Notification

You can now request help from the Help page in your Play Console account.  If you don't have access to Play Console, ask your account admin for an invite.

Détecter les interactions dangereuses et lutter contre les utilisations abusives grâce à l'API Play Integrity

Vous pouvez utiliser l'API Play Integrity pour protéger vos applications et vos jeux contre les interactions dangereuses. En identifiant ces interactions, votre application peut réagir de façon adéquate pour réduire les risques d'attaque et d'utilisation abusive.

Fonctionnement

L'API Play Integrity vous aide à protéger vos applications et vos jeux contre les utilisations abusives en vérifiant si les interactions des utilisateurs et les requêtes de serveur proviennent du binaire d'application non modifié, installé par Google Play et exécuté sur un appareil Android authentique (ou une instance authentique de Google Play Games pour PC). En détectant un large éventail de menaces (versions modifiées de votre application, appareils non fiables, environnements non fiables, par exemple), vous pouvez prendre les mesures appropriées pour réduire les attaques telles que la fraude, la tricherie et les accès non autorisés.

Lorsqu'un utilisateur effectue une action, votre application demande une évaluation de l'API Play Integrity. Le serveur Google Play renvoie une réponse chiffrée contenant une évaluation de l'intégrité que votre application transmet ensuite à votre serveur pour validation. Votre serveur backend utilise cette évaluation pour déterminer la procédure à suivre pour votre jeu ou votre application. 

L'API renvoie des évaluations qui vous aident à détecter les menaces potentielles, y compris :

  • Accès non autorisé : l'évaluation accountDetails vous aide à déterminer si l'utilisateur a installé ou payé votre application ou votre jeu à partir de Google Play.
  • Falsification de code : l'évaluation appIntegrity vous aide à déterminer si vous interagissez avec votre binaire non modifié reconnu par Google Play.
  • Appareils à risque et environnements émulés : l'évaluation deviceIntegrity vous aide à déterminer si votre application s'exécute sur un appareil Android certifié authentique ou sur une instance authentique de Google Play Games pour PC.

Important : Lorsque l'API Play Integrity évalue un environnement, elle utilise des signaux de sécurité intégrés au matériel qui sont très résistants aux attaques et aux contournements. L'API Play Integrity simplifie le travail d'intégration et la gestion continue des développeurs en éliminant la complexité des signaux et en atténuant les problèmes sur les différentes versions du SDK Android, les clés provisionnées par les fabricants d'appareils et les modèles d'appareils.

Les développeurs Google Play peuvent également choisir de recevoir des évaluations supplémentaires pour détecter un plus large éventail de menaces potentielles, y compris :

  • Appareils non corrigés : la réponse MEETS_STRONG_INTEGRITY dans l'évaluation deviceIntegrity vous aide à déterminer si un appareil a appliqué les mises à jour de sécurité récentes (pour les appareils exécutant Android 13 ou version ultérieure).
  • Accès risqué par d'autres applications : l'évaluation appAccessRiskVerdict vous aide à déterminer si des applications en cours d'exécution peuvent être utilisées pour effectuer des captures d'écran, afficher des superpositions ou contrôler l'appareil (par exemple, en utilisant de manière abusive l'autorisation d'accessibilité).
  • Logiciel malveillant connu : l'évaluation playProtectVerdict vous aide à déterminer si Google Play Protect est activé et s'il a détecté des applications douteuses ou dangereuses installées sur l'appareil.
  • Hyperactivité : le niveau recentDeviceActivity vous aide à déterminer si un appareil a récemment effectué un volume de requêtes anormalement élevé, ce qui pourrait indiquer un trafic automatisé et être le signe d'une attaque.
  • Utilisation abusive répétée et appareils réutilisés : deviceRecall (bêta) vous aide à déterminer si vous interagissez avec un appareil que vous avez déjà signalé, même si votre application a été réinstallée ou si l'appareil a été réinitialisé.

L'API peut être utilisée sur les facteurs de forme Android, y compris les téléphones, les tablettes, les appareils pliables, Android Auto, Android TV, Android XR, ChromeOS, Wear OS et Google Play Games pour PC.

 

Astuces :

Configurer et gérer l'API Play Integrity

Activer l'API Integrity pour votre application

Important : En accédant à l'API Integrity ou en l'utilisant, vous acceptez les Conditions d'utilisation de l'API Play Integrity.
Pour activer les réponses de l'API Integrity pour votre application, vous devez associer un projet Google Cloud dans la Play Console. Pour associer votre projet :
  1. Ouvrez la Play Console, puis accédez à Protégé avec Play dans le menu de gauche.
  2. Faites défiler la page jusqu'à la section "API Play Integrity".
  3. Cliquez sur Commencer.
  4. Sélectionnez "Associer un projet existant", puis le projet que vous souhaitez associer.
  5. Cliquez sur "Associer un projet Cloud".

