Discussion :

[Mathis Lucas]

Android permet désormais aux applications de bloquer le chargement latéral et de forcer le téléchargement via Play Store pour des raisons de sécurité
mais la fonctionnalité suscite quelques préoccupations

Google a introduit en mai l'API Play Integrity sur Android qui permet aux développeurs d'empêcher une application de fonctionner si elle a été chargée latéralement et d'inviter les utilisateurs à la télécharger à partir du Google Play Store. Cette API est déjà utilisée par des applications telles que Tesco et BeyBlade X. Google a déclaré que l'API est destinée à améliorer la sécurité des applications Android, mais elle remet également en question la nature d'Android en tant que système d'exploitation réellement personnalisable. Elle risque d'avoir un impact négatif sur les versions personnalisées d'Android dépourvues des services Google Play et les téléphones rootés.

Play Integrity : définition et caractéristiques de cette nouvelle API d'Android

L'API Google Play Integrity est une interface qui aide les développeurs à vérifier que les interactions et les demandes de serveur proviennent de [leur] véritable binaire d'application fonctionnant sur un véritable appareil Android. Elle recherche notamment des preuves que l'application a été altérée, qu'elle s'exécute dans un environnement logiciel non fiable, que l'appareil a activé Google Play Protect, et bien d'autres choses. Si vous avez déjà entendu parler ou eu affaire à SafetyNet Attestation sur un téléphone rooté, vous êtes probablement déjà familiarisé avec Play Integrity, même si ce n'est pas sous cette appellation.

Play Integrity est le successeur de SafetyNet Attestation, mais offre encore plus de fonctionnalités aux développeurs. Elle permet aux applications de bloquer l'accès « lorsqu'elles sont chargées sur des téléphones qui ont été modifiés d'une manière ou d'une autre par rapport à un système d'exploitation standard avec toutes les intégrations Google Play intactes ». Dans la pratique, les applications peuvent appeler Play Integrity et obtenir en retour un « verdict d'intégrité ».

Ce verdict indique si le téléphone dispose d'un environnement logiciel digne de confiance, si Google Play Protect est activé et si d'autres vérifications logicielles ont été effectuées. Play Integrity permet aux applications de se décharger de la détermination de l'authenticité de l'appareil et de son environnement logiciel. Et avec sa dernière mise à jour, les applications peuvent désormais facilement déterminer si la personne qui les a installées est elle aussi « authentique ».

Récemment, une application populaire d'authentification à deux facteurs a bloqué l'accès à des téléphones rootés, y compris GrapheneOS, une version d'Android axée sur la sécurité. Graphene a mis en doute la véracité de Play Integrity et SafetyNet Attestation, recommandant à la place une attestation matérielle standard pour Android. Selon les critiques, les applications ne sont pas obligées d'adopter une approche « tout ou rien » en matière de vérification de l'intégrité.

Plutôt que de bloquer complètement l'installation, les applications peuvent faire appel à l'API uniquement lors « d'actions sensibles », en émettant un avertissement à ce moment-là. Cependant, l'absence de connexion au Play Store peut également priver les développeurs de données métriques, permettre l'installation sur des appareils incompatibles (avec les mauvaises critiques qui en découlent) et, bien sûr, ouvrir la porte au piratage d'applications payantes.

La nouvelle API Play Integrity introduite par Google suscite des préoccupations

Il est facile de charger des applications de manière latérale sur Android. Et il existe de nombreuses raisons pour lesquelles vous pouvez vouloir charger des applications de manière latérale sur votre téléphone Android. Toutefois, le revers de la médaille du chargement latéral est qu'il peut être dangereux si l'utilisateur ne sait pas ce qu'il fait, et au pire, cela peut altérer non seulement l'expérience de l'application, mais aussi celle d'Android dans son ensemble. Malgré ses risques, le chargement latéral d'applications a presque toujours été possible avec Android, contrairement au verrouillage mis en place par Apple sur iOS.

Du point de vue des développeurs, il y a de bonnes raisons pour lesquelles ils voudraient bloquer le chargement latéral de leurs applications. D'une part, une application chargée en parallèle ne contribuera pas aux statistiques du développeur sur le Play Store et, d'autre part, elle empêche le développeur de déterminer quels appareils peuvent utiliser son application. Il y a bien sûr des tampons en place pour empêcher l'installation d'applications chargées latéralement.

Mais les utilisateurs parviennent parfois à contourner ces garde-fous. Quelle que soit la raison, les développeurs qui souhaitent empêcher le chargement latéral de leurs applications disposent désormais d'un moyen plus simple de le faire grâce à l'API Play Integrity. Toutefois, bien que Google ait déclaré que l'API a été introduite pour améliorer la sécurité, certains critiques y voient une nouvelle étape dans les efforts de Google pour verrouiller le système d'exploitation.

« J'aimerais vraiment qu'il y ait un troisième concurrent dans le domaine des systèmes d'exploitation pour téléphone. Il s'agit d'ordinateurs de poche, mais pour une raison ou une autre, nous avons tous dû accepter des restrictions qui auraient été impensables pour un ordinateur portable ou de bureau il n'y a pas si longtemps. Aujourd'hui, des restrictions similaires s'infiltrent dans l'espace informatique général », peut-on lire dans les commentaires sur la toile.

Android a connu de nombreux changements au cours des dernières années, Google cherchant à placer la sécurité, la confidentialité et l'IA au premier plan de ses efforts récents. Cependant, si la plupart de ces changements sont les bienvenus, certains affirment qu'Android est en train de perdre son identité principale en tant que système d'exploitation réellement personnalisable. Les critiques affirment qu'Android devient un système d'exploitation verrouillé comme iOS.

Apple forcé à autoriser le chargement latéral et Google tente de le restreindre

Comme souligné plus haut, les développeurs disposaient d'autres moyens pour détecter si leurs applications étaient chargées de manière latérale avant que cette fonctionnalité ne soit introduite dans l'API d'intégrité de Play, mais ce changement facilite la mise en œuvre de ce type de contrôle par les développeurs. Certaines applications utiliseraient déjà la nouvelle API. Des utilisateurs d'applications du magasin britannique Tesco, de l'application de jeux vidéo BeyBlade X et de ChatGPT ont signalé des fenêtres « Get this app from Play », qui ne peuvent pas être contournées. Certains ont fait part de leur mécontentement.

Il y a trois mois, un utilisateur d'un ordinateur de poche basé sur Android a reçu un message similaire de Diablo Immortal sur son appareil. L'API Play Integrity serait également déjà utilisée par de nombreuses applications populaires sur Google Play, notamment Stripe, Uber et TikTok, et il est probable que d'autres l'adoptent au fil du temps. Mais de nombreux utilisateurs dénoncent ces changements, car ils les considèrent comme des restrictions imposées par Google.

Cela semble historique. L'un des principaux facteurs de différenciation entre iOS et Android, qui jouait en faveur d'Android, est désormais détruit. Tout cela est fait au nom de la fiabilité et de la sécurité, soi-disant. J'espère que cela ne va pas devenir une pente glissante où, pour des raisons de « sécurité », Google commencerait à bloquer des applications indésirables ou gênantes d'un point de vue éthique/politique. Cette technologie fournit l'infrastructure nécessaire pour bloquer ces applications indésirables.

Cela pose les bases de l'interdiction d'installer des logiciels sur de nombreux appareils Android grand public sans l'approbation de Google. J'espère que Google n'ira jamais trop loin en abusant de ce pouvoir. Cependant, c'est peut-être de l'optimisme ou de la naïveté d'espérer cela. En tant qu'outil pour les développeurs d'applications, où les développeurs d'applications prennent la décision, dans cette situation limitée, c'est peut-être encore un peu correct.

Cela est acceptable dans le sens où les développeurs peuvent être autorisés par la loi et la compréhension commune à choisir la façon dont leurs applications sont distribuées. Mais si Google décidait un jour d'interdire des applications de cette manière contre la volonté des développeurs, il s'agirait d'un énorme dépassement.

