Google a introduit en mai l’API Play Integrity sur Android qui permet aux dveloppeurs d’empcher une application de fonctionner si elle a t charge latralement et d’inviter les utilisateurs la tlcharger partir du Google Play Store. Cette API est dj utilise par des applications telles que Tesco et BeyBlade X. Google a dclar que l’API est destine amliorer la scurit des applications Android, mais elle remet galement en question la nature d’Android en tant que systme d’exploitation rellement personnalisable. Elle risque d’avoir un impact ngatif sur les versions personnalises d’Android dpourvues des services Google Play et les tlphones roots.
Play Integrity : dfinition et caractristiques de cette nouvelle API d’Android
L’API Google Play Integrity est une interface qui aide les dveloppeurs vrifier que les interactions et les demandes de serveur proviennent de [leur] vritable binaire d’application fonctionnant sur un vritable appareil Android. Elle recherche notamment des preuves que l’application a t altre, qu’elle s’excute dans un environnement logiciel non fiable, que l’appareil a activ Google Play Protect, et bien d’autres choses. Si vous avez dj entendu parler ou eu affaire SafetyNet Attestation sur un tlphone root, vous tes probablement dj familiaris avec Play Integrity, mme si ce n’est pas sous cette appellation.
Play Integrity est le successeur de SafetyNet Attestation, mais offre encore plus de fonctionnalits aux dveloppeurs. Elle permet aux applications de bloquer l’accs lorsqu’elles sont charges sur des tlphones qui ont t modifis d’une manire ou d’une autre par rapport un systme d’exploitation standard avec toutes les intgrations Google Play intactes . Dans la pratique, les applications peuvent appeler Play Integrity et obtenir en retour un verdict d’intgrit .
Ce verdict indique si le tlphone dispose d’un environnement logiciel digne de confiance, si Google Play Protect est activ et si d’autres vrifications logicielles ont t effectues. Play Integrity permet aux applications de se dcharger de la dtermination de l’authenticit de l’appareil et de son environnement logiciel. Et avec sa dernire mise jour, les applications peuvent dsormais facilement dterminer si la personne qui les a installes est elle aussi authentique .
Rcemment, une application populaire d’authentification deux facteurs a bloqu l’accs des tlphones roots, y compris GrapheneOS, une version d’Android axe sur la scurit. Graphene a mis en doute la vracit de Play Integrity et SafetyNet Attestation, recommandant la place une attestation matrielle standard pour Android. Selon les critiques, les applications ne sont pas obliges d’adopter une approche tout ou rien en matire de vrification de l’intgrit.
Plutt que de bloquer compltement l’installation, les applications peuvent faire appel l’API uniquement lors d’actions sensibles , en mettant un avertissement ce moment-l. Cependant, l’absence de connexion au Play Store peut galement priver les dveloppeurs de donnes mtriques, permettre l’installation sur des appareils incompatibles (avec les mauvaises critiques qui en dcoulent) et, bien sr, ouvrir la porte au piratage d’applications payantes.
La nouvelle API Play Integrity introduite par Google suscite des proccupations
Il est facile de charger des applications de manire latrale sur Android. Et il existe de nombreuses raisons pour lesquelles vous pouvez vouloir charger des applications de manire latrale sur votre tlphone Android. Toutefois, le revers de la mdaille du chargement latral est qu’il peut tre dangereux si l’utilisateur ne sait pas ce qu’il fait, et au pire, cela peut altrer non seulement l’exprience de l’application, mais aussi celle d’Android dans son ensemble. Malgr ses risques, le chargement latral d’applications a presque toujours t possible avec Android, contrairement au verrouillage mis en place par Apple sur iOS.
Du point de vue des dveloppeurs, il y a de bonnes raisons pour lesquelles ils voudraient bloquer le chargement latral de leurs applications. D’une part, une application charge en parallle ne contribuera pas aux statistiques du dveloppeur sur le Play Store et, d’autre part, elle empche le dveloppeur de dterminer quels appareils peuvent utiliser son application. Il y a bien sr des tampons en place pour empcher l’installation d’applications charges latralement.
Mais les utilisateurs parviennent parfois contourner ces garde-fous. Quelle que soit la raison, les dveloppeurs qui souhaitent empcher le chargement latral de leurs applications disposent dsormais d’un moyen plus simple de le faire grce l’API Play Integrity. Toutefois, bien que Google ait dclar que l’API a t introduite pour amliorer la scurit, certains critiques y voient une nouvelle tape dans les efforts de Google pour verrouiller le systme d’exploitation.
