Votre liste d'applications Android installées, aussi innocente qu'elle puisse paraître, peut communiquer aux développeurs des traits personnels comme les préférences en matière de rencontres et les affiliations politiques. Mais Google sera bientôt plus sélectif quant aux applications du Play Store qui peuvent voir toutes les autres applications que vous avez installées. Il le fait parce qu’il considère maintenant les applications installées comme des informations privées de l'utilisateur qui devraient être sécurisées. Ainsi, à partir du 5 mai 2021, les développeurs devront fournir une très bonne raison pour laquelle Google devrait les laisser accéder à de telles informations.Google a annoncé la semaine dernière une nouvelle restriction de confidentialité pour les applications du Play Store. À partir de cet été, la nouvelle autorisation "QUERY_ALL_PACKAGES" d'Android 11 sera signalée comme "sensible" sur Play Store, ce qui signifie que le processus d'examen de Google la limitera aux applications qui, selon la société, en ont vraiment besoin. La permission "QUERY_ALL_PACKAGES" permet à une application de lire l'ensemble de votre liste d'applications, qui peut contenir toutes sortes d'informations sensibles, comme vos préférences en matière de rencontres, vos informations bancaires, la gestion de votre mot de passe, votre affiliation politique, etc.
La récente mise à jour des règles du programme de développement de la société considère désormais ces informations comme des « données personnelles et sensibles de l'utilisateur », ce qui limite les applications autorisées à les utiliser, Google visant à protéger les utilisateurs d'Android en sécurisant ces données. Google décrit l'autorisation "QUERY_ALL_PACKAGES" comme permettant à toute application d'accéder à la liste des applications installées afin de rester informer et interopérable pendant l'utilisation.
Une fois le changement entré en vigueur le 5 mai, les applications ne pourront utiliser cette autorisation que si leur « fonctionnalité ou objectif principal en matière d'interaction avec l'utilisateur nécessite une large visibilité des applications installées sur l'appareil de l'utilisateur ». Sur une page d'assistance, Google a annoncé que « les applications dont l'objectif principal est de lancer, de rechercher ou d'interagir avec d'autres applications sur l'appareil peuvent obtenir une visibilité adaptée à la portée des autres applications installées sur l'appareil ».
« Google Play restreint l'utilisation des autorisations à haut risque ou sensibles, notamment l'autorisation QUERY_ALL_PACKAGES, qui donne une visibilité sur l'inventaire des applications installées sur un appareil donné. Google Play considère l'inventaire des applications installées sur l'appareil d'un utilisateur comme une information personnelle et sensible, et l'utilisation de cette autorisation n'est autorisée que lorsque la fonctionnalité principale de votre application, destinée à l'utilisateur, nécessite une large visibilité des applications installées sur l'appareil de l'utilisateur », lit-on.
Pour contester cette nouvelle politique, les développeurs devront fournir des preuves raisonnables de la nécessité absolue d'interroger l'API des applications installées sur un appareil Android pour que cet appareil fonctionne correctement. Si une application ne remplit pas les critères d'admissibilité susmentionnés, la politique de Play prévoit que le développeur doit la supprimer. En fait, même lorsqu'une application répond aux exigences en la matière, le développeur doit signer un formulaire de déclaration dans la Play Console. S'il ne signe pas ce formulaire, l'application peut être retirée du Google Play Store.
Certaines applications continueront à utiliser cette autorisation
Une page d’assistance Google énumère les cas d'utilisation autorisés pour les applications du Play Store qui interrogent votre liste d'applications, notamment « la recherche sur l'appareil, les applications antivirus, les gestionnaires de fichiers et les navigateurs ». La page ajoute que « les applications qui doivent découvrir toutes les applications installées sur l'appareil, à des fins de sensibilisation ou d'interopérabilité, peuvent avoir droit à cette autorisation ». Pour les applications qui doivent interagir avec d'autres applications, Google souhaite que les développeurs utilisent des API de découverte d'applications plus étendues (par exemple, toutes les applications qui prennent en charge la fonctionnalité x) au lieu de simplement extraire la liste complète des applications.
Il y a également une exception pour les applications financières comme les applications bancaires et les portefeuilles P2P, qui, selon Google, « peuvent obtenir une large visibilité des applications installées uniquement à des fins de sécurité ». La nouvelle politique stipule également que « les données d'inventaire interrogées à partir des applications distribuées par Play Store ne peuvent jamais être vendues ou partagées à des fins d'analyse ou de monétisation des publicités ».
