Google détaille une nouvelle procédure de 24 heures pour le sideloading d’apps Android non vérifiées

• Google prévoit de mettre en place un programme de vérification des développeurs à partir de septembre 2026, afin de limiter l’installation d’applications non certifiées
• Les utilisateurs expérimentés pourront contourner la vérification pour installer une app, mais l’activation complète nécessitera un réglage caché et un délai d’attente de 24 heures
• Google explique que ce délai vise à empêcher les attaques d’ingénierie sociale et à éviter que les utilisateurs n’installent impulsivement des apps malveillantes
• Ce changement vise à équilibrer le renforcement de la sécurité de l’écosystème Android et la liberté de choix des utilisateurs, avec une extension mondiale prévue en 2027

Changement de politique sur le sideloading Android

• Google prépare à partir de 2026 un changement d’ampleur pour empêcher la propagation des malwares dans l’ensemble d’Android
  • Dès septembre, seuls les développeurs vérifiés pourront distribuer des applications via le programme de vérification des développeurs
  • La vérification nécessitera une confirmation d’identité, la soumission d’une clé de signature et des frais de 25 dollars
• Les applications de développeurs non vérifiés ne pourront pas être installées par défaut
  • Une exception restera toutefois possible via le « advanced flow »

Fonctionnement de l’Advanced Flow

• Cette fonction sera profondément enfouie dans le menu des options développeur
  • L’utilisateur devra activer les options développeur en appuyant 7 fois sur le numéro de build dans « About Phone »
  • Il devra ensuite trouver l’option « Allow Unverified Packages », l’activer, puis saisir son PIN et redémarrer l’appareil
  • Après 24 heures d’attente, il pourra revenir dans les réglages pour choisir une autorisation temporaire (7 jours) ou une autorisation illimitée
• Ce délai de 24 heures constitue un mécanisme de sécurité destiné à empêcher les installations impulsives
  • Google indique que cette période aide à bloquer les escroqueries reposant sur l’ingénierie sociale
  • Par exemple, elle réduit la pression exercée lorsqu’un attaquant affirme qu’il faut « installer immédiatement une app »

Équilibre entre sécurité et choix de l’utilisateur

• Google souligne que, compte tenu de plus de 300 millions d’appareils actifs, la plateforme doit préserver à la fois son ouverture et sa sécurité
  • Sa position : « Si la plateforme n’est pas sûre, les utilisateurs comme les développeurs y perdent. »
• Le processus de vérification vise la confirmation d’identité, et non la censure du contenu des apps
  • Les utilisateurs pourront vérifier qu’une application ne provient pas d’un diffuseur de malware ni d’un usurpateur d’identité
  • Google définit un malware comme une app qui endommage l’appareil ou les données personnelles sans l’intention de l’utilisateur
• Google ne considère pas comme problématiques au regard de la vérification les outils de root à usage personnel ou les bloqueurs de publicité, entre autres

Inquiétudes sur la vie privée et aspects juridiques

• Certains défenseurs de la vie privée craignent que la base de données de vérification n’expose les développeurs indépendants à des risques juridiques
  • Google affirme protéger les données des utilisateurs contre les injonctions judiciaires abusives
  • L’entreprise indique aussi ne pas prévoir de conserver de manière permanente les informations d’identité des développeurs
• Des inquiétudes existent aussi quant au fait que des développeurs situés dans des pays sous sanctions (Cuba, Iran, etc.) puissent ne pas pouvoir être vérifiés à cause des frais
  • Google explique que les procédures de vérification pourront varier selon les pays et qu’il ne s’agit pas d’exclure certaines régions

Calendrier de déploiement progressif

• La mesure sera d’abord appliquée à partir de septembre 2026 au Brésil, à Singapour, en Indonésie et en Thaïlande
  • Ces régions connaissent relativement plus de fraudes par usurpation d’identité et de phishing
• Une extension mondiale est ensuite prévue en 2027
• Google a intégré la fonction de vérification dans Android 16.1 (sorti en 2025) et prévoit
  la même interface et les mêmes écrans d’avertissement sur tous les appareils pris en charge
• Google souligne que l’installation d’applications en dehors de Play expose à un risque d’infection par malware 50 fois plus élevé
  • L’introduction de la vérification de l’identité des développeurs sur le Play Store en 2023 a servi de base à cette politique
  • Dans certains pays, une pression réglementaire existe pour résoudre les problèmes de sécurité