- Google prévoit de mettre en place un programme de vérification des développeurs à partir de septembre 2026, afin de limiter l’installation d’applications non certifiées
- Les utilisateurs expérimentés pourront contourner la vérification pour installer une app, mais l’activation complète nécessitera un réglage caché et un délai d’attente de 24 heures
- Google explique que ce délai vise à empêcher les attaques d’ingénierie sociale et à éviter que les utilisateurs n’installent impulsivement des apps malveillantes
- Ce changement vise à équilibrer le renforcement de la sécurité de l’écosystème Android et la liberté de choix des utilisateurs, avec une extension mondiale prévue en 2027
Changement de politique sur le sideloading Android
- Google prépare à partir de 2026 un changement d’ampleur pour empêcher la propagation des malwares dans l’ensemble d’Android
- Dès septembre, seuls les développeurs vérifiés pourront distribuer des applications via le programme de vérification des développeurs
- La vérification nécessitera une confirmation d’identité, la soumission d’une clé de signature et des frais de 25 dollars
- Les applications de développeurs non vérifiés ne pourront pas être installées par défaut
- Une exception restera toutefois possible via le « advanced flow »
Fonctionnement de l’Advanced Flow
- Cette fonction sera profondément enfouie dans le menu des options développeur
- L’utilisateur devra activer les options développeur en appuyant 7 fois sur le numéro de build dans « About Phone »
- Il devra ensuite trouver l’option « Allow Unverified Packages », l’activer, puis saisir son PIN et redémarrer l’appareil
- Après 24 heures d’attente, il pourra revenir dans les réglages pour choisir une autorisation temporaire (7 jours) ou une autorisation illimitée
- Ce délai de 24 heures constitue un mécanisme de sécurité destiné à empêcher les installations impulsives
- Google indique que cette période aide à bloquer les escroqueries reposant sur l’ingénierie sociale
- Par exemple, elle réduit la pression exercée lorsqu’un attaquant affirme qu’il faut « installer immédiatement une app »
Équilibre entre sécurité et choix de l’utilisateur
- Google souligne que, compte tenu de plus de 300 millions d’appareils actifs, la plateforme doit préserver à la fois son ouverture et sa sécurité
- Sa position : « Si la plateforme n’est pas sûre, les utilisateurs comme les développeurs y perdent. »
- Le processus de vérification vise la confirmation d’identité, et non la censure du contenu des apps
- Les utilisateurs pourront vérifier qu’une application ne provient pas d’un diffuseur de malware ni d’un usurpateur d’identité
- Google définit un malware comme une app qui endommage l’appareil ou les données personnelles sans l’intention de l’utilisateur
- Google ne considère pas comme problématiques au regard de la vérification les outils de root à usage personnel ou les bloqueurs de publicité, entre autres
Inquiétudes sur la vie privée et aspects juridiques
- Certains défenseurs de la vie privée craignent que la base de données de vérification n’expose les développeurs indépendants à des risques juridiques
- Google affirme protéger les données des utilisateurs contre les injonctions judiciaires abusives
- L’entreprise indique aussi ne pas prévoir de conserver de manière permanente les informations d’identité des développeurs
- Des inquiétudes existent aussi quant au fait que des développeurs situés dans des pays sous sanctions (Cuba, Iran, etc.) puissent ne pas pouvoir être vérifiés à cause des frais
- Google explique que les procédures de vérification pourront varier selon les pays et qu’il ne s’agit pas d’exclure certaines régions
Calendrier de déploiement progressif
- La mesure sera d’abord appliquée à partir de septembre 2026 au Brésil, à Singapour, en Indonésie et en Thaïlande
- Ces régions connaissent relativement plus de fraudes par usurpation d’identité et de phishing
- Une extension mondiale est ensuite prévue en 2027
- Google a intégré la fonction de vérification dans Android 16.1 (sorti en 2025) et prévoit
la même interface et les mêmes écrans d’avertissement sur tous les appareils pris en charge
- Google souligne que l’installation d’applications en dehors de Play expose à un risque d’infection par malware 50 fois plus élevé
- L’introduction de la vérification de l’identité des développeurs sur le Play Store en 2023 a servi de base à cette politique
- Dans certains pays, une pression réglementaire existe pour résoudre les problèmes de sécurité
6 commentaires
Si l’idée est de le restreindre, j’aurais préféré qu’ils serrent davantage la vis en empêchant l’activation via un simple bouton dans le téléphone, et qu’il faille passer par
adbpour l’activer.Personnellement, à ce niveau-là, je trouve quand même ça acceptable.
> Tout ce processus repose sur Google Play Services, et non sur le système d’exploitation Android, ce qui signifie que Google peut le modifier, le restreindre ou le supprimer à tout moment, sans mise à jour de l’OS et sans le moindre consentement de l’utilisateur. Le flux avancé n’est toujours apparu dans aucune bêta Android, preview développeur ou version canary. À la date de cette mise à jour, il n’existe que sous la forme d’un billet de blog et de maquettes d’interface. Il est demandé à la communauté d’accepter une annonce produit comme mesure de protection fonctionnelle cinq mois avant l’entrée en vigueur de cette obligation.
> - https://keepandroidopen.org
Je ne veux pas de pseudo-mesures d’apaisement du genre « il suffit d’attendre 24 heures ». Je n’aime pas qu’on essaie de neutraliser des fonctionnalités de l’appareil que j’ai acheté.
Au final, on dirait que les APK ne vont pas être complètement bloqués, et c’est vraiment rassurant.
Encore une façon de soutirer de l’argent…
On dirait que les schémas d’attaque par phishing vont désormais évoluer vers un mode où ils tendent le piège puis attendent un peu plus longtemps.
Cela dit, je pense bien que cette politique rendra les choses bien plus sûres qu’aujourd’hui.