Les API ou interfaces de programmation d’applications sont devenues des éléments essentiels des échanges mondiaux. Elles constituent à elles seules une infrastructure d’échange entre applications qui « fait tourner » le monde moderne. Cependant, la prolifération de cette innovation numérique rapide et son caractère incontournable ont offert de nouvelles opportunités d’exploitation malveillante aux cybermalfaiteurs. Dans son étude mondiale, State of the Internet/Security (SOTI) de 2024, Akamai, fournisseur de connectivité sécurisée, met en lumière la gamme d’attaques ciblant les API, y compris les attaques Web traditionnelles.
Le rapport, basé sur les données des abonnés d’Akamai, révèle que 29 % des attaques Web ont ciblé les API en 2023 (chiffres de janvier à décembre). Cette statistique souligne que les API sont un domaine de prédilection pour les cybercriminels. Les adversaires utilisent des méthodes éprouvées telles que l’injection SQLi et le Cross-Site Scripting (XSS) pour s’infiltrer dans les périmètres sensibles.
« Les API sont aujourd’hui au cœur de la plupart des transformations numériques, il est donc primordial de comprendre les tendances du secteur et les cas d’utilisation pertinents, tels que les fraudes de fidélisation, les abus, les autorisations et les attaques par carte, détaille le rapport. Les organisations doivent penser aux exigences de conformité et aux législations émergentes dès le début de leur processus de stratégie de sécurité afin d’éviter d’avoir à de nouveau ».
Il est difficile de détecter certaines attaques d’API
Les recherches d’Akamai ont révélé que les API sont ciblées à la fois par des attaques traditionnelles et par des techniques spécifiques aux API, qui nécessitent une combinaison de protections. Ils ont constaté que près de 30 % de l’ensemble des attaques Web ont ciblé les API entre janvier et décembre 2023. « Ces attaques continueront probablement à se développer à mesure que la demande d’utilisation des API augmentera », prévient le rapport.L’abus de logique d’entreprise, ou l’exploitation malveillante des fonctionnalités légitimes d’une application, est un autre problème critique, car il est difficile de détecter une activité API anormale sans établir une base de référence pour le comportement de l’API. Les entreprises qui ne disposent pas de solutions pour surveiller les anomalies dans l’activité de leurs API sont exposées au risque d’attaques en cours d’exécution telles que le « data scraping », un nouveau vecteur d’atteinte à la protection des données qui utilise des API authentifiées pour extraire lentement des données de l’intérieur.
Des variations régionales explicables
Sur le plan géographique, les attaques sur les API présentent des disparités marquantes. La région EMEA a été la plus touchée, suivie de l’Amérique du Nord et de la région Asie-Pacifique et Japon (APJ), avec des pays comme l’Espagne, le Portugal, les Pays-Bas, et Israël enregistrant les taux les plus élevés d’attaques ciblées.La région Europe, Moyen-Orient et Afrique (EMEA) a connu le plus grand nombre d’attaques Web ciblant les API (47,5 %), suivie de l’Amérique du Nord (27,1 %) et de la région Asie-Pacifique et Japon (APJ) (15 %). Au niveau national, les pays les plus touchés sont l’Espagne (94,8 %), le Portugal (84,5 %), les Pays-Bas (71,9 %) et Israël (67,1 %). Il convient de noter qu’à titre de comparaison, seulement 27,6 % des attaques Web aux États-Unis ont ciblé les API.
Ces variations régionales peuvent s’expliquer par une multitude de facteurs, incluant les différences en termes de réglementation, de géopolitique, d’infrastructure technologique, d’accès à l’éducation, de modèles d’affaires, et de contexte social. Cependant, il est également important de noter qu’une tendance à la cyberattaque peut démarrer dans une région ou un secteur, puis migrer vers d’autres ; il est donc utile de suivre des tendances plus larges.
Du fait de leur prolifération et de la difficulté de leur gouvernance dans le temps, les API sont devenues un domaine de chasse privilégié pour les cybercriminels. Les entreprises doivent donc mettre en place des solutions pour surveiller les anomalies dans l’activité de leurs API et penser aux exigences de conformité et aux législations émergentes dès le début de leur processus de stratégie de sécurité.