À l’instar des tourne-disques et du Snapchat, Fortnite n’est pas seulement le jeu le plus populaire au monde, c’est aussi le plus en vogue. Des millions d’adolescents ont sauté sur le jeu de tir gratuit, accessible et amusant, grâce à son lancement sur presque tous les appareils de jeu modernes de la planète. C’était, bien sûr, en omettant Android, avec ses 2 milliards d’utilisateurs et sans doute la plus grande base d’installation. Contrairement à ses lancements rapides sur des plates-formes mobiles similaires basées sur la DMLA, la console Nintendo et l’iOS, Android était au contraire la fleur murale de la danse, regardant avec nostalgie ses pairs heureux alors qu’ils construisaient des murs et roulaient en chariots de courses.

Epic Games, les développeurs de Fortnite, qui s’auto-éditèrent, ne publièrent aucune information jusqu’à ce que des rumeurs se répandent selon lesquelles ce serait une exclusivité Samsung. Peu de temps après cette rumeur, d’autres rumeurs, beaucoup plus flagrantes, ont circulé sur le plan d’Epic de contourner le magasin Google Play pour éviter la réduction de 30% que Google prend des développeurs pour atteindre les utilisateurs, fournir la bande passante et les contrôles de sécurité. Cela a été confirmé quelques semaines plus tard après qu’un utilisateur ait trouvé un média intégré dans un site Epic qui avertissait les utilisateurs qu’ils devraient apporter des modifications de sécurité à leurs appareils, et après que Tim Sweeney, le PDG d’Epic Games, ait plaidé sur Twitter en faveur de sa décision, j’ai posé une question personnelle.

Ainsi, @FortniteGame s’installera-t-il uniquement sur Oreo ou s’installera-t-il également sur les 90% des autres téléphones Android qui n’ont pas le popup d’installation et laissant ainsi des millions de téléphones non sécurisés ouverts pour être exploités par des malwares ? https://t.co/HUihEnDwNtAugust 7, 2018

Le fil de discussion qui précède a décrit en détail mes préoccupations au sujet de la sécurité des utilisateurs dans un environnement de plus en plus obscur où l’accès aux comptes des utilisateurs, à leurs données et à leurs détails financiers est facile et facile à hameçonner et à vendre. L’argument de Tim était largement centré sur les libertés fondamentales des plates-formes ouvertes, telles que Windows, où Epic ont largement construit leur réputation, et de pionnier d’une rupture avec les limites des magasins d’applications monopolistiques, tels que ceux sur les autres plates-formes que Fortnite peut, sans doute, le crédit comme une des raisons de son succès phénoménal.

Il faut noter que Tim a ici un point fort : les plates-formes ouvertes offrent plus d’options aux consommateurs grâce à des marchés concurrentiels. Windows est en grande partie la plate-forme dominante pour les applications et les jeux grâce à sa facilité de développement, à l’absence de restrictions sur les installations d’applications tierces par défaut, etc. Mais en même temps, Windows avait payé un lourd tribut à cette même liberté, avec des milliers de trous permettant des millions d’exploits, de logiciels malveillants, de virus, de vers et ainsi de suite. Ce n’est qu’avec les versions les plus récentes que l’aboutissement de plus de 20 ans de changements de sécurité progressifs et de plus en plus obligatoires a permis d’endiguer le flux des attaques.

Android, à bien des égards, est encore plus ” libre ” que Windows, grâce à sa base open source permettant un accès facile à l’exploitation agricole, ainsi qu’à l’attitude laisse faire faire de Google vis-à-vis du forkking, du skinning, et des mises à jour de sécurité obligatoires. Cela signifie que les utilisateurs sont largement répartis sur 10 versions différentes d’Android, avec un énorme 50% utilisant encore des logiciels entre 2 et 5 ans. La seule défense contre ce cauchemar de sécurité est le pouvoir croissant de Google sur l’API Google Play Services, qui est nécessaire pour charger le magasin Google Play avec une foule d’autres services Google.

