Les applications installées hors du Play Store sont désormais dans le viseur de Google.

Tl;dr Google lance Developer Verification pour contrôler l’identité des développeurs Android et limiter les malwares.

Les applications installées en dehors du Play Store (sideloading) présentent 50 fois plus de risques de logiciels malveillants.

Le déploiement mondial sera progressif, de 2026 à 2027, et concernera uniquement les appareils certifiés.

Un nouveau rempart contre les applications malveillantes

Face à la recrudescence d’applications malveillantes infiltrant l’écosystème Android, Google annonce une mesure inédite pour renforcer la sécurité de ses utilisateurs. Désormais, un programme nommé Developer Verification sera progressivement déployé afin de vérifier l’identité des développeurs, qu’ils publient leurs applications sur le Play Store ou via d’autres plateformes. Objectif affiché : mieux lutter contre la propagation de logiciels indésirables, particulièrement présents dans les applications installées en dehors du circuit officiel.

Sideloading : le talon d’Achille des appareils Android

Jusqu’ici, seul le Play Store bénéficiait depuis août 2023 du système de contrôle D-U-N-S (Data Universal Numbering System). Si cette exigence a permis de réduire sensiblement la présence de malwares sur la boutique officielle, elle laissait une brèche : les applications issues du « sideloading » — téléchargées en dehors du Play Store — n’étaient pas soumises à ces vérifications. Résultat ? Selon une analyse récente menée par Google, ces applications présentent un risque considérablement accru : elles hébergent plus de 50 fois plus de logiciels malveillants que celles validées sur la plateforme officielle.

Basculement progressif et déploiement mondial

Les grandes lignes du calendrier ont été dévoilées. Les premiers accès au programme seront ouverts dès octobre pour certains développeurs, avec une généralisation prévue en mars 2026. L’obligation deviendra effective à partir de septembre 2026 pour les éditeurs d’applications basés au Brésil, en Indonésie, à Singapour et en Thaïlande, avant un élargissement mondial annoncé pour 2027. À terme, toutes les nouvelles applications installées sur un appareil certifié devront être créées par des développeurs vérifiés.

Voici les points essentiels à retenir concernant la compatibilité :

Les smartphones et tablettes ayant passé le Compatibility Test Suite (CTS), comme ceux de Samsung, Xiaomi, ou encore la gamme Pixel, seront concernés par cette obligation.

En revanche, les appareils non certifiés — tels que ceux fabriqués par Huawei, les tablettes Amazon Fire, ou divers TV boxes sous OS modifié — resteront en marge du dispositif et vulnérables face aux menaces liées au sideloading.

Une riposte face à l’ingéniosité des cybercriminels

Pourquoi ce durcissement ? Les attaquants s’adaptent vite : ils usurpent l’identité de développeurs légitimes et diffusent des copies quasi parfaites d’applications populaires pour tromper les utilisateurs. Face à ce constat alarmant, Google espère que l’extension du contrôle d’identité freinera significativement la diffusion des malwares, incitant ainsi tout l’écosystème Android à adopter des pratiques plus sûres et responsables.