De nouvelles règles pour les développeurs d'applications pour le Play Store arrivent et visent à résoudre les problèmes liés aux publicités intrusives, aux alarmes, aux VPN et à l'usurpation d'identité de marques et d'autres applications. La société a indiqué que ces règles entreront en vigueur à différentes périodes afin que les développeurs aient suffisamment de temps pour apporter des modifications à leurs applications. Selon le géant de la recherche en ligne, ces règles visent à améliorer la sécurité des utilisateurs et l'expérience des applications. L'une des règles les plus intéressantes est celle concernant les services VPN sur Android.
La politique actualisée du Google Play interdit aux applications d'utiliser les services VPN d'Android pour le suivi des données des utilisateurs ou le détournement du trafic des utilisateurs pour gagner de l'argent par le biais de publicités. À partir du 1er novembre, seules les applications utilisant la classe de base Android VPNService - et qui fonctionnent principalement comme des VPN - peuvent ouvrir un tunnel sécurisé au niveau de l'appareil vers un service distant. Selon la nouvelle politique de Google, ces VPN ne peuvent toutefois pas "manipuler les publicités qui peuvent avoir un impact sur la monétisation des applications".
Ces règles semblent avoir pour but de dissuader les services VPN qui s'emparent de données - comme Onavo, un VPN espion de Facebook qui a été fermé en 2019 - et de prévenir la fraude publicitaire. Les conditions générales précisent que les développeurs doivent déclarer l'utilisation d'un service VPN dans la fiche Google Play de leurs applications, qu'ils doivent chiffrer les données entre l'appareil et le point d'accès VPN et qu'ils doivent se conformer aux règles du programme pour développeurs, notamment celles relatives à la fraude publicitaire, aux autorisations et aux logiciels malveillants.
En gros, VPNService ne peut pas être utilisé pour :
- collecter des données personnelles et sensibles des utilisateurs sans divulgation et consentement proéminents ;
- rediriger ou manipuler le trafic de l'utilisateur à partir d'autres applications sur un appareil à des fins de monétisation (par exemple, rediriger le trafic publicitaire à travers un pays différent de celui de l'utilisateur) ;
- manipuler des publicités qui peuvent avoir un impact sur la monétisation des applications.
Les applications qui utilisent VPNService doivent :
- documenter l'utilisation de VPNService dans la fiche Google Play ;
- chiffrer les données entre l'appareil et le point final du tunnel VPN ;
- respecter toutes les règles du programme pour développeurs.
Les exceptions incluent les applications comme :
- les applications de contrôle parental et de gestion d'entreprise ;
- le suivi de l'utilisation des applications ;
- les applications de sécurité des appareils (par exemple, antivirus, gestion des appareils mobiles, pare-feu) ;
- les outils liés au réseau (par exemple, l'accès à distance) ;
- les applications de navigation sur le Web ;
- les applications des opérateurs qui nécessitent l'utilisation de la fonctionnalité VPN pour fournir des services de téléphonie ou de connectivité.
Cependant, ces nouvelles règles pourraient avoir des conséquences pour les bloqueurs de publicité et de traceurs, telles que DuckDuckGo App Tracking Protection, un utilitaire permettant de bloquer les traceurs qui se cachent dans les applications. Toutefois, l'entreprise a déclaré qu'elle ne voyait pas dans l'immédiat d'effet négatif de la nouvelle politique sur l'outil, mais qu'elle continuerait à l'examiner. Blokada, une société suédoise qui développe une application VPN qui bloque les publicités, craint que la nouvelle politique du Google Play ne fasse obstacle à son logiciel et à d'autres applications axées sur la protection de la vie privée.
« Google prétend sévir contre les applications qui utilisent le service VPN pour suivre les données de l'utilisateur ou qui redirigent le trafic de l'utilisateur pour gagner de l'argent grâce aux publicités. Cependant, ces changements de politique s'appliquent également aux applications qui utilisent le service pour filtrer le trafic localement sur l'appareil », a écrit Reda Labdaoui, responsable du marketing et des ventes chez Blokada, la semaine dernière dans un billet de blogue. Labdaoui suggère que Blokada v5, qui a été lancé avant la nouvelle politique devrait être impacté, mais que Blokada v6, lancé en juin dernier, ne devrait pas avoir de problème.
Selon Labdaoui, Blokada v6 effectue le filtrage dans le cloud sans violer les règles de Google relatives aux appareils. Mais d'autres applications pourraient ne pas avoir cette chance. Une autre application qui pourrait être affectée est Jumbo pour Android, qui semble également utiliser un code lié au VPN pour bloquer les traceurs. En outre, il faut noter que la politique de Google n'est pas unique. L'App Store d'Apple comprend une obligation similaire d'utiliser une API VPN spécifique, appelée NEVPNManager, qui n'est disponible que pour les développeurs faisant partie d'une organisation, et non pour les développeurs individuels non affiliés.
Les règles de l'App Store d'Apple stipulent : « vous devez déclarer clairement quelles données utilisateur seront collectées et comment elles seront utilisées sur un écran d'application avant toute action de l'utilisateur pour acheter ou utiliser le service. Les applications offrant des services VPN ne peuvent pas vendre, utiliser ou divulguer à des tiers des données à quelque fin que ce soit, et doivent s'y engager dans leur politique de confidentialité ». Bien que les règles d'Apple relatives aux applications VPN ne traitent pas spécifiquement de l'interférence avec les publicités, l'on estime qu'elle pourrait décider de le faire à l'avenir.
Quant à Google, l'entreprise interdit depuis plusieurs années les applications Android qui bloquent les publicités dans d'autres applications Android (à l'exception des navigateurs), et son Chrome Web Store comprend un langage qui pourrait être utilisé pour interdire les extensions de blocage des publicités si Google décidait de le faire. Par exemple, Google dit aux développeurs : « nous n'autorisons pas les contenus qui nuisent ou interfèrent avec le fonctionnement des réseaux, serveurs ou autres infrastructures de Google ou de tiers ».
Cependant, Google a maintenu qu'il veut laisser les développeurs "créer des bloqueurs de publicité plus sûrs et plus performants", même si la transition vers le Manifest v3 en cours semble susceptible de rendre ces extensions moins performantes. À ce propos, plusieurs organisations, comme l'Electronic Frontier Foundation (EFF), s'opposent à l'adoption du Manifest v3. « Le Manifest V3 est trompeur et menaçant. Si l’on en croit Google, le Manifest V3 améliorera la protection de la vie privée, la sécurité et les performances. Nous ne sommes absolument pas d’accord », a déclaré l'EFF.
« Ces changements n’arrêteront pas les extensions malveillantes, mais elles ralentiront l’innovation, réduiront les capacités des extensions et heurteront les performances réelles », a ajouté l'organisme de défense des droits numériques. Firefox, un concurrent de Google Chrome, a laissé entendre qu'il adoptera le Manifest v3, mais avec une approche différente de celle de Chrome.
Source : Google
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de la nouvelle politique du Google Play relative aux VPN ?
Selon vous, ces nouvelles règles protègeront-elles davantage la vie privée ?
Voir aussi
Extensions Chrome : l'EFF s'insurge contre Manifest V3 de Google et estime qu'il est « trompeur et menaçant », Firefox va l'adopter mais avec une approche différente de celle de Chrome
Facebook fermera son application espion VPN Onavo, qui surveille les activités des utilisateurs et collecte leurs données
Trois Américains, dont un actuel cadre d'ExpressVPN, reconnaissent leur implication dans des activités de cyberspionnage pour les Émirats arabes unis, Edward Snowden lance l'alerte contre ExpressVPN