Google a présenté une nouvelle route pour ceux qui veulent installer des applications en dehors du Play Store sur des appareils Android: un "flux avancé" qui introduit une attente obligatoire de 24 heures avant de permettre l'installation de logiciels de développeurs non vérifiés. La mesure vient dans le contexte des règlements de vérification des développeurs que la société a annoncé l'an dernier et dans la pratique demande aux développeurs d'enregistrer et de confirmer leur identité afin que leurs applications puissent être installées sur des appareils certifiés par Google.
L'explication officielle de Google est simple: réduire l'espace de manœuvre des acteurs malveillants qui, selon l'entreprise, profitent du chargement latéral pour distribuer des logiciels malveillants ou pour inciter les victimes à accorder des autorisations qui désactivent les protections comme Play Protect. Dans sa version technique Google détaille le nouveau flux et a également publié la documentation sur le programme de vérification pour les développeurs ( entrée officielle sur le blog Android et la page de vérification sur le portail développeur: développement).
Le processus conçu pour les utilisateurs avancés nécessite plusieurs étapes avant que l'installation latérale soit activée de façon permanente ou temporaire. En général, l'utilisateur doit activer les options du développeur dans le système, confirmer qu'il/elle agit sur sa propre décision (pas sous la contrainte), redémarrer le téléphone et ravitailler pour empêcher un attaquant qui a accès à l'appareil de compléter la procédure en son nom. Après ce redémarrage, il faut 24 heures et que l'utilisateur valide de nouveau son intention par authentification biométrique ou NIP. Ce n'est qu'alors qu'il est possible d'autoriser des installations de développeurs non vérifiés, indéfiniment ou pour une période limitée (Google a prévu des options pour accorder cette autorisation pendant sept jours, par exemple). Google a en outre spécifié que ce flux n'affecte pas les installations faites par Android Debug Bridge (ADB).
D'après l'entreprise, cette fenêtre d'attente d'une journée rend beaucoup plus difficile pour un escroc de maintenir une campagne active: le temps donne à la personne la possibilité de détecter l'escroquerie, de consulter les membres de sa famille ou de recevoir une notification de sa banque avant que l'attaque ne culmine. L'idée, selon le président de l'écosystème Android, Sameer Samat, est que le retard sert comme un "shirt de force temporaire" contre les manœuvres d'ingénierie sociale; un résumé de ses déclarations peut être trouvé dans la couverture des nouvelles en Ars Technica.
En plus du flux d'utilisateurs, Google a annoncé des comptes gratuits de "distribution limitée" pour les étudiants et les développeurs amateurs de partager des applications avec jusqu'à 20 appareils sans avoir besoin de présenter un document d'identité officiel ou de payer des frais. Ces options, selon le calendrier publié par Google, seront disponibles en août 2026, juste avant l'entrée en vigueur de la vérification obligatoire le mois suivant.
Cependant, l'écosystème n'a pas tous accueilli favorablement cette initiative. Plus de cinquante développeurs et magasins d'applications, dont des projets et des entreprises tels que F-Droid, Brave, Electronic Frontier Foundation, Proton, The Tor Project et Vivaldi, ont signé une lettre ouverte exprimant leur inquiétude quant à l'augmentation possible des frictions pour les créateurs et aux risques pour la vie privée et la surveillance posés par la collecte de données d'identité sans garantie claire de leur utilisation et de leur garde. Le texte, qui est diffusé publiquement, demande une plus grande transparence sur les données demandées, la façon dont elles sont stockées et les conditions qui pourraient être compromises par les demandes du gouvernement ( Ouvrir une carte Gardez Android ouvert).
Le débat reflète une tension classique: comment équilibrer l'ouverture qui a caractérisé Android - la possibilité d'installer des applications de l'extérieur du magasin officiel - avec la nécessité d'atténuer les abus par les criminels numériques. Google soutient que le renforcement de l'identification des développeurs aidera à détecter et à éliminer plus rapidement les mauvais acteurs; les critiques répondent que la vérification peut être un obstacle aux petites initiatives, projets open source et expérimentation technique qui ont historiquement fait partie de l'écosystème.
Le souci de sécurité n'est pas théorique. Au cours des derniers mois des menaces mobiles actives sont apparues qui cherchent à enlever des appareils ou voler des qualifications financières: les chercheurs et les sociétés de cybersécurité ont détecté de nouvelles familles de logiciels malveillants spécifiques à Android, y compris une campagne nommée Perseus qui aurait affecté les utilisateurs dans des pays tels que la Turquie et l'Italie, avec des objectifs de contrôle total des appareils et la fraude économique. Pour mieux comprendre le contexte, il est nécessaire de revoir les rapports de sécurité publique et les pages de protection de Google, comme la documentation Play Protect, qui explique comment fonctionnent les défenses Android intégrées ( Ce qu'est Play Protect) et les rapports de sécurité de la plateforme ( Sécurité Android).
Quelles sont les implications pratiques de tout cela pour les utilisateurs et les développeurs? Pour ceux qui installent des applications, la recommandation reste la même que les années précédentes : vérifier l'origine de l'APK, se méfier des liens et des messages qui pressent pour installer quelque chose d'urgence, garder la sauvegarde et laisser Play Protect. Pour les petits développeurs, des comptes de distribution limités promettent un soulagement temporaire, mais l'incertitude quant au traitement de la vérification et de la protection des données à caractère personnel exige que Google fournisse des détails opérationnels et des garanties techniques convaincantes.
En fin de compte, la proposition de Google tente de dessiner une voie intermédiaire: préserver la possibilité de chargement latéral pour les utilisateurs qui savent ce qu'ils font, mais ajouter la friction quand cette liberté peut être exploitée par les attaquants. Reste à voir si cet équilibre fonctionnera dans la pratique et si des mesures complémentaires - contrôles d'identité, options claires pour les projets communautaires et mécanismes robustes de protection des données - ne feront que convaincre la communauté. Pendant ce temps, la conversation entre les plateformes, les développeurs, les organisations de confidentialité et les autorités restera la clé pour définir ce que sera l'Android ouvert dans la prochaine décennie.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...