Le manque de connaissance des failles inhérentes aux API, leur adoption massive par les entreprises et le manque de visibilité sur celles-ci, en font des cibles de choix pour les cybercriminels.
Grâce aux API, les applications et les services échangent des commandes et des données. Pour cette raison, les API sont des cibles alléchantes pour les prédateurs d'Internet. Lorsque les attaquants compromettent une API, ils obtiennent souvent un accès administratif complet aux services applicatifs qu'elle contient. Agissant au cœur des infrastructures, les API sont transparentes pour les utilisateurs et de ce fait souvent négligées lors du renforcement de la sécurité et des tests logiciels.
L’utilisation des API s’accroît parallèlement à l’adoption des services Cloud et des applications en SaaS, de l’informatique mobile et sans serveur et de l’intégration de grandes plates-formes avec des partenaires tiers. D’ici 2023, 65 % des revenus des fournisseurs mondiaux de services d’infrastructure proviendront des services activés par les API, contre 15 % en 2018. C’est l’estimation par le Gartner du poids de l’économie des API dans un futur très proche. C’est dire si les API se situent au cœur l’économie et constituent à elles seules une infrastructure applicative indispensable à la bonne marche des échanges mondiaux. Le trafic généré par les API dépasse celui des contenus HTML traditionnels.
API, le parent pauvre de la cybervigilance
Selon un rapport sur l’état des services applicatifs en 2019, établi par F5 Labs, le laboratoire de recherche en cybermenaces de la société F5, 25 % des entreprises interrogées n’utilisent aucun système d’authentification pour les API ; 38 % déclarent y avoir recours de temps en temps, et 37 % la plupart du temps.
Depuis plus d’un an, F5 Labs a observé « une recrudescence d’attaques ciblant PHP et une forte inclinaison vers certaines attaques en fonction du domaine d’activité de l’entreprise : injection dans les formulaires de paiement dans la vente de détail et de technologies, attaque par phishing ou accès illicite à la messagerie dans la finance, la santé et l’éducation ».
Pire encore : « les API permettent à d’anciennes menaces d’être réintroduites sous des formes plus susceptibles d’être exploitées, plus efficaces et plus difficiles à identifier », prévient le rapport.
Comment protéger ses API efficacement ?
Les API étant devenues incontournables dans les architectures modernes, les équipes de sécurité doivent les intégrer dans les processus d’analyse des vulnérabilités et d’audit effectués régulièrement. Voici les recommandations des experts de F5 Labs :
- Tenir à jour un inventaire. Il est essentiel de connaître l’emplacement des API et leur contribution aux activités de l’entreprise.
- Renforcer l’authentification. Qu’il s’agisse d’une combinaison nom d’utilisateur/mot de passe (pour les machines ou les utilisateurs) ou de clés d’API (des chaînes d’authentification simplifiées aux usages spécifiques), il est essentiel de leur accorder l’importance qu’elles méritent. Dans tous les cas, les identifiants doivent être stockés de manière sécurisée.
- Verrouiller les autorisations. Les API ne doivent en aucun cas être utilisées sans assainissement ni validation, sans quoi elles offrent un terrain propice aux attaques par injection. Les authentifiants des API doivent être traités selon le principe de moindre privilège.
- Consigner les connexions aux API. Il faut consigner et vérifier la totalité des connexions aux API, quels que soient leur issue et leur comportement. Il est également recommandé de surveiller les ressources transmises par les API.
- Chiffrer le trafic des API. Comme pour tous types de services, les connexions doivent être cryptées et les certificats validés.
- Exploiter les outils de sécurité pour les API. Il est recommandé de faire appel à un proxy ou un pare-feu compatible pour inspecter, valider et limiter les requêtes des API.
- Tester continuellement. Pour détecter les failles lorsqu’elles surviennent, des tests doivent être réalisés en permanence. Il est également recommandé de faire la chasse aux vulnérabilités des API, en s’appuyant sur les informations fournies par les spécialistes de la sécurité.
Sources : F5 Labs