Conseils pour les développeurs concernant les avertissements Google Play Protect

Google Play Protect offre une protection proactive intégrée contre les logiciels malveillants et les logiciels indésirables pour aider à protéger les appareils et les données des utilisateurs sur les appareils Android avec les services Google Play.

Cette page fournit plus d'informations sur les différents avertissements Play Protect que les utilisateurs peuvent rencontrer. Elle explique également aux développeurs pourquoi une application est concernée par un avertissement Play Protect et propose des alternatives ou des solutions courantes pour résoudre un problème avant de faire appel à Google Play Protect.

Appli bloquée pour protéger votre appareil

Invite affichée : "Cette application peut demander l'accès à des données sensibles. Cela peut augmenter le risque de vol d'identité ou de fraude financière."

Une fois que l'utilisateur a sélectionné un lien d'installation, une boîte de dialogue pop-up s'affiche pour lui expliquer que l'application est bloquée.
Figure 1. Message Google Play Protect qui s'affiche lorsqu'une application est bloquée lors du processus d'installation.

Raison de cette notification : Les applications téléchargées directement à partir de sources en ligne telles que des navigateurs Web, des applications de chat ou des gestionnaires de fichiers sont généralement appelées sources de chargement latéral sur Internet. Si ces applications utilisent également des autorisations sensibles (RECEIVE_SMS, READ_SMS, NOTIFICATION_LISTENER et ACCESSIBILITY), elles sont considérées comme des applications à haut risque, car ces autorisations sont fréquemment utilisées de manière abusive à des fins de fraude financière. Lorsqu'un utilisateur tente d'installer une application à partir de ces sources et que l'une de ces autorisations sensibles est déclarée, Google Play Protect bloque automatiquement l'installation. Deuxièmement, si vous tentez d'enregistrer des appareils dans la gestion d'entreprise, toutes les applications provenant des mêmes sources de transfert de fichiers sur Internet et disposant des mêmes autorisations sensibles seront également bloquées.

Actions recommandées pour les développeurs :

  • Assurez-vous que les applications respectent les consignes pour les développeurs et les bonnes pratiques.
  • Assurez-vous que les API et les autorisations sont utilisées aux fins prévues.
  • Assurez-vous que votre application n'utilise que les autorisations minimales nécessaires pour exécuter les fonctions requises.
  • Assurez-vous que votre application respecte les consignes responsables en matière de confidentialité et de sécurité.
  • Utilisez les API SMS Retriever ou User Consent plutôt que l'autorisation READ_SMS lorsque vous effectuez un processus de validation par SMS.
  • Voici quelques exemples courants (liste non exhaustive) de cas d'utilisation des autorisations :
    • Exemples de SMS :
      • Autorisé :
        • Applications dont l'objectif principal est de gérer le contenu des SMS / MMS.
        • Applications qui sauvegardent le contenu des SMS après avoir fourni une communication visible et obtenu le consentement de l'utilisateur.
      • Non autorisé :
        • Applications qui accèdent au contenu des SMS ou l'envoient sans le consentement explicite de l'utilisateur.
        • Applications qui demandent des autorisations SMS dans le seul but de valider la validation par SMS. (Utilisez plutôt les API SMS Retriever ou User Consent autorisées.)
    • Exemples de liaison de l'outil d'écoute des notifications :
      • Autorisé :
        • Applications de santé et de remise en forme qui transmettent des notifications à leurs appareils connectés respectifs.
        • Applications qui regroupent les notifications pour aider les utilisateurs à se concentrer.
        • Applications qui affichent des notifications sur des interfaces utilisateur alternatives (par exemple, à l'aide de widgets ou de lanceurs d'applications).
      • Non autorisé :
        • Applications qui accèdent au contenu des notifications sans le consentement explicite de l'utilisateur
        • Applications qui masquent ou empêchent les notifications d'autres applications sans l'autorisation préalable de l'utilisateur.
    • Exemples d'accessibilité :
      • Autorisé :
        • Applications d'assistance qui améliorent l'usabilité d'un appareil pour les utilisateurs malvoyants.
        • Applications utilitaires de lecture d'écran qui prennent en charge la traduction de texte avec le consentement de l'utilisateur.
      • Non autorisé :
        • Applications qui interagissent avec d'autres applications ou avec l'appareil de l'utilisateur de quelque manière que ce soit sans son consentement explicite.
        • Applications utilisées pour extraire les identifiants de l'utilisateur.

