Google a introduit en mai l'API Play Integrity sur Android qui permet aux développeurs d'empêcher une application de fonctionner si elle a été chargée latéralement et d'inviter les utilisateurs à la télécharger à partir du Google Play Store. Cette API est déjà utilisée par des applications telles que Tesco et BeyBlade X. Google a déclaré que l'API est destinée à améliorer la sécurité des applications Android, mais elle remet également en question la nature d'Android en tant que système d'exploitation réellement personnalisable. Elle risque d'avoir un impact négatif sur les versions personnalisées d'Android dépourvues des services Google Play et les téléphones rootés.Play Integrity : définition et caractéristiques de cette nouvelle API d'Android
L'API Google Play Integrity est une interface qui aide les développeurs à vérifier que les interactions et les demandes de serveur proviennent de [leur] véritable binaire d'application fonctionnant sur un véritable appareil Android. Elle recherche notamment des preuves que l'application a été altérée, qu'elle s'exécute dans un environnement logiciel non fiable, que l'appareil a activé Google Play Protect, et bien d'autres choses. Si vous avez déjà entendu parler ou eu affaire à SafetyNet Attestation sur un téléphone rooté, vous êtes probablement déjà familiarisé avec Play Integrity, même si ce n'est pas sous cette appellation.
Play Integrity est le successeur de SafetyNet Attestation, mais offre encore plus de fonctionnalités aux développeurs. Elle permet aux applications de bloquer l'accès « lorsqu'elles sont chargées sur des téléphones qui ont été modifiés d'une manière ou d'une autre par rapport à un système d'exploitation standard avec toutes les intégrations Google Play intactes ». Dans la pratique, les applications peuvent appeler Play Integrity et obtenir en retour un « verdict d'intégrité ».
Ce verdict indique si le téléphone dispose d'un environnement logiciel digne de confiance, si Google Play Protect est activé et si d'autres vérifications logicielles ont été effectuées. Play Integrity permet aux applications de se décharger de la détermination de l'authenticité de l'appareil et de son environnement logiciel. Et avec sa dernière mise à jour, les applications peuvent désormais facilement déterminer si la personne qui les a installées est elle aussi « authentique ».
Récemment, une application populaire d'authentification à deux facteurs a bloqué l'accès à des téléphones rootés, y compris GrapheneOS, une version d'Android axée sur la sécurité. Graphene a mis en doute la véracité de Play Integrity et SafetyNet Attestation, recommandant à la place une attestation matérielle standard pour Android. Selon les critiques, les applications ne sont pas obligées d'adopter une approche « tout ou rien » en matière de vérification de l'intégrité.
Plutôt que de bloquer complètement l'installation, les applications peuvent faire appel à l'API uniquement lors « d'actions sensibles », en émettant un avertissement à ce moment-là. Cependant, l'absence de connexion au Play Store peut également priver les développeurs de données métriques, permettre l'installation sur des appareils incompatibles (avec les mauvaises critiques qui en découlent) et, bien sûr, ouvrir la porte au piratage d'applications payantes.
La nouvelle API Play Integrity introduite par Google suscite des préoccupations
Il est facile de charger des applications de manière latérale sur Android. Et il existe de nombreuses raisons pour lesquelles vous pouvez vouloir charger des applications de manière latérale sur votre téléphone Android. Toutefois, le revers de la médaille du chargement latéral est qu'il peut être dangereux si l'utilisateur ne sait pas ce qu'il fait, et au pire, cela peut altérer non seulement l'expérience de l'application, mais aussi celle d'Android dans son ensemble. Malgré ses risques, le chargement latéral d'applications a presque toujours été possible avec Android, contrairement au verrouillage mis en place par Apple sur iOS.
Du point de vue des développeurs, il y a de bonnes raisons pour lesquelles ils voudraient bloquer le chargement latéral de leurs applications. D'une part, une application chargée en parallèle ne contribuera pas aux statistiques du développeur sur le Play Store et, d'autre part, elle empêche le développeur de déterminer quels appareils peuvent utiliser son application. Il y a bien sûr des tampons en place pour empêcher l'installation d'applications chargées latéralement.
Mais les utilisateurs parviennent parfois à contourner ces garde-fous. Quelle que soit la raison, les développeurs qui souhaitent empêcher le chargement latéral de leurs applications disposent désormais d'un moyen plus simple de le faire grâce à l'API Play Integrity. Toutefois, bien que Google ait déclaré que l'API a été introduite pour améliorer la sécurité, certains critiques y voient une nouvelle étape dans les efforts de Google pour verrouiller le système d'exploitation.
