Avis de non-responsabilité : Les résumés du règlement et les points clés ne sont pas exhaustifs. Consultez toujours l'intégralité du règlement pour vous assurer de bien le respecter. En cas de conflit, le règlement complet prévaut.
Pour veiller à la sécurité de l'écosystème Android, Google Play interdit tout code malveillant, y compris les SDK tiers intégrés dans les applications, qui pourrait présenter un risque pour les utilisateurs, leurs données ou leurs appareils. Veuillez consulter la totalité du règlement pour vous assurer de bien le respecter.
Le terme "logiciel malveillant" désigne tout code susceptible de faire courir un risque à l'utilisateur, à ses données ou à son appareil. Les logiciels malveillants incluent, sans s'y limiter, les applications potentiellement dangereuses, les binaires ou les modifications de framework, qui se classent en différentes catégories telles que les chevaux de Troie, l'hameçonnage et les logiciels espions. Nous mettons régulièrement à jour ces catégories et en ajoutons de nouvelles.
Même s'ils ne sont pas tous du même type et ont des fonctionnalités diverses, les logiciels malveillants ont généralement l'un des objectifs suivants :
- Compromettre l'intégrité de l'appareil de l'utilisateur
- Prendre le contrôle de l'appareil de l'utilisateur
- Permettre l'exécution d'opérations contrôlées à distance afin qu'un pirate informatique puisse accéder à l'appareil infecté, l'utiliser ou l'exploiter de toute autre manière
- Transmettre des données à caractère personnel ou des identifiants depuis l'appareil sans en informer correctement l'utilisateur ni obtenir son autorisation
- Propager du spam ou des commandes depuis l'appareil infecté pour affecter d'autres appareils ou réseaux
- Escroquer l'utilisateur
Une application, un fichier binaire ou une modification de framework peuvent être potentiellement dangereux, et par conséquent susciter un comportement malveillant, même s'ils n'ont pas été conçus dans ce but. En effet, leur fonctionnement peut varier selon divers facteurs. Par conséquent, ce qui est dangereux pour un certain appareil Android peut être absolument inoffensif pour un autre appareil Android. Par exemple, un appareil équipé de la dernière version d'Android n'est pas affecté par les applications dangereuses qui utilisent des API obsolètes pour susciter un comportement malveillant, tandis qu'un appareil équipé d'une version très ancienne d'Android peut être vulnérable. Les applications, les fichiers binaires et les modifications de framework sont signalés en tant que logiciels malveillants ou PHA (applications potentiellement dangereuses) s'ils présentent un risque évident pour certains appareils et utilisateurs Android, ou pour l'ensemble d'entre eux.
Les catégories de logiciels malveillants ci-dessous reflètent notre conviction fondamentale que les utilisateurs doivent comprendre comment leur appareil est exploité et promouvoir un écosystème sûr qui favorise une innovation forte et une expérience utilisateur fiable.
Pour plus d'informations, consultez le site Google Play Protect.
Remarques importantes
| À faire | À éviter |
| Examinez minutieusement tout le code de votre application, y compris les SDK tiers, pour vous assurer qu'elle ne présente pas de comportements s'apparentant à un logiciel malveillant, tels que des logiciels espions, des chevaux de Troie ou des tentatives d'hameçonnage, même involontaires. | N'intégrez pas de code qui abuse des droits élevés pour compromettre l'intégrité du système, qui passe les appareils en mode root à l'insu de l'utilisateur ou sans son consentement explicite, ou qui emploie des techniques de masquage pour échapper à la détection des comportements malveillants. |
| Envisagez d'utiliser des outils pour détecter la présence de failles de sécurité ou de portes dérobées qui permettent des opérations indésirables à distance. | N'utilisez pas de SDK tiers qui collectent et transmettent des données à caractère personnel à des fins de surveillance sans en informer correctement l'utilisateur ni obtenir son consentement (logiciels de traque). N'intégrez pas de code qui entraînera des pratiques de facturation trompeuses impliquant des SMS, des appels ou une fraude à la facturation par l'opérateur. |
| Assurez-vous que les SDK tiers ne collectent et/ou n'exfiltrent pas de données utilisateur sans fonctionnalité conforme au règlement et/ou sans notification ni collecte de consentement adéquats (logiciels espions). | N'utilisez pas de SDK tiers qui effectuent des attaques par déni de service ou agissent en tant que programme de téléchargement dangereux. |
| Assurez-vous que votre application n'inclut pas de SDK tiers qui ne respectent pas le modèle d'autorisations Android, car ils obtiennent des droits élevés en accédant aux données de l'appareil à une fin non divulguée. |
Backdoor (porte dérobée)
Pour protéger vos utilisateurs, vous devez supprimer tout code faisant office de porte dérobée, c'est-à-dire tout code qui facilite les opérations indésirables ou nuisibles contrôlées à distance. Veuillez lire l'ensemble du règlement pour vous assurer de bien le respecter.
