F-Droid et le décret de Google sur l’enregistrement des développeurs

 (f-droid.org)
8 points par GN⁺ 2025-09-30 | 1 commentaires | Partager sur WhatsApp
  • F-Droid est une boutique d’applications qui permet depuis 15 ans d’installer en toute sécurité des applications Android libres et open source
  • Comme Google exige désormais unilatéralement de tous les développeurs Android un enregistrement centralisé et une vérification d’identité, l’existence même de boutiques alternatives comme F-Droid est menacée
  • Si cette politique est appliquée, le projet F-Droid et l’écosystème des applications open source subiront un choc majeur
  • La politique de Google semble viser non pas un renforcement de la sécurité, mais un renforcement de sa domination du marché, ce qui affaiblit la liberté des utilisateurs et la diversité
  • F-Droid appelle les autorités de régulation et les utilisateurs à défendre la liberté d’exploiter des boutiques d’applications alternatives et les droits des développeurs

Vue d’ensemble de F-Droid et du décret de Google sur l’enregistrement des développeurs

  • Depuis 15 ans, F-Droid propose aux utilisateurs Android des applications libres et open source, sûres et vérifiées
  • Contrairement aux boutiques d’applications commerciales, en particulier le Google Play Store, F-Droid met l’accent sur la confidentialité des utilisateurs et la transparence et ne distribue que des applications sans anti-features nuisibles aux utilisateurs, comme la publicité ou les traqueurs
  • Le code source public des applications est examiné par l’équipe de F-Droid, puis compilé et distribué ; les paquets sont signés soit avec la clé cryptographique de F-Droid, soit avec la clé privée du développeur
  • Les utilisateurs peuvent installer via F-Droid des applications fiables fondées sur un code source publiquement vérifié
  • Il propose des solutions centrées sur la vie privée, comme des applications météo qui n’envoient pas de données personnelles à des courtiers en données, ou des agendas sans fuite d’informations vers des réseaux publicitaires

Annonce de la politique d’enregistrement des développeurs de Google et ses effets

Le mois dernier, Google a unilatéralement annoncé l’obligation d’un enregistrement centralisé pour tous les développeurs Android

  • Exigences : frais d’enregistrement des développeurs, documents de preuve d’identité (comme une pièce d’identité officielle) et enregistrement d’un identifiant unique pour chaque application à distribuer (nom de package)
  • Le projet F-Droid ne peut pas contraindre les développeurs à s’enregistrer auprès de Google, ni monopoliser les identifiants des applications open source
  • Si cette politique entre réellement en vigueur, F-Droid et la plupart des boutiques d’applications alternatives similaires risquent de devoir cesser de fonctionner de fait
  • Les utilisateurs ne pourraient alors plus installer ni mettre à jour des applications open source fiables
  • Comme F-Droid ne pratique ni le pistage des utilisateurs ni l’inscription obligatoire, il ne connaît même pas son nombre d’utilisateurs

Les problèmes du cadrage par la sécurité et de la centralisation

Google justifie l’enregistrement centralisé et les restrictions à l’installation directe au nom de la sécurité, mais cet argument est en réalité trompeur

  • Même sur le Google Play Store, des applications malveillantes ont été découvertes à plusieurs reprises puis supprimées
  • F-Droid renforce la confiance en matière de sécurité grâce à la publication du code source, à une transparence totale du processus de compilation et aux builds reproductibles
    Google peut déjà détecter et neutraliser les applications malveillantes présentes sur les appareils via le service Play Protect
    Les risques réels peuvent être traités de manière suffisante par un meilleur éducation des utilisateurs, davantage de transparence et le renforcement des mesures de sécurité existantes
    Le système d’enregistrement centralisé affaiblit la diversité de l’écosystème et la capacité de diffusion de l’open source, et concentre le contrôle entre les mains de quelques grands groupes

Droits des utilisateurs et liberté logicielle

Le propriétaire d’un ordinateur, smartphone compris, a le droit d’exécuter tout logiciel de son choix

