Google verrouille Android : tous les développeurs devront être vérifiés !
Google a annoncé un changement majeur pour l'écosystème Android : à partir de septembre 2026, les développeurs devront obligatoirement faire vérifier leur identité, même pour les applications distribuées en dehors du Play Store. Cette initiative vise à verrouiller un peu plus Android pour renforcer la sécurité globale de la plateforme contre les malwares.
Google s'attaque un peu plus aux applications malveillantes
La prolifération des applications malveillantes, parfois téléchargées des centaines de milliers de fois, met à mal la sécurité des appareils Android. Bien souvent, ces applications malveillantes sont obtenues à partir de sources tierces, c'est-à-dire sans passer par le Google Play Store (bien qu'il y ait des exceptions). De ce fait, Google a décidé de s'attaquer au problème à la racine : l'identité des développeurs.
Google explique que cette nouvelle politique a pour but d'améliorer la traçabilité quant à l'origine des applications pour Android. L'entreprise américaine souhaite aussi responsabiliser les développeurs.
Dans son article, Google précise : "Android exigera que toutes les applications soient enregistrées par des développeurs vérifiés pour pouvoir être installées par les utilisateurs sur des appareils Android certifiés. Cela crée une responsabilité cruciale, rendant beaucoup plus difficile pour les acteurs malveillants de distribuer rapidement une autre application nuisible après que nous ayons retiré la première."
Avec cette mesure, Google cible directement les cybercriminels ! Actuellement, une fois leur application bannie, ils peuvent facilement recréer un compte anonyme et poursuivre leurs activités. Le fonctionnement actuel rend la situation incontrôlable. Par la suite, en liant chaque application à une identité vérifiée, Google espère compliquer la tâche des pirates, et ainsi renforcer la sécurité de la plateforme Android.
Un déploiement progressif à partir de 2025
La mise en place de cette nouvelle exigence se fera par étapes afin de laisser le temps aux développeurs de s'adapter. Il ne se passera rien de concret avant septembre 2026, et encore, ce ne sera pas en Europe dans un premier temps.
La feuille de route prévue par Google est la suivante :
- Octobre 2025 : début de l'envoi des invitations pour le nouveau mécanisme de vérification (progressif).
- Mars 2026 : ouverture du processus de vérification à l'ensemble des développeurs.
- Septembre 2026 : entrée en vigueur de l'obligation pour une première vague de pays, dont le Brésil, l'Indonésie, Singapour et la Thaïlande.
C'est à partir de septembre 2026 que la politique sera durcie : "À ce stade, toute application installée sur un appareil Android certifié dans ces régions devra être enregistrée par un développeur vérifié."
Finalement, pour les développeurs vérifiés qui publient déjà leurs applications via le Google Play Store, ce changement devrait être transparent. En complément, Google a également précisé qu'un type de compte spécifique pour les étudiants et les développeurs amateurs sera créé.
"Remarque à l'attention des étudiants et des développeurs amateurs : nous savons que vos besoins sont différents de ceux des développeurs commerciaux, c'est pourquoi nous créons un type de compte Android Developer Console distinct pour vous.", peut-on lire.
Cette initiative s'inscrit dans une démarche globale de renforcement de la sécurité pour faire face aux menaces.
Qu'en pensez-vous ?
Quelle vont en être les conséquences pour toutes les applis FOSS distribuées via FDroid par exemple ? Oui ce sont des applications non approuvés mais la plupart sont d’excellentes alternatives ouverte à des applications créées par des entreprises pleines de pubs et de télémétries diverses.
Je vois mal des projets collaboratifs de ce type se faire authentifier auprès de Google.