Code qui permet l'exécution d'opérations indésirables contrôlées à distance et potentiellement dangereuses sur l'appareil.
Ces opérations peuvent susciter un comportement qui, s'il s'exécutait automatiquement, classerait l'application, le fichier binaire ou la modification de framework dans l'une des autres catégories de logiciels malveillants. En général, le terme "backdoor" décrit la manière dont une opération potentiellement dangereuse peut s'exécuter sur un appareil. Par conséquent, il ne correspond pas à part entière à une catégorie comme la facturation frauduleuse ou les logiciels espions commerciaux. C'est pourquoi Google Play Protect traite dans certains cas un sous-ensemble de backdoors comme une faille.
Remarques importantes
| À faire | À éviter |
| Testez minutieusement le code de votre application et toutes les bibliothèques tierces pour détecter d'éventuelles fonctionnalités de contrôle à distance cachées. | N'incluez pas de fonctionnalités ni de capacités cachées qui pourraient être exploitées pour nuire aux utilisateurs. |
| Sécurisez tous les points de terminaison d'exécution à distance contre les accès non autorisés. | N'obscurcissez pas le code pour masquer la fonctionnalité d'accès à distance. |
| Corrigez immédiatement les failles de sécurité connues dans votre application. | N'ignorez pas les avertissements concernant les failles potentielles dans vos dépendances. |
Facturation frauduleuse
Pour éviter la fraude à la facturation, vous devez supprimer tout code qui facture les utilisateurs de manière trompeuse sans leur consentement explicite. Cela inclut la fraude au SMS, la fraude à l'appel et la fraude à la facturation par l'opérateur, qui incitent les utilisateurs à effectuer des paiements ou à souscrire des abonnements non souhaités. Veuillez lire l'ensemble du règlement pour vous assurer de bien le respecter.
Code qui facture automatiquement l'utilisateur de manière délibérément trompeuse.
Sur mobile, la fraude à la facturation se divise en trois catégories : fraude au SMS, fraude à l'appel et fraude à la facturation par l'opérateur.
Fraude au SMS
Code qui facture les utilisateurs pour envoyer des SMS premium sans leur autorisation, ou qui tente de dissimuler ses activités d'envoi de SMS en masquant les accords de divulgation ou les SMS de notification de frais ou de confirmation d'abonnement envoyés à l'utilisateur par l'opérateur mobile.
Certains types de code divulguent le fait que des SMS sont envoyés, mais ils introduisent d'autres comportements qui facilitent la fraude au SMS. Par exemple, ils peuvent masquer certaines parties d'un accord de divulgation ou les rendre illisibles, et supprimer de manière conditionnelle les SMS de notification de frais ou de confirmation d'abonnement envoyés à l'utilisateur par l'opérateur mobile.
Fraude à l'appel
Code qui facture les utilisateurs en passant des appels vers des numéros surtaxés sans leur autorisation.
Fraude à la facturation par l'opérateur
Code qui trompe les utilisateurs afin qu'ils achètent du contenu ou s'y abonnent en étant facturés par leur opérateur mobile.
