API Play Integrity : programme d'accès anticipé à l'activité du compte

Créez une stratégie de lutte contre les utilisations abusives plus efficace et plus nuancée grâce à l'activité du compte Play, un nouveau signal dans l'API Play Integrity. L'activité du compte est représentée par différents niveaux en fonction de la présence et du volume d'activité sur le Store, ainsi que de l'ancienneté des comptes sur l'appareil. Lors de l'évaluation, un niveau d'activité du compte est renvoyé pour la session utilisateur en cours et n'est pas associé aux identifiants de l'utilisateur ou de l'appareil.

Qu'est-ce que l'activité du compte Play ?

L'API Play Integrity propose différents signaux d'intégrité afin de permettre aux développeurs de jeux et d'applications de détecter le trafic potentiellement dangereux et frauduleux. Les développeurs participant à ce programme en accès anticipé peuvent ajouter l'activité du compte à la réponse de l'API, qui contient déjà les résultats de l'appareil, de l'application et de la licence du compte. Si les résultats de l'appareil, de l'application ou de la licence présentent des problèmes, l'activité du compte n'est pas évaluée. Si les résultats existants ne présentent aucun problème, l'activité du compte renvoie un niveau. Le niveau est déterminé en fonction de la présence et du volume d'activité sur le Store, ainsi que de l'ancienneté des comptes sur l'appareil. Ce niveau aidera votre application à différencier les utilisateurs réels du trafic non légitime (par exemple, les comptes utilisés à des fins frauduleuses, par du trafic automatisé ou dans un réseau d'appareils). Votre application peut utiliser ce signal, avec d'autres, pour protéger des actions sensibles ou importantes.

Les applications participant au programme en accès anticipé peuvent recevoir l'un des niveaux d'activité suivants pour la session utilisateur actuelle :

• UNEVALUATED : l'activité du compte n'est pas évaluée, car l'appareil n'est pas approuvé ou l'utilisateur ne possède pas de licence d'application Play.
• UNUSUAL : l'activité sur le Google Play Store est inhabituelle pour au moins un des comptes utilisateur de l'appareil. Google Play vous recommande de vérifier qu'il s'agit bien d'un utilisateur réel.
• UNKNOWN : il y a trop peu d'activité sur le Google Play Store pour le compte utilisateur de l'appareil. Le compte peut être nouveau ou ne pas disposer d'une activité suffisante sur Google Play.
• TYPICAL (BASIC) : l'activité sur le Google Play Store est normale pour le ou les comptes utilisateur de l'appareil.
• TYPICAL (STRONG) : l'activité sur le Google Play Store est normale pour le ou les comptes utilisateur de l'appareil, avec des signaux plus difficiles à répliquer.

Pratiques recommandées pour l'activité du compte de l'API Play Integrity

Utiliser l'activité du compte dans une stratégie de lutte contre les utilisations abusives

L'activité du compte fonctionne mieux lorsqu'elle est utilisée avec d'autres signaux dans votre stratégie de lutte contre les utilisations abusives et non comme seul mécanisme de protection. Utilisez ce signal et l'API Play Integrity avec d'autres bonnes pratiques de sécurité appropriées pour votre application.

Collecter des données télémétriques et cernez votre audience avant d'agir

Avant de modifier des fonctionnalités en fonction de l'activité du compte ou d'autres résultats de l'API Play Integrity, implémentez l'API sans mesure d'application pour comprendre la situation actuelle de votre audience. Une fois que vous avez déterminé les niveaux que votre nombre d'installations actuel renvoie, vous pouvez estimer l'impact de toute mesure d'application envisagée et adapter votre stratégie de lutte contre les utilisations abusives en conséquence.

Vérifier la légitimité du trafic dangereux accédant à des fonctionnalités importantes ou sensibles

Identifiez les actions sensibles ou importantes dans votre application ou jeu pour vous protéger avec l'API Play Integrity, au lieu d'y refuser complètement l'accès. Si possible, vérifiez la légitimité du trafic dangereux avant de lui permettre d'accéder aux actions importantes. Par exemple, lorsque le niveau d'activité du compte est UNUSUAL, vous pouvez exiger d'un utilisateur qu'il complète une deuxième étape de vérification avant de pouvoir effectuer une action protégée.

