Google va bel et bien lancer l’année prochaine son système de vérification pour les développeurs d’applications Android, qu’elles soient distribuées sur le Play Store ou dans des boutiques alternatives. Pour le géant du web, c’est un pas de plus vers une amélioration de la sécurité de l’écosystème Android ; pour certaines échoppes en revanche, ce processus est une menace existentielle.
La vérification pour les développeurs Android sera exigée partout dans le monde à partir de 2027, a rappelé Matthew Forsythe, directeur produit chargé de la sécurité des applications Android. Plusieurs pays feront office de cobayes dès le mois de septembre : Brésil, Indonésie, Singapour et Thaïlande. La mesure, présentée en août 2025, oblige les développeurs à enregistrer leurs applications auprès de Google et à vérifier leur identité, avant de pouvoir les distribuer sur les appareils Android certifiés.
Une carte d’identité pour chaque développeur
Les apps proposées sur le Play Store sont concernées bien sûr (elles sont généralement enregistrées automatiquement), mais aussi celles des boutiques alternatives. Pour la première fournée automnale, Google liste ainsi les magasins d’Honor, OPlus, Samsung, Transsion, Vivo et Xiaomi. Depuis le mois de mars et l’ouverture de la validation à tous les développeurs, ce sont « des millions d’apps qui ont été enregistrées », affirme le dirigeant. Ces applications couvrent « la quasi-totalité des installations effectuées via Google Play ainsi qu’une large majorité de celles réalisées en dehors de la boutique de Google ».
Le processus comprend deux étapes : la vérification du développeur à proprement parler, et l’enregistrement de ses applications. Le développeur doit créer un compte dans l’Android Developer Console et fournir des informations pour vérifier son identité (nom réel ou nom de l’entreprise, adresse, un contact, une pièce d’identité officielle…). Google veut être en mesure d’associer chaque développeur à une identité vérifiée.
Ouvrir un compte développeur pour le Play Store coûte 25 dollars. Les développeurs qui ne distribuent pas leurs apps sur la boutique officielle et qui veulent malgré tout les enregistrer auprès de Google (ce n’est pas comme s’ils avaient vraiment le choix…) doivent s’acquitter de la même somme.
Chaque application doit ensuite être enregistrée auprès de Google à l’aide de son nom de paquet, qui fait office d’identifiant unique du logiciel sur Android. Plusieurs boutiques alternatives se sont opposées au système, en particulier F-Droid qui a lancé la contre-offensive : elle estime en effet que cette vérification donne à Google un trop grand pouvoir de contrôle sur toutes les apps Android, y compris celles distribuées en dehors du Play Store.
La boutique a publié le 24 février une lettre ouverte plaidant pour une révision profonde du système de vérification et pour préserver un moyen de distribuer des applications sans devoir obtenir l’approbation de Google. La lettre compte parmi les signataires l’Electronic Frontier Foundation, Proton, la Quadrature du Net, ou encore AdGuard.
Le sideloading survivra, mais ce sera compliqué
Matthew Forsythe précise dans son billet que les apps non enregistrées peuvent toujours être installées en sideloading, via Android Debug Bridge ou « parcours d’installation avancé ». Ce processus a le mérite d’exister, mais il est particulièrement lourd. L’utilisateur devra confirmer qu’il n’est pas forcé d’installer l’application, de redémarrer son appareil, et… d’attendre 24 heures. Au bout du délai, l’installation sera finalement possible.
Google a aussi mis au point des comptes de distribution limités permettant aux étudiants et aux amateurs de partager des apps sur un maximum de 20 appareils, sans avoir à fournir de pièce d’identité ni payer de frais d’inscription.
L’entreprise annonce également de nouvelles API pour vérifier si un nom de paquet est déjà enregistré, et une autre pour enregistrer et gérer des apps directement depuis des outils tiers. Un mécanisme de délégation OAuth est aussi disponible pour effectuer des opérations pour le compte de développeurs sur des boutiques alternatives. Autrement dit, Google ne veut pas forcer les développeurs à passer par la console du Play Store.
Les oppositions à ce nouveau système ne devraient toutefois pas s’éteindre. À compter de ce mois de juin, Google va en effet déployer un nouveau service qui va s’installer automatiquement sur la plupart des terminaux Android. Ce dernier va s’assurer qu’une application est enregistrée auprès d’un développeur vérifié. Ce qui placera Google dans une position d’autorité : l’entreprise pourra ainsi décider quelles apps possèdent une identité reconnue sur Android, même si elles sont distribuées en dehors du Play Store.
'%3e%3cpath%20d='M72.6964%200.0625H38.5564L10.9388%2019.9971L0.383789%2052.2715L10.9388%2084.5314L38.5564%20104.466H72.6964L100.314%2084.5314L110.869%2052.2715L100.314%2019.9971L72.6964%200.0625Z'%20fill='white'/%3e%3cpath%20d='M68.7509%2062.065C73.4679%2061.5587%2077.9957%2059.7938%2081.6644%2056.7993C84.9983%2054.0941%2087.5461%2050.5209%2088.2304%2046.2099C89.1621%2040.6549%2086.2941%2034.7671%2081.446%2031.8449C79.7572%2030.7599%2077.8646%2030.1234%2075.9138%2029.7183C74.2395%2029.3711%2072.5216%2029.2265%2070.8183%2029.2265H58.8802L48.6746%2052.5462C44.9039%2052.7053%2041.2206%2053.0959%2038.0468%2053.5154L55.5172%2015.4111H44.307L20.4746%2067.3597L30.4909%2065.1174C30.5783%2065.103%2036.722%2063.7431%2044.0595%2063.0343L32.6456%2089.1171L44.0013%2084.7772C63.5244%2077.327%2074.487%2080.553%2081.7518%2082.694C81.9993%2082.7663%2082.2468%2082.8387%2082.4797%2082.911L85.3769%2073.1896C85.1294%2073.1173%2084.8819%2073.045%2084.6489%2072.9726C78.4033%2071.1354%2067.7173%2067.9818%2051.3097%2071.9021L55.3716%2062.6292C60.3215%2062.528%2064.8783%2062.4846%2068.7509%2062.065ZM65.548%2039.3674H69.2023C71.0803%2039.4108%2073.3223%2039.1938%2075.0694%2039.8737C77.8355%2040.9297%2078.9565%2043.7507%2077.4715%2046.4125C76.336%2048.5535%2073.9484%2050.246%2071.8519%2051.0851C68.0521%2052.4015%2063.8884%2052.199%2059.812%2052.4739L65.548%2039.3674Z'%20fill='%2300CFB3'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_206_9747'%3e%3crect%20width='110.485'%20height='104.403'%20fill='white'%20transform='translate(0.383789%200.0625)'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