La fraude à la facturation par l'opérateur inclut tous les types de facturation autres que les SMS et appels surtaxés. Par exemple, elle peut concerner la facturation directe par l'opérateur, le protocole WAP et le transfert de crédit mobile. La fraude WAP est l'un des types de fraude à la facturation par l'opérateur les plus fréquents. Elle peut consister à tromper les utilisateurs afin qu'ils cliquent sur un bouton dans une WebView transparente chargée de manière silencieuse. Cette action déclenche la souscription d'un abonnement récurrent. Le SMS ou l'e-mail de confirmation sont souvent piratés pour que les utilisateurs ne remarquent pas la transaction financière.
Remarques importantes
| À faire | À éviter |
| Obtenez le consentement explicite et sans ambiguïté des utilisateurs avant d'initier toute transaction financière. | Ne dissimulez ni ne masquez d'informations liées aux frais ou aux abonnements. |
| Vérifiez que toutes les informations de facturation sont claires, transparentes et bien visibles pour l'utilisateur. | N'utilisez pas de webviews masquées, n'envoyez pas automatiquement de SMS premium et ne passez pas d'appels sans consentement. |
| Transmettez à l'utilisateur toutes les notifications de facturation par l'opérateur. | N'utilisez pas de méthodes telles que la facturation directe par l'opérateur pour inciter les utilisateurs à s'abonner. |
Logiciel de traque
Google Play interdit aux applications de surveiller une autre personne en collectant et en transmettant des données utilisateur personnelles et sensibles, sauf si l'application est exclusivement conçue et commercialisée pour permettre aux parents de surveiller leurs enfants ou à la direction d'une entreprise de superviser ses employés, à condition de respecter entièrement des exigences strictes. Veuillez lire l'ensemble du règlement pour vous assurer de bien le respecter.
Code qui recueille des données sensibles ou à caractère personnel depuis l'appareil et les transmet à un tiers (entreprise ou personne physique) à des fins de surveillance.
Les applications doivent afficher un communiqué visible concernant l'utilisation des données et obtenir le consentement exigé par le Règlement sur les données utilisateur.
Consignes relatives aux applications de surveillance
Seules sont acceptées les applications exclusivement conçues et commercialisées pour la surveillance d'autrui (par exemple, pour permettre aux parents de surveiller leurs enfants ou à une entreprise de superviser ses employés), à condition de respecter entièrement les exigences décrites ci-dessous. Ces applications ne peuvent pas servir à suivre l'activité d'une autre personne (un conjoint, par exemple) même si celle-ci en est consciente et avec son autorisation, indépendamment de l'affichage ou non d'une notification permanente. Ces applications de surveillance doivent présenter l'indicateur de métadonnées "IsMonitoringTool" dans leur fichier manifeste, afin de se déclarer comme telles.
Les applications de surveillance doivent respecter les exigences suivantes :
- Elles ne doivent pas être présentées comme des solutions d'espionnage ni de surveillance secrète.
- Elles ne doivent pas masquer ni dissimuler leur activité de surveillance, ni tenter de tromper l'utilisateur sur cette fonctionnalité.
- Elles doivent présenter une notification permanente lorsqu'elles sont exécutées, ainsi qu'une icône permettant de les identifier clairement.
- Elles doivent déclarer leurs fonctionnalités de surveillance et de suivi dans leur description sur le Google Play Store.
- Les applications (et leurs fiches sur Google Play) ne doivent fournir aucun moyen d'accéder à des fonctionnalités allant à l'encontre des présentes conditions, ni d'activer de telles fonctionnalités. Par exemple, elles ne doivent pas contenir de liens vers un APK non conforme hébergé en dehors de Google Play.
- Elles doivent se conformer à l'ensemble des lois applicables. Vous êtes seul responsable de l'évaluation de la légalité de votre application sur le marché ciblé.