« J'aimerais vraiment qu'il y ait un troisième concurrent dans le domaine des systèmes d'exploitation pour téléphone. Il s'agit d'ordinateurs de poche, mais pour une raison ou une autre, nous avons tous dû accepter des restrictions qui auraient été impensables pour un ordinateur portable ou de bureau il n'y a pas si longtemps. Aujourd'hui, des restrictions similaires s'infiltrent dans l'espace informatique général », peut-on lire dans les commentaires sur la toile.
Android a connu de nombreux changements au cours des dernières années, Google cherchant à placer la sécurité, la confidentialité et l'IA au premier plan de ses efforts récents. Cependant, si la plupart de ces changements sont les bienvenus, certains affirment qu'Android est en train de perdre son identité principale en tant que système d'exploitation réellement personnalisable. Les critiques affirment qu'Android devient un système d'exploitation verrouillé comme iOS.
Apple forcé à autoriser le chargement latéral et Google tente de le restreindre
Comme souligné plus haut, les développeurs disposaient d'autres moyens pour détecter si leurs applications étaient chargées de manière latérale avant que cette fonctionnalité ne soit introduite dans l'API d'intégrité de Play, mais ce changement facilite la mise en œuvre de ce type de contrôle par les développeurs. Certaines applications utiliseraient déjà la nouvelle API. Des utilisateurs d'applications du magasin britannique Tesco, de l'application de jeux vidéo BeyBlade X et de ChatGPT ont signalé des fenêtres « Get this app from Play », qui ne peuvent pas être contournées. Certains ont fait part de leur mécontentement.
Il y a trois mois, un utilisateur d'un ordinateur de poche basé sur Android a reçu un message similaire de Diablo Immortal sur son appareil. L'API Play Integrity serait également déjà utilisée par de nombreuses applications populaires sur Google Play, notamment Stripe, Uber et TikTok, et il est probable que d'autres l'adoptent au fil du temps. Mais de nombreux utilisateurs dénoncent ces changements, car ils les considèrent comme des restrictions imposées par Google.
Envoyé par Critique
Cela semble historique. L'un des principaux facteurs de différenciation entre iOS et Android, qui jouait en faveur d'Android, est désormais détruit. Tout cela est fait au nom de la fiabilité et de la sécurité, soi-disant. J'espère que cela ne va pas devenir une pente glissante où, pour des raisons de « sécurité », Google commencerait à bloquer des applications indésirables ou gênantes d'un point de vue éthique/politique. Cette technologie fournit l'infrastructure nécessaire pour bloquer ces applications indésirables.
Cela pose les bases de l'interdiction d'installer des logiciels sur de nombreux appareils Android grand public sans l'approbation de Google. J'espère que Google n'ira jamais trop loin en abusant de ce pouvoir. Cependant, c'est peut-être de l'optimisme ou de la naïveté d'espérer cela. En tant qu'outil pour les développeurs d'applications, où les développeurs d'applications prennent la décision, dans cette situation limitée, c'est peut-être encore un peu correct.
Cela est acceptable dans le sens où les développeurs peuvent être autorisés par la loi et la compréhension commune à choisir la façon dont leurs applications sont distribuées. Mais si Google décidait un jour d'interdire des applications de cette manière contre la volonté des développeurs, il s'agirait d'un énorme dépassement.
Au début de l'année, en vertu de la loi sur les marchés numériques (DMA), les régulateurs de l'Union européenne (UE) ont contraint Apple à autoriser le téléchargement latéral d'applications et de boutiques d'applications sur iOS. Apple s'est exécuté, mais la mise en œuvre de la réglementation par le fabricant de l'iPhone a suscité de nombreux critiques. Les changements introduits par Apple font l'objet d'un examen de la part de la Commission européenne.
Source : Google
Et vous ?
Quel est votre avis sur le sujet ? Que pensez-vous de l'API Play Integrity introduite par Google sur Android ? Que pensez-vous des préoccupations qu'elle suscite ? Participe-t-elle au verrouillage d'Android ? Quels pourraient être les impacts de cette API sur les utilisateurs ? Tend-on vers la fin du chargement latéral sur Android ? Cette API renforce-t-elle la sécurité comme Google le prétend ? Comment les régulateurs vont-ils réagir à cette nouvelle API ?Voir aussi
Technologie OCR et cyberattaques : plus de 280 applications Android utilisent la reconnaissance optique de caractères pour voler les identifiants de portefeuilles de cryptomonnaies Google publie Android 15 pour les développeurs, avec des clés d'accès en un seul clic, la détection du vol, l'amélioration du multitâche sur grand écran et la limitation d'accès aux applications Google a mis trois mois à supprimer une application frauduleuse de Play Store qui a volé plus de 5 millions de dollars en crypto, une victime porte plainte contre l'entreprise pour négligence 
