La vérification des développeurs Android arrive : pourquoi, quand et pour quelles boutiques, selon Google

Android s'est distingué pendant des années comme le système d'exploitation mobile grand public offrant le modèle de distribution d'applications le plus ouvert. L'installation latérale d'un APK se faisait en un tap. Le nouveau cadre de « vérification des développeurs » essaie de préserver cette ouverture tout en relevant le coût de base des applications malveillantes.

Le débat sur la sécurité des applications Android est polarisé depuis longtemps. Un camp soutient que sans protection systématique des maliciels, comme le système de signature strict d'iOS, il est difficile de protéger l'utilisateur. L'autre camp souligne la valeur de garder une porte ouverte aux boutiques alternatives (F-Droid, Amazon Appstore, Samsung Galaxy Store) et à l'écosystème indépendant.

Le nouveau cadre de Google se place au milieu : tout développeur devra enregistrer son identité auprès de Google s'il souhaite publier une application Android via une boutique tierce ou par installation latérale. Selon le document de planification résumé par Ars Technica, cet enregistrement est en réalité une création de compte gratuite, mais inclut une vérification d'identité ponctuelle.

La vérification combine des mesures anti-fraude classiques comme le scan d'une pièce d'identité et le rattachement d'un compte bancaire. Les développeurs d'entreprise doivent fournir un justificatif d'enregistrement de société. Un palier d'inscription distinct est défini pour les comptes universitaires et éducatifs gratuits. Selon Ars, environ 95 % des développeurs sont approuvés automatiquement.

Côté calendrier, le cadre s'appliquera par phases. La première arrive fin 2026 et ne demande que l'enregistrement d'identité des développeurs. La deuxième, début 2027, exige que les APK déjà publiés soient resignés avec la nouvelle signature de vérification. La troisième, mi-2027, conduit le système à bloquer les APK des développeurs non vérifiés.

Côté utilisateur, le changement le plus visible est un nouvel écran de conformité lors de l'installation latérale. En installant des APK dont l'identité du développeur n'est pas visible, l'utilisateur verra un avertissement clair. Les boutiques alternatives (Amazon, Samsung, F-Droid) recevront un accès API pour transmettre les données de vérification à Google.

Le plan de vérification peut se lire comme un produit direct de la négociation menée par Google avec l'Union européenne autour du règlement sur les marchés numériques (DMA). Le DMA impose aux plateformes dominantes de soutenir les boutiques alternatives et autorise en parallèle des mesures « proportionnées » de sécurité utilisateur. La démarche de Google se place dans cet espace « proportionné ».

Un détail technique remarquable est l'interaction entre la vérification des développeurs et l'historique anti-maliciels de Google. Google Play Protect se déclenche depuis longtemps sur les applications installées depuis n'importe quelle source, et pas seulement le Play Store. Dans le nouveau cadre, le mode d'alerte de Play Protect sera plus doux pour les APK de développeurs vérifiés et plus sévère pour les autres.

Côté développeurs de boutiques tierces, l'effet sur les revenus et la distribution peut varier. Pour les indépendants, la distribution hors Play Store est un canal de revenus significatif. Le processus de vérification ne supprime pas les applications, il centralise l'identité du développeur — un pas relativement maîtrisé sur le plan économique.

Vue d'ensemble : Google cherche à corriger l'une des plus grandes failles structurelles de sécurité d'Android sans renoncer à l'installation latérale, en imposant une étape d'identité pour limiter l'exposition des utilisateurs aux applications malveillantes. Le geste ne rapproche pas Android du modèle iOS de distribution strictement signée, mais c'est une version pratique du compromis longuement cherché entre liberté et sécurité.