Remarques importantes
| À faire | À éviter |
| Commercialisez votre application exclusivement pour un usage parental ou pour la gestion d'entreprise. | Ne commercialisez pas l'application comme une solution d'espionnage ou de surveillance. |
Incluez l'indicateur IsMonitoringTool dans votre fichier manifeste. |
Ne suivez pas d'autres adultes, y compris des conjoints, même avec leur autorisation. |
| Affichez une notification permanente et une icône unique lors de l'exécution. | Ne masquez pas, ne dissimulez pas et n'induisez pas les utilisateurs en erreur concernant le comportement de suivi. |
| Indiquez toutes les fonctionnalités de surveillance dans la description de votre application sur le Play Store. | N'ajoutez pas de liens vers des APK non conformes hébergés en dehors de Google Play. |
| Fournissez un communiqué visible et adéquat, puis obtenez le consentement nécessaire. | Ne fournissez pas de moyen d'activer des fonctionnalités qui enfreignent les présentes conditions. |
Déni de service (DoS)
Pour protéger votre application et d'autres systèmes, vous devez supprimer tout code qui, à l'insu de l'utilisateur, attaque d'autres systèmes ou génère une charge réseau excessive. Veuillez lire l'ensemble du règlement pour vous assurer de bien le respecter.
Code qui exécute une attaque par déni de service (DoS) ou fait partie d'une attaque DoS distribuée visant d'autres systèmes et ressources, le tout à l'insu de l'utilisateur.
Par exemple, une telle attaque peut consister à envoyer un grand nombre de requêtes HTTP de façon à imposer une charge excessive aux serveurs distants.
Remarques importantes
| À faire | À éviter |
| Testez minutieusement votre code et vos SDK tiers pour détecter toute utilisation abusive du réseau. | Ne masquez ni n'intégrez de code qui génère un volume élevé de trafic ou de requêtes réseau. |
| Vérifiez que toutes les requêtes réseau de votre application sont légitimes et nécessaires à son fonctionnement. | N'incluez pas de fonctionnalités pouvant être activées à distance pour attaquer des systèmes externes. |
Programmes de téléchargement dangereux
Google Play interdit les "programmes de téléchargement dangereux", c'est-à-dire les applications qui téléchargent d'autres logiciels mobiles indésirables. Une application est signalée comme un programme de téléchargement dangereux si elle semble conçue pour propager des logiciels mobiles indésirables, ou si au moins 5 % de ses téléchargements sont identifiés comme tels. Ce règlement ne s'applique pas aux principaux navigateurs ni aux applications de partage de fichiers, tant qu'ils ne téléchargent des logiciels qu'à l'initiative de l'utilisateur et avec son consentement explicite. Veuillez lire l'ensemble du règlement pour vous assurer de bien le respecter.
Code qui n'est pas potentiellement dangereux en soi, mais qui télécharge d'autres PHA.
Le code peut être un programme de téléchargement dangereux dans les cas suivants :
- Il existe des raisons de croire qu'il a été créé dans le but de propager des PHA, et qu'il en a téléchargées ou qu'il contient du code pouvant télécharger et installer des applications.
- L'observation d'au moins 500 téléchargements d'applications par ce programme révèle que 5 % d'entre eux ou plus concernent des PHA (soit 25 téléchargements de PHA observés).
Les principaux navigateurs et applications de partage de fichiers ne sont pas considérés comme des programmes de téléchargement dangereux tant qu'ils remplissent les deux conditions suivantes :
- Ils ne lancent pas de téléchargements sans l'intervention de l'utilisateur.
- Les téléchargements de PHA sont exécutés à la demande et avec l'autorisation des utilisateurs.
Remarques importantes
| À faire | À éviter |
| Veillez à ce que votre application n'inclue pas de code qui propage des logiciels mobiles indésirables. | N'incluez pas dans votre application du code qui propage des logiciels mobiles indésirables. |
| Surveillez les téléchargements pour rester bien en dessous du seuil de 5 % de logiciels mobiles indésirables. | Ne dépassez pas le seuil de 5 % de logiciels mobiles indésirables (25 logiciels mobiles indésirables pour 500 téléchargements). |
| Si l'objectif de votre application est de télécharger d'autres fichiers (par exemple, s'il s'agit d'un navigateur ou d'un outil de partage de fichiers), assurez-vous que tous les téléchargements d'applications sont initiés par un utilisateur qui a donné son consentement. | Si l'objectif de votre application est de télécharger d'autres fichiers (par exemple, s'il s'agit d'un navigateur ou d'un outil de partage de fichiers), n'incluez pas de fonctionnalité qui génère des téléchargements d'applications sans interaction explicite de l'utilisateur. |
Menace non-Android
Code qui contient des menaces non-Android.
