Une polémique importante secoue actuellement l’univers des développeurs utilisant Google Cloud, révélant des problèmes majeurs liés à la gestion des coûts. Selon une enquête menée par The Register, plusieurs utilisateurs ont reçu des factures astronomiques, allant de 3000 à 10 000 dollars, en seulement quelques minutes, pour des services qu’ils n’ont jamais réellement consommés. Ces coûts soudains concernent notamment la génération vidéo Veo 3, ainsi que l’utilisation de tokens du modèle Gemini, le tout via l’activation de leurs clés API Maps.
Ce qui rend cette situation encore plus frustrante, c’est que ces développeurs avaient scrupuleusement suivi les recommandations officielles de Google. La documentation précise en effet que les clés Maps, destinées à être publiques et intégrées côté client dans le JavaScript d’un site web, peuvent être exploitées à des fins malveillantes si d’autres APIs, comme Gemini ou Veo, sont activées sur le même projet. En pratique, une simple clé accessible publiquement peut être détournée par des bots pour générer des contenus coûteux, entraînant la facture à des sommets imprévus pour leurs propriétaires.
Les plafonds de dépenses mis en place par Google ne bloquent pas l’accès aux services lorsqu’un seuil est atteint, mais envoient uniquement une alerte par email, laissant la facture continuer à grimper en arrière-plan.
Une des principales problématiques réside dans la configuration par défaut proposée par Google, qui facilite l’exploitation de ces clés publiques. Les développeurs doivent ainsi faire preuve d’une vigilance accrue, en particulier en restreignant l’accès de leurs clés API à des domaines précis dans la console cloud ou en vérifiant que des services payants comme Gemini ou Veo ne sont pas activés inutilement sur leurs projets. Le problème ne réside pas tant dans une faille technique, mais dans une conception qui permet à tout code côté client d’utiliser une clé API vulnérable.
Face à cette crise, Google refuse généralement de rembourser les sommes mal facturées, estimant que cette situation est “industry-wide” — c’est-à-dire un problème généralisé dans l’industrie. Pour les développeurs, cela représente une situation particulièrement frustrante, car ils se retrouvent à payer pour des services qu’ils n’ont pas sollicité. La simple utilisation des clés publiques dans un contexte où Gemini ou Veo sont activés par défaut devient une véritable bombe à retardement financière.
En conclusion, cette affaire met en lumière la nécessité pour les usagers de Google Cloud de revoir en profondeur leurs configurations, notamment en limitant strictement l’usage de leurs API et en étant vigilants sur l’activation des services. La gestion des coûts et la sécurité des clés API doivent devenir une priorité si l’on souhaite éviter ce genre de mésaventures coûteuses, Google étant pour l’instant plutôt peu enclin à offrir des solutions de remboursement face à ces erreurs de paramétrage.
