Les applications bancaires pullulent sur nos smartphones et si elles facilitent les relations avec nos banques et la gestion de notre argent, elles sont également de plus en plus ciblées par les cybercriminels.

Google prend donc le taureau par les cornes et annonce que les applications bancaires sur Android pourraient imposer à l'utilisateur de disposer d'un appareil à jour sous peine de ne plus fonctionner du tout ni d'accepter de s'installer.

android-16

L'API Play Integrity permet ainsi désormais aux applications de vérifier l'intégrité des appareils selon trois niveaux différents : basique, standard et renforcé. Afin d'obtenir un certificat de type "Renforcé", l'appareil devra impérativement avoir reçu une mise à jour de sécurité dans l'année écoulée...

Concrètement, à l'installation ou au lancement, l'application réalisera une vérification (qui reste optionnelle et laissée à discrétion des développeurs) pour vérifier l'état de l'appareil. Et selon les réglages et le niveau de sécurité demandé par les développeurs, l'application pourrait ou pas fonctionner sur l'appareil...

Cela devrait permettre de sensibiliser les utilisateurs sur la nécessité de procéder aux mises à jour de sécurité sur leur appareil pour éviter d'y voir se multiplier les failles...

Un problème d'accessibilité en vue

Néanmoins, la situation pose quelques problèmes d'accessibilités.. Car lorsque les utilisateurs ne disposent pas d'un smartphone à jour sur le terrain de la sécurité, ce n'est que très rarement une volonté... Encore faut-il que leur appareil soit en mesure de profiter de ces mises à jour de sécurité, et/ou que les constructeurs aient assuré un certain suivi logiciel. En clair, les utilisateurs disposant d'un smartphone ancien pourraient ne plus avoir accès à ces applications qui feront le tri entre les appareils les plus sécurisés et les autres.

Google annonce déjà une solution pour ces appareils : il sera possible pour les développeurs d'adapter le comportement de leur application avec les dispositifs les moins sécurisés, comme imposer des authentifications fortes ou régler le niveau de confidentialité des données partagées... Des modulations qui constitueront néanmoins un travail de plus pour les développeurs et qui pourraient passer à l'as au nom du gain de temps et des économies de développement...