18. septembre 2024 | Imprimer l'article |

API-Security: La face cachée des entreprises modernes

Les API sont le socle des architectures logicielles modernes – et en même temps le vecteur d’attaque le plus rapidement croissant. En 2024, 40 % de toutes les attaques web se font déjà via les API. La plupart des entreprises ne protègent pas leurs API de manière aussi rigoureuse que leurs applications web.

L’essentiel

  • Surface d’attaque : Les API représentent 83 % du trafic web total – et sont attaquées trois fois plus fréquemment que les applications web classiques.
  • Principal risque : Broken Object Level Authorization (BOLA) est la faille de sécurité API la plus courante et permet l’accès à des ensembles de données étrangers.
  • Nombre caché : L’entreprise moyenne expose 30 % d’API supplémentaires par rapport à ce qui est documenté – les « Shadow APIs » constituent un risque de sécurité massif.
  • Protection : API Gateway + Protection en temps réel + Tests Shift-Left forment les trois lignes de défense.
  • Norme : Les OWASP API Security Top 10 (2023) constituent le cadre de référence obligatoire pour la sécurisation des API.

Pourquoi les API sont le nouveau point d’entrée

Toute application moderne communique via des API – avec d’autres applications, avec des services cloud, avec des partenaires et avec des applications mobiles. Akamai rapporte que les API représentent 83 % de l’ensemble du trafic web. En même temps, les API sont souvent moins protégées que les applications qu’elles desservent.

La raison ? Les applications web bénéficient depuis vingt ans de protections telles que les pare-feu applicatifs (WAF), les politiques de sécurité de contenu ou encore les fonctionnalités intégrées de sécurité des navigateurs. Les API, elles, n’ont souvent pas une protection équivalente. Elles constituent des interfaces directes vers la logique métier et les bases de données – et donc la cible la plus attractive pour les attaquants.

Des incidents notoires illustrent ce risque : Optus (le deuxième opérateur de télécommunications australien) a perdu en 2022 les données de 10 millions de clients via une API non protégée. T-Mobile US a été compromis en 2023 via une faille de sécurité API – 37 millions de données clients concernées.

OWASP API Security Top 10

Les OWASP API Security Top 10 (mise à jour 2023) définissent les risques critiques :

1. Broken Object Level Authorization (BOLA) : L’API ne vérifie pas si l’utilisateur appelant est autorisé à accéder à l’objet demandé. Un attaquant modifie simplement l’identifiant dans la requête et obtient ainsi accès à des données appartenant à d’autres utilisateurs. Il s’agit de la faille la plus répandue – et aussi la plus facile à exploiter.

2. Broken Authentication : Mécanismes d’authentification faibles ou absents. Clés API non renouvelées, limites de débit manquantes, absence de validation des jetons.

3. Broken Object Property Level Authorization : L’API renvoie davantage de champs de données que l’utilisateur ne devrait voir. Attaque par « Mass Assignment » : l’utilisateur peut modifier des champs auxquels il n’a pas vocation d’accéder.

4. Unrestricted Resource Consumption : Absence de limitation des appels API, des volumes de données transférés ou des ressources informatiques consommées. Cela ouvre la porte aux attaques par déni de service (DoS) et à des factures cloud prohibitives.

Trois lignes de défense

Ligne 1 : API Gateway. Point d’entrée centralisé pour tous les appels API. Gère l’authentification, la limitation de débit, la validation des requêtes et la terminaison TLS. Outils recommandés : Kong, Apigee, AWS API Gateway, Azure API Management.

Ligne 2 : Protection en temps réel. Surveillance continue du trafic API afin de détecter anomalies, tentatives d’exploitation BOLA et schémas inhabituels d’accès aux données. Des solutions spécialisées comme Salt Security, Noname Security ou 42Crunch analysent le comportement des API et identifient des attaques que les systèmes basés sur des règles classiques laissent passer.

Ligne 3 : Tests Shift-Left. Intégration précoce des tests de sécurité API dans la chaîne de développement. Validation des spécifications OpenAPI, analyse statique du code (SAST), scans dynamiques automatisés (DAST) sur les environnements de préproduction. Plus une vulnérabilité est détectée tôt, moins sa correction coûte cher.

Shadow APIs : Le risque invisible

Salt Security indique que l’entreprise moyenne expose 30 % d’API supplémentaires par rapport à son inventaire officiel. Ces « Shadow APIs » naissent d’environnements de test oubliés, de points de terminaison obsolètes jamais désactivés, ou encore d’API internes rendues accessibles publiquement par erreur.

Elles sont particulièrement dangereuses car elles échappent totalement à toute gouvernance : aucune authentification, aucun suivi, aucune mise à jour. La première étape de toute démarche de sécurité API doit donc être l’établissement d’un inventaire exhaustif des API – réalisé automatiquement par analyse du trafic réseau, et non manuellement par interrogatoire des développeurs.

Key Facts sur un coup d’œil

Part des attaques via API : 40 % de toutes les attaques web (Akamai, 2024)

Part du trafic API : 83 % de l’ensemble du trafic web (Akamai)

Faille la plus courante : BOLA – détectée dans 68 % de tous les tests d’intrusion API (Salt Security)

Shadow APIs : 30 % d’API exposées en plus de celles qui sont documentées (moyenne sectorielle)

Source : OWASP, Akamai, Salt Security, Gartner, 2023/24

Questions fréquentes

Quelle est la différence entre la sécurité API et la sécurité web ?

La sécurité web protège l’interface utilisateur, tandis que la sécurité API protège les interfaces de programmation sous-jacentes. Les API exposent la logique métier et les données de façon plus directe que les applications web, et exigent donc des mesures de protection spécifiques – comme la détection des vulnérabilités BOLA ou la validation stricte des schémas.

Un API Gateway suffit-il pour assurer la sécurité des API ?

Non. Un API Gateway fournit une protection de base – authentification, limitation de débit, etc. Mais face aux attaques ciblant la logique métier (BOLA, Mass Assignment), une solution spécialisée de protection en temps réel est indispensable.

Comment identifier les Shadow APIs ?

Par analyse du trafic au périmètre réseau. Des outils comme Salt Security ou Noname Security détectent automatiquement les API à partir de l’analyse du trafic HTTP. En complément : analyse des journaux cloud et scans externes réguliers.

Quel est le coût de la sécurité API ?

API Gateway : à partir de 500 € par mois. Protection en temps réel : de 2 000 à 10 000 € par mois selon le volume d’API. Outils Shift-Left : souvent open source ou à partir de 200 € par mois. Le retour sur investissement se mesure dès la première fuite de données évitée.

Les API GraphQL sont-elles plus sûres que les API REST ?

Pas nécessairement. GraphQL comporte ses propres risques : fuites via l’introspection, attaques par profondeur excessive des requêtes ou détournement du mécanisme de regroupement (batching). Les principes fondamentaux de sécurité restent identiques – seule leur implémentation diffère.

Lectures complémentaires sur le réseau

Sécurité des API et vecteurs d’attaque : www.securitytoday.de

Sécuriser les architectures cloud-native : www.cloudmagazin.com

Architecture IT pour les décideurs : www.digital-chiefs.de

Source de l’image : Pexels / Markus Spiske

Imprimer l'article
Tobias Massow

À propos de l'auteur: Tobias Massow

Plus d'articles de

Aussi disponible en

EspañolEnglishDeutsch
Un magazine de Evernine Media GmbH