Dans l'écosystème mobile, les utilisations abusives peuvent menacer vos revenus, votre croissance et la confiance des utilisateurs. Pour aider les développeurs à prospérer, Google Play propose un service de détection des menaces résilient, l'API Play Integrity. L'API Play Integrity vous aide à vérifier que les interactions et les requêtes de serveur sont authentiques (autrement dit, qu'elles proviennent de votre application non modifiée sur un appareil Android certifié, installé par Google Play).

L'impact est considérable : les applications qui utilisent les fonctionnalités Play Integrity enregistrent en moyenne 80 % d'utilisations non autorisées en moins par rapport aux autres applications. Aujourd'hui, des leaders de différents secteurs (Uber, TikTok, Stripe, Kabam, Wooga, Radar.com, Zimperium, Paytm et Remini, entre autres) l'utilisent pour protéger leur activité.

Nous continuons d'améliorer l'API Play Integrity pour la rendre plus facile à intégrer, plus résistante aux attaques sophistiquées et plus efficace pour récupérer les utilisateurs qui ne respectent pas les normes d'intégrité ou qui rencontrent des erreurs grâce à de nouvelles invites de correction dans Play.

Détecter les menaces pour votre entreprise

L'API Play Integrity propose des verdicts conçus pour détecter les menaces spécifiques qui ont un impact sur vos résultats financiers lors d'interactions critiques.

• Accès non autorisé : le verdict accountDetails vous aide à déterminer si l'utilisateur a installé ou payé votre application ou votre jeu sur Google Play.
• Falsification du code : le verdict appIntegrity vous permet de déterminer si vous interagissez avec le binaire non modifié reconnu par Google Play.
• Appareils à risque et environnements émulés : le verdict deviceIntegrity vous aide à déterminer si votre application s'exécute sur un appareil Android authentique certifié Play Protect ou sur une instance authentique de Google Play Jeux pour PC.
• Appareils non corrigés : pour les appareils équipés d'Android 13 ou version ultérieure, la réponse MEETS_STRONG_INTEGRITY dans le verdict deviceIntegrity vous aide à déterminer si un appareil a appliqué les dernières mises à jour de sécurité. Vous pouvez également activer deviceAttributes pour inclure la version attestée du SDK Android dans la réponse.
• Accès risqué par d'autres applications : appAccessRiskVerdict vous aide à déterminer si des applications en cours d'exécution peuvent être utilisées pour capturer l'écran, afficher des superpositions ou contrôler l'appareil (par exemple, en utilisant de manière abusive l'autorisation d'accessibilité). Cette évaluation exclut automatiquement les applications qui servent de véritables objectifs d'accessibilité.
• Logiciel malveillant connu : playProtectVerdict vous aide à déterminer si Google Play Protect est activé et s'il a détecté des applications douteuses ou dangereuses installées sur l'appareil.
• Hyperactivité : le niveau recentDeviceActivity vous aide à déterminer si un appareil a récemment effectué un volume anormalement élevé de demandes de jetons d'intégrité, ce qui peut indiquer un trafic automatisé et être le signe d'une attaque.
• Utilisation abusive répétée et appareils réutilisés : deviceRecall (bêta) vous aide à déterminer si vous interagissez avec un appareil que vous avez déjà signalé, même si votre application a été réinstallée ou si l'appareil a été réinitialisé. Avec la fonctionnalité Rappel d'appareil, vous pouvez personnaliser les actions répétées que vous souhaitez suivre.

L'API peut être utilisée sur les facteurs de forme Android, y compris les téléphones, les tablettes, les appareils pliables, Android Auto, Android TV, Android XR, ChromeOS, Wear OS et Google Play Games pour PC.

Exploiter tout le potentiel de l'API Play Integrity

Les applications et les jeux ont rencontré du succès avec l'API Play Integrity en suivant les considérations de sécurité et en adoptant une approche progressive pour leur stratégie de lutte contre les utilisations abusives.

Étape 1 : Déterminez ce que vous souhaitez protéger : déterminez les actions et les requêtes de serveur dans vos applications et jeux qu'il est important de valider et de protéger. Par exemple, vous pouvez effectuer des vérifications de l'intégrité lorsqu'un utilisateur lance l'application, se connecte, rejoint un jeu multijoueur, génère du contenu d'IA ou transfère de l'argent.

Étape 2 : Collectez les réponses sur l'intégrité : effectuez des vérifications d'intégrité à des moments importants pour commencer à collecter des données sur les verdicts, sans appliquer de mesures coercitives au début. Vous pourrez ainsi analyser les réponses de votre base d'installation et voir comment elles sont corrélées à vos signaux d'utilisation abusive existants et à vos données historiques sur les utilisations abusives.

Étape 3 : Déterminez votre stratégie d'application : déterminez votre stratégie d'application en fonction de votre analyse des réponses et de ce que vous essayez de protéger. Par exemple, vous pouvez modifier le trafic à risque à des moments importants pour protéger les fonctionnalités sensibles. L'API propose un éventail de réponses qui vous permet de mettre en œuvre une stratégie d'application à plusieurs niveaux en fonction du niveau de confiance que vous accordez à chaque combinaison de réponses.

Étape 4 : Déployez progressivement l'application des règles et aidez vos utilisateurs : déployez progressivement l'application des règles. Mettez en place une stratégie de nouvelle tentative lorsque les verdicts posent problème ou ne sont pas disponibles, et préparez-vous à aider les utilisateurs légitimes qui rencontrent des problèmes. Les nouvelles invites de correction dans l'application Play, décrites ci-dessous, permettent plus facilement que jamais de rétablir l'état des utilisateurs ayant rencontré des problèmes.