L'année dernière, Google a introduit la recherche de logiciels malveillants, au moment de l'installation, dans les applications Android chargées latéralement. Aux États-Unis, Google et Apple se sont opposés à une loi qui élargirait les droits de téléchargement latéral pour les propriétaires de smartphones, en invoquant des problèmes de sécurité et de fiabilité. Avec cette nouvelle API, le géant de la recherche en ligne affiche davantage son opposition à ce projet de loi.

Au début de l'année, en vertu de la loi sur les marchés numériques (DMA), les régulateurs de l'Union européenne (UE) ont contraint Apple à autoriser le téléchargement latéral d'applications et de boutiques d'applications sur iOS. Apple s'est exécuté, mais la mise en œuvre de la réglementation par le fabricant de l'iPhone a suscité de nombreux critiques. Les changements introduits par Apple font l'objet d'un examen de la part de la Commission européenne.

Source : Google

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de l'API Play Integrity introduite par Google sur Android ?
Que pensez-vous des préoccupations qu'elle suscite ? Participe-t-elle au verrouillage d'Android ?
Quels pourraient être les impacts de cette API sur les utilisateurs ? Tend-on vers la fin du chargement latéral sur Android ?
Cette API renforce-t-elle la sécurité comme Google le prétend ? Comment les régulateurs vont-ils réagir à cette nouvelle API ?

Voir aussi

Technologie OCR et cyberattaques : plus de 280 applications Android utilisent la reconnaissance optique de caractères pour voler les identifiants de portefeuilles de cryptomonnaies

Google publie Android 15 pour les développeurs, avec des clés d'accès en un seul clic, la détection du vol, l'amélioration du multitâche sur grand écran et la limitation d'accès aux applications

Google a mis trois mois à supprimer une application frauduleuse de Play Store qui a volé plus de 5 millions de dollars en crypto, une victime porte plainte contre l'entreprise pour négligence

[kain_tn]

Google a déclaré que l'API est destinée à améliorer la sécurité des applications Android, mais elle remet également en question la nature d'Android en tant que système d'exploitation réellement personnalisable. Elle risque d'avoir un impact négatif sur les versions personnalisées d'Android dépourvues des services Google Play et les téléphones rootés.

Je n'ai pas de leçons à recevoir sur la sécurisation d'une application Android, venant d'une boîte qui synchronise les tokens de son application d'authentification dans leur cloud...

En revanche, c'est clairement une façon de fermer un peu plus leur écosystème, pour empêcher les stores alternatifs, tels que Aurora.

[Mathis Lucas]

Google renforce sa mainmise sur Android : l'entreprise empêchera les développeurs non vérifiés de distribuer leurs applications sur les appareils Android certifiés dès 2026
évoquant des raisons de sécurité

Google va empêcher les développeurs non vérifiés de distribuer leurs applications sur les appareils Android certifiés. L'entreprise exige désormais que tous les développeurs soient vérifiés pour que leurs applications puissent être installées sur des appareils Android certifiés. Cette nouvelle exigence entrera en vigueur en septembre 2026 au Brésil, en Indonésie, à Singapour et en Thaïlande. À partir de 2027, elle sera progressivement mise en place à l'échelle mondiale. Google évoque des raisons de sécurité, mais beaucoup y voient un nouveau pas vers la fermeture de l'écosystème Android, ce qui représente un risque pour les magasins d'applications alternatifs.

Google a déclaré que seules les applications dont l'identité a été vérifiée pourront être installées sur les appareils Android certifiés, c'est-à-dire pratiquement tous les appareils fonctionnant sous Android : si un appareil dispose des services Google, il est certifié. S'il fonctionne sous une version d'Android qui n'est pas celle de Google, cela ne s'applique pas. Cependant, cela ne concerne qu'une infime partie de l'écosystème Android en dehors de la Chine.

Cela ne signifie pas que les développeurs ne peuvent pas distribuer leurs applications en dehors du Play Store via d'autres boutiques d'applications ou par chargement latéral (sideloading). Mais les développeurs qui appréciaient l'anonymat des méthodes de distribution alternatives n'auront plus cette option.

Google affirme que cela permettra de réduire le nombre de personnes malintentionnées qui cachent leur identité pour distribuer des logiciels malveillants, commettre des fraudes financières ou voler les données personnelles des utilisateurs. Une enquête de Google indique que plus de 50 fois plus de logiciels malveillants proviennent de sources téléchargées sur Internet que de Google Play, où la vérification des développeurs est obligatoire depuis 2023.

À l'avenir, pour distribuer leurs applications sur Android, ils devront fournir leur nom légal, leur adresse, leur adresse email et leur numéro de téléphone, ce qui pourrait pousser les développeurs indépendants à s'enregistrer en tant qu'entreprise pour protéger leur vie privée. Apple a mis en œuvre un changement similaire pour l'App Store de l'UE au début de l'année afin de se conformer à la loi sur loi sur les services numériques (DSA - Digital Service Act).

Cette réglementation oblige désormais les développeurs d'applications à fournir leur « statut commercial » pour soumettre de nouvelles applications ou des mises à jour d'applications en vue de leur distribution. Ces changements pourraient avoir un impact significatif sur l'écosystème des applications Android et leur distribution, Google s'efforçant de réduire les problèmes de sécurité et les logiciels malveillants qui ont généralement affecté sa plateforme.

Comment Google entend mettre en place ces changements

La nature ouverte d'Android l'a distingué de l'iPhone après l'essor des smartphones. Peu à peu, Google a troqué une partie de cette ouverture contre la sécurité, et la vérification de l'identité de tous les développeurs d'applications Android pourrait constituer la plus grande concession jamais faite au nom de la sécurité. Selon les critiques, cette nouvelle exigence pourrait nuire davantage aux boutiques d'applications alternatives sur la plateforme de Google.

Google décrit ce changement comme un « contrôle d'identité à l'aéroport ». Depuis que l'entreprise a commencé à vérifier l'identité des développeurs Google Play en 2023, le nombre de logiciels malveillants a connu une chute vertigineuse. Les acteurs malveillants ont profité de l'anonymat pour distribuer des maliciels, il est donc logique que la vérification des développeurs d'applications en dehors de Google Play puisse également renforcer la sécurité.

Cela crée une responsabilité cruciale, rendant beaucoup plus difficile pour les acteurs malveillants de distribuer rapidement une autre application nuisible après que nous ayons supprimé la première. Considérez cela comme un contrôle d'identité à l'aéroport, qui confirme l'identité d'un voyageur, mais qui est distinct du contrôle de sécurité de ses bagages.

Pour y parvenir, Google devra s'inspirer de la stratégie d'Apple et faire preuve d'une fermeté que les utilisateurs et développeurs pourraient trouver intrusive. Google prévoit de créer une console « Android Developer Console » simplifiée, que les développeurs utiliseront s'ils prévoient de distribuer des applications en dehors du Play Store. Après avoir vérifié leur identité, ils devront enregistrer le nom du package et les clés de signature de leurs applications.

Dans un billet de blogue sur le sujet, Google explique qu'il ne vérifiera toutefois pas le contenu ou les fonctionnalités des applications. Mais l'entreprise précise que « seules les applications dont l'identité du développeur a été vérifiée pourront être installées sur les appareils Android certifiés ».

Google prévoit de commencer à tester ce système avec un accès anticipé en octobre de cette année. En mars 2026, tous les développeurs auront accès à la nouvelle console pour se faire vérifier. En septembre 2026, Google prévoit de lancer cette fonctionnalité au Brésil, en Indonésie, à Singapour et en Thaïlande. La prochaine étape est encore floue, mais Google vise 2027 pour étendre les exigences de vérification à l'échelle mondiale.

Impacts de ces changements sur l'écosystème Android

Ce projet intervient à un moment charnière pour Android. Le procès antitrust intenté par Epic Games contre Google Play pourrait finalement contraindre Google à modifier son Play Store dans les mois à venir. Google a perdu son appel il y a plusieurs semaines et, bien qu'il envisage de saisir la Cour suprême des États-Unis, l'entreprise devra commencer à modifier son système de distribution d'applications, à moins d'une nouvelle manœuvre juridique.