Après avoir vérifié que votre application respecte les consignes précédentes (y compris les Principes applicables aux logiciels mobiles indésirables et les Applications potentiellement dangereuses définies par Google Play Protect), si vous pensez toujours que votre application est bloquée à tort, vous pouvez faire appel.

Appli dangereuse bloquée

Une boîte de dialogue pop-up expliquant pourquoi l'application est bloquée, avec un lien "OK"
Figure 2. Message qui s'affiche lorsqu'une appli dangereuse est bloquée.

Messages affichés : les détails varient selon le type de non-respect, en fonction du type de logiciel malveillant ou de logiciel mobile indésirable détecté.

Raison de la notification : l'écosystème Android doit être exempt de comportements malveillants. L'application a été identifiée comme une application potentiellement dangereuse et appartient à une catégorie de logiciels malveillants ou à une catégorie de logiciels mobiles indésirables.

Actions recommandées pour les développeurs :

  • Vérifiez que votre application respecte les consignes pour les développeurs et les bonnes pratiques.
  • Vérifiez que les API et les autorisations sont utilisées aux fins prévues et ne présentent pas de manière trompeuse l'objectif de votre accès aux API. Par exemple, ne déclarez pas isAccessbilityTool="true" si votre application n'est pas un outil d'accessibilité.
  • Assurez-vous que votre application n'utilise que les autorisations minimales nécessaires pour exécuter les fonctions requises.
  • Confirmez que votre application respecte les consignes responsables en matière de confidentialité et de sécurité.
  • Vérifiez que votre application et tous les SDK utilisés ne contiennent pas de code malveillant ni de problèmes de sécurité qui mettent les utilisateurs en danger.
  • Après avoir examiné ces conseils, si vous concluez que votre application n'est pas une application potentiellement dangereuse telle que définie par Google Play Protect et qu'elle respecte le Règlement relatif aux logiciels indésirables, le Règlement sur les logiciels et les conseils précédents, et que vous continuez à recevoir des avertissements par erreur, vous pouvez faire appel de l'action Google Play Protect.
Les deux boutons de la boîte de dialogue, de haut en bas, sont "Analyser l'appli" et "Ne pas installer l'appli".
Figure 3. Boîte de dialogue Analyse des applications recommandée affichée par Google Play Protect.

Invite affichée : "Cette appli est inconnue de Play Protect. Pour protéger votre appareil et vos données, envoyez à Google certaines informations concernant l'application pour analyse avant de l'installer."

Raison de cette notification : Google Play Protect effectue des vérifications de sécurité lors de l'installation pour protéger les utilisateurs en analysant les applications à la recherche de code malveillant et d'autorisations sensibles provenant d'applications inconnues qui sont installées sur votre appareil. En autorisant l'exécution d'analyses sur l'application, Play Protect peut contribuer à réduire le risque d'installation d'applications dangereuses sur l'appareil d'un utilisateur.

Actions recommandées pour les développeurs :

Avertissement concernant la compatibilité trop faible de l'appli Android

Le bouton "OK" de la boîte de dialogue permet de confirmer que le SDK cible est trop ancien.
Figure 4. Invite de Google Play Protect informant l'utilisateur que l'application a été conçue pour une version plus ancienne d'Android.