Au cas où vous craindriez que les développeurs n'abusent encore de cette autorisation, la documentation de Google indique clairement qu'elle prendra des mesures sévères à l'encontre des applications contrevenantes, qu'il s'agisse de nouvelles applications sur le Play Store ou de simples mises à jour d'applications existantes. Google pourrait suspendre des applications et éventuellement résilier des comptes de développeurs des applications de portefeuille numérique et toute autre application impliquant une « fonctionnalité de transaction financière » bénéficiant d'un laissez-passer « pour des raisons de sécurité ».
Cette politique vise à protéger les utilisateurs contre toute publicité malveillante ou autre activité de ce type qui pourrait se produire lorsqu'une entité externe peut voir les applications installées sur un appareil. En fait, une politique des développeurs similaire et plus ancienne avait un objectif similaire en permettant à l'utilisateur de refuser que des applications telles que Facebook interagissent avec les applications installées sur leur appareil mobile.
Autres API signalées comme "sensibles" par Google
Outre cette restriction de la liste des packages d'applications, Play Store signale également plusieurs autres API comme "sensibles", les soumettant à un examen plus approfondi et demandant aux développeurs individuels de justifier leur utilisation. Les applications utilisant les puissantes API d'accessibilité, les API de localisation en arrière-plan, les applications SMS et téléphoniques et les API d'accès complet aux fichiers sont toutes soumises à l'approbation individuelle de Google.
Parmi les autres restrictions actuelles du Play Store, il y a une politique de niveau d'API minimum évolutif selon laquelle les nouvelles applications et les mises à jour ne peuvent utiliser un niveau d'API datant de plus d'un an. Les niveaux d'API sont le principal moyen pour Android de gérer la rétrocompatibilité. Les nouvelles restrictions et fonctionnalités de chaque version d'Android ne s'appliquent généralement qu'aux applications ciblant ce niveau d'API.
Par exemple, le système de permissions ne s'applique qu'aux applications ciblant le niveau d'API 23 (Android 6.0) et plus - les applications plus anciennes n'ont aucune restriction de permission. En cas d'utilisation malveillante, il est possible de cibler un ancien niveau d'API pour proposer une application ayant un accès plus large au système, mais la politique du Play Store qui consiste à bloquer toute soumission sur les anciens niveaux d'API empêche cela.
La restriction annoncée la semaine dernière est un excellent exemple. La permission Query_All_Packages a été ajoutée dans Android 11, elle ne s'applique donc qu'aux applications ciblant le niveau d'API d'Android 11, qui est "API Level 30". Les restrictions du Play Store, naturellement, ne s'appliquent également qu'aux applications ciblant le niveau API 30 et plus, ce qui ne représente probablement pas beaucoup d'applications à l'heure actuelle. Cependant, peu après qu'Android 11 aura un an (en novembre 2021), le Play Store fera du niveau 30 de l'API le niveau minimum pour la mise à jour des applications, de sorte que la permission et les nouvelles restrictions s'appliqueront à toutes les applications actuellement gérées dans le magasin.
Selon un commentateur, ce n’est pas une surprise que Google a permis pendant longtemps à toutes les applications de voir toutes vos applications installées sur Android. « J'ai créé une application Android il y a une dizaine d'années et j'étais capable d'interroger d'autres applications installées pour ouvrir un fichier dans une application spécifique, donc cela ne me surprend pas du tout », a-t-il écrit.
Un autre a renchéri en disant : « En tant qu'ancien développeur d'applications Android, je pensais que les gens le savaient. C'est la façon dont l'écosystème fonctionne et cela permet une grande interconnectivité. C'est peut-être aussi un cauchemar en matière de sécurité, mais les gens n'installent que des applications auxquelles ils font confiance, non ? »
Source : Google
Et vous ?
Quel est votre avis sur les nouvelles restrictions de Google et leurs exceptions ? Jusque là, Google a permis, pendant des années, à toutes les applications de voir toutes vos applications installées. Qu’en pensez-vous ?Voir aussi :
Google Play : les développeurs doivent désormais autoriser le partage des achats, la fonctionnalité est maintenant disponible Google va autoriser les applications de jeux d'argent dans Play Store, les développeurs devant suivre une procédure de demande du magasin en ligne et satisfaire à d'autres exigences Google revoit sa politique développeur et change les règles encadrant la publicité sur Android, pour limiter l'abus de pub sur l'écran de verrouillage Les nouvelles directives d'Apple pour l'App Store ouvrent des possibilités pour xCloud, Stadia et d'autres applications qu'Apple avait bloquées, mais Microsoft rejette la proposition 
