Si vous voulez accéder à un programme ou à une ap­pli­ca­tion en passant par une interface de pro­gram­ma­tion, vous avez besoin d’une API key. Une API key est une clé unique ; elle prend la forme d’une chaîne de ca­rac­tères gardée secrète et agit comme une au­to­ri­sa­tion d’accès. L’API se sert de ces clés pour iden­ti­fier les uti­li­sa­teurs autorisés, et ainsi protéger les pro­grammes et les systèmes contre tout accès extérieur.

clé API : dé­fi­ni­tion

Vous souhaitez associer et échanger les fonc­tion­na­li­tés de deux pro­grammes ? Utilisez à cet effet des in­ter­faces de pro­gram­ma­tion, plus connues sous le nom d’API (Ap­pli­ca­tion Pro­gram­ming Interface, lit­té­ra­le­ment « Interface de pro­gram­ma­tion d’ap­pli­ca­tion »). Pour les pro­gram­meurs, les ap­pli­ca­tions ou les projets, une API donne la pos­si­bi­lité d’interagir avec un autre service ou un autre programme. De cette manière, une API permet d’exercer un contrôle sur les personnes pouvant faire des demandes entre les dif­fé­rentes API et recevoir les au­to­ri­sa­tions cor­res­pon­dantes, ainsi que sur les formats de données utilisés.

Pour contrôler les accès, il est possible d’utiliser des clés d’au­then­ti­fi­ca­tion uniques, les clés API. Pour obtenir ces clés API, il convient, entre autres, de s’adresser aux ex­ploi­tants d’API. Dans le cas où les uti­li­sa­teurs ou ap­pli­ca­tions sont en pos­ses­sion de la clé cor­res­pon­dante, le serveur API leur autorise alors l’accès.

Comment fonc­tionne une clé API ?

Le fonc­tion­ne­ment d’une clé API est com­pa­rable à celui d’un mot de passe. Dès le moment où une API « appelle » une autre API et demande l’accès à celle-ci, l’au­to­ri­sa­tion pour cet accès est obtenue au moyen de l’échange de la clé API. La clé API est alors attribuée au service ou programme à l’origine de l’appel, puis transmise au serveur API. Si le serveur API en question confirme l’au­then­ti­cité de cette clé API, alors il accorde l’accès au programme concerné ou à certaines de ses fonc­tion­na­li­tés. Avec les clés API, vous pouvez également réaliser des actions con­cer­nant plusieurs ap­pli­ca­tions en passant par des in­ter­faces API.

Ce sont les opé­ra­teurs API qui dé­ter­mi­nent les règles d’accès, le format des données ou la portée de ces actions. Grâce à ces in­ter­faces de pro­gram­ma­tion, il est donc possible de dé­ter­mi­ner pré­ci­sé­ment le type d’uti­li­sa­teurs ou de projets pour lesquels des droits d’accès sont accordés et des actions sont au­to­ri­sées. Les clés API peuvent aussi s’ancrer di­rec­te­ment dans certains langages de pro­gram­ma­tion, notamment Ja­vaS­cript ou Python. Il faut alors que les uti­li­sa­teurs ou services demandent la clé en Ja­vaS­cript au serveur API cor­res­pon­dant.

À quoi servent les clés API ?

Les clés API sont prin­ci­pa­le­ment utilisées pour exécuter les fonc­tion­na­li­tés suivantes :

  • Iden­ti­fi­ca­tion : une clé API est en mesure d’iden­ti­fier les API, projets ou services à l’origine de l’appel pour le serveur API. Elle permet donc de garder une trace des entités ayant demandé un accès, que celui-ci ait été accordé ou refusé.
  • Au­then­ti­fi­ca­tion : l’échange de la clé API permet de vérifier que les clients concernés sont bien autorisés à accéder au serveur en question. Cette fonc­tion­na­lité permet aussi de vérifier si l’API demandée est bien active.
  • Au­to­ri­sa­tion : après l’iden­ti­fi­ca­tion du projet ou du service, les règles d’accès du serveur API sont utilisées pour dé­ter­mi­ner la mesure dans laquelle l’accès dont il est question peut être accordé.

