Discussion :

[Mathis Lucas]

Android permet d�sormais aux applications de bloquer le chargement lat�ral et de forcer le t�l�chargement via Play Store pour des raisons de s�curit�
mais la fonctionnalit� suscite quelques pr�occupations

Google a introduit en mai l'API Play Integrity sur Android qui permet aux d�veloppeurs d'emp�cher une application de fonctionner si elle a �t� charg�e lat�ralement et d'inviter les utilisateurs � la t�l�charger � partir du Google Play Store. Cette API est d�j� utilis�e par des applications telles que Tesco et BeyBlade X. Google a d�clar� que l'API est destin�e � am�liorer la s�curit� des applications Android, mais elle remet �galement en question la nature d'Android en tant que syst�me d'exploitation r�ellement personnalisable. Elle risque d'avoir un impact n�gatif sur les versions personnalis�es d'Android d�pourvues des services Google Play et les t�l�phones root�s.

Play Integrity : d�finition et caract�ristiques de cette nouvelle API d'Android

L'API Google Play Integrity est une interface qui aide les d�veloppeurs � v�rifier que les interactions et les demandes de serveur proviennent de [leur] v�ritable binaire d'application fonctionnant sur un v�ritable appareil Android. Elle recherche notamment des preuves que l'application a �t� alt�r�e, qu'elle s'ex�cute dans un environnement logiciel non fiable, que l'appareil a activ� Google Play Protect, et bien d'autres choses. Si vous avez d�j� entendu parler ou eu affaire � SafetyNet Attestation sur un t�l�phone root�, vous �tes probablement d�j� familiaris� avec Play Integrity, m�me si ce n'est pas sous cette appellation.

Play Integrity est le successeur de SafetyNet Attestation, mais offre encore plus de fonctionnalit�s aux d�veloppeurs. Elle permet aux applications de bloquer l'acc�s � lorsqu'elles sont charg�es sur des t�l�phones qui ont �t� modifi�s d'une mani�re ou d'une autre par rapport � un syst�me d'exploitation standard avec toutes les int�grations Google Play intactes �. Dans la pratique, les applications peuvent appeler Play Integrity et obtenir en retour un � verdict d'int�grit� �.

Ce verdict indique si le t�l�phone dispose d'un environnement logiciel digne de confiance, si Google Play Protect est activ� et si d'autres v�rifications logicielles ont �t� effectu�es. Play Integrity permet aux applications de se d�charger de la d�termination de l'authenticit� de l'appareil et de son environnement logiciel. Et avec sa derni�re mise � jour, les applications peuvent d�sormais facilement d�terminer si la personne qui les a install�es est elle aussi � authentique �.

R�cemment, une application populaire d'authentification � deux facteurs a bloqu� l'acc�s � des t�l�phones root�s, y compris GrapheneOS, une version d'Android ax�e sur la s�curit�. Graphene a mis en doute la v�racit� de Play Integrity et SafetyNet Attestation, recommandant � la place une attestation mat�rielle standard pour Android. Selon les critiques, les applications ne sont pas oblig�es d'adopter une approche � tout ou rien � en mati�re de v�rification de l'int�grit�.

Plut�t que de bloquer compl�tement l'installation, les applications peuvent faire appel � l'API uniquement lors � d'actions sensibles �, en �mettant un avertissement � ce moment-l�. Cependant, l'absence de connexion au Play Store peut �galement priver les d�veloppeurs de donn�es m�triques, permettre l'installation sur des appareils incompatibles (avec les mauvaises critiques qui en d�coulent) et, bien s�r, ouvrir la porte au piratage d'applications payantes.

