- Alors que l’upload de fichiers était limité dans Nextcloud pour Android, Google a proposé le 15 mai de restaurer l’autorisation complète d’upload de fichiers, et Nextcloud prépare une version de test ainsi qu’une mise à jour corrective
- La version distribuée via le Google Play Store s’est retrouvée bloquée sur les autorisations de lecture/écriture pour tous les types de fichiers, ce qui ne permet plus d’uploader que certains médias comme les photos et vidéos
- Selon Nextcloud, cette autorisation avait été accordée en 2011 et la fonctionnalité existait depuis 2016, mais avec le rejet d’une mise à jour de l’app en septembre 2024, Google a exigé l’usage de SAF·MediaStore API
- Nextcloud estime que SAF est conçu pour le partage et l’exposition de fichiers entre applications, tandis que MediaStore API ne gère que les fichiers multimédias, ce qui en fait un mauvais remplacement pour la synchronisation complète des fichiers
- Environ un million d’utilisateurs du Google Play Store ont été affectés, tandis que la version F-Droid conserve cette autorisation dans une nouvelle version, ce qui concentre le problème sur la politique de distribution du Google Play Store
Proposition de restauration de l’autorisation le 15 mai
- Google a contacté Nextcloud le matin du 15 mai pour proposer une restauration de l’autorisation, afin de rendre aux utilisateurs la fonctionnalité disparue
- Nextcloud prépare d’abord une version de test et, s’il n’y a pas de problème, une mise à jour finale rétablissant toutes les fonctionnalités pourrait être déployée dès le début de la semaine prochaine
- Cette annonce de mise à jour a été ajoutée le 15 mai à 14:50 CET
Impact des restrictions sur l’upload de fichiers Android
- Depuis plusieurs mois, l’upload de fichiers dans Nextcloud ne fonctionne pas comme prévu pour les utilisateurs Android
- Les fichiers pouvant être envoyés sont limités à certains fichiers multimédias comme les photos et vidéos
- L’impossibilité d’envoyer d’autres types de fichiers remet fortement en cause l’objectif de synchronisation de fichiers de l’app Nextcloud Files
- Des plaintes d’utilisateurs ont été publiées sur plusieurs canaux, dont le forum d’aide Nextcloud, GitHub, Reddit et le forum ComputerBase
Processus de changement d’autorisations sur le Google Play Store
- L’autorisation de lecture/écriture de tous les types de fichiers pour l’app Nextcloud Files avait été accordée en 2011
- En septembre 2024, une mise à jour de l’app Nextcloud sur Android a soudainement été rejetée
- Google a demandé soit de supprimer l’accès à tous les fichiers, soit d’utiliser une alternative plus respectueuse de la vie privée, à savoir Storage Access Framework (SAF) ou MediaStore API
- Nextcloud estime que ces deux alternatives ne peuvent pas remplacer la fonction d’upload de tous les types de fichiers
- SAF sert à partager ou exposer des fichiers Nextcloud à d’autres apps, et Nextcloud considère donc que cette exigence repose sur une mauvaise compréhension du workflow de l’app
- MediaStore API ne peut accéder qu’aux fichiers multimédias et ne permet donc pas de gérer les autres types de fichiers
- Nextcloud affirme avoir contesté cette décision à plusieurs reprises et partagé davantage de contexte depuis la mi-2024, mais Google n’aurait pas accepté de restaurer l’autorisation
- Comme Nextcloud devait fournir des mises à jour correctives à ses utilisateurs et clients, l’entreprise a déployé une mise à jour limitée en matière d’upload pour se conformer aux nouvelles exigences de Google
Différence entre F-Droid et le Google Play Store
- L’app Android elle-même continue de fonctionner avec cette autorisation
- Nextcloud a publié une nouvelle version sur l’app store tiers F-Droid
- La limitation fonctionnelle concerne la version distribuée via le Google Play Store
- Nextcloud estime que les utilisateurs les plus techniques peuvent se tourner vers d’autres app stores comme F-Droid, mais que cela reste difficilement réaliste pour environ un million d’utilisateurs des app stores
Critiques de Nextcloud envers Google
- Google a invoqué des préoccupations de sécurité pour justifier la suppression de l’autorisation
- Nextcloud affirme proposer cette fonctionnalité depuis 2016 et n’avoir jamais reçu de remarque de sécurité de la part de Google à son sujet
- Selon Nextcloud, plusieurs apps de Big Tech ainsi que des apps de Google lui-même disposent toujours de cette fonctionnalité
