Les restrictions sur le sideloading d’Android sont la mesure la plus anti-consommateur qui soit

 (makeuseof.com)
8 points par GN⁺ 2025-10-14 | 5 commentaires | Partager sur WhatsApp
  • Google introduit de nouvelles restrictions sur les applications installées par sideloading et rend obligatoire la vérification de l’identité des développeurs
  • Ces restrictions entreront en vigueur à partir d’octobre 2025 et seront appliquées de manière obligatoire dans certains pays à partir de septembre 2026
  • Selon les nouvelles règles, sans vérification de l’identité du développeur (sur la base d’une pièce d’identité officielle), il deviendra impossible d’installer des applications sur les appareils équipés de GMS (y compris le Play Store)
  • Les applications distribuées en dehors des stores officiels comme F-Droid ainsi que les développeurs indépendants et individuels devraient être durement touchés, avec le risque de voir disparaître la tradition d’une distribution anonyme et autonome
  • Google présente cela comme une mesure de renforcement de la sécurité, mais cela fait doublon avec des protections déjà en place comme Play Protect, et le gain réel en matière de sécurité reste flou
  • Cette mesure constitue un mouvement anti-consommateur qui porte atteinte à l’ouverture et à l’innovation d’Android et limite la capacité des utilisateurs à décider par eux-mêmes, au point de pouvoir annoncer la fin d’un écosystème de distribution d’applications indépendant et libre

Vue d’ensemble

  • Android séduit notamment en tant que plateforme ouverte, permettant de nombreuses applications open source et un sideloading libre
  • Mais Google introduit à partir d’octobre 2025 une nouvelle politique de sideloading qui impose une vérification de l’identité des développeurs, renforçant ainsi son contrôle sur les applications que les utilisateurs peuvent installer
    • Sur tous les appareils équipés de GMS ayant accès au Play Store, les développeurs devront passer par une procédure de vérification d’identité fondée sur une pièce d’identité officielle ou des coordonnées de contact
    • Les applications non certifiées seront tout simplement bloquées à l’installation, à l’exception des ROM custom ou des appareils de-Googled, qui resteront relativement en dehors de cette mesure
  • Dans les faits, l’application obligatoire commencera dans certains pays à partir de septembre 2026, avec une extension mondiale prévue en 2027
  • De nombreux utilisateurs installaient jusqu’ici des applications absentes du Play Store, comme NewPipe ou Blokada, via des stores tiers tels que F-Droid
  • Mais à l’avenir, les applications de développeurs n’ayant pas passé la vérification d’identité risquent de devenir impossibles à installer sur la plupart des appareils équipés de Google Mobile Services (GMS)

Ce que Google a réellement changé : les règles, le calendrier et le sens de la « certification »

  • Google présente ce changement sous le slogan du développeur « vérifié » (verified)
    • La mesure est comparée à un contrôle d’identité à l’aéroport : pour qu’une application puisse être installée sur un appareil, le développeur devra faire vérifier son identité à l’aide d’une pièce d’identité officielle ou de coordonnées de contact
    • Déploiement progressif à partir d’octobre 2025
    • Application obligatoire dans certains pays à partir de septembre 2026
    • Extension mondiale en 2027
  • Les applications de développeurs non certifiés devraient être bloquées sur presque tous les appareils grand public
    • À l’exception de quelques appareils marginaux n’ayant pas passé les tests de certification de Google, comme certaines ROM custom ou des appareils de-Googled
  • Google n’interdit pas le sideloading en tant que tel, mais introduit un point de contrôle centralisé sous son contrôle, redéfinissant ainsi les frontières de la participation à l’écosystème Android
  • En conséquence, l’accès se réduit fortement pour les développeurs anonymes ou sous pseudonyme ainsi que pour la distribution libre d’applications open source

Prétexte de sécurité, mais quel effet réel ?

