Qu'est-ce que le Top 10 OWASP des risques liés aux API ?

L'Open Web Application Security Project (OWASP) a dressé une liste des principaux risques de sécurité pour les interfaces de programmation d'applications (API).

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Résumer le Top 10 de la sécurité des API de l'OWASP
  • Comparez cette liste avec le Top 10 de l'OWASP.

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel par Cloudflare des informations les plus populaires sur Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Qu'est-ce que le Top 10 OWASP des risques liés aux API ?

Open Web Application Security Project (OWASP) est une organisation à but non lucratif dont l'objectif est de promouvoir la sécurité des applications web. OWASP propose de nombreuses ressources gratuites afin d'encourager le développement d'applications web plus sécurisées.

L'une des ressources les plus fréquemment consultées de l'organisation est le classement OWASP Top 10, qui répertorie les 10 principales préoccupations en matière de sécurité des applications web. OWASP propose également une liste distincte, mais similaire, consacrée aux interfaces de programmation d'applications (API), sur lesquelles reposent la plupart des expériences web et mobiles.

Les API peuvent permettre de consolider les avantages concurrentiels des entreprises en leur fournissant des données d'information décisionnelle, en facilitant les déploiements de cloud et en permettant l'intégration de fonctionnalités d'IA. Cependant, elles peuvent également introduire de nouveaux risques en permettant à des personnes extérieures d'accéder aux applications, de partager des données et d'exécuter des flux de travail potentiellement sensibles.

Le classement OWASP Top 10 des risques liés aux API, dont l'édition la plus récente a été publiée en 2023, met en évidence les principaux problèmes auxquels les entreprises doivent remédier afin de mieux protéger leurs API, leurs applications et leurs données. La liste comprend les risques suivants :

  1. Violation de l'autorisation au niveau de l'objet (Broken Object Level Authorization, BOLA) : des acteurs malveillants peuvent essayer d'exploiter des points de terminaison d'API vulnérables à une violation de l'autorisation au niveau de l'objet. Ils peuvent manipuler des identifiants d'objets dans une requête afin d'obtenir un accès non autorisé à des données sensibles.
  2. Défaillance de l'authentification (Broken Authentication) : si l'authentification est incorrectement mise en œuvre, des acteurs malveillants peuvent se faire passer pour des utilisateurs d'API, et ainsi, accéder à des données confidentielles.
  3. Violation de l'autorisation au niveau d'une propriété de l'objet (Broken Object Property-Level Authorization) : l'absence de validation de l'autorisation ou la validation incorrecte de l'autorisation au niveau d'une propriété de l'objet peut entraîner la divulgation d'informations ou les rendre vulnérables à la manipulation par des personnes non autorisées.
  4. Consommation illimitée de ressources (Unrestricted Resource Consumption) : de nombreuses API ne limitent pas le nombre d'interactions ou la consommation de ressources des clients. Des acteurs malveillants peuvent générer un volume élevé d'appels d'API, pouvant entraîner une augmentation des coûts opérationnels et un déni de service.
  5. Violation de l'autorisation au niveau de la fonction (Broken Function-Level Authorization) : des acteurs malveillants peuvent transmettre des appels d'API légitimes à un point de terminaison auquel ils ne devraient pas pouvoir accéder. Ils peuvent ainsi accéder aux ressources ou aux fonctions administratives d'autres utilisateurs.
  6. Accès illimité à des flux opérationnels sensibles (Unrestricted Access to Sensitive Business Flows) : des API peuvent exposer un flux opérationnel (par exemple, la publication d'un commentaire sur un site web, l'achat d'un produit ou la réalisation d'une réservation), permettant ainsi à des acteurs malveillants d'exécuter ce flux de manière excessive.
  7. Falsification de requêtes côté serveur (Server-Side Request Forgery) : une API peut récupérer une ressource distante sans valider l'URL fournie par l'utilisateur. Par exemple, un utilisateur peut fournir une URL pour le transfert d'une image sur une plateforme de réseaux sociaux, et cette URL peut ensuite permettre de lancer une analyse des ports sur un réseau interne.
  8. Gestion incorrecte de l'inventaire (Improper inventory management) : les API peuvent exposer un plus grand nombre de points de terminaison qu'une application web traditionnelle. Si les entreprises n'inventorient pas les hôtes et les versions d'API déployées, elles courent le risque de laisser vulnérables des versions d'API et des points de terminaison obsolètes.
  9. Utilisation non sécurisée des API (Unsafe consumption of APIs) : des acteurs malveillants peuvent cibler des services tiers qui interagissent avec les API, plutôt que de cibler directement une API. Ils ont conscience que les développeurs se fient souvent plus facilement aux données provenant d'API tierces qu'aux données saisies par les utilisateurs.
  10. Pour en apprendre davantage sur ces 10 risques de sécurité, consultez la page officielle d'OWASP.

