DEV Community

Cover image for Postman : Vos clés API sont-elles collectées et stockées ? Ce qu'il faut savoir
Antoine Laurent
Antoine Laurent

Posted on • Originally published at apidog.com

Postman : Vos clés API sont-elles collectées et stockées ? Ce qu'il faut savoir

En bref

Oui, Postman stocke les clés API et d'autres identifiants lorsque vous les enregistrez dans des variables d'environnement avec la synchronisation cloud activée, ce qui est le comportement par défaut. Cela ne signifie pas que Postman utilise abusivement vos clés, mais que vos identifiants existent sur un serveur tiers. Comprendre cela vous aide à décider si la configuration par défaut de Postman répond à vos exigences de sécurité, et quand un outil local comme Apidog est un meilleur choix.

Essayez Apidog dès aujourd'hui

💡Apidog est une plateforme de développement API tout-en-un gratuite. Apidog stocke les variables d'environnement et les clés API localement par défaut, de sorte que vos identifiants restent sur votre appareil à moins que vous n'activiez explicitement la synchronisation d'équipe. Essayez Apidog gratuitement, sans carte de crédit requise.

Introduction

La question « Postman stocke-t-il mes clés API ? » revient régulièrement dans les communautés de développeurs. Recherchez sur r/webdev ou r/programming de Reddit, et vous trouverez des discussions de développeurs posant la même question, souvent suite à une découverte d'audit de sécurité ou à une conversation avec leur équipe de sécurité.

L'inquiétude est légitime. Les clés API sont des mots de passe pour vos services. Si une clé API de paiement est divulguée, cela peut entraîner des frais frauduleux. Une clé cloud compromise peut permettre la création de ressources non autorisées, l'exfiltration de données ou une facture salée. Stocker ces clés dans vos outils de développement exige une confiance forte envers l'outil.

La plupart savent qu'il ne faut pas commettre de clés dans des dépôts publics, mais peu se posent la question pour les clients API. Postman compte plus de 30 millions d'utilisateurs : beaucoup stockent des identifiants dans l'outil sans savoir où ils vont.

Voici une réponse technique et pratique à la question du stockage des clés API, et ce que vous pouvez faire pour contrôler ce comportement.

La réponse directe : oui, avec un contexte important

Postman stocke les clés API dans les cas suivants :

  • Variables d'environnement : Si vous créez une variable API_KEY contenant une clé, la valeur se synchronise avec les serveurs cloud de Postman lorsque la synchronisation est active (comportement par défaut).
  • Variables de collection : Les variables au niveau collection se synchronisent de la même manière.
  • Variables globales : Les variables globales sont aussi synchronisées avec votre compte.
  • Identifiants dans les requêtes : Si vous codez en dur une clé dans un en-tête ou le corps d'une requête et sauvegardez la collection, cette valeur est synchronisée.

Ce qui n'est pas synchronisé par défaut : Les valeurs stockées dans Postman Vault restent locales. Pour protéger vos identifiants, stockez-les dans Vault plutôt que dans des variables d'environnement.

Ce que signifie réellement la « synchronisation cloud »

La synchronisation cloud de Postman copie en continu vos données de travail sur leurs serveurs. Pas besoin de cliquer sur « enregistrer » : tout changement est automatiquement propagé au cloud.

L'objectif est la collaboration et la persistance. Mais en pratique, cela signifie que vos clés API existent sur votre machine et sur le cloud de Postman.

Sécurité :

  • Les données sont chiffrées (AES-256 au repos, TLS en transit).
  • Les clés ne sont pas en texte clair dans la base de données.
  • Mais Postman peut techniquement accéder à ces données pour fournir le service.
  • Si votre compte est compromis (hameçonnage, force brute, violation chez Postman), vos clés API le sont aussi.

Ce que dit la politique de confidentialité de Postman sur vos identifiants

  • Limitation de la finalité : Les données sont utilisées pour fournir et améliorer le service, pas pour le marketing ou la revente.
  • Sous-traitants : Postman utilise des tiers pour l'infrastructure, le support et l'analyse. Ces sous-traitants peuvent traiter vos données.
  • Requêtes gouvernementales : Postman, basé aux USA, doit répondre aux demandes légales américaines.
  • Notification de violation : En cas de fuite, Postman doit vous notifier.
  • Suppression des données : Lorsque vous supprimez votre compte, vos données sont effacées selon leur calendrier de rétention.

La politique est standard pour un SaaS B2B. À vous de vérifier si elle est compatible avec vos exigences et celles de votre organisation.