Entre autres choses, le tribunal a ordonné à Google de distribuer des boutiques d'applications tierces et d'autoriser le réhébergement du contenu du Play Store dans d'autres boutiques. En effet, offrir aux utilisateurs davantage de moyens d'obtenir des applications pourrait élargir leur choix, ce qui est précisément ce que souhaitaient Epic Games et d'autres développeurs. Epic Games accuse Google et Apple de comportements anticoncurrentiels.

Mais les sources tierces ne bénéficieront pas de l'intégration système approfondie du Play Store, ce qui signifie que les utilisateurs téléchargeront ces applications sans les couches de sécurité de Google. Il est difficile de dire dans quelle mesure il s'agit d'un véritable problème de sécurité. D'un côté, il est logique que Google s'en préoccupe, car la plupart des principales menaces pesant sur les appareils Android se propagent via des référentiels d'applications tiers.

Cependant, l'application d'une liste blanche d'installation sur presque tous les appareils Android est une mesure sévère. Cela oblige tous les développeurs Android à satisfaire aux exigences de Google avant que pratiquement tout le monde puisse installer leurs applications, ce qui pourrait aider Google à garder le contrôle à mesure que le marché des applications s'ouvre. Si les exigences sont minimes pour l'instant, rien ne garantit qu'elles le resteront.

Conclusion

Google bloquera le chargement latéral d'applications Android non vérifiées à partir de l'année prochaine. La société affirme que cela permettra de renforcer la sécurité des utilisateurs d'appareils Android certifiés. Elle s'efforce de réduire les problèmes de sécurité et les logiciels malveillants qui ont généralement affecté Android. Mais ces changements pourraient avoir un impact significatif sur l'écosystème des applications Android et leur distribution.

La documentation actuellement disponible n'explique pas ce qui se passera si les utilisateurs d'appareils Android certifiés essaient d'installer une application non vérifiée ni comment les téléphones vérifient le statut de vérification. On peut supposer que Google distribuera cette liste blanche dans Play Services à l'approche de la date de mise en œuvre. Pour l'instant, Google n'a pas encore apporté des précisions sur cette question.

Source : Google (1, 2)

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la décision de Google d'empêcher les développeurs non vérifiés de distribuer leurs applications sur les appareils Android certifiés ?
Quels impacts cette décision pourrait-elle avoir sur l'écosystème Android ?

Voir aussi

Android permet désormais aux applications de bloquer le chargement latéral et de forcer le téléchargement via Play Store pour des raisons de sécurité, mais la fonctionnalité suscite quelques préoccupations

Apple introduit le chargement latéral et les boutiques d'applications alternatives sur l'iPhone dans l'Union européenne avec iOS 17.4, l'entreprise se plie ainsi aux exigences du DMA

Google perd son appel dans le procès intenté par Epic Games, qui l'oblige à ouvrir ses politiques relatives au Google Play Store et à autoriser les marchés et les systèmes de facturation concurrents

[DevDur]

Android finit par ressembler à Apple : un écosystème verrouillé où les devs gardent en permanence une épée de Damoclès au-dessus de la tête.

Si la sécurité était la vraie priorité, Apple/Google/Microsoft auraient déjà mis en place un consortium unique pour identifier les développeurs une seule fois, au lieu de renforcer chacun leur petit monopole.

[Artaeus]

C'est un véritable scandale, ça verrouille complétement l'OS ...

[vanquish]

C'est un véritable scandale, ça verrouille complétement l'OS ...

A priori, pas du tout.
Tout ceci est sans lien avec le Playstore, mais avec l'application. C'est cette dernière qui doit être certifiée (numériquement parlant).
On demande aux développeur de montrer qu'ils ont pignons sur rue.
Après libre de la distribuer dans et hors Playstore.

La source https://developer.android.com/developer-verification
indique :
The experience will be available in a new Android Developer Console (for developers who only publish outside of Play) and Play Console (for developers who publish both on and off of Play).

"outside of Play" : c'est donc tout à fait disponible pour les boutiques alternatives, voir en installation directe d'un APK.
En gros la procédure est un peu la même que lorsque l'on veux obtenir un certificat SLL auprès d'une autorité de certification: il faut prouver qui on est, que l'on a bien des droits sur le nom de domaines etc.
Perso, je ne fourni jamais ma CB à un site certifié par Let'sEncrypt (désolé developpez), mais par DigiCert, GeoTrust ou consort, parce qu'ils vérifient les identités.

Si on a un compte gMail, on a déjà certainement fourni son numéro de téléphone à Google pour la double authentification.
Demander cela à un développeur n'a donc rien de si d'extraordinaire.

C'est déjà aussi un peu le cas avec Windows. Si une application n'est pas numériquement signé avec un certificat émis par une autorité de confiance, le navigateur et l'anti-virus gênent l'installation, avec des messages alarmant.

Même si c'est une gène et une complexité pour les développeur, le gain de sécurité est bien réel pour les utilisateurs.
Même hors store, cela évitera que des pirates non identifiés fassent des clones vérolés d'applications connues, ou développent 35 applications sous 35 identités avec le même malware.

Reste à voir la facilité et les délais offerts par Google et s'ils font une différence de traitement entre les 2 modes.

[Alex]

Le référentiel Android open source F-Droid affirme que les nouvelles règles de Google entraîneront sa fermeture, car le programme de Google mettrait fin au référentiel d'applications libres et open source.

Selon F-Droid, le référentiel d'applications Android open source, a accusé Google de tenter d'étouffer la distribution indépendante d'applications avec ses nouvelles exigences en matière d'enregistrement des développeurs. Si ce changement est adopté, prévient F-Droid, cela pourrait signifier la fin des boutiques d'applications alternatives telles que nous les connaissons. « Le décret sur l'enregistrement des développeurs mettra fin au projet F-Droid et aux autres sources de distribution d'applications libres/open source telles que nous les connaissons aujourd'hui », écrit le groupe.

Android est un système d'exploitation basé sur une version modifiée du noyau Linux et d'autres logiciels open source, conçu principalement pour les appareils mobiles à écran tactile tels que les smartphones et les tablettes. Android a été développé par un consortium de développeurs connu sous le nom d'Open Handset Alliance, mais sa version la plus utilisée est principalement développée par Google. Lancé pour la première fois en 2008, Android est le système d'exploitation le plus utilisé au monde ; c'est le système d'exploitation le plus utilisé pour les smartphones, mais aussi pour les tablettes ; la dernière version, sortie le 10 juin 2025, est Android 16.

En août dernier, Google a annoncé empêcher les développeurs non vérifiés de distribuer leurs applications sur les appareils Android certifiés. L'entreprise exige désormais que tous les développeurs soient vérifiés pour que leurs applications puissent être installées sur des appareils Android certifiés. Cette nouvelle exigence entrera en vigueur en septembre 2026 au Brésil, en Indonésie, à Singapour et en Thaïlande. À partir de 2027, elle sera progressivement mise en place à l'échelle mondiale. Google évoque des raisons de sécurité, mais beaucoup y voient un nouveau pas vers la fermeture de l'écosystème Android, ce qui représente un risque pour les magasins d'applications alternatifs.

Dans ce contexte, F-Droid ne mâche pas ses mots. Dans un nouveau billet cinglant, le référentiel d'applications Android open source a accusé Google de tenter d'étouffer la distribution indépendante d'applications avec ses nouvelles exigences en matière d'enregistrement des développeurs. Si ce changement est adopté, prévient F-Droid, cela pourrait signifier la fin des boutiques d'applications alternatives telles que nous les connaissons.

Essentiellement anti-Play Store, F-Droid est un catalogue géré par des bénévoles qui répertorie des applications gratuites et open source construites à partir du code source, dépourvues de publicités et de traceurs, et signées cryptographiquement pour garantir leur authenticité. Il est depuis 15 ans un bastion pour les utilisateurs Android soucieux de leur vie privée, mais son avenir est désormais menacé.

