Liste blanche des IP pour les clés API
Oiseau
19 août 2015
1 min read
Points Clés
Les clés API sont des identifiants puissants — si elles sont compromises, les attaquants peuvent envoyer des emails, voler des données ou usurper votre marque.
Forcer brutalement une clé hexadécimale de 40 caractères est essentiellement impossible; les véritables menaces viennent de l'exposition (attaques MITM, dépôts de code non sécurisés, identifiants divulgués).
Utilisez toujours HTTPS et validez les certificats SSL pour empêcher l'interception de vos clés API.
La liste blanche des IP ajoute une couche de protection cruciale en restreignant l'utilisation d'une clé à des IP spécifiques ou à des plages d'IP.
Même si un attaquant vole votre clé API, il ne peut pas l'utiliser à moins de se connecter à partir d'une IP approuvée.
Le support CIDR facilite l'autorisation de réseaux entiers sans répertorier chaque serveur.
Évitez d'intégrer les clés API dans le code — utilisez plutôt des variables d'environnement ou des solutions de gestion des secrets sécurisées.
Créez plusieurs clés API à portée restreinte plutôt qu'une seule clé « tout faire » — chacune avec des permissions limitées et sa propre liste blanche.
Pour les intégrations tierces, créez des clés dédiées avec des droits restreints et des IP restreintes.
Activez la 2FA sur votre compte car les clés API ne peuvent être créées que via l'interface utilisateur.
Examinez, faites tourner et retirez régulièrement les clés pour maintenir une sécurité opérationnelle solide.
Points forts des Q&A
Qu'est-ce que l'IP whitelisting ?
C'est une fonctionnalité de sécurité qui limite l'utilisation des clés API à des adresses IP spécifiques ou à des plages d'adresses IP.
Pourquoi SparkPost/Bird utilise des clés API pour l'authentification ?
Les clés API sont simples, largement adoptées, et fonctionnent parfaitement avec les REST APIs et SMTP.
Que se passe-t-il si quelqu'un vole mon API key?
Ils pourraient envoyer du courrier en votre nom, télécharger des listes de destinataires, modifier des modèles ou envoyer des phishing/spam qui nuisent à votre marque.
Les clés API peuvent-elles être brute-forcées ?
Pratiquement impossible. Une chaîne hexadécimale de 40 caractères a ~1,46e48 combinaisons — une attaque par force brute prendrait plus de temps que l'âge de l'univers.
Alors, comment les attaquants obtiennent-ils normalement les API keys ?
Attaques de type homme-du-milieu (si SSL n'est pas vérifié), clés exposées dans les dépôts publics de GitHub, ou journaux divulguant accidentellement des clés.
Comment l'ajout d'IP à la liste blanche aide-t-il ?
Même si un attaquant vole votre clé, cela ne fonctionnera pas à moins qu'il ne se connecte à partir d'une IP approuvée.
Puis-je autoriser des réseaux entiers ?
Oui, via la notation CIDR — idéale pour les serveurs avec répartition de charge, les VPN ou les plages d'adresses statiques de bureau.
La whitelisting s'applique-t-elle à la fois à REST et SMTP ?
Oui, l'IP de la demande entrante doit correspondre à votre liste blanche.
Combien d'IPs ou de plages puis-je whitelister?
Autant que vous en avez besoin — plusieurs IP individuelles ou blocs.
Devrais-je utiliser une seule clé API pour tout?
Non. Créez des clés distinctes pour différents systèmes, équipes ou fournisseurs. Cela améliore la sécurité et facilite la rotation ou la révocation des clés.
Où dois-je stocker les API keys ?
Utilisez des variables d'environnement — ne jamais coder en dur les clés dans les fichiers sources ou les dépôts publics.
Des pratiques de sécurité supplémentaires ?
Activez toujours l'authentification à deux facteurs (2FA) sur votre compte SparkPost/Bird et créez des clés dédiées pour les tiers avec des autorisations minimales et leurs propres listes blanches.