Invite affichée : "Cette application a été conçue pour une version plus ancienne d'Android et n'inclut pas les derniers dispositifs de protection de la confidentialité"

Raison de cette notification : ces avertissements Play Protect ne s'affichent que si le targetSdkVersion de l'application est inférieur de plus de deux versions au niveau d'API Android actuel. Par exemple, un utilisateur dont l'appareil exécute Android 13 (API actuelle = 33) sera averti lorsqu'il installera un APK ciblant un niveau d'API inférieur à 31. Vous pouvez consulter les versions d'Android et les niveaux d'API correspondants sur la page sur les niveaux d'API.

Si un appareil est en dessous de l'API cible, aucun avertissement ne s'affiche. Chaque nouvelle version d'Android apporte des modifications qui renforcent la sécurité, améliorent les performances et optimisent l'expérience utilisateur Android. Certaines de ces modifications ne concernent que les applications qui déclarent explicitement la compatibilité via leur attribut de manifeste targetSdkVersion (connu également sous le nom de niveau d'API cible). En configurant votre application pour qu'elle cible un niveau d'API récent, vous permettez aux utilisateurs de bénéficier de ces améliorations, et votre application peut toujours s'exécuter sur les anciennes versions d'Android. Cibler un niveau d'API récent permet également à votre application de tirer parti des dernières fonctionnalités de la plate-forme pour satisfaire vos utilisateurs.

Actions recommandées pour les développeurs :

Pour assurer la compatibilité entre les versions d'Android, les développeurs doivent s'assurer que les nouvelles versions de leurs applications ciblent le dernier niveau d'API. Pour obtenir des conseils sur la façon de modifier le niveau d'API cible de votre application, consultez le guide de migration.

Envoyer l'application pour vérification de sécurité

Les trois boutons de la boîte de dialogue, de haut en bas, sont "Toujours envoyer les applis inconnues", "Envoyer cette fois" et "Ne pas envoyer".
Figure 5 : Invite de Google Play Protect à envoyer l'application pour un contrôle de sécurité.

Invite affichée : "Cette application est inconnue de Play Protect. Pour vous protéger, ainsi que les autres utilisateurs, envoyez-la à Google pour un contrôle de sécurité."

Raison de cette notification : Les applications inconnues peuvent présenter un risque pour les utilisateurs. Pour les utilisateurs, l'envoi (ponctuel ou permanent) de cette application à Google Play Protect pour qu'il recherche d'éventuels logiciels malveillants fera disparaître cette notification. Les appels ne sont pas pertinents et ne supprimeront pas ce message.

Actions recommandées pour les développeurs :

Appels

Faire appel de l'état de l'appli sur le Play Store

Vous pouvez faire appel de la suppression de votre application sur le Google Play Store. Nous rétablirons les applications dans les circonstances appropriées, par exemple en cas d'erreur et si nous constatons que votre application respecte le Règlement du programme Google Play pour les développeurs et le Contrat relatif à la distribution (pour les développeurs). Pour en savoir plus sur les procédures d'appel en cas de non-respect des règles, consultez Mon application a été supprimée de Google Play.

Faire appel de l'état d'avertissement Play Protect

Vous pouvez faire appel de l'état de classification de votre application par Google Play Protect.

Avant de faire appel auprès de Google Play Protect, nous vous encourageons à utiliser les conseils ci-dessus pour comprendre pourquoi une application est concernée par un avertissement Play Protect, et à envisager des alternatives ou des solutions courantes pour résoudre le problème.

Nous corrigerons la classification des applications dans les circonstances appropriées, par exemple en cas d'erreur et si nous constatons que votre application ne viole pas les Principes applicables aux logiciels mobiles indésirables et n'est pas une application potentiellement dangereuse, telle que définie par Google Play Protect.

Après vous être assuré que votre application respecte les règles ci-dessus, et si vous pensez toujours qu'elle est bloquée à tort, vous pouvez faire appel de la classification en cliquant sur le bouton Faire appel d'une décision Play Protect ci-dessous :

Faire appel d'une décision Play Protect