Le problème vient de la récente annonce de Google concernant la vérification des développeurs, qui exigera que tous les développeurs Android du monde entier vérifient leur identité à l'aide d'une pièce d'identité délivrée par le gouvernement, paient des frais d'inscription et divulguent les identifiants de tous leurs paquets d'applications, même s'ils ne sont pas distribués via Google Play. Cette mesure est présentée comme une mesure de sécurité visant à lutter contre les logiciels malveillants, mais F-Droid affirme qu'il s'agit en réalité d'une centralisation du contrôle.

« Le décret sur l'enregistrement des développeurs mettra fin au projet F-Droid et aux autres sources de distribution d'applications libres/open source telles que nous les connaissons aujourd'hui », écrit le groupe. F-Droid, assez connu, adhère à une philosophie de « pas de comptes utilisateurs, par conception ». Comme F-Droid ne peut pas prendre le contrôle de l'identité des développeurs ni obliger les contributeurs indépendants à s'enregistrer auprès de Google, son catalogue cesserait tout simplement de fonctionner. Les utilisateurs ne pourraient même plus mettre à jour les applications existantes.

F-Droid conteste également les arguments de Google en matière de sécurité, les qualifiant de « canard ». Le Play Store lui-même a été pris en flagrant délit d'hébergement de logiciels malveillants, et Android dispose déjà de Play Protect, qui permet de désactiver à distance les applications malveillantes. En revanche, F-Droid affirme que son processus de construction ouvert et ses constructions reproductibles sont intrinsèquement plus sûrs (et plus transparents) que de faire confiance à un gardien corporatif.

L'enjeu dépasse le cadre d'une simple boutique d'applications. Si la politique de Google entre en vigueur, elle risque de rendre Android beaucoup plus similaire à iOS, où le sideloading et les boutiques alternatives sont fortement restreints. « Si vous possédez un ordinateur, vous devriez avoir le droit d'y exécuter les programmes de votre choix », argue F-Droid, présentant ce changement comme une menace fondamentale pour la liberté logicielle.

Google, pour sa part, insiste sur le fait que les développeurs pourront toujours distribuer des applications en dehors du Play Store, mais cela ne console guère les projets comme F-Droid qui dépendent de cette possibilité sans passer par un seul point de contrôle d'entreprise. F-Droid appelle les régulateurs aux États-Unis, dans l'Union européenne et ailleurs à intervenir avant l'entrée en vigueur de ces règles en 2026. L'intervention ou non de ces derniers pourrait déterminer si Android restera ouvert ou deviendra un autre jardin clos avec un seul gardien.

Voici la déclaration de F-Droid :

F-Droid et le décret d'enregistrement des développeurs de Google

Depuis 15 ans, F-Droid offre aux utilisateurs d'Android du monde entier un refuge sûr et sécurisé où trouver et installer des applications libres et open source. La différence avec les boutiques d'applications commerciales, dont la plus connue est Google Play, est flagrante : ces dernières sont des nids à logiciels espions et à arnaques, qui font ouvertement la promotion d'applications qui exploitent leurs utilisateurs en tentant de monétiser leur attention et d'exploiter leurs informations personnelles par tous les moyens nécessaires, y compris la tromperie et les pratiques douteuses.

F-Droid est différent. Il distribue des applications qui ont été validées pour servir les intérêts des utilisateurs, plutôt que ceux des distributeurs d'applications. Le fonctionnement de F-Droid est simple : lorsqu'un développeur crée une application et héberge le code source publiquement quelque part, l'équipe F-Droid l'examine pour s'assurer qu'il est entièrement open source et ne contient aucune fonctionnalité indésirable non documentée, telle que des publicités ou des traceurs. Une fois l'inspection réussie, le service de compilation F-Droid compile et packagera l'application afin qu'elle soit prête à être distribuée. Le package est ensuite signé soit avec la clé cryptographique de F-Droid, soit, si la compilation est reproductible, il permet la distribution à l'aide de la clé privée du développeur d'origine. De cette manière, les utilisateurs peuvent être sûrs que toute application distribuée via F-Droid est celle qui a été compilée à partir du code source spécifié et n'a pas été altérée.

Vous voulez une application météo qui ne transmet pas chacun de vos mouvements à un courtier de données obscur ? Ou un assistant de planification qui ne transfère pas vos informations personnelles à un réseau publicitaire ? F-Droid est là pour vous. Tout comme la lumière du soleil est le meilleur désinfectant contre la corruption, l'open source est la meilleure défense contre les logiciels qui agissent contre les intérêts de l'utilisateur.

La décision de Google de mettre fin à la distribution gratuite des applications

L'avenir de ce système élégant et éprouvé a été compromis le mois dernier, lorsque Google a décrété unilatéralement que les développeurs Android du monde entier seraient tenus de s'enregistrer auprès de Google. En plus d'exiger le paiement de frais d'inscription et l'acceptation de leurs conditions générales (non négociables et en constante évolution), Google exigera également le téléchargement de documents d'identité, y compris une pièce d'identité officielle, par les auteurs des logiciels, ainsi que l'énumération de tous les « identifiants d'application » uniques pour chaque application qui sera distribuée par le développeur enregistré.

Le projet F-Droid ne peut pas exiger que les développeurs enregistrent leurs applications via Google, mais en même temps, nous ne pouvons pas « prendre le contrôle » des identifiants d'application pour les applications open source que nous distribuons, car cela reviendrait à s'approprier les droits de distribution exclusifs de ces applications.

S'il était mis en œuvre, le décret sur l'enregistrement des développeurs mettrait fin au projet F-Droid et aux autres sources de distribution d'applications libres/open source telles que nous les connaissons aujourd'hui, et le monde serait privé de la sécurité et de la sûreté du catalogue de milliers d'applications qui peuvent être fiables et vérifiées par tous. Les innombrables utilisateurs de F-Droid se retrouveraient à la dérive, sans aucun moyen d'installer — ni même de mettre à jour — leurs applications existantes. (Combien y a-t-il exactement d'utilisateurs de F-Droid ? Nous ne le savons pas, car nous ne suivons pas les utilisateurs et n'avons pas d'enregistrement : « Pas de comptes utilisateurs, par conception »).

Le canard de la sécurité

Si l'installation directe (ou « sideloading ») de logiciels peut être considérée comme comportant un certain risque inhérent, il est faux de prétendre que les boutiques d'applications centralisées sont la seule option sûre pour la distribution de logiciels. Google Play lui-même a hébergé à plusieurs reprises des logiciels malveillants, prouvant que le contrôle exercé par les entreprises ne garantit pas la protection des utilisateurs. En revanche, F-Droid offre une approche alternative fiable et transparente en matière de sécurité : toutes les applications sont gratuites et open source, le code peut être vérifié par n'importe qui, le processus de compilation et les journaux sont publics, et les compilations reproductibles garantissent que ce qui est publié correspond exactement au code source. Cette transparence et cette responsabilité constituent une base de confiance plus solide que les plateformes fermées, tout en laissant aux utilisateurs la liberté de choisir. Restriction de l'installation directe d'applications non seulement sape ce choix, mais érode également la diversité et la résilience de l'écosystème open source en consolidant le contrôle entre les mains de quelques acteurs privés.

De plus, l'argument avancé par Google selon lequel l'enregistrement des développeurs est nécessaire pour se défendre contre les logiciels malveillants est fallacieux, car Google dispose déjà d'un mécanisme de correction pour les logiciels malveillants identifiés sur un appareil : le service Play Protect, activé sur tous les appareils certifiés Android, analyse et désactive les applications identifiées comme malveillantes, quelle que soit leur provenance. Tout risque perçu lié à l'installation directe d'applications peut être atténué par la sensibilisation des utilisateurs, la transparence open source et les mesures de sécurité existantes, sans imposer d'exigences d'enregistrement exclusives.

