Skip to main content

Comment installer des apps Android de sources inconnues ?

Vous distribuez une app privée à une flotte ? L'option sources inconnues est l'ancienne méthode. Voici comment Appaloosa déploie les apps Android internes proprement.

Julien Ott Julien Ott
7 min de lecture
source inconnue android

Pour installer une application de source inconnue sur Android 14 ou 13, ouvrez Paramètres > Applications > Accès spécial des applications > Installer des applis inconnues, puis activez la source souhaitée (votre navigateur, votre gestionnaire de fichiers, ou une application précise). Sur Android 12 et antérieur, le réglage se trouve dans Paramètres > Sécurité > Sources inconnues, sous forme d'interrupteur global.

Voilà la réponse rapide pour un appareil isolé. Mais si vous êtes administrateur IT et que vous lisez cet article parce qu'il faut déployer une application interne sur une flotte de smartphones, arrêtez-vous. L'option sources inconnues n'est pas le bon outil. Google pousse cette mécanique vers la fin de vie depuis des années, et activer ce réglage sur tous les appareils de l'entreprise crée une faille de sécurité que vous ne voudrez pas expliquer à votre RSSI.

Ci-dessous : ce que fait réellement l'option sources inconnues, pourquoi c'est une impasse pour une distribution en entreprise, et comment Appaloosa gère les applications Android privées proprement.

Ce que veut dire "source inconnue", concrètement

Android fait confiance au Play Store par défaut. Tout APK qui arrive d'ailleurs (téléchargement par le navigateur, transfert via un gestionnaire de fichiers, pièce jointe d'un mail, transfert USB) est marqué comme provenant d'une source inconnue. Pour l'installer, l'utilisateur doit autoriser explicitement l'application qui réalise l'installation.

Depuis Android 8 (Oreo), cette permission est granulaire : on autorise Chrome à installer des APK, ou le gestionnaire de fichiers, pas tout le système. Avant Android 8, c'était un interrupteur global dans Paramètres > Sécurité. Les deux fonctionnent, mais l'ancien modèle est celui qui inquiète les équipes sécurité, car un seul bouton ouvre l'appareil à tous les vecteurs d'installation en même temps.

Pourquoi c'est la mauvaise voie pour une flotte d'entreprise

Si vous gérez 50, 500 ou 5 000 appareils Android et que vous envisagez d'activer les sources inconnues pour pousser votre application interne, voici ce que cela revient à proposer :

  • Chaque appareil de la flotte peut installer un APK depuis n'importe quelle source choisie par l'utilisateur, pas seulement la vôtre.
  • Play Protect continue à scanner, mais vous avez supprimé le signal le plus fort que Google utilise pour repérer une installation suspecte.
  • Les mises à jour ne sont pas automatiques. Chaque nouvelle version implique un nouveau téléchargement manuel et une nouvelle validation.
  • Vous n'avez aucun inventaire centralisé : qui a installé quelle version, quand, et si elle a été désinstallée.
  • Les auditeurs conformité demanderont pourquoi votre socle sécurité autorise l'installation arbitraire d'apps. Vous n'aurez pas de bonne réponse.

C'est pour ça que Google a passé les cinq dernières années à construire un chemin différent pour les apps en entreprise. L'option sources inconnues existe toujours pour la rétrocompatibilité et pour les utilisateurs avancés, mais ce n'est pas là que Android veut voir la distribution d'apps internes.

La méthode moderne : managed Play et canaux d'apps privées

La plateforme Android Enterprise vous offre deux moyens propres de distribuer une app interne sans toucher aux sources inconnues :

1. Applications privées sur managed Google Play

Vous publiez votre APK sur la Play Console comme application privée, restreinte à votre organisation. Les appareils enrôlés dans Android Enterprise voient l'app dans leur Play Store managé, à côté des apps publiques, l'installent en un tap et reçoivent les mises à jour automatiquement via Play. Pas de sources inconnues. Pas de sideloading. Google s'occupe des contrôles de signature, du scan anti-malware et du déploiement.

C'est le chemin qu'Appaloosa recommande et configure pour la plupart de ses clients. C'est ce qui ressemble le plus à "votre app interne, publiée comme une app classique du Play Store".

2. APK privés hébergés et poussés via le MDM

Certaines apps ne peuvent pas passer par Play. L'APK est signé par un tiers, ou les builds changent trop vite pour le cycle de validation de Play, ou l'application dépend d'une architecture que Play refuse. Pour ces cas, un enterprise app store comme Appaloosa héberge l'APK et le pousse sur les appareils managés via le canal MDM.

