Les API sont le moteur de la transformation digitale des entreprises. Elles leur ont apporté de l’agilité et de la souplesse dans les échanges de données et ont permis l’émergence de nouveaux marchés. Le rôle de ces services logiciels est central et toute attaque peut avoir des conséquences importantes.
La digitalisation a poussé les entreprises à exposer et consommer de plus en plus de ressources sur internet via des API. Cette digitalisation passe par la généralisation d’échanges de données entre entreprises. Cette révolution a donné naissance à ce que l’on appelle aujourd’hui l’économie des API. Or les API qui étaient essentiellement utilisées à l’intérieur du système d’information sont aujourd’hui très largement ouvertes aux partenaires et clients de l’entreprise. Cette véritable révolution des API a permis l’émergence de nouveaux business model et accéléré les échanges entre entreprises, mais cette ouverture a des impacts forts en matière de cybersécurité. Non seulement le blocage des API est un moyen d’immobiliser l’activité d’une entreprise, mais les API peuvent aussi être mises à profit par les attaquants pour accéder à des données sensibles, détourner certains processus.
Selon Gartner, les API deviendront le premier vecteur d’attaque en 2022
Beaucoup d’entreprises ont longtemps sous-estimé le risque d’attaque sur leurs API, s’estimant à l’abri des attaquants grâce aux firewalls, web application firewalls et API Gateway placés devant leurs API. Cette sécurité n’est qu’une illusion. Les attaques contre Experian et le vol des données de 700 millions de profils LinkedIn en 2021, ou très récemment l’attaque contre l’opérateur australien Optus, ont bien montré la réalité de la menace et les attaquants redoublent d’activité. L’édition du troisième trimestre 2022 du rapport « State of API Security » de Salt Security fait apparaître une croissance de + 117 % des attaques sur API ces 12 derniers mois. 54 % des entreprises sondées ont dû reporter le déploiement d’une nouvelle application en raison de problèmes liés à la sécurité des API et 82 % pensent que les solutions classiques ne sont pas efficaces contre les attaques API. Un simple PenTest (test de pénétration) permet à chacun de constater les insuffisances de l’approche classique. Le Gartner, qui avait regroupé ces briques de sécurité sous l’acronyme de WAAP (Web Application and API Protection), a finalement ajouté une catégorie dédiée – « API Security » (API Discovery and Protection) – pour tenir compte des spécificités de la protection des API.
En effet, les attaquants ne se contentent plus de mener des attaques purement techniques sur les API, mais préfèrent s’attaquer à la logique applicative pour en détourner l’usage. Certains attaquants ont réussi à passer d’un compte bancaire à un autre simplement en changeant le numéro de compte dans l’appel d’API. On peut aussi modifier l’adresse de livraison d’une commande ou même modifier le compte émetteur d’un virement bancaire… Ces attaques sont généralement noyées dans la masse des appels d’API légitimes et ne sont pas détectables par les outils classiques. L’OWASP (Open Web Application Security Project) actualise régulièrement un top 10 des attaques les plus fréquentes sur les API, démontrant l’ingéniosité des attaquants pour passer sous le radar des solutions de protection. Le Gartner, qui considérait il y a quelques années les attaques sur les API comme marginales, a estimé qu’elles seraient le premier vecteur d’attaque en 2022.
Les trois étapes pour sécuriser son portefeuille d’API
Sécuriser les API passe avant tout par une phase de découverte. Bien souvent, les RSSI eux-mêmes ne connaissent pas précisément l’étendue des API consommées ou exposées par leur entreprise. On ne peut correctement sécuriser que ce que l’on connaît, et cette phase va permettre de référencer l’ensemble des API, sur quelle technologie elles s’appuient ou si elles véhiculent des données sensibles. Une fois cet audit réalisé, il faut sécuriser le cycle de vie complet de l’API, notamment intégrer la sécurité dès les phases en amont de conception puis de développement des API. Il faut inscrire le développement des API dans le concept du Secure By Design et s’assurer que les développeurs implémentent des fonctionnalités qui permettront aux API de résister aux attaques applicatives. Une solution dédiée à la protection des API va donner les moyens au responsable de la sécurité de mettre en place des mesures de protection qui vont au-delà des contrôles réalisés par les API gateway et les WAF. Des modèles d’IA et l’analyse comportementale sont un moyen de détecter les attaques sur la logique métier et repérer que l’utilisateur d’un site de banque en ligne essaye d’accéder à des numéros de compte qui ne lui appartiennent pas.
S’il est possible de mener un audit « one shot » des API pour faire un état des lieux et prendre les premières mesures correctives, il faut surtout instaurer ces mesures de contrôle et de protection en continu pour s’assurer que les API ne seront jamais le point faible de la sécurité du système d’information.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));