Prévoir une assistance utilisateur

Si possible, fournissez des messages d'erreur utiles à l'utilisateur et informez-le de ce qu'il peut faire pour résoudre un problème. Par exemple, vous pouvez lui indiquer de faire une nouvelle tentative, d'activer sa connexion Internet ou de vérifier que son application Google Play Store est à jour. Les évaluations de l'activité du compte sont mises à jour régulièrement par Google Play. Les nouvelles activités sur le Store peuvent modifier automatiquement le niveau d'un utilisateur lors de ces mises à jour.

Suivre les recommandations existantes pour l'API Play Integrity

Outre les pratiques mentionnées précédemment, consultez les considérations de sécurité pour l'API Play Integrity.

Bénéficier d'un accès anticipé à l'activité du compte de l'API Play Integrity

Pour utiliser l'activité du compte, procédez comme suit :

Étape 1 : Prenez connaissance de ces points importants

• L'activité du compte est un signal en cours de développement susceptible d'être modifié.
• Ce signal est encore confidentiel. Ne partagez aucune information concernant l'activité du compte ou les niveaux d'activité du compte avec les utilisateurs finaux.
• En utilisant l'activité du compte, vous acceptez les conditions du Contrat relatif à la distribution pour les développeurs Google Play et les Conditions d'utilisation de l'API Play Integrity.
• Les développeurs participant au programme en accès anticipé doivent évaluer le signal d'activité du compte et fournir à Google Play des commentaires et des informations sur les résultats de leur évaluation avant de modifier leur stratégie concernant les mesures d'application.

Étape 2 : Demandez à participer au programme d'accès anticipé à l'activité du compte de l'API Play Integrity

Les développeurs participant au Programme Partenaires Google Play pour les jeux ont automatiquement accès au programme d'accès anticipé à l'activité du compte et peuvent passer à l'étape 3.

Les autres développeurs peuvent indiquer qu'ils souhaitent rejoindre le programme en accès anticipé en envoyant un e-mail à integrity-api-eap@google.com avec les informations suivantes :

• Nom de votre package et ID de compte de développeur
• Confirmation que vous avez lu les pratiques recommandées pour l'activité du compte
• La façon dont vous prévoyez d'évaluer l'activité du compte et, si vous le savez déjà, la façon dont vous pensez l'utiliser
• Votre planning prévu une fois que vous aurez été accepté dans le programme d'accès anticipé à l'activité du compte

Pour le moment, nous n'acceptons que les développeurs qui atteignent des seuils de performances élevés sur Google Play et dont les comptes sont en règle.

Étape 3 : Activez l'activité du compte dans la réponse de l'API Integrity depuis la Google Play Console

Une fois accepté dans le programme en accès anticipé, vous verrez une nouvelle option sur la page de l'API Integrity de la Play Console qui permet d'inclure l'activité du compte à la réponse de l'API Play Integrity. Lorsque vous êtes prêt, activez l'activité du compte dans la Play Console :

1. Connectez-vous à la Play Console.
2. Sélectionnez l'application qui utilisera l'activité du compte.
3. Dans la section Publier du menu de gauche, accédez à Intégrité de l'application.
4. À côté de l'option API Play Integrity, cliquez sur Paramètres.
5. Dans la section Réponses de la page, cliquez sur Activer à côté de Activité du compte.
6. Dans la fenêtre qui s'affiche, cliquez sur Activer.

Lorsque vous activez ou désactivez l'activité du compte, toutes les réponses de test de l'API Play Integrity que vous avez configurées dans la Play Console sont supprimées, et vous devez les recréer.

Étape 4 : Intégrez l'API Integrity dans votre application et à son serveur backend.

Si vous ne l'avez pas déjà fait, suivez la documentation pour intégrer l'API Play Integrity à votre application et à son serveur backend.

Étape 5 : Utilisez l'activité du compte

Une fois activé, le champ accountDetails de la charge utile de l'API Play Integrity contiendra le nouveau signal d'activité du compte qui représente l'activité associée aux comptes utilisateur sur l'appareil.

accountDetails: {
  // Represents the licensing status of the user session.
  // This field can be LICENSED, UNLICENSED, or UNEVALUATED.
  appLicensingVerdict: "LICENSED"

  // Represents the activity level associated with the user accounts on
  // the device of the user session.
  accountActivity: {
     // This field can be UNEVALUATED, UNUSUAL,
     // UNKNOWN, TYPICAL_BASIC, TYPICAL_STRONG
     activityLevel: "UNUSUAL"
  }
}

accountActivity peut avoir les valeurs suivantes :

INHABITUELLE

L'activité sur le Google Play Store est inhabituelle pour au moins un des comptes utilisateur de l'appareil.