Nous ne pensons pas que l'enregistrement des développeurs soit motivé par des raisons de sécurité. Nous pensons qu'il s'agit plutôt d'une volonté de consolider le pouvoir et de renforcer le contrôle sur un écosystème autrefois ouvert.

Le droit d'exécuter

Si vous possédez un ordinateur, vous devriez avoir le droit d'y exécuter les programmes de votre choix. Cela vaut aussi bien pour les applications sur votre appareil mobile Android/iPhone que pour les applications sur votre ordinateur de bureau ou serveur Linux/Mac/Windows. Obliger les créateurs de logiciels à s'inscrire à un système d'enregistrement centralisé afin de publier et de distribuer leurs œuvres est aussi scandaleux que d'obliger les écrivains et les artistes à s'enregistrer auprès d'une autorité centrale afin de pouvoir distribuer leurs œuvres créatives. Cela va à l'encontre des principes fondamentaux de la liberté d'expression et de pensée qui sont au cœur du fonctionnement des sociétés démocratiques à travers le monde.

En liant les identifiants des applications à des contrôles d'identité personnels et à des frais, Google crée un goulot d'étranglement qui restreint la concurrence et limite la liberté des utilisateurs. Il doit trouver une solution qui préserve les droits des utilisateurs, la liberté de choix et un écosystème sain et concurrentiel.

Que proposons-nous ?

Les autorités de régulation et de concurrence devraient examiner attentivement les activités proposées par Google et veiller à ce que les politiques visant à améliorer la sécurité ne soient pas utilisées abusivement pour consolider un contrôle monopolistique. Nous exhortons les régulateurs à préserver la capacité des boutiques d'applications alternatives et des projets open source à fonctionner librement, et à protéger les développeurs qui ne peuvent ou ne veulent pas se conformer aux systèmes d'enregistrement exclusifs et aux demandes d'informations personnelles.

Si vous êtes un développeur ou un utilisateur qui accorde de l'importance à la liberté numérique, vous pouvez nous aider. Écrivez à votre député, membre du Congrès ou autre représentant, signez des pétitions en faveur du sideloading et de la liberté logicielle, et contactez l'équipe chargée du Digital Markets Act (DMA) de la Commission européenne pour expliquer pourquoi il est important de préserver la distribution ouverte. En faisant entendre votre voix, vous contribuez à défendre non seulement F-Droid, mais aussi le principe selon lequel les logiciels doivent rester un bien commun, accessible et libre de toute restriction inutile imposée par les entreprises.

Source : F-Droid

Et vous ?

Pensez-vous que cette déclaration est crédible ou pertinente ?
Quel est votre avis sur le sujet ?

Voir aussi :

Android permet désormais aux applications de bloquer le chargement latéral et de forcer le téléchargement via Play Store pour des raisons de sécurité, mais la fonctionnalité suscite quelques préoccupations

Google annonce officiellement Android 16, introduisant des changements visant à améliorer la cohérence et l'apparence visuelle des applications, ainsi que des améliorations de la sécurité

Après plus de 16 ans, Google décide de développer l'OS Android en privé dans le but de rationaliser son développement, mais s'engage à publier le code source sur AOSP à chaque version stable

[Souil002]

Ils modifient le sideloading pour notre sécurité.
Ils créent le manifest V3 sur chromium pour notre sécurité.

Merci Google de penser à nous avant tout et absolument pas à vos intérêts économiques !

[calvaire]

il est surtout regrettable en 2025 qu'un smartphone soit devenue indispensable à notre vie
et que cette chose indispensable a notre vie soit contrôlé par 2 entreprise mondial qui font ce qu'elle veulent.

j'ai essayé un android sans google, ca marche encore en chine, mais en occident c'est mort, les apps bancaires ne fonctionne pas notamment.
le pire étant révolut qui exige une rom officiel.
ile de france mobilité aussi sans les play service c'est mort, etc je ne vais pas en faire une liste bien trop longue.

alors oui y'a toujours des bidouilles à faire avec magisk pour contourner tous ca, mais bon bidouille sur bidouille, à la fin je passe plus de temps à bidouiller mon téléphone qu'a l'utiliser. Bref désormais j'ai un android google pour mes voyages en occident et un harmony os pour la chine ou un android degooglelisé.

c'est bien dommage de pas avoir une alternative libre et fonctionnel sur smartphone, en plus d’empêcher ces monopoles, l'ue devrait aussi imposé l'émergence d'un acteur libre.
Par imposer j'entends à minima d'interdire aux entreprises la nécessité d'avoir des apps, tous devrait pouvoir se faire via une page web. Au moins déja on pourrait utiliser ces banques.
mais allons plus loins et interdire aux apps d'avoir des drm à la con style avoir une rom signé, ne pas etre root, au moins qu'on puisse les faire tourner sur un os alternatif qui supporterait les apk, à la manière de wine.
Depuis quand c'est un crime d’être admin sur sa machine ? passer en mode root devrait être une fonctionnalité de base de l'os.

le DMA dans l'union européenne ne sert à rien en l'état, apple a bien trouvé la parade pour contourner le probleme et finalement ca ne va rien changer. Alors oui ios a gagné la possibilité d'avoir une app porno et un émulateur, mais ca change rien au probleme de fond: les devs doivent s'enregistrer auprès d'apple et les les dev doivent quand meme payer des commissions à apple, meme si ils utilise pas l'app store.

Si l'ue laisse google faire, alors la possibilité d'avoir un android libre et open source s'effondre, finalement on va se retrouver avec 3 systèmes ultra vé rouillé dans le monde (android, ios et harmony os)
si encore en 2010 c'était possible, en 2025 avoir un 3ieme acteur qui puisse émerger et désormais impossible, car un os alternatif ne sert à rien si je peux plus utiliser ma carte bancaire.
les banques encore utilisable sans smartphone android certifié /ios il doit plus en rester beaucoup, et elles vont pas le rester longtemps.

si steamos a pu émerger, c'est grace a la faible utilisation de drm sous windows et l'api win32.
si toutes les apps et jeux avait un drm kernel type denuvo, jamais linux avec proton n'aurait pu exister, et donc pas de 3ieme acteur comme valve.

[Eric80]

calvaire a tout dit.
à propos de HarmonyOS, n'est ce pas la même chose mais pour les intérêts de la Chine?
La propagande occidentale nous dira surement que tout ce qui vient de Chine a des spyware encore pire que les produits occidentaux, mais jusqu`à présent il me semble que les blocages sont liés aux 2 géants privés (Apple et Google) qui agissent de manière pire que les états.
(Cela me rappelle les scandales de Snowden sur la surveillance de masse, que celle des états soit érigée en diable mais grand silence sur celles des boites privées qui est 1000 fois pire et touche vraiment le tout à chacun)

Bref, la Chine étant tjs un peu plus intelligente que les pays occidentaux avec des stratégies long-terme, on peut craindre la tentative d un énième monopole avec HarmonyOS.

Dommage en effet que rien ne soit mis en avant en Europe.

Et pourtant il existe des solutions, comme LineAgeOS et e/OS (e/OS crée et maintenu par le Français Gaël Duval, le même qui avait fait Mandrake Linux il y a 27 ans). Il est bien triste que les lobbys de Google et Apple aient tjs accès aux décideurs politiques, tandis que les petits acteurs européens restent dehors
edit: une interview de Duval de octobre 2022:

Rien n'a vraiment changé depuis 3 ans, si ce n'est en pire...

Dans la même mesure que les politiques d'armement avec le débat récent sur la souveraineté (qui existe depuis DeGaulle en France, mais le reste de l Europe se reveille en 2025), il serait très pertinent pour l Europe de soutenir les solutions européennes !

Les gouvernements UE pourraient ainsi obliger les systèmes européens (type appli bancaires) de fonctionner correctement sur les systèmes libres comme LineAgeOS et e/OS.

Mais justement, comment vont évoluer ces projets avec le blocage annoncé de Google?

