API Keys — Gestion et fuites de clés

Auth Secrets

Où chercher des clés exposées

# Code source JS côté client
curl https://target.com/app.js | grep -iE "api[_-]?key|secret"

# GitHub
site:github.com "target.com" api_key
truffleHog https://github.com/company/repo

# Apps mobiles décompilées
apktool d app.apk && grep -r "api_key" app/

Bonnes pratiques

Jamais de clé en dur côté client · Rotation régulière · Scopes limités par usage · Monitoring des appels anormaux · Variables d'environnement, jamais committées