La dimension de visibilité de l'espace de travail

Second risque à connaître : la visibilité des espaces de travail.

  • Public : Accessible à tous sans authentification, indexé sur le réseau public de Postman.
  • Équipe/Privé : Limité aux membres ou à vous seul.

En 2023, des chercheurs ont trouvé plus de 30 000 espaces de travail Postman publics contenant des clés API sensibles. L'exposition venait d'une mauvaise configuration, pas d'une violation.

Action : Vérifiez systématiquement la visibilité de vos espaces de travail. Ne stockez pas d'identifiants dans des espaces publics.

Qui est le plus à risque

Vous êtes particulièrement exposé si :

  • Vous stockez des identifiants de production dans Postman (risque majeur).
  • Votre espace d'équipe est large : un compte compromis peut exposer tous les identifiants.
  • Secteur réglementé : Finance, santé, gouvernement… Stocker des clés sensibles dans le cloud peut violer les régulations.
  • Clés à privilèges élevés : Plus la clé a de droits, plus le risque est grand.
  • Contractuel/consultant : Stocker des clés client sur votre compte personnel expose le client.

Comment Postman Vault change la donne

Postman Vault stocke vos identifiants localement. Pour utiliser une variable Vault :

{{vault:nom_de_variable}}
Enter fullscreen mode Exit fullscreen mode

Avantages :

  • Les clés ne sont plus synchronisées sur le cloud.

Limites :

  • Changement de pratique requis : chaque membre doit configurer son coffre localement.
  • Pas de partage facile des identifiants via l'équipe Postman.
  • N'empêche pas la synchronisation des identifiants placés dans des variables d'environnement, de collection/globales, ou directement dans les requêtes.

Outils locaux par défaut et modèle alternatif

Un outil local comme Apidog a un comportement différent :

  • Par défaut, tout reste local : Les variables d'environnement sont stockées dans une base SQLite locale. Rien ne se synchronise sans action explicite.
  • Sécurité by default : Pas besoin de configurer Vault ou de former l'équipe, le comportement sécurisé est immédiat.

Pour une isolation maximale, Bruno stocke tout dans des fichiers locaux et ne propose aucune fonctionnalité cloud.

Recommandations pratiques

  1. Vérifiez vos variables Postman

    • Ouvrez vos environnements, inspectez chaque variable.
    • Identifiez les clés API, jetons, mots de passe présents.

  2. Migrez les secrets vers Vault

    • Placez les identifiants sensibles dans Vault.
    • Mettez à jour votre documentation et le processus d'intégration.

  3. Utilisez des clés à privilèges limités

    • Créez des clés API spécifiques pour les tests avec les droits minimums.

  4. Contrôlez la visibilité de vos espaces

    • Évitez les espaces publics pour ceux contenant des identifiants.

  5. Adaptez à votre modèle de menace

    • Pour des projets non sensibles, la configuration par défaut peut suffire.
    • Pour de la production, des données réglementées ou des clients, préférez un outil local par défaut.

FAQ

Postman vend-il mes clés API ou mes données d'espace de travail ?

Non. Leur politique indique que ces données servent uniquement à fournir et améliorer le service.

Si mon compte Postman est compromis, un attaquant peut-il obtenir mes clés API ?

Oui, si elles sont dans des variables synchronisées. Préférez Vault et activez l'authentification multifacteur.

Postman prend-il en charge l'authentification multifacteur ?

Oui. Utilisez une app d'authentification pour renforcer la sécurité de votre compte.

Les clés API dans Postman Vault sont-elles sûres ?

Elles restent locales. Si votre machine est compromise, elles sont accessibles, mais elles ne sont pas sur le cloud.

Que faire si je ne peux pas stocker de clés API dans un outil cloud ?

Bruno est l'option la plus restrictive (pas de cloud). Apidog en mode local stocke tout sur l'appareil. Pour le travail d'équipe sans cloud, optez pour Hoppscotch ou Apidog auto-hébergé.

Comment supprimer mes clés API du cloud de Postman ?

Supprimez les variables contenant les identifiants dans vos environnements Postman et remplacez-les par des références à Vault. Pour effacer l'historique, supprimez l'espace de travail et les données associées dans les paramètres de votre compte.

Résumé

Postman collecte vos clés API avec les paramètres par défaut et les usages courants. Ce n'est pas un mauvais outil, mais il exige de comprendre où vont vos données. Utilisez Vault ou un outil alternatif selon vos exigences de sécurité.

Top comments (0)