Ce dont nous parlons quand nous parlons de sideloading | F-Droid

 (f-droid.org)
1 points par GN⁺ 2025-10-29 | 1 commentaires | Partager sur WhatsApp
  • La nouvelle politique d’enregistrement des développeurs de Google est critiquée parce qu’elle limiterait la liberté des appareils et le choix logiciel des utilisateurs Android
  • Google affirme que « le sideloading ne disparaîtra pas », mais dans les faits, la distribution de toutes les applications évoluerait vers un système où elles doivent passer par la procédure d’approbation de Google
  • Cette politique priverait en pratique les utilisateurs de la liberté d’installer eux-mêmes des applications ou d’utiliser des dépôts open source comme F-Droid
  • Google met en avant le renforcement de la sécurité, mais la répétition de cas d’applications malveillantes sur le Play Store continue d’alimenter la controverse sur sa fiabilité
  • Le texte souligne la nécessité d’une réponse sociale et politique pour préserver l’ouverture et la souveraineté numérique de l’écosystème Android mondial

Réfutation de l’affirmation de Google selon laquelle « le sideloading ne disparaîtra pas »

  • Google a explicitement déclaré, via une vidéo Android Developers Roundtable et un billet de blog, que « le sideloading est au cœur d’Android et ne disparaîtra pas », mais F-Droid affirme que c’est faux
    • Le nouveau décret de vérification des développeurs (developer verification decree) mettrait en réalité fin au droit des individus d’installer librement les logiciels de leur choix
  • Le terme même de « sideloading » serait une construction artificielle et ne désignerait au fond qu’une simple installation
    • Selon cette analyse, l’installation directe sans passer par des places de marché intermédiaires comme le Google Play Store ou l’Apple App Store a été déformée pour lui donner une connotation négative
  • Selon la définition de Wikipedia, le sideloading est le « transfert d’applications depuis des sources web non approuvées par le fournisseur » ; si Google exige l’approbation de toutes les sources, alors il ne s’agit plus de sideloading
    • Les développeurs doivent payer des frais d’inscription à Google, fournir une preuve d’identité et des informations sur leur clé de signature, puis attendre l’approbation de Google

Impact sur les droits des utilisateurs, des développeurs et des États

  • Les utilisateurs ont acheté des appareils Android en croyant à la promesse d’une « plateforme ouverte », mais de futures mises à jour devraient imposer des restrictions irréversibles
    • Le système évoluerait vers un modèle où c’est Google qui décide quels logiciels sont dignes de confiance
  • Les développeurs ne pourraient plus créer librement des applications et les distribuer directement ; ils devraient obtenir l’approbation préalable de Google
    • L’ouverture d’Android constituait une différence clé face à l’iPhone, mais ce principe serait désormais abandonné
  • Au niveau des États aussi, il existerait un risque que la souveraineté numérique des citoyens soit subordonnée à une entreprise
    • Google a déjà, par le passé, supprimé des applications légales à la demande de gouvernements autoritaires, ce qui alimente l’inquiétude jusque pour les logiciels publics
  • Cette politique ne s’appliquerait pas seulement au Google Play Store, mais à tous les appareils certifiés Android, de sorte que les utilisateurs de boutiques alternatives comme F-Droid ou Epic Games Store seraient soumis aux mêmes contraintes

Le caractère illusoire du « cadre plus sûr » avancé par Google

  • Google justifie sa politique en citant sa propre analyse, selon laquelle « les malwares trouvés dans les sources de sideloading sur Internet sont 50 fois plus nombreux que sur le Play Store »
    • F-Droid affirme toutefois n’avoir jamais vu cette analyse et critique un chiffre sans fondement
  • En évoquant le cas récent de 224 applications malveillantes supprimées du Play Store à cause d’une campagne de fraude publicitaire, F-Droid estime que Google devrait se concentrer sur l’amélioration de ses propres mécanismes de sécurité plutôt que de blâmer les communautés extérieures
  • Selon un autre article, des applications malveillantes téléchargées plus de 19 millions de fois depuis le Play Store ont également été découvertes, ce qui rend difficile de faire confiance à l’identification des malwares par le seul jugement d’une entreprise
    • Cela alimente la crainte que les intérêts commerciaux de Google passent avant la protection des utilisateurs

Que peut-on faire ?

  • Les critiques envers le contrôle politique excessif exercé par Google ne datent pas d’hier et se sont récemment accélérées
    • En 2024, l’introduction de Manifest v3 dans Chrome a affaibli les capacités de blocage de la publicité,
    • et en 2025, le développement de l’Android Open Source Project (AOSP) a été fermé au public afin de construire discrètement cette infrastructure de vérification
  • Le système de vérification des développeurs constitue une menace existentielle pour les plateformes de distribution de logiciels libres comme F-Droid ainsi que pour les concurrents commerciaux du Play Store
    • L’opposition des utilisateurs, des développeurs, des médias et des organisations civiques s’étend, mais il reste nécessaire de mieux sensibiliser les décideurs politiques
  • Les consommateurs peuvent agir via keepandroidopen.org pour faire entendre leur voix auprès de leurs représentants et défendre le maintien d’un écosystème Android ouvert
  • À l’heure actuelle, il est déconseillé aux développeurs de rejoindre le programme d’enregistrement des développeurs de Google
    • F-Droid déclare rejeter clairement ce système coercitif
  • Plus de la moitié de l’humanité utilise un smartphone Android, et la propriété de l’appareil appartient à l’utilisateur, pas à Google
    • Les utilisateurs devraient avoir le droit de décider eux-mêmes à qui ils font confiance et où ils obtiennent leurs logiciels

