API Keys — Gestion et fuites de clés
★★★★★
Où chercher des clés exposées
# Code source JS côté client
curl https://target.com/app.js | grep -iE "api[_-]?key|secret"
# GitHub
site:github.com "target.com" api_key
truffleHog https://github.com/company/repo
# Apps mobiles décompilées
apktool d app.apk && grep -r "api_key" app/ Bonnes pratiques
Jamais de clé en dur côté client · Rotation régulière · Scopes limités par usage · Monitoring des appels anormaux · Variables d'environnement, jamais committées