NOUVEAU : Laissez Play récupérer automatiquement les utilisateurs qui rencontrent des problèmes

Il peut être difficile de décider comment répondre aux différents signaux d'intégrité. Vous devez gérer diverses réponses d'intégrité et codes d'erreur d'API (comme les problèmes de réseau ou les services Play obsolètes). Nous simplifions ce processus grâce aux nouvelles invites de correction dans Play. Vous pouvez afficher une invite Google Play à vos utilisateurs pour résoudre automatiquement un large éventail de problèmes directement dans votre application. Cela réduit la complexité de l'intégration, garantit une interface utilisateur cohérente et permet de rétablir l'état de plus d'utilisateurs.

GET_INTEGRITY détecte automatiquement le problème (une erreur réseau dans cet exemple) et le résout.

Vous pouvez déclencher la boîte de dialogue  GET_INTEGRITY, disponible dans la bibliothèque de l'API Play Integrity version 1.5.0 ou ultérieure, après une série de problèmes pour guider automatiquement l'utilisateur vers les corrections nécessaires, y compris :

• Accès non autorisé  : GET_INTEGRITY redirige l'utilisateur vers une réponse avec licence Play dans accountDetails.
• Falsification du code : GET_INTEGRITY guide l'utilisateur vers une réponse reconnue par Play dans appIntegrity.
• Problèmes d'intégrité de l'appareil : GET_INTEGRITY guide l'utilisateur pour qu'il retrouve l'état MEETS_DEVICE_INTEGRITY dans deviceIntegrity.
• Codes d'erreur pouvant être corrigés : GET_INTEGRITY résout les erreurs d'API pouvant être corrigées, par exemple en invitant l'utilisateur à résoudre les problèmes de connectivité réseau ou à mettre à jour les services Google Play.

Nous proposons également des boîtes de dialogue spécialisées, y compris  GET_STRONG_INTEGRITY (qui fonctionne comme GET_INTEGRITY, tout en ramenant l'utilisateur à l'état MEETS_STRONG_INTEGRITY sans problème de logiciel malveillant connu dans playProtectVerdict), GET_LICENSED (qui ramène l'utilisateur à un état où Play est autorisé et reconnu), et CLOSE_UNKNOWN_ACCESS_RISK et CLOSE_ALL_ACCESS_RISK (qui invitent l'utilisateur à fermer les applications potentiellement risquées).

Choisir des solutions d'intégrité modernes

En plus de l'API Play Integrity, Google propose plusieurs autres fonctionnalités à prendre en compte dans votre stratégie globale de lutte contre les utilisations abusives. L'API Play Integrity et la protection automatique de Play offrent des avantages aux utilisateurs et aux développeurs pour sécuriser la distribution des applications. Nous encourageons les applications existantes à migrer vers ces solutions d'intégrité modernes au lieu d'utiliser l'ancienne bibliothèque Play Licensing.

Protection automatique  : empêchez les accès non autorisés grâce à la protection automatique de Google Play et assurez-vous que les utilisateurs continuent de recevoir les mises à jour officielles de votre application. Activez-la et Google Play ajoutera automatiquement une vérification du programme d'installation au code de votre application, sans que vous ayez à effectuer d'intégration. Si votre application protégée est redistribuée ou partagée via un autre canal, l'utilisateur sera invité à la télécharger sur Google Play. Les développeurs Play éligibles ont également accès à la protection avancée contre la falsification de Play, qui utilise l'obscurcissement et les vérifications d'exécution pour rendre la modification et la redistribution des applications protégées plus difficiles et plus coûteuses pour les pirates informatiques.

Attestation de clé de plate-forme Android  : l'API Play Integrity est la méthode recommandée pour bénéficier de l'attestation de clé de plate-forme Android basée sur le matériel. L'API Play Integrity gère l'implémentation sous-jacente dans l'écosystème d'appareils. Play atténue automatiquement les problèmes et les pannes liés aux clés. Vous pouvez utiliser l'API pour détecter d'autres menaces. Les développeurs qui implémentent directement l'attestation de clé au lieu de s'appuyer sur l'API Play Integrity doivent se préparer à la prochaine rotation du certificat racine de la plate-forme Android en février 2026 pour éviter toute interruption (aucune action n'est requise de la part des développeurs qui utilisent l'API Play Integrity).

Firebase App Check : les développeurs qui utilisent Firebase peuvent utiliser Firebase App Check pour recevoir un verdict sur l'intégrité des applications et des appareils fourni par l'API Play Integrity sur les appareils Android certifiés, ainsi que des réponses d'autres fournisseurs d'attestation de plate-forme. Pour détecter toutes les autres menaces et utiliser d'autres fonctionnalités Play, intégrez directement l'API Play Integrity.

reCAPTCHA Enterprise : les clients Enterprise qui recherchent une solution complète de gestion des bots et de lutte contre la fraude peuvent acheter reCAPTCHA Enterprise pour mobile. reCAPTCHA Enterprise utilise certains signaux anti-abus de l'API Play Integrity et les combine aux signaux reCAPTCHA prêts à l'emploi.

Protégez votre entreprise dès aujourd'hui

Grâce à une base solide en matière de sécurité matérielle et à de nouvelles boîtes de dialogue de correction automatisée qui simplifient l'intégration, l'API Play Integrity est un outil essentiel pour protéger votre croissance.

Commencez par consulter la documentation de l'API Play Integrity.