  • Exiger des auteurs, pour distribuer une application, un enregistrement centralisé obligatoire et une vérification d’identité va à l’encontre de la liberté d’expression et de la liberté de création
  • En liant identifiants d’applications, vérification d’identité personnelle et frais d’enregistrement, Google relève de fait les barrières à l’entrée pour les écosystèmes alternatifs
    Pour garantir une concurrence saine et la liberté de choix des utilisateurs, Google doit proposer une solution appropriée

Propositions et demandes de F-Droid

F-Droid appelle les autorités de régulation et les organismes chargés de la politique de concurrence à examiner de près si Google renforce un contrôle monopolistique sous couvert de sécurité

  • Une protection politique est nécessaire pour permettre aux boutiques d’applications alternatives et aux projets open source de fonctionner librement
  • Il est important de protéger les développeurs qui refusent un système d’enregistrement obligatoire et excluant

Les développeurs et les utilisateurs peuvent faire entendre leur voix auprès des députés, de la Commission européenne et d’autres autorités de régulation, ou participer à des pétitions, afin de défendre les libertés numériques

  • Cela peut contribuer non seulement à la survie de F-Droid, mais aussi au maintien d’un environnement où le logiciel reste un bien public et où le choix de tous les utilisateurs est préservé

À lire aussi

1 commentaires

 
GN⁺ 2025-09-30
Commentaire Hacker News

  • F-Droid me semble différent des autres boutiques d’apps parce qu’il ne propose que des applications vérifiées en mettant l’intérêt des utilisateurs au centre du processus de distribution. Une fois, comme je ne trouvais pas une app Simple™ sur F-Droid, j’ai naturellement découvert que SimpleMobileTools avait été racheté par une entreprise et que son code source était devenu propriétaire, et j’ai aussi appris l’existence d’un fork libre appelé Fossify (issue sur le rachat de SimpleMobileTools, GitHub de Fossify). Si je l’avais installée via Google Play, j’aurais probablement ignoré ce changement et continué à recevoir les mises à jour du nouveau propriétaire. Chaque politique d’App Store a ses avantages et ses inconvénients, mais cela m’a vraiment fait prendre conscience de l’importance de l’existence de places de marché variées

    • Ce week-end, je devais envoyer un fichier PNG par e-mail, alors j’ai cherché une app de compression d’images sur le Play Store. J’en ai téléchargé cinq avec plusieurs millions de téléchargements, et elles faisaient toutes de la collecte de données et étaient saturées de pub. Quand j’ai voulu payer pour supprimer les pubs, je n’ai trouvé que des pièges du genre « essai gratuit puis abonnement à 5 $/mois » ou achat à vie à 19 $. En réalité, ce n’étaient pratiquement que des apps qui emballaient une bibliothèque existante, et les avis étaient manifestement manipulés. C’était la première fois depuis un an que je retéléchargeais des apps du Play Store, et c’était si médiocre qu’il a été plus rapide de régler ça directement dans le navigateur

    • La confusion autour de SimpleMobileTools et la manière dont F-Droid y a réagi constituent un exemple parfait du caractère factice — et même nuisible — du prétexte de « sécurité » derrière l’interdiction du sideloading et l’obligation d’enregistrer les développeurs

    • J’utilisais autrefois les apps Simple, puis je n’en ai plus entendu parler ; merci, j’ai enfin compris aujourd’hui pourquoi. Il nous faut une véritable diversité de l’écosystème

    • Je ne savais pas que Fossify était un fork de SimpleMobileTools. Je viens de l’apprendre, et comme j’avais des apps des deux sur mon téléphone, j’ai décidé de migrer vers Fossify. Si mon app calendrier ne fonctionnait plus correctement, c’était donc finalement parce qu’elle n’était plus mise à jour

    • Je partage l’idée que sans faire soi-même l’enquête, et sans F-Droid, il aurait été difficile de prendre ce genre de décision