De telles applications ne peuvent pas nuire à l'appareil Android ni à son utilisateur, mais elles incluent des composants potentiellement dangereux pour d'autres plates-formes.
Hameçonnage
Vous devez supprimer tout code qui se livre à des tentatives d'hameçonnage en demandant de manière trompeuse les identifiants ou les informations de facturation d'un utilisateur pour les envoyer à un tiers. Veuillez lire l'ensemble du règlement pour vous assurer de bien le respecter.
Code qui donne l'impression de provenir d'une source fiable et qui demande à l'utilisateur de lui communiquer ses identifiants d'authentification ou ses informations de facturation afin de les envoyer à un tiers. Cette catégorie inclut également tout code qui intercepte les identifiants de l'utilisateur en cours de transmission.
L'hameçonnage cible généralement les identifiants bancaires, les numéros de carte de crédit et les identifiants de compte en ligne permettant d'accéder à des réseaux sociaux et à des jeux.
Remarques importantes
| À faire | À éviter |
| Utilisez des API officielles et des méthodes sécurisées pour gérer les identifiants utilisateur et les informations de paiement. | N'usurpez pas l'identité d'une source fiable pour inciter les utilisateurs à fournir des données financières ou à caractère personnel. |
| Veillez à ce que toutes les données utilisateur soient transmises de manière sécurisée et ne soient pas lisibles par des tiers. | N'interceptez pas et ne collectez pas d'identifiants ou d'informations sensibles des utilisateurs sans leur consentement. |
| Indiquez clairement aux utilisateurs les données que vous demandez et pourquoi. | N'envoyez pas d'informations utilisateur sensibles à un tiers sans informer clairement l'utilisateur ni obtenir son consentement explicite. |
Utilisation abusive de l'élévation des privilèges
Pour éviter les cas de non-respect liés à l'utilisation abusive de droits élevés, votre application ne doit pas contenir de code permettant d'obtenir des droits élevés ou de contourner le bac à sable de sécurité Android. Par exemple, un code qui vole les identifiants d'autres applications, qui contourne le modèle d'autorisations Android ou qui désactive les principales fonctionnalités de sécurité. Votre application doit également respecter le contrôle que possède l'utilisateur sur son appareil. Veuillez lire l'ensemble du règlement pour vous assurer de bien le respecter.
Code qui compromet l'intégrité du système en contournant le bac à sable de l'application, en obtenant une élévation des privilèges, ou en modifiant ou désactivant l'accès aux principales fonctionnalités de sécurité.
Exemples :
- Application qui ne respecte pas le modèle d'autorisations Android ou qui vole les identifiants (tels que les jetons OAuth) d'autres applications
- Application qui utilise des fonctionnalités de manière abusive afin qu'il soit impossible de la désinstaller ou de l'arrêter
- Application qui désactive SELinux
Les applications d'élévation des privilèges qui passent les appareils en mode root sans l'autorisation de l'utilisateur sont classées parmi les applications d'activation du mode root.
Remarques importantes
| À faire | À éviter |
| Développez du code qui respecte le modèle d'autorisations Android. | Ne créez pas d'applications qui compromettent le système en contournant le bac à sable des applications. |
| Concevez votre application de façon qu'elle fonctionne avec des droits d'utilisateur standards. | N'écrivez pas de code qui empêche la désinstallation de l'application d'un utilisateur. |
Rançongiciel
Un ransomware est un logiciel malveillant qui restreint l'accès d'un utilisateur à son appareil ou à ses données et qui exige un paiement ou une action pour lui en redonner le contrôle. Vous ne devez pas bloquer l'accès des utilisateurs, chiffrer les données ni empêcher la désinstallation. Ce règlement protège les utilisateurs contre l'extorsion. Veuillez lire l'ensemble du règlement pour vous assurer de bien le respecter.