[Fagus]

En fait c'est même pire que ce que dit calvaire si on veut dé googleliser son téléphone. Les acteurs économiques se reposent complètement sur les services de Google pour leurs app.
Ex pour les transports, ils pourraient inclure une lib pour piloter le NFC du téléphone en bas niveau. (C'est possible, il y a même une app qui le fait en mode user pour lire et écrire les clones de badges vigik). Non, ils utilisent les services de Google.
Non seulement leur app est impossible à utiliser sur un Android dégooglelisé, mais si Google juge que le téléphone a une version d'Android trop vieille ,il bloquera l'installation des app. concernées , alors même que la puce NFC est présente .
Les banques c'est pas mieux.
De la sorte, dans les grandes villes, un téléphone Android googlisé peut être requis (ex, accès aux services d'un congrès, accès à la salle de sport ... )

[calvaire]

En fait c'est même pire que ce que dit calvaire si on veut dé googleliser son téléphone. Les acteurs économiques se reposent complètement sur les services de Google pour leurs app.
Ex pour les transports, ils pourraient inclure une lib pour piloter le NFC du téléphone en bas niveau. (C'est possible, il y a même une app qui le fait en mode user pour lire et écrire les clones de badges vigik). Non, ils utilisent les services de Google.
Non seulement leur app est impossible à utiliser sur un Android dégooglelisé, mais si Google juge que le téléphone a une version d'Android trop vieille ,il bloquera l'installation des app. concernées , alors même que la puce NFC est présente .
Les banques c'est pas mieux.
De la sorte, dans les grandes villes, un téléphone Android googlisé peut être requis (ex, accès aux services d'un congrès, accès à la salle de sport ... )

En fait c'est même pire que ce que dit Fagus
sans google tu n'as pas non plus acces aux backups whatsapp, a google map (qui n'a aucun équivalent aussi qualitatif en terme de poi)
même signale, une belle applis libre, open source qui respecte la vie privé, sans google tous les matins me dit que les google services ne fonctionne pas et signal ne va pas fonctionner (alors qu'il fonctionne très bien)
osmand le gps open source et libre basé sur open street map meme chose, sauf que pour lui il faut utiliser la version fdroid et ca marche, mais l'apk du playstore utilise les gsm.

bon tu peux t'en sortir mais encore une fois tu te pourrie bien la vie, même avec les apps libre et open source.
et il me semble que déverrouiller le bootloader et rooter son tel annule la garantie ?
le plus simple c'est d'utiliser les gsm sans compte google ou de se créer un compte google poubelle et d'utiliser son android avec ce compte.

Et pourtant il existe des solutions, comme LineAgeOS et e/OS

Pour en revenir a android j'en ai pas parlé, mais dans mon boulot j'ai la double authentification d'obligatoire qui nécessite d'utiliser microsoft et google authenticator, disponible uniquement sur android (ou ios).
Un 3ieme acteur la encore non basé sur ces 2 os serait inutilisable pour moi si j'ai pas ces apps.

En perso j'ai aegis qui me génère mes code OTP, mais les gafam sont intelligents et impose leurs propres applications.

[weed]

j'ai essayé un android sans google, ca marche encore en chine, mais en occident c'est mort, les apps bancaires ne fonctionne pas notamment.
le pire étant révolut qui exige une rom officiel.
ile de france mobilité aussi sans les play service c'est mort, etc je ne vais pas en faire une liste bien trop longue.

Pour le moment, les custom ROM en Europe sont encore largement utilisable, sinon Murena qui vend des téléphones ne vendrait plus de téléphone. Pareil pour Ekimia, chez qui j'ai acheté un téléphone reconditionné avec eOS pour offrir.
Pour le moment, la plus part des banques traditionnelles prorposent des alternatives aux applications pour valider les achats sur Internet, cela marche très bien. Cela m'arrange parce que comme tu l'as dit je n'aime pas cette concentration. L'april avait initié un wiki justement référecen les banques française avec les différents procédés. Je reposterai le lien.
Pour ma part, je n'ai pas d'appli de ma banque, et d'ailleurs ce sera un critère dans le choix d'une banque. Par les banques en ligne, Boursobank propose une alternative. Je ne me souviens plus poru Fortunéo. Mais il est certain que pour les toutes nouvelles banques, ce n'est même pas la peine.

Pour l'appli "ile de France mobilité", est elle réellement utile ?
Depuis quelques temps, il est possible de prendre un abonnement au trajet, on paye 2€/ an. Peut être que tu peux t'en passer.

sans google tu n'as pas non plus acces aux backups whatsapp,

Il est possible de sauvegarder les fichiers chiffrer et de les déplacer sur un nouveau téléphone sans problème.
https://community.e.foundation/t/met...chiers/67171/3

a google map (qui n'a aucun équivalent aussi qualitatif en terme de poi)
osmand le gps open source et libre basé sur open street map meme chose, sauf que pour lui il faut utiliser la version fdroid et ca marche, mais l'apk du playstore utilise les gsm.

Cela fait bien longtemps que je n'ai pas utilisé Google Map, on peu s'en passer sans problème si on accèpte parfois certains POI manquants sur OpenStreetMap.
C'est pourquoi pour ma part, je n'hésite pas à contribuer. N'hésites pas à contibuer

La communauté est très active. Elle utilise notamment du scraping pour mettre à jour en masse des numéro de téléphone, des heures d'ouverture avec le projet "All the place" basé sur python et la bibliothèque scarpy.
Il y a une discussion https://forum.openstreetmap.fr/t/all...-site/24538/19
Sans parler du projet "complete commerce".
Mais il est certain que les commercant mangent dans la main de Google, et Google Map sera toujours en avance sur certains POI mais ce n'est pas une fatalité pour ne pas utiliser d'autres alternatives.

osmand le gps open source et libre basé sur open street map meme chose, sauf que pour lui il faut utiliser la version fdroid et ca marche, mais l'apk du playstore utilise les gsm.

En général quand tu n'as pas les Play Service, tu utilises la version f-droid. A moins que je n'ai pas bien compris
Sinon comme autre appli sympa basé sur OSM :
- magic earth pour la voiture avec la gestion du traffic
- Comaps, très appli légère, mais en complément de OSMand, je trouve.

Pour en revenir a android j'en ai pas parlé, mais dans mon boulot j'ai la double authentification d'obligatoire qui nécessite d'utiliser microsoft et google authenticator, disponible uniquement sur android (ou ios).
Un 3ieme acteur la encore non basé sur ces 2 os serait inutilisable pour moi si j'ai pas ces apps.

En perso j'ai aegis qui me génère mes code OTP, mais les gafam sont intelligents et impose leurs propres applications.

Oui pour le coup, je suis dégouté. Chez mon employeur, pour me connecter à leur intracense, c'est Microsoft Authenicator et les applis standard aegis ne fonctionne pas.

De ce que j'ai cru comprendre, Microsoft Authenticator ajouterai la localisation pour encore mieux sécuriser, en plus de la génération du code. Argument qu'ils ont donné pour créer leur propre standard. Heureusement ma boite m'autorise à utiliser le SMS. Je préfère largent utiliser ce moyen plutot que de poluer mon téléphone sous grapheneOS. J'ai cru comprendre que l'appli Google serait pour le coup un peu mieux, et respecterait mieux le standard OTP.

[calvaire]

Pour le moment, les custom ROM en Europe sont encore largement utilisable, sinon Murena qui vend des téléphones ne vendrait plus de téléphone. Pareil pour Ekimia, chez qui j'ai acheté un téléphone reconditionné avec eOS pour offrir.
Pour le moment, la plus part des banques traditionnelles prorposent des alternatives aux applications pour valider les achats sur Internet, cela marche très bien. Cela m'arrange parce que comme tu l'as dit je n'aime pas cette concentration. L'april avait initié un wiki justement référecen les banques française avec les différents procédés. Je reposterai le lien.
Pour ma part, je n'ai pas d'appli de ma banque, et d'ailleurs ce sera un critère dans le choix d'une banque. Par les banques en ligne, Boursobank propose une alternative. Je ne me souviens plus poru Fortunéo. Mais il est certain que pour les toutes nouvelles banques, ce n'est même pas la peine.

