Après avoir analysé 10 millions de pages Web, les chercheurs ont découvert des milliers de sites Web exposant accidentellement des informations d'identification API sensibles, notamment des clés liées à des services majeurs tels qu'Amazon Web Services, Stripe et OpenAI.
Il s’agit d’un problème sérieux car les API constituent l’épine dorsale des applications que nous utilisons aujourd’hui. Ils permettent aux sites Web de se connecter à des services tels que les paiements, le stockage dans le cloud et les outils d'IA, mais ils s'appuient sur des clés numériques pour rester en sécurité. Une fois exposées, les clés API peuvent permettre à quiconque d’interagir avec ces services dans une intention malveillante.
Clés API sensibles exposées sur des milliers de sites
Selon TechXplore, les chercheurs ont identifié 1 748 informations d'identification API uniques sur près de 10 000 pages Web, liées à 14 principaux fournisseurs de services. Ces fuites ne se limitent pas à des sites obscurs, certaines apparaissant sur des plateformes gérées par des banques mondiales et de grands développeurs de logiciels.
Environ 84 % de ces fuites provenaient de fichiers JavaScript, facilement accessibles via un navigateur. Cela signifie que les informations d’identification se trouvaient effectivement dans un code visible publiquement.
Ce qui est encore plus préoccupant est la durée pendant laquelle ces clés sont restées exposées. Certains étaient visibles jusqu’à 12 mois, tandis que quelques rares cas montraient des informations d’identification restées publiques pendant plusieurs années sans être détectées.
Alors, quelle est la cause de ces fuites ?
L’étude montre clairement que le problème ne vient pas des fournisseurs de services comme Amazon, Stripe ou OpenAI. Le problème vient plutôt de la manière dont les développeurs gèrent les clés API.
Dans de nombreux cas, les développeurs incluent accidentellement des informations d’identification d’API privées dans le code frontal d’un site Web, les laissant ainsi visibles à quiconque sait où chercher.
Comment empêcher que les clés API soient exposées ?
Pour éviter de futures fuites, les chercheurs suggèrent quelques mesures pratiques. Les développeurs doivent analyser la version active de leurs sites Web, et pas seulement le code privé, pour détecter les clés exposées.
Avec l’essor du vibecoding, les entreprises ont besoin de règles plus strictes pour les outils de création de sites Web automatisés qui gèrent les données sensibles lors du déploiement. C'est également pourquoi des plateformes comme Lovable ont commencé à ajouter des outils de navigation sécurisés pour protéger les utilisateurs des sites Web mal codés.
Parallèlement, les fournisseurs de services doivent améliorer leurs systèmes de détection pour signaler les clés exposées dès leur apparition en ligne. Même si la divulgation responsable a contribué à réduire certaines de ces fuites, l’ampleur du problème reste importante.
Des rapports récents ont également montré à quel point la simple visite d'un site Web peut exposer votre appareil à de graves risques, soulignant à quel point la sécurité Web peut être fragile pour les internautes quotidiens.
