Android verrouille le sideloading malgré les menaces de l'ue
Google s'en moque. Les avertissements de Bruxelles, les critiques des développeurs indépendants, les protestations des utilisateurs avancés — rien n'a dévié Mountain View de sa trajectoire. À partir de septembre 2025, installer une application Android en dehors du Google Play Store va devenir un parcours du combattant, officialisé et délibérément conçu pour décourager.
Un délai de 24 heures comme nouveau verrou numérique
Le mécanisme imaginé par Google est d'une simplicité redoutable dans ses effets. Tout développeur souhaitant distribuer une application hors Play Store devra désormais s'identifier, enregistrer ses clés de signature et s'acquitter d'une taxe de 25 dollars. Les applications non vérifiées, elles, ne pourront tout simplement plus s'installer — sauf si l'utilisateur active manuellement une option enfouie dans les paramètres développeur, après avoir tapé sept fois sur le numéro de compilation de son appareil. Et même là, il devra attendre 24 heures avant de pouvoir procéder.
C'est précisément ce délai que Sameer Samat, président de l'écosystème Android, défend avec le plus de conviction. Dans une interview accordée à Ars Technica, il l'explique sans détour : «En ce laps de 24 heures, nous pensons qu'il devient beaucoup plus difficile pour les attaquants de maintenir leur pression. Pendant ce temps, vous découvrirez probablement que votre proche n'est pas vraiment en prison ou que votre compte bancaire n'est pas réellement visé.» L'argument cible les arnaques à l'ingénierie sociale, où la victime est manipulée pour installer une application piégée dans l'urgence. Le délai casse le rythme de l'attaque. Sur le papier, c'est cohérent.
Ce que cette procédure implique concrètement
Pour ceux qui voudront quand même installer un APK non certifié, voici ce qui les attend. D'abord, activer les options développeur via le menu À propos du téléphone. Ensuite, naviguer jusqu'à Système> Options développeur> Autoriser les paquets non vérifiés. Confirmer via un bouton dédié, saisir son code PIN, puis redémarrer. Revenir 24 heures plus tard pour choisir entre une autorisation temporaire de sept jours ou une autorisation permanente. Cocher une case reconnaissant explicitement les risques. Ce n'est plus de la friction — c'est une muraille administrative.
Le problème, c'est que cette muraille ne distingue pas le malware d'un développeur indépendant qui publie son application sur GitHub parce qu'il refuse de payer les 15 à 30 % de commission imposés par Google. Ces profils-là — petits studios, créateurs d'outils de niche, applications militantes ou simplement confidentielles — se retrouvent dans le même sac que les logiciels espions. La mesure est efficace contre les uns, brutale envers les autres.
L'union européenne dans l'angle mort
Le Digital Markets Act impose pourtant à Google d'autoriser le sideloading dans l'espace européen. Mountain View joue sur les mots : techniquement, l'installation d'applications tierces reste possible. Mais rendre ce processus aussi opaque et dissuasif revient à vider la règle de sa substance. La Commission européenne n'a pas encore réagi officiellement à cette nouvelle mouture du système de vérification. Elle devrait. Parce que si une fonctionnalité légalement garantie nécessite un mode développeur caché et une journée d'attente pour fonctionner, la conformité n'est qu'un vernis.
Google a calculé son coup. L'argument sécuritaire est difficile à attaquer frontalement — personne ne défend ouvertement les malwares. Mais derrière la rhétorique de la protection de l'utilisateur se dessine un resserrement méthodique du contrôle sur l'écosystème Android. Chaque nouvelle restriction rend Google Play un peu plus incontournable, et les 25 dollars d'inscription un peu plus inévitables. La sécurité, ici, a aussi un modèle économique.