À lire aussi

1 commentaires

 
GN⁺ 2025-10-29
Commentaires sur Hacker News

  • C’est l’auteur de l’article. J’ai été assez surpris par le ton agressif de nombreux commentaires et par les accusations de mauvaise foi
    Il n’est pas important de débattre de l’origine du terme « sideload ». Ceux qui utilisent ce mot essaient souvent de faire passer cela pour quelque chose de bidouilleur et d’anormal
    Sur Linux, Windows et macOS, on ne parle pas de « sideload », on dit simplement « installer »
    Je pense avoir le droit d’installer n’importe quel logiciel sur mon ordinateur, ou sur l’ordinateur dans ma poche. C’est une conviction que je défendrai jusqu’au bout

    • Même dans cette communauté, certaines personnes aiment le contrôle autoritaire. Elles croient qu’Apple ou Google Play nous protègent, et qu’il faut défendre cela
      Cette attitude apparaît souvent sur des sujets comme la fermeture des appareils mobiles. Mais ce n’est qu’une minorité très bruyante
    • Je pense qu’il vaut mieux abandonner complètement le projet. J’ai déjà contribué à un projet autour de la vie privée, puis j’ai compris après m’être fait reprocher de nuire aux « créateurs » de YouTube. Les gens se font malmener par Google et en redemandent. Depuis que j’ai arrêté pour préserver ma santé mentale, j’ai beaucoup plus de temps
    • On pourrait même soutenir que F-Droid est en réalité plus sûr que le Google Play Store. Google présente le sideloading comme un problème de « malware », mais en pratique le Play Store a peut-être diffusé davantage d’applications malveillantes. Un petit store indépendant pourrait au contraire être mieux géré
    • Le problème se répand plus largement. Désormais, ce ne sont plus seulement les logiciels, mais aussi du matériel comme les équipements de sport, qui sont enfermés dans des modèles par abonnement. Avant, on réglait la résistance avec une poignée ; maintenant, sans abonnement à 30 dollars par mois, c’est impossible. C’est pire que l’obsolescence programmée du cartel des ampoules des années 1920. Il est déprimant de voir le marché continuer à soutenir cela, mais quand les structures monopolistiques se figent, ce genre de schéma apparaît
    • Je pense la même chose. Je voulais simplement vous dire que vous n’êtes pas seul

  • Il faut élever le niveau du débat. La controverse sur le « sideloading » est secondaire. Le cœur du sujet, c’est la propriété de l’appareil et les limites de la transaction
    Dès que j’achète un appareil, la transaction devrait être terminée, et ensuite je devrais avoir 100 % du contrôle. Le fabricant ou l’éditeur de l’OS devraient en avoir 0 %

    • La première chose à faire est de réformer le DMCA. Aujourd’hui, même fournir des outils ou des informations permettant à un utilisateur de contrôler son propre appareil peut constituer une violation du droit fédéral
      Voir l’article lié de l’EFF
      De telles lois permettent aux entreprises d’effrayer les gens avec la force de l’État. À l’inverse, supprimer ce type de dispositions permettrait aux consommateurs de développer eux-mêmes leurs crochets pour serrures (lockpick)
    • Mais cet idéal semble irréaliste. Nous allons finalement vers un monde où nous louons des appareils autorisés par les géants de la tech. Toute exécution de code ne sera possible que pour des développeurs approuvés, et toutes les données seront surveillées. Si la centralisation totale arrive, je crains ce qui viendra ensuite
    • Il faut qu’un logiciel parfait puisse tourner sur le matériel pour que l’appareil soit vraiment le mien. Sinon, au final, ce n’est que « mon appareil avec leur logiciel installé »
    • Certains demanderont : « Alors comment fera-t-on pour les mises à jour ? » Mais l’essentiel, c’est l’autonomie de l’utilisateur : n’autoriser les mises à jour que lorsqu’il le souhaite

