Cle d'API (API Key)
Qu'est-ce que Cle d'API (API Key) ?
Cle d'API (API Key)Chaine secrete statique delivree par un service pour identifier et authentifier un appelant, transmise habituellement en en-tete ou parametre d'URL a chaque requete.
Les cles d'API sont de longues chaines aleatoires identifiant un projet, un compte de service ou un developpeur aupres d'une API. Simples a emettre et a utiliser, elles offrent toutefois de faibles garanties: elles identifient l'appelant et non l'utilisateur, n'expirent pas par defaut et accordent toutes les permissions liees. Bonnes pratiques: stockage dans un gestionnaire de secrets, jamais dans du code client ou un depot public, scope etroit, restrictions par IP ou Referer, rotation periodique, revocation immediate en cas de fuite. Pour l'autorisation utilisateur final ou des operations sensibles, preferer OAuth 2.0, mTLS ou des requetes signees.
● Exemples
- 01
Authorization: ApiKey sk_live_abc123...
- 02
APIs Stripe, Google Maps et Twilio accedees via des cles par projet.
● Questions fréquentes
Qu'est-ce que Cle d'API (API Key) ?
Chaine secrete statique delivree par un service pour identifier et authentifier un appelant, transmise habituellement en en-tete ou parametre d'URL a chaque requete. Cette notion relève de la catégorie Identité et accès en cybersécurité.
Que signifie Cle d'API (API Key) ?
Chaine secrete statique delivree par un service pour identifier et authentifier un appelant, transmise habituellement en en-tete ou parametre d'URL a chaque requete.
Comment fonctionne Cle d'API (API Key) ?
Les cles d'API sont de longues chaines aleatoires identifiant un projet, un compte de service ou un developpeur aupres d'une API. Simples a emettre et a utiliser, elles offrent toutefois de faibles garanties: elles identifient l'appelant et non l'utilisateur, n'expirent pas par defaut et accordent toutes les permissions liees. Bonnes pratiques: stockage dans un gestionnaire de secrets, jamais dans du code client ou un depot public, scope etroit, restrictions par IP ou Referer, rotation periodique, revocation immediate en cas de fuite. Pour l'autorisation utilisateur final ou des operations sensibles, preferer OAuth 2.0, mTLS ou des requetes signees.
Comment se défendre contre Cle d'API (API Key) ?
Les défenses contre Cle d'API (API Key) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
● Termes liés
- appsec№ 459
Secrets codés en dur dans le code
Insertion d'identifiants, clés API, jetons ou matériel cryptographique directement dans le code source, des fichiers de configuration ou des images conteneurs, où ils sont aisément découverts et abusés.
- appsec№ 052
Sécurité des API
Discipline qui consiste à concevoir, construire et exploiter des API de sorte que l'authentification, l'autorisation, l'exposition des données et la résistance aux abus tiennent sous attaque.
- identity-access№ 088
Bearer Token (token au porteur)
Credential opaque ou structure (RFC 6750) qui accorde l'acces a une ressource par simple possession, sans preuve que le porteur en est le proprietaire legitime.
- identity-access№ 749
OAuth 2.0
Cadre ouvert d'autorisation permettant au propriétaire d'une ressource d'accorder à une application tierce un accès limité à une API sans partager d'identifiants.
- identity-access№ 1011
Compte de service
Identité non humaine utilisée par une application, un script ou un service pour s'authentifier auprès d'autres systèmes, généralement sans connexion interactive.
- identity-access№ 233
Coffre-fort de credentials
Service centralisé et audité qui stocke, fait tourner et intermédie de manière sécurisée l'accès à des secrets tels que mots de passe, clés d'API, certificats et clés SSH.