  • J’ai envoyé un commentaire à l’équipe DMA de l’Union européenne au sujet de la politique de vérification des développeurs de Google, et j’ai reçu une réponse. L’UE indique que les gatekeepers comme Google doivent permettre l’installation d’apps via des App Stores tiers ou via le web, tout en autorisant inévitablement des mesures de sécurité indispensables et proportionnées. Mais en pratique, la DMA renforce au contraire la position monopolistique de Google et d’Apple

    • C’est l’auteur du message. J’ai aussi participé à des ateliers réglementaires de l’UE et au processus de mise en œuvre, et la logique des « mesures strictement nécessaires et proportionnées » revient sans cesse. Du point de vue des développeurs, cette clause est censée signifier que les App Stores tiers ne doivent pas neutraliser les mécanismes de sécurité des terminaux, comme les sandbox ou les vérifications de signature, mais en réalité les gatekeepers l’interprètent à leur convenance pour échapper à la régulation. Apple aussi redistribue tous les logiciels sur des App Stores tiers après les avoir re-signés et chiffrés via la notarization, qui est en pratique une forme d’« inspection », et Google est en train d’introduire la même politique sur l’ensemble des appareils Android. On se dirige vers une situation où des milliards de mobiles dans le monde seront de fait gatekeepés par deux entreprises américaines. Il n’y a toujours pas assez de prise de conscience. Les utilisateurs Android devraient installer F-Droid et refuser d’abandonner leurs droits sur le logiciel libre

    • Je pense qu’il est excessif d’attendre du service d’exécution de l’UE qu’il prenne des conclusions ou des mesures à plusieurs centaines de millions sur la seule base du signalement d’un citoyen. C’est un sujet qui demande une analyse juridique et technique. Et des réponses insuffisantes ou tièdes ne suffisent pas à conclure que la DMA a pour intention — ou accepte — de renforcer le duopole Android-iOS

    • La réponse était, comme prévu, mécanique et peu engagée. En contactant un député européen (MEP), on obtiendrait peut-être une position plus ferme, mais l’équipe DMA ne rendra évidemment pas de décision sur la base d’un seul e-mail. D’après l’annonce de F-Droid, j’espère que Google finira lui aussi par être critiqué et sanctionné comme Apple. Cela dit, je pense que faire traîner les choses est peut-être la véritable intention de Google

    • Je ne suis pas juriste, mais la formulation « mesures strictement nécessaires » est interprétée de manière bien trop large. Les lobbyistes insèrent au nom de la sécurité des clauses aberrantes sur les droits d’accès, le renforcement de l’authentification, etc., puis les présentent comme des exceptions « raisonnables », alors qu’en réalité elles servent à contrôler la distribution des apps. Il est aussi difficile de prétendre soudainement qu’il s’agit d’une mesure « indispensable » alors que cela fonctionnait sans problème depuis des décennies

    • C’est une tentative d’empêcher l’installation via F-Droid d’apps de messagerie open source sûres comme Signal afin d’éviter d’échapper à la surveillance. Si l’UE continue ainsi, on en viendrait presque à penser que le Brexit du Royaume-Uni était un meilleur choix. Même quand les États-Unis nous imposent des droits de douane, l’UE ne semble produire que des politiques favorables aux big tech américaines

  • F-Droid anime de manière remarquable l’écosystème des App Stores alternatifs depuis plus de 15 ans, et je pense qu’il faut écouter son avis sur cette affaire. Si des employés de Google lisent cela, j’aimerais qu’ils soutiennent en interne la position de F-Droid cette fois-ci. Bloquer même les logiciels anonymes mais de bonne foi franchit une ligne dangereuse pour un écosystème ouvert. Aujourd’hui c’est le Play Store, demain cela pourrait très bien être le web lui-même

    • Franchement, j’ai l’impression qu’aujourd’hui, chez Google, la plupart des gens ne pensent qu’aux avantages de l’entreprise ou à leur propre survie. Leur seule préoccupation, c’est de survivre à la prochaine vague de licenciements