Pour commencer à intégrer l'API Integrity dans votre application, procédez comme suit :

  • Pour les applications Java/Kotlin, installez la dernière bibliothèque Android disponible pour l'API Play Integrity à partir du dépôt Maven de Google.
  • Pour les jeux Unity, installez la dernière version des plug-ins Google Play pour Unity. Toutes les versions 2019.x, 2020.x et ultérieures sont compatibles. Si vous utilisez Unity 2018.x, installez la version 2018.4 ou une version ultérieure. Si vous utilisez Unity 2017.x, installez la version 2017.4.40 ou une version ultérieure. Unity 5.x et les versions antérieures ne sont pas compatibles.
  • Pour les applications et les jeux natifs, installez la dernière version du SDK Play Core natif.

Pour commencer à utiliser l'API Play Integrity dans votre application ou votre jeu, vous pouvez maintenant suivre cette procédure sur le site Développeurs Android.

(Facultatif) Personnaliser les réponses de l'API Integrity 

Pour savoir comment configurer les réponses de l'API Integrity, consultez le site pour les développeurs Android.

Pour modifier les réponses de l'API, procédez comme suit :

  1. Ouvrez la Play Console, puis accédez à Protégé avec Play dans le menu de gauche.
  2. Faites défiler la page jusqu'à la section "API Play Integrity".
  3. Cliquez sur Gérer.
  4. Faites défiler la page jusqu'à la section "Réponses".
  5. Cliquez sur Modifier.
  6. Cochez ou décochez les cases correspondant aux réponses d'API que vous souhaitez modifier.
  7. Cliquez sur Enregistrer les modifications.

Important : Les modifications apportées aux réponses de l'API sont prises en compte dès que vous les enregistrez, y compris lorsque votre application est en production. Avant de modifier les réponses de l'API dans la Play Console, vérifiez que votre serveur est prêt à les accepter.

(Facultatif) Configurer les paramètres des requêtes classiques

Par défaut, Google gère le chiffrement des réponses aux requêtes classiques. Toutefois, si vous le souhaitez, vous pouvez choisir de le gérer vous-même. 

Important : Pour gérer vous-même le chiffrement des réponses qui l'était auparavant par Google (ou inversement), vous devez modifier le code sur votre serveur backend.

Pour gérer vous-même le chiffrement des réponses :

  1. Ouvrez la Play Console, puis accédez à Protégé avec Play dans le menu de gauche.
  2. Faites défiler la page jusqu'à la section "API Play Integrity".
  3. Cliquez sur Gérer.
  4. Faites défiler la page jusqu'à la section "Requêtes classiques". L'état par défaut indiqué à côté de "Chiffrement de réponse" est "Gérées par Google". Cliquez sur Modifier.
  5. Sélectionnez "Gérer et télécharger mes clés de chiffrement de réponse". Google va générer des clés de chiffrement de réponse que vous pourrez télécharger et gérer. Pour déchiffrer les réponses avec ces clés, vous devez modifier la logique de votre serveur backend.
  6. Suivez les instructions à l'écran pour générer un fichier .pem et importez-le afin de télécharger vos clés API.
  7. Cliquez sur Enregistrer les modifications.
  8. Un message à l'écran confirme que le mode de gestion du chiffrement des réponses a été modifié.
  9. Vos nouvelles clés de chiffrement de réponse seront automatiquement téléchargées. Vous pourrez toujours les télécharger plus tard en cliquant sur Télécharger les clés.

Si vous gérez vous-même vos clés et souhaitez qu'elles soient désormais gérées par Google, procédez comme suit :

  1. Ouvrez la Play Console, puis accédez à Protégé avec Play dans le menu de gauche.
  2. Faites défiler la page jusqu'à la section "API Play Integrity".
  3. Cliquez sur Gérer.
  4. Faites défiler la page jusqu'à la section "Requêtes classiques". L'état indiqué à côté de "Chiffrement de réponse" est "Autogérées", car vous avez auparavant choisi de gérer le chiffrement vous-même. Cliquez sur Modifier.
  5. Sélectionnez "Laisser Google gérer mon chiffrement de réponse (recommandé)", puis cliquez sur Enregistrer les modifications. Google va générer et gérer vos clés de chiffrement de réponse. Votre serveur backend doit appeler le serveur de Google Play pour déchiffrer les réponses.

Tester l'intégration de l'API Play Integrity

Pour tester l'intégration de l'API Integrity, vous pouvez configurer une liste de comptes Gmail. Commencez par vérifier que vos testeurs ont accès à votre version. Publiez votre application sur le canal de test interne ou sur le canal où vous souhaitez effectuer le test. Une fois cette étape effectuée, suivez les instructions expliquant comment gérer les testeurs à l'aide de leur adresse e-mail ou utiliser des groupes Google pour que vos testeurs puissent accéder à votre version.

