Une clé d'interface de programmation d'application (API) est un code unique utilisé par une API pour identifier l'application ou l'utilisateur à l'origine de la demande. Les clés API sont utilisées pour suivre et contrôler qui utilise une API et comment il l'utilise, ainsi que pour authentifier et autoriser les applications, de manière similaire au fonctionnement des noms d'utilisateur et des mots de passe. Une clé API peut se présenter sous la forme d'une clé unique ou d'un ensemble de clés. Les utilisateurs doivent suivre les meilleures pratiques pour améliorer leur sécurité globale contre le vol de clés API et éviter les conséquences liées à la compromission de celles-ci.
API et clé API
Pour comprendre ce qu'est une clé API, vous devez d'abord comprendre ce qu'est une API. Une interface de programmation d'applications ou API est un intermédiaire logiciel qui permet à deux applications ou plus de partager des informations. Par exemple, l'API de CoinMarketCap permet à d'autres applications de récupérer et d'utiliser des données crypto, telles que le cours, le volume et la capitalisation.
Une clé API se présente sous différentes formes : il peut s'agir d'une clé unique ou d'un ensemble de clés. Différents systèmes utilisent ces clés pour authentifier et autoriser une application, de la même manière qu'un nom d'utilisateur et un mot de passe pour un individu. Une clé API est utilisée par un client API pour authentifier une application sollicitant l'API.
Par exemple, si Binance Academy veut utiliser l'API CoinMarketCap, une clé API sera générée par CoinMarketCap et utilisée pour authentifier l'identité de Binance Academy (le client API), qui demande l'accès à l'API. Lorsque Binance Academy accède à l'API de CoinMarketCap, cette clé API doit être envoyée à CoinMarketCap avec la demande.
Cette clé API ne doit être utilisée que par Binance Academy et ne doit pas être partagée ou envoyée à d'autres personnes. Le partage de cette clé API permettrait à une tierce partie d'accéder à CoinMarketCap en tant que Binance Academy, et toutes les actions de cette tierce partie apparaîtront comme si elles provenaient de Binance Academy.
La clé API peut également être utilisée par l'API CoinMarketCap pour confirmer si l'application est autorisée à accéder à la ressource demandée. De plus, les propriétaires d'API utilisent les clés API pour surveiller l'activité API, comme les différents types de demandes, le trafic et le volume des demandes.
Qu'est-ce qu'une clé API ?
Une clé API est utilisée pour contrôler et suivre qui utilise une API et comment il l'utilise. Le terme « clé API » peut avoir des significations différentes selon les systèmes. Certains systèmes ont un code unique, mais d'autres peuvent avoir plusieurs codes pour une seule « clé API ».
En tant que telle, une « clé API » est un code unique ou un ensemble de codes uniques utilisés par une API pour authentifier et autoriser l'utilisateur ou l'application à l'origine d'une demande. Certains codes sont utilisés pour l'authentification et d'autres pour la création de signatures cryptographiques afin de prouver la légitimité d'une demande.
Ces codes d'authentification sont communément appelés « clé API », tandis que les codes utilisés pour les signatures cryptographiques portent différents noms, tels que « clé secrète », « clé publique » ou « clé privée ».L'authentification consiste à identifier les entités concernées et à confirmer qu'elles sont bien celles qu'elles prétendent être.
L'autorisation, quant à elle, spécifie les services de l'API auxquels l'accès est autorisé. La fonction d'une clé API est similaire à celle d'un nom d'utilisateur et d'un mot de passe de compte. Elle peut également être reliée à d'autres dispositifs de sécurité pour améliorer la sécurité globale.
Chaque clé API est généralement générée pour une entité spécifique par le propriétaire de l'API (plus de détails ci-dessous) et chaque fois qu'une demande est effectuée vers un point de terminaison API, qui nécessite une authentification ou une autorisation de l'utilisateur, ou les deux, la clé correspondante est utilisée.
Les signatures cryptographiques
Certaines clés API utilisent des signatures cryptographiques comme couche supplémentaire de vérification. Lorsqu'un utilisateur souhaite envoyer certaines données à une API, une signature numérique générée par une autre clé peut être ajoutée à la demande. Grâce à la cryptographie, le propriétaire de l'API peut vérifier que cette signature numérique correspond aux données envoyées.
Les signatures symétriques et asymétriques
Les données partagées par le biais d'une API peuvent être signées par des clés cryptographiques, qui peuvent être classées selon les catégories suivantes :
Les clés symétriques
Elles impliquent l'utilisation d'une clé secrète pour effectuer à la fois la signature des données et la vérification d'une signature. Avec les clés symétriques, la clé API et la clé secrète sont généralement générées par le propriétaire de l'API et la même clé secrète doit être utilisée par le service API pour la vérification de la signature. Le principal avantage de l'utilisation d'une clé unique est qu'elle est plus rapide à mettre en oeuvre et nécessite moins de puissance de calcul pour la génération et la vérification de la signature. HMAC est un bon exemple de clé symétrique.
