Vérification des développeurs Android : déploiement étendu à tous les développeurs

 (android-developers.googleblog.com)
4 points par GN⁺ 2026-04-01 | 1 commentaires | Partager sur WhatsApp
  • Google étend le programme de vérification des développeurs Android à tous les développeurs afin de renforcer à la fois l’ouverture et la sécurité de la plateforme
  • Comme le taux de malware des applications installées en sideload est 90 fois plus élevé que sur Google Play, une procédure de vérification supplémentaire est introduite pour bloquer les acteurs malveillants anonymes
  • La vérification peut être effectuée via la Play Console ou l’Android Developer Console, et doit être terminée avant les changements côté utilisateur prévus plus tard cette année
  • À partir de septembre 2026, le dispositif sera d’abord appliqué au Brésil, en Indonésie, à Singapour et en Thaïlande, avant une extension mondiale en 2027
  • Cette mesure constitue une étape clé du renforcement de la sécurité de l’écosystème Android pour freiner la propagation des malwares et renforcer la confiance des utilisateurs

Présentation du programme de vérification des développeurs Android

  • Afin de renforcer à la fois l’ouverture et la sécurité de la plateforme Android, Google étend le système de vérification des développeurs Android (Developer Verification) à l’ensemble des développeurs
  • Selon l’analyse de Google, le taux de malware des applications sideloadées est 90 fois plus élevé que sur Google Play ; la procédure de vérification est donc introduite comme couche de sécurité supplémentaire pour bloquer les acteurs malveillants anonymes
  • Le dispositif a été amélioré en collaboration avec la communauté pendant plusieurs mois, avec des ajustements visant à préserver un équilibre entre ouverture et sécurité en tenant compte des différents usages d’Android

Début de la procédure de vérification

  • Tous les développeurs peuvent lancer la vérification via l’Android Developer Console ou la Play Console
    • Si vous distribuez des applications en dehors de Google Play, vous pouvez créer un compte dans l’Android Developer Console
    • Si vous utilisez Google Play, vous pouvez consulter l’état de la vérification dans votre compte Play Console ; si elle est déjà validée, aucune action supplémentaire n’est nécessaire
  • Les changements côté utilisateur commenceront plus tard cette année ; la vérification et l’enregistrement des applications doivent donc être terminés avant cette échéance

Évolution de l’expérience de téléchargement pour les utilisateurs

  • L’outil de vérification est déployé immédiatement, mais l’expérience de téléchargement côté utilisateur ne changera qu’après septembre 2026
  • Les fonctions de protection des utilisateurs seront d’abord appliquées au Brésil, en Indonésie, à Singapour et en Thaïlande, avant une extension mondiale en 2027
  • La plupart des utilisateurs pourront continuer à installer les applications comme aujourd’hui ; seule l’installation d’applications non enregistrées nécessitera ADB ou le flux d’installation avancé (advanced flow)
  • Cela permet de préserver la flexibilité pour les utilisateurs expérimentés tout en renforçant la protection du grand public

Prise en compte des retours des développeurs et améliorations

  • L’expérience développeur a été simplifiée et intégrée aux workflows existants pour rendre la procédure de vérification plus efficace

  • Développeurs Android Studio

    • Dans les deux prochains mois, il sera possible de vérifier directement dans Android Studio le statut d’enregistrement lors de la création d’un App Bundle ou APK signé

  • Développeurs Play Console

    • Si la vérification a déjà été effectuée dans Play Console, les applications Play seront automatiquement enregistrées
    • Si l’enregistrement automatique n’est pas possible, il faudra suivre une procédure d’enregistrement manuel des applications, avec des détails fournis via la console et par e-mail
    • Il sera également possible dans Play Console de déclarer des applications distribuées en dehors de Play

  • Étudiants et développeurs amateurs

    • Un compte de distribution limitée (limited distribution account), utilisable gratuitement sans pièce d’identité gouvernementale, sera proposé
    • Il permettra de partager des applications avec jusqu’à 20 appareils, avec un simple compte e-mail pour démarrer
    • Des invitations en accès anticipé seront envoyées à partir de juin 2026

  • Utilisateurs avancés (power users)

    • Ils conserveront la possibilité d’installer des applications non enregistrées via ADB ou le nouveau advanced flow
    • Cela permet de concilier sécurité et liberté d’installation

Calendrier à venir

  • Google introduit progressivement ce dispositif en coopération avec les développeurs, les utilisateurs et les partenaires
  • Avril 2026 : le service système Android Developer Verifier apparaîtra dans les paramètres système Google
  • Juin 2026 : début de l’accès anticipé au compte de distribution limitée pour les étudiants et développeurs amateurs
  • Août 2026 : lancement mondial du compte de distribution limitée et de l’advanced flow
  • 30 septembre 2026 : au Brésil, en Indonésie, à Singapour et en Thaïlande, seuls les développeurs vérifiés pourront permettre l’installation et la mise à jour de leurs applications ; les applications non enregistrées ne pourront être installées que via ADB ou l’advanced flow
  • À partir de 2027 : extension mondiale de l’exigence de vérification

