Google a annoncé mercredi le lancement de son API Gmail, qui permet aux éditeurs d'applications de faire tout ce qu'ils veulent avec la messagerie électronique de l'utilisateur, dès lors qu'il aura donné (maladroitement ?) son autorisation.

Vous avez été troublé d'apprendre que Google lisait vos factures reçues par e-mail, ou qu'il se permettait d'ouvrir votre courrier pour remplir votre agenda ? Rassurez-vous, il ne sera bientôt plus le seul. Désireux de faire de Gmail le réseau social et la plateforme que Google+ a du mal à incarner, la firme de Mountain View a annoncé mercredi le lancement d'une API pour Gmail, qui permettra aux développeurs de lire votre courrier, et bien plus encore.

Sous réserve que l'utilisateur donne son autorisation au moment d'installer ou de lancer l'application (vous savez, en cliquant sur "j'accepte" après n'avoir rien lu attentivement), le développeur aura un accès RESTful à travers le protocole OAuth 2.0 pour réaliser toutes les opérations CRUD permises par Gmail, c'est-à-dire : créer et envoyer de nouveaux e-mails ou labels (sans même avoir besoin d'envoyer effectivement un mail pour qu'il atterrisse dans la boîte), lire les messages, modifier des brouillons, supprimer des messages ou des labels, etc. L'API offre aux développeurs un accès à la boîte de messagerie avec des données récupérables aux formats JSON, XML ou Google Protobuf.

"Au contraire d'IMAP, qui requiert un accès à tous les messages pour tous les opérations, la nouvelle API donne un accès granulaire à la boîte de messagerie de l'utilisateur", veut rassurer Google. L'utilisateur ne livrera pas l'autorisation en bloc, mais par niveaux de droits. Cependant la documentation de l'API montre qu'il n'y a que quatre niveaux d'autorisations prévus, selon l'accès demandé par l'application :

  • https://mail.google.com/ : Accès complet au compte, y compris la suppression permanente de fils et de messages ;
  • https://www.googleapis.com/auth/gmail.modify : Toutes opérations de lecture/écriture permises, sauf la suppression permanente immédiate de fils et de messages ;
  • https://www.googleapis.com/auth/gmail.readonly : Lire toutes les ressources et leurs métadonnées, pas d'opérations d'écriture ;
  • https://www.googleapis.com/auth/gmail.compose  : Créer, lire, mettre à jour et supprimer des brouillons. Envoyer des messages et des brouillons.

Il n'existe a priori aucune limite paramétrable par l'utilisateur sur le nombre ou la nature des messages auxquels les applications peuvent avoir accès. Lorsque l'autorisation est donnée, c'est open-bar. Y compris pour les pièces jointes.

Les seules limitations imposées par Google concernent uniquement ses propres besoins de contrôle des flux, avec une limite par défaut fixée à 10 requêtes par seconde et par utilisateur (ce qui reste énorme, surtout qu'il est possible de faire des requêtes en batch), ou un volume de 1 milliard d'unités par jour, sachant qu'une requête pour l'obtention d'un message coûte par exemple 50 unités — il est toujours possible pour les éditeurs de payer Google s'ils ont besoin d'augmenter leurs quotas.

La question n'est déjà plus de savoir si ça pourra être utilisé à mauvais escient, mais combien de temps il faudra attendre avant d'en avoir les premières preuves.

Partager sur les réseaux sociaux

Plus de vidéos