Détecter les interactions dangereuses et lutter contre les utilisations abusives grâce à l'API Play Integrity

Vous pouvez utiliser l'API Play Integrity pour protéger vos applications et vos jeux contre les interactions dangereuses. En identifiant ces interactions, votre application peut réagir de façon adéquate pour réduire les risques d'attaque et d'utilisation abusive.

Fonctionnement

L'API Integrity associe les fonctionnalités Google Play conçues pour lutter contre les utilisations abusives à différents signaux d'intégrité afin de permettre aux développeurs de jeux et d'applications Android de détecter le trafic potentiellement dangereux et frauduleux. Ce trafic peut provenir de versions modifiées de votre application ou de votre jeu, ainsi que d'appareils ou d'autres environnements non fiables. En détectant ce trafic, vous pouvez prendre les mesures appropriées pour limiter les attaques et les utilisations abusives (fraudes, tricherie, accès non autorisés, etc.).

Lorsqu'un utilisateur effectue une action définie par une application ou un jeu, votre serveur demande au code côté client d'appeler l'API Integrity. Le serveur Google Play renvoie une réponse chiffrée contenant une évaluation de l'intégrité qui indique si vous pouvez approuver cet appareil et son binaire. Votre application transmet ensuite cette réponse à votre serveur pour validation. Celui-ci peut décider de la procédure que l'application ou le jeu doit alors suivre.

L'API fournit une évaluation de l'intégrité sous forme de réponse contenant les informations suivantes :

  • Binaire d'application authentique : déterminez si vous interagissez avec le binaire non modifié reconnu par Google Play.
  • Installation Play authentique : déterminez si le compte utilisateur actuel dispose d'une licence, c'est-à-dire si l'utilisateur a installé ou payé votre application ou votre jeu à partir de Google Play.
  • Appareil Android authentique : déterminez si votre application s'exécute sur un appareil Android authentique équipé des services Google Play (ou une instance authentique de Google Play Jeux pour PC).
  • Absence de logiciel malveillant connu : déterminez si Google Play Protect est activé et s'il a détecté des applications douteuses ou dangereuses installées sur l'appareil.

Remarques :

Configurer et gérer l'API Play Integrity

Activer l'API Integrity pour votre application

Important : En accédant à l'API Integrity ou en l'utilisant, vous acceptez les Conditions d'utilisation de l'API Play Integrity.

Pour activer les réponses de l'API Integrity pour votre application, vous devez associer un projet Google Cloud dans la Play Console. Pour associer votre projet :

  1. Ouvrez la Play Console, puis accédez à la page Intégrité de l'appli (Publier > Intégrité de l'appli).
  2. Faites défiler la page jusqu'à la section "API Play Integrity".
  3. Sélectionnez "Associer un projet existant", puis le projet que vous souhaitez associer.
  4. Cliquez sur Associer un projet Cloud.

Pour commencer à intégrer l'API Integrity dans votre application, procédez comme suit :

  • Pour les applications Java/Kotlin, installez la dernière bibliothèque Android disponible pour l'API Play Integrity à partir du dépôt Maven de Google.
  • Pour les jeux Unity, installez la dernière version des plug-ins Google Play pour Unity. Toutes les versions 2019.x, 2020.x et ultérieures sont compatibles. Si vous utilisez Unity 2018.x, installez la version 2018.4 ou une version ultérieure. Si vous utilisez Unity 2017.x, installez la version 2017.4.40 ou une version ultérieure. Unity 5.x et les versions antérieures ne sont pas compatibles.
  • Pour les applications et les jeux natifs, installez la dernière version du SDK Play Core natif.

Pour commencer à utiliser l'API Play Integrity dans votre application ou votre jeu, vous pouvez maintenant suivre cette procédure sur le site Développeurs Android.

(Facultatif) Personnaliser les réponses de l'API Integrity 

Pour savoir comment configurer les réponses de l'API Integrity, consultez le site pour les développeurs Android.

