Play Integrity : définition et caractéristiques de cette nouvelle API d’Android
L’API Google Play Integrity est une interface qui aide les développeurs à vérifier que les interactions et les demandes de serveur proviennent de [leur] véritable binaire d’application fonctionnant sur un véritable appareil Android. Elle recherche notamment des preuves que l’application a été altérée, qu’elle s’exécute dans un environnement logiciel non fiable, que l’appareil a activé Google Play Protect, et bien d’autres choses. Si vous avez déjà entendu parler ou eu affaire à SafetyNet Attestation sur un téléphone rooté, vous êtes probablement déjà familiarisé avec Play Integrity, même si ce n’est pas sous cette appellation.
Play Integrity est le successeur de SafetyNet Attestation, mais offre encore plus de fonctionnalités aux développeurs. Elle permet aux applications de bloquer l’accès « lorsqu’elles sont chargées sur des téléphones qui ont été modifiés d’une manière ou d’une autre par rapport à un système d’exploitation standard avec toutes les intégrations Google Play intactes ». Dans la pratique, les applications peuvent appeler Play Integrity et obtenir en retour un « verdict d’intégrité ».
Ce verdict indique si le téléphone dispose d’un environnement logiciel digne de confiance, si Google Play Protect est activé et si d’autres vérifications logicielles ont été effectuées. Play Integrity permet aux applications de se décharger de la détermination de l’authenticité de l’appareil et de son environnement logiciel. Et avec sa dernière mise à jour, les applications peuvent désormais facilement déterminer si la personne qui les a installées est elle aussi « authentique ».
Récemment, une application populaire d’authentification à deux facteurs a bloqué l’accès à des téléphones rootés, y compris GrapheneOS, une version d’Android axée sur la sécurité. Graphene a mis en doute la véracité de Play Integrity et SafetyNet Attestation, recommandant à la place une attestation matérielle standard pour Android. Selon les critiques, les applications ne sont pas obligées d’adopter une approche « tout ou rien » en matière de vérification de l’intégrité.
Plutôt que de bloquer complètement l’installation, les applications peuvent faire appel à l’API uniquement lors « d’actions sensibles », en émettant un avertissement à ce moment-là. Cependant, l’absence de connexion au Play Store peut également priver les développeurs de données métriques, permettre l’installation sur des appareils incompatibles (avec les mauvaises critiques qui en découlent) et, bien sûr, ouvrir la porte au piratage d’applications payantes.
La nouvelle API Play Integrity introduite par Google suscite des préoccupations
Il est facile de charger des applications de manière latérale sur Android. Et il existe de nombreuses raisons pour lesquelles vous pouvez vouloir charger des applications de manière latérale sur votre téléphone Android. Toutefois, le revers de la médaille du chargement latéral est qu’il peut être dangereux si l’utilisateur ne sait pas ce qu’il fait, et au pire, cela peut altérer non seulement l’expérience de l’application, mais aussi celle d’Android dans son ensemble. Malgré ses risques, le chargement latéral d’applications a presque toujours été possible avec Android, contrairement au verrouillage mis en place par Apple sur iOS.
Du point de vue des développeurs, il y a de bonnes raisons pour lesquelles ils voudraient bloquer le chargement latéral de leurs applications. D’une part, une application chargée en parallèle ne contribuera pas aux statistiques du développeur sur le Play Store et, d’autre part, elle empêche le développeur de déterminer quels appareils peuvent utiliser son application. Il y a bien sûr des tampons en place pour empêcher l’installation d’applications chargées latéralement.
Mais les utilisateurs parviennent parfois à contourner ces garde-fous. Quelle que soit la raison, les développeurs qui souhaitent empêcher le chargement latéral de leurs applications disposent désormais d’un moyen plus simple de le faire grâce à l’API Play Integrity. Toutefois, bien que Google ait déclaré que l’API a été introduite pour améliorer la sécurité, certains critiques y voient une nouvelle étape dans les efforts de Google pour verrouiller le système d’exploitation.
« J’aimerais vraiment qu’il y ait un troisième concurrent dans le domaine des systèmes d’exploitation pour téléphone. Il s’agit d’ordinateurs de poche, mais pour une raison ou une autre, nous avons tous dû accepter des restrictions qui auraient été impensables pour un ordinateur portable ou de bureau il n’y a pas si longtemps. Aujourd’hui, des restrictions similaires s’infiltrent dans l’espace informatique général », peut-on lire dans les commentaires sur la toile.
