Jusqu’à présent, installer une application Android hors de la plateforme de téléchargement Play Store passait le plus souvent par l’activation d’une option autorisant les « sources inconnues », éventuellement suivie d’un avertissement de sécurité relativement succinct. Sur les smartphones de la marque Samsung, il faut aussi désactiver la protection des applications dans les paramètres.
Confirmation et redémarrage au programme
Désormais, d’après Google, ce scénario sera remplacé par une séquence nettement plus lourde. L’idée est de rendre toute tentative de manipulation beaucoup plus difficile. Pour lancer l’installation d’une application provenant d’un développeur non vérifié, vous devrez d’abord activer le mode développeur sur votre smartphone.
Ensuite, une fenêtre exigera une confirmation explicite indiquant que la personne qui installe l’application n’est pas guidée, assistée ou forcée par un tiers, qu’il s’agisse d’un escroc au téléphone ou d’un individu physiquement présent. Selon Google, cette étape a pour but de mettre à mal la dynamique d’urgence qui est souvent instaurée par les fraudeurs. En effet, ceux-ci cherchent à pousser leurs victimes à installer en quelques secondes un logiciel malveillant. Après, vous devrez redémarrer complètement votre smartphone. Cette étape évite toute prise de contrôle à distance éventuelle et permet de s’assurer qu’aucun assistant tiers ne poursuit la procédure à votre place.
Patienter 24 heures avant de poursuivre
La partie la plus contraignante reste ensuite la période d’attente de 24 heures, pendant laquelle l’installation ne peut pas être finalisée. Oui, vous avez bien lu, il faudra patienter un jour complet avant de poursuivre l’installation. Google explique que ce délai doit permettre à l’utilisateur de prendre du recul, de vérifier l’origine de l’application et, le cas échéant, de renoncer s’il s’agit d’une tentative de fraude.
À l’issue de ces 24 heures, l’installation ne sera possible qu’après une authentification biométrique ou la saisie du code de déverrouillage de l’appareil, afin de s’assurer que c’est bien vous qui validez l’opération. Vous pourrez alors autoriser ce type d’installation pendant sept jours seulement, ou de manière permanente, ce qui aura des conséquences sur la fluidité des installations futures d’applications issues de la même source.
Avec de telles étapes, Google entend bien rendre les tentatives d’arnaques beaucoup plus délicates et à ce que les fraudeurs cherchant à convaincre une victime d’installer immédiatement un logiciel de prise de contrôle ou de vol de données en soit ne puissent pas arriver à leurs fins.
Objectif officiel : limiter les escroqueries, avec un Android toujours plus encadré
Selon le fabricant, ces nouvelles règles découlent directement de l’augmentation des fraudes par « ingénierie sociale », notamment via des appels téléphoniques ou des messages chiffrés demandant d’installer en urgence une application de « support », de « livraison » ou de « banque ». Des attaques de ce type ont déjà touché plusieurs pays asiatiques, poussant certaines autorités locales à réclamer des mesures techniques plus strictes contre les installations depuis des boutiques tierces ou des liens directs. Google met ainsi en avant un renforcement de la protection des personnes les moins à l’aise avec les aspects techniques, qui sont précisément les plus visées par ces campagnes.
En parallèle de ce parcours à 24 heures, la société introduit ce qu’elle décrit comme une « couche de responsabilité » pour les développeurs, destinée à réduire la présence d’« applications anonymes » sur Android. Concrètement, cela signifie que de nombreuses catégories de développeurs devront désormais s’identifier de manière plus rigoureuse, via des pièces d’identité, la validation de leurs informations et la gestion plus stricte des clés de signature, afin que la provenance des applications soit clairement attribuable. D’après Google, cette couche supplémentaire n’a pas vocation à interdire le sideloading, mais à s’assurer que les développeurs qui diffusent leurs logiciels en-dehors du Play Store ne puissent pas se cacher derrière l’anonymat en cas d’abus.
Le Play Store n'est pas totalement fermé
La firme insiste sur le fait qu’Android ne devient pas pour autant un système totalement fermé comparable aux pratiques les plus restrictives du marché (coucou l’AppStore d’Apple), même si le ressenti des utilisateurs avancés risque d’évoluer à mesure que ces protections se généralisent. Pour garder un minimum de flexibilité, Google prévoit des comptes de distribution dits « limités ».
Ceux-ci sont pensés pour les étudiants ou les développeurs amateurs, qui leur permettront de partager des applications avec un nombre restreint d’appareils – jusqu’à 20 terminaux – sans passer par toutes les démarches d’un compte développeur complet. Cette option cherche à préserver un espace pour les projets expérimentaux ou universitaires, tout en mettant davantage de contraintes sur les déploiements à grande échelle en dehors du Play Store et des boutiques partenaires.
Finalement, l’augmentation des étapes et le renforcement des opérations pour l’installation va indirectement profiter au Play Store et aux boutiques reconnues, au détriment des canaux alternatifs qui représentaient jusque-là un argument fort si vous êtes à la recherche de logiciels rares ou spécialisés.
Comparé à iOS, où l’installation en dehors de l’App Store reste strictement verrouillée pour la plupart des utilisateurs, Android conserve une certaine ouverture, mais cette ouverture est désormais encadrée par des mesures qui augmentent fortement le temps et les efforts nécessaires pour contourner le canal officiel.