Comment demander des clés API ?

La manière dont vous demandez ou obtenez des clés API est avant tout fonction de l’API à laquelle vous voulez vous connecter. Les règles d’accès sont dif­fé­rentes en fonction du type d’opérateur pour l’API en question. Toutefois, en règle générale, les clés API sont at­tri­buées sur le modèle suivant :

  • Commencez par accéder à la page du four­nis­seur dont vous souhaitez utiliser l’API pour l’accès, puis connectez-vous sur la page du dé­ve­lop­peur.
  • Choi­sis­sez des clés API pour des projets existants, ou alors pour créer de nouveaux projets.
  • N’hésitez pas à attribuer un nom à cette clé API, de manière à faciliter son at­tri­bu­tion.
  • Une fois la clé API créée et dis­tri­buée, intégrez-la à votre site Web ou ap­pli­ca­tion de manière à y accéder ul­té­rieu­re­ment et à trans­fé­rer les données con­cer­nées. Par la suite, à chaque appel, le serveur API re­con­naî­tra l’ap­pli­ca­tion à l’origine de l’appel grâce à la clé API.
Conseil

Vous aimeriez savoir comment demander une clé API pour des ap­pli­ca­tions comme ChatGPT, Google Maps ou encore YouTube ? N’hésitez plus et découvrez nos conseils sur les thèmes suivants :

Avantages des clés API

Le grand avantage offert par les clés API est avant tout une au­then­ti­fi­ca­tion simple et rapide au niveau des droits d’accès, que ce soit pour les uti­li­sa­teurs, les services ou les pro­grammes. Cet avantage est par­ti­cu­liè­re­ment visible lorsque dif­fé­rentes ap­pli­ca­tions sont con­nec­tées entre elles à des fins d’échange de données ou d’actions con­cer­nant plusieurs pro­grammes. Les clés d’au­then­ti­fi­ca­tion offrent des avantages aux pro­gram­meurs qui créent des ap­pli­ca­tions, et se servent donc des API pour accéder à dif­fé­rents pro­grammes. Les serveurs API peuvent utiliser des clés sem­blables à des mots de passe. Celles-ci per­met­tent d’empêcher tout acteur mal­veil­lant d’accéder au système.

Les clés API proposent les fonc­tion­na­li­tés suivantes si vous souhaitez améliorer et com­plexi­fier vos processus d’au­then­ti­fi­ca­tion :

  • En­re­gis­tre­ment des API, pro­grammes, services ou projets demandant l’accès à des API bien par­ti­cu­lières ;
  • Dé­fi­ni­tion de droits d’accès par les serveurs API et les opé­ra­teurs cor­res­pon­dants, afin de dé­ter­mi­ner le type d’actions et d’accès que peuvent autoriser certaines API spé­ci­fiques ;
  • Aperçu des accès ayant déjà été accordés ou refusés ;
  • Sécurité sup­plé­men­taire offerte par les clés API qui agissent en tant que clés uniques, sin­gu­lières et secrètes ;
  • Blocage de tout trafic non identifié au sein du réseau ;
  • Li­mi­ta­tion du nombre d’appels à une API spé­ci­fique, per­met­tant ainsi de contrôler son uti­li­sa­tion ;
  • Meilleure fil­tra­tion de certains types ou modèles d’accès et at­tri­bu­tion à des clés API spé­ci­fiques.

Quel rôle jouent les clés API en matière de sécurité ?

