Summary
[!note] 📚 Série Pilotflow : Construire un Addon Gmail
- Le Mensonge à 50 000 $ qui a failli tuer mon Addon Gmail ← vous êtes ici
- Les Niveaux de Portée OAuth Gmail décryptés — 15 juin
- Analyse du Codebase avant le Développement — 22 juin
- Documents Légaux pour les Addons Gmail — 29 juin
Laissez-moi vous raconter le moment où j’ai failli arrêter un projet avant d’écrire une seule ligne de code.
Je planifiais Pilotflow, un addon Gmail qui aide les utilisateurs à reprendre le contrôle de leur boîte de réception. La fonctionnalité principale consistait à lire des fils d’e-mails — comprendre ce qui s’y trouvait pour que l’utilisateur puisse agir intelligemment. En recherchant les exigences du Google Workspace Marketplace, j’ai trouvé un post de forum, puis un autre, puis une réponse Stack Overflow, tous pointant vers la même conclusion : un addon Gmail qui lit les e-mails nécessite la certification CASA Tier 2, qui coûte 50 000 $ à 75 000 $.
Cinquante mille dollars. Pour un développeur solo. Pour certifier un outil gratuit avant de gagner le moindre dollar.
J’ai failli fermer mon ordinateur portable et passer à autre chose.
Le Mythe qui Circule dans les Communautés de Développeurs
Le chiffre apparaît dans des dizaines d’endroits : des articles de blog de 2022, des fils de forum de développeurs, des discussions sur indie hacker. Et ce n’est pas entièrement faux — ce prix est réel pour la certification CASA Tier 2 chez certains évaluateurs. Mais il décrit une extrémité d’un spectre, pas l’ensemble du tableau.
À retenir : Le chiffre de 50 000 $ pour la certification CASA est réel — mais c’est le plafond, pas le plancher. Le coût réel dépend du chemin d’évaluation choisi.
Ce que j’ai trouvé après des recherches plus approfondies a tout changé.
Le programme de sécurité de Google pour les applications du Workspace Marketplace a différents niveaux basés sur la sensibilité des portées OAuth demandées par votre addon. CASA (Cloud Application Security Assessment) est requis pour les portées restreintes — celles avec l’accès le plus invasif. Mais voici ce que les posts de forum omettent toujours : CASA n’a pas un seul prix. Il a plusieurs chemins d’évaluation, et certains de ces chemins coûtent une fraction infime de ce que suggèrent les chiffres alarmants.
Ce qu’est Réellement CASA (et Qui l’Effectue)
CASA signifie Cloud Application Security Assessment. C’est le cadre de Google pour évaluer si une application demandant des portées OAuth restreintes gère les données des utilisateurs de manière responsable. Google ne gère pas les évaluations — il autorise des sociétés de sécurité tierces appelées CASA TAPs (Third-party Assessment Providers) à les réaliser.
Les évaluations suivent le standard OWASP Application Security Verification Standard. Votre application est testée par rapport à un ensemble standard d’exigences de sécurité, et si elle réussit, vous recevez une lettre de certification qui vous permet de publier sur le Google Workspace Marketplace avec des portées restreintes.
Les évaluations coûteuses sont les plus approfondies — elles comprennent des tests de pénétration, une revue manuelle du code, et une analyse étendue des vulnérabilités. Mais tous les addons n’ont pas besoin de l’option service complet. Ce que la plupart des posts de forum décrivent, c’est le niveau premium, sans mentionner que des chemins alternatifs existent.
Les Vrais Chiffres que J’ai Trouvés
Après avoir parlé directement avec deux CASA TAPs et lu la documentation officielle du programme de Google, la fourchette de prix que j’ai trouvée était très différente du mythe circulant :
| Chemin d’évaluation | Coût approximatif | Ce qu’il couvre |
|---|---|---|
| Auto-évaluation (avec revue TAP) | 540 $–900 $ | Checklist OWASP ASVS, le TAP valide votre travail |
| Évaluation TAP standard | 900 $–1 800 $/an | Le TAP revue l’app, pas de pentest complet |
| Évaluation avec test de pénétration complet | 15 000 $–75 000 $+ | Tests manuels complets, audit de code |
[!note] L’insight clé Les chiffres de 50 000 $–75 000 $ décrivent les tests de pénétration complets. Une évaluation TAP standard pour une application SaaS modeste se situe entre 540 $ et 1 800 $ par an — une catégorie complètement différente.
Pour Pilotflow au stade MVP, l’évaluation pertinente est le chemin TAP standard. Non pas parce que je fais des compromis, mais parce qu’une évaluation de sécurité standard est proportionnellement appropriée : elle correspond au profil de risque d’un addon indie par rapport à une intégration d’entreprise gérant des données financières.
