Utiliser l'API Play Integrity pour détecter les interactions à risque et lutter contre les abus

Vous pouvez utiliser l'API Play Integrity pour protéger vos applications et vos jeux contre les interactions à risque. En détectant ces interactions, votre application peut réagir de manière appropriée pour réduire le risque d'attaques et d'abus.

Fonctionnement

L'API Integrity réunit les fonctionnalités antiabus de Google Play ainsi qu'une collection de signaux d'intégrité pour aider les développeurs d'applications et de jeux Android à détecter le trafic potentiellement risqué de même que frauduleux. Ce trafic peut provenir de versions modifiées de votre application ou de votre jeu, d'appareils non fiables ou d'autres environnements non fiables. En détectant ce trafic, vous pouvez prendre les mesures appropriées pour réduire les attaques et les abus, comme la fraude, la tricherie ainsi que les accès non autorisés.

Lorsqu'un utilisateur effectue une action définie par une application ou un jeu, votre serveur demande au code côté client d'invoquer l'API Integrity. Le serveur Google Play renvoie une réponse chiffrée avec un verdict de l'intégrité indiquant si vous pouvez faire confiance ou non à cet appareil et à son fichier binaire. Votre application transmet ensuite cette réponse à votre serveur à des fins de vérification. Votre serveur peut décider des actions suivantes à effectuer par votre application ou votre jeu. 

L'API fournit un verdict de l'intégrité dans une réponse qui comprend les renseignements suivants :

  • Binaire d'application authentique : détermine si vous interagissez avec votre binaire non modifié reconnu par Google Play.
  • Installation authentique de Play : détermine si le compte d'utilisateur actuel dispose d'une licence, ce qui signifie que l'utilisateur a acquis votre application ou votre jeu en le payant sur Google Play ou en l'installant à partir de cette ressource.
  • Appareil Android authentique : détermine si votre application s'exécute sur un appareil Android authentique alimenté par les services Google Play (ou une instance authentique de Google Play Jeux sur PC).
  • Exempt de logiciels malveillants connus : détermine si Google Play Protect est activé et s'il a détecté des applications à risque ou dangereuses installées sur l'appareil.

Conseils :

Configurer et gérer l'API Play Integrity

Activer l'API Integrity pour votre application

Important : En accédant à l'API Integrity ou en l'utilisant, vous acceptez les conditions d'utilisation de l'API Play Integrity.

Pour activer les réponses de l'API Integrity pour votre application, vous devez associer un projet Google Cloud dans Play Console. Pour associer votre projet, procédez comme suit :

  1. Ouvrez Play Console et accédez à la page Intégrité de l'application (Version > Intégrité de l'application).
  2. Faites défiler l'écran jusqu'à la section « API Play Integrity ».
  3. Choisissez « Associer un projet existant » et le projet que vous voulez associer.
  4. Cliquez sur Associer le projet Cloud.

Pour commencer à intégrer l'API Integrity dans votre application, procédez comme suit :

  • Pour les applications Java/Kotlin, installez la dernière bibliothèque Android offerte pour l'API Play Integrity à partir du référentiel Maven de Google.
  • Pour les jeux Unity, installez la dernière version des plugiciels Google Play pour Unity. Toutes les versions 2019.x, 2020.x et les versions ultérieures sont prises en charge. Si vous utilisez Unity 2018.x, installez la version 2018.4 ou une version ultérieure. Si vous utilisez Unity 2017.x, installez la version 2017.4.40 ou une version ultérieure. Unity 5.x et les versions antérieures ne sont pas prises en charge.
  • Pour les applications et les jeux natifs, installez la dernière trousse SDK native Play Core.

Vous pouvez maintenant suivre ces étapes sur le site pour développeurs Android afin de commencer à utiliser l'API Play Integrity dans votre application ou votre jeu.

(Facultatif) Personnaliser les réponses de l'API Integrity 

Pour savoir comment configurer les réponses de l'API Integrity, consultez le site pour développeurs Android

Pour modifier vos réponses de l'API, procédez comme suit :

  1. Ouvrez Play Console et accédez à la page Intégrité de l'application (Version > Intégrité de l'application).
  2. Faites défiler l'écran jusqu'à la section « API Play Integrity ».
  3. Cliquez sur Paramètres.
  4. Faites défiler l'écran jusqu'à la section « Réponses ».
  5. Cliquez sur Modifier.
  6. Sélectionnez ou désélectionnez les cases à cocher à côté des réponses de l'API que vous voulez modifier.
  7. Cliquez sur Enregistrer les modifications.

