Google introduit une période de réflexion de 24 heures pour les APK provenant de sources tierces
À partir de septembre 2026, Google déploie un programme de vérification des développeurs pour les applications provenant de sources externes. Les développeurs devront vérifier leur identité, fournir les clés de signature des APK et payer des frais de 25 $. Les applications non vérifiées ne seront accessibles que via un processus étendu en mode développeur, qui inclut un délai obligatoire de 24 heures après activation.
Ce délai vise à contrer les attaques d'ingénierie sociale : les attaquants incitent souvent les utilisateurs à installer d'urgence un malware en prétendant qu'il s'agit de prévenir des menaces. Sur 24 heures, les utilisateurs peuvent revérifier les informations et éviter les décisions hâtives. Google précise que la vérification se limite à identifier le développeur — le contenu des APK n'est pas scanné. En cas de détection d'activité malveillante, le statut de développeur vérifié est révoqué.
Comment fonctionne le processus d'installation étendu
Le processus pour installer des APK non vérifiés est simplifié à l'activation du mode développeur, mais avec un minuteur :
- Activez le mode développeur dans les paramètres Android.
- Lancez le décompte de 24 heures.
- Une fois la période écoulée — installez l'APK.
Ce changement n'affecte que les applications sideloadées qui contournent Google Play. Les développeurs vérifiés évitent le délai, facilitant ainsi la distribution légitime.
Déploiement régional et réactions des développeurs
Le système démarre en septembre 2026 au Brésil, à Singapour, en Indonésie et en Thaïlande — des régions touchées par une forte fraude et des faux comptes. Le déploiement mondial est prévu pour 2027. Il pourrait y avoir des variations régionales dans la vérification, mais les détails n'ont pas été communiqués.
Les développeurs expriment des préoccupations :
- Restrictions affectant les devs de pays sanctionnés en raison des vérifications d'identité et des paiements.
- Obstacles plus élevés pour les projets open source et les créateurs indépendants.
- Frein potentiel à l'innovation dans les boutiques d'applications alternatives.
Google rejette les accusations de biais géopolitique, en insistant sur le fait que tout est une question de sécurité.
Implications techniques pour les développeurs
Les développeurs Android intermédiaires et seniors doivent s'adapter à ce nouveau paysage. Voici ce qu'il faut faire :
- Préparez la vérification à l'avance : rassemblez les documents d'identité et exportez les clés de signature depuis votre keystore.
- Mettez à jour vos docs pour informer les utilisateurs de votre statut de développeur vérifié.
- Envisagez de passer à Google Play pour éviter les délais.
Pour les déploiements d'entreprise via MDM (Mobile Device Management), le délai pourrait nécessiter des ajustements de politiques. Testez sur des émulateurs avec le mode développeur activé pour voir comment se comporte le minuteur en conditions réelles.
À long terme, cela devrait renforcer la confiance dans l'écosystème Android en réduisant les risques des APK malveillants.
Points clés
- Délai de 24 heures uniquement pour les APK non vérifiés en mode développeur.
- Vérification des développeurs : identité + clés de signature + 25 $, sans scan du code.
- Début dans 4 pays d'Asie et d'Amérique latine en 2026, mondial en 2027.
- Critiques sur les barrières pour les régions sanctionnées.
- Objectif : stopper les attaques d'ingénierie sociale sans scan des applications.
— Editorial Team
Aucun commentaire pour le moment.