Google a introduit en mai l'API Play Integrity sur Android qui permet aux développeurs d'empêcher une application de fonctionner si elle a été chargée latéralement et d'inviter les utilisateurs à la télécharger à partir du Google Play Store. Cette API est déjà utilisée par des applications telles que Tesco et BeyBlade X. Google a déclaré que l'API est destinée à améliorer la sécurité des applications Android, mais elle remet également en question la nature d'Android en tant que système d'exploitation réellement personnalisable. Elle risque d'avoir un impact négatif sur les versions personnalisées d'Android dépourvues des services Google Play et les téléphones rootés.Play Integrity : définition et caractéristiques de cette nouvelle API d'Android
L'API Google Play Integrity est une interface qui aide les développeurs à vérifier que les interactions et les demandes de serveur proviennent de [leur] véritable binaire d'application fonctionnant sur un véritable appareil Android. Elle recherche notamment des preuves que l'application a été altérée, qu'elle s'exécute dans un environnement logiciel non fiable, que l'appareil a activé Google Play Protect, et bien d'autres choses. Si vous avez déjà entendu parler ou eu affaire à SafetyNet Attestation sur un téléphone rooté, vous êtes probablement déjà familiarisé avec Play Integrity, même si ce n'est pas sous cette appellation.
Play Integrity est le successeur de SafetyNet Attestation, mais offre encore plus de fonctionnalités aux développeurs. Elle permet aux applications de bloquer l'accès « lorsqu'elles sont chargées sur des téléphones qui ont été modifiés d'une manière ou d'une autre par rapport à un système d'exploitation standard avec toutes les intégrations Google Play intactes ». Dans la pratique, les applications peuvent appeler Play Integrity et obtenir en retour un « verdict d'intégrité ».
Ce verdict indique si le téléphone dispose d'un environnement logiciel digne de confiance, si Google Play Protect est activé et si d'autres vérifications logicielles ont été effectuées. Play Integrity permet aux applications de se décharger de la détermination de l'authenticité de l'appareil et de son environnement logiciel. Et avec sa dernière mise à jour, les applications peuvent désormais facilement déterminer si la personne qui les a installées est elle aussi « authentique ».
Récemment, une application populaire d'authentification à deux facteurs a bloqué l'accès à des téléphones rootés, y compris GrapheneOS, une version d'Android axée sur la sécurité. Graphene a mis en doute la véracité de Play Integrity et SafetyNet Attestation, recommandant à la place une attestation matérielle standard pour Android. Selon les critiques, les applications ne sont pas obligées d'adopter une approche « tout ou rien » en matière de vérification de l'intégrité.
Plutôt que de bloquer complètement l'installation, les applications peuvent faire appel à l'API uniquement lors « d'actions sensibles », en émettant un avertissement à ce moment-là. Cependant, l'absence de connexion au Play Store peut également priver les développeurs de données métriques, permettre l'installation sur des appareils incompatibles (avec les mauvaises critiques qui en découlent) et, bien sûr, ouvrir la porte au piratage d'applications payantes.
La nouvelle API Play Integrity introduite par Google suscite des préoccupations
Il est facile de charger des applications de manière latérale sur Android. Et il existe de nombreuses raisons pour lesquelles vous pouvez vouloir charger des applications de manière latérale sur votre téléphone Android. Toutefois, le revers de la médaille du chargement latéral est qu'il peut être dangereux si l'utilisateur ne sait pas ce qu'il fait, et au pire, cela peut altérer non seulement l'expérience de l'application, mais aussi celle d'Android dans son ensemble. Malgré ses risques, le chargement latéral d'applications a presque toujours été possible avec Android, contrairement au verrouillage mis en place par Apple sur iOS.
Du point de vue des développeurs, il y a de bonnes raisons pour lesquelles ils voudraient bloquer le chargement latéral de leurs applications. D'une part, une application chargée en parallèle ne contribuera pas aux statistiques du développeur sur le Play Store et, d'autre part, elle empêche le développeur de déterminer quels appareils peuvent utiliser son application. Il y a bien sûr des tampons en place pour empêcher l'installation d'applications chargées latéralement.
Mais les utilisateurs parviennent parfois à contourner ces garde-fous. Quelle que soit la raison, les développeurs qui souhaitent empêcher le chargement latéral de leurs applications disposent désormais d'un moyen plus simple de le faire grâce à l'API Play Integrity. Toutefois, bien que Google ait déclaré que l'API a été introduite pour améliorer la sécurité, certains critiques y voient une nouvelle étape dans les efforts de Google pour verrouiller le système d'exploitation.
« J'aimerais vraiment qu'il y ait un troisième concurrent dans le domaine des systèmes d'exploitation pour téléphone. Il s'agit d'ordinateurs de poche, mais pour une raison ou une autre, nous avons tous dû accepter des restrictions qui auraient été impensables pour un ordinateur portable ou de bureau il n'y a pas si longtemps. Aujourd'hui, des restrictions similaires s'infiltrent dans l'espace informatique général », peut-on lire dans les commentaires sur la toile.
Android a connu de nombreux changements au cours des dernières années, Google cherchant à placer la sécurité, la confidentialité et l'IA au premier plan de ses efforts récents. Cependant, si la plupart de ces changements sont les bienvenus, certains affirment qu'Android est en train de perdre son identité principale en tant que système d'exploitation réellement personnalisable. Les critiques affirment qu'Android devient un système d'exploitation verrouillé comme iOS.
Apple forcé à autoriser le chargement latéral et Google tente de le restreindre
Comme souligné plus haut, les développeurs disposaient d'autres moyens pour détecter si leurs applications étaient chargées de manière latérale avant que cette fonctionnalité ne soit introduite dans l'API d'intégrité de Play, mais ce changement facilite la mise en œuvre de ce type de contrôle par les développeurs. Certaines applications utiliseraient déjà la nouvelle API. Des utilisateurs d'applications du magasin britannique Tesco, de l'application de jeux vidéo BeyBlade X et de ChatGPT ont signalé des fenêtres « Get this app from Play », qui ne peuvent pas être contournées. Certains ont fait part de leur mécontentement.
Il y a trois mois, un utilisateur d'un ordinateur de poche basé sur Android a reçu un message similaire de Diablo Immortal sur son appareil. L'API Play Integrity serait également déjà utilisée par de nombreuses applications populaires sur Google Play, notamment Stripe, Uber et TikTok, et il est probable que d'autres l'adoptent au fil du temps. Mais de nombreux utilisateurs dénoncent ces changements, car ils les considèrent comme des restrictions imposées par Google.
Envoyé par Critique
Cela semble historique. L'un des principaux facteurs de différenciation entre iOS et Android, qui jouait en faveur d'Android, est désormais détruit. Tout cela est fait au nom de la fiabilité et de la sécurité, soi-disant. J'espère que cela ne va pas devenir une pente glissante où, pour des raisons de « sécurité », Google commencerait à bloquer des applications indésirables ou gênantes d'un point de vue...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