Important : Les modifications apportées aux réponses de l'API prennent effet immédiatement après leur enregistrement, y compris lorsque votre application est en production. Avant de modifier l'ensemble des réponses de l'API dans Play Console, assurez-vous que votre serveur est prêt à accepter ces réponses.

(Facultatif) Configurer les paramètres de requêtes classiques

Par défaut, Google gère le chiffrement de vos réponses pour les requêtes classiques. Cependant, vous pouvez choisir de gérer vous-même le chiffrement de vos réponses si vous le préférez. 

Important : Le basculement du chiffrement de vos réponses entre celui géré par Google et celui autogéré requiert des modifications de code sur votre serveur dorsal.

Pour gérer vous-même le chiffrement de vos réponses, procédez comme suit :

  1. Ouvrez Play Console et accédez à la page Intégrité de l'application (Version > Intégrité de l'application).
  2. Faites défiler l'écran jusqu'à la section « API Play Integrity ».
  3. Cliquez sur Paramètres.
  4. Faites défiler l'écran jusqu'à la section « Requêtes classiques ». À côté de « Chiffrement des réponses », l'état par défaut sera « Géré par Google ». Cliquez sur Changer.
  5. Choisissez « Gérer et télécharger les clés de chiffrement de mes réponses », puis cliquez sur Enregistrer les modifications. Google générera des clés de chiffrement de réponses que vous téléchargerez et gérerez. Vous devez mettre à jour la logique de votre serveur dorsal pour utiliser les clés afin de déchiffrer les réponses.
  6. Suivez les instructions à l'écran pour générer un fichier .pem et téléversez le fichier .pem pour télécharger vos clés d'API.
  7. Un message à l'écran vous confirmera que la gestion du chiffrement de vos réponses a été mise à jour.
  8. Téléchargez les nouvelles clés de chiffrement de vos réponses et mettez à jour votre serveur dorsal pour déchiffrer les réponses avec elles en production. Revenez à l'onglet API Integrity sur la page Intégrité des applications pour permettre à Google Play de commencer à utiliser les nouvelles clés de chiffrement de réponses au lieu des clés patrimoniales. Ce changement est immédiat.

Pour passer d'un mode autogéré à un mode géré par Google, procédez comme suit :

  1. Ouvrez Play Console et accédez à la page Intégrité de l'application (Version > Intégrité de l'application).
  2. Faites défiler l'écran jusqu'à la section « API Play Integrity ».
  3. Cliquez sur Paramètres.
  4. Faites défiler l'écran jusqu'à la section « Requêtes classiques ». À côté de « Chiffrement des réponses », l'état sera « Autogéré » parce que vous l'aurez modifié auparavant. Cliquez sur Changer.
  5. Choisissez « Laisser Google gérer le chiffrement de mes réponses (recommandé) » et cliquez sur Enregistrer les modifications. Google générera et protégera les clés de chiffrement de vos réponses. Votre serveur dorsal appellera le serveur de Google Play pour déchiffrer les réponses.

Tester votre intégration de l'API Play Integrity

Pour tester votre intégration de l'API Integrity, vous pouvez configurer une liste de comptes Gmail. Tout d'abord, assurez-vous que vos testeurs ont accès à votre version. Publiez votre application dans le sous-ensemble de test interne ou dans le sous-ensemble dans lequel vous avez l'intention d'effectuer le test. Suivez ensuite les instructions pour gérer les testeurs par adresse de courriel ou utiliser Google Groupes afin que vos testeurs puissent accéder à votre version.

Pour configurer un test, procédez comme suit :

  1. Ouvrez Play Console et accédez à la page Intégrité de l'application (Version > Intégrité de l'application).
  2. Faites défiler l'écran jusqu'à la section « API Play Integrity ».
  3. Cliquez sur Paramètres.
  4. Faites défiler l'écran jusqu'à la section « Tests ».
  5. Cliquez sur Créer un test.
  6. Sélectionnez une liste de distribution ou créez-en une.
  7. Cliquez sur Créer un test.