Pour l'appli "ile de France mobilité", est elle réellement utile ?
Depuis quelques temps, il est possible de prendre un abonnement au trajet, on paye 2€/ an. Peut être que tu peux t'en passer.


Il est possible de sauvegarder les fichiers chiffrer et de les déplacer sur un nouveau téléphone sans problème.
https://community.e.foundation/t/met...chiers/67171/3



Cela fait bien longtemps que je n'ai pas utilisé Google Map, on peu s'en passer sans problème si on accèpte parfois certains POI manquants sur OpenStreetMap.
C'est pourquoi pour ma part, je n'hésite pas à contribuer. N'hésites pas à contibuer

La communauté est très active. Elle utilise notamment du scraping pour mettre à jour en masse des numéro de téléphone, des heures d'ouverture avec le projet "All the place" basé sur python et la bibliothèque scarpy.
Il y a une discussion https://forum.openstreetmap.fr/t/all...-site/24538/19
Sans parler du projet "complete commerce".
Mais il est certain que les commercant mangent dans la main de Google, et Google Map sera toujours en avance sur certains POI mais ce n'est pas une fatalité pour ne pas utiliser d'autres alternatives.



En général quand tu n'as pas les Play Service, tu utilises la version f-droid. A moins que je n'ai pas bien compris
Sinon comme autre appli sympa basé sur OSM :
- magic earth pour la voiture avec la gestion du traffic
- Comaps, très appli légère, mais en complément de OSMand, je trouve.

Oui tu as toujours des alternatives, des solutions, mais voila a chaque fois tu dois te prendre la tete.

on peu s'en passer sans problème si on accèpte parfois certains POI manquants sur OpenStreetMap.

tu dois trouver une alternative, parfois moins bonne dans le cas de google map sur les poi, tu dois bidouiller, tu dois changer de banque...

alors oui c'est possible, mais c'est vraiment prise de tete et c'est continue, car ta banque peut t'imposer une app assez vite à la moindre maj. Une app sur un android "trafiquer" peut ne plus fonctionner du jours au lendemain, j'ai le cas révolut qui sans prévenir et devenue non fonctionnel car ma rom était pas celle du constructeur et le bootloader déverouiller, mais ca peut arriver a n'importe quel banque/app.

au quotidien ca peut aller, mais je voyage beaucoup car j'en ai les moyens et j'aime ca.
donc j'ai besoin quand je vais dans un pays que mon téléphone marche, j'ai pas envie qu'une maj bloque ma banque au milieu de l’Amazonie car je suis root sur mon android.
j'utilise ile de france mobilité quand je viens sur paris, c'est pratique pour voir l'état du réseau et voir le solde des tickets restant de ma carte avec le nfc, il y'a le site web oui mais moins pratique encore et toujours.
Mais si tu veux j'ai parlé de cette app car les francais la connaisse, a singapour j'en ai une autre, a hong kong une autre, a oslo j'ai Ruter... et j'ai pas envie de chercher et tester des alternatives à l'étranger dans des pays que je connais pas.

pour revolut je n'ai pas d'alternative aussi bonne quand tu gères 5-6 monnaies différentes, j'ai testé N26 moins bien
il parait que Wise est bien pour les voyages, a tester.

[Matthieu Vergne]

Pour ceux qui se plaignent de devoir installer telle ou telle appli sur leur téléphone perso pour la double authentification (ou autre besoin) de leur entreprise... Je leur réponds "mais pourquoi vous ne refusez pas d'utiliser votre téléphone PERSO pour votre activité PRO ?"

C'est à l'employeur de fournir les ressources nécessaires pour que l'employé puisse faire son travail. S'il exige d'utiliser un logiciel qui exige un téléphone, il doit fournir le téléphone. Il ne peut pas exiger que vous utilisez votre tél perso, qui n'a d'ailleurs pas de raison de suivre les même exigences de sécurité qu'un tél pro.

C'est ce que j'ai fais : tout le monde utilise son tél perso, mais moi j'ai dit non, du coup j'ai un tel pro. L'employeur n'a pas à exiger quoi que ce soit sur mes périphériques personnels, au même titre que je n'ai pas à prendre de risques inutiles pour les données pros en les utilisant sur des périphériques perso.

[Mathis Lucas]

Une campagne intitulée « Keep Android Open » s'oppose aux restrictions imposées par Google visant à empêcher les développeurs non vérifiés de distribuer leurs applications sur les appareils Android certifiés

Google va empêcher les développeurs « non vérifiés » de distribuer leurs applications sur les appareils Android certifiés dès 2026. Les développeurs qui appréciaient l'anonymat des méthodes de distribution alternatives n'auront plus cette option. Cette exigence entraînera le paiement d'une redevance à Google et renforcera davantage sa mainmise sur l'écosystème Android. Ce changement suscite l'indignation des développeurs et une vague de critiques. Une nouvelle campagne intitulée « Keep Android Open » s'oppose aux nouvelles règles de Google, considérées comme une arme déguisée contre le téléchargement latéral et les magasins d'applications alternatifs.

Google a annoncé qu'à partir de septembre 2026, seules les applications provenant de développeurs vérifiés pourront être installées sur les appareils Android certifiés par Google, même lorsque ces applications proviennent de sources alternatives au Google Play Store. Pour mémoire, si un appareil dispose des services Google, il est certifié. S'il fonctionne sous une version d'Android qui n'est pas la version officielle de Google, cela ne s'applique pas.

Cependant, les appareils non certifiés ne représentent qu'une infime partie de l'écosystème Android en dehors de la Chine. Cette décision a provoqué une vive réaction dans la communauté, car elle entraîne un certain nombre de changements pour les développeurs qui sont concernés. Elle impliquera :

• le paiement d'une redevance à Google ;
• l'acceptation des conditions générales de Google ;
• la fourniture d'une pièce d'identité officielle ;
• le téléchargement d'une preuve de la clé de signature privée du développeur ;
• la liste de tous les identifiants d'application actuels et futurs.

À l'avenir, pour distribuer leurs applications sur Android, ils devront fournir leur nom légal, leur adresse, leur adresse email et leur numéro de téléphone, ce qui pourrait pousser les développeurs indépendants à s'enregistrer en tant qu'entreprise pour protéger leur vie privée. Apple a mis en œuvre un changement similaire pour l'App Store de l'UE au début de l'année afin de se conformer à la loi sur loi sur les services numériques (DSA - Digital Service Act).

Certains développeurs ont lancé un mouvement de protestation intitulé « Keep Android Open ». On ne sait pas exactement qui mène cette campagne, mais un article publié sur le blogue de la boutique d'applications Android libre F-Droid invite les utilisateurs à se rendre sur le site Web de la campagne ; il exhorte le public à faire pression sur les autorités réglementaires afin qu'elles interviennent et empêchent l'application des restrictions à venir.

La campagne dénonce la centralisation de l'écosystème. « Nous, les organisations soussignées représentant la société civile, les institutions à but non lucratif et les agences gouvernementales, écrivons pour exprimer notre forte opposition à la politique annoncée par Google exigeant que tous les développeurs d'applications Android s'enregistrent de manière centralisée auprès de Google », indique une lettre ouverte publiée par la campagne.

Certains développeurs ne veulent pas être identifiés par Google

Le mouvement Keep Android Open milite contre les nouvelles exigences d'enregistrement des développeurs dans l'écosystème Android. Conformément à l'engagement des défenseurs de la vie privée en faveur de l'anonymat, le site Web du mouvement ne divulgue pas l'identité de son créateur et les informations relatives à l'enregistrement de son domaine sont anonymisées, afin de préserver intentionnellement l'anonymat de son propriétaire.