    • C’est l’auteur du message. Google avait déjà envisagé il y a quelques années d’introduire un système d’authentification similaire, mais avait reculé après avoir entendu F-Droid expliquer le chaos prévisible. Cette fois, il n’y a eu aucun contact. Si quelqu’un souhaite discuter, qu’il n’hésite pas à me contacter (voir l’e-mail F-Droid et le profil Signal)

    • Plutôt que de parler d’un blocage des logiciels anonymes, il faut comprendre que du fait de la manière dont Google l’implémente, c’est F-Droid lui-même qui est techniquement touché. Même si c’est un dommage collatéral involontaire, le résultat est que son existence même se retrouve menacée

    • Je ne suis pas d’accord avec l’expression « le meilleur parmi des choix imparfaits ». Je ne pense pas que le système actuel ait un problème. Depuis l’époque du G1, j’ai toujours pu installer librement n’importe quel APK, et pour l’utilisateur c’est parfait. En réalité, les seules apps qui dérangent Google sont celles qui menacent ses revenus publicitaires (ReVanced, PipePipe, etc.) ; pour les utilisateurs, il n’y a aucun problème. J’aurais presque envie de leur conseiller de vendre carrément Android OS 30 $

  • Pendant des années, j’ai utilisé des outils que j’avais moi-même développés, y compris des apps Android. Mais si les choses prennent cette direction, je compte arrêter complètement le développement Android. J’encourage les autres développeurs à adopter la même position. Ce changement ne fera que verrouiller totalement la plateforme ; c’est un point de non-retour. Si Android est attirant, c’est grâce au Linux qu’on a dans la main, et ce que Google devrait faire au contraire, c’est faciliter l’ouverture de l’accès root. À mes yeux, la dernière plateforme libre qui reste est Firefox, donc je vais me concentrer sur la création d’outils web qui fonctionnent bien dans Firefox (mobile et desktop)

    • Le développement Android et iOS est déjà tellement pénible, et le navigateur est parfois meilleur que le natif, que je vais pousser au maximum le web à l’avenir

    • Si j’ai cessé de développer sur Android, c’est précisément à cause de la manière dont Google interprète les règles de l’UE. Je n’aimais pas l’idée que l’adresse des développeurs doive être rendue publique. Je ne suis absolument pas surpris par la situation actuelle

    • J’aimerais entendre plus précisément quelle méthode de travail tu utilises. Moi, j’ai fini par porter ça en Emacs lisp

    • Ne te limite pas à Firefox ; je recommanderais carrément de viser des plateformes comme Linux ou BSD

    • J’estime qu’Android et iOS n’en valent plus la peine. J’avais même préparé du cross-platform natif (Flutter, etc.), mais gérer l’empaquetage, la validation et la distribution pour cinq systèmes différents est devenu extrêmement pénible. Les web apps deviennent de plus en plus la norme, et je pense que le natif est déjà une partie terminée

  • J’ai le sentiment que Google n’est pas seul à être malveillant : l’environnement réglementaire mondial contribue lui aussi à restreindre les choix et la liberté des consommateurs. J’ai voulu installer Thunderbird Mail pour mon fils de 17 ans, mais j’ai fini par abandonner à cause de toutes sortes de contraintes, comme la vérification de l’âge. Au final, grâce à F-Droid, il a pu commencer à développer des apps. La liberté semble être perçue par les autorités de régulation comme un contournement ou une esquive. Volontairement, je n’utilise que Flathub, arch, debian et f-droid plutôt que les App Stores Apple/Google/Microsoft, et je n’achète que des appareils sans OS. Il n’existe aucune possibilité pour les gens ordinaires ou les développeurs open source de participer à l’élaboration des normes du secteur, et nous devons tous nous plier aux exigences des gouvernements. Je m’inquiète de voir jusqu’où le FOSS sera encore toléré à l’avenir

    • En réalité, ce sont justement de grandes entreprises comme Google qui font du lobbying sur ces standards industriels pour que les développeurs d’apps ne puissent publier que dans leur propre App Store