INCONNUE

Il y a trop peu d'activité sur le Google Play Store pour le compte utilisateur de l'appareil. Le compte peut être nouveau ou ne pas disposer d'une activité suffisante sur Google Play.

NORMALE (BASIQUE)

L'activité sur le Google Play Store est normale pour le ou les comptes utilisateur de l'appareil.

NORMALE (CERTAINE)

L'activité sur le Google Play Store est normale pour le ou les comptes utilisateur de l'appareil, avec des signaux plus difficiles à répliquer.

NON ÉVALUÉE

L'activité du compte n'a pas été évaluée, car une condition requise n'a pas été respectée.

Plusieurs raisons peuvent expliquer cette situation. Par exemple :

• L'appareil n'est pas suffisamment fiable.
• La version de votre application installée sur l'appareil est inconnue de Google Play.
• L'utilisateur n'est pas connecté à Google Play.
• L'utilisateur ne dispose pas de la licence nécessaire pour accéder à l'application.

Pour vérifier si les comptes utilisateur de l'appareil présentent une activité inhabituelle, vérifiez que accountActivity.activityLevel est conforme aux attentes, comme indiqué dans l'extrait de code suivant :

val requestDetails = JSONObject(payload).getJSONObject("accountDetails")
val accountActivity = requestDetails.getJSONObject("accountActivity")
val activityLevel = accountActivity.getString("activityLevel")

if (activityLevel == "UNUSUAL") {
    // One of the accounts is UNUSUAL! Be careful.
}

JSONObject requestDetails =
    new JSONObject(payload).getJSONObject("accountDetails");
JSONObject accountActivity =
    new JSONObject(requestDetails).getJSONObject("accountActivity");
String activityLevel = accountActivity.getString("activityLevel");

if (activityLevel == "UNUSUAL") {
    // One of the accounts is UNUSUAL! Be careful.
}

Étape 6 : Testez votre intégration de l'activité du compte

Vous pouvez créer des tests pour évaluer la façon dont les niveaux d'activité du compte de l'API Play Integrity interagissent avec votre application à l'aide de la fonctionnalité de test disponible de l'API Play Integrity. Pour obtenir les instructions d'utilisation de cette fonctionnalité de test, consultez le Centre d'aide de la Play Console.

Étape 7 : Envoyez des commentaires à Google Play concernant l'accès anticipé

Nous invitons les participants au programme en accès anticipé à donner leur avis sur l'activité du compte. Pour ce faire, envoyez vos commentaires à l'adresse integrity-api-eap@google.com. Notre équipe chargée des études menées auprès des développeurs vous contactera également pour organiser des entretiens. Nous souhaiterions éclaircir les points suivants :

• Y a-t-il une corrélation précise entre le niveau d'activité du compte et des comptes déjà connus pour des utilisations abusifs pour votre application ou jeu ?
• La répartition de l'audience de l'activité du compte et des autres résultats de l'API Play Integrity répond-elle à vos attentes ?
• Quels problèmes d'utilisation abusive essayez-vous de résoudre avec l'activité du compte et d'autres résultats de l'API Play Integrity ?
• Quelle fonctionnalité prévoyez-vous de modifier en fonction de l'activité du compte et d'autres résultats de l'API Play Integrity ?

Autres outils Play pour l'intégrité

Envisagez d'intégrer ces autres outils de protection de l'intégrité à votre stratégie de lutte contre les utilisations abusives :

• Empêchez les appareils non fiables de trouver et d'installer votre application sur Google Play. Cela n'empêche pas les utilisateurs d'obtenir et d'installer votre application par d'autres moyens (comme le téléchargement indépendant).
• Utilisez la protection automatique de l'intégrité pour empêcher toute modification et redistribution sans modification de votre code non autorisées. Si vous n'y avez pas accès actuellement, contactez votre responsable Partenaire.
• Demandez la protection du nom des packages (programme en accès anticipé) afin de vous protéger contre les versions inconnues et modifiées de votre application, chaque fois qu'elles sont installées sur des appareils Android 11 (ou version ultérieure) exécutant des services Google Play.

Contenu associé

• Pour en savoir plus sur l'API Play Integrity, consultez le site pour les développeurs Android (documentation).
• Améliorer la sécurité de votre jeu avec l'API Play Integrity (vidéo)
• Renforcer la sécurité de votre application avec le champ nonce de l'API Play Integrity (article de blog)