Les interfaces de programmation d’applications (API) constituent le tissu conjonctif de la modernisation numérique, aidant les applications et les bases de données à échanger des données plus efficacement. Le rapport sur l’état de la sécurité des API en 2024 d’Imperva, une société de Thales, révèle que la majorité du trafic Internet (71 %) en 2023 était constituée d’appels API. De plus, un site d’entreprise typique a enregistré en moyenne 1,5 milliard d’appels d’API en 2023.
Le volume considérable de trafic Internet qui transite par les API devrait inquiéter tout professionnel de la sécurité. Malgré tous les efforts déployés pour adopter des frameworks Shift-Left et des processus SDLC, les API sont souvent encore mises en production avant d’être cataloguées, authentifiées ou auditées. En moyenne, les organisations disposent de 613 points de terminaison API en production, mais ce nombre augmente rapidement à mesure que la pression augmente pour fournir des services numériques aux clients plus rapidement et plus efficacement. Au fil du temps, ces API peuvent devenir des points de terminaison risqués et vulnérables.
Dans son rapport, Imperva conclut que les API constituent désormais un vecteur d’attaque courant pour les cybercriminels, car elles constituent une voie directe pour accéder aux données sensibles. En fait, une étude du Marsh McLennan Cyber Risk Analytics Center révèle que les incidents de sécurité liés aux API coûtent aux entreprises mondiales jusqu’à 75 milliards de dollars par an.
Plus d’appels API, plus de problèmes
La banque et la vente au détail en ligne ont signalé les volumes d’appels d’API les plus élevés par rapport à tout autre secteur en 2023. Les deux secteurs s’appuient sur de vastes écosystèmes d’API pour fournir des services numériques à leurs clients. Il n’est donc pas surprenant que les services financiers, y compris les services bancaires, aient été la principale cible des attaques liées aux API en 2023.
Les cybercriminels utilisent diverses méthodes pour attaquer les points de terminaison des API, mais l’un des vecteurs d’attaque les plus courants est le piratage de compte (ATO). Cette attaque se produit lorsque les cybercriminels exploitent les vulnérabilités des processus d’authentification d’une API pour obtenir un accès non autorisé aux comptes. En 2023, près de la moitié (45,8 %) de toutes les attaques ATO ciblaient les points de terminaison des API. Ces tentatives sont souvent réalisées de manière automatisée sous la forme de robots malveillants, des agents logiciels qui exécutent des tâches automatisées dans un but malveillant. Lorsqu’elles réussissent, ces attaques peuvent empêcher les clients d’accéder à leurs comptes, fournir aux criminels des données sensibles, contribuer à une perte de revenus et augmenter le risque de non-conformité. Compte tenu de la valeur des données que les banques et autres institutions financières gèrent pour leurs clients, l’ATO constitue un risque commercial préoccupant.
Pourquoi les API mal gérées constituent une menace pour la sécurité
Atténuer les risques de sécurité des API est un défi unique qui frustre même les équipes de sécurité les plus sophistiquées. Le problème vient du rythme rapide du développement logiciel et du manque d’outils et de processus matures pour aider les développeurs et les équipes de sécurité à travailler de manière plus collaborative. En conséquence, près d’une API sur 10 est vulnérable aux attaques parce qu’elle n’a pas été correctement obsolète, n’est pas surveillée ou ne dispose pas de contrôles d’authentification suffisants.
Dans son rapport, Imperva a identifié trois types courants de points de terminaison d’API mal gérés qui créent des risques de sécurité pour les organisations : les API fantômes, obsolètes et non authentifiées.
- API fantôme : Également appelées API non documentées ou non découvertes, il s’agit d’API non supervisées, oubliées et/ou hors de la visibilité de l’équipe de sécurité. Imperva estime que les API fantômes représentent 4,7 % de la collection d’API actives de chaque organisation. Ces points de terminaison sont introduits pour diverses raisons, depuis le but de tester des logiciels jusqu’à leur utilisation comme connecteur vers un service tiers. Des problèmes surviennent lorsque ces points de terminaison d’API ne sont pas catalogués ou gérés correctement. Les entreprises devraient s’inquiéter des API fantômes, car elles ont généralement accès à des informations sensibles, mais personne ne sait où elles existent ni à quoi elles sont connectées. Une seule API fantôme peut entraîner une violation de la conformité et une amende réglementaire, ou pire encore, un cybercriminel motivé en abusera pour accéder aux données sensibles d’une organisation.
- API obsolètes : La dépréciation d’un point de terminaison d’API est une progression naturelle dans le cycle de vie du logiciel. En conséquence, la présence d’API obsolètes n’est pas rare, car les logiciels sont mis à jour à un rythme rapide et continu. En fait, Imperva estime que les API obsolètes représentent en moyenne 2,6 % de la collection d’API actives d’une organisation. Lorsque le point de terminaison est obsolète, les services prenant en charge ces points de terminaison sont mis à jour et une requête adressée au point de terminaison obsolète doit échouer. Cependant, si les services ne sont pas mis à jour et que l’API n’est pas supprimée, le point de terminaison devient vulnérable car il ne dispose pas des correctifs et des mises à jour logicielles nécessaires.
- API non authentifiées : Souvent, des API non authentifiées sont introduites à la suite d’une mauvaise configuration, d’un oubli d’un processus de publication précipité ou de l’assouplissement d’un processus d’authentification rigide pour s’adapter aux anciennes versions de logiciels. Ces API représentent en moyenne 3,4 % de la collection d’API actives d’une organisation. L’existence d’API non authentifiées présente un risque important pour les organisations, car elles peuvent exposer des données ou des fonctionnalités sensibles à des utilisateurs non autorisés et conduire à des violations de données ou à des manipulations du système.
Pour atténuer les différents risques de sécurité introduits par des API mal gérées, il est recommandé de réaliser des audits réguliers pour identifier les points de terminaison d’API non surveillés ou non authentifiés. Une surveillance continue peut aider à détecter toute tentative d’exploitation des vulnérabilités associées à ces points de terminaison. De plus, les développeurs doivent régulièrement mettre à jour et mettre à niveau les API pour garantir que les points de terminaison obsolètes sont remplacés par des alternatives plus sécurisées.
Comment protéger vos API
Imperva propose plusieurs recommandations pour aider les organisations à améliorer leur posture de sécurité des API :
- Découvrez, classifiez et inventoriez tous les API, points de terminaison, paramètres et charges utiles. Utilisez la découverte continue pour maintenir un inventaire d’API toujours à jour et divulguer l’exposition des données sensibles.
- Identifiez et protégez les API sensibles et à haut risque. Effectuez des évaluations des risques ciblant spécifiquement les points de terminaison d’API vulnérables aux autorisations et authentifications brisées ainsi qu’à l’exposition excessive des données.
- Établissez un système de surveillance robuste pour les points de terminaison de l’API afin de détecter et d’analyser activement les comportements suspects et les modèles d’accès.
- Adoptez une approche de sécurité des API qui intègre le pare-feu d’application Web (WAF), la protection des API, la prévention du déni de service distribué (DDoS) et la protection contre les robots. Une gamme complète d’options d’atténuation offre une flexibilité et une protection avancée contre les menaces API de plus en plus sophistiquées, telles que les attaques de logique métier, contre lesquelles il est particulièrement difficile de se défendre car elles sont propres à chaque API.