    • Ça me rappelle un épisode drôle de Calvin & Hobbes où jeter un spam vous fait passer pour un terroriste. On en arrive à une ambiance où installer mon propre logiciel sur mon propre appareil vous fait passer pour un « hacker »

    • Du point de vue de F-Droid, cette affaire relève clairement d’une adaptation à la régulation. La DMA et le procès Epic s’entrecroisent aussi ici. Google semble vouloir maintenir AOSP tout en renforçant le contrôle de la distribution des apps. Mais comme il devra inévitablement continuer à dépendre à moitié de l’open source, je doute qu’il puisse aller jusqu’à une fermeture complète. Aujourd’hui, l’open source, surtout dans l’IA, est encore plus dynamique et produit souvent d’excellents résultats. Google, Apple et Microsoft veulent tous des écosystèmes fermés, mais aucun ne veut non plus se retrouver enfermé dans celui d’un concurrent. L’environnement réglementaire constitue clairement une menace pour l’open source, mais l’avenir de la liberté pourrait paradoxalement se jouer davantage aux États-Unis. Cela dit, comme développeurs et utilisateurs dépendent trop d’Android, la pire incitation à venir serait sans doute : « vous ne pouvez développer qu’en payant »

  • Il est dommage que la discussion actuelle n’aborde pas suffisamment les problèmes posés, avec les nouvelles règles de distribution, pour les apps contenant des composants GPLv3. En vertu de la GPLv3, il faut fournir aux utilisateurs finaux tous les moyens nécessaires — comme les clés — pour qu’ils puissent reconstruire et exécuter eux-mêmes le logiciel, mais avec les nouvelles exigences de Google, cela devient techniquement impossible dans la pratique

    • À cause de cela, Google et Apple pourraient tous deux se retrouver face à la même controverse sur la compatibilité avec la licence GPL. Personnellement, je pense toujours que la GPL peut coexister avec les deux plateformes. Il existe déjà sur le Play Store et l’App Store divers logiciels GPL comme Signal, Element ou Wordpress. L’obligation d’enregistrement des développeurs pourrait au contraire remettre en lumière la question de cette coexistence avec la licence. Billet de blog connexe

    • Les détails juridiques sont importants, mais dans les faits cela s’appliquera comme la politique de l’App Store d’Apple, et la FSF considère que ce n’est pas compatible article connexe de la FSF

    • D’après mon interprétation, cette clause s’applique aux constructeurs qui vendent des appareils (téléphones) intégrant du logiciel GPLv3. En revanche, pour un développeur qui distribue une app GPLv3, cela ne pose pas de problème majeur, et il semble possible de respecter la licence en passant par l’enregistrement développeur de Google

  • Je pense qu’il faut désormais regarder le téléphone autrement. La liberté d’exécuter des apps personnelles disparaît peu à peu, et il ne devient plus qu’un outil de collecte de données, de publicité et d’addiction. Pourtant, il reste un objet indispensable du quotidien, ce qui crée une vraie contradiction. Pour ma part, je garde maintenant mon téléphone éteint et ne l’allume qu’en cas de besoin (2FA, etc.), puis je l’éteins de nouveau

    • Je partage ce point de vue. Sur desktop, serveur et laptop, l’informatique généraliste reste bien vivante, alors que les smartphones et tablettes deviennent des appareils limités. La majorité des utilisateurs semble même souhaiter encore davantage ce type de restrictions, et quand nous plaidons pour la liberté et le choix, notre voix reste ultra minoritaire. Mon smartphone ne sert qu’à des services où la surveillance est la norme ; pour tout ce qui est important, je n’utilise qu’un vrai ordinateur

    • C’est grâce à F-Droid que j’utilise encore un téléphone. Les apps Google sont bloquées au niveau réseau via Rethink VPN. Si ce changement passe, je pense retirer ma SIM et la mettre dans un téléphone classique, et ne garder le smartphone allumé que comme appareil hors ligne pour la navigation et les médias

    • Je me demande comment faire si la crèche doit me contacter. J’en viens à me demander s’il ne faudrait pas utiliser un vrai feature phone, type 3310

