# LOT 5.1.9 OVH - Lecture robuste des headers API

## Objectif
Corriger l'échec d'authentification API lors de la révocation d'un token d'activation depuis PLACE.

## Fichier modifié
- `ovh/SRC/Tracking/TrackingHttp.php`

## Détail
`TrackingHttp::requirePublicApiKey()` accepte désormais :
- `X-Api-Key`
- `X-Tracking-Api-Key`
- `Authorization: Bearer <api_key>`

La lecture tient compte des variantes CGI/Apache :
- `HTTP_*`
- `REDIRECT_HTTP_*`
- `apache_request_headers()`

`TrackingHttp::requireActivationSecret()` utilise la même lecture robuste pour `X-Activation-Secret`.

## Test
- Appeler `/api/tracking/revoke_device_activation.php` depuis PLACE.
- Attendu : authentification acceptée si la clé publique et le secret sont identiques à ceux utilisés pour la création QR.
