La dernière étude « API : la surface d'attaque qui nous connecte tous » d'Akamai révèle les tendances du trafic d'attaque pour la période 2020-2021. Les vulnérabilités liées aux API sont un immense enjeu pour les entreprises et les particuliers.
Pour le Gartner, les interfaces de programmation d'applications (API)seront le vecteur d'attaque en ligne le plus fréquent d'ici 2022. Essentielles à la transformation numérique, les API sont par nature conçues pour être des pipelines simples et rapides entre différentes plateformes.
Bien que cette priorité en matière de praticité et d'expérience utilisateur place les API parmi les éléments les plus critiques pour de nombreuses entreprises, elle en fait également des cibles attrayantes pour les cybercriminels.
Or, la sécurité des API est reléguée au second plan dans la course à leur mise sur le marché. De nombreuses entreprises s'appuient sur des solutions de sécurité réseau traditionnelles qui ne sont pas conçues pour protéger la vaste surface d'attaque que les API peuvent introduire.
Des attaques sous-détectées
« Des violations d'authentification aux failles d'injection, en passant par de simples erreurs de configuration, il existe de nombreuses préoccupations en matière de sécurité des API pour quiconque conçoit une application connectée à Internet », a déclaré Steve Ragan, security researcher chez Akamai et auteur du rapport État des lieux d'Internet / Sécurité.
« Les attaques sur les API sont à la fois sous-détectées et sous-signalées lorsqu'elles le sont. Bien que les attaques DDoS et les ransomwares soient deux problèmes majeurs, les attaques sur les API ne reçoivent pas le même niveau d'attention, en grande partie car les criminels utilisent les API d'une manière qui ne fait pas l'objet d'une attaque de ransomware bien exécutée, mais cela ne veut pas dire qu'elles doivent être ignorées. »
À la décharge des entreprises, il faut avouer qu’il n'est pas toujours évident de savoir où résident les vulnérabilités d'API. Par exemple, les API sont souvent cachées dans les applications pour mobiles, ce qui laisse à penser qu'elles sont à l'abri de toute manipulation.
SQLi : en tête des attaques web
Les développeurs supposent que les utilisateurs n'interagiront sur les API que par l'intermédiaire de l'interface utilisateur mobile (UI), mais, comme indiqué dans ce rapport, ce n'est pas le cas.
Or, les appels d'API sont plus simples et plus rapides à automatiser, une arme à double tranchant qui profite aussi bien aux développeurs qu'aux attaquants…Cependant, la complexité croissante des API et de leur intégration freine leur adoption.
Également détaillé dans le rapport, Akamai a passé en revue 18 mois de trafic d'attaque entre janvier 2020 et juin 2021, constatant plus de 11 milliards de tentatives d'attaques au total.
Avec 6,2 milliards de tentatives enregistrées, l'injection SQL (SQLi) reste en tête de la liste des tendances en matière d'attaques Web, suivie par l'inclusion de fichiers locaux (LFI) avec 3,3 milliards et le cross-site scripting (XSS) avec 1 019 milliards.
Terminons par quelques éléments marquants de ce rapport :
- Les attaques par credential stuffing suivies pendant 18 mois (entre janvier 2020 et juin 2021) sont restées stables, avec des pics de plus d'un milliard d'attaques enregistrés en janvier 2021 et mai 2021
- Les États-Unis ont été la cible principale des attaques d'applications Web pendant cette période observée, avec un trafic six fois plus élevé que celui de l'Angleterre, qui s'est classée deuxième.
- Le trafic DDoS est resté constant en 2021 jusqu'à présent, avec des pics enregistrés plus tôt au premier trimestre 2021. En janvier 2021, Akamai a enregistré 190 événements DDoS en une seule journée, puis 183 en mars.