La boutique tierce F-Droid dénonce la décision de Google d’imposer l’enregistrement auprès de ses services de tous les développeurs souhaitant proposer des applications sur Android. Selon elle, c’est un choix délibéré de tuer les boutiques alternatives. Pour Google, tout est question de sécurité.
Fin aout, Google annonçait une décision importante : la vérification de tous les développeurs souhaitant publier des applications Android sur les appareils équipés de Play Protect. Cette vérification se traduit par l’enregistrement obligatoire des personnes concernées auprès de Google, via un compte développeur, avec des informations comme le nom, l’adresse, l’e-mail et le téléphone. Il faudra également y déclarer les applications que l’on souhaite proposer.
Comme nous l’indiquons alors, cette obligation existait déjà pour les applications référencées par le Play Store depuis 2023. Avec cette décision, Google annonçait donc l’extension de l’obligation au sideloading, c’est-à-dire la possibilité de télécharger les fichiers APK pour les installer manuellement. Exactement ce que propose F-Droid.
Pour Google, il ne s’agissait alors que d’une étape logique de plus vers une plus grande sécurité : « Nous avons vu comment des acteurs malveillants se cachent derrière l’anonymat pour nuire aux utilisateurs […] L’ampleur de cette menace est importante : notre analyse récente a révélé plus de 50 fois plus de malwares provenant de sources sur Internet que des applications sur Google Play ». L’idée était alors simple : augmenter la transparence et la traçabilité.
Mais dans un contexte où la position dominante du Play Store est remise en cause des deux côtés de l’Atlantique, notamment à travers le procès contre Epic, la décision de Google fait grincer des dents. F-Droid dénonce la pratique.
F-Droid vent debout contre l’enregistrement obligatoire
Dans son billet publié lundi, F-Droid ne remet pas en cause la présence de multiples malwares dans les applications des boutiques tiers. Mais la boutique serait « différente ». Elle dit ainsi distribuer des applications « dont elle a validé qu’elles fonctionnent pour les intérêts de l’utilisateur, plutôt que pour ceux des distributeurs de l’application ».
F-Droid explique que lorsqu’un développeur crée une application et publie son code source sur un dépôt public, l’équipe de la boutique l’analyse pour vérifier qu’il est bien open source et ne contient pas « d’anti-fonctions non documentées », comme des publicités et trackers. C’est cette même équipe qui compile l’application et crée le paquet en vue de sa distribution. Le paquet est ensuite signé avec la clé cryptographique de F-Droid ou, dans le cas où la compilation serait reproductible, avec la clé privée du développeur.
Ce modèle, dont l’équipe semble particulièrement fière, est « mis en péril » par la décision de Google. D’abord parce que les personnes concernées vont devoir donner leurs informations à Google et payer les 25 dollars nécessaires pour valider la création du compte développeur, mais aussi parce qu’elles devront accepter les conditions d’utilisation « non négociables et en constante évolution » de la firme américaine.
« S’il est mis en vigueur, le décret d’enregistrement des développeurs mettra fin au projet F-Droid et d’autres sources de distribution d’applications libres/open-source telles que nous les connaissons aujourd’hui, et le monde sera privé de la sûreté et de la sécurité du catalogue de milliers d’applications auxquelles on peut faire confiance et vérifiées par tous »
Sécurité centralisée contre transparence et éducation
F-Droid s’oppose également à la vision de Google selon laquelle seule une approche centralisée via une boutique peut assurer la sécurité. L’équipe rappelle que le Play Store a hébergé à plusieurs reprises des applications vérolées, montrant que cette approche contrôlée n’offre pas de garantie.
Pour l’équipe de la boutique alternative, le fonctionnement qu’elle propose n’est pas non plus une garantie, mais il fournit une approche différente de la sécurité, basée sur la transparence et la responsabilisation : « chaque application est gratuite et open source, le code peut être audité par n’importe qui, le processus de construction et les journaux sont publics, et les builds reproductibles garantissent que ce qui est publié correspond exactement au code source ».
L’argument de la sécurité est d’autant plus critiqué que Google possède déjà un mécanisme de remédiation pour les logiciels malveillants, à savoir Play Protect. Il peut agir sur n’importe quel code exécuté sur Android, pas uniquement les applications provenant du Play Store. Pour F-Droid, tous ces risques peuvent aussi être atténués par l’éducation des utilisateurs, la transparence de l’open source et les mécanismes existants de sécurité.
Les régulateurs appelés à la rescousse
Pour l’équipe, on devrait pouvoir faire avec un appareil mobile ce que l’on fait avec un ordinateur : installer ce que l’on veut, d’où l’on veut. La vision de Google (et d’Apple) est que tout doit passer par la boutique officielle. Et si ce n’est pas le cas, il faut au moins que les développeurs montrent patte blanche pour avoir le droit de publier des applications sur Android.
F-Droid tente une comparaison : « Forcer les créateurs de logiciels à s’inscrire de manière centralisée pour publier et distribuer leurs travaux est aussi choquant qu’obliger les écrivains et les artistes à s’inscrire auprès d’une autorité centrale pour être en mesure de diffuser leurs œuvres ».
Ce que demande F-Droid ? Que les autorités de régulation et de concurrence se penchent sérieusement sur la question. « Nous exhortons les organismes de réglementation à préserver la capacité des boutiques d’applications alternatives et des projets open source à opérer librement et de protéger les développeurs qui ne peuvent ou ne veulent pas se conformer aux systèmes d’enregistrement d’exclusion et aux demandes d’informations personnelles ».
