Discussion :

[Mathis Lucas]

Android permet d�sormais aux applications de bloquer le chargement lat�ral et de forcer le t�l�chargement via Play Store pour des raisons de s�curit�
mais la fonctionnalit� suscite quelques pr�occupations

Google a introduit en mai l'API Play Integrity sur Android qui permet aux d�veloppeurs d'emp�cher une application de fonctionner si elle a �t� charg�e lat�ralement et d'inviter les utilisateurs � la t�l�charger � partir du Google Play Store. Cette API est d�j� utilis�e par des applications telles que Tesco et BeyBlade X. Google a d�clar� que l'API est destin�e � am�liorer la s�curit� des applications Android, mais elle remet �galement en question la nature d'Android en tant que syst�me d'exploitation r�ellement personnalisable. Elle risque d'avoir un impact n�gatif sur les versions personnalis�es d'Android d�pourvues des services Google Play et les t�l�phones root�s.

Play Integrity : d�finition et caract�ristiques de cette nouvelle API d'Android

L'API Google Play Integrity est une interface qui aide les d�veloppeurs � v�rifier que les interactions et les demandes de serveur proviennent de [leur] v�ritable binaire d'application fonctionnant sur un v�ritable appareil Android. Elle recherche notamment des preuves que l'application a �t� alt�r�e, qu'elle s'ex�cute dans un environnement logiciel non fiable, que l'appareil a activ� Google Play Protect, et bien d'autres choses. Si vous avez d�j� entendu parler ou eu affaire � SafetyNet Attestation sur un t�l�phone root�, vous �tes probablement d�j� familiaris� avec Play Integrity, m�me si ce n'est pas sous cette appellation.

Play Integrity est le successeur de SafetyNet Attestation, mais offre encore plus de fonctionnalit�s aux d�veloppeurs. Elle permet aux applications de bloquer l'acc�s � lorsqu'elles sont charg�es sur des t�l�phones qui ont �t� modifi�s d'une mani�re ou d'une autre par rapport � un syst�me d'exploitation standard avec toutes les int�grations Google Play intactes �. Dans la pratique, les applications peuvent appeler Play Integrity et obtenir en retour un � verdict d'int�grit� �.

Ce verdict indique si le t�l�phone dispose d'un environnement logiciel digne de confiance, si Google Play Protect est activ� et si d'autres v�rifications logicielles ont �t� effectu�es. Play Integrity permet aux applications de se d�charger de la d�termination de l'authenticit� de l'appareil et de son environnement logiciel. Et avec sa derni�re mise � jour, les applications peuvent d�sormais facilement d�terminer si la personne qui les a install�es est elle aussi � authentique �.

R�cemment, une application populaire d'authentification � deux facteurs a bloqu� l'acc�s � des t�l�phones root�s, y compris GrapheneOS, une version d'Android ax�e sur la s�curit�. Graphene a mis en doute la v�racit� de Play Integrity et SafetyNet Attestation, recommandant � la place une attestation mat�rielle standard pour Android. Selon les critiques, les applications ne sont pas oblig�es d'adopter une approche � tout ou rien � en mati�re de v�rification de l'int�grit�.

Plut�t que de bloquer compl�tement l'installation, les applications peuvent faire appel � l'API uniquement lors � d'actions sensibles �, en �mettant un avertissement � ce moment-l�. Cependant, l'absence de connexion au Play Store peut �galement priver les d�veloppeurs de donn�es m�triques, permettre l'installation sur des appareils incompatibles (avec les mauvaises critiques qui en d�coulent) et, bien s�r, ouvrir la porte au piratage d'applications payantes.

