Menu

F-Droid n’est plus une solution que je recommande

F-Droid n’est plus aussi fiable qu’il le paraît : retards, failles de sécurité et pratiques discutables. Découvrez pourquoi et quelles alternatives privilégier pour protéger vos données et votre vie privée.

Pendant longtemps, F-Droid est apparu comme le dépôt incontournable pour télécharger des applications libres et open source sur Android, en particulier pour celles et ceux qui cherchent à réduire leur dépendance à Google. Cependant, plusieurs révélations récentes ont jeté un sérieux doute sur sa fiabilité et ses pratiques de sécurité. Voici un retour détaillé sur la situation et quelques pistes pour envisager d’autres approches.

Les failles mises en évidence par l’affaire WireGuard

Une alerte assez marquante a surgi avec l’application WireGuard (un VPN open source réputé). Le créateur de WireGuard a signalé des failles critiques, notamment l’ajout d’un mécanisme de mise à jour automatique dans WireGuard… que F-Droid a mis près de six mois à remarquer. Autrement dit, WireGuard a pu pousser des mises à jour sans passer par la validation habituelle de F-Droid. Cet épisode illustre deux problèmes majeurs :

  1. Un manque de rigueur dans l’examen des applications : le fait qu’un mécanisme aussi important soit passé inaperçu pendant si longtemps pose question.
  2. Une relation parfois tendue entre F-Droid et les développeurs : WireGuard se trouvait dans une position “d’otage” puisque F-Droid contrôlait la distribution et les délais de mise en ligne des mises à jour.

Cet exemple montre qu’un dépôt censé garantir la fiabilité et la sécurité des applications n’a pas détecté un changement majeur dans l’une d’entre elles. Pour beaucoup, c’est un signal fort de l’érosion de la confiance placée en F-Droid.

Le processus de signature et de vérification : un faux gage de confiance ?

Beaucoup pensent que F-Droid analyse en profondeur chaque application qu’il distribue, mais la réalité est plus nuancée. Voici en gros comment cela se passe :

  • F-Droid télécharge le code source d’une application publiée par son développeur.
  • Il recompile le code et signe l’APK avec ses propres clés.
  • Il procède à des contrôles élémentaires (comme chercher des librairies propriétaires ou des malwares connus), mais sans audit de sécurité poussé.

Cette méthode soulève plusieurs points de vigilance :

  • Signature propre à F-Droid : vous vous retrouvez avec des APK re-signées, donc pas forcément identiques à celles fournies directement par les développeurs. Cela peut compliquer les vérifications d’intégrité et de provenance des applications.
  • Absence d’audits exhaustifs : de simples scans ne suffisent pas à repérer du code malveillant sophistiqué ou des vulnérabilités plus complexes.

Des pratiques de sécurité discutables

Plusieurs personnes (dont l’équipe GrapheneOS) ont critiqué ce qu’ils qualifient de “culture anti-sécurité” au sein de F-Droid. Il est question de :

  • Dissimulation de vulnérabilités : au lieu de collaborer ouvertement pour les résoudre, il y aurait eu des tentatives de minimiser ou ignorer certains signalements.
  • Réactions hostiles envers les chercheurs en sécurité : on évoque des cas de diffamation et de harcèlement, ce qui n’encourage pas vraiment une atmosphère de transparence et de collaboration.

Lorsqu’un projet open source donne l’impression de ne pas accueillir favorablement les retours sur ses failles, il devient difficile de le considérer comme un intermédiaire fiable.

Des retards dans les mises à jour

L’un des rôles centraux d’un dépôt d’applications est de proposer rapidement les mises à jour, notamment lorsqu’elles contiennent des correctifs de sécurité critiques. Or, on constate :

  • Des délais de plusieurs semaines ou mois pour certaines applications comme Firefox, pourtant largement utilisées.
  • Des “blocages” lorsque F-Droid souhaite imposer des modifications spécifiques, ou lorsque le développeur ne valide pas les changements.

Cela peut aboutir à des situations où la version F-Droid d’une application reste obsolète et vulnérable alors que la version officielle est déjà patchée.

Neo-Store, Aurora, Obtainium… quelles alternatives ?

Neo-Store

Neo-Store se présente comme une alternative au client F-Droid, avec une interface plus moderne et plus de fonctionnalités. Toutefois, GrapheneOS souligne que Neo-Store pointe toujours vers le dépôt principal de F-Droid et dépend donc de la même infrastructure — et des mêmes problèmes. Autrement dit, Neo-Store en soi ne corrige pas la faille majeure : la confiance accordée au dépôt géré par F-Droid.