J’aimerais vraiment qu’il y ait un troisime concurrent dans le domaine des systmes d’exploitation pour tlphone. Il s’agit d’ordinateurs de poche, mais pour une raison ou une autre, nous avons tous d accepter des restrictions qui auraient t impensables pour un ordinateur portable ou de bureau il n’y a pas si longtemps. Aujourd’hui, des restrictions similaires s’infiltrent dans l’espace informatique gnral , peut-on lire dans les commentaires sur la toile.
Android a connu de nombreux changements au cours des dernires annes, Google cherchant placer la scurit, la confidentialit et l’IA au premier plan de ses efforts rcents. Cependant, si la plupart de ces changements sont les bienvenus, certains affirment qu’Android est en train de perdre son identit principale en tant que systme d’exploitation rellement personnalisable. Les critiques affirment qu’Android devient un systme d’exploitation verrouill comme iOS.
Apple forc autoriser le chargement latral et Google tente de le restreindre
Comme soulign plus haut, les dveloppeurs disposaient d’autres moyens pour dtecter si leurs applications taient charges de manire latrale avant que cette fonctionnalit ne soit introduite dans l’API d’intgrit de Play, mais ce changement facilite la mise en uvre de ce type de contrle par les dveloppeurs. Certaines applications utiliseraient dj la nouvelle API. Des utilisateurs d’applications du magasin britannique Tesco, de l’application de jeux vido BeyBlade X et de ChatGPT ont signal des fentres Get this app from Play , qui ne peuvent pas tre contournes. Certains ont fait part de leur mcontentement.
Il y a trois mois, un utilisateur d’un ordinateur de poche bas sur Android a reu un message similaire de Diablo Immortal sur son appareil. L’API Play Integrity serait galement dj utilise par de nombreuses applications populaires sur Google Play, notamment Stripe, Uber et TikTok, et il est probable que d’autres l’adoptent au fil du temps. Mais de nombreux utilisateurs dnoncent ces changements, car ils les considrent comme des restrictions imposes par Google.
Envoy par CritiqueCela pose les bases de l’interdiction d’installer des logiciels sur de nombreux appareils Android grand public sans l’approbation de Google. J’espre que Google n’ira jamais trop loin en abusant de ce pouvoir. Cependant, c’est peut-tre de l’optimisme ou de la navet d’esprer cela. En tant qu’outil pour les dveloppeurs d’applications, o les dveloppeurs d’applications prennent la dcision, dans cette situation limite, c’est peut-tre encore un peu correct.
Cela est acceptable dans le sens o les dveloppeurs peuvent tre autoriss par la loi et la comprhension commune choisir la faon dont leurs applications sont distribues. Mais si Google dcidait un jour d’interdire des applications de cette manire contre la volont des dveloppeurs, il s’agirait d’un norme dpassement.
L’anne dernire, Google a introduit la recherche de logiciels malveillants, au moment de l’installation, dans les applications Android charges latralement. Aux tats-Unis, Google et Apple se sont opposs une loi qui largirait les droits de tlchargement latral pour les propritaires de smartphones, en invoquant des problmes de scurit et de fiabilit. Avec cette nouvelle API, le gant de la recherche en ligne affiche davantage son opposition ce projet de loi.
Au dbut de l’anne, en vertu de la loi sur les marchs numriques (DMA), les rgulateurs de l’Union europenne (UE) ont contraint Apple autoriser le tlchargement latral d’applications et de boutiques d’applications sur iOS. Apple s’est excut, mais la mise en uvre de la rglementation par le fabricant de l’iPhone a suscit de nombreux critiques. Les changements introduits par Apple font l’objet d’un examen de la part de la Commission europenne.
Source : Google
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de l’API Play Integrity introduite par Google sur Android ?
Que pensez-vous des proccupations qu’elle suscite ? Participe-t-elle au verrouillage d’Android ?
Quels pourraient tre les impacts de cette API sur les utilisateurs ? Tend-on vers la fin du chargement latral sur Android ?
Cette API renforce-t-elle la scurit comme Google le prtend ? Comment les rgulateurs vont-ils ragir cette nouvelle API ?
Voir aussi