Fonctionnement
La protection automatique peut ajouter les fonctionnalités suivantes à votre application :
La protection automatique peut ajouter au code de votre application la vérification du programme d'installation de Google Play, qui est effectuée au moment de l'exécution lorsque votre application est ouverte. Si la vérification du programme d'installation échoue, les utilisateurs sont invités à télécharger votre application sur Google Play.
Avantages : Cela permet à davantage d'utilisateurs de recevoir les mises à jour officielles de votre application depuis Google Play.
Remarque : Cette fonctionnalité n'est disponible que pour certains partenaires Play.
La protection automatique peut ajouter des vérifications d'exécution au code de votre application pour détecter toute modification et utiliser des techniques d'obscurcissement avancées afin d'empêcher la suppression ou la rétro-ingénierie de ces vérifications. En cas d'échec des vérifications, l'utilisateur est invité à télécharger votre application sur Google Play, sinon elle ne s'exécute pas.
Avantages : Combinée aux vérifications du programme d'installation de Google Play, la protection contre la falsification empêche les pirates informatiques de contourner vos préférences de distribution ou de monétisation par l'intermédiaire du piratage ou de modifications, de redistributions ou du repackaging non autorisés.
Remarque : La protection contre la falsification ne garantit pas que toutes les modifications et redistributions seront évitées. Avec cette fonctionnalité, ces actions deviennent plus complexes et coûteuses, ce qui réduit leurs chances de réussite. Google Play renforce en permanence la protection contre la falsification afin que les nouvelles versions de votre application bénéficient automatiquement de la version de protection la plus récente et la plus performante.
Les données de télémétrie sur l'application que vous partagez avec Google Play, telles que les données anonymisées sur l'environnement et les performances, nous aident à améliorer la résilience et les performances de la protection contre la falsification. Vous pouvez désactiver le partage des données de télémétrie sur l'application en désactivant "Partager les données de télémétrie sur l'appli avec Google" sur la page "Paramètres de protection automatique" (Tester et publier > Intégrité de l'appli, puis faites défiler la page jusqu'à Protection automatique). En savoir plus sur l'utilisation des données pour développer les services Google
Remarque : Cette fonctionnalité n'est disponible que pour certains partenaires Play.
La protection automatique peut s'assurer que votre application n'est disponible sur Google Play que pour les utilisateurs dont les appareils réussissent les contrôles d'intégrité de l'appareil. Pour les applications ciblant un niveau d'API minimal de 28 ou plus, elle peut également ajouter des contrôles d'intégrité de l'appareil et une couche de chiffrement intégrée à la protection contre la falsification de l'exécution de votre application.
Avantages : la vérification de l'appareil garantit que votre application est installée par Play sur des appareils Android certifiés. Elle complique également l'exécution de votre application dans des environnements inconnus et émulés par des pirates informatiques afin de tenter de contourner les mesures de protection.
Remarque : La vérification de l'appareil nécessite l'activation de la protection contre la falsification. Pour les applications dont le niveau d'API minimal est de 28 ou plus, la vérification de l'appareil ajoute une couche de chiffrement intégrée à la protection contre la falsification de votre application. Les utilisateurs peuvent voir brièvement apparaître votre écran de démarrage Android lorsqu'ils lancent votre application à froid.
Configuration
Les étapes ci-dessous décrivent la procédure à suivre pour commencer à utiliser les protections automatiques :
Pour ce faire, Google Play doit créer des APK modifiés et les signer pour votre compte. Par conséquent, vous devez :
- Utiliser le service Signature d'application Play
- Publier au format Android App Bundle
Veuillez également tenir compte des points suivants :
- La protection automatique nécessite que votre application cible un niveau d'API minimal de 21 ou supérieur.
- La protection automatique fonctionne hors connexion. Cependant, si l'application Play Store sur l'appareil est restée hors connexion pendant une période prolongée, une connexion de données sera régulièrement nécessaire au bon fonctionnement des vérifications du programme d'installation.
- La protection automatique vous évite d'utiliser la bibliothèque Play Licensing.
- Lorsque vous importez votre application en vue de son partage interne, la protection n'est pas appliquée. Ne communiquez les liens de partage interne d'application qu'aux membres de confiance de votre équipe et ne partagez pas les versions non protégées en externe.
- La protection automatique est incompatible avec la transparence du code pour les app bundles.
Conditions préalables supplémentaires pour la protection contre la falsification
Remarque : Cette fonctionnalité n'est disponible que pour certains partenaires Play.