Pour modifier les réponses de l'API :

  1. Ouvrez la Play Console, puis accédez à la page Intégrité de l'appli (Publier > Intégrité de l'appli).
  2. Faites défiler la page jusqu'à la section "API Play Integrity".
  3. Cliquez sur Paramètres.
  4. Faites défiler la page jusqu'à la section "Réponses".
  5. Cliquez sur Modifier.
  6. Cochez ou décochez les cases correspondant aux réponses d'API que vous souhaitez modifier.
  7. Cliquez sur Enregistrer les modifications.

Important : Les modifications apportées aux réponses de l'API sont prises en compte dès que vous les enregistrez, y compris lorsque votre application est en production. Avant de modifier les réponses de l'API dans la Play Console, vérifiez que votre serveur est prêt à les accepter.

(Facultatif) Configurer les paramètres des requêtes classiques

Par défaut, Google gère le chiffrement des réponses aux requêtes classiques. Toutefois, si vous le souhaitez, vous pouvez choisir de le gérer vous-même. 

Important : Pour gérer vous-même le chiffrement des réponses qui l'était auparavant par Google (ou inversement), vous devez modifier le code sur votre serveur backend.

Pour gérer vous-même le chiffrement des réponses :

  1. Ouvrez la Play Console, puis accédez à la page Intégrité de l'appli (Publier > Intégrité de l'appli).
  2. Faites défiler la page jusqu'à la section "API Play Integrity".
  3. Cliquez sur Paramètres.
  4. Faites défiler la page jusqu'à la section "Requêtes classiques". L'état par défaut indiqué à côté de "Chiffrement de réponse" est "Gérées par Google". Cliquez sur Modifier.
  5. Sélectionnez "Gérer et télécharger mes clés de chiffrement de réponse", puis cliquez sur Enregistrer les modifications. Google va générer des clés de chiffrement de réponse que vous pourrez télécharger et gérer. Pour déchiffrer les réponses avec ces clés, vous devez modifier la logique de votre serveur backend.
  6. Suivez les instructions à l'écran pour générer un fichier .pem et importez-le afin de télécharger vos clés API.
  7. Un message à l'écran confirme que le mode de gestion du chiffrement des réponses a été modifié.
  8. Téléchargez vos nouvelles clés de chiffrement des réponses et mettez à jour votre serveur backend pour déchiffrer les réponses en production grâce à ces clés. Revenez à l'onglet API Integrity de la page Intégrité de l'appli pour permettre à Google Play de commencer à utiliser les nouvelles clés de chiffrement des réponses à la place des anciennes. Ce changement est immédiat.

Si vous gérez vous-même vos clés et souhaitez qu'elles soient désormais gérées par Google :

  1. Ouvrez la Play Console, puis accédez à la page Intégrité de l'appli (Publier > Intégrité de l'appli).
  2. Faites défiler la page jusqu'à la section "API Play Integrity".
  3. Cliquez sur Paramètres.
  4. Faites défiler la page jusqu'à la section "Requêtes classiques". L'état indiqué à côté de "Chiffrement de réponse" est "Autogérées", car vous avez auparavant choisi de gérer le chiffrement vous-même. Cliquez sur Modifier.
  5. Sélectionnez "Laisser Google gérer mon chiffrement de réponse (recommandé)", puis cliquez sur Enregistrer les modifications. Google va générer et gérer vos clés de chiffrement de réponse. Votre serveur backend appellera le serveur de Google Play pour déchiffrer les réponses.

Tester l'intégration de l'API Play Integrity

Pour tester l'intégration de l'API Integrity, vous pouvez configurer une liste de comptes Gmail. Commencez par vérifier que vos testeurs ont accès à votre version. Publiez votre application sur le canal de test interne ou sur le canal où vous souhaitez effectuer le test. Une fois cette étape effectuée, suivez les instructions expliquant comment gérer les testeurs à l'aide de leur adresse e-mail ou utiliser des groupes Google pour que vos testeurs puissent accéder à votre version.

Pour configurer un test :

  1. Ouvrez la Play Console, puis accédez à la page Intégrité de l'appli (Publier > Intégrité de l'appli).
  2. Faites défiler la page jusqu'à la section "API Play Integrity".
  3. Cliquez sur Paramètres.
  4. Faites défiler la page jusqu'à la section "Tests".
  5. Cliquez sur Créer un test.
  6. Sélectionnez une liste de diffusion ou créez-en une.
  7. Cliquez sur Créer le test.

