Dans l'écosystème mobile, les utilisations abusives peuvent menacer vos revenus, votre croissance et la confiance des utilisateurs. Pour aider les développeurs à prospérer, Google Play propose un service de détection des menaces résilient : l'API Play Integrity. L'API Play Integrity vous aide à vérifier que les interactions et les requêtes de serveur sont authentiques (autrement dit, qu'elles proviennent de votre application non modifiée sur un appareil Android certifié, installée par Google Play).

L'impact est significatif : le pourcentage d'utilisations non autorisées des applications qui utilisent les fonctionnalités Play Integrity est en moyenne inférieur de 80 % à celui enregistré par les autres applications. Aujourd'hui, des leaders de diverses catégories, dont Uber, TikTok, Stripe, Kabam, Wooga, Radar.com, Zimperium, Paytm et Remini, l'utilisent pour protéger leurs activités.

Nous continuons d'améliorer l'API Play Integrity pour la rendre plus facile à intégrer, plus résistante aux attaques sophistiquées et plus efficace pour récupérer les utilisateurs qui ne respectent pas les normes d'intégrité ou qui rencontrent des erreurs avec les nouvelles invites de correction dans l'application Play.

Détecter les menaces pour votre entreprise

L'API Play Integrity propose des évaluations conçues pour détecter les menaces spécifiques qui ont un impact sur vos résultats lors d'interactions critiques.

• Accès non autorisé : l'évaluation accountDetails vous permet de déterminer si l'utilisateur a installé ou payé votre application ou votre jeu sur Google Play.
• Falsification du code : l'évaluation appIntegrity vous permet de déterminer si vous interagissez avec le binaire non modifié reconnu par Google Play.
• Appareils à risque et environnements émulés : l'évaluation deviceIntegrity vous permet de déterminer si votre application s'exécute sur un appareil Android certifié Play Protect authentique ou sur une instance authentique de Google Play Jeux pour PC.
• Appareils non corrigés : pour les appareils équipés d'Android 13 ou version ultérieure, MEETS_STRONG_INTEGRITY réponse dans l'évaluation deviceIntegrity vous permet de déterminer si un appareil a appliqué les dernières mises à jour de sécurité. Vous pouvez également activer deviceAttributes pour inclure la version attestée du SDK Android dans la réponse.
• Accès à risque par d'autres applications : l'évaluation appAccessRiskVerdict vous permet de déterminer si des applications en cours d'exécution peuvent être utilisées pour capturer l'écran, afficher des superpositions ou contrôler l'appareil (par exemple, en utilisant de manière abusive l'autorisation d'accessibilité). Cette évaluation exclut automatiquement les applications qui servent à des fins d'accessibilité authentiques.
• Logiciels malveillants connus : l'évaluation playProtectVerdict vous permet de déterminer si Google Play Protect est activé et s'il a détecté des applications douteuses ou dangereuses installées sur l'appareil.
• Hyperactivité : le niveau recentDeviceActivity vous permet de déterminer si un appareil a récemment effectué un volume anormalement élevé de requêtes de jeton d'intégrité, ce qui peut indiquer un trafic automatisé et être le signe d'une attaque.
• Utilisations abusives répétées et appareils réutilisés : deviceRecall (bêta) vous permet de déterminer si vous interagissez avec un appareil que vous avez déjà signalé, même si votre application a été réinstallée ou si l'appareil a été réinitialisé. Avec le rappel d'appareil, vous pouvez personnaliser les actions répétées que vous souhaitez suivre.

L'API peut être utilisée sur différents facteurs de forme Android, y compris les téléphones, les tablettes, les appareils pliables, Android Auto, Android TV, Android XR, ChromeOS, Wear OS et Google Play Jeux pour PC.

Tirer le meilleur parti de l'API Play Integrity

Les applications et les jeux ont réussi à utiliser l'API Play Integrity en suivant les considérations de sécurité et en adoptant une approche progressive de leur stratégie de lutte contre les utilisations abusives.

Étape 1 : Déterminez ce que vous souhaitez protéger : déterminez les actions et les requêtes de serveur de vos applications et jeux qu'il est important de vérifier et de protéger. Par exemple, vous pouvez effectuer des vérifications d'intégrité lorsqu'un utilisateur lance l'application, se connecte, rejoint un jeu multijoueur, génère du contenu d'IA ou transfère de l'argent.

Étape 2 : Collectez les réponses d'évaluation de l'intégrité : effectuez des vérifications d'intégrité à des moments importants pour commencer à collecter des données d'évaluation, sans application forcée au début. Vous pouvez ainsi analyser les réponses pour votre base d'installation et voir comment elles sont corrélées avec vos signaux d'utilisation abusive existants et vos données historiques d'utilisation abusive.

Étape 3 : Déterminez votre stratégie d'application forcée : déterminez votre stratégie d'application forcée en fonction de votre analyse des réponses et de ce que vous essayez de protéger. Par exemple, vous pouvez modifier le trafic à risque à des moments importants pour protéger les fonctionnalités sensibles. L'API propose différentes réponses afin que vous puissiez mettre en œuvre une stratégie d'application forcée à plusieurs niveaux en fonction du niveau de confiance que vous accordez à chaque combinaison de réponses.

Étape 4 : Déployez progressivement l'application forcée et aidez vos utilisateurs : déployez progressivement l'application forcée. Mettez en place une stratégie de nouvelle tentative lorsque les évaluations rencontrent des problèmes ou ne sont pas disponibles, et préparez-vous à aider les utilisateurs légitimes qui rencontrent des problèmes. Les nouvelles invites de correction dans l'application Play, décrites ci-dessous, permettent plus facilement que jamais de remettre les utilisateurs qui rencontrent des problèmes dans un état normal.