Pour utiliser la protection contre la falsification, votre application doit :
- cibler un niveau d'API minimal de 23 ou supérieur (cibler un MidSDK version 23 ou ultérieure atteindra plus de 99 % des appareils Android actifs) ;
- cibler l'une des ABI suivantes : x86, x86_64, armeabi-v7a et arm64-v8a. Pour mettre à jour les ABI ciblées de votre application, mettez à jour les paramètres Gradle. Les autres ABI qui ne sont pas utilisées par des appareils Android actifs peuvent être supprimées de votre ciblage sans affecter la disponibilité de votre application.
Créez une version comme indiqué à l'étape 1 de l'article "Préparer et déployer une version".
Vous pouvez activer la protection lors de la création d'une version (comme indiqué à l'étape 2 de Préparer et déployer une version) ou sur la page Intégrité de l'appli (Tester et publier > Intégrité de l'appli), qui contient des services d'intégrité et de signature vous aidant à garantir l'expérience utilisateur que vous souhaitez pour vos applications et vos jeux.
Pendant la préparation de votre version, un bouton indiquera Obtenir la protection de l'intégrité ou Gérer la protection de l'intégrité. Vous pouvez ensuite activer la protection de l'intégrité en cliquant sur Oui, activer sous "Protection automatique". Google Play signera ensuite vos versions et ajoutera une vérification du programme d'installation afin de limiter la distribution abusive. Cela signifie également que la protection automatique est activée.
Terminez la préparation de votre version et enregistrez vos modifications.
Utilisez chacun des canaux de test pour tester la version de l'application protégée et vous assurer qu'il n'y a aucun impact inattendu sur l'expérience utilisateur ni sur les performances.
Nous vous recommandons d'effectuer les actions suivantes lors de votre procédure de vérification :
- Testez le lancement de votre jeu afin d'identifier des plantages au lancement et d'éventuels ralentissements au démarrage.
Si vous rencontrez des problèmes au cours du processus de test, vous pouvez désactiver la protection automatique. Nous vous recommandons de ne pas promouvoir de versions non protégées dans les canaux de test ouverts ni dans les canaux de production.
Pour désactiver la protection de l'intégrité pour une version spécifique, procédez comme suit :
- Lorsque vous préparez votre version, cliquez sur Gérer la protection de l'intégrité.
- Sous "Protection automatique", sélectionnez Désactiver la protection pour cette release.
- Enregistrez les modifications. Elles seront appliquées à cette version. La prochaine fois que vous importerez une version, elle bénéficiera aussi de la protection automatique.
Lorsque vous êtes prêt, vous pouvez déployer votre version dans un canal de production sur la Play Console afin que votre application protégée devienne accessible à tous les utilisateurs de Google Play dans les pays de votre choix.
Personnaliser votre fiche Play Store lorsque des utilisateurs y accèdent à partir des invites de protection automatique
La protection automatique peut inviter les utilisateurs qui obtiennent votre application de manière non officielle à la télécharger depuis Google Play. Lorsque les utilisateurs appuient sur l'invite, ils sont alors redirigés vers votre fiche Play Store, où ils peuvent appuyer sur le bouton d'installation (ou d'achat ou de mise à jour) pour obtenir l'application sur Play et l'ajouter à leur bibliothèque Play.
Vous pouvez personnaliser les assets de votre fiche Play Store pour tous les utilisateurs qui appuient sur l'invite, y compris le nom, l'icône, les descriptions et les assets graphiques de votre application. Pour ce faire :
- Ouvrez la Play Console, puis accédez à la page Intégrité de l'appli (Tester et publier > Intégrité de l'appli).
- Faites défiler la page jusqu'à la section "Protection automatique".
- Cliquez sur Paramètres.
- Faites défiler la page jusqu'à la section "Personnaliser la fiche Play Store".
- Cliquez sur Créer une fiche.
- Suivez les instructions de la page Créer une fiche Play Store personnalisée, puis cliquez sur Enregistrer.
Vous pouvez également créer des fiches Play Store personnalisées pour les invites de protection automatique directement depuis la page Fiches Play Store personnalisées :
- Ouvrez la Play Console, puis accédez à la page Fiches Play Store personnalisées (Accroître le nombre d'utilisateurs > Fiches Play Store personnalisées).
- Cliquez sur Créer une fiche, indiquez si vous souhaitez créer une fiche ou en dupliquer une, puis cliquez sur Suivant.
- Dans la section "Informations sur l'application", faites défiler la page jusqu'à Audience cible.
- Sélectionnez Par URL et saisissez "playintegrity" dans la zone de texte.
- Saisissez tous les autres détails, puis cliquez sur Enregistrer.
Pratiques recommandées pour la protection contre la falsification
Remarque : Cette fonctionnalité n'est disponible que pour certains partenaires Play.