  • Cette politique est vraiment catastrophique. Il n’y aura plus de téléphone complètement libre. Si on ne peut plus installer des APK ou utiliser le torrent, j’aurais presque intérêt à passer à l’iPhone pour au moins être moins traqué et gagner en sécurité

    • Je te conseillerais d’essayer Ubuntu Touch. La communauté est active, et pour un développeur ça peut être particulièrement intéressant. Quitter un écosystème de requins pour en rejoindre un autre n’est pas forcément la solution. J’ai déjà publié une app sur l’Ubuntu Touch Store, et la procédure était très simple, depuis le formulaire jusqu’au retour rapide

    • D’un autre côté, on peut se demander si les téléphones Android de Google ont vraiment déjà été un système ouvert. De vrais autres OS entièrement ouverts ou des Linux phones existent toujours, et ils pourraient même devenir plus attractifs ou plus populaires

    • Mais dans ce cas il faut aussi accepter les contraintes de l’écosystème Apple : politiques restrictives sur les apps, difficulté à extraire ses données, manque d’espace de stockage sur certains appareils, etc.

    • Je n’ai plus aucune intention de dépenser de l’argent chez Apple. C’est le modèle d’origine de toute cette logique, et dès qu’Apple commence à retirer un droit, Android finit toujours par suivre

  • L’époque actuelle de l’informatique est marquée par un verrouillage grave des appareils. SoC propriétaires, pilotes fermés et restrictions imposées aux utilisateurs sont devenus la norme. Ironiquement, après l’époque du jailbreak de l’iPhone, les entreprises ont compris que cela pouvait leur rapporter gros. L’UE a provoqué un certain changement en exigeant l’autorisation d’apps hors App Store, mais il aurait suffi d’ajouter un simple « interrupteur » permettant à l’utilisateur de décider lui-même s’il accepte le risque pour son appareil ; à la place, on a contourné cela avec un système de provisioning complexe. Google/Android suit maintenant la même logique, déjà appliquée avec la « bénédiction » de certains gouvernements, notamment au Brésil, en Indonésie, à Singapour ou en Thaïlande. Dans ces régions, toutes les apps ne peuvent être installées que si elles proviennent de développeurs enregistrés

    • En tant que résident de Singapour, je le constate réellement. J’aimais utiliser F-Droid, mais après avoir changé d’appareil, même l’accès au dossier de données via shizuku est devenu impossible, au point que je dois envisager le root ou une ROM custom

    • Même avec un système « seuls les développeurs vérifiés peuvent distribuer », des escrocs pourront toujours payer quelques dizaines de dollars pour enregistrer un prête-nom

    • Je comprends le contexte : les arnaques sont partout et les gouvernements veulent faire quelque chose pour les stopper. L’installation directe via câble ou adb reste possible, et cela peut réduire le nombre de victimes. Désormais, il devient en revanche bien plus pénible et difficile de convaincre un faux développeur de s’enregistrer pour mener des escroqueries

  • J’attendais la position ou l’annonce de fdroid, et comme prévu, les initiatives de Google sont aussi graves que je l’avais imaginé quand j’en ai entendu parler pour la première fois. Le développement Android empire d’année en année, et je crains que cette tendance ne s’étende au web

    • Le système européen de vérification de l’âge sur le web devrait s’appuyer sur les fonctionnalités de sécurité des terminaux Android/iOS issue connexe. En fin de compte, si l’on veut atteindre un niveau de contrôle interne/externe comparable à celui de la Chine, il faudra exclure du web les appareils contrôlés par l’utilisateur, ce qui permet d’anticiper l’orientation des politiques à venir

    • Alors même que Google cherche à prendre totalement le contrôle du web, le problème est que beaucoup de développeurs, au nom de la commodité, accusent Firefox/Safari d’entraver l’évolution du web lorsqu’ils bloquent de nouvelles Web API. Ajoutez à cela la prolifération des apps basées sur Electron, et le web pourrait lui aussi finir par évoluer dans une direction fermée