La nouvelle API Play Integrity introduite par Google suscite des pr�occupations

Il est facile de charger des applications de mani�re lat�rale sur Android. Et il existe de nombreuses raisons pour lesquelles vous pouvez vouloir charger des applications de mani�re lat�rale sur votre t�l�phone Android. Toutefois, le revers de la m�daille du chargement lat�ral est qu'il peut �tre dangereux si l'utilisateur ne sait pas ce qu'il fait, et au pire, cela peut alt�rer non seulement l'exp�rience de l'application, mais aussi celle d'Android dans son ensemble. Malgr� ses risques, le chargement lat�ral d'applications a presque toujours �t� possible avec Android, contrairement au verrouillage mis en place par Apple sur iOS.

Du point de vue des d�veloppeurs, il y a de bonnes raisons pour lesquelles ils voudraient bloquer le chargement lat�ral de leurs applications. D'une part, une application charg�e en parall�le ne contribuera pas aux statistiques du d�veloppeur sur le Play Store et, d'autre part, elle emp�che le d�veloppeur de d�terminer quels appareils peuvent utiliser son application. Il y a bien s�r des tampons en place pour emp�cher l'installation d'applications charg�es lat�ralement.

Mais les utilisateurs parviennent parfois � contourner ces garde-fous. Quelle que soit la raison, les d�veloppeurs qui souhaitent emp�cher le chargement lat�ral de leurs applications disposent d�sormais d'un moyen plus simple de le faire gr�ce � l'API Play Integrity. Toutefois, bien que Google ait d�clar� que l'API a �t� introduite pour am�liorer la s�curit�, certains critiques y voient une nouvelle �tape dans les efforts de Google pour verrouiller le syst�me d'exploitation.

� J'aimerais vraiment qu'il y ait un troisi�me concurrent dans le domaine des syst�mes d'exploitation pour t�l�phone. Il s'agit d'ordinateurs de poche, mais pour une raison ou une autre, nous avons tous d� accepter des restrictions qui auraient �t� impensables pour un ordinateur portable ou de bureau il n'y a pas si longtemps. Aujourd'hui, des restrictions similaires s'infiltrent dans l'espace informatique g�n�ral �, peut-on lire dans les commentaires sur la toile.

Android a connu de nombreux changements au cours des derni�res ann�es, Google cherchant � placer la s�curit�, la confidentialit� et l'IA au premier plan de ses efforts r�cents. Cependant, si la plupart de ces changements sont les bienvenus, certains affirment qu'Android est en train de perdre son identit� principale en tant que syst�me d'exploitation r�ellement personnalisable. Les critiques affirment qu'Android devient un syst�me d'exploitation verrouill� comme iOS.

Apple forc� � autoriser le chargement lat�ral et Google tente de le restreindre

Comme soulign� plus haut, les d�veloppeurs disposaient d'autres moyens pour d�tecter si leurs applications �taient charg�es de mani�re lat�rale avant que cette fonctionnalit� ne soit introduite dans l'API d'int�grit� de Play, mais ce changement facilite la mise en �uvre de ce type de contr�le par les d�veloppeurs. Certaines applications utiliseraient d�j� la nouvelle API. Des utilisateurs d'applications du magasin britannique Tesco, de l'application de jeux vid�o BeyBlade X et de ChatGPT ont signal� des fen�tres � Get this app from Play �, qui ne peuvent pas �tre contourn�es. Certains ont fait part de leur m�contentement.

Il y a trois mois, un utilisateur d'un ordinateur de poche bas� sur Android a re�u un message similaire de Diablo Immortal sur son appareil. L'API Play Integrity serait �galement d�j� utilis�e par de nombreuses applications populaires sur Google Play, notamment Stripe, Uber et TikTok, et il est probable que d'autres l'adoptent au fil du temps. Mais de nombreux utilisateurs d�noncent ces changements, car ils les consid�rent comme des restrictions impos�es par Google.

