Après avoir analysé 10 millions de pages web, des chercheurs ont découvert que des milliers de sites web exposaient accidentellement des identifiants d'API sensibles, notamment des clés liées à des services majeurs tels qu'Amazon Web Services, Stripe et OpenAI.
Il s'agit d'un problème grave, car les API constituent la colonne vertébrale des applications que nous utilisons aujourd'hui. Elles permettent aux sites web de se connecter à des services tels que les paiements, le stockage dans le cloud et les outils d'IA, mais leur sécurité repose sur des clés numériques. Une fois exposées, les clés API peuvent permettre à n'importe qui d'interagir avec ces services à des fins malveillantes.
Des clés API sensibles exposées sur des milliers de sites
Selon TechXplore, les chercheurs ont identifié 1 748 identifiants API uniques sur près de 10 000 pages web, liés à 14 grands fournisseurs de services. Ces fuites ne se limitaient pas à des sites obscurs, certaines apparaissant sur des plateformes gérées par des banques mondiales et de grands développeurs de logiciels.
Environ 84 % de ces fuites provenaient de fichiers JavaScript, facilement accessibles via un navigateur. Cela signifie que les identifiants se trouvaient en réalité dans du code visible par tous.
Ce qui est encore plus préoccupant, c'est la durée pendant laquelle ces clés sont restées exposées. Certaines sont restées visibles pendant près de 12 mois, tandis que dans quelques rares cas, les identifiants sont restés publics pendant plusieurs années sans être détectés.
Alors, qu'est-ce qui cause ces fuites ?
L'étude montre clairement que le problème ne réside pas chez les fournisseurs de services tels qu'Amazon, Stripe ou OpenAI. Il provient plutôt de la manière dont les développeurs gèrent les clés API.
Dans de nombreux cas, les développeurs incluent accidentellement des identifiants API privés dans le code front-end d'un site web, les rendant ainsi visibles à toute personne sachant où les trouver.
Comment empêcher l'exposition des clés API ?
Pour prévenir de futures fuites, les chercheurs proposent quelques mesures pratiques. Les développeurs devraient analyser la version en ligne de leurs sites web, et pas seulement le code privé, afin de détecter les clés exposées.
Avec l'essor du vibecoding, les entreprises ont besoin de règles plus strictes pour les outils de création automatisée de sites web qui traitent des données sensibles lors du déploiement. C'est également la raison pour laquelle des plateformes comme Lovable ont commencé à ajouter des outils de navigation sécurisée afin de protéger les utilisateurs contre les sites web mal codés.
Parallèlement, les fournisseurs de services doivent améliorer leurs systèmes de détection afin de signaler les clés exposées dès leur apparition en ligne. Bien que la divulgation responsable ait contribué à réduire certaines de ces fuites, l'ampleur du problème reste considérable.
Des rapports récents ont également montré comment le simple fait de visiter un site web peut exposer votre appareil à de graves risques, soulignant à quel point la sécurité web peut être fragile pour les utilisateurs quotidiens d'Internet.
