Nous avons récemment annoncé de nouvelles exigences concernant la validation des développeurs, qui constituent une couche de protection supplémentaire dans nos efforts continus pour assurer la sécurité des utilisateurs Android. Nous savons que la sécurité est plus efficace lorsqu'elle tient compte des différentes façons dont les utilisateurs se servent de nos outils. C'est pourquoi nous avons annoncé ce changement à l'avance : pour recueillir des commentaires et nous assurer que nos solutions sont équilibrées. Nous apprécions l'engagement de la communauté et avons pris en compte les premiers commentaires, en particulier ceux des étudiants et des amateurs qui ont besoin d'une méthode d'apprentissage accessible, et des utilisateurs expérimentés qui sont plus à l'aise avec les risques de sécurité. Nous apportons des modifications pour répondre aux besoins de ces deux groupes. 

Pour comprendre comment ces mises à jour s'inscrivent dans notre mission plus large, il est important d'examiner d'abord les menaces spécifiques auxquelles nous nous attaquons.

Pourquoi la validation est-elle importante ?

Assurer la sécurité des utilisateurs sur Android est notre priorité absolue. La lutte contre les escroqueries et la fraude numérique n'est pas nouvelle pour nous. Elle est au cœur de notre travail depuis des années. De la détection des escroqueries dans Google Messages à Google Play Protect, en passant par les alertes en temps réel pour les appels frauduleux, nous avons toujours agi pour assurer la sécurité de notre écosystème.

Cependant, les escroqueries en ligne et les campagnes de logiciels malveillants deviennent de plus en plus agressives. À l'échelle mondiale d'Android, cela se traduit par un préjudice réel pour les personnes du monde entier , en particulier dans les régions en cours de numérisation rapide où de nombreuses personnes se connectent pour la première fois. Les protections techniques sont essentielles, mais elles ne peuvent pas résoudre tous les scénarios dans lesquels un utilisateur est manipulé. Les escrocs utilisent des tactiques d'ingénierie sociale sous pression pour inciter les utilisateurs à contourner les avertissements conçus pour les protéger.

Par exemple, une attaque courante que nous surveillons en Asie du Sud-Est illustre clairement cette menace. Un escroc appelle une victime en affirmant que son compte bancaire est compromis. Il utilise la peur et l'urgence pour l'inciter à installer une "application de validation" afin de sécuriser ses fonds, et lui demande souvent d'ignorer les avertissements de sécurité standards. Une fois installée, cette application, qui est en fait un logiciel malveillant, intercepte les notifications de la victime. Lorsque l'utilisateur se connecte à sa véritable application bancaire, le logiciel malveillant capture ses codes d'authentification à deux facteurs, ce qui donne à l'escroc tout ce dont il a besoin pour vider le compte.

Bien que nous disposions de protections avancées pour détecter et supprimer les applications malveillantes, sans validation, les acteurs malveillants peuvent créer instantanément de nouvelles applications nuisibles. Cela devient un jeu sans fin. La validation change la donne en les obligeant à utiliser une identité réelle pour distribuer des logiciels malveillants, ce qui rend les attaques beaucoup plus difficiles et coûteuses à grande échelle. Nous avons déjà constaté l'efficacité de cette approche sur Google Play, et nous appliquons désormais ces enseignements à l'écosystème Android plus large pour nous assurer qu'une identité réelle et responsable se cache derrière les logiciels que vous installez.

Aider les étudiants et les amateurs

Nous avons entendu des développeurs qui s'inquiétaient de la barrière à l'entrée lors de la création d'applications destinées uniquement à un petit groupe, comme la famille ou les amis. Nous utilisons vos commentaires pour créer un type de compte dédié aux étudiants et aux amateurs. Cela vous permettra de distribuer vos créations à un nombre limité d'appareils sans avoir à respecter toutes les exigences de validation.

Donner plus de pouvoir aux utilisateurs expérimentés

Bien que la sécurité soit essentielle, nous avons également entendu des développeurs et des utilisateurs expérimentés qui ont une plus grande tolérance au risque et souhaitent pouvoir télécharger des applications non validées.

Sur la base de ces commentaires et de nos échanges continus avec la communauté, nous créons un nouveau flux avancé qui permet aux utilisateurs expérimentés d'accepter les risques liés à l'installation de logiciels non validés. Nous concevons ce flux spécifiquement pour résister à la coercition, en veillant à ce que les utilisateurs ne soient pas incités à contourner ces contrôles de sécurité sous la pression d'un escroc. Il inclura également des avertissements clairs pour s'assurer que les utilisateurs comprennent pleinement les risques encourus, mais en fin de compte, le choix leur appartient. Nous recueillons actuellement les premiers retours sur la conception de cette fonctionnalité et nous vous communiquerons plus d'informations dans les mois à venir. 

Commencer à utiliser l'accès anticipé

Nous sommes ravis de commencer à inviter les développeurs à l'accès anticipé à la validation des développeurs dans Android Developer Console pour les développeurs qui distribuent leurs applications exclusivement en dehors de Play. Nous partagerons bientôt des invitations à l'expérience Play Console pour les développeurs Play. Nous avons hâte de recevoir vos questions et vos commentaires sur la simplification de l'expérience pour tous les développeurs.

Regardez notre vidéo ci-dessous pour découvrir la nouvelle expérience Android Developer Console. Consultez nos guides pour en savoir plus et obtenir des réponses aux questions fréquentes.

Nous nous engageons à collaborer avec vous pour assurer la sécurité de l'écosystème tout en faisant les choses correctement.