Code qui prend le contrôle partiel ou étendu d'un appareil ou de ses données, et qui exige que l'utilisateur effectue un paiement ou une certaine action pour récupérer ce contrôle.
Certains rançongiciels chiffrent les données de l'appareil et exigent un paiement pour les déchiffrer, et/ou exploitent les fonctionnalités d'administration de l'appareil pour empêcher tout utilisateur standard de les supprimer. Exemples :
- Verrouiller l'accès de l'utilisateur à l'appareil et exiger de l'argent pour lui redonner le contrôle
- Chiffrer les données de l'appareil et exiger un paiement, soi-disant pour les déchiffrer
- Exploiter les fonctionnalités du gestionnaire de règles de l'appareil et bloquer toute suppression par l'utilisateur
Le code distribué avec l'appareil et ayant pour principal objectif de gérer un appareil subventionné peut être exclu de la catégorie des rançongiciels, à condition qu'il remplisse correctement les exigences de verrouillage et de gestion sécurisés, et qu'il informe correctement l'utilisateur et obtienne son autorisation.
Remarques importantes
| À faire | À éviter |
| Veillez à ce que le code de votre application ne contienne aucune fonctionnalité malveillante de type ransomware. | Ne chiffrez pas les données utilisateur et n'empêchez pas les utilisateurs d'accéder à leur appareil. |
| Obtenez le consentement explicite de l'utilisateur pour toutes les fonctionnalités de gestion de l'appareil. | N'utilisez pas les fonctionnalités d'administration de l'appareil pour bloquer la désinstallation. |
| Fournissez aux utilisateurs un moyen clair et simple de supprimer votre application. | N'exigez pas de paiement ni d'action pour restaurer le contrôle de l'appareil. |
Activation du mode root
Google Play autorise l'activation du mode root non malveillante, mais interdit tout code d'activation du mode root malveillant. Vous devez informer les utilisateurs à l'avance de l'activation de ce mode et vous assurer que votre application n'effectue aucune autre action dangereuse. L'objectif est de s'assurer que les utilisateurs consentent à cette modification importante de leur appareil et ne sont pas exposés à des comportements malveillants supplémentaires. Veuillez lire l'ensemble du règlement pour vous assurer de bien le respecter.
Code qui active le mode root sur l'appareil.
Il existe une différence entre les codes d'activation du mode root malveillants et non malveillants. Par exemple, les applications d'activation du mode root non malveillantes informent préalablement l'utilisateur qu'elles vont activer le mode root sur leur appareil, et elles n'exécutent aucune opération potentiellement dangereuse correspondant à d'autres catégories de PHA.
Les applications d'activation du mode root malveillantes n'informent pas l'utilisateur avant d'activer le mode root, ou bien elles l'informent, mais exécutent également des opérations qui caractérisent d'autres catégories de PHA.
Remarques importantes
| À faire | À éviter |
| Informez les utilisateurs à l'avance que votre application va activer le mode root de l'appareil. | N'activez pas le mode root d'un appareil sans en informer l'utilisateur. |
| Obtenez le consentement explicite de l'utilisateur avant d'activer le mode root de l'appareil. | N'effectuez pas d'autres actions nuisibles dans une application d'activation du mode root. |
| Vérifiez que le code de votre application ne présente aucun autre comportement malveillant. | N'utilisez pas de code d'activation du mode root pour masquer d'autres fonctionnalités malveillantes. |
Spam
Logiciel espion
Google Play interdit la collecte ou le partage malveillants des données utilisateur ou des données de l'appareil. Indépendamment du consentement de l'utilisateur ou de toute divulgation, la collecte et le partage des données doivent être liés à une fonctionnalité conforme au règlement. Veuillez lire l'ensemble du règlement pour vous assurer de bien le respecter.
Un logiciel espion est une application, un code ou un comportement malveillant qui collecte, exfiltre ou partage des données sur l'utilisateur ou l'appareil sans lien avec une fonctionnalité conforme aux règles.
