Des questions qui dérangent sur la certification des développeurs Android

 (commonsware.com)
5 points par GN⁺ 2025-08-28 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • Le programme de certification des développeurs Android que Google mettra en place à partir de 2026 exigera que tous les développeurs d’applications vérifient leur identité, ce qui alimente la controverse sur l’équilibre entre protection de la vie privée et sécurité
  • Le cas ICEBlock montre que, pour les développeurs ayant besoin d’anonymat, la divulgation de l’identité peut entraîner des préjudices personnels et professionnels
  • La politique de confidentialité de Google précise que les informations des développeurs peuvent être partagées sans restriction avec des tiers, ce qui soulève des inquiétudes sur la fiabilité et la transparence
  • Si l’usage des debug keystores et des noms de package en double est restreint après 2027, le développement et les tests d’applications dans les environnements éducatifs pourraient devenir plus difficiles
  • Ce programme vise à empêcher les applications malveillantes, mais il faut débattre de l’anonymat, de l’accessibilité pédagogique et du manque de coopération avec les organisations de la société civile

Contexte et problématique

  • Google exigera à partir de 2026 que tous les développeurs d’applications Android complètent une vérification d’identité, de sorte que seules les applications de développeurs certifiés puissent être installées
    • Cette politique s’applique aussi aux applications distribuées en dehors de Google Play (sideloading)
    • Accès anticipé à partir d’octobre 2025, ouverture à tous les développeurs en mars 2026, mise en œuvre en septembre 2026 au Brésil, en Indonésie, à Singapour et en Thaïlande
  • Le cas de l’application ICEBlock souligne l’importance de l’anonymat
    • ICEBlock est une plateforme permettant aux utilisateurs de signaler anonymement des activités de l’ICE (Immigration and Customs Enforcement), et après avoir révélé son identité, le développeur a subi des menaces juridiques ainsi que le licenciement de son épouse
    • Le développeur d’une application similaire sur Android (provisoirement appelée « ICE Scream ») pourrait être exposé à des risques comparables en cas de divulgation de son identité

Question 1 : la prise en compte de l’anonymat

  • On ne sait pas clairement comment Google prévoit de soutenir les développeurs qui doivent préserver leur anonymat pour des raisons légitimes
    • Les développeurs d’applications comme ICE Scream peuvent craindre des menaces pour leur sécurité ou des représailles juridiques en cas d’exposition de leur identité
    • Google n’a pas publié de mesures concrètes ni de politique d’exception pour ce type de scénario

Question 2 : la coopération avec les organisations de la société civile

  • Rien ne confirme si Google a collaboré avec des organisations comme l’EFF ou AccessNow pour discuter de l’équilibre entre vie privée et sécurité dans ce programme de certification
    • Ces organisations disposent d’une longue expérience sur les questions d’équilibre entre confidentialité et sécurité
    • On manque d’informations sur l’utilisation éventuelle de leur expertise par Google et sur les résultats obtenus

Question 3 : l’ambiguïté de la politique de confidentialité

  • La politique de confidentialité de Google indique que les données personnelles des développeurs peuvent être partagées avec des « entreprises ou personnes de confiance »
    • Il n’existe pas d’explication claire sur les critères de « confiance » ni sur les limites d’utilisation des informations partagées
    • Cela rend difficile, pour des personnes comme le développeur de ICE Scream, d’avoir confiance dans la manière dont Google traite ces informations

Question 4 : les debug keystores et l’environnement de développement

  • Le développement d’applications Android utilise des debug keystores, qui sont temporaires et souvent remplacés
    • Après 2027, si les debug keystores ne sont pas inclus dans le programme de certification, il pourrait devenir impossible de tester des applications sur du matériel certifié par Google
    • Dans les environnements éducatifs (par exemple les salles de classe ou les serveurs CI), l’obligation d’enregistrer les keystores risque d’augmenter les barrières à l’apprentissage

Question 5 : le problème des noms de package en double

  • Dans les environnements éducatifs, il est fréquent d’utiliser des noms de package en double, comme dans les projets d’exemple de Google
    • Le programme de certification interdit les noms de package en double, ce qui empêcherait les développeurs débutants d’exécuter le code d’exemple
    • Exemple : l’auteur, qui écrit des livres sur le développement d’applications Android, s’inquiète que ses lecteurs ne puissent plus lancer les exemples
    • Google n’a présenté aucune solution à ce problème

Discussions supplémentaires et retours

  • Google propose un formulaire en ligne pour recueillir les retours des développeurs, où il est possible de soumettre questions et préoccupations
  • Les organisations de la société civile ou les personnes intéressées peuvent contacter dev.verification@commonsware.com
  • Si Google souhaite lui aussi engager la discussion, il peut écrire à did.you.really.need.a.written.invitation@commonsware.com

Enjeux

  • Le programme de certification des développeurs Android vise à renforcer la sécurité des utilisateurs, mais il ne prend pas suffisamment en compte l’impact des restrictions sur l’anonymat pour les développeurs
  • Il risque de nuire à l’accessibilité pédagogique et à la protection de la vie privée, et appelle de la part de Google des explications politiques transparentes ainsi qu’une coopération avec les organisations de la société civile
  • Cette politique pose un défi d’équilibre entre la prévention des applications malveillantes et le maintien d’un écosystème ouvert, ce qui rend essentiel le dialogue avec la communauté des développeurs

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.