Google a commencé à mettre en œuvre son initiative controversée de vérification des développeurs Android

Qui exige que tout développeur distribuant des applications en dehors du Play Store vérifie son identité

Google a commencé à mettre en œuvre son initiative controversée de vérification des développeurs Android annoncée en août, qui exige que tout développeur distribuant des applications en dehors du Google Play Store vérifie son identité et enregistre les noms de ses paquets s'il souhaite que les utilisateurs puissent télécharger ses applications. Google a apporté un changement notable à son approche initiale en créant une exception pour les « utilisateurs expérimentés » qui souhaitent continuer à installer des applications non vérifiées provenant de développeurs qui choisissent de ne pas participer. Google prépare en outre un type de compte allégé pour les étudiants et les amateurs qui distribuent des applications à de petits groupes et n'ont pas besoin d'une vérification complète.

Android est un système d'exploitation basé sur une version modifiée du noyau Linux et d'autres logiciels open source, conçu principalement pour les appareils mobiles à écran tactile tels que les smartphones et les tablettes. Android a été développé par un consortium de développeurs connu sous le nom d'Open Handset Alliance, mais sa version la plus utilisée est principalement développée par Google. Lancé pour la première fois en 2008, Android est le système d'exploitation le plus utilisé au monde ; c'est le système d'exploitation le plus utilisé pour les smartphones, mais aussi pour les tablettes.

En août, Google a annoncé qu'il empêchera les développeurs non vérifiés de distribuer leurs applications sur les appareils Android certifiés. L'entreprise exigera que tous les développeurs soient vérifiés pour que leurs applications puissent être installées sur des appareils Android certifiés. Cette nouvelle exigence entrera en vigueur en septembre 2026 au Brésil, en Indonésie, à Singapour et en Thaïlande. À partir de 2027, elle sera progressivement mise en place à l'échelle mondiale. Google évoque des raisons de sécurité, mais beaucoup y voient un nouveau pas vers la fermeture de l'écosystème Android, ce qui représente un risque pour les magasins d'applications alternatifs.

Un nouveau rapport a révélé que Google a commencé à mettre en œuvre son initiative controversée de vérification des développeurs Android annoncée en août, qui exige que tout développeur distribuant des applications en dehors du Google Play Store vérifie son identité et enregistre les noms de ses paquets s'il souhaite que les utilisateurs puissent télécharger ses applications. Le projet initial a suscité une vive critique de la part des développeurs et des utilisateurs qui craignaient qu'il ne restreigne le sideloading.

Alors que cette nouvelle phase commence, Google a commencé à envoyer des invitations d'accès anticipé aux développeurs qui publient exclusivement via le sideloading afin qu'ils puissent tester le nouveau système de vérification d'identité dans la console Android Developer Console. Mais surtout, Google a apporté un changement notable à son approche initiale en créant une exception pour les « utilisateurs expérimentés » qui souhaitent continuer à installer des applications non vérifiées provenant de développeurs qui choisissent de ne pas participer.

La société affirme qu'elle développe actuellement un processus d'installation avancé qui comprend des avertissements clairs sur les risques et des protections contre les escroqueries, tout en permettant à ces utilisateurs de contourner intentionnellement la vérification. Google n'a pas encore expliqué comment il déterminera qui peut être considéré comme un « utilisateur expérimenté », mais il communiquera plus de détails à mesure qu'il recueillera des commentaires.

Google prépare en outre un type de compte allégé pour les étudiants et les amateurs qui distribuent des applications à de petits groupes et n'ont pas besoin d'une vérification complète. Le programme de vérification sera ouvert à tous les développeurs en mars 2026, et sa mise en œuvre débutera au Brésil, en Indonésie, à Singapour et en Thaïlande en septembre 2026.


Voici l'annonce de Google :

Vérification des développeurs Android : l'accès anticipé commence dès maintenant

Nous avons récemment annoncé de nouvelles exigences en matière de vérification des développeurs, qui constituent une couche de défense supplémentaire dans le cadre de nos efforts continus pour assurer la sécurité des utilisateurs d'Android. Nous savons que la sécurité fonctionne mieux lorsqu'elle tient compte des différentes façons dont les gens utilisent nos outils. C'est pourquoi nous avons annoncé ce changement à l'avance : pour recueillir des commentaires et nous assurer que nos solutions sont équilibrées. Nous apprécions l'engagement de la communauté et avons pris connaissance des premiers commentaires, notamment ceux des étudiants et des amateurs qui ont besoin d'un moyen accessible pour apprendre, ainsi que ceux des utilisateurs expérimentés qui sont plus à l'aise avec les risques liés à la sécurité. Nous apportons des modifications afin de répondre aux besoins de ces deux groupes.

