La chasse aux malwares prend un nouveau tournant. Google veut lier chaque application sideloadée à l’identité légale de son éditeur pour renforcer la confiance sur les appareils Android certifiés.
- Google va lier chaque application sideloadée à l'identité de son éditeur pour renforcer la sécurité sur Android.
- À partir de 2026, chaque développeur devra associer une pièce d'identité et un moyen de paiement à ses APK.
- Cette mesure vise à réduire les malwares en rendant les développeurs responsables de leurs applications hors Play Store.
La mesure, attendue pour 2026, sonne la fin de la distribution anonyme d’APK hors Play Store tout en maintenant la possibilité du sideloading. Google présente l’initiative comme un rempart contre les logiciels malveillants après avoir comparé ces installations à une « roulette russe ». Le calendrier prévoit une phase pilote limitée avant une extension mondiale, signe d’une stratégie graduelle plutôt que d’un verrou soudain.
Une identité obligatoire pour chaque APK
Derrière la nouvelle politique, Google exige qu’un développeur « vérifié » associe une pièce d’identité et un moyen de paiement à chaque clé de signature. Lorsqu’un utilisateur tente d’installer une application hors boutique officielle, le système contrôlera si le paquet émane d’un compte validé. Les éditeurs opportunistes ne pourront plus disparaître puis réapparaître sous un autre nom, une pratique courante dans la diffusion de malwares Android.
Une phase d’accès anticipé débutera cet automne, l’ouverture générale suivra en mars 2026. Dès septembre 2026, le Brésil, l’Indonésie, Singapour et la Thaïlande serviront de terrain d’essai avant un déploiement planétaire en 2027. Google affirme cibler d’abord les marchés les plus touchés par la fraude, évitant ainsi un choc trop brutal pour l’ensemble de l’écosystème.
Identité, paquet et clé de signature
Les éditeurs déjà présents sur le Play Store utiliseront simplement leur compte existant, ceux qui diffusent exclusivement hors boutique disposeront d’une nouvelle Android Developer Console. Bien qu'il complique le processus de développement et de publication pour tout l'écosystème alternatif, cet outil promet une procédure allégée : collecte d’identité, enregistrement des noms de paquet et upload des clés de signature, sans les exigences marketing de la Play Console.
Chaque application hors Play sera ainsi rattachée à une identité légale, tout comme les binaires signés pour macOS via le Developer ID d’Apple. En cas d’abus, Google pourra révoquer rapidement les clés compromises et empêcher les futures installations, même si l’APK circule toujours en ligne. L’entreprise espère que cette responsabilité accrue réduira les campagnes de logiciels espions qui prolifèrent via des liens directs.
Pression sur les ROM et magasins tiers
Google martèle qu’une application téléchargée sur le web a statistiquement « 50 fois » plus de chances de contenir un malware que celle issue du Play Store. Lier identité et binaire ne supprime pas le risque d’un code malveillant, mais complique la récidive et permet des retraits coordonnés via Play Protect. Le pari : un acteur identifié réfléchira à deux fois avant de compromettre sa réputation et son accès au vaste parc Android.
Sur les Pixel, la communauté avait déjà observé un durcissement des contrôles système, rendant plus complexe l’installation de ROM alternatives. Cette nouvelle exigence pourrait accentuer la tendance : LineageOS, GrapheneOS ou encore F-Droid devront s’assurer que leurs mainteneurs sont vérifiés pour rester installables sur les appareils certifiés. Reste à voir si l’équilibre entre sécurité et liberté d’installation, pilier historique d’Android, sortira renforcé ou restreint de cette évolution.
Source : Android Police