Personnaliser votre fiche Google Play Store lorsque les utilisateurs accèdent à l'application à partir des boîtes de dialogue de l'API Integrity

Vous pouvez utiliser une boîte de dialogue de correction de l'API Integrity pour inviter les utilisateurs qui ont obtenu votre application de manière non officielle à la télécharger sur Google Play. Lorsque les utilisateurs toucheront la boîte de dialogue, ils seront redirigés vers votre fiche Google Play Store où ils pourront toucher le bouton d'installation (ou le bouton acheter ou mettre à jour) afin que l'application soit ajoutée à leur bibliothèque Play.

Vous pouvez personnaliser les éléments de votre fiche Google Play Store pour tous les visiteurs qui touchent les boîtes de dialogue de correction de l'API Integrity, y compris le nom, l'icône, les descriptions et les éléments graphiques de votre application. Pour personnaliser votre fiche Google Play Store lorsque les utilisateurs la consultent à partir d'une boîte de dialogue de l'API Integrity, procédez comme suit :

  1. Ouvrez Play Console et accédez à la page Intégrité de l'application (Version > Intégrité de l'application).
  2. Faites défiler l'écran jusqu'à la section « API Play Integrity ».
  3. Cliquez sur Paramètres.
  4. Faites défiler l'écran jusqu'à la section « Personnaliser la fiche Google Play Store ».
  5. Cliquez sur Créer une fiche.
  6. Suivez les instructions sur la page Créer une fiche Google Play Store personnalisée et cliquez sur Enregistrer.

Vous pouvez également créer des fiches Google Play Store personnalisées pour les boîtes de dialogue de l'API Integrity directement à partir de la page « Fiche Google Play Store personnalisée » comme suit :

  1. Ouvrez Play Console et accédez à la page Fiche Google Play Store personnalisée (Croissance > Fiche Google Play Store personnalisée).
  2. Cliquez sur Créer une fiche, choisissez si vous souhaitez créer une fiche ou dupliquer une fiche existante, puis cliquez sur Suivant.
  3. Sous « Détails de la fiche », recherchez la section « Public cible ».
  4. Sélectionnez Par URL et saisissez « playintegrity » dans la zone de texte.
  5. Saisissez tous les autres détails et cliquez sur Enregistrer.

Conseil : Le paramètre d'URL « playintegrity » est un mot clé spécial réservé aux liens profonds d'intégrité. Il doit donc être saisi de manière exacte lors de la configuration de la fiche Google Play Store personnalisée.

Augmenter le nombre maximal de requêtes quotidiennes de l'API Play Integrity

Les applications peuvent envoyer jusqu'à 10 000 requêtes par jour à l'API Integrity par défaut.

Pour afficher le volume de requêtes effectuées quotidiennement par votre application, procédez comme suit :

  1. Ouvrez Play Console et accédez à la page Intégrité de l'application (Version > Intégrité de l'application).
  2. Faites défiler l'écran jusqu'à la section « API Play Integrity ».
  3. Consultez votre nombre quotidien de requêtes. Pour afficher plus de données, modifier la période et appliquer des filtres, cliquez sur Afficher le rapport API Integrity.

Pour afficher les requêtes quotidiennes maximales de votre application, procédez comme suit :

  1. Ouvrez Play Console et accédez à la page Intégrité de l'application (Version > Intégrité de l'application).
  2. Faites défiler l'écran jusqu'à la section « API Play Integrity ».
  3. Cliquez sur Paramètres.
  4. Affichez votre niveau d'utilisation.

Vous pouvez demander de faire plus de 10 000 requêtes par jour. Pour être admissible, vous devez :

  • confirmer la mise en œuvre correcte de la logique de l'API, y compris les relances;
  • publier votre application sur Google Play en plus de tout autre canal de distribution.

Pour augmenter vos requêtes quotidiennes maximales, remplissez ce formulaire.

Contenu connexe

Cela a-t-il été utile?

Comment pouvons-nous améliorer cette page?

Besoin d'aide supplémentaire?

Essayez les étapes suivantes :

Communiquer avec nous Dites-nous-en plus et nous vous aiderons à y arriver
true
Rechercher
Effacer les termes de recherche
Fermer le champ de recherche
Menu principal
16988333082458970178
true
Rechercher dans le Centre d'aide
true
true
true
true
true
92637
false
false