Google a confirmé le déploiement de sa nouvelle politique de vérification obligatoire pour les développeurs, une mesure de sécurité drastique qui s’appliquera à toutes les applications Android, y compris celles installées manuellement (sideloading). Cette décision vise à mettre fin au jeu du chat et de la souris avec les escrocs, tout en promettant une solution pour ne pas pénaliser les utilisateurs les plus expérimentés.
Le sideloading, une porte d’entrée pour les arnaques selon Google
Pour justifier ce changement majeur qui touche à l’un des fondements de l’ouverture d’Android, Google met en avant l’insuffisance des protections techniques face à l’ingénierie sociale. L’entreprise explique que la vérification d’identité a déjà fait ses preuves sur le Play Store et qu’il est temps de l’étendre à tout l’écosystème.
Les arguments de Google pour ce tour de vis sont les suivants :
- L’impuissance face à la manipulation : les protections techniques seules ne peuvent rien contre des escrocs qui exploitent la peur et l’urgence pour manipuler leurs victimes et les pousser à ignorer les avertissements de sécurité.
- Des arnaques bien rodées : Google cite l’exemple d’une arnaque en Asie du Sud-Est où un faux conseiller bancaire convainc sa victime d’installer une application malveillante. Celle-ci intercepte alors les notifications, y compris les codes d’authentification à deux facteurs, permettant au fraudeur de vider le compte en banque.
- Un « jeu de tape-taupe » sans fin : sans vérification d’identité, les acteurs malveillants peuvent créer de nouvelles applications frauduleuses à l’infini dès que les anciennes sont bloquées, rendant la lutte inefficace à long terme.
Une solution en préparation pour les utilisateurs expérimentés
Conscient que cette mesure pourrait brider les développeurs et les utilisateurs avancés, Google a annoncé travailler sur deux solutions de contournement. La première est un « nouveau flux avancé » qui permettra aux utilisateurs expérimentés d’accepter les risques et d’installer une application non vérifiée grâce au sideloading. Google précise que ce parcours sera « spécifiquement conçu pour résister à la coercition » afin qu’un escroc ne puisse pas guider sa victime pour contourner la sécurité et que le choix final « repose entre les mains de l’utilisateur ».
Parallèlement, un type de compte dédié aux étudiants et aux spécialistes en la matière. Il leur permettra de distribuer leurs créations à un nombre limité d’appareils sans avoir à passer par le processus de vérification complet. Si le déploiement de la politique de vérification débute dès aujourd’hui, les détails seront communiqués dans les mois à venir.