Seules, les clés API ne suffisent pas à re­pré­sen­ter une véritable mesure de sécurité, mais elles per­met­tent tout de même de sécuriser davantage les accès. Étant donné que les clés API, tout comme les mots de passe, ren­fer­ment des clients, elles risquent de faire l’objet d’attaques menées par des pirates in­for­ma­tiques. Comme dans le cas d’un mot de passe dérobé, une clé API non chiffrée et volée peut ra­pi­de­ment permettre à des tiers d’accéder à votre système. De manière générale, les clés API sont visibles dans les journaux des serveurs, ce qui peut permettre aux pirates in­for­ma­tiques d’accéder à votre système en faisant croire qu’ils disposent des au­to­ri­sa­tions né­ces­saires. Mal­heu­reu­se­ment, ces clés jouent souvent un rôle dans les cy­be­rat­taques, comme les attaques DDoS, les attaques dites « de l’homme du milieu » ou encore les in­jec­tions.

Si vous utilisez des clés API, nous vous con­seil­lons de tenir compte des aspects de sécurité suivants :

  • Les clés API n’iden­ti­fient pas con­crè­te­ment les uti­li­sa­teurs, mais plutôt les API ou les pro­grammes à l’origine d’une demande d’accès.
  • Con­trai­re­ment aux mots de passe, les clés API sont rarement chiffrées et stockées côté client ; à la place, elles restent visibles dans les journaux du serveur.
  • Les clés API, tout comme les mots de passe non sécurisés, peuvent très bien être dérobées par des pirates in­for­ma­tiques cherchant à accéder à une ap­pli­ca­tion.
API de IONOS pour dé­ve­lop­peurs
Gérez vos produits d'hé­ber­ge­ment grâce à notre puissante API
  • En­re­gis­tre­ments DNS
  • Ad­mi­nis­tra­tion SSL
  • Do­cu­men­ta­tion API

Comment utiliser les clés API en toute sécurité ?

Comme les API per­met­tent aux pro­grammes d’échanger entre eux des données sensibles et au­to­ri­sent également l’accès à des ap­pli­ca­tions internes, vous devez im­pé­ra­ti­ve­ment disposer d’un système de sécurité fiable en ce qui concerne vos API. Les mesures de sécurité suivantes comptent parmi celles qui ren­for­cent la pro­tec­tion autour des API :

  • Il convient de limiter et de protéger l’accès aux clés API déposées côté client.
  • Il convient d’utiliser une seule clé API par projet et par ap­pli­ca­tion.
  • Il convient de supprimer toute clé API qui n’est plus utilisée.
  • Il convient de chiffrer les clés API en­re­gis­trées en tant qu’iden­ti­fiants au repos (Cre­den­tials-at-Rest) pour éviter tout vol de clés.
  • Il convient de ne pas intégrer les clés API à du code de façon clai­re­ment lisible et de ne pas non plus les en­re­gis­trer dans la structure source.
  • Il convient de contrôler l’uti­li­sa­tion et l’ex­ploi­ta­tion des clés API, par exemple lorsque plusieurs pro­gram­meurs utilisent des API REST avec OpenAPI.

Clés API et pro­tec­tion des données

La pro­tec­tion des données cor­res­pond à un autre aspect important pour les clés API. Il convient d’y prêter attention dès que vous installez une nouvelle ap­pli­ca­tion sur votre téléphone portable et que celle-ci demande des au­to­ri­sa­tions sup­plé­men­taires. En effet, vous êtes parfois sus­cep­tible de ne pas vérifier exac­te­ment les au­to­ri­sa­tions que vous demande une ap­pli­ca­tion. S’il s’agit de services douteux, vous pourriez in­vo­lon­tai­re­ment autoriser ceux-ci à accéder à l’ensemble de vos données Facebook, à vos photos ou à la mémoire de votre téléphone. En con­sé­quence, des pirates pour­raient collecter l’in­té­gra­lité de vos données voire, dans le pire des cas, prendre le contrôle de votre système. Nous vous re­com­man­dons donc d’utiliser une clé API à des fins d’au­to­ri­sa­tion d’accès qu’avec des ap­pli­ca­tions fiables, et ce, afin d’éviter toute uti­li­sa­tion abusive de vos données.

Aller au menu principal