La nouvelle API Play Integrity introduite par Google suscite des pr�occupations

Il est facile de charger des applications de mani�re lat�rale sur Android. Et il existe de nombreuses raisons pour lesquelles vous pouvez vouloir charger des applications de mani�re lat�rale sur votre t�l�phone Android. Toutefois, le revers de la m�daille du chargement lat�ral est qu'il peut �tre dangereux si l'utilisateur ne sait pas ce qu'il fait, et au pire, cela peut alt�rer non seulement l'exp�rience de l'application, mais aussi celle d'Android dans son ensemble. Malgr� ses risques, le chargement lat�ral d'applications a presque toujours �t� possible avec Android, contrairement au verrouillage mis en place par Apple sur iOS.

Du point de vue des d�veloppeurs, il y a de bonnes raisons pour lesquelles ils voudraient bloquer le chargement lat�ral de leurs applications. D'une part, une application charg�e en parall�le ne contribuera pas aux statistiques du d�veloppeur sur le Play Store et, d'autre part, elle emp�che le d�veloppeur de d�terminer quels appareils peuvent utiliser son application. Il y a bien s�r des tampons en place pour emp�cher l'installation d'applications charg�es lat�ralement.

Mais les utilisateurs parviennent parfois � contourner ces garde-fous. Quelle que soit la raison, les d�veloppeurs qui souhaitent emp�cher le chargement lat�ral de leurs applications disposent d�sormais d'un moyen plus simple de le faire gr�ce � l'API Play Integrity. Toutefois, bien que Google ait d�clar� que l'API a �t� introduite pour am�liorer la s�curit�, certains critiques y voient une nouvelle �tape dans les efforts de Google pour verrouiller le syst�me d'exploitation.

� J'aimerais vraiment qu'il y ait un troisi�me concurrent dans le domaine des syst�mes d'exploitation pour t�l�phone. Il s'agit d'ordinateurs de poche, mais pour une raison ou une autre, nous avons tous d� accepter des restrictions qui auraient �t� impensables pour un ordinateur portable ou de bureau il n'y a pas si longtemps. Aujourd'hui, des restrictions similaires s'infiltrent dans l'espace informatique g�n�ral �, peut-on lire dans les commentaires sur la toile.

Android a connu de nombreux changements au cours des derni�res ann�es, Google cherchant � placer la s�curit�, la confidentialit� et l'IA au premier plan de ses efforts r�cents. Cependant, si la plupart de ces changements sont les bienvenus, certains affirment qu'Android est en train de perdre son identit� principale en tant que syst�me d'exploitation r�ellement personnalisable. Les critiques affirment qu'Android devient un syst�me d'exploitation verrouill� comme iOS.

Apple forc� � autoriser le chargement lat�ral et Google tente de le restreindre

Comme soulign� plus haut, les d�veloppeurs disposaient d'autres moyens pour d�tecter si leurs applications �taient charg�es de mani�re lat�rale avant que cette fonctionnalit� ne soit introduite dans l'API d'int�grit� de Play, mais ce changement facilite la mise en �uvre de ce type de contr�le par les d�veloppeurs. Certaines applications utiliseraient d�j� la nouvelle API. Des utilisateurs d'applications du magasin britannique Tesco, de l'application de jeux vid�o BeyBlade X et de ChatGPT ont signal� des fen�tres � Get this app from Play �, qui ne peuvent pas �tre contourn�es. Certains ont fait part de leur m�contentement.

Il y a trois mois, un utilisateur d'un ordinateur de poche bas� sur Android a re�u un message similaire de Diablo Immortal sur son appareil. L'API Play Integrity serait �galement d�j� utilis�e par de nombreuses applications populaires sur Google Play, notamment Stripe, Uber et TikTok, et il est probable que d'autres l'adoptent au fil du temps. Mais de nombreux utilisateurs d�noncent ces changements, car ils les consid�rent comme des restrictions impos�es par Google.

Cela semble historique. L'un des principaux facteurs de diff�renciation entre iOS et Android, qui jouait en faveur d'Android, est d�sormais d�truit. Tout cela est fait au nom de la fiabilit� et de la s�curit�, soi-disant. J'esp�re que cela ne va pas devenir une pente glissante o�, pour des raisons de � s�curit� �, Google commencerait � bloquer des applications ind�sirables ou g�nantes d'un point de vue �thique/politique. Cette technologie fournit l'infrastructure n�cessaire pour bloquer ces applications ind�sirables.

