Une récente étude menée par Aikido Security met en lumière un fait préoccupant concernant la gestion des clés API Google. Lorsqu’une clé API est supprimée via l’interface Google, celle-ci ne devient pas instantanément inactive sur l’ensemble des serveurs du géant de la technologie. En moyenne, une clé reste exploitable pendant 16 minutes après sa suppression, avec un maximum pouvant atteindre 23 minutes dans certains cas, ce qui représente une fenêtre de vulnérabilité importante.
Ce délai de propagation signifie qu’un attaquant ayant réussi à récupérer une clé compromise peut continuer à en bénéficier pendant cette période, sans que l’utilisateur ne puisse prendre la moindre mesure pour accélérer la processus de révocation ou même savoir quand cette dernière sera effective. La situation est d’autant plus inquiétante que Google ne traite pas cette problématique comme une faille à réparer, mais comme une propriété inhérente à son système, ce qui explique son classement en « won’t fix ».
Google sait parfaitement faire vite quand il veut, seul le délai de propagation des clés API classiques semble volontairement prolongé.
Les chercheurs ont également observé que d’autres types de clés, comme celles de compte de service, sont révoqués en seulement 5 secondes, tandis que les clés Gemini, plus récentes, le sont en une minute. Cela prouve que cette latence n’est pas une fatalité technique, mais probablement un choix stratégique ou un compromis. Le fait que les anciennes clés restent actives plusieurs minutes après leur suppression peut conduire à des situations critiques, par exemple vider un bucket en toute discrétion pendant que la structure de sécurité semble avoir été remise à zéro.
Face à cette problématique, Aikido Security recommande aux responsables d’infrastructures cloud de ne pas se reposer uniquement sur la suppression des clés pour sécuriser leur environnement. Il est impératif de mettre en place des plafonds de dépenses stricts, car le vrai danger ne réside pas seulement dans l’accès aux ressources, mais aussi dans la facture qui peut suivre. Les cas où des entreprises se sont retrouvées avec des factures à plusieurs chiffres à cause de clés compromises illustrent l’importance de cette recommandation.
Ce délai de propagation n’est pas une faille, mais une propriété connue du système, juge Google, mais il reste une faiblesse en termes de sécurité opérationnelle.
En résumé, cette étude souligne qu’il ne faut pas se fier uniquement à la suppression d’une clé API Google pour garantir la sécurité des systèmes. La compréhension de ce délai de propagation, combinée à des stratégies de sécurisation renforcées, est essentielle pour éviter d’éventuelles exploitations malveillantes ou des coûts imprévus. Pour en savoir plus, vous pouvez consulter l’article complet sur le blog d’Aikido Security [ici](https://www.aikido.dev/blog/google-api-keys-deletion).
