Cle d'API (API Key)
Qu'est-ce que Cle d'API (API Key) ?
Cle d'API (API Key)Chaine secrete statique delivree par un service pour identifier et authentifier un appelant, transmise habituellement en en-tete ou parametre d'URL a chaque requete.
Les cles d'API sont de longues chaines generees aleatoirement qui identifient un projet, un compte de service ou un developpeur aupres d'une API backend. Simples a emettre et a utiliser, elles offrent toutefois de faibles garanties : elles identifient l'appelant et non l'utilisateur, n'expirent pas par defaut et accordent l'ensemble des permissions qui leur sont liees. Comme ce sont des secrets porteurs (bearer) statiques, quiconque obtient la chaine peut usurper l'identite de l'appelant legitime jusqu'a ce que la cle soit revoquee.
Le mode de defaillance dominant est la fuite via la gestion de versions. GitHub a signale que plus de 39 millions de secrets ont ete exposes sur sa plateforme en 2024, et l'etude State of Secrets Sprawl de GitGuardian a trouve des cles AWS IAM dans environ 8 % des depots prives analyses. Un exemple de 2025 est le depot public « Private-CISA », ou le chercheur de GitGuardian Guillaume Valadon a decouvert des identifiants AWS GovCloud exposes, des mots de passe en clair et des certificats SAML lies a des systemes du gouvernement americain. Les cles fuitent aussi via les applis mobiles (APK decompiles), les bundles JavaScript front-end, les logs CI et les captures d'ecran.
Defenses : stocker les cles dans un gestionnaire de secrets plutot que dans le code, activer le scan de secrets et la push protection cote fournisseur, restreindre chaque cle au minimum d'endpoints, filtrer par IP ou referer HTTP, definir une expiration et tourner les cles regulierement, revoquer immediatement en cas d'exposition. Pour l'autorisation utilisateur final ou les operations sensibles, preferer OAuth 2.0, mTLS ou des requetes signees par HMAC, qui lient le credential a un utilisateur, une audience et une duree de vie courte.
flowchart LR
A[Le developpeur emet une cle d'API] --> B[Cle integree a l'appli/config]
B --> C{Stockee de maniere sure ?}
C -->|Gestionnaire de secrets + scan| D[Appelant -> requete API<br/>en-tete Authorization]
C -->|Commitee dans un depot / APK / logs| E[Scanners de secrets + attaquants<br/>recoltent la cle]
E --> F[Usurpation et abus<br/>jusqu'a revocation]
D --> G[Scope + liste d'IP autorisees + rotation<br/>limitent le rayon d'impact]● Exemples
- 01
Authorization: ApiKey sk_live_abc123...
- 02
APIs Stripe, Google Maps et Twilio accedees via des cles par projet.
● Questions fréquentes
Qu'est-ce que Cle d'API (API Key) ?
Chaine secrete statique delivree par un service pour identifier et authentifier un appelant, transmise habituellement en en-tete ou parametre d'URL a chaque requete. Cette notion relève de la catégorie Identité et accès en cybersécurité.
Que signifie Cle d'API (API Key) ?
Chaine secrete statique delivree par un service pour identifier et authentifier un appelant, transmise habituellement en en-tete ou parametre d'URL a chaque requete.
Comment se défendre contre Cle d'API (API Key) ?
Les défenses contre Cle d'API (API Key) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.