NOUVEAU : Laissez Play récupérer automatiquement les utilisateurs qui rencontrent des problèmes

Il peut être complexe de décider comment répondre aux différents signaux d'intégrité. Vous devez gérer différentes réponses d'intégrité et différents codes d'erreur d'API (comme des problèmes de réseau ou des services Play obsolètes). Nous simplifions cela avec les nouvelles invites de correction dans l'application Play. Vous pouvez afficher une invite Google Play à vos utilisateurs pour résoudre automatiquement un large éventail de problèmes directement dans votre application. Cela réduit la complexité de l'intégration, garantit une interface utilisateur cohérente et permet à davantage d'utilisateurs de revenir à un état normal.

GET_INTEGRITY détecte automatiquement le problème (dans cet exemple, une erreur réseau) et le résout.

Vous pouvez déclencher la boîte de dialogue GET_INTEGRITY, disponible dans la version 1.5.0 ou ultérieure de la bibliothèque de l'API Play Integrity, après une série de problèmes pour guider automatiquement l'utilisateur dans les corrections nécessaires, y compris :

• Accès non autorisé : GET_INTEGRITY redirige l'utilisateur vers une réponse sous licence Play dans accountDetails.
• Falsification du code : GET_INTEGRITY redirige l'utilisateur vers une réponse reconnue par Play dans appIntegrity.
• Problèmes d'intégrité de l'appareil : GET_INTEGRITY guide l'utilisateur pour revenir à l'état MEETS_DEVICE_INTEGRITY dans deviceIntegrity.
• Codes d'erreur corrigibles : GET_INTEGRITY résout les erreurs d'API corrigibles, par exemple en invitant l'utilisateur à corriger la connectivité réseau ou à mettre à jour les services Google Play.

Nous proposons également des boîtes de dialogue spécialisées, y compris GET_STRONG_INTEGRITY (qui fonctionne comme GET_INTEGRITY tout en ramenant l'utilisateur à l'état MEETS_STRONG_INTEGRITY sans problème de logiciel malveillant connu dans le playProtectVerdict), GET_LICENSED (qui ramène l'utilisateur à un état sous licence Play et reconnu par Play), et CLOSE_UNKNOWN_ACCESS_RISK et CLOSE_ALL_ACCESS_RISK (qui invitent l'utilisateur à fermer les applications potentiellement risquées).

Choisir des solutions d'intégrité modernes

En plus de l'API Play Integrity, Google propose plusieurs autres fonctionnalités à prendre en compte dans le cadre de votre stratégie globale de lutte contre les utilisations abusives. L'API Play Integrity et la protection automatique de Play offrent des avantages en termes d'expérience utilisateur et de développement pour sécuriser la distribution des applications. Nous encourageons les applications existantes à migrer vers ces solutions d'intégrité modernes au lieu d'utiliser l'ancienne bibliothèque de licences Play.

Protection automatique  : empêchez les accès non autorisés grâce à la protection automatique de Google Play et assurez-vous que les utilisateurs continuent de recevoir les mises à jour de votre application officielle. Activez-la et Google Play ajoutera automatiquement une vérification de l'installateur au code de votre application, sans qu'aucun travail d'intégration ne soit nécessaire pour les développeurs. Si votre application protégée est redistribuée ou partagée via un autre canal, l'utilisateur sera invité à la télécharger sur Google Play. Les développeurs Play éligibles ont également accès à la protection avancée de Play contre la falsification, qui utilise l'obscurcissement et les vérifications d'exécution pour rendre plus difficile et plus coûteux la modification et la redistribution des applications protégées par les pirates informatiques.

Attestation de clé de plate-forme Android  : l'API Play Integrity est le moyen recommandé de bénéficier de l'attestation de clé de plate-forme Android basée sur le matériel. L'API Play Integrity gère l'implémentation sous-jacente dans l'écosystème d'appareils, Play atténue automatiquement les problèmes et les pannes liés aux clés, et vous pouvez utiliser l'API pour détecter d'autres menaces. Les développeurs qui implémentent directement l'attestation de clé au lieu de s'appuyer sur l'API Play Integrity doivent se préparer à la prochaine rotation du certificat racine de la plate-forme Android en février 2026 pour éviter toute interruption (aucune action n'est requise de la part des développeurs qui utilisent l'API Play Integrity).

Firebase App Check : les développeurs qui utilisent Firebase peuvent utiliser Firebase App Check pour recevoir une évaluation de l'intégrité de l'application et de l'appareil basée sur l'API Play Integrity sur les appareils Android certifiés, ainsi que des réponses d'autres fournisseurs d'attestation de plate-forme. Pour détecter toutes les autres menaces et utiliser d'autres fonctionnalités Play, intégrez directement l'API Play Integrity.

reCAPTCHA Enterprise : les entreprises clientes à la recherche d'une solution complète de lutte contre la fraude et les bots peuvent acheter reCAPTCHA Enterprise pour mobile. reCAPTCHA Enterprise utilise certains des signaux de lutte contre les utilisations abusives de l'API Play Integrity et les combine aux signaux reCAPTCHA prêts à l'emploi.

Protégez votre entreprise dès aujourd'hui

Avec une base solide en matière de sécurité basée sur le matériel et de nouvelles boîtes de dialogue de correction automatisée simplifiant l'intégration, l'API Play Integrity est un outil essentiel pour protéger votre croissance.

Commencez à utiliser la documentation de l'API Play Integrity.