Google a mis en place un nouveau registre obligatoire pour tous les développeurs afin de continuer à distribuer des applications sur Android. Cela concerne aussi bien ceux qui publient sur le Play Store que ceux qui partagent des APK en dehors de cette plateforme.
La mise en œuvre débutera en septembre dans quatre pays : le Brésil, l’Indonésie, Singapour et la Thaïlande, avant de s’étendre à l’échelle mondiale d’ici 2027. La raison de cette initiative est claire : rendre les développeurs responsables de la création de logiciels malveillants et supprimer l’anonymat qui permettait aux personnes bannies de redémarrer sous un nouveau compte.
Cependant, un problème majeur est survenu. Depuis l’activation de ce système en version bêta le mois dernier, des fraudes ont été signalées : certains développeurs ont perdu leurs applications.
Inscription abusive des noms de paquets
Muntashir Akon, développeur de l’application open source App Manager, a constaté qu’un ou plusieurs individus avaient déjà enregistré le nom de package de sa création, io.github.muntashirakon.AppManager, avant qu’il ne puisse le faire. Un screenshot qu’il a partagé montre que son nom de package était déjà occupé par un tiers. Bien qu’il ait alerté Google, Akon reconnaît que : « le système de vérification est encore en bêta et manque de fonctionnalités pour gérer ce genre de problèmes« .
Ce phénomène n’est pas isolé. D’autres développeurs d’applications open-source signalent également que n’importe qui peut ouvrir un compte de vérification et revendiquer le nom de package d’autrui, dérogeant ainsi aux droits des véritables créateurs.
Pour gérer les conflits entre plusieurs développeurs revendiquant un même nom, Google a mis en place une règle : le nom ayant le plus grand nombre d’installations prédominera. Toutefois, pour les applications disponibles sur F-Droid ou GitHub, ce comptage est souvent proche de zéro.
Dans ce cas, ce sont les voleurs qui l’emportent, et les applications moins « visibles » doivent changer de nom de package. Cela entraîne des conséquences non négligeables : pour les utilisateurs, cela signifie perdre les mises à jour automatiques, tandis que les applications peuvent perdre leurs données ou leur fonctionnalité tout entière, Android créant sa “sandbox” selon ce nom de package.
Le paradoxe réside dans le fait que Google avait initialement présenté ce système comme une solution contre l’usurpation d’identité. Dans sa documentation, il est précisé que cet outil « est essentiel pour prévenir la distribution d’applications frauduleuses utilisant le nom et le logo d’une application légitime« . Pourtant, dans sa forme actuelle, il opère exactement l’inverse : il permet à un malfaiteur de revendiquer le nom d’une application valide, et laisse Google décider qui peut réellement l’utiliser, basé uniquement sur des statistiques.
Il est à noter que ce problème n’affecte que les applications open-source, surtout celles diffusées sur F-Droid, qui propose environ 5 000 applications, majoritairement absentes du Play Store. Par conséquent, Google ne dispose d’aucune donnée d’installation fiable, ce qui les place déjà en situation de faiblesse. De plus, F-Droid compile le code et signe les applications avec sa propre clé, rendant difficile pour un développeur de prouver qu’il en est l’auteur.
La nouvelle réglementation de Google sera d’abord effective au Brésil, en Indonésie, à Singapour et en Thaïlande, quatre pays particulièrement touchés par les fraudes liées aux APK et au sideloading. En Europe, cela pourrait également arriver, sous réserve d’opposition. La coalition Keep Android Open a déjà déposé des plaintes auprès des autorités de régulation de plus de 20 pays, y compris la Commission européenne. Parmi les signataires figurent l’EFF, la Free Software Foundation et d’autres, avec une demande claire : l’annulation complète du programme.
Points à retenir
- Google a instauré un registre pour les développeurs d’applications sur Android.
- Des fraudes ont émergé, affectant des développeurs qui ont perdu l’accès à leurs applications.
- Le système de vérification peut permettre à des personnes de revendiquer à tort des noms de package.
- Google décide des conflits basés sur le nombre d’installations, souvent négligant les applications open-source.
- Les changements de noms de package entraînent des pertes de données et d’usabilité pour les utilisateurs.
- Une mobilisation s’organise en Europe pour contester ces nouvelles régulations.
Il est essentiel de se demander comment les décisions d’un géant technologique comme Google peuvent affecter la liberté des développeurs, en particulier ceux qui œuvrent pour des solutions open-source. En tant qu’utilisateur et observateur, je m’interroge sur l’équilibre à trouver entre sécurité et responsabilité des développeurs. Ces enjeux méritent certainement d’être discutés plus en profondeur.