Mais Voici le Retournement qui a Changé ma Conception
Découvrir le coût réel était un soulagement — mais ça n’a pas terminé l’analyse. Ça a ouvert une question plus intéressante : ai-je réellement besoin de portées restreintes ?
La portée que je prévoyais d’utiliser était gmail.readonly, qui accorde un accès en lecture complet à l’intégralité de la boîte de réception de l’utilisateur. Cette portée est restreinte selon la classification de Google, c’est pourquoi elle déclenche l’exigence CASA.
Mais je ne construisais pas une plateforme d’analytique de boîte de réception. Je construisais un outil qui aide les utilisateurs à agir sur des fils d’e-mails spécifiques — ceux qu’ils regardent actuellement. Et Google fournit une portée différente exactement pour ce cas d’utilisation : gmail.addons.current.message.readonly.
Cette portée est classifiée comme sensible, pas restreinte. Elle passe par la vérification OAuth (un processus gratuit qui prend 4 à 6 semaines) au lieu de la certification CASA. La différence :
gmail.readonly→ lit toute la boîte de réception → restreint → certification CASA requisegmail.addons.current.message.readonly→ lit le message actuellement ouvert → sensible → vérification OAuth seulement
La fonctionnalité que je voulais (aider les utilisateurs à agir sur des fils d’e-mails) pouvait être construite avec la portée sensible. Ce dont je n’avais pas besoin, c’était d’un accès batch en arrière-plan à toute la boîte de réception. C’était une capacité que j’avais imaginé avoir, pas une que le workflow réel de l’utilisateur requérait.
À retenir : Avant de budgétiser pour une portée restreinte, demandez-vous si une portée moins invasive offre la même expérience utilisateur. Dans le cas de Pilotflow, c’était le cas — et ça a évité entièrement l’exigence de certification pour le MVP.
La Décision qui a Sauvé le Projet
Le choix que j’ai fait était de reconcevoir Pilotflow autour du contexte du message actuel plutôt que de l’accès complet à la boîte de réception. Cela signifiait :
- Le MVP fonctionne dans le fil Gmail actuellement ouvert
- Les utilisateurs souhaitant un traitement par lot peuvent l’invoquer à la demande (déclenchant le contexte explicitement)
- Pas d’accès en arrière-plan à la boîte de réception — pas de portée restreinte — pas de certification CASA pour le lancement
Le projet Notiwise, que j’avais construit avant Pilotflow, avait déjà pris une décision similaire. En construisant un addon de notification de calendrier, l’équipe a découvert que gmail.addons.current.message.readonly déclencherait les exigences CASA tandis que calendar.addons.current.event.read ne le ferait pas. La fonctionnalité a été reconçue en conséquence, préservant la valeur utilisateur tout en éliminant la charge de certification.
Schéma reconnu. Principe appliqué.
[!info] Quand cela s’applique Chaque fois que vous concevez des portées OAuth pour un addon Google Workspace, commencez par la portée la moins invasive qui offre votre valeur utilisateur principale. N’élargissez la portée que lorsqu’un workflow utilisateur spécifique le requiert véritablement — pas parce que « plus d’accès, c’est plus flexible. »
Ce que je Dirais à Quelqu’un Qui Commence Cette Recherche
Si vous construisez un addon Gmail et que vous avez rencontré le chiffre de 50 000 $ :
- Vérifiez d’abord la classification de la portée. La documentation des portées OAuth de Google classe chaque portée Gmail comme publique, sensible ou restreinte. Seules les portées restreintes nécessitent CASA.
- Concevez pour la portée minimale viable. Identifiez le workflow utilisateur exact que votre fonctionnalité permet, puis trouvez la portée la plus limitée qui le couvre.
- Si la portée restreinte est inévitable, obtenez des devis réels. Contactez deux ou trois CASA TAPs. La fourchette est plus large que ce que suggèrent les posts de forum, et le chemin d’auto-évaluation peut être viable.
- Intégrez le coût de certification dans votre modèle de revenus. Si 900 $–1 800 $/an est le coût, vous avez besoin d’environ 75 $–150 $/mois de revenus rien que pour le couvrir. Planifiez en conséquence avant de construire.
Le mythe des 50 000 $ a failli me coûter un projet auquel je croyais. Le coût réel, après une recherche appropriée, n’était pas un problème pour le MVP que je concevais. Mais j’y suis arrivé en questionnant le chiffre que j’avais lu, pas en l’acceptant.
Le prochain article de cette série couvre les niveaux de portée OAuth Gmail en détail — le système de classification à trois niveaux et comment le choix de portée affecte à la fois les exigences de certification et la conversation sur la confiance des utilisateurs lors de l’installation.