  • Google affirme que ces nouvelles restrictions visent à protéger les utilisateurs contre les applications malveillantes ou les abus liés aux fausses identités
    • En réalité, Android dispose déjà de mécanismes de sécurité existants comme Google Play Protect
    • Google Play Protect offre des fonctions de scan automatique et de détection des risques pour les applications installées par sideloading
  • Il est donc légitime de douter du bénéfice de sécurité réellement apporté par cette vérification d’identité supplémentaire
  • La vérification d’identité n’est pas synonyme de sécurité pour l’utilisateur, et par le passé, des cas de diffusion de malwares via des applications certifiées sur le Play Store ont déjà existé
  • Avec cette politique, la confiance se déplace du jugement autonome de l’utilisateur et des avertissements de sécurité sur l’appareil vers la procédure de certification de Google
  • Cette règle porte atteinte à l’autonomie et à la liberté de choix des utilisateurs et peut être vue comme une tentative de Google d’esquiver les critiques liées au sideloading

Des dommages collatéraux à prévoir

  • Ce sont probablement les écosystèmes d’APK distribués librement et reposant sur l’ouverture qui seront les plus touchés
    • F-Droid héberge de nombreuses applications absentes du Play Store
    • Beaucoup de ces outils existent précisément parce qu’ils doivent fonctionner en dehors du contrôle de Google
    • Même des applications sûres pourraient devenir inutilisables sur les appareils grand public
  • Les développeurs indés et amateurs sont eux aussi en danger
    • Pour certaines applications, le temps, les efforts et le compromis sur la vie privée exigés par la vérification d’identité ne sont pas justifiables
    • Les projets ponctuels et les applications destinées à de petites communautés peuvent entrer dans cette catégorie
    • Au final, si l’écosystème se rétrécit, tous les utilisateurs en subiront les conséquences
  • L’innovation pourrait être la plus grande victime
    • La force d’Android réside dans sa flexibilité et dans le fait qu’il s’agit d’un écosystème ouvert à tous
    • L’imposition d’un gatekeeper centralisé unique freinera l’innovation issue de la base
    • Tout le monde n’aura pas la volonté ou la capacité de contribuer, ce qui affectera inévitablement la vitesse et l’ampleur de l’innovation observable sur Android

La nouvelle réalité pour les utilisateurs Android

  • Google affirme agir au nom de la sécurité, mais pour les utilisateurs réels, cela pourrait surtout se traduire par une perte d’autonomie et une utilisation plus difficile
  • Les développeurs indépendants et les petits groupes d’utilisateurs qui recourent souvent à des applications hors store officiel seront particulièrement touchés
  • Il existe des moyens de contournement (utilisation d’appareils non certifiés, sauvegarde directe des APK, exploration de stores alternatifs, etc.), mais ils impliquent une complexité technique plus élevée ou des risques de sécurité
  • L’affaiblissement de l’ouverture d’Android est manifeste, et les craintes grandissent quant à une possible évolution future vers un écosystème entièrement fermé

À lire aussi

5 commentaires

 
ndrgrd 2025-10-14

Qu’ils demandent carrément à tous les appareils Android d’activer en permanence un enregistreur d’écran surveillé par Google. Comme ça, toutes les « menaces de sécurité » disparaîtront.
 
unsure4000 2025-10-14

Comme sur Windows, on pourrait vraiment le faire aussi mdr
 
ndrgrd 2025-10-14

Au moins, on peut désactiver ça, mais c’est quand même une situation absurde où Windows paraît presque préférable.
 