Mais avant que vous ne rassembliez tous vos fourches pour me traquer sur Twitter, permettez-moi de faire remarquer que je suis tout à fait d’accord que la réduction de Google est sans doute beaucoup trop élevée pour ce qu’ils fournissent aux développeurs en retour. Le même cas s’applique à presque tous les autres magasins – de Steam à Origin, GOG à Playstation – le propriétaire contrôle la plate-forme. Mais en même temps, il n’y a rien d’intrinsèquement répréhensible à cela, car ces propriétaires ont dépensé de l’argent pour bâtir de vastes auditoires et accroître la visibilité de titres qui n’auraient normalement pas été visibles du tout. C’est comme si, dans ce cas, Epic, heureux d’avoir utilisé le boosting d’autres plates-formes où les appstores sont des monopoles, était désireux d’utiliser leur grande popularité pour contourner Google.

Encore une fois, il n’y a rien de mal à cela à première vue. Android est conçu pour permettre le chargement latéral d’applications par conception. Mais le problème ici est que sur la majorité des appareils de plus de 10 mois, le “sideloading” (téléchargement directement depuis le web ouvert sur le téléphone) des applications nécessite la désactivation de la fonction de sécurité la plus importante d’Android – qui dans les mains d’un utilisateur expérimenté est déjà risqué – mais quand des millions d’utilisateurs sont simplement en escalade pour obtenir leurs mains sur le jeu le plus chaud, la sécurité est toujours un massif après réflexion.

Le chargement latéral est l’un des moyens les plus faciles d’attaquer un appareil Android en l’ouvrant sur le monde. Là où cette fonction empêchait *toute* application autre que Google Play Store de s’exécuter sur les appareils, tout ce qui est empaqueté au format.apk est maintenant mûr. Toute application existante, y compris les navigateurs Web ou d’autres applications existantes, est alors autorisée à extraire et à exécuter les paquets.apk – c’est comme si vous vous connectiez à Windows en tant qu’administrateur et désactiviez cette invite d’installation. La décision d’Epic va simplement pousser les phishers et autres à faire de la publicité et à pousser les logiciels chez les utilisateurs de Fortnite qui offrent des cadeaux, des tricheurs, etc. pour infecter les appareils.

Pour lutter contre ces problèmes, Fortnite Installer.apk envoie une notification qui, une fois appuyée, repousse les utilisateurs vers l’onglet où ils ont activé le sideloading pour le réactiver. Mais il est probable qu’à ce stade, la plupart des utilisateurs mettront à jour le jeu ou y joueront et l’effaceront simplement pour le faire plus tard ou parce qu’ils s’en moquent. Il n’y a pas de directive obligatoire que cette option soit activée pour que le jeu s’exécute. Tim mentionne que Google Play Store est un “théâtre de sécurité”, et dans certains cas, il a raison. La propre boutique de Google a été prise en flagrant délit d’hébergement d’applications douteuses des dizaines de fois, et en conséquence, il filtre désormais plus lourdement les nouvelles applications et exécute des contrôles constants pour s’assurer que les mises à jour ne se faufile pas dans le code voyou.

Mais Epic se contente de rejeter la faute sur Google pour ses premiers défauts de sécurité et de louer ses efforts plus récents est hors de propos. De nombreux téléphones pré-Oreo exécuteront ce logiciel sans réactiver les protections, tout comme les utilisateurs d’Oreo et de Pie laisseront simplement Chrome ouvert pour charger des applications. Bien sûr, ce n’est pas à l’échelle du système, mais cela ouvre aussi un énorme trou exploitable qui n’existait pas auparavant. Google ne peut pas réécrire le passé et résoudre les problèmes de sécurité sur un milliard de téléphones en une seule action, mais Epic peut certainement éviter d’être le méchant pour des millions d’utilisateurs en jouant selon les mêmes règles que les autres.