brew install trufflehog\n<\/span><\/span>trufflehog git https:\/\/github.com\/user\/project --only-verified\n<\/span><\/span><\/code><\/pre>\nLe flag --only-verified<\/code> c’est le truc important, \u00e7a teste si les secrets trouv\u00e9s sont encore ACTIFS. Parce que trouver une vieille cl\u00e9 r\u00e9voqu\u00e9e, on s’en fiche. Attention, \u00e7a ne marche pas sur les repos priv\u00e9s sans token d’acc\u00e8s.<\/p>\n

Y’a aussi \nNosey Parker<\/a> \nqui fait le m\u00eame genre de boulot mais perso, je trouve TruffleHog plus complet pour les cl\u00e9s cloud, m\u00eame si Nosey Parker est plus rapide pour les gros repos.<\/p>\n

Apr\u00e8s si vous bossez avec des cl\u00e9s Google sp\u00e9cifiquement, cherchez le pattern AIza<\/code> dans votre code. Un simple grep suffit :<\/p>\n

\ngrep -r \"AIza\" . --include=\"*.js\" --include=\"*.py\" --include=\"*.env\"\n<\/span><\/span><\/code><\/pre>\nEmp\u00eacher les fuites \u00e0 la source<\/h2>\nScanner c’est bien, mais emp\u00eacher les secrets d’atterrir dans Git, c’est mieux. Et pour cela, rien de plus simple… Suffit d’installer un pre-commit hook.<\/p>\n git-secrets<\/code> d’AWS fait exactement \u00e7a :<\/p>\n\nbrew install git-secrets\n<\/span><\/span>cd mon-projet\n<\/span><\/span>git secrets --install\n<\/span><\/span>git secrets --register-aws\n<\/span><\/span><\/code><\/pre>\nDu coup, chaque git commit<\/code> v\u00e9rifie automatiquement qu’il n’y a pas de cl\u00e9 AWS qui tra\u00eene. Vous pouvez ajouter vos propres patterns (genre AIza<\/code> pour Google) :<\/p>\n\ngit secrets --add 'AIza[0-9A-Za-z_-]{35}'\n<\/span><\/span>git secrets --add 'sk-proj-[0-9a-zA-Z]{48}'\n<\/span><\/span><\/code><\/pre>\nLe deuxi\u00e8me pattern, c’est pour les cl\u00e9s OpenAI (format sk-proj-<\/code>). D’ailleurs, stockez TOUT dans des fichiers .env<\/code> et v\u00e9rifiez que .env<\/code> est dans votre .gitignore<\/code>. \u00c7a devrait \u00eatre un r\u00e9flexe ! Le pi\u00e8ge classique c’est surtout le fichier .env.example<\/code> qui contient en fait de vraies cl\u00e9s… c’est du vu et revu sur GitHub.<\/p>\nPour aller plus loin, \nVault de HashiCorp<\/a> \ng\u00e8re \u00e9galement vos secrets de mani\u00e8re centralis\u00e9e avec du chiffrement, de la rotation automatique et des audit logs. C’est carr\u00e9ment le niveau sup\u00e9rieur notamment pour les \u00e9quipes. C’est bien plus safe que le .env .<\/p>\n D\u00e9tecter un vol avant la catastrophe<\/h2>\nNotre dev mexicain a d\u00e9couvert sa facture APR\u00c8S 48 heures. Deux jours, c’est une \u00e9ternit\u00e9 alors voil\u00e0 comment r\u00e9agir en minutes, et pas en jours.<\/p>\n Sur Google Cloud, allez dans Billing > Budgets & Alerts. Cr\u00e9ez un budget avec des seuils \u00e0 50%, 90% et 100% de votre budget mensuel. Activez les notifications par email ET par Pub\/Sub pour d\u00e9clencher une Cloud Function qui coupe automatiquement les cl\u00e9s si le seuil est d\u00e9pass\u00e9.<\/p>\n Chez OpenAI, c’est dans Settings > Billing > Usage limits. Vous pouvez d\u00e9finir un hard cap mensuel. Au-del\u00e0… plus rien ne passe. M\u00eame chose \u00e0 peu pr\u00e8s pour Claude d’Anthropic aussi…<\/p>\n Et surtout, activez la rotation automatique de vos cl\u00e9s. Sur Google Cloud :<\/p>\n\ngcloud services api-keys list\n<\/span><\/span>gcloud services api-keys create --display-name=\"gemini-prod-$(date +%Y%m)\"\n<\/span><\/span>gcloud services api-keys delete ANCIENNE_CLE_ID\n<\/span><\/span><\/code><\/pre>\nLes restrictions d’API c’est pas un luxe donc sur chaque cl\u00e9, limitez les services autoris\u00e9s (Gemini uniquement si c’est son usage), les IPs sources et le nombre de requ\u00eates par minute. Sauf si vous aimez les surprises \u00e0 5 chiffres sur votre relev\u00e9 bancaire, une cl\u00e9 sans restriction, c’est une carte bleue sans plafond.<\/p>\n Perso, je me suis mis des alertes sur tous mes comptes cloud, que ce soit AWS, GCP ou Azure. Genre, si \u00e7a d\u00e9passe 50 balles en une journ\u00e9e… hop, notification sur le t\u00e9l\u00e9phone. Finalement, c’est 5 minutes de config qui peuvent vous \u00e9viter des mois de gal\u00e8re.<\/p>\n\nSource<\/a>\n<\/p>\n<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":" 82 314 dollars, c’est l’incroyable facture que s’est mang\u00e9 un dev mexicain apr\u00e8s 48 heures d’utilisation frauduleuse de sa cl\u00e9 API Gemini. Sa d\u00e9pense habituelle \u00e9tait de 180 dollars par mois environ, j’imagine que \u00e7a lui a fait un peu mal aux fesses. Et c’est une bonne raison pour moi de vous inciter une nouvelle fois \u00e0 bien s\u00e9curiser vos cl\u00e9s API ! Le gars bosse dans une petite startup et de ce que j’ai compris, quelqu’un a chop\u00e9 ses credentials et s’est l\u00e2ch\u00e9 sur Gemini 3 Pro pendant deux jours. La r\u00e9ponse de Google ? “Responsabilit\u00e9 partag\u00e9e“. En gros, eux s\u00e9curisent l’infra, et vous s\u00e9curisez vos cl\u00e9s. Si vous vous faites plumer, c’est votre probl\u00e8me ! Et c’est pas un cas isol\u00e9 car les chercheurs de Truffle Security ont scann\u00e9 le web et trouv\u00e9 2 863 cl\u00e9s Google API expos\u00e9es en clair sur des sites publics. Toutes identifiables par le pr\u00e9fixe AIza. Sauf que comme je vous l’expliquais dans un article pr\u00e9c\u00e9dent, ces cl\u00e9s, \u00e0 la base, \u00e9taient con\u00e7ues comme de simples identifiants de projet pour Maps et Firebase et la doc Google disait carr\u00e9ment qu’elles n’\u00e9taient pas secr\u00e8tes ! Et quand l’API Gemini a \u00e9t\u00e9 activ\u00e9e sur ces projets, h\u00e9 bien ces cl\u00e9s sont devenues des cl\u00e9s d’authentification, sans que personne ne r\u00e9alise ce changement de paradigme. Mais bon, plut\u00f4t que de chialer comme des fragiles, voyons comment \u00e9viter de se retrouver dans cette situation ^^. Scanner vos secrets existants Avant tout, faut savoir si vous avez d\u00e9j\u00e0 des fuites. Deux outils open source font \u00e7a tr\u00e8s bien. TruffleHog scanne vos d\u00e9p\u00f4ts Git, vos fichiers, et m\u00eame vos buckets S3 pour trouver des secrets qui tra\u00eenent. L’install est simple : brew install trufflehog trufflehog git https:\/\/github.com\/user\/project –only-verified Le flag –only-verified c’est le truc important, \u00e7a teste si les secrets trouv\u00e9s sont encore ACTIFS. Parce que trouver une vieille cl\u00e9 r\u00e9voqu\u00e9e, on s’en fiche. Attention, \u00e7a ne marche pas sur les repos priv\u00e9s sans token d’acc\u00e8s. Y’a aussi Nosey Parker qui fait le m\u00eame genre de boulot mais perso, je trouve TruffleHog plus complet pour les cl\u00e9s cloud, m\u00eame si Nosey Parker est plus rapide pour les gros repos. Apr\u00e8s si vous bossez avec des cl\u00e9s Google sp\u00e9cifiquement, cherchez le pattern AIza dans votre code. Un simple grep suffit : grep -r “AIza” . –include=”*.js” –include=”*.py” –include=”*.env” Emp\u00eacher les fuites \u00e0 la source Scanner c’est bien, mais emp\u00eacher les secrets d’atterrir dans Git, c’est mieux. Et pour cela, rien de plus simple… Suffit d’installer un pre-commit hook. git-secrets d’AWS fait exactement \u00e7a : brew install git-secrets cd mon-projet git secrets –install git secrets –register-aws Du