Sur Android, c'est Google qui décide si votre appli bancaire a le droit de fonctionner. Un consortium européen compte bien mettre fin à ce monopole invisible avec un projet libre baptisé UnifiedAttestation.
Derrière chaque paiement mobile ou vérification d'identité sur Android se cache une interface méconnue du grand public : Play Integrity. Ce système propriétaire de Google vérifie si le téléphone est « fiable » avant d'autoriser les applications sensibles à fonctionner. Problème : sans les services Google, pas de certification. Et sans certification, pas de banque, pas de portefeuille numérique, pas d'appli gouvernementale. Un verrouillage silencieux que le DMA tente déjà de desserrer sur d'autres fronts, mais qui reste intact sur ce terrain précis.
Comment Google verrouille les applis sensibles sur Android
Le consortium à l'origine du projet s'appelle UnifiedAttestation. Il est porté par quatre acteurs européens : Volla Systeme (Allemagne), Murena (qui développe le système /e/OS), le « reconditionneur dégoogliseur » Iodé (France) et Apostrophy (Suisse). Leur cible : Play Integrity, le mécanisme par lequel Google certifie qu'un appareil Android respecte certains critères de sécurité.
Concrètement, lorsqu'une application bancaire ou un portefeuille numérique se lance, elle interroge Play Integrity pour savoir si le téléphone est « approuvé ». Si l'appareil utilise une version d'Android dépourvue des services Google, la réponse est négative. L'appli refuse alors de démarrer. Ce fonctionnement exclut de fait tous les systèmes alternatifs basés sur le projet libre AOSP (Android Open Source Project), comme /e/OS, LineageOS ou GrapheneOS.
Le consortium dénonce ce qu'il qualifie de « paradoxe de sécurité » : la vérification de fiabilité est assurée par l'acteur même dont certains utilisateurs cherchent précisément à se passer. Autrement dit, Google est à la fois juge et partie. Pour les créateurs d'UnifiedAttestation, cette architecture crée une dépendance structurelle incompatible avec la notion de choix numérique en Europe.
Des éditeurs d'applications gouvernementales scandinaves étudient déjà l'adoption de cette nouvelle procédure. Un fabricant asiatique majeur et la fondation allemande UBports auraient également manifesté leur intérêt, selon Volla.
Pourquoi cette alternative européenne va bien au-delà de la technique
UnifiedAttestation repose sur trois piliers. D'abord, un service système intégrable dans les applications en quelques lignes de code. Ensuite, un service de validation décentralisé qui vérifie les certificats sans passer par un serveur unique. Enfin, une suite de tests ouverte pour certifier la sécurité d'un système sur un modèle d'appareil donné. Le tout est publié sous licence Apache 2.0, avec un code source accessible sur GitHub. Les membres du consortium prévoient un processus de certification croisée : chaque entreprise vérifie les produits des autres. L'objectif affiché est de remplacer la confiance aveugle par la traçabilité.
Mais le vrai sujet dépasse la ligne de code. Google résiste pied à pied aux obligations d'ouverture imposées par Bruxelles. Play Integrity n'est pas directement ciblé par le DMA, et c'est précisément ce qui en fait un levier de contrôle redoutable. Google peut brandir l'argument de la sécurité tout en maintenant un pouvoir de veto sur les applications les plus critiques : banque, identité, services publics. Le consortium vise d'ailleurs un hébergement sous la Fondation Eclipse, la plus grande fondation open source européenne, pour asseoir sa crédibilité institutionnelle.
Reste une question centrale. Les banques et les administrations feront-elles confiance à un système de certification sans géant technologique derrière ? L'initiative a le mérite de nommer le problème. Mais entre poser un diagnostic et convaincre une banque de changer de protocole, la distance se mesure en années.