Les codes ou les comportements malveillants assimilables au fait d'espionner l'utilisateur ou d'exfiltrer des données sans en informer correctement l'utilisateur ni obtenir son autorisation sont également considérés comme des logiciels espions.
Vous trouverez ci-dessous plusieurs exemples de violation par un logiciel espion (liste non exhaustive) :
- Enregistrement audio ou enregistrement des appels reçus sur le téléphone
- Vol des données d'une application
- Application (comme un SDK) avec du code tiers malveillant transmettant des données depuis l'appareil sans que l'utilisateur s'y attende, ou sans en informer l'utilisateur ni obtenir son autorisation
Toutes les applications doivent aussi respecter l'intégralité du Règlement du programme Google Play pour les développeurs, y compris les règles sur les données de l'utilisateur ou de l'appareil, comme les exigences sur les logiciels mobiles indésirables, les données utilisateur, les autorisations et les API qui permettent d'accéder à des informations sensibles et les SDK.
Remarques importantes
| À faire | À éviter |
| Fournissez des informations claires et obtenez le consentement explicite de l'utilisateur avant toute collecte ou transmission de données. | N'autorisez pas les SDK tiers dans votre application à enregistrer des données audio ou des appels, ou à obtenir des données d'application sans consentement explicite de l'utilisateur ni fonctionnalité conforme au règlement. |
| Mettez en œuvre une journalisation et un audit rigoureux concernant l'accès et la transmission des données par tous les SDK tiers, afin de détecter et de traiter toute exfiltration de données non autorisée. | Ne collectez pas de données de manière cachée, ni plus de données que ce qui est nécessaire au fonctionnement déclaré de l'application. |
| Assurez-vous que les SDK intégrés à votre application ne collectent que le minimum de données nécessaires et que leur objectif ou comportement ne conduisent pas à une non-conformité de votre application avec les règles de Google Play. | N'incluez pas de SDK tiers dans votre application qui transmettent des données de manière inattendue ou sans consentement approprié. |
| Ne présumez pas que les pratiques de collecte de données des SDK tiers dans votre application sont conformes sans les examiner attentivement. |
Cheval de Troie
Un cheval de Troie est un code qui contient un composant malveillant caché. Ce règlement interdit les applications qui effectuent des actions indésirables contre l'utilisateur et à son insu. En tant que développeur, vous devez vous assurer que le code de votre application est transparent et qu'il ne contient aucune fonctionnalité cachée ni dangereuse. Veuillez lire l'ensemble du règlement pour vous assurer de bien le respecter.
Code qui semble inoffensif, par exemple parce qu'il se présente comme un simple jeu, mais qui exécute des actions indésirables à l'encontre de l'utilisateur.
Cette classification est généralement utilisée en conjonction avec d'autres catégories de PHA (application potentiellement dangereuse). Un cheval de Troie associe un composant inoffensif à un composant dangereux caché. Par exemple, il peut s'agir d'un jeu qui envoie des SMS surtaxés en arrière-plan depuis l'appareil, à l'insu de l'utilisateur.
Remarques importantes
| À faire | À éviter |
| Veillez à ce que le code de votre application soit transparent et serve l'objectif déclaré. | Ne dissimulez pas de fonctionnalités malveillantes dans une application apparemment inoffensive. |
| Vérifiez que toutes les fonctionnalités de l'application sont mentionnées à l'utilisateur. | N'effectuez pas d'actions en arrière-plan à l'insu de l'utilisateur et sans son consentement explicite. |
| Assurez-vous que les SDK tiers inclus sont sûrs et ne contiennent pas de comportements cachés. | Ne présentez pas l'objectif de votre application de manière trompeuse pour induire les utilisateurs en erreur. |
Remarque concernant les applications inhabituelles
Si Google Play Protect ne dispose pas de suffisamment d'informations pour vérifier la sécurité de votre nouvelle application, il est possible qu'elle soit classée comme "inhabituelle". Cet état ne signifie pas que votre application est dangereuse, mais qu'elle nécessite un examen plus approfondi. Veuillez lire l'ensemble du règlement pour vous assurer de bien le respecter.
