Fin août, Google a lancé un pavé dans la mare : alors qu'Android était un système (relativement) ouvert sur ce point, les développeurs vont devoir s'identifier chez Google et payer 25 $ pour distribuer leurs apps, même en dehors du Play Store. Une décision qui est là pour la sécurité selon Google : les applications installées en dehors du Play Store, par exemple en envoyant un fichier APK dans un smartphone, contiendraient jusqu'à cinquante fois plus de malware. Mais cette décision ne plaît pas à tout le monde, et surtout pas aux personnes qui gèrent F-Droid.
Ce magasin en ligne, qui existe depuis 2010, est un peu particulier : il permet d'installer des applications open source et gratuites sur un smartphone Android. Mais surtout, des applications qui ne nécessitent pas de se connecter à un compte Google. Dans un billet de blog posté il y a quelques jours, les créateurs du magasin en ligne expliquent que le choix de Google est intéressant dans l'absolu, mais inutile dans le cas de F-Droid.
Si F-Droid passe techniquement par du sideloading, c'est-à-dire l'installation d'une app sans passer par le store de Google, les apps sont vérifiées par F-Droid. Ils expliquent que les développeurs fournissent du code open source, qui est examiné par les équipes de F-Droid pour éviter la présence de traqueurs et autres malware. Les apps sont ensuite préparées par F-Droid pour la distribution, avec une clé cryptographique liée à F-Droid. Ils se plaignent surtout du choix de Google : en imposant une vérification d'identité (et dans beaucoup de cas le paiement de 25 $), Google rend la distribution d'app via F-Droid impossible. Comme F-Droid compile les applications et les distribue avec sa propre clé, s'identifier chez Google poserait un problème par rapport à certaines licences open source.
Par ailleurs, ils rappellent que malgré les obligations de Google — l'identification est obligatoire sur le Play Store depuis 2023 — et les protections contre les malwares de la société, il y a régulièrement des applications malicieuses qui passent les mailles du filet.
Google va exiger l'identité des développeurs d'apps distribuées hors du Play Store
La réaction de Google, elle, n'est pas réellement surprenante : la société ne compte visiblement pas changer ses plans. Dans un post de blog, Google explique que le sideloading ne va pas disparaître, tout en expliquant en parallèle qu'un développeur qui veut distribuer une app devra bien s'enregistrer. La firme laisse juste une petite échappatoire : pour certains types de développement (enseignants, étudiants, hobbyiste), il devrait être possible de distribuer des applications sans s'enregistrer. Mais Google explique que le nombre de périphériques associés sera limité, ce qui implique tout de même une vérification. Et la limite n'est pas connue, ce qui ne fait évidemment pas les affaires de F-Droid.
Ces changements rapprochent surtout peu à peu Android d'iOS et macOS. Apple, au fil du temps, a mis de plus en plus de bâtons dans les roues des développeurs : s'il est encore possible d'exécuter des applications qui ne sont ni notarisées ni signées sous macOS, Sequoia a singulièrement compliqué les choses, par exemple.
macOS Sequoia complique l'ouverture d'apps non notarisées
Source :