Conclusion

  • Google affirme viser le maintien d’un « écosystème Android ouvert mais sûr »
  • Les développeurs peuvent lancer immédiatement la procédure via les developer guides
  • Cette mesure représente une étape clé du renforcement de la sécurité d’Android pour freiner la propagation des malwares et renforcer la confiance des utilisateurs

À lire aussi

1 commentaires

 
GN⁺ 2026-04-01
Réactions sur Hacker News

  • La procédure de vérification des développeurs sur Android a été une expérience complètement catastrophique
    J’ai essayé de créer un compte développeur d’entreprise, j’ai validé le profil de paiement professionnel avec un numéro DUNS, puis confirmé mon identité avec un passeport et un relevé bancaire, et malgré tout on m’a encore demandé une vérification avec des documents de l’entreprise
    J’ai aussi validé mon e-mail plusieurs fois, mais le message « vérification supplémentaire requise » continuait d’apparaître
    Chaque étape prenait plusieurs jours, et en cas d’échec il fallait tout recommencer depuis le début, ce qui en faisait un processus beaucoup trop lent et pénible
    Ça m’a rappelé pourquoi je n’utilise pas Android. On a l’impression que personne n’est responsable de l’ensemble du processus

    • C’était déjà similaire quand j’ai lancé une appli Android il y a 10 ans. Dans la communauté des développeurs, on voyait toujours l’avertissement : ne publiez pas d’appli avec votre vrai compte Google. La raison, c’est que le compte entier peut être suspendu par un bot pour des motifs flous
      Google donne l’impression de détester les développeurs. Surtout aujourd’hui, alors que la jeune génération utilise majoritairement des iPhone, c’est une très mauvaise stratégie
    • L’expérience Google Play est vraiment épouvantable
      Récemment, j’ai dû resoumettre une appli rejetée parce qu’elle avait été classée à tort comme appli de jeu d’argent, et on m’a aussi demandé de soumettre une nouvelle version d’une appli qui n’avait posé aucun problème depuis des années, sans explication
      Le support et la procédure de recours étaient totalement inutiles. On a l’impression qu’il n’y a jamais la moindre intervention humaine
    • En tant que développeur Apple, j’ai vécu presque la même chose
      Ils encaissent le paiement avant même la fin de la vérification, et comme l’IA n’a pas réussi à faire correspondre mon visage avec ma pièce d’identité, ils ont aussi refusé le remboursement
      Ces systèmes de vérification basés sur l’IA sont un véritable enfer
    • Je ne comprends pas pourquoi on demande un passeport pour un compte professionnel
      Je me demande aussi s’il y avait une raison pour payer avec une carte personnelle
    • Chaque étape paraît logique prise isolément, mais dans l’ensemble il y a beaucoup trop d’acteurs impliqués. C’est probablement pour ça que le système est devenu aussi chaotique

  • Google affirme avoir trouvé 90 fois plus de malwares dans les applis installées par sideloading, mais en pratique j’ai déjà vu les téléphones de personnes âgées remplis d’applis publicitaires téléchargées depuis Google Play

    • Entièrement d’accord. Google est en train de redéfinir « malware » à sa convenance
      En classant comme normales des applis couvertes de pub et de traçage, l’entreprise se concentre uniquement sur la protection de la valeur pour les actionnaires
      C’est complètement différent de la notion de malware définie par Wikipedia, IBM, Cisco, Kaspersky, etc.
    • Les deux peuvent être vrais en même temps. Les applis installées par sideloading peuvent être plus risquées, tout en sachant que la majorité des applis poubelles réellement installées vient de Google Play
    • Le pire, c’est que les pubs qui poussent vers ce genre d’applis sont souvent des publicités dans l’application YouTube elle-même
    • Il n’y a absolument aucune source ni validation pour cette analyse du « 90 fois plus ». Une annonce de type « faites-nous confiance, on a enquêté » n’a rien de crédible
    • J’ai fait ma propre analyse aussi, et j’en ai conclu que Google est 90 fois plus malhonnête que les autres entreprises (sans preuve, bien sûr)

  • Quel pourcentage des utilisateurs Android veut vraiment ce genre de politique ?
    J’utilise Android depuis 2010, mais je déteste le fait qu’il évolue de plus en plus vers un modèle fermé
    Je commence maintenant à envisager sérieusement de passer à un vrai téléphone Linux