Aurora Store

Aurora est souvent cité comme un moyen d’accéder au Play Store sans avoir besoin des services Google (en utilisant des comptes partagés). Mais il faut garder à l’esprit :

  • Aucune vérification stricte de la provenance des APK : Aurora récupère bien les applications depuis le Play Store, mais la validation de signature n’est pas toujours assurée.
  • Dépendance à des comptes partagés : techniquement, vous n’utilisez pas votre propre compte Google, mais vous devez faire confiance aux comptes “relais” d’Aurora.

Malgré ces réserves, Aurora peut être une solution pratique pour obtenir des applications du Play Store dans un cadre plus respectueux de la vie privée que le client officiel Google.

Obtainium

Ce projet se concentre sur la possibilité de mettre à jour des applications depuis GitHub ou d’autres sources, sans passer par un dépôt unique centralisé. Cela limite le rôle d’intermédiaire et vous rapproche davantage du développeur. Néanmoins, la responsabilité de vérifier la fiabilité de chaque source vous revient, et tout le monde n’a pas le temps ou les connaissances pour le faire.

Accrescent

Accrescent est un nouveau venu qui propose de distribuer des APK signées directement par les développeurs, avec un mécanisme de vérification automatisé. Cependant, le catalogue d’applications y est encore restreint, ce qui limite pour l’instant son utilité au quotidien.

Zapstore

Zapstore est une boutique d’applications Android décentralisée reposant sur le protocole Nostr. Contrairement à F-Droid ou Aurora Store, il permet aux développeurs de publier leurs applications directement via Nostr, sans dépendre d’un serveur central. Avec une approche résiliente et communautaire, Zapstore se veut une alternative libre et indépendante aux stores traditionnels. Un article détaillé paraîtra bientôt à ce sujet.

Les dépôts officiels ou la distribution directe

Dans certains cas, les éditeurs proposent eux-mêmes un dépôt ou un système de distribution avec leurs propres clés de signature. Par exemple, Bromite ou Signal mettent à disposition leur propre APK sur leur site. Cette approche élimine l’étape d’intermédiaire mais demande plus d’effort de votre part, car vous devrez gérer le suivi des mises à jour.

Qu’en conclure pour votre vie numérique ?

Se priver de F-Droid est un changement majeur si vous étiez habitué à sa simplicité d’usage et à l’agrégat d’applications libres qu’il propose. Néanmoins, les inquiétudes soulevées — retards de mises à jour, audits superficiels, ambiance peu propice à la collaboration sécuritaire — rendent la plateforme bien moins recommandable qu’avant.

En pratique, voici quelques pistes à envisager :

  1. Utiliser plusieurs sources : vous pouvez panacher entre le Play Store (ou Aurora), Obtainium pour des applications spécifiques sur GitHub, et certains dépôts officiels comme celui de l’éditeur de votre application préférée ou encore utiliser Zapstore.
  2. Vous renseigner sur la réputation des projets : avant d’installer une application open source, regardez comment la communauté discute de sa sécurité (forums, GitHub, etc.).
  3. Faire des vérifications de base : assurez-vous que l’APK provient bien du développeur (via signature ou checksum), surveillez les mises à jour critiques, etc.
  4. Rester alerte : le paysage Android et open source évolue vite. De nouvelles initiatives plus transparentes et plus fiables peuvent émerger, comme Accrescent ou d’autres projets encore en gestation.

En guise de mot de fin

L’idée n’est pas de diaboliser F-Droid dans son intégralité : cette plateforme a joué et continue de jouer un rôle important dans la diffusion d’applications libres et reste pratique pour les débutants. Toutefois, les événements récents montrent qu’il faut regarder la réalité en face : F-Droid n’a plus tout à fait la rigueur et la transparence qu’on pouvait espérer d’un dépôt “officiel” pour des applications open source.

En restant vigilant, en répartissant vos sources de téléchargement et en suivant de près l’actualité sur la sécurité des dépôts, vous pouvez continuer à profiter du meilleur de l’open source sans mettre de côté vos exigences de fiabilité et de confidentialité. Après tout, l’objectif reste le même : trouver l’équilibre entre la liberté de choisir vos applications et la prudence nécessaire pour ne pas compromettre vos données. Pour ma part, je continuerai à vous partager les applications que je trouve intéressantes.

Newsletter

Recevez ma newsletter mensuelle afin de ne rien rater. Inscrivez-vous ici :

Étiquettes

Publications similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *