L'état de la sécurité des API

Réflexions sur 2023, résolutions pour 2024

Cet article s'inspire d'une présentation que j'ai effectuée à l'occasion du forum Black Hat MEA, en novembre 2023. Il examine l'état de la sécurité des API au moment où l'année se termine. Cet examen est nécessaire, principalement pour deux raisons. La première est qu'à l'instar de ces dernières années, les API sont de plus en plus fréquemment utilisées. Elles dominent la majorité du trafic HTTP. Deuxièmement, et c'est peut-être le point le plus important, cette croissance est également parallèle à l'augmentation du nombre d'attaques contre ces API. Malgré la publication d'une liste des dix principales menaces sur les API identifiées par l'OWASP (OWASP API Top ten), l'augmentation persistante des attaques contre les API devrait peut-être constituer une plus grande source d'inquiétude. Examinons le sujet, les causes profondes et les solutions indispensables pour renforcer les écosystèmes des API.

Le panorama actuel des API

Au cours des dernières années, les API sont devenues des outils toujours plus puissants pour développer des solutions fondées sur les technologies existantes, afin de créer des applications plus intégrées et plus dynamiques. Elles sont devenues une pierre angulaire des applications logicielles dynamiques et des entreprises. Elles peuvent également être utilisées dans le but d'améliorer la vie des personnes. Par exemple, un conseil local au Royaume-Uni pourrait vouloir utiliser les données fournies par l'API Rainfall de l'organisation britannique Environment Agency afin de consulter les tendances dans sa région et de se préparer en conséquence. Un groupe d'engagement civique pourrait souhaiter créer une application qui s'intégrerait aux API civiques, afin de fournir aux résidents des informations sur les élections à venir, les bureaux de vote et les candidats. Il existe également des raisons réglementaires, telles que l'ouverture des services bancaires ; dans un nombre croissant de pays, les banques sont tenues de permettre aux API d'autres banques et de fournisseurs tiers d'accéder aux données financières de leurs clients. La concurrence s'en trouve améliorée, ce qui, en fin de compte, s'avère bénéfique pour le consommateur.

Le nombre d'attaques contre les API a augmenté de pair avec le nombre d'API. En 2021, les analystes de Gartner ont prédit que d'ici 2022, les utilisations abusives d'API évolueront du statut de vecteur marginal vers celui de vecteur d'attaque le plus fréquent, entraînant des violations de données au niveau des applications web pour entreprises. En dépit de nombreux avertissements, les attaques lancées contre les API sont encore largement couronnées de succès. Au cours des années précédentes, un certain nombre d'entreprises renommées en ont été victimes. L'OWASP, une organisation consacrée à l'amélioration de la sécurité des applications web, a initialement publié une version de son classement Top Ten des risques spécifiques aux API, en 2019. La liste a été mise à jour cette année. Malheureusement, la liste des grandes entreprises victimes de l'exploitation d'une vulnérabilité a également été mise à jour ; certaines en ont été victimes deux fois, cette année. Si les grandes entreprises sont des proies faciles, imaginez ce qui arrive aux entreprises qui ne font pas la une de l'actualité. Il est tout à fait possible que cette année devienne une année record en matière de violations d'API. (J'ai évité de nommer des entreprises spécifiques, car l'objectif de cet article n'est pas de les incriminer.)

En réalité, cette menace nous concerne tous. En passant outre le fait que le coût moyen d'une violation de données s'élève à 4,45 millions de dollars, de plus en plus de données personnelles sont désormais entre les mains d'organismes qui, même s'ils le pensent, n'ont pas déployé des mesures de protection suffisantes. L'exposition des données ou l'usurpation de compte menant à l'usurpation d'identité sont des souffrances que les gens subissent plus souvent qu'ils ne le devraient. La recrudescence des attaques par API souligne la nécessité d'une meilleure compréhension et d'un dispositif de défense plus sophistiqué.

Défis en matière de sécurité

Au cours de l'année passée, les principaux défis affectant la sécurité se répartissent dans les cinq catégories suivantes :

1. La problématique de l'authentification et de l'autorisation : les violations sont souvent dues à des faiblesses dans les mécanismes d'authentification et d'autorisation. Que ce soit en raison d'informations d'identification compromises, de méthodes d'authentification faibles ou de processus/protocoles insuffisants, la centralité de l'identité est une problématique qui n'évolue pas à la mesure du panorama des menaces. Les attaques Broken Object Level Authorisation (BOLA) constituent le risque le plus important pour la sécurité des API sur les deux listes d'OWASP, à plusieurs années d'intervalle.

2. Prolifération des API : qu'elles soient internes ou publiques, les API ont connu une croissance stupéfiante. La diversité des API, ainsi que le contexte dans lequel elles sont utilisées, fait de cette problématique un défi toujours plus important.

3. Votre pare-feu WAF : en règle générale, il n'a aucune incidence sur le trafic spécifique aux API, et ne permet pas de répondre à la problématique numéro 1, ci-dessus. La plupart des attaques apparaissent comme du trafic légitime, et de nombreux pare-feu WAF (notamment ceux qui intègrent des composantes d'apprentissage automatique) ne sont pas en mesure de les arrêter. Ne pas croire les informations fournies par un pare-feu WAF constitue un premier faux pas. Une diapositive pertinente extraite de ma présentation :
   

4. Bloqué au milieu : l'impossibilité de transmettre les connaissances issues du service d'assistance aux autres départements, malgré la reconnaissance généralisée de l'importance de cette démarche, affaiblit sérieusement la mise en œuvre de protections robustes et exhaustives. La conception et le développement intégrant la sécurité sont encore une notion peu familière pour de nombreuses équipes, tout comme le fait qu'il devrait s'agir d'un processus continu et adaptable aux autres.

5. Configuration des API : les erreurs de configuration, talon d'Achille de la sécurité des API, restent une plaie dans la gestion de la sécurité des API. Cette section couvre différents problèmes liés à la mise en œuvre d'une API, tels que l'activation de méthodes inutilisées, la conservation de points de terminaison par défaut qui ne sont pas utilisés et la journalisation excessive. Les entreprises s'appuient sur des configurations statiques, plutôt que sur des ajustements continus et adaptatifs conformes à l'évolution des informations sur les menaces.
   

Bloqueurs

Les progrès dans ce secteur sont grevés par trois causes fondamentales:

1. Connaissance/Expertise : l'ignorance. Des individus et des équipes n'ayant aucune connaissance, compréhension ou conscience de la sécurité spécifique aux API. Elle peut résulter d'un manque d'exposition, d'éducation ou de curiosité.

2. Financement : le budget. Les équipes sont tenues d'accomplir davantage avec des ressources limitées. Les ingénieurs compétents demandent des salaires plus élevés. Les outils de sécurité ou les passerelles spécifiques aux API ne sont généralement pas gratuits. La formation est également considérée comme coûteuse. Les entreprises ne tiennent pas compte du coût d'une attaque lors de l'allocation de fonds.

3. Priorités : les délais. Souvent, le lancement d'un nouveau produit/d'une nouvelle API est plus important que les mesures de sécurité nécessaires à la validation. Lorsque la sécurité et le développement ne fonctionnent pas comme un orchestre, l'entreprise est assurée de faire la une de l'actualité.

Il est important de noter, toutefois, que ces facteurs ne sont pas mutuellement exclusifs.

Solutions essentielles pour les futuristes

• Visibilité : vous ne pouvez pas protéger ce que vous ne voyez pas. Qu'il s'agisse de découverte ou d'inventaire, l'important est que votre équipe sache toujours « quoi » et « où ». Les API fantômes, zombies, bêta ou invisibles offrent aux acteurs malveillants un moyen rapide de s'introduire dans votre infrastructure.

• Architecture Zero Trust : chaque requête d'accès est traitée comme étant potentiellement malveillante, jusqu'à preuve du contraire, entraînant une transformation du paradigme de confiance. Vous devez vous attendre à ce que les systèmes de votre fournisseur de solution de gestion des identités/d'authentification unique (SSO) soient compromis.

• Détection d'anomalies pilotée par l'IA : l'intégration de l'intelligence artificielle pour la détection d'anomalies en temps réel. Les entreprises devraient utiliser des algorithmes d'apprentissage automatique pour analyser les modèles, les comportements et les écarts, et ainsi, permettre l'identification et l'atténuation proactives des menaces potentielles.

• Intégration approfondie de l'approche DevSecOps : l'intégration transparente de la sécurité au processus de développement n'est désormais plus une suggestion, mais une obligation. L'approche DevSecOps, qui priorise l'intégration continue et la sécurité, apparaît comme une stratégie essentielle pour des écosystèmes d'API résilients.

• Défense en profondeur : votre stratégie de sécurité doit être structurée sous forme de couches. Votre système prévient-il les attaques volumétriques ? Si oui, dispose-t-il de solides contrôles des autorisations/d'authentification ? Si oui, dispose-t-il d'un flux de chiffrement robuste ? Si oui...

Ces solutions, ainsi que d'autres solutions populaires recommandées (par exemple, la modélisation des menaces, les services IAM décentralisés, les flux d'informations en temps réel, les réponses automatisées, l'amélioration de la sécurité des réseaux, la validation des runtimes, etc.), relèvent toutes de trois catégories principales dont vous devez tenir compte :

1. Gouvernance – Réfléchissez à vos processus, vos politiques et vos pratiques

2. Outils – Investissez dans vos technologies

3. Personnel – Formation, évaluation, culture

Les individus, les équipes et les départements doivent se rappeler qu'il n'existe pas de solution unique à cette problématique. Vous devez tenir compte de vos niveaux d'acceptation des risques, des besoins opérationnels de votre entreprise, de vos exigences réglementaires, etc. Vous devez également impérativement tirer les enseignements de toutes les attaques que vous avez observées. Si vous êtes victime d'une attaque, il est également utile de faire preuve de transparence (pas uniquement pour des raisons réglementaires), mais également pour permettre à d'autres de profiter de votre expérience.

Relever les défis liés à la sécurité des API

À la fin de l'année 2023, il est clair que relever le défi complexe de la sécurité des API exige d'adopter une approche à plusieurs facettes, capables de s'attaquer avec précision aux causes profondes et de tirer profit de solutions modernes. Les entreprises désireuses d'investir dans une défense proactive et dynamique se trouveront mieux positionnées pour s'orienter face à l'inquiétant panorama des menaces. Les entreprises doivent s'assurer qu'il existe des définitions de règles qui sont appliquées depuis la phase de conception jusqu'à l'obsolescence.

Restez vigilants ! Et bonne année à vous !

Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions qui affectent les décideurs en matière de technologies aujourd'hui.

Approfondir le sujet

Pour en apprendre davantage sur la protection des API qui soutiennent l'activité de votre entreprise, consultez le livre blanc Guide de la sécurité des API.

Auteur

Damiete King-Harry – @damiete
Solutions Architect, Cloudflare

Points clés

Cet article vous permettra de mieux comprendre les points suivants :

• Pourquoi les attaques contre les API sont peut-être plus dangereuses qu'elles ne l'ont jamais été

• La valeur du classement OWASP API Top Ten

• Comment protéger votre entreprise avec des solutions modernes et sophistiquées

Ressources associées :

• Guide de la sécurité des API

• La nouvelle ère des attaques DDoS

• Réduire la complexité et le risque liés à la pile de sécurité