- L’entreprise critique le fait que Google, en tant que propriétaire de la plateforme, puisse s’accorder un traitement préférentiel, et le fasse effectivement
- Nextcloud considère cette affaire non comme un simple détail technique, mais comme un cas de gatekeeping affaiblissant les fonctionnalités de produits concurrents fournis par de plus petits éditeurs logiciels
Enjeu plus large de politique de concurrence
- Nextcloud évoque le précédent où Microsoft avait bloqué certaines fonctions de Windows pour dégrader l’expérience d’utilisation de WordPerfect, et soutient qu’aujourd’hui Google rend plus difficile la création de produits concurrents avec des règles justifiées au nom de la sécurité
- Selon Nextcloud, les petites entreprises font face à des coûts juridiques élevés et, même en déposant plainte auprès de l’UE, les délais sont si longs qu’il existe très peu de recours effectifs
- Nextcloud affirme avoir déjà déposé en 2021, avec environ 40 entreprises et organisations, une plainte concernant des pratiques anticoncurrentielles similaires, mais qu’au bout de quatre ans, rien ne s’est produit
- Le Digital Markets Act de l’UE a commencé à s’appliquer en mai 2023, mais les premières amendes contre Meta et Apple n’ont été annoncées qu’en avril 2025
- Nextcloud critique les amendes respectives de 200 millions d’euros et 500 millions d’euros infligées à Meta et Apple, les jugeant faibles au regard de sanctions pouvant aller jusqu’à 10 % du chiffre d’affaires annuel mondial, et à peine plus qu’une tape sur les doigts pour les géants de la tech
4 commentaires
Les autorisations sont au final censées être accordées à la discrétion de l’utilisateur, alors adopter un système d’autorisations tout en bloquant celles qui sont nécessaires, haha...
Avis sur Hacker News
On comprend la douleur du point de vue de Nextcloud. L’équipe d’Everfind (recherche unifiée dans Drive, OneDrive, Dropbox, etc.) se bat elle aussi depuis un an pour obtenir le scope drive.readonly afin de télécharger les fichiers, d’effectuer de l’OCR, puis de créer un index de recherche plein texte pour l’utilisateur
Google continue de leur dire de se débrouiller avec drive.file + drive.metadata.readonly, mais cette combinaison casse la découverte continue et dégrade fortement les résultats de recherche pour les nouveaux documents ou ceux qui ont été mis à jour. Au final, le discours de Google sur le « moindre privilège » paraît raisonnable, mais en pratique il accorde un accès privilégié aux applications maison des Big Tech et force les éditeurs indépendants à sortir un produit qui ne fonctionne qu’à moitié ou à se faire exclure du Play Store. Au bout du compte, les utilisateurs perdent des fonctionnalités et du choix, tandis que les petits développeurs brûlent leur temps à se battre sans fin contre des bots de politique à coups de copier-coller
J’ai travaillé plusieurs années comme PM sur Google Workspace, et c’est moins malveillant que ça n’en a l’air de l’extérieur. Les décisions sont optimisées pour le chiffre d’affaires, et d’autres fonctionnalités, en particulier les fonctionnalités destinées aux clients entreprises, reçoivent une priorité bien plus élevée. Depuis environ 2012, presque toutes les entreprises se concentrent sur les revenus enterprise, et la satisfaction des utilisateurs finaux en paie le prix
Je suis développeur de la plateforme AOSP, et mes avis sur le système de fichiers sont personnels et ne représentent pas Google.
Je n’utilise pas Nextcloud et je n’ai pas regardé cette application en détail, mais avec une perspective relativement informée sur les coulisses, il me semble que pour ce cas d’usage, SAF pourrait fonctionner, comme d’autres l’ont dit. Google Drive ne dispose pas des permissions que Nextcloud affirme que Google lui accorde par traitement de faveur, et il est distribué via le Play Store comme l’application Nextcloud. Des permissions comme MANAGE_EXTERNAL_STORAGE ont été largement abusées par le passé, parfois de manière épouvantable.
D’après l’extrait de [1], toutes les opérations d’E/S de fichiers de SAF utilisent des appels IPC, ce qui prend environ 20 à 30 ms ; quand on multiplie les opérations du type vérifier si de nombreux fichiers existent sur le disque puis les créer s’ils n’existent pas, cela devient tellement lent que même les exemples de Google utilisent des astuces pour accélérer les choses. Dans l’exemple de [3], cela a pris 15 secondes avec SAF, contre 6 millisecondes avec le
lsnatif, alors qu’il n’y avait que 128 fichiers.[1] https://github.com/K1rakishou/Fuck-Storage-Access-Framework#...
