Comment rotate le clien_secret ? et sécurité en général

Bonjour,
Comment pouvons-nous rotate le client_secret de la clé API ?
Par exemple si celui-ci a fuité.

Supprimer et régénérer la clé API via la page "Intégration et API" ne le change pas (et l'interface web est cassée).

D'autres choses niveau sécurité que j'ai remarqué en utilisant l'API:

Les checkout_intent_id sont successifs, on peut donc savoir combien Helloasso a généré de checkout_intent au global pour tous ses clients (je n'ai pas vérifié pour les autres id comme payment et order)
Les notifications reçues via le webhook n'ont pas de timestamp (vulnérable au "Replay Attacks"). Elles n'ont pas de signatures si on n'est pas partenaire (y a-t-il une raison derrière cette limitation ?). Uniquement utiliser l'IP (qui pourra peut-être changer un jour ?) est-il suffisant ?
J'ai préféré faire du polling à chaque réception de notif pour être sûr de l'authenticité des données.