Cela pose les bases de l'interdiction d'installer des logiciels sur de nombreux appareils Android grand public sans l'approbation de Google. J'esp�re que Google n'ira jamais trop loin en abusant de ce pouvoir. Cependant, c'est peut-�tre de l'optimisme ou de la na�vet� d'esp�rer cela. En tant qu'outil pour les d�veloppeurs d'applications, o� les d�veloppeurs d'applications prennent la d�cision, dans cette situation limit�e, c'est peut-�tre encore un peu correct.

Cela est acceptable dans le sens o� les d�veloppeurs peuvent �tre autoris�s par la loi et la compr�hension commune � choisir la fa�on dont leurs applications sont distribu�es. Mais si Google d�cidait un jour d'interdire des applications de cette mani�re contre la volont� des d�veloppeurs, il s'agirait d'un �norme d�passement.

L'ann�e derni�re, Google a introduit la recherche de logiciels malveillants, au moment de l'installation, dans les applications Android charg�es lat�ralement. Aux �tats-Unis, Google et Apple se sont oppos�s � une loi qui �largirait les droits de t�l�chargement lat�ral pour les propri�taires de smartphones, en invoquant des probl�mes de s�curit� et de fiabilit�. Avec cette nouvelle API, le g�ant de la recherche en ligne affiche davantage son opposition � ce projet de loi.

Au d�but de l'ann�e, en vertu de la loi sur les march�s num�riques (DMA), les r�gulateurs de l'Union europ�enne (UE) ont contraint Apple � autoriser le t�l�chargement lat�ral d'applications et de boutiques d'applications sur iOS. Apple s'est ex�cut�, mais la mise en �uvre de la r�glementation par le fabricant de l'iPhone a suscit� de nombreux critiques. Les changements introduits par Apple font l'objet d'un examen de la part de la Commission europ�enne.

Source : Google

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de l'API Play Integrity introduite par Google sur Android ?
Que pensez-vous des pr�occupations qu'elle suscite ? Participe-t-elle au verrouillage d'Android ?
Quels pourraient �tre les impacts de cette API sur les utilisateurs ? Tend-on vers la fin du chargement lat�ral sur Android ?
Cette API renforce-t-elle la s�curit� comme Google le pr�tend ? Comment les r�gulateurs vont-ils r�agir � cette nouvelle API ?

Voir aussi

Technologie OCR et cyberattaques : plus de 280 applications Android utilisent la reconnaissance optique de caract�res pour voler les identifiants de portefeuilles de cryptomonnaies

Google publie Android 15 pour les d�veloppeurs, avec des cl�s d'acc�s en un seul clic, la d�tection du vol, l'am�lioration du multit�che sur grand �cran et la limitation d'acc�s aux applications

Google a mis trois mois � supprimer une application frauduleuse de Play Store qui a vol� plus de 5 millions de dollars en crypto, une victime porte plainte contre l'entreprise pour n�gligence

[kain_tn]

Google a d�clar� que l'API est destin�e � am�liorer la s�curit� des applications Android, mais elle remet �galement en question la nature d'Android en tant que syst�me d'exploitation r�ellement personnalisable. Elle risque d'avoir un impact n�gatif sur les versions personnalis�es d'Android d�pourvues des services Google Play et les t�l�phones root�s.

Je n'ai pas de le�ons � recevoir sur la s�curisation d'une application Android, venant d'une bo�te qui synchronise les tokens de son application d'authentification dans leur cloud...

En revanche, c'est clairement une fa�on de fermer un peu plus leur �cosyst�me, pour emp�cher les stores alternatifs, tels que Aurora.