GN⁺ 2025-10-14
Avis Hacker News
  • La possibilité d’installer les applis que je veux en dehors du Play Store était la principale raison pour laquelle j’avais choisi Android ; presque tout le monde autour de moi utilise un iPhone, mais si cette liberté disparaît, je pense simplement passer à l’iPhone pour pouvoir utiliser iMessage et FaceTime
    • C’est le moment où le principal facteur de différenciation d’Android disparaît ; à l’avenir, il y aura sans doute un grand changement dans la façon dont les personnes technophiles recommandent un téléphone aux non-spécialistes. Aujourd’hui, tout est devenu trop banal. Google semble ne plus compter sur le bouche-à-oreille des « geeks ». Le marché étant saturé, ils ne se soucient plus des early adopters. C’est pareil pour YouTube : le blocage des pubs a servi de marketing naturel, mais maintenant que le marché est saturé, ils choisissent d’écarter ces utilisateurs
    • Je suis moi aussi sensible à l’attrait du vendor lock-in quand quelqu’un dit vouloir passer à l’iPhone pour utiliser iMessage et FaceTime
    • Je recommanderais aussi de jeter un œil à UbuntuTouch ; c’est très rafraîchissant et la communauté de développement est active. On n’est pas obligé de choisir entre deux mauvaises options
    • Le dernier vrai game changer qui reste, c’est sans doute Firefox ou les navigateurs alternatifs
    • Cette actu m’a aussi fait passer à l’iPhone ; l’installation hors store était l’attrait central d’Android
  • Une régulation antitrust est absolument nécessaire dans ce domaine ; devoir demander la permission au fabricant pour installer soi-même un logiciel sur du matériel qu’on a acheté est profondément absurde, et il n’existe aucune alternative crédible pour sortir des écosystèmes Apple ou Google. Il ne faudrait pas autoriser ces deux entreprises à contrôler les plateformes mobiles à ce point
    • Quel que soit le verrou mis en place par le fabricant, il devrait obligatoirement exister un moyen de le contourner soi-même de manière inconditionnelle. Je comprends le besoin de sécurité, mais sur mon appareil, il est légitime que j’aie le droit de désactiver moi-même cette sécurité. Peu importe s’il faut cliquer plusieurs fois et afficher des avertissements. Techniquement, sur Android, il est toujours possible d’installer n’importe quelle appli via les outils de débogage ; je ne sais pas encore si c’est là qu’il faut tracer la ligne
    • Le problème est particulièrement grave parce qu’il est impossible de vivre au quotidien sans participer à cette structure monopolistique : services bancaires, services publics, communication de base, etc.
    • Les monopoles freinent l’innovation américaine, et on ne peut pas continuer à se reposer sur leurs succès
    • Le matériel ne devrait pas exiger d’autorisation, non ? Il suffit d’installer son propre OS
  • L’ironie, c’est que le Play Store pullule déjà en temps réel de spyware et de malware, avec des noms qui ressemblent à des applis officielles (« Gallery », « Messages », « Text Messages »). J’ai même utilisé des canaux internes à Google pour signaler le problème, sans aucun changement concret. Le problème, ce n’est pas l’installation hors store, c’est Google lui-même. C’est un comportement très hostile à la fois envers les utilisateurs et les développeurs. On a l’impression d’entrer dans une époque où les appareils sont contrôlés de manière hostile par les services de renseignement ou les gouvernements, par exemple avec l’exigence d’un identifiant mobile ou l’introduction du client-side scanning. Plus les utilisateurs sont jeunes, plus on cherche à leur imposer des exigences d’authentification en s’appuyant sur la chaîne Play Integrity. À ce sujet, il peut être utile de regarder la communauté Magisk sur Reddit et ces applis. Dans les communautés root / tierces, divers problèmes d’exécution d’applis existent déjà. Certaines applis refusent même simplement de se lancer dès lors que l’appli SuperSU est présente (sans même passer par du sandboxing)
    • Si on en est là, c’est parce qu’ils pensent réellement que cela leur appartient ; des gens comme RMS (Richard Stallman) annonçaient cet avenir depuis longtemps, mais cette prédiction est désormais devenue réalité, et il est déjà trop tard
  • Je pense qu’au lieu de « sideloading », il faudrait parler de « libre installation de logiciels ». Le mot « sideloading » donne l’impression de quelque chose de détourné ou de piraté, alors qu’installer librement des logiciels sur un appareil qu’on a acheté est quelque chose de tout à fait normal sur un ordinateur. Ce n’est plus simplement un “téléphone”, c’est un ordinateur en forme de téléphone, et c’est un ordinateur qu’on a payé ; nous devons pouvoir y installer ce que nous voulons
    • Dans un autre fil, quelqu’un a proposé le terme « installation directe », et j’aime bien
    • Je me demande depuis quand on emploie le mot « sideloading ». Sur Android lui-même, quand on ouvre un fichier APK, il est simplement indiqué « Installer », on ne voit nulle part le mot « sideloading »
    • La situation est devenue si grave que le terme « installation » ne suffit plus ; le présupposé par défaut est désormais qu’une autre entité contrôle totalement ce que quelqu’un peut installer