    • Moi aussi, si je suis passé à Android, c’était pour la liberté du sideloading
    • Mais en pratique, les power users représentent pratiquement 0 % des utilisateurs Android
    • Si Apple annonçait qu’il autorise l’installation d’APK, certains diraient malgré tout qu’Apple doit garder le contrôle
      Il y avait déjà beaucoup de gens comme ça pendant le procès Epic vs Apple ou les discussions autour du Digital Markets Act
    • Je comprends le problème des applis malveillantes sur le Play Store, mais c’est distinct du problème de la vérification des développeurs
    • Si Google renforce cette vérification, c’est pour empêcher les bots d’IA de publier des applis de spam
      Associer l’identité à l’application facilite ensuite les poursuites judiciaires

  • Dès que j’ai lu la phrase « Android est une plateforme ouverte pour tout le monde », j’ai su instinctivement que la suite serait défavorable aux utilisateurs
    Un logiciel qui vérifie les applis installées par sideloading relève d’une logique anti-utilisateur

    • Chaque fois que je dois installer une appli hors F-Droid, ça m’inquiète
      Avec les applis du Play Store, on ne sait pas ce qu’elles font en arrière-plan
    • L’expression même « appli installée par sideloading » est un terme stigmatisant utilisé par Google et Apple pour désigner les applis qu’ils veulent contrôler
      Au final, il va sans doute falloir chercher une distribution autre qu’Android
    • C’est comme quand les RH disent « on peut se parler deux minutes ? » : on sait déjà que quelque chose de désagréable va arriver
    • La prochaine étape sera peut-être de fournir un échantillon biologique

  • J’imagine bien une conversation interne du genre : « Que fait-on si 40 millions de personnes utilisent YouTube Premium cracké ? »

    • Oui. Les pays visés par cette politique sont probablement ceux où YouTube Premium cracké est très répandu
      Le clonage d’APK et le piratage d’applications sont déjà banalisés
    • Je paie aussi YouTube Premium, mais j’utilise une appli alternative. L’application officielle coupe souvent la lecture en arrière-plan
      On a l’impression que la technologie régresse
    • NewPipe n’est pas une appli crackée. C’est une alternative open source
    • Google pouvait déjà classer ce type d’appli comme malware
      Ce système de vérification n’est finalement qu’un mécanisme destiné à la détection d’applications polymorphes

  • Le fait de devoir envoyer une pièce d’identité officielle à une entreprise me paraît profondément anormal
    En Europe notamment, on nous apprend à ne jamais envoyer notre pièce d’identité à n’importe qui, et pourtant c’est désormais présenté comme normal pour accéder à un service
    Je ne comprends pas non plus pourquoi une identité personnelle est exigée pour un compte d’entreprise
    En cas de rupture entre le développeur et l’entreprise, ou de litige juridique, la responsabilité peut devenir floue
    Dans le cas de freelances ou de sous-traitants, il n’est même pas clair de savoir qui doit être vérifié

  • Si Google prend en charge la vérification des développeurs, on peut se demander s’il ne devrait pas aussi en assumer la responsabilité
    Si un utilisateur se fait arnaquer par une appli frauduleuse, pourra-t-il poursuivre Google ?

    • Il est peut-être temps d’envisager l’application du droit antitrust à Google
    • Mais dans la réalité, c’est toujours « la responsabilité ne descend que vers le bas »

  • Selon l’article de 9to5Google,
    à partir d’avril, Android Developer Verifier sera installé comme application système et vérifiera auprès des serveurs de Google si les applis installées par sideloading ont bien été authentifiées via une pièce d’identité du développeur

    • En lisant ça, je me suis dit immédiatement qu’il fallait passer à GrapheneOS
      C’est triste de voir que la plupart des gens ne pourront pas le faire
      Je me demande aussi comment cette application système se comportera dans le sandbox Google Play de GrapheneOS
    • Il existait autrefois une satire disant qu’« il faut aussi une licence pour utiliser un débogueur », et maintenant on a l’impression que c’est devenu un manuel bien réel

  • J’ai récemment basculé vers /e/OS à cause des politiques de plus en plus fermées de Google
    Au début c’était peu pratique, mais maintenant j’ai enfin l’impression d’utiliser un logiciel pensé pour les utilisateurs plutôt que pour la publicité, et j’en suis satisfait
    Pour moi qui devenais peu à peu comme une grenouille dans l’eau qui chauffe sur Android, ce changement a été une vraie bouffée d’air frais

  • J’utilise plus de cinq applis Android open source en dehors du Play Store, et avec ce genre de politique ça risque de devenir compliqué
    Je me demande si acheter un téléphone Motorola avec GrapheneOS préinstallé permettrait d’éviter ce genre de restrictions

    • Pour l’instant, le plan est que Motorola n’intègre pas directement GrapheneOS, mais prenne en charge l’installation manuelle sur certains modèles flagship
    • GrapheneOS autorise toujours l’installation d’APK