Si vous cherchez un moyen de sécuriser sur votre serveur / site / service, des clés API, des tokens, des mots de passe, des certificats…etc., voici Vault, un outil libre qui va vous permettre de gérer les accès à des secrets (clés API, login / mots de passe, tokens…etc.) fournis par votre service. Vault propose de stocker dans sa mémoire chiffrée, ces variables, sans forcement nécessiter de stockage sur le disque dur ou en base de données.

Il est bien sûr possible d’écrire ces données sur le disque de la machine, mais Vault prendra soin de les chiffrer avant même d’inscrire quoi que ce soit en dur sur votre serveur.

Vault est aussi capable de chiffrer des « secrets » à la volée pour des bases SQL ou des services comme Amazon WS…etc. Et chaque secret généré a une durée de vie limitée, puisque la clé de chiffrement est révoquée au bout d’un certain temps (avec possibilité de la renouveler).

Si vous développez un service en ligne, vous pouvez par exemple utiliser Vault pour transmettre à vos utilisateurs des logins / mot de passe ou des clés API qui seront chiffrées pour un laps de temps défini, avant d’être envoyés au client (ou stockés en base). Ça évite que des trucs en clair se baladent dans la nature. De plus, Vault garde un historique précis de qui accède à quoi et quand. Cela permet une traçabilité sans faille sur tout ce que vous générez à destination de vos visiteurs. (clés API par exemple)

Ah oui, et en français, Vault, ça veut dire un truc comme coffre / chambre forte…

Petite démonstration. Ici j’initialise un « vault » avec 1 clé pour une personne.

Ensuite j’ouvre mon « vault » avec la clé qui m’a été fournie.

Et je m’identifie avec le token fourni :

Puis j’inscris ma variable dedans et je l’affiche :

Enfin, je referme mon vault chiffré :

Tout ceci peut être aussi réalisé en code avec l’API de Vault. Si vous voulez en savoir plus, c’est par ici que ça se passe. Et pour apprendre à utiliser Vault, une démo interactive est dispo ici.

Vault est dispo sous Windows, Linux et OSX.