    • Le « side » dans « sideloading » signifie simplement que cela ne passe pas par l’App Store officiel. Il n’y a pas de nuance négative ; à la rigueur, si on disait « backloading », mais à mes yeux, la querelle terminologique est un faux débat
    • Au contraire, c’est l’installation d’applis servie à la cuillère par l’éditeur de l’OS du téléphone qu’il faudrait appeler péjorativement. Un terme comme « chargement débile » serait presque amusant
  • Avant, il m’est arrivé d’ajouter rapidement la fonctionnalité que je voulais à une appli open source et de la tester directement sur mon téléphone. Le développement Android, c’était précisément cette tâche, la première et la dernière fois, et cela ne m’a pris que quelques heures. Je n’avais pas besoin d’une quelconque certification officielle de développeur Android. Avec ce changement, ce ne sera plus possible ? Même si c’est une appli faite uniquement pour mon usage personnel, il faudra obligatoirement s’inscrire à un programme officiel pour l’installer sur mon téléphone ? Je pensais que même Apple n’allait pas jusque-là
  • Je pense qu’il y aurait une base juridique suffisante pour faire pression sur Google si l’on mettait l’accent sur le fait que Google a fait une publicité trompeuse autour de la liberté d’installer des logiciels, ce qui lui a permis d’éliminer des options open concurrentes
    • Je me demande quel pays imposerait cela. Aux États-Unis, une entreprise n’est pas tenue de respecter à perpétuité tout ce qu’elle a annoncé dans sa publicité passée. Même si une entreprise fait de la publicité mensongère sur une fonctionnalité produit, elle n’a pas l’obligation légale de modifier le produit pour qu’il corresponde exactement à cette publicité ; la réparation consiste plutôt à corriger la publicité ou à rembourser l’appareil. Qu’une fonctionnalité présente il y a plusieurs années disparaisse ensuite n’a rien d’illégal
    • Je répète le même raisonnement, mais il ne tient pas si on l’examine de manière critique ; j’y ai déjà répondu ici. En fin de compte, la seule conclusion est qu’il n’existe pas, en l’état actuel du droit américain, de base pour sanctionner Google sur ce point, et qu’il faut donc une nouvelle loi. Mais on dirait que vous pensez que cela devrait aussi s’appliquer à Apple et que ce serait « la fin du monde ». En réalité, la forme concrète d’une solution ressemblerait probablement à quelque chose comme l’« App Store Freedom Act » bipartisane, voir le lien : https://www.congress.gov/bill/119th-congress/house-bill/3209/text. (Cela dit, avec le lobbying d’Apple et Google, cette loi finira sans doute enterrée ou vidée de sa substance par une multitude d’exceptions)
    • C’est une affirmation beaucoup trop exagérée ; la publicité réelle ne portait pas un message aussi explicite. Et une publicité n’a pas non plus vocation à engager à vie : par exemple, ce n’est pas parce que Red Lobster ne fait plus les « crab legs à volonté » qu’ils en sont responsables pour toujours
    • L’UE peut bloquer Google même sans base juridique ; en fait, je pense que l’UE apprécie plutôt ce type de politique parce qu’elle facilite la mise en place d’un système global de surveillance
  • Si la situation ne change pas, alors tôt ou tard j’adopterai un mode de vie où je me déplacerai seulement avec un ordinateur portable, un téléphone ordinaire et un hotspot ; si j’ai besoin d’Internet, je préparerai cela à l’avance avant de partir en voyage, et si je ne l’ai pas préparé, je trouverai simplement un autre moyen ou je renoncerai à faire cette chose. En fait, je ne sais même pas pourquoi je ne vis pas déjà comme ça ; cela a l’air assez amusant
  • J’aimerais que F-Droid, la FSF ou une organisation similaire soulève officiellement le problème aux États-Unis ou en Europe ; si une collecte de fonds était lancée dans ce but, je serais tout à fait prêt à la soutenir
  • On a déjà découvert à de multiples reprises des malwares soi-disant « vérifiés » sur le Play Store, mais je trouve que « cet argument est faible » ; dire que, parce qu’il y a des problèmes malgré la vérification, il faudrait « ne plus rien vérifier du tout » est un raisonnement fragile. Il existe déjà de meilleurs contre-arguments dans d’autres commentaires (« mon appareil, mes règles », etc.), celui-ci n’est pas très convaincant
  • Quand on achète un Android ou un iPhone, on perd presque tout contrôle même sur le matériel essentiel ; je me demande quelles alternatives réalistes existent. J’ai un pinephone, mais le développement matériel semble presque à l’arrêt, et je connais aussi librem. Je me demande s’il existe d’autres alternatives utilisables sur le marché
    • Je garde espoir pour les téléphones sous Linux ; ce n’est pas encore abouti, mais au moment où Android se sera figé comme iOS, cela pourrait devenir une alternative réaliste. Le problème, ce sont les applis bancaires et autres, mais avec un iPhone d’occasion laissé en mode verrouillage, cela devrait rester gérable même après l’EoL
 
cuj1559 2025-10-14

« Une société qui renonce à un peu de liberté pour un peu de sécurité ne mérite ni l’une ni l’autre. » — Benjamin Franklin.

Bien sûr, dans ce cas, il s’agit du comportement arbitraire d’une seule entreprise.