    Il existe une certaine convergence entre la liste OWASP Top 10 (cliquez ici pour consulter la liste complète) et la liste OWASP API Security Top 10. Par exemple, la violation des contrôles d'accès est la première menace sur la liste OWASP Top 10, et il existe différentes formes de failles d'authentification et d'autorisation parmi les cinq premières préoccupations en matière de sécurité de la liste API Security. Par ailleurs, les configurations incorrectes de la sécurité et la falsification de requêtes côté serveur figurent sur les deux listes.

    Cependant, les API comportent plusieurs risques distincts par rapport aux applications web, et les développeurs devraient tenir compte des deux listes.

    Comment Cloudflare aide-t-elle à remédier aux problèmes de sécurité des API ?

    Cloudflare API Gateway contribue à préserver la sécurité et le bon fonctionnement des API grâce à des fonctionnalités d'identification, de gestion et de surveillance centralisées des API, ainsi qu'à des défenses multicouches innovantes. API Shield fait partie du portefeuille de solutions de sécurité des applications de Cloudflare, qui propose des fonctionnalités supplémentaires permettant d'arrêter les bots et de déjouer les attaques DDoS et les attaques contre les applications, tout en surveillant les attaques contre la chaîne logistique.

    Découvrez de quelle manière les fonctionnalités de Cloudflare permettent de répondre aux risques spécifiques détaillés dans le classement OWASP API Security Top 10. Découvrez d'autres solutions de sécurité des API de Cloudflare.

    FAQ

    Qu'est-ce que l'OWASP (Open Web Application Security Project) ?

    L'OWASP est une organisation à but non lucratif qui oeuvre en faveur de la sécurité des applications web en fournissant des ressources gratuites, par exemple des pratiques recommandées, la liste des risques, destinées à aider les organisations à sécuriser leurs applications.

    Qu'est-ce que le Top 10 OWASP des risques liés aux API ?

    Le Top 10 de l'OWASP en matière est une liste des risques de sécurité les plus critiques auxquels les API sont confrontées. Il aide les organisations à comprendre et à remédier aux vulnérabilités courantes dans la conception et la mise en œuvre des API.

    Que signifie « violation de l'autorisation » dans le contexte de la sécurité des API ?

    La « violation de l'autorisation » peut désigner plusieurs risques OWASP pour les API : violation de l'autorisation au niveau de l'objet, violation de l'autorisation au niveau de la propriété de l'objet et violation de l'autorisation au niveau de la fonction. À la faveur de ces trois vulnérabilités, les attaquants peuvent exposer ou de manipuler des données sensibles.

    Quels sont les exemples de risques liés à la sécurité des API ?

    Les principaux risques liés aux API concernent la consommation illimitée de ressources, la falsification de requêtes côté serveur (SSRF) et une mauvaise gestion de l'inventaire des API, autant d'éléments qui peuvent entraîner une exposition des données ou une interruption des services.

    Quelles sont les vulnérabilités d'authentification dans les API ?

    Les vulnérabilités d'authentification se produisent lorsque les API ne vérifient pas correctement les utilisateurs, ce qui permet aux attaquants d'usurper l'identité d'utilisateurs légitimes et d'accéder sans autorisation à des données sensibles.

    Quels sont les risques liés aux API tierces ?

    Les risques liés aux API tierces peuvent survenir lorsqu'une API interagit avec des services externes. Les attaquants peuvent cibler ces services externes au lieu de cibler directement l'API, surtout lorsque l'API a tendance à faire confiance aux données de ces services tiers.

    Qu’est-ce que Cloudflare API Shield ?

    La solution Cloudflare API Shield aide les organisations à sécuriser leurs API en proposant l'identification des API, la gestion centralisée, la surveillance et des défenses de sécurité en couches.

    Quel est le lien entre le Top 10 de l'OWASP en matière de sécurité des API et le Top 10 de l'OWASP consacré aux applications web ?

    Ces deux listes classent les risques de sécurité courants. Le Top 10 de l'OWASP en matière de sécurité des API est spécifique aux API, tandis que le Top 10 de l'OWASP s'applique aux applications web en général. Les API sont presque toujours des éléments essentiels de l'infrastructure d'une application web, donc les deux listes devraient être prises en compte par les développeurs d'applications web soucieux de la sécurité. Il existe un certain recoupement entre les types de risques de sécurité auxquels les API et les applications web sont confrontées, tels que les problèmes de contrôle d'accès défaillant et de falsification de requêtes côté serveur, mais la mise en œuvre des solutions pour ces risques sera légèrement différente pour les API et les applications web.

    Qu'est-ce que l'exploitation des flux de processus métier dans les API ?

    L’exploitation des flux de processus métier se produit lorsque des attaquants abusent des flux de travaux légitimes des API, en lançant des achats ou des réservations en quantité excessive par exemple, pour perturber les opérations métier.