[2] https://www.reddit.com/r/androiddev/comments/ga5u72/saf_is_s...
[3] https://issuetracker.google.com/issues/73044953#comment5
[4] https://magicbox.imejl.sk/forums/topic/storage-access-framew...
[5] https://issuetracker.google.com/issues/130261278#comment52
La quantité de données qui peut être extraite d’un appareil avec de telles permissions est potentiellement énorme, et il ne s’agit pas simplement de « protéger l’utilisateur contre lui-même ». Je ne pense pas que je me sentirais en sécurité en activant cette permission pour une quelconque application. La possibilité de synchroniser les données de tout l’appareil est utile, mais du point de vue de Google, c’est une situation où ils se feront critiquer qu’ils le fassent ou non.
Ce sont en pratique des ransomwares que les gens installent « volontairement » pour obtenir des prêts prédateurs, souvent sans vraiment comprendre leur fonctionnement. Si vous ne remboursez pas, elles ne se contentent pas de verrouiller le téléphone : elles utilisent les données exfiltrées du téléphone pour menacer d’envoyer des photos nues à vos contacts, voire pour menacer de mort des membres de votre famille identifiés à partir de ces données — https://www.welivesecurity.com/en/eset-research/beware-preda...
Si le plan est de la supprimer complètement et progressivement, l’alternative doit être suffisamment bonne, or certains sous-commentaires donnent l’impression que ce n’est pas le cas. Je n’ai jamais fait de développement Android, et je n’en ferai probablement jamais à cause de ce genre de choses, donc il m’est difficile de juger correctement, mais je comprends l’application Google Drive comme étant surtout une interface au-dessus du stockage cloud, et les parties intéressantes comme Backup ne passent pas par cette application. Google Drive bénéficie d’un traitement de faveur sur ce point, et pour imiter ce type de fonctionnalités il faut des permissions supplémentaires.
[0] : https://support.google.com/googleone/answer/9149304?hl=en&co...
C’est aussi la raison pour laquelle l’application SyncThing Android officielle a cessé d’être distribuée. Il existe un fork, mais à ma connaissance il n’est pas sur le Play Store.
À la place, on reçoit une URL
content://, et il faut un pont Java/Kotlin pour la convertir en descripteur de fichier. Ce travail devrait être fait dans SyncThing lui-même. Cela dit, syncthing-fork semble avoir réussi à le faire fonctionner d’une manière ou d’une autre, donc il existe peut-être une autre astuce. Mais à ma connaissance, ce problème ne devrait pas s’appliquer à l’application NextCloud.Cela dit, la disparition soudaine du client officiel était quand même assez surprenante.
Dire que « SAF sert à partager/exposer nos fichiers à d’autres applications, donc on ne peut pas l’utiliser » n’est pas exact. SAF peut être utilisé
Il y a bien des raisons pour lesquelles il convient mal à Nextcloud. Par exemple, on ne peut pas partager l’intégralité du stockage interne, le dossier Téléchargements ni la racine d’une carte SD. Mais l’explication de Nextcloud elle-même reste difficile à accepter.
https://developer.android.com/training/data-storage/shared/d...
Ce point a aussi été discuté hier : https://news.ycombinator.com/item?id=43970959
Par exemple, je me demande si, parmi les produits Google, aucun n’utilise la même permission que celle demandée par Nextcloud, et s’ils utilisent plutôt SAF, en particulier pour des fonctionnalités qui font ce que Nextcloud fait ici. Je veux savoir avec certitude si Google respecte lui-même exactement les mêmes règles que celles qu’il impose à Nextcloud et aux autres développeurs d’applications.
C’est un comportement monopolistique. Si Google refuse d’investir dans la diligence nécessaire pour permettre à d’autres entreprises de fonctionner exactement de la même manière que lui, alors Google n’est pas légitime pour administrer cet espace.
Si la supervision a un coût, il peut facturer aux entreprises des frais nominaux destinés à en surveiller la charge. Bloquer les autres participants n’est pas une réponse appropriée.
Google a contacté Nextcloud pour proposer de rétablir la permission. Je me demande si cette décision était motivée par des arguments techniques, ou si le procès antitrust et la couverture médiatique ont joué un rôle de persuasion.
C’est précisément la raison d’être du Digital Markets Act de l’UE, et pourquoi cette loi a besoin de moyens d’application réels.
