du dispositif de sécurité existant

  • Android dispose déjà de fonctions de sécurité comme le sandboxing, le système d’autorisations, la vérification par signature et les avertissements sur le sideloading
  • Depuis 17 ans, ces mécanismes assurent la protection des utilisateurs,
    et si Google se préoccupe réellement de sécurité, il devrait se concentrer sur le renforcement des mécanismes existants

Revendications communes

  • Retrait immédiat de l’obligation d’enregistrement des développeurs pour la distribution par des tiers
  • Mise en place d’une concertation transparente avec la société civile, les développeurs et les régulateurs
  • Garantie de la neutralité de la plateforme afin de séparer les intérêts commerciaux de Google de l’exploitation de la plateforme
  • Appel à restaurer l’ouverture d’Android et à protéger le logiciel libre et la souveraineté numérique

Organisations signataires

  • EFF, FSF, FSFE, F-Droid, Nextcloud, Proton, Vivaldi, Tor Project et 38 organisations au total participent à cette initiative
  • Elles demandent à Google de mettre fin au programme de vérification des développeurs et
    affirment qu’il faut chercher collectivement un équilibre entre sécurité et ouverture

À lire aussi

1 commentaires

 
GN⁺ 2026-02-25
Avis sur Hacker News

  • La partie la plus controversée de cette lettre est l’affirmation selon laquelle « Existing Measures Are Sufficient » (les mesures existantes sont suffisantes).
    Dans une annonce de novembre 2025, Google a décrit clairement le vecteur d’attaque sur son blog officiel.
    Par exemple, en Asie du Sud-Est, des escrocs appellent leurs victimes en affirmant que leur compte bancaire a été piraté, créent un sentiment de panique, puis les incitent à installer une « application de vérification » de sécurité. Cette application est en réalité un malware : elle intercepte les notifications, vole les codes 2FA et vide les comptes.
    Google soutient que pour bloquer ce type d’attaque, une vérification d’identité des développeurs est nécessaire. Sans vérification d’identité, on retombe dans un jeu sans fin de « tape-taupe » où des applis malveillantes réapparaissent indéfiniment.
    Je trouve moi aussi l’enregistrement obligatoire excessif, mais je pense qu’il faut une meilleure alternative plutôt qu’une réponse du type « la situation actuelle suffit ». Par exemple, on pourrait n’imposer l’enregistrement que pour les permissions sensibles comme l’interception des notifications ou des SMS, ou exiger des certificats coûteux pour les développeurs qui ne s’enregistrent pas

    • Je ne vois pas pourquoi la communauté devrait réagir autrement. Le monde n’a jamais été sûr, et une sécurité parfaite n’est possible qu’au prix de la liberté.
      Les gens doivent aussi avoir la liberté de faire de mauvais choix. Croire l’appel d’un escroc et installer une application n’est pas un vecteur d’attaque, c’est un choix individuel. Empêcher pour cette raison les utilisateurs d’installer des applis sur leur propre appareil, c’est comme une banque qui dirait « retrait interdit parce que vous allez dépenser l’argent dans un bar »
    • Je suis l’auteur de cette lettre et le coordinateur des signataires. Je ne dis pas que « tout va bien », je souligne simplement qu’Android a déjà répondu à de nouveaux modèles de menace via un renforcement progressif de la sécurité.
      Par exemple, les Restricted Settings d’Android 13~14 bloquent les arnaques qui poussent à installer des APK par téléphone, et l’Enhanced Confirmation Mode d’Android 15 empêche les applis malveillantes de manipuler les paramètres système.
      Ces fonctions produisent déjà des effets, et le fait que Google cherche soudain à tout verrouiller marque une rupture avec l’orientation existante. Les malwares ont toujours existé, y compris dans le Play Store. Il manque des éléments solides pour justifier une mesure aussi extrême
    • L’enregistrement des développeurs n’est pas une solution. Des pièces d’identité volées s’obtiennent à bas prix, et des criminels peuvent publier des dizaines de nouvelles applis par jour.
      Le vrai problème, c’est le manque de culture technique, la tendance humaine à faire confiance, l’absence de capacité d’enquête et, dans certains pays, la tolérance envers les réseaux d’arnaque.
      Mon appli bancaire refuse de s’exécuter si un appel est en cours ou si un contrôle à distance est détecté. Mais sur un appareil rooté, il n’y a plus de parade. En fin de compte, les pays qui rejettent toute la faute sur Google se défaussent de leurs responsabilités.
      Ces restrictions seront contournées en quelques jours, et seuls les utilisateurs ordinaires y perdront davantage en confort
    • Si quelqu’un peut amener une personne à ignorer des avertissements de sécurité, il peut tout aussi bien lui faire dicter directement son code 2FA ou utiliser d’autres méthodes de phishing
    • Il n’existe pas de solution parfaite à ce problème. Si on autorise l’installation d’applis non vérifiées, on crée un risque d’applis malveillantes ; si on l’empêche, on restreint la liberté des utilisateurs.
      On pourrait aussi imaginer une procédure de « déverrouillage » complexe, mais cela reviendrait au fond à empêcher les utilisateurs ordinaires d’installer des applis non officielles.
      Le problème des arnaques est bien réel, mais la solution proposée ressemble à un remède pire que le mal

