Qu'est-ce que le Top 10 OWASP des risques liés aux API ?

L'Open Web Application Security Project (OWASP) a dressé une liste des principaux risques de sécurité pour les interfaces de programmation d'applications (API).

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Résumer le Top 10 de la sécurité des API de l'OWASP
  • Comparez cette liste avec le Top 10 de l'OWASP.

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Qu'est-ce que le Top 10 OWASP des risques liés aux API ?

Open Web Application Security Project (OWASP) est une organisation à but non lucratif dont l'objectif est de promouvoir la sécurité des applications web. OWASP propose de nombreuses ressources gratuites afin d'encourager le développement d'applications web plus sécurisées.

L'une des ressources les plus fréquemment consultées de l'organisation est le classement OWASP Top 10, qui répertorie les 10 principales préoccupations en matière de sécurité des applications web. OWASP propose également une liste distincte, mais similaire, consacrée aux interfaces de programmation d'applications (API), sur lesquelles reposent la plupart des expériences web et mobiles.

Les API peuvent permettre de consolider les avantages concurrentiels des entreprises en leur fournissant des données d'information décisionnelle, en facilitant les déploiements de cloud et en permettant l'intégration de fonctionnalités d'IA. Cependant, elles peuvent également introduire de nouveaux risques en permettant à des personnes extérieures d'accéder aux applications, de partager des données et d'exécuter des flux de travail potentiellement sensibles.

Le classement OWASP Top 10 des risques liés aux API, dont l'édition la plus récente a été publiée en 2023, met en évidence les principaux problèmes auxquels les entreprises doivent remédier afin de mieux protéger leurs API, leurs applications et leurs données. La liste inclut les risques suivants :

  1. Violation de l'autorisation au niveau de l'objet (Broken Object Level Authorization, BOLA) : des acteurs malveillants peuvent essayer d'exploiter des points de terminaison d'API vulnérables à une violation de l'autorisation au niveau de l'objet. Ils peuvent manipuler des identifiants d'objets dans une requête afin d'obtenir un accès non autorisé à des données sensibles.
  2. Défaillance de l'authentification (Broken Authentication) : si l'authentification est incorrectement mise en œuvre, des acteurs malveillants peuvent se faire passer pour des utilisateurs d'API, et ainsi, accéder à des données confidentielles.
  3. Violation de l'autorisation au niveau d'une propriété de l'objet (Broken Object Property-Level Authorization) : l'absence de validation de l'autorisation ou la validation incorrecte de l'autorisation au niveau d'une propriété de l'objet peut entraîner la divulgation d'informations ou les rendre vulnérables à la manipulation par des personnes non autorisées.
  4. Consommation illimitée de ressources (Unrestricted Resource Consumption) : de nombreuses API ne limitent pas le nombre d'interactions ou la consommation de ressources des clients. Des acteurs malveillants peuvent générer un volume élevé d'appels d'API, pouvant entraîner une augmentation des coûts opérationnels et un déni de service.
  5. Violation de l'autorisation au niveau de la fonction (Broken Function-Level Authorization) : des acteurs malveillants peuvent transmettre des appels d'API légitimes à un point de terminaison auquel ils ne devraient pas pouvoir accéder. Ils peuvent ainsi accéder aux ressources ou aux fonctions administratives d'autres utilisateurs.
  6. Accès illimité à des flux opérationnels sensibles (Unrestricted Access to Sensitive Business Flows) : des API peuvent exposer un flux opérationnel (par exemple, la publication d'un commentaire sur un site web, l'achat d'un produit ou la réalisation d'une réservation), permettant ainsi à des acteurs malveillants d'exécuter ce flux de manière excessive.
  7. Falsification de requêtes côté serveur (Server-Side Request Forgery) : une API peut récupérer une ressource distante sans valider l'URL fournie par l'utilisateur. Par exemple, un utilisateur peut fournir une URL pour le transfert d'une image sur une plateforme de réseaux sociaux, et cette URL peut ensuite permettre de lancer une analyse des ports sur un réseau interne.
  8. Gestion incorrecte de l'inventaire (Improper inventory management) : les API peuvent exposer un plus grand nombre de points de terminaison qu'une application web traditionnelle. Si les entreprises n'inventorient pas les hôtes et les versions d'API déployées, elles courent le risque de laisser vulnérables des versions d'API et des points de terminaison obsolètes.
  9. Utilisation non sécurisée des API (Unsafe consumption of APIs) : des acteurs malveillants peuvent cibler des services tiers qui interagissent avec les API, plutôt que de cibler directement une API. Ils ont conscience que les développeurs se fient souvent plus facilement aux données provenant d'API tierces qu'aux données saisies par les utilisateurs.
  10. Pour en apprendre davantage sur ces 10 risques de sécurité, consultez la page officielle d'OWASP.

    Il existe une certaine convergence entre la liste OWASP Top 10 (cliquez ici pour consulter la liste complète) et la liste OWASP API Security Top 10. Par exemple, la violation des contrôles d'accès est la première menace sur la liste OWASP Top 10, et il existe différentes formes de failles d'authentification et d'autorisation parmi les cinq premières préoccupations en matière de sécurité de la liste API Security. Par ailleurs, les configurations incorrectes de la sécurité et la falsification de requêtes côté serveur figurent sur les deux listes.

    Cependant, les API comportent plusieurs risques distincts par rapport aux applications web, et les développeurs devraient tenir compte des deux listes.

    Comment Cloudflare aide-t-elle à remédier aux problèmes de sécurité des API ?

    Cloudflare API Gateway contribue à préserver la sécurité et le bon fonctionnement des API grâce à des fonctionnalités d'identification, de gestion et de surveillance centralisées des API, ainsi qu'à des défenses en couches innovantes. API Gateway fait partie du portefeuille de solutions de sécurité des applications de Cloudflare, qui propose des fonctionnalités supplémentaires permettant d'arrêter les bots et de déjouer les attaques DDoS et les attaques contre les applications, tout en surveillant les attaques contre la chaîne logistique.

    Découvrez de quelle manière les fonctionnalités de Cloudflare permettent de répondre aux risques spécifiques détaillés dans le classement OWASP API Security Top 10. Découvrez d'autres solutions de sécurité des API de Cloudflare.