Android s’apprête à renforcer drastiquement la sécurité des installations d’applications en étendant la vérification systématique de Play Protect à tous les APK, y compris ceux provenant de sources externes. Après des années passées à proposer un sideloading relativement libre, Google va désormais bloquer les paquets signés par des développeurs non certifiés, marquant ainsi un tournant majeur dans la gestion des applications hors Play Store.
Un contrôle renforcé via Play Protect
Jusqu’ici, Play Protect signalait les logiciels potentiellement malveillants mais laissait à l’utilisateur la décision finale d’installer ou non une application externe. Avec la mise à jour imminente, le service effectuera :
Une vérification d’identité du développeur au moment de l’installation, en croisant la signature numérique avec une base de données de comptes validés par Google.
Un blocage automatique des APK issus d’éditeurs non reconnus, accompagnés d’un message d’erreur expliquant que l’application ne provient pas d’une source fiable.
Un examen centralisé sur les serveurs de Google, garantissant une actualisation permanente des critères de sécurité.
Ce mécanisme vise à éliminer le risque d’installer des clones frauduleux ou des versions pirateées exposant l’appareil à des malwares, des ransomwares et d’autres menaces.
La fin du sideloading tel qu’on le connaît
Pour les adeptes de l’installation manuelle d’APK, cette nouveauté représente un changement radical. Le sideloading, autrefois pratiqué pour installer des applications non disponibles sur le Play Store — qu’il s’agisse de versions bêta, de boutiques alternatives ou de logiciels open source — ne pourra plus fonctionner librement. Désormais :
Seuls les développeurs ayant obtenu un compte vérifié par Google pourront créer des APK installables.
Les APK signés localement par un simple certificat auto-généré seront rejetés durant la phase d’installation.
Les invitations à télécharger et installer des applications tiers seront systématiquement accompagnées d’une alerte indiquant que l’origine n’est pas approuvée.
Le déploiement progressif de cette règle devrait intervenir via une mise à jour de Play Protect, rendant la pratique du sideloading presque inexistante d’ici quelques mois.
Des alternatives désormais soumises à certification
Plusieurs plateformes d’applications hors Play Store — telles que Amazon Appstore, F-Droid ou des boutiques régionales — devront adapter leur fonctionnement :
Obtenir des accords de distribution avec Google pour que leurs catalogues soient reconnus comme « sources fiables ».
Mettre en place un processus de vérification de signature similaire à celui du Play Store pour tous les développeurs qu’ils hébergent.
Informer les utilisateurs de l’état de validation des applications et fournir des publications régulières de rapports de sécurité.
Sans cette certification, les stores alternatifs risquent de perdre l’intérêt pratique, car leurs APK ne pourraient plus s’installer sur la majorité des smartphones Android commerciaux.
Un déploiement progressif pour épargner les entreprises
Google a précisé que cette nouvelle politique ne s’appliquera pas en une seule fois :
Une phase pilote débutera dans les semaines à venir sur un échantillon d’appareils et de comptes utilisateurs.
Les entreprises ayant recours à des applications internes hors Play Store bénéficieront d’un délai de grâce pour s’aligner sur les nouvelles règles.
Un mode « entreprise » permettra aux administrateurs IT de déclarer manuellement certains APK comme fiables durant la migration.
Ces mesures visent à minimiser la perturbation des usages professionnels et à laisser le temps aux développeurs de s’enregistrer auprès de Google.
Avantages attendus : sécurité et confiance
La généralisation de la vérification des sources apporte plusieurs bénéfices :
Réduction drastique des tentatives d’installation de logiciels malveillants et d’arnaques déguisées en applications populaires.
Renforcement de la protection de la vie privée grâce à un contrôle plus strict des permissions accordées aux applications.
Amélioration de la réputation d’Android comme plateforme sûre pour les utilisateurs grand public et les entreprises.
En verrouillant l’installation aux éditeurs ratifiés, Google espère réduire significativement les incidents de sécurité et les compromissions de données.
Les inquiétudes des défenseurs de l’open source
Toutefois, ce durcissement suscite des réactions mitigées :
Les amateurs de ROM custom et d’applications open source craignent que le processus de vérification rende leur écosystème « cage dorée ».
Certains développeurs indépendants jugent la procédure d’enregistrement trop contraignante et coûteuse pour des projets non commerciaux.
La diversité de l’offre Android pourrait se réduire si seuls les éditeurs disposant de ressources suffisantes parviennent à se faire certifier.
Face à ces critiques, Google devra trouver un équilibre pour préserver l’ouverture d’Android tout en garantissant la sécurité de sa base d’utilisateurs.
Comment préparer son appareil à cette évolution
Pour anticiper ces changements, plusieurs étapes sont recommandées :
Vérifier la mise à jour de Play Protect et activer la fonction de « vérification des sources » dès qu’elle apparaît dans les paramètres de sécurité.
Pour les entreprises, passer via Android Enterprise pour déclarer les APK métiers comme approuvés.
Sauvegarder les fichiers APK existants et identifier les développeurs qui devront obtenir un compte Google certifié.
Envisager la migration vers le Play Store officiel ou des espaces « work profile » pour continuer à installer des applications externes en toute légalité.
Ces bonnes pratiques contribueront à limiter la frustration liée à l’arrêt du sideloading classique.