L'appareil reçoit l'installation comme un déploiement managé, pas comme un sideload. Les sources inconnues restent désactivées. L'utilisateur ne voit pas d'avertissement de sécurité. Vous voyez le statut d'installation dans le dashboard, vous poussez les mises à jour de la même façon, et vous retirez l'app à distance quand un collaborateur quitte l'entreprise.

Les deux méthodes résolvent le vrai problème en entreprise : distribuer des apps privées à grande échelle, en sécurité, avec une piste d'audit. Aucune n'oblige à toucher au réglage qui donne son nom à cet article.

Quand l'option sources inconnues sert encore

Deux cas où le réglage reste pertinent :

Développeurs sur appareils de test fournis par l'entreprise. Si vos devs installent des builds ad hoc depuis un serveur de build ou un transfert USB, ils auront besoin d'activer les sources inconnues pour l'application qui réalise l'install. C'est une exception délibérée et cadrée, pas une politique étendue à la flotte. Documentez-la.

Installations personnelles ponctuelles. Un collaborateur veut installer une app de niche depuis F-Droid sur son téléphone personnel. C'est son choix sur son appareil. Sur un terminal corporate, votre politique MDM doit prendre le dessus.

Comment verrouiller les sources inconnues sur toute une flotte

Si vous enrôlez vos appareils via Android Enterprise (work profile ou fully managed), vous pouvez empêcher l'utilisateur d'activer les sources inconnues. La restriction fait partie des politiques d'administration qu'Appaloosa configure à l'enrôlement :

  • Bloquer install_unknown_sources au niveau de l'appareil ou du work profile
  • Autoriser uniquement managed Play et les installations poussées par le MDM comme sources d'apps
  • Laisser Play Protect actif pour une couche de scan supplémentaire

L'utilisateur voit toujours le réglage dans l'OS, mais l'interrupteur est grisé et toute tentative d'installer un APK depuis une source non managée échoue silencieusement. C'est la posture de sécurité attendue par la plupart des référentiels de conformité.

Pas à pas : activer les sources inconnues sur un appareil isolé

Pour la complétude. À n'utiliser que sur un appareil personnel ou un appareil de test cadré.

Android 8 (Oreo) et plus récent

  1. Ouvrez Paramètres, puis Applications (ou Applications et notifications).
  2. Touchez le menu trois points, choisissez Accès spécial (ou Avancé > Accès spécial des applications).
  3. Choisissez Installer des applis inconnues.
  4. Sélectionnez l'application que vous voulez utiliser comme source d'installation (Chrome, votre gestionnaire de fichiers, etc.).
  5. Activez "Autoriser depuis cette source".

Recommencez pour chaque app. Chaque source d'installation a besoin de sa propre permission.

Android 7 (Nougat) et antérieur

  1. Ouvrez Paramètres > Sécurité (ou Écran de verrouillage et sécurité).
  2. Trouvez Sources inconnues et activez l'interrupteur.
  3. Acceptez l'avertissement de sécurité.

C'est un interrupteur global, donc n'importe quoi sur l'appareil peut installer un APK une fois posé. Désactivez-le après usage.

Dépannage

"Application non installée". Souvent un conflit de signature avec une version plus ancienne déjà installée, ou un manque d'espace. Désinstallez l'ancienne version, puis réessayez.

"Erreur d'analyse". L'APK est corrompu, incomplet, ou compilé pour une architecture incompatible avec votre appareil. Retéléchargez, ou vérifiez que l'APK correspond à votre CPU (armeabi-v7a, arm64-v8a, x86_64).

Play Protect bloque l'installation. Play Protect tourne indépendamment de l'option sources inconnues. S'il signale l'app, soit vous faites confiance au développeur et passez outre, soit vous cherchez pourquoi un APK signé en entreprise déclenche une alerte (souvent un certificat de signature périmé).

À retenir pour les admins IT

L'option sources inconnues est une porte de sortie par appareil, pensée pour un utilisateur isolé avec une installation précise en tête. Ce n'est pas un mécanisme de distribution. Si vous déployez une app interne sur une flotte, utilisez managed Play pour le cas standard et un enterprise app store comme Appaloosa pour les cas particuliers. Les deux gardent les sources inconnues désactivées, vous donnent de la visibilité, et passent les audits sécurité.

Envie de voir comment se passe la distribution d'apps privées sans toucher aux sources inconnues ? Découvrez le MAM Appaloosa ou demandez une démo à l'équipe.
Julien Ott
novembre 21, 2022

Prêt à déployer votre MDM?

Commencez dès aujourd’hui avec un accès illimité à notre plateforme et l’aide de nos experts produits.

Démarrer

Ou contactez notre équipe.

Essai gratuit de 14 jours
Annulez à tout moment sans contrainte.
Assistance d'experts
Bénéficiez d'une intégration personnalisée et experte pour commencer rapidement.