  • Un juge a dit à Google qu’« Apple n’est pas en situation d’antitrust parce qu’il n’y a pas de concurrent sur sa propre plateforme » (dans le cadre du procès Epic).
    Google a pris cette phrase au pied de la lettre. C’est ainsi qu’on en est arrivé à la politique actuelle. À mes yeux, c’est l’une des pires décisions de justice récentes

    • Ce type de sujet devrait être traité non par un juge, mais par le législateur. Les plateformes dont tout le monde dépend, comme les télécoms, devraient être régulées par la loi.
      L’approche de l’UE, qui a désigné Apple et Google comme plateformes passerelles, me paraît bien meilleure. Le Congrès américain n’arrive pas à mettre en place un cadre juridique adapté aux enjeux modernes
    • Je me souviens que tu avais déjà posté le même commentaire il y a quelques jours. Lien vers le commentaire précédent
    • Tu peux préciser de quel jugement il s’agit ? J’aimerais comprendre comment cette conclusion a été tirée

  • Le problème de l’enregistrement des développeurs, c’est qu’il donne à Google et aux gouvernements le pouvoir de censurer les applis.
    Si un gouvernement exige l’interdiction des applis VPN, Google pourra s’appuyer sur les conditions d’enregistrement pour les bloquer

    • Ils n’ont pas déjà ce pouvoir ?
    • C’est encore plus grave que ça. Si l’installation n’est possible que par le canal officiel, Google peut suivre qui utilise quelle appli.
      Par exemple, les personnes qui installent une appli de suivi d’ICE pourraient être signalées au gouvernement et se retrouver sur une liste de terroristes

  • Le système d’enregistrement n’ajoutera de la friction qu’à des milliers de développeurs légitimes, tandis que les acteurs malveillants reviendront toujours avec des sociétés écrans ou des identités volées.
    La vérification d’identité et la dissuasion du crime sont deux sujets différents

    • En réalité, cette friction n’est pas due à la « sécurité », c’est volontairement conçu ainsi. Google veut évincer les petits développeurs.
      Sur le Play Store, l’entreprise impose déjà aux développeurs individuels d’afficher leur vrai nom, réduit leur visibilité et affiche des avertissements du type « cette application a peu d’installations ».
      Au final, c’est une stratégie pour créer un écosystème centré sur les applis des grandes entreprises. Cela réduit la charge de maintenance tout en augmentant les revenus
    • Bien sûr, on ne peut pas dire que cette friction soit totalement inefficace. Créer des milliers de comptes avec des identités volées est difficile, alors qu’il est bien plus simple de produire des variantes d’applis malveillantes.
      Je ne sais pas si cet équilibre vaut le coup, mais il est difficile de dire que cela n’a absolument aucun effet
    • Google n’arrive déjà pas à filtrer correctement les applis malveillantes dans le Play Store. Il reste plein de fausses applis et de spam

  • J’aimerais dire à Google : commencez par nettoyer les malwares du Play Store avant de parler du sideloading

  • Interdire l’installation hors Play Store serait une catastrophe pour les power users.
    J’ai abandonné le root, mais je continuais à résoudre des besoins comme le blocage de la publicité via des APK. Si ces applis sont bloquées, Android n’aura plus de raison d’être pour moi

  • Cette liste de signataires ressemble à la liste des groupes que Google veut faire disparaître

    • C’est exactement ça. Google ne s’intéresse pas à la société civile, seulement au renforcement de son propre pouvoir.
      J’espère que cette mesure poussera les gens à chercher des alternatives à Google

  • Si Android et iOS deviennent tous deux fermés, je choisirai iOS à chaque fois.
    Si j’utilise Android, c’est pour son ouverture. Si elle disparaît, je préférerai l’UX plus fluide et l’écosystème d’Apple

    • J’utilise iOS de force depuis un an, et je n’ai toujours pas constaté cette UX fluide ni ce puissant écosystème

  • Honnêtement, l’expression « impact disproportionné sur les communautés marginalisées » s’applique selon moi davantage aux personnes âgées victimes du tiers-monde qu’aux hackers.
    Elles sont nombreuses à perdre leurs économies à cause d’applications frauduleuses

  • En gros, « Don’t be evil » est devenu « ne soyez pas malveillant, mais seulement après enregistrement avec une pièce d’identité gouvernementale ».
    Google s’est défendu en justice contre les poursuites antitrust en mettant en avant l’ouverture d’Android, mais l’entreprise est maintenant en train de refermer elle-même cette porte.
    L’argument de la sécurité est mis en avant, mais le vrai problème que Google cherche à résoudre n’est pas celui des « développeurs incontrôlables », c’est celui des développeurs impossibles à monétiser »