Si Google bloque l’accès complet aux fichiers de Nextcloud sur Android tout en l’autorisant discrètement pour ses propres applications et les grands acteurs, ce n’est pas de la « sécurité », c’est du contrôle. Nextcloud est une alternative européenne, axée sur la confidentialité, fondée sur des standards ouverts, et peut être pleinement alignée sur les exigences du RGPD. Bloquer des fonctions essentielles tout en favorisant ses propres services est un cas d’école d’abus de pouvoir de plateforme. Android était censé être ouvert, mais ce genre de décision montre qu’au moins sa version avec Play Services est un autre jardin clos. Si l’UE prend au sérieux la souveraineté numérique et la concurrence loyale, elle doit empêcher ce type de comportement. Sinon, aucune technologie européenne, même conforme, ouverte et respectueuse des utilisateurs, n’aura de vraie chance.
Une fonction « synchroniser un seul dossier » est possible avec SAF, sans permission à haut risque. La migration des profils existants peut être pénible, car lors du passage à la nouvelle API, l’utilisateur doit redonner la permission sur le dossier. La synchronisation de tout le stockage virtuel, du dossier Téléchargements ou de dossiers supplémentaires mis sur liste noire par des vendeurs comme Samsung est impossible avec la nouvelle API, mais elle est aussi impossible pour les services de Google eux-mêmes. Le DMA exige seulement que Google ne soit pas placé dans une position spéciale ; tant que Google ne propose pas cette fonction, il n’a pas à la fournir non plus à Nextcloud.
Il y avait déjà ce genre de personnes dans une autre soumission.
Les utilisateurs mobiles sont exposés tous les jours aux pop-ups, aux malwares et au détournement DNS. Sinon, le mobile ne serait pas ce train en or qui rapporte aux annonceurs des revenus au clic.
Sans ce genre d’application des règles, des jeux malveillants et des applications comme Facebook auraient importé des photos et scanné les emplacements EXIF sous prétexte d’avoir besoin d’un « accès complet ». Et les discussions précédentes ont aussi établi qu’il existe de meilleures API préservant la vie privée ; c’est simplement Nextcloud qui ne veut pas les utiliser.
Google a depuis longtemps l’habitude de créer des API réservées aux applications de première partie afin de donner un avantage à ses propres applications Android.
En 2014, Google a scindé l’application Drive en plusieurs applications Android distinctes, comme Docs, Sheets, etc. Comme il était pénible de demander aux utilisateurs d’installer et de migrer vers de nouvelles applications, Google a conçu une modale d’installation en un clic utilisable depuis Drive, au lieu de la redirection habituelle vers le Play Store. C’était propre. À cette époque, l’entreprise où je travaillais était un gros concurrent de Drive, et voulait séparer certaines fonctions clés dans des applications indépendantes ; pour des raisons similaires, nous voulions utiliser un flux comparable, mais cela nous a été impossible. Google avait caché cette API derrière une vérification de signature d’application, et non même derrière une permission, afin que seules les applications signées par Google puissent l’utiliser. C’était une exclusivité codée en dur, sans demande de permission ni possibilité de contestation. Il existe des raisons légitimes pour lesquelles ce genre de fonction peut être risqué et nécessiter une limitation des abus, mais Google franchit souvent la ligne entre limitation des abus et pratiques anticoncurrentielles.
L’ancien slogan de Google, « Don’t be evil », était au cœur d’un code de conduite d’entreprise mettant l’accent sur des pratiques commerciales éthiques et transparentes.
Depuis que ce slogan a été retiré en 2015, nous sommes tombés sous l’emprise de Google. Désormais, Google est devenu comme Microsoft, et c’est précisément pour cela que Nextcloud a été créé.
À ma lecture, la nouvelle API semble aller dans la bonne direction. Mais dans tous les cas, Google demande en pratique que la sauvegarde/synchronisation de Nextcloud se casse silencieusement jusqu’à ce que l’utilisateur accorde l’autorisation.
Beaucoup d’utilisateurs risquent de ne rien remarquer avant de constater une perte de données, ce qui pourrait nuire fortement à la confiance et à la marque. Dans ce cas, où les conséquences sont presque entièrement reportées sur l’utilisateur, je ne pense pas qu’il soit juste que Google l’exige.
Le résumé par IA est étrange. C’est la première fois que je vois une erreur qui ajoute
음à la fin de chaque phrase.C’est aussi une première pour moi dans ce genre de cas. On m’a dit de finir par un nominal… et c’est la seule consigne qui a été bien respectée haha.