Google confirmé le déploiement de sa nouvelle politique de vérification obligatoire pour les développeurs, une mesure de sécurité drastique qui s'appliquera à toutes les applications Android, y compris celles installées manuellement (sideloading). Cette décision vise à mettre fin au jeu du chat et de la souris avec les escrocs, tout en promettant une solution pour ne pas pénaliser les utilisateurs les plus expérimentés.
Le sideloading, une porte d'entrée vers les arnaques selon Google
Pour justifier ce changement majeur qui touche à l'un des fondements de l'ouverture d'Android, Google met en avant l'insuffisance des protections techniques contre l'ingénierie sociale. L'entreprise explique que la vérification d'identité a déjà fait ses preuves sur le Play Store et qu'il est temps de l'étendre à l'ensemble de l'écosystème.
Les arguments de Google pour ce tour de vis sont les suivants :
- Impuissance face à la manipulation : Les protections techniques à elles seules ne peuvent rien contre les fraudeurs qui exploitent la peur et l’urgence pour manipuler leurs victimes et les amener à ignorer les avertissements de sécurité.
- Des arnaques bien établies : Google cite l'exemple d'une arnaque en Asie du Sud-Est où un faux conseiller bancaire convainc sa victime d'installer une application malveillante. Celui-ci intercepte ensuite les notifications, notamment les codes d'authentification à deux facteurs, permettant au fraudeur de vider le compte bancaire.
- Un « jeu de frappe » sans fin : Sans vérification d’identité, les acteurs malveillants peuvent créer une infinité de nouvelles applications frauduleuses dès que les anciennes sont bloquées, rendant la lutte inefficace à long terme.
Une solution en préparation pour les utilisateurs expérimentés
Conscient que cette mesure pourrait restreindre les développeurs et les utilisateurs avancés, Google a annoncé travailler sur deux solutions de contournement. Le premier est un « nouveau flux avancé » ce qui permettra aux utilisateurs expérimentés d'accepter des risques et d'installer une application non vérifiée grâce au chargement latéral. Google précise que cet itinéraire sera « spécialement conçu pour résister à la coercition » afin qu'un escroc ne puisse pas guider sa victime pour contourner la sécurité et le choix final « repose entre les mains de l'utilisateur ».
En parallèle, une sorte de compte dédié aux étudiants et spécialistes du sujet. Cela leur permettra de distribuer leurs créations sur un nombre limité d'appareils sans avoir à passer par le processus de vérification complet. Alors que le déploiement de la politique de vérification commence aujourd'hui, les détails seront communiqués dans les mois à venir.