Suivez ces pratiques recommandées pour profiter pleinement de la protection contre la falsification de Google Play :
Google Play fournit automatiquement des versions protégées dans tous les canaux : tests internes, fermés et ouverts, et canaux de production. Veillez à tester en détail ces versions comme vous le faites d'habitude. En particulier :
- Testez le lancement de votre jeu afin d'identifier des plantages au lancement et d'éventuels ralentissements au démarrage. Ce point est particulièrement important pour la vérification de l'appareil.
- Identifiez à quels moments les appels de votre code natif (C/C++) renvoient vers Java, dans votre propre code ou dans des bibliothèques tierces (par exemple pour les annonces, la journalisation, l'intégration et l'authentification sur les réseaux sociaux, ou des fonctionnalités Android spécifiques telles que la gestion des autorisations).
Si vous rencontrez des problèmes au cours du processus de test, vous pouvez revenir à une version précédente de la protection automatique que vous avez peut-être déjà utilisée pour une précédente version. Vous avez également la possibilité de désactiver la protection automatique. Nous vous recommandons de ne pas promouvoir de versions non protégées dans les canaux de test ouverts ni dans les canaux de production.
Si vous importez la version de votre application directement en vue de son partage interne, Google Play n'ajoute aucune protection, afin que vous puissiez utiliser le partage interne d'application pour importer des versions de débogage et d'autres versions similaires.
La protection automatique est susceptible de ne pas être compatible avec d'autres solutions de protection contre la falsification de l'environnement d'exécution. Leur utilisation simultanée pourrait entraîner des problèmes pour les utilisateurs. Si votre application effectue d'autres vérifications d'exécution, veillez à tester soigneusement l'application protégée pour détecter d'éventuels problèmes avant de la publier sur les canaux de tests ouverts.
Si vous publiez des versions non protégées dans des canaux de test ouverts ou via d'autres canaux en dehors de Google Play, la protection de votre application ne fonctionnera plus. Pour préserver la protection de l'intégrité de votre application, nous vous recommandons de ne publier que des versions protégées de votre application dans les canaux de test ouverts et les canaux de production.
Vous pouvez constater une augmentation des plantages une fois votre application protégée. Cela indique probablement que la protection automatique fonctionne comme prévu. Si un pirate informatique tente de modifier en vain votre application, la vérification de l'exécution empêche votre application de fonctionner, en la faisant planter dans la plupart des cas.
Les plantages qui ne sont pas attribués à Google Play n'ont pas d'incidence sur vos métriques de stabilité Android Vitals. Si vous utilisez d'autres outils pour analyser vos plantages (comme Crashlytics) et que vous avez besoin d'un nom de package pour filtrer par source d'installation, utilisez "com.android.vending" pour le Google Play Store.
Si vous pensez que le nombre de plantages augmente de manière indésirable, vous pouvez nous le signaler en fournissant le plus d'informations possible. Notre équipe se chargera d'examiner le problème. Nous vous répondrons si nous déterminons que les plantages sont liés à la protection.
Une version craquée est une version de votre application qui continue de fonctionner lorsqu'elle a été modifiée, ou lorsqu'elle a été installée en dehors de Google Play (si vous exigez l'installation depuis Google Play).
Si vous avez identifié une version craquée de votre application, vous pouvez nous le signaler.
Remarque : Cette fonctionnalité n'est disponible que pour certains partenaires Play.
La protection contre la falsification et d'autres fonctionnalités avancées fournies par la protection automatique sont disponibles pour les applications et les jeux qui répondent à nos critères d'éligibilité :
- Au moins 800 000 utilisateurs actifs par mois (UAM) enregistrés quotidiennement au cours des trois mois précédents, et au moins 800 000 installations actives.
- Au moins 1 million d'UAM enregistrés quotidiennement au cours du mois précédent, et au moins 1 million d'installations actives.
- Au moins 20 000 USD/mois en dépenses de consommateurs au cours de chacun des trois mois calendaires précédents ou au moins 25 000 USD au cours du mois calendaire précédent.
Ou participer à un programme Google Play, y compris :
- Google Play Games Level Up+
- Programme Partenaires Google Play pour les jeux
- Programme Google Play Media Experience
- Google Play Pass
Les critères d'éligibilité sont susceptibles d'être modifiés. Les partenaires qui remplissent nos critères d'éligibilité sont informés par le biais de notifications dans la Play Console et sur la page Intégrité des applis.
Si vous craignez que le nombre d'attaques augmente de manière indésirable parce que vous ne pouvez plus bénéficier de la protection contre la falsification, contactez l'assistance pour les développeurs et fournissez le plus d'informations possible. Notre équipe se chargera d'examiner le problème. Nous vous répondrons en conséquence.
Contenu associé
- En savoir plus sur les services d'intégrité et de signature dans la Play Console
- En savoir plus sur les services d'intégrité et de signature sur le site des développeurs Android