Google va fortement durcir le sideloading sur Android, à savoir l’installation des applications (APK) hors du Play Store issues de développeurs non vérifiés. Son nouveau parcours avancé impose un redémarrage du smartphone, des contrôles anti-arnaque et surtout 24 heures d’attente avant une installation.
Le changement ne vise pas à bloquer totalement le sideloading d’applications, mais à casser les mécanismes d’urgence sur lesquels reposent de nombreuses arnaques. Google dit vouloir protéger les utilisateurs poussés, guidés ou manipulés au moment de désactiver les protections d’Android, tout en laissant une porte ouverte aux profils les plus avancés. Le groupe part d’un constat simple : les avertissements actuels existent déjà, mais ils ne suffisent pas quand la victime agit sous pression.
Le sideloading va nécessiter plusieurs étapes
Avant de pouvoir installer une application venant d’un développeur non vérifié, l’utilisateur devra passer par une série d’étapes conçues pour ralentir l’action et interrompre un éventuel accompagnement frauduleux. Les étapes sont les suivantes :
- Activer manuellement le mode développeur.
- Répondre à une question explicite d’Android pour confirmer que personne ne vous guide dans la désactivation des protections.
- Redémarrer le téléphone, ce qui coupe les appels, les accès à distance et les sessions de partage d’écran souvent utilisés par les escrocs.
- Attendre 24 heures avant de poursuivre dans le cadre d’une attente obligatoire pour les applications issues de développeurs non vérifiés. Ce délai de 24 heures est uniquement valable la première fois.
- Valider à nouveau son identité avec la biométrie ou le code PIN.
- Installer enfin l’application, avec une autorisation valable sept jours ou sans limite de durée.
Google résume la logique de ce verrouillage ainsi : les escrocs misent sur une urgence fabriquée, donc cela brise leur emprise et vous donne le temps de réfléchir. Même après ce parcours, Android continuera d’afficher un avertissement signalant que l’application vient d’un développeur non vérifié, avec la possibilité de poursuivre malgré tout. Une fois l’autorisation activée sur la fenêtre de sept jours, l’utilisateur pourra installer autant de fichiers APK qu’il le souhaite depuis autant de développeurs non vérifiés qu’il le souhaite.
Déploiement à partir d’août
Google prévoit de déployer ce parcours avancé en août sur toutes les versions d’Android via les services Google Play, avant l’entrée en vigueur de ses nouvelles exigences de vérification des développeurs. Au même moment, l’entreprise ouvrira aussi des comptes de distribution limitée permettant de partager des applications avec jusqu’à 20 utilisateurs sans frais d’inscription ni pièce d’identité officielle.