Pour comprendre comment ces mises à jour s'inscrivent dans notre mission plus large, il est important d'examiner d'abord les menaces spécifiques auxquelles nous faisons face.

Pourquoi la vérification est-elle importante ?

Assurer la sécurité des utilisateurs sur Android est notre priorité absolue. La lutte contre les escroqueries et la fraude numérique n'est pas une nouveauté pour nous : elle est au cœur de notre travail depuis des années. De la détection des escroqueries dans Google Messages à Google Play Protect en passant par les alertes en temps réel pour les appels frauduleux, nous avons toujours agi pour assurer la sécurité de notre écosystème.

Cependant, les escroqueries en ligne et les campagnes de logiciels malveillants sont de plus en plus agressives. À l'échelle mondiale d'Android, cela se traduit par un préjudice réel pour les personnes du monde entier, en particulier dans les régions en pleine numérisation où beaucoup se connectent à Internet pour la première fois. Les mesures de protection techniques sont essentielles, mais elles ne peuvent pas résoudre tous les cas de figure où un utilisateur est manipulé. Les escrocs utilisent des tactiques d'ingénierie sociale très agressives pour inciter les utilisateurs à contourner les avertissements destinés à les protéger.

Par exemple, une attaque courante que nous avons observée en Asie du Sud-Est illustre clairement cette menace. Un escroc appelle une victime en prétendant que son compte bancaire a été piraté et utilise la peur et l'urgence pour l'inciter à télécharger une « application de vérification » afin de sécuriser ses fonds, en lui demandant souvent d'ignorer les avertissements de sécurité standard. Une fois installée, cette application, qui est en réalité un logiciel malveillant, intercepte les notifications de la victime. Lorsque l'utilisateur se connecte à sa véritable application bancaire, le logiciel malveillant capture ses codes d'authentification à deux facteurs, donnant à l'escroc tout ce dont il a besoin pour vider le compte.

Bien que nous disposions de mesures de sécurité et de protection avancées pour détecter et supprimer les mauvaises applications, sans vérification, les acteurs malveillants peuvent créer instantanément de nouvelles applications nuisibles. Cela devient un jeu sans fin de « tape-taupe ». La vérification change la donne en les obligeant à utiliser une identité réelle pour distribuer des logiciels malveillants, ce qui rend les attaques beaucoup plus difficiles et coûteuses à mettre en œuvre. Nous avons déjà constaté l'efficacité de cette mesure sur Google Play, et nous appliquons désormais ces enseignements à l'ensemble de l'écosystème Android afin de garantir que les logiciels que vous installez sont associés à une identité réelle et responsable.

Soutenir les étudiants et les amateurs

Des développeurs nous ont fait part de leurs inquiétudes concernant les obstacles à la création d'applications destinées à un petit groupe, comme la famille ou les amis. Nous utilisons vos commentaires pour créer un type de compte dédié aux étudiants et aux amateurs. Cela vous permettra de distribuer vos créations à un nombre limité d'appareils sans passer par toutes les étapes de vérification.

Donner plus de pouvoir aux utilisateurs expérimentés

Bien que la sécurité soit cruciale, nous avons également entendu les développeurs et les utilisateurs expérimentés qui ont une tolérance au risque plus élevée et souhaitent pouvoir télécharger des applications non vérifiées.

Sur la base de ces commentaires et de nos discussions continues avec la communauté, nous mettons en place un nouveau processus avancé qui permet aux utilisateurs expérimentés d'accepter les risques liés à l'installation de logiciels non vérifiés. Nous concevons ce processus spécifiquement pour résister à la coercition, en veillant à ce que les utilisateurs ne soient pas amenés à contourner ces contrôles de sécurité sous la pression d'un escroc. Il comprendra également des avertissements clairs afin de garantir que les utilisateurs comprennent pleinement les risques encourus, mais en fin de compte, c'est à eux que revient le choix. Nous recueillons actuellement les premiers commentaires sur la conception de cette fonctionnalité et nous vous donnerons plus de détails dans les mois à venir.

Premiers pas avec l'accès anticipé

Aujourd'hui, nous sommes ravis de commencer à inviter les développeurs à accéder en avant-première à la vérification des développeurs dans la console Android Developer Console pour les développeurs qui distribuent exclusivement en dehors de Play, et nous partagerons bientôt des invitations à l'expérience Play Console pour les développeurs Play. Nous attendons avec impatience vos...