Personnaliser votre fiche Play Store lorsque des utilisateurs y accèdent à partir des boîtes de dialogue de l'API Integrity

Vous pouvez utiliser une boîte de dialogue de résolution de l'API Integrity pour inviter les utilisateurs qui ont obtenu votre application de manière non officielle à la télécharger depuis Google Play. Lorsque les utilisateurs appuient sur la boîte de dialogue, ils sont alors redirigés vers votre fiche Play Store, où ils peuvent appuyer sur le bouton d'installation (ou d'achat ou de mise à jour) pour ajouter l'application à leur bibliothèque Play.

Vous pouvez personnaliser les assets de votre fiche Play Store pour tous les utilisateurs qui appuient sur les boîtes de dialogue de résolution de l'API Integrity, y compris le nom, l'icône, les descriptions et les assets graphiques de votre application. Pour personnaliser votre fiche Play Store lorsque des utilisateurs y accèdent à partir d'une boîte de dialogue de l'API Integrity :

  1. Ouvrez la Play Console, puis accédez à la page Intégrité de l'appli (Publier > Intégrité de l'appli).
  2. Faites défiler la page jusqu'à la section "API Play Integrity".
  3. Cliquez sur Paramètres.
  4. Faites défiler la page jusqu'à la section "Personnaliser la fiche Play Store".
  5. Cliquez sur Créer une fiche.
  6. Suivez les instructions de la page Créer une fiche Play Store personnalisée, puis cliquez sur Enregistrer.

Vous pouvez également créer des fiches Play Store personnalisées pour les boîtes de dialogue de l'API Integrity directement depuis la page "Fiches Play Store personnalisées" :

  1. Ouvrez la Play Console, puis accédez à la page Fiches Play Store personnalisées (Croissance > Fiches Play Store personnalisées).
  2. Cliquez sur Créer une fiche, indiquez si vous souhaitez créer une fiche ou en dupliquer une, puis cliquez sur Suivant.
  3. Sous "Informations sur l'application", recherchez la section "Audience cible".
  4. Sélectionnez Par URL, puis saisissez "playintegrity" dans la zone de texte.
  5. Saisissez tous les autres détails, puis cliquez sur Enregistrer.

Remarque : Le paramètre d'URL "playintegrity" est un mot clé spécial réservé aux liens profonds d'intégrité. Vous devez donc le saisir tel quel lorsque vous configurez la fiche Play Store personnalisée.

Augmenter le nombre maximal de requêtes quotidiennes pour l'API Play Integrity

Par défaut, les applications peuvent envoyer jusqu'à 10 000 requêtes par jour à l'API Integrity.

Pour consulter le volume de requêtes que votre application envoie quotidiennement :

  1. Ouvrez la Play Console, puis accédez à la page Intégrité de l'appli (Publier > Intégrité de l'appli).
  2. Faites défiler la page jusqu'à la section "API Play Integrity".
  3. Consultez votre nombre quotidien de requêtes. Pour afficher plus de données, modifier la période et appliquer des filtres, cliquez sur Afficher le rapport sur l'API Integrity.

Pour consulter le nombre maximal de requêtes quotidiennes de votre application :

  1. Ouvrez la Play Console, puis accédez à la page Intégrité de l'appli (Publier > Intégrité de l'appli).
  2. Faites défiler la page jusqu'à la section "API Play Integrity".
  3. Cliquez sur Paramètres.
  4. Affichez votre niveau d'utilisation.

Vous pouvez demander à pouvoir envoyer plus de 10 000 requêtes par jour. Pour cela :

  • Vous devez vérifier que la logique d'API est correctement implémentée, y compris pour les nouvelles tentatives.
  • Vous devez publier votre application sur Google Play en plus de la rendre disponible sur d'autres canaux de distribution.

Pour augmenter le nombre maximal de requêtes quotidiennes, remplissez ce formulaire.

Contenu associé

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Essayez les solutions ci-dessous :

Recherche
Effacer la recherche
Fermer le champ de recherche
Applications Google
Menu principal