Des chercheurs ayant analysé 10 millions de pages web ont identifié 1 748 identifiants API actifs provenant de 14 fournisseurs majeurs, exposés sur près de 10 000 sites web, y compris ceux gérés par des banques et des prestataires de santé. Ces fuites pourraient permettre à des attaquants d'accéder à des données sensibles ou de prendre le contrôle d'infrastructures numériques. Nurullah Demir de l'Université Stanford a qualifié le problème de très significatif, touchant même de grandes entreprises.
Une équipe dirigée par Nurullah Demir à l'Université Stanford en Californie a scanné 10 millions de pages web et a trouvé 1 748 identifiants API vérifiés et actifs provenant de services tels qu'Amazon Web Services, Stripe, GitHub et OpenAI. Ceux-ci étaient dispersés sur près de 10 000 sites web, les organisations touchées incluant une institution financière d'importance systémique mondiale, un développeur de micrologiciels et une plateforme d'hébergement majeure, ainsi que des banques et des prestataires de santé. Les identifiants exposés, tels que ceux pouvant révéler des clés privées RSA, pourraient permettre à des attaquants d'usurper l'identité de serveurs, de décrypter des communications ou de prendre le contrôle administratif de l'infrastructure d'une entreprise. 84 % des fuites sont apparues dans des environnements JavaScript, probablement en raison d'outils de regroupement utilisés par les développeurs, tandis que 16 % provenaient de ressources tierces comme des plugins. Les identifiants étaient accessibles publiquement depuis 12 mois en moyenne, certains étant en ligne depuis jusqu'à cinq ans. Les chercheurs ont informé les entreprises concernées, et environ 50 % ont supprimé les clés dans les deux semaines, bien que certaines n'aient pas répondu. Katie Paxton-Fear de l'Université métropolitaine de Manchester a noté que de nombreux développeurs n'avaient pas l'intention d'être peu sûrs, attribuant ces expositions à des particularités de programmation dans les pipelines de développement. Nick Nikiforakis de l'Université Stony Brook a souligné que les clés API fuitées permettent aux attaquants d'agir en tant qu'utilisateurs autorisés, posant des risques dans le développement de logiciels modernes. Demir a insisté sur la responsabilité partagée : les développeurs doivent configurer correctement les environnements, les créateurs d'outils devraient masquer les clés par défaut et les hébergeurs devraient analyser et désactiver rapidement les fuites. Les conclusions sont détaillées dans un article sur arXiv (DOI : 10.48550/arXiv.2603.12498).