  • Le comportement des plateformes n’est qu’un symptôme, pas le problème de fond

    1. Mon téléphone m’appartient, et je dois pouvoir installer n’importe quelle application
    2. Des canaux vérifiés comme les stores officiels sont utiles pour la sécurité
      Si ces deux propositions sont vraies, il suffit d’afficher une fenêtre d’avertissement « installation à vos risques et périls » lors d’une installation hors store officiel. La plupart des utilisateurs continueront de toute façon à n’utiliser que le store officiel
      Mais Apple et Google ne le font pas, parce qu’ils prélèvent leur commission (vig) sur les transactions in-app. Supprimez la taxe de plateforme et le problème du sideload disparaît
    • Ce qui compte, ce n’est pas le caractère « officiel », mais le canal de confiance. F-Droid est un tel canal, mais pas Google Play. Google cherche au contraire à éliminer ces canaux de confiance
    • Android affiche déjà une fenêtre d’avertissement « installation à vos risques et périls ». Google veut désormais faire en sorte que seuls des développeurs enregistrés puissent distribuer des applications
    • Cette fenêtre d’avertissement existe déjà, mais les gens cliquent quand même. La réalité de l’ingénierie de la sécurité, c’est que les utilisateurs ne comprennent pas les avertissements. Se contenter de dire « on vous a prévenu, ce n’est pas notre faute » n’aide en rien à réparer les dégâts
    • Cette fonction existait déjà sur Android, et elle est maintenant destinée à disparaître
    • Moi non plus, je ne fais pas confiance au Google Play Store

  • Le fait que nous n’ayons même pas les droits root est absurde. Les restrictions sur le sideload ne sont qu’un symbole de cette dystopie

    • Je conserve le root sur un Poco F3 équipé de LineageOS. Mais si l’attestation matérielle devient la norme, je crains de perdre aussi cette liberté. Si root et sideload sont bloqués, Android n’aura plus aucune valeur
    • À cause de ce contrôle, Apple et Google finissent même par décider quelles technologies et quels services pourront se développer sur le marché

  • En tant qu’utilisateur iOS, j’étais lassé des politiques fermées d’Apple, alors j’ai acheté un appareil Android et j’ai développé des applications de PoC. Aujourd’hui encore, j’installe des applications via F-Droid sur plusieurs appareils. Si cela est bloqué, mes appareils ne serviront plus à rien

    • Cette année, j’ai découvert SideStore sur iOS, et sa fonction de renouvellement automatique est excellente. J’ai développé moi-même deux applications iOS que j’utilise tous les jours. Grâce à la nouvelle politique de Google, il est peu probable que je revienne à Android avant un moment

  • Beaucoup de commentaires s’obsèdent sur le sens d’un mot plutôt que sur le fond du texte

    • J’ai envie de plaisanter en disant que HN adorerait si F-Droid remplaçait simplement « coined » par « popularized » dans l’article
    • Cela arrive souvent sur HN : sur un long texte, on s’accroche à un seul mot et on rate la forêt pour l’arbre

  • Si Google pousse vraiment cette politique pour des raisons de sécurité, il pourrait au moins créer un compte utilisateur sandboxé dans lequel installer les applications non officielles. Mais comme les utilisateurs qui veulent cela sont extrêmement peu nombreux, Google ne s’en souciera pas. Des gens comme nous n’auront qu’à importer directement des téléphones chinois

    • Mais dans des pays avec des restrictions à l’importation, comme le Brésil, il est impossible de faire entrer des téléphones non certifiés
    • En réalité, l’objectif de l’interdiction du sideload n’est pas la sécurité, mais de bloquer des applications comme NewPipe ou Vanced
    • Il existe peut-être une méthode de contournement consistant à faire tourner ADB directement via Termux pour installer l’application F-Droid. Mais Google bloquera sans doute bientôt ce genre de tentative
    • De toute façon, si la base d’utilisateurs est trop petite, les développeurs n’auront aucune raison de créer des applications

  • Je suis déçu qu’il n’y ait aucune mention de Raymond Carver
    Si l’on regarde son œuvre la plus connue, on se dit que la situation actuelle des OS mobiles est à ce point sombre. Je recommande aussi le film Shortcuts

    • Oui, c’est un peu hors sujet, mais Carver est un excellent écrivain

  • Le mot « sideload » a été créé à l’origine pour donner l’impression de quelque chose de secret et de dangereux
    Autrefois, sur des services d’hébergement de fichiers comme Rapidshare ou Megaupload, il existait aussi une fonction appelée « sideload », qui désignait le transfert direct d’un fichier vers le serveur

  • Sur macOS, quand on lance une application téléchargée depuis Internet, il affiche seulement un avertissement du type « Voulez-vous ouvrir cette application ? ». Il ne bloque pas l’installation elle-même. Il devrait en être de même sur téléphone

    • Mais en pratique, c’est plus compliqué. Par exemple, si j’envoie à quelqu’un un binaire golang que j’ai créé, macOS bloque l’exécution en disant que l’application est « endommagée ». Je pense que c’est conçu pour bloquer les utilisateurs non techniques
    • Cette mise à jour va dans le sens de retirer à l’utilisateur le droit même de décider s’il veut installer ou non, et de faire en sorte qu’une application ne puisse être installée que si le développeur est enregistré et paie. En fin de compte, c’est une incitation vers un écosystème fermé
    • macOS affiche un avertissement, mais l’utilisateur garde le choix de l’ignorer et d’exécuter quand même. Ce n’est pas le cas sur iOS, et Google veut suivre cette voie
    • macOS affiche un avertissement à chaque exécution d’une application hors App Store, mais l’utilisateur peut l’exécuter s’il la compile lui-même ou supprime le drapeau de quarantaine
    • Avec un gestionnaire de paquets comme brew, il n’y a même pas cet avertissement