[Mathis Lucas]

Google renforce sa mainmise sur Android : l'entreprise emp�chera les d�veloppeurs non v�rifi�s de distribuer leurs applications sur les appareils Android certifi�s d�s 2026
�voquant des raisons de s�curit�

Google va emp�cher les d�veloppeurs non v�rifi�s de distribuer leurs applications sur les appareils Android certifi�s. L'entreprise exige d�sormais que tous les d�veloppeurs soient v�rifi�s pour que leurs applications puissent �tre install�es sur des appareils Android certifi�s. Cette nouvelle exigence entrera en vigueur en septembre 2026 au Br�sil, en Indon�sie, � Singapour et en Tha�lande. � partir de 2027, elle sera progressivement mise en place � l'�chelle mondiale. Google �voque des raisons de s�curit�, mais beaucoup y voient un nouveau pas vers la fermeture de l'�cosyst�me Android, ce qui repr�sente un risque pour les magasins d'applications alternatifs.

Google a d�clar� que seules les applications dont l'identit� a �t� v�rifi�e pourront �tre install�es sur les appareils Android certifi�s, c'est-�-dire pratiquement tous les appareils fonctionnant sous Android : si un appareil dispose des services Google, il est certifi�. S'il fonctionne sous une version d'Android qui n'est pas celle de Google, cela ne s'applique pas. Cependant, cela ne concerne qu'une infime partie de l'�cosyst�me Android en dehors de la Chine.

Cela ne signifie pas que les d�veloppeurs ne peuvent pas distribuer leurs applications en dehors du Play Store via d'autres boutiques d'applications ou par chargement lat�ral (sideloading). Mais les d�veloppeurs qui appr�ciaient l'anonymat des m�thodes de distribution alternatives n'auront plus cette option.

Google affirme que cela permettra de r�duire le nombre de personnes malintentionn�es qui cachent leur identit� pour distribuer des logiciels malveillants, commettre des fraudes financi�res ou voler les donn�es personnelles des utilisateurs. Une enqu�te de Google indique que plus de 50 fois plus de logiciels malveillants proviennent de sources t�l�charg�es sur Internet que de Google Play, o� la v�rification des d�veloppeurs est obligatoire depuis 2023.

� l'avenir, pour distribuer leurs applications sur Android, ils devront fournir leur nom l�gal, leur adresse, leur adresse email et leur num�ro de t�l�phone, ce qui pourrait pousser les d�veloppeurs ind�pendants � s'enregistrer en tant qu'entreprise pour prot�ger leur vie priv�e. Apple a mis en �uvre un changement similaire pour l'App Store de l'UE au d�but de l'ann�e afin de se conformer � la loi sur loi sur les services num�riques (DSA - Digital Service Act).

Cette r�glementation oblige d�sormais les d�veloppeurs d'applications � fournir leur � statut commercial � pour soumettre de nouvelles applications ou des mises � jour d'applications en vue de leur distribution. Ces changements pourraient avoir un impact significatif sur l'�cosyst�me des applications Android et leur distribution, Google s'effor�ant de r�duire les probl�mes de s�curit� et les logiciels malveillants qui ont g�n�ralement affect� sa plateforme.

Comment Google entend mettre en place ces changements

La nature ouverte d'Android l'a distingu� de l'iPhone apr�s l'essor des smartphones. Peu � peu, Google a troqu� une partie de cette ouverture contre la s�curit�, et la v�rification de l'identit� de tous les d�veloppeurs d'applications Android pourrait constituer la plus grande concession jamais faite au nom de la s�curit�. Selon les critiques, cette nouvelle exigence pourrait nuire davantage aux boutiques d'applications alternatives sur la plateforme de Google.

Google d�crit ce changement comme un � contr�le d'identit� � l'a�roport �. Depuis que l'entreprise a commenc� � v�rifier l'identit� des d�veloppeurs Google Play en 2023, le nombre de logiciels malveillants a connu une chute vertigineuse. Les acteurs malveillants ont profit� de l'anonymat pour distribuer des maliciels, il est donc logique que la v�rification des d�veloppeurs d'applications en dehors de Google Play puisse �galement renforcer la s�curit�.