L’équipe demande à toutes les personnes se sentant concernées d’écrire à leurs représentants pour les informer du problème. Un lien est directement donné vers la page de la Commission européenne pour contacter l’équipe en charge du DMA.
Google reste droite dans ses bottes
Du côté de la firme américaine, on insiste : le changement va accentuer la sécurité. Dans un billet qu’elle vient de mettre en ligne, la société n’évoque pas les critiques de F-Droid. Elle indique simplement avoir collecté des retours depuis l’annonce initiale et vouloir répondre à quelques questions fréquentes.
Google veut bien sûr désamorcer le début de crise autour du sideloading, en réaffirmant qu’il ne disparaitra pas. Il est même décrit comme « fondamental pour Android ». La société ajoute que ses nouvelles exigences « sont conçues pour protéger les utilisateurs et les développeurs contre les acteurs malveillants, et non pour limiter le choix ». Les possibilités restent les mêmes, à condition que les développeurs s’enregistrent et prouvent leur identité.
La société ajoute que l’utilisation d’Android Studio ne sera pas affectée par le processus de vérification, « car les déploiements effectués avec adb, qu’Android Studio utilise en arrière-plan pour envoyer des builds aux appareils, ne sont pas affectés ».
En revanche, si un développeur distribue des fichiers APK à d’autres membres de son équipe à des fins de tests, il aura besoin de faire vérifier son identité dans le compte Google et d’enregistrer le paquet. Même chose pour les tests internes Google Play, pour Firebase ou toute solution tierce similaire.
Au cas où des applications ne seraient distribuées qu’à un petit nombre de personnes, l’obligation d’enregistrement pour les paquets est recommandée, mais pas absolue. Google parle cette fois encore d’un « type de compte développeur gratuit qui permettra aux enseignants, aux étudiants et aux amateurs de distribuer des applications sur un nombre limité d’appareils sans avoir à fournir une pièce d’identité officielle », mais de nouveau sans donner le moindre détail. Les personnes intéressées par ce type de compte sont invitées à le faire savoir à Google.
Des visions irréconciliables
Quoi qu’il en soit, la pression s’accroit sur Google, notamment pour la position dominante de sa boutique. Le procès contre Epic s’est soldé par une défaite majeure pour la firme, qui doit maintenant laisser les développeurs publier leurs applications où ils le souhaitent et utiliser le système de paiement qu’ils veulent. Google a fait appel à la Cour Suprême américaine pour faire bloquer le jugement, mais la juridiction avait botté en touche avec Apple sur un sujet similaire.
Pour F-Droid, Google se sert de la sécurité pour imposer plus de contrôle et de centralisation. La question peut d’ailleurs se poser : la firme de Mountain View n’y verrait-elle pas de moyen de garder la main alors qu’elle est pressée de toutes parts par la justice d’ouvrir sa boutique ?
En attendant, la bascule n’est pas pour tout de suite. Google a mis en place des pré-inscriptions courant octobre, pour les personnes souhaitant prendre les devants. Certains pays, comme Brésil, l’Indonésie, Singapour et la Thaïlande seront d’abord concernés. L’obligation d’enregistrement n’est cependant pas censée s’étendre au reste du monde avant 2027. À la manière de Microsoft avec les mises à jour pour Windows 10, l’Union européenne aura peut-être droit à un traitement différent.
'%3e%3cpath%20d='M72.6964%200.0625H38.5564L10.9388%2019.9971L0.383789%2052.2715L10.9388%2084.5314L38.5564%20104.466H72.6964L100.314%2084.5314L110.869%2052.2715L100.314%2019.9971L72.6964%200.0625Z'%20fill='white'/%3e%3cpath%20d='M68.7509%2062.065C73.4679%2061.5587%2077.9957%2059.7938%2081.6644%2056.7993C84.9983%2054.0941%2087.5461%2050.5209%2088.2304%2046.2099C89.1621%2040.6549%2086.2941%2034.7671%2081.446%2031.8449C79.7572%2030.7599%2077.8646%2030.1234%2075.9138%2029.7183C74.2395%2029.3711%2072.5216%2029.2265%2070.8183%2029.2265H58.8802L48.6746%2052.5462C44.9039%2052.7053%2041.2206%2053.0959%2038.0468%2053.5154L55.5172%2015.4111H44.307L20.4746%2067.3597L30.4909%2065.1174C30.5783%2065.103%2036.722%2063.7431%2044.0595%2063.0343L32.6456%2089.1171L44.0013%2084.7772C63.5244%2077.327%2074.487%2080.553%2081.7518%2082.694C81.9993%2082.7663%2082.2468%2082.8387%2082.4797%2082.911L85.3769%2073.1896C85.1294%2073.1173%2084.8819%2073.045%2084.6489%2072.9726C78.4033%2071.1354%2067.7173%2067.9818%2051.3097%2071.9021L55.3716%2062.6292C60.3215%2062.528%2064.8783%2062.4846%2068.7509%2062.065ZM65.548%2039.3674H69.2023C71.0803%2039.4108%2073.3223%2039.1938%2075.0694%2039.8737C77.8355%2040.9297%2078.9565%2043.7507%2077.4715%2046.4125C76.336%2048.5535%2073.9484%2050.246%2071.8519%2051.0851C68.0521%2052.4015%2063.8884%2052.199%2059.812%2052.4739L65.548%2039.3674Z'%20fill='%2300CFB3'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_206_9747'%3e%3crect%20width='110.485'%20height='104.403'%20fill='white'%20transform='translate(0.383789%200.0625)'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
