Il n’a fallu que 22 minutes aux équipes de Cloudflare pour constater l’exploitation d’une CVE zero-day (vulnérabilité non connue), après sa publication. Cet acteur des services de sécurité pour les sites web et applications indique que 97 failles zero-day ont été exploitées en 2023. Le nombre de CVE divulguées entre 2022 et 2023 a augmenté de 15 % pour un total de 5.000 vulnérabilités critiques.
Le rapport instructif publié par Cloudflare est basé sur les schémas de trafic agrégé (observés du 1er avril 2023 au 31 mars 2024. Aujourd’hui, les applications web et les API sont au cœur des flux numériques et permettent, par exemple, d'accepter les paiements pour le e-commerce, partager les données sécurisées des patients et ouvrir l’écosystème des smartphones sur Internet. L’exposition des ressources aux menaces s’accroit en proportion.
Les attaques DDoS par déni de service continuent leur progression, en nombre et en volume. Il s’agit du vecteur de menace le plus courant pour cibler les applications web et les API. Il concentre 37,1 % de l'ensemble du trafic d'applications atténué par Cloudflare. De manière récurrente, les pirates plébiscitent le secteur des jeux vidéo et jeux de hasard. Suivent le secteur de l'informatique et d'Internet, celui des cryptomonnaies, des logiciels, du marketing et de la publicité. La liste des catégories victimes d'attaques DDoS L7 (couche applicative) en proportion de l'ensemble du trafic Internet est la suivante :
Les risques autour des API « fantômes »
Indispensables pour améliorer l’expérience utilisateur et client, les API ouvrent l’écosystème des applications aux usages externes et permettent, entre autres, des déploiements plus rapides sur le cloud ou d’intégrer de l’IA dans les processus. Les API représentent aujourd'hui plus de la moitié, soit 58 %, du trafic Internet dynamique traité par Cloudflare et sont de plus en plus utilisées par les entreprises.Selon Cloudflare, il existe près d'un tiers d’API « fantômes » d’après l’analyse des résultats de son modèle propriétaire d'apprentissage automatique qui analyse les appels d'API connus, mais aussi toutes les requêtes Http. Ces API publiques inconnues ou mal inventoriés sont autant de portes d’entrées ouvertes aux cybercriminels.
La sécurité des API a pris du retard et n’a pas suivi le rythme rapide de leur déploiement. Pour rappel, les pirates peuvent s’attaquer aux API qui sous-tendent les flux de travail tels que la création de comptes, le remplissage de formulaires et les paiements électroniques. A la clé, le vol des informations d'identification et d’autres informations sensibles.
Les systèmes d’information qui dépendent le plus des scripts et des cookies tiers peuvent être plus exposés aux attaques de la chaîne d'approvisionnement des logiciels ou aux violations de la vie privée et de la conformité. Les nombreux produits et services IT hérités complexifient la protection des applications SaaS, des applications Web et autres ressources.