Dans l'écosystème mobile, les utilisations abusives peuvent menacer vos revenus, votre croissance et la confiance des utilisateurs. Pour aider les développeurs à prospérer, Google Play propose un service de détection des menaces résilient : l'API Play Integrity. L'API Play Integrity vous aide à vérifier que les interactions et les requêtes de serveur sont authentiques, c'est-à-dire qu'elles proviennent de votre application non modifiée sur un appareil Android certifié, installée par Google Play.

L'impact est significatif : le pourcentage d'applications qui utilisent les fonctionnalités Play Integrity est en moyenne inférieur de 80% à celui enregistré par les autres applications. Aujourd'hui, des leaders de diverses catégories, dont Uber, TikTok, Stripe, Kabam, Wooga, Radar.com, Zimperium, Paytm et Remini, l'utilisent pour protéger leurs activités.

Nous continuons d'améliorer l'API Play Integrity pour la rendre plus facile à intégrer, plus résistante aux attaques sophistiquées et plus efficace pour récupérer les utilisateurs qui ne respectent pas les normes d'intégrité ou qui rencontrent des erreurs avec les nouvelles invites de correction dans l'application Play.

Détecter les menaces pour votre entreprise

L'API Play Integrity propose des évaluations conçues pour détecter les menaces spécifiques qui ont un impact sur vos résultats lors d'interactions critiques.

• Accès non autorisé : l'évaluation accountDetails vous aide à déterminer si l'utilisateur a installé ou payé votre application ou votre jeu à partir de Google Play.
• Falsification de code : l'évaluation appIntegrity vous aide à déterminer si vous interagissez avec votre binaire non modifié reconnu par Google Play.
• Appareils à risque et environnements émulés : l'évaluation deviceIntegrity vous aide à déterminer si votre application s'exécute sur un appareil Android certifié Play Protect authentique ou sur une instance authentique de Google Play Games pour PC.
• Appareils non corrigés : pour les appareils exécutant Android 13 ou version ultérieure, MEETS_STRONG_INTEGRITY réponse dans l'évaluation deviceIntegrity vous aide à déterminer si un appareil a appliqué les mises à jour de sécurité récentes. Vous pouvez également activer deviceAttributes pour inclure la version attestée du SDK Android dans la réponse.
• Accès risqué par d'autres applications : l'évaluation appAccessRiskVerdict vous aide à déterminer si des applications en cours d'exécution peuvent être utilisées pour effectuer des captures d'écran, afficher des superpositions ou contrôler l'appareil (par exemple, en utilisant de manière abusive l'autorisation d'accessibilité). Cette évaluation exclut automatiquement les applications qui servent des objectifs d'accessibilité authentiques.
• Logiciel malveillant connu : l'évaluation playProtectVerdict vous aide à déterminer si Google Play Protect est activé et s'il a détecté des applications douteuses ou dangereuses installées sur l'appareil.
• Hyperactivité : le niveau recentDeviceActivity vous aide à déterminer si un appareil a récemment effectué un volume anormalement élevé de requêtes de jeton d'intégrité, ce qui peut indiquer un trafic automatisé et être le signe d'une attaque.
• Utilisations abusives répétées et appareils réutilisés : deviceRecall (bêta) vous aide à déterminer si vous interagissez avec un appareil que vous avez déjà signalé, même si votre application a été réinstallée ou si l'appareil a été réinitialisé. Avec le rappel de données appareil, vous pouvez personnaliser les actions répétées que vous souhaitez suivre.

L'API peut être utilisée sur les facteurs de forme Android, y compris les téléphones, les tablettes, les appareils pliables, Android Auto, Android TV, Android XR, ChromeOS, Wear OS et Google Play Games pour PC.

Tirer le meilleur parti de l'API Play Integrity

Les applications et les jeux ont réussi à utiliser l'API Play Integrity en suivant les considérations de sécurité et en adoptant une approche progressive de leur stratégie de lutte contre les utilisations abusives.

Étape 1 : Déterminez ce que vous souhaitez protéger : déterminez les actions et les requêtes de serveur de vos applications et jeux qu'il est important de vérifier et de protéger. Par exemple, vous pouvez effectuer des vérifications d'intégrité lorsqu'un utilisateur lance l'application, se connecte, rejoint un jeu multijoueur, génère du contenu d'IA ou transfère de l'argent.

Étape 2 : Collectez les réponses d'évaluation de l'intégrité : effectuez des vérifications d'intégrité à des moments importants pour commencer à collecter des données d'évaluation, sans application forcée au début. Vous pouvez ainsi analyser les réponses pour votre base d'installation et voir comment elles sont corrélées à vos signaux d'utilisation abusive existants et à vos données historiques d'utilisation abusive.

Étape 3 : Définissez votre stratégie d'application forcée : définissez votre stratégie d'application forcée en fonction de votre analyse des réponses et de ce que vous essayez de protéger. Par exemple, vous pouvez modifier le trafic risqué à des moments importants pour protéger les fonctionnalités sensibles. L'API propose une gamme de réponses afin que vous puissiez mettre en œuvre une stratégie d'application forcée à plusieurs niveaux en fonction du niveau de confiance que vous accordez à chaque combinaison de réponses.

Étape 4 : Déployez progressivement l'application forcée et aidez vos utilisateurs : déployez progressivement l'application forcée. Mettez en place une stratégie de nouvelle tentative lorsque les évaluations rencontrent des problèmes ou ne sont pas disponibles, et préparez-vous à aider les utilisateurs légitimes qui rencontrent des problèmes. Les nouvelles invites de correction dans l'application Play, décrites ci-dessous, permettent plus facilement que jamais de remettre les utilisateurs qui rencontrent des problèmes dans un état normal.