Android a connu de nombreux changements au cours des dernières années, Google cherchant à placer la sécurité, la confidentialité et l’IA au premier plan de ses efforts récents. Cependant, si la plupart de ces changements sont les bienvenus, certains affirment qu’Android est en train de perdre son identité principale en tant que système d’exploitation réellement personnalisable. Les critiques affirment qu’Android devient un système d’exploitation verrouillé comme iOS.
Apple forcé à autoriser le chargement latéral et Google tente de le restreindre
Comme souligné plus haut, les développeurs disposaient d’autres moyens pour détecter si leurs applications étaient chargées de manière latérale avant que cette fonctionnalité ne soit introduite dans l’API d’intégrité de Play, mais ce changement facilite la mise en œuvre de ce type de contrôle par les développeurs. Certaines applications utiliseraient déjà la nouvelle API. Des utilisateurs d’applications du magasin britannique Tesco, de l’application de jeux vidéo BeyBlade X et de ChatGPT ont signalé des fenêtres « Get this app from Play », qui ne peuvent pas être contournées. Certains ont fait part de leur mécontentement.
Il y a trois mois, un utilisateur d’un ordinateur de poche basé sur Android a reçu un message similaire de Diablo Immortal sur son appareil. L’API Play Integrity serait également déjà utilisée par de nombreuses applications populaires sur Google Play, notamment Stripe, Uber et TikTok, et il est probable que d’autres l’adoptent au fil du temps. Mais de nombreux utilisateurs dénoncent ces changements, car ils les considèrent comme des restrictions imposées par Google.
mais d’un moyen plus simple de le faire grâce à l’API Play Integrity. Toutefois, bien que Google ait déclaré que l’API a été introduite pour améliorer la sécurité, certains critiques y voient une nouvelle étape dans les efforts de Google pour verrouiller le système d’exploitation.
« J’aimerais vraiment qu’il y ait un troisième concurrent dans le domaine des systèmes d’exploitation pour téléphone. Il s’agit d’ordinateurs de poche, mais pour une raison ou une autre, nous avons tous dû accepter des restrictions qui auraient été impensables pour un ordinateur portable ou de bureau il n’y a pas si longtemps. Aujourd’hui, des restrictions similaires s’infiltrent dans l’espace informatique général », peut-on lire dans les commentaires sur la toile.
Android a connu de nombreux changements au cours des dernières années, Google cherchant à placer la sécurité, la confidentialité et l’IA au premier plan de ses efforts récents. Cependant, si la plupart de ces changements sont les bienvenus, certains affirment qu’Android est en train de perdre son identité principale en tant que système d’exploitation réellement personnalisable. Les critiques affirment qu’Android devient un système d’exploitation verrouillé comme iOS.
Apple forcé à autoriser le chargement latéral et Google tente de le restreindre
Comme souligné plus haut, les développeurs disposaient d’autres moyens pour détecter si leurs applications étaient chargées de manière latérale avant que cette fonctionnalité ne soit introduite dans l’API d’intégrité de Play, mais ce changement facilite la mise en œuvre de ce type de contrôle par les développeurs. Certaines applications utiliseraient déjà la nouvelle API. Des utilisateurs d’applications du magasin britannique Tesco, de l’application de jeux vidéo BeyBlade X et de ChatGPT ont signalé des fenêtres « Get this app from Play », qui ne peuvent pas être contournées. Certains ont fait part de leur mécontentement.
Il y a trois mois, un utilisateur d’un ordinateur de poche basé sur Android a reçu un message similaire de Diablo Immortal sur son appareil. L’API Play Integrity serait également déjà utilisée par de nombreuses applications populaires sur Google Play, notamment Stripe, Uber et TikTok, et il est probable que d’autres l’adoptent au fil du temps. Mais de nombreux utilisateurs dénoncent ces changements, car ils les considèrent comme des restrictions imposées par Google.
L’année dernière, Google a introduit la recherche de logiciels malveillants, au moment de l’installation, dans les applications Android chargées latéralement. Aux États-Unis, Google et Apple se sont opposés à une loi qui élargirait les droits de téléchargement latéral pour les propriétaires de smartphones, en invoquant des problèmes de sécurité et de fiabilité. Avec cette nouvelle API, le géant de la recherche en ligne affiche davantage son opposition à ce projet de loi.
Au début de l’année, en vertu de la loi sur les marchés numériques (DMA), les régulateurs de l’Union européenne (UE) ont contraint Apple à autoriser le téléchargement latéral d’applications et de boutiques d’applications sur iOS. Apple s’est exécuté, mais la mise en œuvre de la réglementation par le fabricant de l’iPhone a suscité de nombreux critiques. Les changements introduits par Apple font l’objet d’un examen de la part de la Commission européenne.
Source : Google