Cela semble historique. L'un des principaux facteurs de diff�renciation entre iOS et Android, qui jouait en faveur d'Android, est d�sormais d�truit. Tout cela est fait au nom de la fiabilit� et de la s�curit�, soi-disant. J'esp�re que cela ne va pas devenir une pente glissante o�, pour des raisons de � s�curit� �, Google commencerait � bloquer des applications ind�sirables ou g�nantes d'un point de vue �thique/politique. Cette technologie fournit l'infrastructure n�cessaire pour bloquer ces applications ind�sirables.

Cela pose les bases de l'interdiction d'installer des logiciels sur de nombreux appareils Android grand public sans l'approbation de Google. J'esp�re que Google n'ira jamais trop loin en abusant de ce pouvoir. Cependant, c'est peut-�tre de l'optimisme ou de la na�vet� d'esp�rer cela. En tant qu'outil pour les d�veloppeurs d'applications, o� les d�veloppeurs d'applications prennent la d�cision, dans cette situation limit�e, c'est peut-�tre encore un peu correct.

Cela est acceptable dans le sens o� les d�veloppeurs peuvent �tre autoris�s par la loi et la compr�hension commune � choisir la fa�on dont leurs applications sont distribu�es. Mais si Google d�cidait un jour d'interdire des applications de cette mani�re contre la volont� des d�veloppeurs, il s'agirait d'un �norme d�passement.

L'ann�e derni�re, Google a introduit la recherche de logiciels malveillants, au moment de l'installation, dans les applications Android charg�es lat�ralement. Aux �tats-Unis, Google et Apple se sont oppos�s � une loi qui �largirait les droits de t�l�chargement lat�ral pour les propri�taires de smartphones, en invoquant des probl�mes de s�curit� et de fiabilit�. Avec cette nouvelle API, le g�ant de la recherche en ligne affiche davantage son opposition � ce projet de loi.

Au d�but de l'ann�e, en vertu de la loi sur les march�s num�riques (DMA), les r�gulateurs de l'Union europ�enne (UE) ont contraint Apple � autoriser le t�l�chargement lat�ral d'applications et de boutiques d'applications sur iOS. Apple s'est ex�cut�, mais la mise en �uvre de la r�glementation par le fabricant de l'iPhone a suscit� de nombreux critiques. Les changements introduits par Apple font l'objet d'un examen de la part de la Commission europ�enne.

Source : Google

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de l'API Play Integrity introduite par Google sur Android ?
Que pensez-vous des pr�occupations qu'elle suscite ? Participe-t-elle au verrouillage d'Android ?
Quels pourraient �tre les impacts de cette API sur les utilisateurs ? Tend-on vers la fin du chargement lat�ral sur Android ?
Cette API renforce-t-elle la s�curit� comme Google le pr�tend ? Comment les r�gulateurs vont-ils r�agir � cette nouvelle API ?

Voir aussi

Technologie OCR et cyberattaques : plus de 280 applications Android utilisent la reconnaissance optique de caract�res pour voler les identifiants de portefeuilles de cryptomonnaies

Google publie Android 15 pour les d�veloppeurs, avec des cl�s d'acc�s en un seul clic, la d�tection du vol, l'am�lioration du multit�che sur grand �cran et la limitation d'acc�s aux applications

Google a mis trois mois � supprimer une application frauduleuse de Play Store qui a vol� plus de 5 millions de dollars en crypto, une victime porte plainte contre l'entreprise pour n�gligence

[kain_tn]

Google a d�clar� que l'API est destin�e � am�liorer la s�curit� des applications Android, mais elle remet �galement en question la nature d'Android en tant que syst�me d'exploitation r�ellement personnalisable. Elle risque d'avoir un impact n�gatif sur les versions personnalis�es d'Android d�pourvues des services Google Play et les t�l�phones root�s.

Je n'ai pas de le�ons � recevoir sur la s�curisation d'une application Android, venant d'une bo�te qui synchronise les tokens de son application d'authentification dans leur cloud...

En revanche, c'est clairement une fa�on de fermer un peu plus leur �cosyst�me, pour emp�cher les stores alternatifs, tels que Aurora.