coup, chaque git commit v\u00e9rifie automatiquement qu’il n’y a pas de cl\u00e9 AWS qui tra\u00eene. Vous pouvez ajouter vos propres patterns (genre AIza pour Google) : git secrets –add ‘AIza[0-9A-Za-z_-]{35}’ git secrets –add ‘sk-proj-[0-9a-zA-Z]{48}’ Le deuxi\u00e8me pattern, c’est pour les cl\u00e9s OpenAI (format sk-proj-). D’ailleurs, stockez TOUT dans des fichiers .env et v\u00e9rifiez que .env est dans votre .gitignore. \u00c7a devrait \u00eatre un r\u00e9flexe ! Le pi\u00e8ge classique c’est surtout le fichier .env.example qui contient en fait de vraies cl\u00e9s… c’est du vu et revu sur GitHub. Pour aller plus loin, Vault de HashiCorp g\u00e8re \u00e9galement vos secrets de mani\u00e8re centralis\u00e9e avec du chiffrement, de la rotation automatique et des audit logs. C’est carr\u00e9ment le niveau sup\u00e9rieur notamment pour les \u00e9quipes. C’est bien plus safe que le .env . D\u00e9tecter un vol avant la catastrophe Notre dev mexicain a d\u00e9couvert sa facture APR\u00c8S 48 heures. Deux jours, c’est une \u00e9ternit\u00e9 alors voil\u00e0 comment r\u00e9agir en minutes, et pas en jours. Sur Google Cloud, allez dans Billing > Budgets & Alerts. Cr\u00e9ez un budget avec des seuils \u00e0 50%, 90% et 100% de votre budget mensuel. Activez les notifications par email ET par Pub\/Sub pour d\u00e9clencher une Cloud Function qui coupe automatiquement les cl\u00e9s si le seuil est d\u00e9pass\u00e9. Chez OpenAI, c’est dans Settings > Billing > Usage limits. Vous pouvez d\u00e9finir un hard cap mensuel. Au-del\u00e0… plus rien ne passe. M\u00eame chose \u00e0 peu pr\u00e8s pour Claude d’Anthropic aussi… Et surtout, activez la rotation automatique de vos cl\u00e9s. Sur Google Cloud : gcloud services api-keys list gcloud services api-keys create –display-name=”gemini-prod-$(date +%Y%m)” gcloud services api-keys delete ANCIENNE_CLE_ID Les restrictions d’API c’est pas un luxe donc sur chaque cl\u00e9, limitez les services autoris\u00e9s (Gemini uniquement si c’est son usage), les IPs sources et le nombre de requ\u00eates par minute. Sauf si vous aimez les surprises \u00e0 5 chiffres sur votre relev\u00e9 bancaire, une cl\u00e9 sans restriction, c’est une carte bleue sans plafond. Perso, je me suis mis des alertes sur tous mes comptes cloud, que ce soit AWS, GCP ou Azure. Genre, si \u00e7a d\u00e9passe 50 balles en une journ\u00e9e… hop, notification sur le t\u00e9l\u00e9phone. Finalement, c’est 5 minutes de config qui peuvent vous \u00e9viter des mois de gal\u00e8re. Source<\/p>\n","protected":false},"author":1,"featured_media":2440,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"give_campaign_id":0,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_kadence_starter_templates_imported_post":false,"footnotes":""},"class_list":["post-2439","page","type-page","status-publish","has-post-thumbnail","hentry"],"campaignId":"","_links":{"self":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/2439","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/comments?post=2439"}],"version-history":[{"count":0,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/2439\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media\/2440"}],"wp:attachment":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media?parent=2439"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}

Emp\u00eacher les fuites \u00e0 la source<\/h2>\nScanner c’est bien, mais emp\u00eacher les secrets d’atterrir dans Git, c’est mieux. Et pour cela, rien de plus simple… Suffit d’installer un pre-commit hook.<\/p>\ngit-secrets<\/code> d’AWS fait exactement \u00e7a :<\/p>\n