Il suscite néanmoins un intérêt considérable au sein de la communauté des développeurs, avec des milliers de points et des centaines de réponses sur Hacker News, un forum technologique très suivi où des ingénieurs logiciels et d'autres passionnés discutent des tendances et des questions émergentes.

De nombreux développeurs Android considèrent cette mesure comme une prise de pouvoir. « Les développeurs devraient avoir le droit de créer et de distribuer des logiciels sans se soumettre à une surveillance inutile de la part des entreprises », peut-on lire dans la lettre ouverte publiée par la campagne. F-Droid a averti que le « décret » de Google concernant l'enregistrement des développeurs signifiait la fin des boutiques d'applications alternatives.

Certains utilisateurs ont utilisé cette excuse pour passer à l'iPhone. Google a répondu en publiant des assurances selon lesquelles le téléchargement latéral survivrait et que ce changement est destiné à ajouter une couche de sécurité supplémentaire. Cependant, cela n'a pas calmé le tollé sur la toile.

Entre autres, le mouvement Keep Android Open exhorte Google à retirer immédiatement l'obligation d'enregistrement des développeurs, à engager un dialogue transparent avec la société civile, les développeurs et les régulateurs, à s'engager en faveur de la neutralité de la plateforme et à fournir une justification claire de la politique annoncée, y compris des preuves que les mécanismes de sécurité existants sont insuffisants.

Les critiques rejettent l'argument de la sécurité brandi par Google

Lors de son annonce, Google a précisé que cette restriction vise à éliminer le risque de propagation de logiciels malveillants via des applications Android hébergées sur des boutiques tierces ou des liens envoyés par messagerie instantanée. Les utilisateurs d'appareils Android peuvent installer ces applications via le téléchargement latéral, qui leur permet d'installer des applications provenant de boutiques tierces, et pas uniquement de Google Play.

Google a décrit ce changement comme similaire à l'obligation pour les développeurs de se soumettre à « un contrôle d'identité à l'aéroport ». Mais F-Droid a qualifié cette exigence d'anti-consommateur. « Si vous possédez un ordinateur, vous devriez avoir le droit d'y exécuter les programmes de votre choix », affirme-t-il.

Sur la toile, les utilisateurs partagent leurs inquiétudes quant à la réduction de la liberté matérielle et logicielle des appareils mobiles. La campagne a fourni une liste de publications antérieures et de débats publics soutenant son appel à préserver l'ouverture d'Android. Des critiques et influenceurs technologiques, de Louis Rossman à Linus Media Group, ont exprimé leur déception face à la décision de Google, qui pourrait limiter la liberté des applications.

« Imaginez que votre voiture soit verrouillée à certaines destinations autorisées par le constructeur. Nous sommes aujourd'hui contraints d'acheter des appareils qui ne nous appartiennent pas au final. Nous payons pour le luxe de représenter une marque et de leur faire de la publicité. Les régulateurs doivent mettre fin à cela », a posté un utilisateur. F-Droid conteste l'affirmation de Google selon laquelle le téléchargement latéral restera possible.

De plus, les développeurs vérifiés peuvent toujours finir par soumettre sans le savoir à Google Play ou à d'autres boutiques d'applications des applications qui ont été compromises par des SDK ou des paquets tiers. Malgré tous les discours sur la manière dont l'IA peut améliorer la détection et la correction des failles de sécurité, il est intéressant de noter que Google prévoit de mettre en place une liste blanche mondiale des identités des développeurs.

Google accusé de chercher à mettre fin au téléchargement latéral

Le téléchargement latéral (sideloading) permet aux utilisateurs d'installer des applications qui ne sont pas disponibles dans le Play Store. Google est accusé de chercher à y mettre fin. Google rejette ses allégations, mais ses arguments ne suffisent pas à calmer le tollé. F-Droid invite les utilisateurs à se rendre sur le site keepandroidopen.org afin de contacter les organismes de réglementation et de plaider en faveur d'un écosystème Android ouvert.

« Le message de Google selon lequel le téléchargement latéral ne disparaîtra pas est clair, concis et faux. La décision relative à la vérification des développeurs met effectivement fin à la possibilité pour les particuliers de choisir les logiciels qu'ils exécutent sur les appareils qu'ils possèdent », a écrit le F-Droid.

La vérification des développeurs constitue une menace existentielle pour les plateformes de distribution de logiciels libres telles que F-Droid, ainsi que pour les nouveaux concurrents commerciaux du Play Store. Nous assistons à une vague de contestation contre cette tentative de la part de nos communautés d'utilisateurs et de développeurs, ainsi que de la presse spécialisée et des groupes de la société civile, mais les décideurs politiques doivent encore être sensibilisés à cette menace.

F-Droid remet en question le terme « sideloading » lui-même : les utilisateurs devraient être libres d'installer des logiciels, que l'ordinateur se trouve dans leur poche ou sur leur bureau. « Le terme « sideload » a été inventé pour insinuer que ce processus a quelque chose de sombre et de sinistre, comme si l'utilisateur contournait les mesures de sécurité conçues pour vous protéger et assurer votre sécurité », a déclaré le magasin d'application.

En attendant la réponse de Google à cette campagne, F-Droid invite les développeurs d'applications à ne pas s'inscrire au programme d'enregistrement de Google. « Si vous êtes développeur d'applications, nous vous recommandons de ne pas vous inscrire au programme d'enregistrement des développeurs de Google pour le moment. Nous rejetons sans équivoque leur tentative d'imposer ce programme au monde entier », a déclaré F-Droid.

Sources : Keep Android Open, F-Droid

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous des objectifs de la campagnes « Keep Android Open » ?
Cette campagne a-t-elle des chances de convaincre Google à faire marche arrière dans la vérification des développeurs ?
Que pensez-vous de la décision de Google d'empêcher les développeurs non vérifiés de distribuer leurs applications sur les appareils Android certifiés ?
F-Droid affirme que le terme « sideloading » a une connotation négative. Qu'en pensez-vous ?

Voir aussi

Google renforce sa mainmise sur Android : l'entreprise empêchera les développeurs non vérifiés de distribuer leurs applications sur les appareils Android certifiés dès 2026, évoquant des raisons de sécurité

Android permet désormais aux applications de bloquer le chargement latéral et de forcer le téléchargement via Play Store pour des raisons de sécurité, mais la fonctionnalité suscite quelques préoccupations

Google Play Store oblige désormais les applications à divulguer les données collectées pour permettre aux utilisateurs de savoir plus facilement ce qu'une application fait de leurs données

[weed]

Que pensez-vous des objectifs de la campagnes « Keep Android Open » ?

Je pense que cette campagne nécessaire . Ce qui a fait le succès de Android est justement de ne pas être contraint à Google

Cette campagne a-t-elle des chances de convaincre Google à faire marche arrière dans la vérification des développeurs ?
J'espère de tout coeur que cette campagne fasse machine arrière. MS a bien temporiser son passge à son Windows en offrant gracieusement 1 an de support, et a reporté son programme Recall suite à la grogne d'utilisateur.

Que pensez-vous de la décision de Google d'empêcher les développeurs non vérifiés de distribuer leurs applications sur les appareils Android certifiés ?
Il est certain que derrière l'argument sécurité, il veut cloisonner, centraliser pour être seul maitre et mieux contrôler les appli qui sortent de son périmètre habituel.

L'intéret des store alternatifs tel que F-droid était justement de ne pas être lié à Google, d'autant plus si on utilise une custom ROM nettoyé de tout appel vers Google tel que grapheneOS, eOS.
Et malheureusement les téléphones sous Linux sont difficilement exploitable pour un usage quotidien. Ces customs ROM était une alternative interessante pour de se délier de Google.

Mais avec ces mesures de flicage des développeurs, ces customs ROM n'auront plus sens d'exister.

[Anselme45]

Google applique à Android la stratégie habituelle des GAFAM:

1° Service gratuit pour imposer le service au niveau mondial

2° Quand la moitié de la planète utilise le service, on bride, on bloque, on fait payer!!!


Rien de nouveau dans ce monde de prédateurs...