Pour configurer un test, procédez comme suit :

  1. Ouvrez la Play Console, puis accédez à Protégé avec Play dans le menu de gauche.
  2. Faites défiler la page jusqu'à la section "API Play Integrity".
  3. Cliquez sur Gérer.
  4. Faites défiler la page jusqu'à la section "Tests".
  5. Cliquez sur Créer un test.
  6. Sélectionnez une liste de diffusion ou créez-en une.
  7. Cliquez sur Créer le test.

Personnaliser votre fiche Play Store lorsque des utilisateurs y accèdent à partir de la boîte de dialogue de l'API Integrity

Vous pouvez utiliser une boîte de dialogue de résolution de l'API Integrity pour inviter les utilisateurs qui ont obtenu votre application de manière non officielle à la télécharger depuis Google Play. Lorsque les utilisateurs appuient sur la boîte de dialogue, ils sont alors redirigés vers votre fiche Play Store, où ils peuvent appuyer sur le bouton d'installation (ou d'achat ou de mise à jour) pour ajouter l'application à leur bibliothèque Play.

Vous pouvez personnaliser les assets de votre fiche Play Store pour tous les utilisateurs qui appuient sur la boîte de dialogue de résolution de l'API Integrity, y compris le nom, l'icône, les descriptions et les assets graphiques de votre application. Pour personnaliser votre fiche Play Store lorsque des utilisateurs y accèdent à partir d'une boîte de dialogue de l'API Integrity :

  1. Ouvrez la Play Console, puis accédez à Protégé avec Play dans le menu de gauche.
  2. Faites défiler la page jusqu'à la section "API Play Integrity".
  3. Cliquez sur Gérer.
  4. Faites défiler la page jusqu'à la section "Personnaliser la fiche Play Store".
  5. Cliquez sur Créer une fiche.
  6. Suivez les instructions de la page Créer une fiche Play Store personnalisée, puis cliquez sur Enregistrer.

Vous pouvez également créer des fiches Play Store personnalisées pour les boîtes de dialogue de l'API Integrity directement depuis la page Fiches Play Store personnalisées :

  1. Ouvrez la Play Console, puis accédez à la page Fiches Play Store personnalisées (Accroître le nombre d'utilisateurs > Fiches Play Store personnalisées).
  2. Cliquez sur Créer une fiche, indiquez si vous souhaitez créer une fiche ou en dupliquer une, puis cliquez sur Suivant.
  3. Sous "Informations sur l'application", recherchez la section "Audience cible".
  4. Sélectionnez Par URL, puis saisissez "playintegrity" dans la zone de texte.
  5. Saisissez tous les autres détails, puis cliquez sur Enregistrer.

Remarque : Le paramètre d'URL "playintegrity" est un mot clé spécial réservé aux liens profonds d'intégrité. Vous devez donc le saisir tel quel lorsque vous configurez la fiche Play Store personnalisée.

Augmenter le nombre maximal de requêtes quotidiennes pour l'API Play Integrity

Par défaut, les applications peuvent envoyer jusqu'à 10 000 requêtes par jour à l'API Integrity.

Pour consulter le volume de requêtes que votre application envoie quotidiennement :

  1. Ouvrez la Play Console, puis accédez à Protégé avec Play dans le menu de gauche.
  2. Faites défiler la page jusqu'à la section "Surveiller l'API Play Integrity".
  3. Cliquez sur la fiche de surveillance pour ouvrir le rapport de l'API Integrity et consulter le nombre quotidien de requêtes.

Pour consulter le nombre maximal de requêtes quotidiennes de votre application :

  1. Ouvrez la Play Console, puis accédez à Protégé avec Play dans le menu de gauche.
  2. Faites défiler la page jusqu'à la section "API Play Integrity".
  3. Cliquez sur Gérer.
  4. Consultez votre quota quotidien.

Vous pouvez demander à pouvoir envoyer plus de 10 000 requêtes par jour. Pour cela :

  • Vous devez vérifier que la logique d'API est correctement implémentée, y compris pour les nouvelles tentatives.
  • Vous devez publier votre application sur Google Play en plus de la rendre disponible sur d'autres canaux de distribution.

Pour augmenter le nombre maximal de requêtes quotidiennes, remplissez ce formulaire.

Contenu associé

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Essayez les solutions ci-dessous :

Contactez-nous Donnez-nous plus de détails pour que nous puissions vous aider
true
Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
797923052322036742
true
Rechercher dans le centre d'aide
false
true
true
true
true
true
92637
false
false
false
false
false