La première exigence concerne la vérification en deux étapes (2FA) lors de la signature dans Play Console. Il s'agit d'un moyen d'empêcher le détournement de comptes et d'applications, et de garantir ainsi la sécurité des utilisateurs finaux. Cette mesure s'inscrit dans le cadre des efforts déployés par Google pour encourager l'adoption de la vérification en deux étapes. Outre votre nom d'utilisateur et votre mot de passe, vous devez vérifier que c'est bien vous qui vous connectez, soit par un message envoyé sur votre téléphone, soit par une clé de sécurité physique. Cela reflète un changement similaire que le géant de la recherche a annoncé pour les comptes Google ordinaires plus tôt cette année, où il activera désormais l'authentification à deux facteurs par défaut.
Les nouveaux comptes de développeurs Google Play devront activer la vérification en deux étapes en août, et les comptes existants seront soumis à cette obligation « plus tard dans l'année ». En attendant, Google introduit des « exigences d'identification des développeurs » pour « nous aider à mieux comprendre vos besoins ». En plus de fournir votre adresse e-mail et votre numéro de téléphone, les informations suivantes seront également requises : votre type de compte – s'il est personnel ou appartient à une organisation ; un nom de contact ; votre adresse physique ; et la vérification de votre adresse électronique et de votre numéro de téléphone.
À partir de lundi, les développeurs peuvent spécifier leur type de compte et vérifier les coordonnées. C'est facultatif pour l'instant, mais ce sera une obligation pour les nouveaux utilisateurs en août. Les comptes existants devront s'y soumettre cette année.
Assurer la sécurité du Play Store pour tous les utilisateurs
Ces changements sont importants par rapport aux règles actuelles de Google concernant les comptes de développeurs, qui exigent uniquement que les nouvelles inscriptions fournissent une adresse électronique et un numéro de téléphone, sans jamais les valider. Les détails tels que l'adresse physique « ne seront pas rendus publics », et serviront uniquement à confirmer votre identité et à communiquer avec vous, comme Google l’a expliqué dans son article :
« Vos coordonnées nous permettent de partager des informations importantes et des mises à jour concernant votre application. Elles nous permettent également de nous assurer que chaque compte est créé par une personne réelle avec de vraies coordonnées, ce qui nous aide à assurer la sécurité du Play Store pour tous les utilisateurs », a déclaré la société. « Ces informations ne seront pas accessibles au public et ne servent qu'à nous aider à confirmer votre identité et à communiquer ».
Cette annonce arrive alors que ces dernières années, ce processus peu rigoureux a donné lieu à l'apparition d'une industrie artisanale sur les forums clandestins de cybercriminalité, avec de nombreux acteurs de la menace proposant d'automatiser le processus de création de comptes de développeurs Google Play. Les escrocs créent ces comptes en masse, puis les vendent à d'autres groupes, qui les utilisent pour télécharger des logiciels malveillants et autres applications frauduleuses sur Play Store. Une capture d'écran d'un forum sur la cybercriminalité publiée par The Record montre que ces comptes sont vendus pour 89 dollars chacun.
Mais si les escrocs ont créé de nouveaux comptes pour propager leurs applications malveillantes, certains acteurs de la menace se sont également introduits dans des comptes authentiques afin d'insérer du code malveillant dans des applications légitimes. C’est pour contrer cette tendance que Google va exiger des développeurs du Play Store qu'ils activent une solution d'authentification à deux facteurs pour leur compte avant d'être autorisés à référencer des applications Android sur la boutique officielle. En mars, Google a réduit la commission qu'elle prend sur les ventes du Play Store à 15 % pour le premier million de dollars, afin d’aider les nouveaux développeurs qui arrivent sur la plateforme.
Google propose également les meilleures pratiques suivantes :
- Maintenez vos coordonnées actives et à jour. Nous pouvons occasionnellement vérifier si votre compte est actif en envoyant un courrier électronique ou en appelant le propriétaire du compte à l'aide des coordonnées fournies, il est donc important qu'elles soient exactes.
- Pensez à utiliser une adresse électronique de contact différente de celle que vous avez utilisée pour créer votre compte Google, notamment si votre compte de développeur est destiné à plusieurs utilisateurs ou s'il s'agit d'une organisation ou d'une entreprise. Vous pouvez envisager de configurer une boîte de réception partagée dédiée à cet effet, afin que les bonnes personnes de votre équipe ou de votre entreprise puissent accéder à ces messages importants. Nous vous encourageons à utiliser une adresse électronique de votre propre domaine si vous en avez un.
- L'adresse électronique de contact d'une organisation ou d'un compte professionnel ne doit pas être une adresse électronique générique ou personnelle. Veillez à utiliser une adresse électronique associée à votre organisation.
Pour d’autres ennuis, un commentateur conseille de ne pas utiliser son numéro de téléphone personnel pour le 2FA : « N'utilisez pas non plus votre numéro de téléphone personnel pour 2FA ou pour tout ce qui concerne votre compte développeur. Lorsqu'ils suppriment votre compte, ils utilisent le numéro de téléphone 2FA pour supprimer tous les autres comptes qui y sont associés.
Voici la synthèse du calendrier de ces changements à venir, selon Google :
- À partir du 28 juin 2021 : Les propriétaires de comptes développeurs pourront déclarer leur type de compte et vérifier leurs coordonnées.
- Août : Tous les nouveaux comptes de développeurs devront préciser leur type de compte et vérifier leurs coordonnées lors de la signature. Le 2FA sera également une exigence pour les propriétaires de nouveaux comptes de développeur.
- Plus tard dans l'année : Tous les comptes de développeurs du Play Store devront déclarer leur type de compte, vérifier leurs coordonnées et activer 2FA.
Source : Google
Et vous ?
Que pensez-vous de ces changements annoncés par Google ?
Êtes-vous développeur Google Play ? Comment accueillez-vous cette annonce ?
Voir aussi :
Moins de 10 % des utilisateurs de Google activent l'authentification à deux facteurs, malgré les efforts de l'entreprise
Google annonce qu'il va activer par défaut l'authentification à deux facteurs pour tous ses utilisateurs, afin d'accroître la sécurité des comptes
Des chercheurs français ont réussi à cloner une clé de sécurité Google Titan grâce à une attaque par canal auxiliaire, qui nécessite un accès physique aux appareils
Authentification à deux facteurs : Google abandonne la validation par SMS comme méthode par défaut, et déploie une invite de validation plus sécurisée