Google impose la vérification d'identité aux développeurs Android
Google exige désormais une pièce d'identité et 25$ des développeurs Android, même hors Play Store. F-Droid, dépôt open source, craint pour sa survie.
Une obligation de vérification d'identité pour tous les développeurs
Google a annoncé que tous les développeurs souhaitant publier des applications sur des appareils Android certifiés devront désormais s'enregistrer avec une pièce d'identité et payer une somme de 25 dollars. Cette mesure, qui s'applique même aux applications distribuées en dehors du Google Play Store, entrera en vigueur dès septembre 2023 dans plusieurs pays, dont le Brésil, l'Indonésie, Singapour et la Thaïlande. Le reste du monde suivra quatre mois plus tard.
Impact sur F-Droid et l'écosystème open source
F-Droid, le dépôt d'applications open source qui existe depuis quinze ans, considère cette mesure comme une menace pour sa survie. En effet, la plateforme repose sur des contributeurs anonymes ou semi-anonymes qui ne souhaitent pas nécessairement divulguer leur identité. La vérification obligatoire pourrait donc réduire drastiquement le nombre de développeurs prêts à contribuer, limitant ainsi la diversité des applications disponibles.
Détails techniques et implications
La vérification d'identité implique une procédure de validation via Google Play Console, où les développeurs doivent fournir des documents officiels (passeport, carte d'identité, etc.). Cette mesure vise à lutter contre les applications malveillantes et les fraudes, mais elle soulève des questions sur la vie privée et la liberté de développement. Les applications non conformes ne pourront plus être installées sur les appareils Android certifiés, ce qui inclut la plupart des smartphones du marché.
Architecture et protocoles concernés
Cette obligation s'applique aux applications utilisant le système de signatures APK (Android Package Kit) ou AAB (Android App Bundle). Les développeurs devront lier leur compte Google Play Developer à leur identité vérifiée, ce qui implique une intégration profonde avec les systèmes de vérification de Google. Les applications non signées ou non liées à un compte vérifié seront bloquées par les mécanismes de sécurité d'Android, notamment le système de vérification des applications (Verify Apps).
Sécurité et limites de la mesure
Bien que cette mesure puisse réduire les risques de fraude et de distribution d'applications malveillantes, elle présente des limites. D'une part, elle ne garantit pas à 100 % l'authenticité des développeurs, car les documents peuvent être falsifiés. D'autre part, elle pourrait favoriser la centralisation des applications sur le Google Play Store, réduisant ainsi la diversité des sources de distribution. Les développeurs indépendants ou les projets open source pourraient être les plus touchés.
Alternatives et réactions de la communauté
Certains membres de la communauté open source envisagent de contourner cette mesure en utilisant des solutions alternatives comme le sideloading (installation manuelle des applications) ou des dépôts tiers. Cependant, ces méthodes ne sont pas sans risques, car elles contournent les mécanismes de sécurité d'Android. F-Droid, de son côté, pourrait être contraint de modifier son modèle pour continuer à fonctionner, mais cela reste incertain.
Entre sécurité et liberté
Google justifie cette mesure par la nécessité de sécuriser la plateforme Android, mais elle soulève des questions sur la liberté des développeurs et la survie des projets open source. Si l'objectif est louable, l'approche pourrait avoir des effets pervers en limitant l'innovation et en favorisant une dépendance accrue au Google Play Store. Reste à voir si cette politique sera effectivement appliquée avec la même rigueur partout dans le monde, ou si des exceptions seront accordées aux projets open source.