Google a annoncé un changement profond dans la façon dont les applications sont installées sur Android : à partir des prochains mois, les éditeurs devront Vérifiez Votre Identité afin que vos applications puissent fonctionner sur des appareils certifiés Google, même lorsqu'elles sont téléchargées en dehors de la boutique officielle.
La mesure vise à réduire la fraude et les logiciels malveillants sans fermer la porte aux installations extérieures. Autrement dit, chargement latéral sera toujours possible, mais avec un couche de traçabilité qui identifie qui se cache derrière chaque application et complique l’anonymat des acteurs malveillants.
Calendrier et pays du premier déploiement
Google a défini un plan par étapes avec Dates clésL'accès anticipé sera ouvert sur invitation en octobre 2025 ; la vérification sera disponible pour tous les développeurs en mars 2026 ; et la vérification obligatoire sera disponible sur les premiers marchés du Brésil, d'Indonésie, de Singapour et de Thaïlande en septembre 2026.
Après cette phase, le déploiement sera étendu à davantage de pays jusqu'à son achèvement en 2027. Si un utilisateur tente d'installer une application d'un éditeur non vérifié sur un appareil certifié, le système affichera un avis de sécurité et bloquera l'installation jusqu'à ce que le promoteur régularise sa situation.
Qu'est-ce qui change pour le chargement latéral et les magasins alternatifs ?
El chargement latéral —l'installation d'APK à partir du Web ou de magasins tiers—ne va pas disparaître, mais elle reste soumise à une exigence universelle : Chaque application doit provenir d'un développeur vérifié lorsqu'il est installé sur un appareil Android certifié Google.
Google compare ce changement à un contrôle d'identité à l'aéroport : il vérifie qui vous êtes, et non ce que vous avez dans votre valise. Le contenu et l'origine des applications continueront d'être vérifiés par Google Play Protect, tandis que l'identité passera par une nouvelle console conçue pour ceux qui distribuent en dehors du Play Store.
Avec cette couche supplémentaire, l’entreprise cherche à rendre plus difficile récidive cybercriminelle qui pouvaient auparavant réapparaître sous d'autres identités, réduisant ainsi l'usurpation d'identité de marque et la republication d'applications bloquées.
Exigences de vérification pour les développeurs
Pour réussir la vérification, Google demandera des informations de base et, dans le cas des organisations, des informations complémentaires. L'objectif est d'obtenir une personne identifiable responsable derrière chaque application.
- Données personnelles : nom légal, adresse, email et numéro de téléphone.
- Organisations : numéro D‑U‑N‑S, vérification du site Web et, le cas échéant, documentation officielle.
- Propriété de l'application : nom du package et clés de signature pour prouver la propriété.
Il y aura une chaîne plus légère pour les étudiants et les développeurs amateurs, avec moins de bureaucratie et sans les frais d'inscription de 25 $Dans tous les cas, l'identité est validée dans une console dédiée pour la distribution externe et dans la Play Developer Console pour ceux qui publient sur le store.
Appareils concernés et ceux laissés de côté
L'obligation s'applique aux appareils ayant réussi la suite de tests de compatibilité et disposant des services Google, c'est-à-dire appareils Android certifiés avec accès à Google Play et Play Protect. Des marques comme Samsung, Xiaomi, Motorola, OnePlus, Oppo, Vivo et Pixel entrent dans cette catégorie.
Au lieu de cela, les terminaux non certifié —comme de nombreux modèles Huawei, les tablettes Amazon Fire ou certains boîtiers TV— ne sont pas soumis à cette exigence et pourront continuer à installer des applications depuis n'importe quelle source sans la nouvelle vérification d'identité.
Le contexte : campagnes de malwares et nettoyage sur Google Play
Ce renforcement intervient après plusieurs épisodes qui ont mis à l'épreuve la sécurité de l'écosystème. Selon une analyse de Zscaler ThreatLabs, 77 applications malveillantes avec plus de 19 millions de téléchargements, où prédominaient les logiciels publicitaires (près des deux tiers), les variantes de Joker et les chevaux de Troie bancaires tels qu'Anatsa/TeaBot.
Joker est capable de s'abonner à des services premium sans consentement et de lire ou d'envoyer des SMS, tout en Anatsa exploite les autorisations d'accessibilité pour superposer des applications financières et voler des informations d'identification ; Harly et d'autres familles cachent du code malveillant pour échapper aux contrôles.
Ces campagnes ont utilisé des techniques telles que des APK modifiés, le chiffrement dynamique et la détection d'émulateurs. Google a rapidement supprimé les applications signalées, mais recommande aux utilisateurs de les supprimer. vérifiez manuellement vos appareils car les installations précédentes peuvent encore être actives.
- Garder activé Google Play Protect.
- Chèque provenance et des avis avant l'installation.
- Subvention seulement permis essentiels.
- Évitez les sources externes Google Play quand c'est possible.
- Contacte-le banque et modifier les informations d’identification s’il y a des signes de fraude.
Google tente d'élever la barre de sécurité de l'écosystème Android sans renoncer à son ouverture historique : les installations externes seront toujours autorisées, mais sous identité vérifiée, avertissements et blocages lorsque les exigences ne sont pas respectées. Avec un calendrier commençant en 2026 et s'étendant à l'échelle mondiale en 2027, les utilisateurs et les développeurs disposent d'une marge de manœuvre pour s'adapter. nouveaux processus et outils.