Remarques importantes
| À faire | À éviter |
| Fournissez des informations complètes et précises dans la fiche de votre application. | Ne masquez pas de fonctionnalités et n'utilisez pas de code obscurci. |
| Veillez à ce que le code de votre application soit propre et bien documenté pour faciliter l'examen. | N'utilisez pas de bibliothèques tierces non validées. |
Remarque concernant la catégorie "Backdoor (porte dérobée)"
Une porte dérobée est un code qui permet un comportement malveillant. Si le chargement dynamique de code est utilisé pour effectuer des actions dangereuses, votre application sera considérée comme non conforme. Vous devez vous assurer que le code de votre application n'active aucune fonctionnalité malveillante cachée. Si une faille est détectée sans intention malveillante, vous serez invité à la corriger. Veuillez lire l'ensemble du règlement pour vous assurer de bien le respecter.
La classification dans la catégorie "Backdoor (porte dérobée)" des logiciels malveillants dépend du comportement du code. Pour entrer dans cette catégorie, le code doit permettre un comportement qui, s'il s'exécutait automatiquement, le classerait dans l'une des autres catégories de logiciels malveillants. Par exemple, si une application permet le chargement dynamique de code et que le code en question extrait les SMS, l'application est considérée comme une backdoor.
En revanche, si une application permet l'exécution de code arbitraire et que nous n'avons aucune raison de croire que cette exécution a pour but de susciter un comportement malveillant, nous considérons que cette application présente une faille et non qu'il s'agisse d'une backdoor, et nous demandons à son développeur de lui appliquer un correctif.
Remarques importantes
| À faire | À éviter |
| Testez rigoureusement tout code permettant une exécution dynamique. | N'utilisez pas le chargement dynamique de code pour effectuer des actions malveillantes cachées. |
| Assurez-vous que le code de votre application ne présente aucune faille qui pourrait être exploitée. | N'autorisez pas l'exécution de code arbitraire sans contrôles de sécurité rigoureux. |
| Corrigez rapidement les failles de sécurité détectées dans votre application. | N'utilisez pas de bibliothèques tierces non validées qui pourraient permettre l'utilisation d'une porte dérobée. |
Riskware
Un riskware est une application qui utilise des techniques d'évasion pour masquer des fonctionnalités malveillantes. Elle se fait passer pour une application légitime en utilisant des méthodes telles que l'obscurcissement ou le chargement dynamique de code pour révéler ultérieurement du contenu nuisible. Vous devez vous assurer que votre application est transparente et n'utilise pas de telles techniques pour tromper les examinateurs ou les utilisateurs. Veuillez lire l'ensemble du règlement pour vous assurer de bien le respecter.
Application qui utilise diverses techniques d'évasion afin de proposer à l'utilisateur des fonctionnalités d'application différentes ou factices. Ces applications se font passer pour des applications ou des jeux légitimes qui semblent inoffensifs pour les utilisateurs et les magasins d'applications, et utilisent des techniques comme l'obscurcissement, le chargement dynamique de code ou les techniques de dissimulation (cloaking) pour révéler du contenu potentiellement nuisible.
Les logiciels riskware sont semblables aux autres catégories de PHA (applications potentiellement dangereuses), en particulier le cheval de Troie, la principale différence étant les techniques utilisées pour obscurcir l'activité malveillante.
Remarques importantes
| À faire | À éviter |
| Veillez à ce que le code de votre application soit clair et facile à examiner. | N'utilisez pas de techniques d'obscurcissement ni de dissimulation pour masquer des fonctionnalités. |
| Indiquez clairement toutes les fonctionnalités de votre application. | N'utilisez pas le chargement de code dynamique pour diffuser du contenu malveillant. |
| Mentionnez toutes les fonctionnalités dans la description de l'application. | Ne rendez pas le comportement de votre application différent pour les évaluateurs par rapport aux utilisateurs réguliers. |
Help us improve this policy article by taking a 2-minute survey.