NOUVEAU : Laissez Play récupérer automatiquement les utilisateurs qui rencontrent des problèmes

Il peut être complexe de décider comment répondre aux différents signaux d'intégrité. Vous devez gérer différentes réponses d'intégrité et différents codes d'erreur d'API (comme des problèmes de réseau ou des services Play obsolètes). Nous simplifions cela avec les nouvelles invites de correction dans l'application Play. Vous pouvez afficher une invite Google Play à vos utilisateurs pour résoudre automatiquement un large éventail de problèmes directement dans votre application. Cela réduit la complexité de l'intégration, garantit une interface utilisateur cohérente et permet à davantage d'utilisateurs de revenir à un état normal.

GET_INTEGRITY détecte automatiquement le problème (dans cet exemple, une erreur réseau) et le résout.

Vous pouvez déclencher la boîte de dialogue GET_INTEGRITY, disponible dans la version 1.5.0 ou ultérieure de la bibliothèque de l'API Play Integrity, après une série de problèmes pour guider automatiquement l'utilisateur dans les corrections nécessaires, y compris :

• Accès non autorisé : GET_INTEGRITY redirige l'utilisateur vers une réponse sous licence Play dans accountDetails.
• Falsification de code : GET_INTEGRITY redirige l'utilisateur vers une réponse reconnue par Play dans appIntegrity.
• Problèmes d'intégrité de l'appareil : GET_INTEGRITY guide l'utilisateur pour revenir à l'état MEETS_DEVICE_INTEGRITY dans deviceIntegrity.
• Codes d'erreur corrigibles : GET_INTEGRITY résout les erreurs d'API corrigibles, par exemple en invitant l'utilisateur à corriger la connectivité réseau ou à mettre à jour les services Google Play.

Nous proposons également des boîtes de dialogue spécialisées, y compris GET_STRONG_INTEGRITY (qui fonctionne comme GET_INTEGRITY tout en ramenant l'utilisateur à l'état MEETS_STRONG_INTEGRITY sans problème de logiciel malveillant connu dans le playProtectVerdict), GET_LICENSED (qui ramène l'utilisateur à un état sous licence Play et reconnu par Play), et CLOSE_UNKNOWN_ACCESS_RISK et CLOSE_ALL_ACCESS_RISK (qui invitent l'utilisateur à fermer les applications potentiellement risquées).

Choisir des solutions d'intégrité modernes

En plus de l'API Play Integrity, Google propose plusieurs autres fonctionnalités à prendre en compte dans le cadre de votre stratégie globale de lutte contre les utilisations abusives. L'API Play Integrity et la protection automatique de Play offrent des avantages en termes d'expérience utilisateur et de développement pour sécuriser la distribution des applications. Nous encourageons les applications existantes à migrer vers ces solutions d'intégrité modernes au lieu d'utiliser l'ancienne bibliothèque de licences Play.

Protection automatique  : empêchez les accès non autorisés grâce à la protection automatique de Google Play et assurez-vous que les utilisateurs continuent de recevoir les mises à jour de votre application officielle. Activez-la et Google Play ajoutera automatiquement une vérification de l'installateur au code de votre application, sans qu'aucun travail d'intégration ne soit nécessaire pour les développeurs. Si votre application protégée est redistribuée ou partagée via un autre canal, l'utilisateur sera invité à la télécharger sur Google Play. Les développeurs Play éligibles ont également accès à la protection avancée de Play contre la falsification, qui utilise l'obscurcissement et les vérifications d'exécution pour rendre plus difficile et plus coûteux pour les pirates informatiques de modifier et de redistribuer les applications protégées.

Attestation de clé de plate-forme Android  : l'API Play Integrity est le moyen recommandé de bénéficier de l'attestation de clé de plate-forme Android intégrée au matériel. L'API Play Integrity gère l'implémentation sous-jacente dans l'écosystème d'appareils, Play atténue automatiquement les problèmes et les pannes liés aux clés, et vous pouvez utiliser l'API pour détecter d'autres menaces. Les développeurs qui implémentent directement l'attestation de clé au lieu de s'appuyer sur l'API Play Integrity doivent se préparer à la prochaine rotation du certificat racine de la plate-forme Android en février 2026 pour éviter toute interruption (aucune action n'est requise pour les développeurs qui utilisent l'API Play Integrity).

Firebase App Check : les développeurs qui utilisent Firebase peuvent utiliser Firebase App Check pour recevoir une évaluation de l'intégrité de l'application et de l'appareil fournie par l'API Play Integrity sur les appareils Android certifiés, ainsi que des réponses d'autres fournisseurs d'attestation de plate-forme. Pour détecter toutes les autres menaces et utiliser d'autres fonctionnalités Play, intégrez directement l'API Play Integrity.

reCAPTCHA Enterprise : les entreprises clientes à la recherche d'une solution complète de lutte contre la fraude et les bots peuvent acheter reCAPTCHA Enterprise pour mobile. reCAPTCHA Enterprise utilise certains signaux de lutte contre les utilisations abusives de l'API Play Integrity et les combine aux signaux reCAPTCHA prêts à l'emploi.

Protégez votre entreprise dès aujourd'hui

Avec une base solide en matière de sécurité intégrée au matériel et de nouvelles boîtes de dialogue de correction automatisée simplifiant l'intégration, l'API Play Integrity est un outil essentiel pour protéger votre croissance.

Commencez à utiliser la documentation de l'API Play Integrity.