Rejets massifs lors de la soumission, comptes développeurs bannis et contrôles automatisés à grande échelle. Google dresse le bilan d’une année 2025 marquée par une sélection beaucoup plus stricte des applications Android, reflet d’un Play Store plus exigeant avant toute mise en ligne.
L’année 2025 aura été particulièrement chargée pour les équipes de modération du Play Store. Dans son bilan annuel, Google indique en effet avoir refusé la publication de plus de 1,75 million d’applications soumises à sa boutique pour non-respect de ses règles, et stoppé plus de 255 000 autres applis qui réclamaient un accès jugé excessif à des données sensibles. Des chiffres conséquents, qui reflètent autant l’ampleur des tentatives de fraude ou de collecte abusive d’informations que le rôle central joué par les règles fixées par Google elle-même dans l’accès à sa plateforme, où chaque application doit se conformer à un cadre technique, économique et déclaratif de plus en plus précis.
Une modération à très grande échelle, désormais épaulée par l’intelligence artificielle
Pour absorber un tel volume de soumissions, Google explique avoir considérablement renforcé ses dispositifs de contrôle automatisé. Plus de 10 000 vérifications de sécurité seraient aujourd’hui appliquées aux applications analysées, afin de repérer plus tôt les comportements jugés à risque
L’évolution la plus importante du modèle tient à l’intégration de modèles d’intelligence artificielle générative dans le processus d’examen, capables de repérer des schémas qui échappent plus facilement à des analyses purement statiques ou de signaler des similarités avec des applications déjà sanctionnées. L’examen humain n’a pas disparu pour autant, mais il intervient davantage en aval, pour analyser les cas signalés par ces systèmes automatisés et trancher sur les situations les plus ambigües.
Cette industrialisation de la modération vise aussi les acteurs à l’origine des publications. Plus de 80 000 comptes développeurs ont été bannis au cours de l’année pour activités jugées frauduleuses. En parallèle, près de 160 millions d’avis, considérés comme trompeurs et utilisés pour influencer artificiellement la visibilité de certaines applications, ont été supprimés.
Un espace plus fermé et un glissement des menaces hors Play Store
Ce durcissement progressif des contrôles s’inscrit dans une évolution plus large de l’écosystème Android. À mesure que la boutique officielle devient plus exigeante sur les permissions, les pratiques de publication ou l’identité des développeurs, une partie de la distribution d’applications continue de glisser vers des circuits échappant à cette supervision.
Google souligne ainsi que Play Protect procède chaque jour à des milliards de scans d’applications présentes sur les appareils, qu’elles proviennent ou non du Play Store. En 2025, le système aurait permis d’identifier plus de 27 millions d’apps malveillantes installées via des sources alternatives et de bloquer des centaines de millions de tentatives d’installation liées à quelque 872 000 applications jugées à risque.
En dépit de cet arsenal de contrôles et de dispositifs renforcés, l’année 2025 aura aussi été rythmée par des découvertes répétées d’applications malveillantes passées entre les mailles du Play Store, parfois téléchargées à grande échelle avant d’être retirées.
Moralité, on peut bien durcir les règles, ajouter de l’IA et multiplier les vérifications, il restera toujours une appli pour rappeler les limites du système.
Source : Google
Les permissions Android sont des autorisations que les applications doivent demander pour accéder à des fonctions ou données sensibles (localisation, SMS, micro, contacts, fichiers, etc.). Elles sont encadrées à la fois par le système (règles techniques d’Android) et par les politiques du Play Store (règles de publication). Une demande est considérée excessive quand l’accès n’est pas nécessaire à la fonctionnalité principale, ou quand elle ouvre la porte à de la collecte de données disproportionnée. Google peut aussi exiger une justification explicite et des écrans de transparence pour certains accès, notamment en arrière-plan. Le contrôle porte donc autant sur le “quoi” (quelle donnée) que sur le “pourquoi” (usage légitime et déclaré).
Quelle est la différence entre une analyse « statique » d’application et une détection basée sur des modèles d’IA ?Une analyse statique examine l’application sans l’exécuter, en inspectant le code, les bibliothèques, le manifeste, les certificats, ou des signatures connues de malwares. C’est efficace pour repérer des indicateurs classiques, mais plus limité face à l’obfuscation, aux comportements déclenchés à distance ou aux variantes légèrement modifiées. Des modèles d’IA peuvent repérer des similarités, des schémas de fraude et des combinaisons de signaux qui ne correspondent pas à une signature unique. En pratique, ces systèmes servent à scorer le risque et à remonter des cas au contrôle humain. Ils ne “prouvent” pas à eux seuls la malveillance, mais aident à prioriser et à détecter plus tôt à grande échelle.
À quoi sert Google Play Protect et comment peut-il agir sur des applications installées hors Play Store ?Google Play Protect est un service de sécurité intégré à Android (via Google Play Services) qui analyse les applications déjà installées et celles en cours d’installation. Son rôle est de détecter des malwares, des comportements à risque et certaines fraudes, y compris lorsque l’application provient d’un store alternatif ou d’un APK téléchargé manuellement. Il s’appuie sur des scans locaux et sur des vérifications côté cloud, avec des mises à jour fréquentes des règles et modèles de détection. Selon le niveau de risque, il peut avertir l’utilisateur, bloquer l’installation ou désactiver une application. Cela n’empêche pas toute menace, mais réduit l’impact des circuits de distribution non supervisés.