Cela cr�e une responsabilit� cruciale, rendant beaucoup plus difficile pour les acteurs malveillants de distribuer rapidement une autre application nuisible apr�s que nous ayons supprim� la premi�re. Consid�rez cela comme un contr�le d'identit� � l'a�roport, qui confirme l'identit� d'un voyageur, mais qui est distinct du contr�le de s�curit� de ses bagages.

Pour y parvenir, Google devra s'inspirer de la strat�gie d'Apple et faire preuve d'une fermet� que les utilisateurs et d�veloppeurs pourraient trouver intrusive. Google pr�voit de cr�er une console � Android Developer Console � simplifi�e, que les d�veloppeurs utiliseront s'ils pr�voient de distribuer des applications en dehors du Play Store. Apr�s avoir v�rifi� leur identit�, ils devront enregistrer le nom du package et les cl�s de signature de leurs applications.

Dans un billet de blogue sur le sujet, Google explique qu'il ne v�rifiera toutefois pas le contenu ou les fonctionnalit�s des applications. Mais l'entreprise pr�cise que � seules les applications dont l'identit� du d�veloppeur a �t� v�rifi�e pourront �tre install�es sur les appareils Android certifi�s �.

Google pr�voit de commencer � tester ce syst�me avec un acc�s anticip� en octobre de cette ann�e. En mars 2026, tous les d�veloppeurs auront acc�s � la nouvelle console pour se faire v�rifier. En septembre 2026, Google pr�voit de lancer cette fonctionnalit� au Br�sil, en Indon�sie, � Singapour et en Tha�lande. La prochaine �tape est encore floue, mais Google vise 2027 pour �tendre les exigences de v�rification � l'�chelle mondiale.

Impacts de ces changements sur l'�cosyst�me Android

Ce projet intervient � un moment charni�re pour Android. Le proc�s antitrust intent� par Epic Games contre Google Play pourrait finalement contraindre Google � modifier son Play Store dans les mois � venir. Google a perdu son appel il y a plusieurs semaines et, bien qu'il envisage de saisir la Cour supr�me des �tats-Unis, l'entreprise devra commencer � modifier son syst�me de distribution d'applications, � moins d'une nouvelle man�uvre juridique.

Entre autres choses, le tribunal a ordonn� � Google de distribuer des boutiques d'applications tierces et d'autoriser le r�h�bergement du contenu du Play Store dans d'autres boutiques. En effet, offrir aux utilisateurs davantage de moyens d'obtenir des applications pourrait �largir leur choix, ce qui est pr�cis�ment ce que souhaitaient Epic Games et d'autres d�veloppeurs. Epic Games accuse Google et Apple de comportements anticoncurrentiels.

Mais les sources tierces ne b�n�ficieront pas de l'int�gration syst�me approfondie du Play Store, ce qui signifie que les utilisateurs t�l�chargeront ces applications sans les couches de s�curit� de Google. Il est difficile de dire dans quelle mesure il s'agit d'un v�ritable probl�me de s�curit�. D'un c�t�, il est logique que Google s'en pr�occupe, car la plupart des principales menaces pesant sur les appareils Android se propagent via des r�f�rentiels d'applications tiers.

Cependant, l'application d'une liste blanche d'installation sur presque tous les appareils Android est une mesure s�v�re. Cela oblige tous les d�veloppeurs Android � satisfaire aux exigences de Google avant que pratiquement tout le monde puisse installer leurs applications, ce qui pourrait aider Google � garder le contr�le � mesure que le march� des applications s'ouvre. Si les exigences sont minimes pour l'instant, rien ne garantit qu'elles le resteront.

Conclusion

Google bloquera le chargement lat�ral d'applications Android non v�rifi�es � partir de l'ann�e prochaine. La soci�t� affirme que cela permettra de renforcer la s�curit� des utilisateurs d'appareils Android certifi�s. Elle s'efforce de r�duire les probl�mes de s�curit� et les logiciels malveillants qui ont g�n�ralement affect� Android. Mais ces changements pourraient avoir un impact significatif sur l'�cosyst�me des applications Android et leur distribution.