Les clés asymétriques
Elles impliquent l'utilisation de deux clés : une clé privée et une clé publique, qui sont différentes mais liées cryptographiquement. La clé privée est utilisée pour la génération de la signature et la clé publique est utilisée pour la vérification de la signature. La clé API est générée par le propriétaire de l'API, mais la paire de clés privée et publique est générée par l'utilisateur. Seule la clé publique doit être utilisée par le propriétaire de l'API pour la vérification de la signature, de sorte que la clé privée peut rester locale et secrète.
Le principal avantage de l'utilisation de clés asymétriques est la sécurité accrue de la séparation des clés de génération et de vérification des signatures. Cela permet aux systèmes externes de vérifier les signatures sans être en mesure de les générer. Un autre avantage est que certains systèmes de chiffrement asymétrique permettent d'ajouter un mot de passe aux clés privées. Les paires de clés RSA en sont un bon exemple.
Les clés API sont-elles sécurisées ?
La responsabilité d'une clé API incombe à l'utilisateur. Les clés API sont similaires aux mots de passe et doivent être traitées avec le même soin. Le partage d'une clé API est similaire au partage d'un mot de passe et, en tant que tel, ne doit pas avoir lieu car cela mettrait le compte de l'utilisateur en danger.
Les clés API sont couramment visées par les cyberattaques car elles peuvent être utilisées pour effectuer des opérations de grande envergure sur les systèmes, comme la demande d'informations personnelles ou l'exécution de transactions financières. Il y a en effet eu des cas où des robots d'indexation ont réussi à analyser des bases de données de codes en ligne pour voler des clés API.
Les conséquences d'un vol de clé API peuvent être dramatiques et entraîner des pertes financières importantes. En outre, comme certaines clés API n'expirent pas, elles peuvent être utilisées indéfiniment par les attaquants une fois volées, jusqu'à ce que les clés elles-mêmes soient révoquées.
Bonnes pratiques pour l'utilisation de clés API
En raison de leur accès à des données sensibles et de leur vulnérabilité générale, l'utilisation sécurisée des clés API est d'une importance capitale. Vous pouvez suivre ces bonnes pratiques lorsque vous utilisez des clés API afin d'améliorer leur sécurité globale :
Changez souvent vos clés API. Cela signifie que vous devriez supprimer votre clé API actuelle et en créer une nouvelle. Avec plusieurs systèmes, il est généralement facile de générer et de supprimer des clés API. De la même manière que certains systèmes vous demandent de changer votre mot de passe tous les 30 à 90 jours, vous devriez changer vos clés d'API à une fréquence similaire.
Utilisez la liste blanche d'IP : lorsque vous créez une clé API, établissez une liste des IP autorisées à utiliser la clé (une liste blanche d'IP). Vous pouvez également spécifier une liste d'IP bloquées (une liste noire d'IP). De cette façon, même si votre clé API est volée, elle ne pourra pas être accessible par une IP non reconnue.
Utilisez plusieurs clés API : le fait de disposer de plusieurs clés et de répartir les responsabilités entre elles réduira le risque de sécurité, car votre sécurité ne dépendra pas d'une seule clé dotée de permissions étendues. Vous pouvez également définir des listes blanches d'adresses IP différentes pour chaque clé, ce qui réduit encore le risque de sécurité.
Stockez les clés API en toute sécurité : ne stockez pas vos clés sur des emplacements accessibles, sur des ordinateurs publics ou dans leur format original en texte brut. Au lieu de cela, stockez-les en utilisant le chiffrement ou un gestionnaire de mots de passe pour une sécurité renforcée, et veillez à ne pas les exposer accidentellement.
Ne partagez pas vos clés API. Vous pouvez comparer le partage d'une clé API au partage d'un mot de passe. Le faire donne à une autre partie les mêmes privilèges d'authentification et d'autorisation que les vôtres. Si elles est compromise, votre clé API peut être volée et utilisée pour pirater votre compte. Une clé API ne doit être utilisée qu'entre vous et le système qui la génère.
Si votre clé API est compromise, vous devez d'abord la désactiver pour éviter tout dommage supplémentaire. En cas de perte financière, faites des captures d'écran des principales informations liées à l'incident, contactez les entités concernées et déposez plainte. C'est le meilleur moyen d'augmenter vos chances de récupérer les fonds perdus.
Conclusion
Les clés API fournissent des fonctions d'authentification et d'autorisation essentielles, et les utilisateurs doivent gérer et protéger leurs clés avec soin. Il existe de nombreux niveaux et aspects pouvant garantir une utilisation en toute sécurité des clés API. Dans l'ensemble, une clé API doit être traitée comme le mot de passe de votre compte.