Dès 2026, Google va étendre son contrôle d’identité des développeurs Android au-delà du Play Store. Officiellement, l’objectif est de limiter les malwares. En réalité, c’est aussi une nouvelle étape dans un mouvement qui transforme progressivement Android, d’écosystème ouvert à système sous surveillance.
- Dès 2026, Google imposera une vérification d'identité pour tous les développeurs Android, même en dehors du Play Store.
- Cette mesure vise à réduire les malwares, mais pourrait aussi restreindre la liberté d'innovation des développeurs indépendants.
- L'évolution d'Android vers un système plus contrôlé remet en question son image d'écosystème ouvert et flexible.
Il était temps, diront certains. Google veut reprendre la main sur son écosystème et imposera bientôt une vérification d’identité à tous les développeurs et développeuses Android souhaitant distribuer leurs applications sur les smartphones et tablettes certifiés. Un dispositif équivalent existe déjà sur le Play Store depuis 2023, mais l’entreprise souhaite désormais l’étendre à tout l’écosystème Android, y compris aux stores alternatifs et aux APK installés en sideloading. Officiellement, le contrôle d’identité des développeurs doit permettre de mieux protéger les utilisateurs et utilisatrices. Mais derrière l’argument sécuritaire, c’est un mouvement plus large qui s’affirme : un Android toujours présenté comme ouvert, mais de plus en plus contraint.
La fin du laisser-faire… Mais pour qui ?
Pour rappel, le nouveau dispositif baptisé Developer Verification imposera à tous les développeurs Android de confirmer leur identité auprès de Google pour publier ou distribuer leurs applications sur les appareils certifiés. La vraie nouveauté tient surtout à son extension en dehors du Play Store, puisque les stores alternatifs et les APK installés directement seront dorénavant concernés. Un choix que Google justifie par la nécessité de mieux sécuriser Android, estimant que les applications installées hors boutique officielle seraient jusqu’à cinquante fois plus exposées aux malwares.
Pour les utilisateurs et utilisatrices, le changement sera quasiment invisible. Lorsqu’une application proviendra d’un développeur non vérifié, Android affichera un message d’alerte et bloquera l’installation. En revanche, Developer Verification ne vérifie pas le contenu des applications ni leur sécurité : ce rôle reste assuré par Google Play Protect, chargé de scanner les apps et de bloquer celles jugées suspectes.
Reste que l’efficacité de ces contrôles laisse encore à désirer, les limites techniques étant désormais bien connues. La vérification d’identité existe déjà sur le Play Store depuis 2023, et pourtant, les applications malveillantes retirées en urgence de la boutique officielle se comptent toujours par centaines chaque année, défrayant régulièrement la chronique. Récemment encore, le trojan bancaire Anatsa a circulé via des dizaines d’applications téléchargées plusieurs dizaines de milliers de fois avant d’être supprimées par Google, et encore seulement après signalement externe.
En clair, Developer Verification ne neutralise pas le code malveillant : il responsabilise les développeurs en les empêchant de se cacher derrière l’anonymat, sans pour autant traiter le problème à la source. C’est une stratégie qui améliore la traçabilité, mais pas nécessairement la sécurité, et qui redessine surtout les rapports de force au sein de l’écosystème Android.
Car l’extension du dispositif soulève aussi une autre question, plus politique cette fois : celle de l’équilibre des forces autour d’Android. Depuis mars 2024, le Digital Markets Act oblige Google non pas à autoriser les boutiques tierces – elles l’étaient déjà – mais à faciliter leur utilisation, en réduisant les avertissements intrusifs, en permettant les mises à jour automatiques et en assouplissant les règles de facturation. A priori, aucun rapport : sur le papier, Developer Verification ne remet pas en cause cette ouverture. Enfin… pas directement. Parce qu’en imposant une étape de contrôle supplémentaire sur tous les canaux de distribution, Google pourrait bien trouver là un moyen subtil de reprendre la main sur des espaces qu’elle ne domine plus exclusivement d’un point de vue légal. Malin.
Android, toujours ouvert… mais de moins en moins libre
Alors oui, depuis des années, Android traîne une réputation de petite passoire, largement entretenue par la facilité du sideloading et la recrudescence des stores alternatifs. Et sur ce point, Developer Verification pourrait au moins apporter une solution partielle là où le risque d’infection est bien plus élevé, en bloquant une partie des malwares qui circulent en dehors de la boutique officielle.
Sauf que, si l’on se fie à l’efficacité encore limitée de ces mesures sur le Play Store, rien ne garantit qu’elles suffisent à régler le problème dans les canaux moins contrôlés. Plus embêtant encore, cet encadrement renforcé pourrait aussi avoir des effets collatéraux sur l’écosystème Android, plus insidieux, alors que les développeurs indépendants, les projets open source et les stores alternatifs devront dorénavant intégrer une contrainte de plus, quitte à freiner l’innovation. À cela s’ajoutent des implications en matière de confidentialité, la vérification imposant de transmettre des pièces d’identité, ce qui pourrait décourager certains projets avant même leur lancement.
Des perspectives d’autant plus tristes que cette liberté était précisément ce qui faisait l’ADN d’Android : un contre-modèle d’iOS, modulable, où chacun pouvait installer ce qu’il voulait et développer sans passer par un circuit verrouillé. C’est même ce qui a permis à l’écosystème de grandir vite et de fédérer une communauté de développeurs immense. Mais voilà, Google en a décidé autrement, en cherchant à mieux contrôler la chaîne de diffusion, au détriment de cette grande souplesse qui faisait jusqu’ici la singularité d’Android.
D’autant que cette nouvelle étape s’inscrit dans une tendance beaucoup plus large d’encadrement renforcé, qui dépasse la seule question de la distribution des applications. On rappellera ainsi que depuis Android 16, Google a cessé de publier certains fichiers essentiels des Pixel dans l’AOSP, mettant des bâtons dans les roues de projets de ROM personnalisées comme LineageOS ou GrapheneOS.
Une décision qui ne pénalise pas seulement les équipes derrière ces projets, mais qui, par ricochet, réduit aussi les marges de manœuvre des utilisateurs et utilisatrices. Moins d’accès aux ROM alternatives, c’est aussi moins de possibilités de s’affranchir des services Google, de limiter la collecte de données ou de se tourner vers des versions d’Android plus légères et plus respectueuses de la vie privée.
Bref, petit à petit, l’Android libre et ouvert promis à ses débuts prend des allures de souvenir. Plus sûr, sans doute, mais aussi de plus en plus encadré, au risque de trahir l’esprit qui l’a fait grandir.