La documentation actuellement disponible n'explique pas ce qui se passera si les utilisateurs d'appareils Android certifi�s essaient d'installer une application non v�rifi�e ni comment les t�l�phones v�rifient le statut de v�rification. On peut supposer que Google distribuera cette liste blanche dans Play Services � l'approche de la date de mise en �uvre. Pour l'instant, Google n'a pas encore apport� des pr�cisions sur cette question.

Source : Google (1, 2)

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la d�cision de Google d'emp�cher les d�veloppeurs non v�rifi�s de distribuer leurs applications sur les appareils Android certifi�s ?
Quels impacts cette d�cision pourrait-elle avoir sur l'�cosyst�me Android ?

Voir aussi

Android permet d�sormais aux applications de bloquer le chargement lat�ral et de forcer le t�l�chargement via Play Store pour des raisons de s�curit�, mais la fonctionnalit� suscite quelques pr�occupations

Apple introduit le chargement lat�ral et les boutiques d'applications alternatives sur l'iPhone dans l'Union europ�enne avec iOS 17.4, l'entreprise se plie ainsi aux exigences du DMA

Google perd son appel dans le proc�s intent� par Epic Games, qui l'oblige � ouvrir ses politiques relatives au Google Play Store et � autoriser les march�s et les syst�mes de facturation concurrents

[DevDur]

Android finit par ressembler � Apple : un �cosyst�me verrouill� o� les devs gardent en permanence une �p�e de Damocl�s au-dessus de la t�te.

Si la s�curit� �tait la vraie priorit�, Apple/Google/Microsoft auraient d�j� mis en place un consortium unique pour identifier les d�veloppeurs une seule fois, au lieu de renforcer chacun leur petit monopole.

[Artaeus]

C'est un v�ritable scandale, �a verrouille compl�tement l'OS ...

[vanquish]

C'est un v�ritable scandale, �a verrouille compl�tement l'OS ...

A priori, pas du tout.
Tout ceci est sans lien avec le Playstore, mais avec l'application. C'est cette derni�re qui doit �tre certifi�e (num�riquement parlant).
On demande aux d�veloppeur de montrer qu'ils ont pignons sur rue.
Apr�s libre de la distribuer dans et hors Playstore.

La source https://developer.android.com/developer-verification
indique :
The experience will be available in a new Android Developer Console (for developers who only publish outside of Play) and Play Console (for developers who publish both on and off of Play).

"outside of Play" : c'est donc tout � fait disponible pour les boutiques alternatives, voir en installation directe d'un APK.
En gros la proc�dure est un peu la m�me que lorsque l'on veux obtenir un certificat SLL aupr�s d'une autorit� de certification: il faut prouver qui on est, que l'on a bien des droits sur le nom de domaines etc.
Perso, je ne fourni jamais ma CB � un site certifi� par Let'sEncrypt (d�sol� developpez), mais par DigiCert, GeoTrust ou consort, parce qu'ils v�rifient les identit�s.

Si on a un compte gMail, on a d�j� certainement fourni son num�ro de t�l�phone � Google pour la double authentification.
Demander cela � un d�veloppeur n'a donc rien de si d'extraordinaire.

C'est d�j� aussi un peu le cas avec Windows. Si une application n'est pas num�riquement sign� avec un certificat �mis par une autorit� de confiance, le navigateur et l'anti-virus g�nent l'installation, avec des messages alarmant.

M�me si c'est une g�ne et une complexit� pour les d�veloppeur, le gain de s�curit� est bien r�el pour les utilisateurs.
M�me hors store, cela �vitera que des pirates non identifi�s fassent des clones v�rol�s d'applications connues, ou d�veloppent 35 applications sous 35 identit�s avec le m�me malware.

Reste � voir la facilit� et les d�lais offerts par Google et s'ils font une diff�rence de traitement entre les 2 modes.