Qu'est-ce qu'une API fantôme ?

Les API fantômes sont des API non gérées qui présentent un risque sérieux pour les organisations qui les utilisent.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir l'API fantôme
  • Découvrez pourquoi les API fantômes sont dangereuses
  • Faire la différence entre les API fantômes et les API zombies

Copier le lien de l'article

Qu'est-ce qu'une API fantôme ?

Une API « fantôme » (Shadow API) désigne toute interface de programmation d'application (API) qui n'a pas été gérée ou sécurisée par l'organisation qui l'utilise. Souvent, les API fantômes sont introduites par les développeurs et d'autres utilisateurs au sein d'une organisation, soit au cours du processus de développement de l'application, soit pour exécuter d'autres fonctions métier.

Les API fantômes ne sont pas nécessairement utilisées à des fins malveillantes. Cependant, comme elles ne sont pas sous le contrôle des équipes informatiques et de sécurité d'une organisation, il est impossible de les protéger contre les nouvelles vulnérabilités et les nouvelles attaques.

Pourquoi les API fantômes sont-elles dangereuses ?

Bien que les API fantômes ne soient pas malveillantes par nature, elles peuvent présenter un certain nombre de risques. Les équipes informatiques et de sécurité d'une organisation sont chargées d'appliquer et d'améliorer les normes de sécurité des API, mais elles ne peuvent protéger que les API et les points de terminaison qui leur sont visibles. S'il existe une dépendance dont ces équipes n'ont pas connaissance, elles ne peuvent pas suivre l'exposition potentielle des données, ni garantir la conformité ou bloquer les attaques.

Voici quelques-un des risques les plus courants introduits par les API fantômes :

  • Exposition des données : les API fantômes peuvent avoir accès à des données sensibles.Si ces API sont compromises ou attaquées, les données risquent d'être exposées ou volées.
  • Mouvements latéraux : les API fantômes peuvent constituer des points d'entrée pour les acteurs malveillants cherchant à accéder à des systèmes et des comptes sensibles. Une fois qu'ils ont infiltré l'environnement d'une organisation, ils peuvent voler des informations confidentielles ou utiliser cet accès pour lancer d'autres attaques.
  • Vulnérabilités non corrigées : les organisations ne peuvent apporter de correctifs aux nouvelles vulnérabilités que pour les API qu'elles surveillent et gèrent déjà. Même si les API fantômes sont déjà protégées contre les attaques et les risques de base liés aux API (comme ceux de la liste Top 10 de l'OWASP en matière de sécurité des API), de nouvelles exploitations peuvent créer des points d'entrée pour les acteurs malveillants.
  • Non-conformité : de nombreuses organisations sont soumises à des lois sur la confidentialité des données (par exemple le RGPD ou la loi californienne sur la protection de la vie privée des consommateurs (CCPA)). Avec les API fantômes, les développeurs ou d'autres utilisateurs peuvent être amenés à traiter des données d'une manière non conforme à ces réglementations, ce qui peut entraîner des amendes ou d'autres lourdes sanctions.

Qu'est-ce que l'identification des API ?

L'identification des API est le processus qui consiste à répertorier toutes les API internes et tierces utilisées au sein d'une organisation. Les objectifs des API étant très variés - Ils vont en effet de l'amélioration du développement des applications à la connexion des microservices et d'autres fonctions externes - il n'est pas rare que les organisations en utilisent des douzaines, voire des centaines (ou des milliers).

Grâce à l'identification des API, les entreprises peuvent non seulement simplifier le développement de leurs applications, mais aussi découvrir d'éventuelles API fantômes qui n'ont pas été correctement répertoriées ou sécurisées.C'est pourquoi l'identification des API est une première étape cruciale dans l'amélioration et la mise en œuvre des pratiques de sécurité des API.

API fantômes ou API zombies

Une API fantôme est une API non gérée mais activement utilisée. Une API zombie quant à elle a été supprimée ou abandonnée. À la différence des API fantômes, les API zombies peuvent avoir déjà été identifiées et gérées par une organisation, mais elles ne sont pas activement utilisées.

Les API fantômes et les API zombies présentent un risque sérieux pour les organisations qui interagissent avec elles, car elles ne sont généralement pas sécurisées et peuvent être compromises ou utilisées pour mener des attaques.

Comment les solutions Cloudflare protègent-elles les utilisateurs contre les API fantômes ?

Cloudflare API Gateway comprend une fonction d'identification des API qui découvre, surveille et sécurise automatiquement tous les points de terminaison d'API. Les demandes entrantes sont validées par rapport à un schéma OpenAPI, qui est utilisé pour bloquer les demandes non conformes et contribuer à l'application d'un modèle de sécurité positif. Pour en savoir plus sur le fonctionnement de Cloudflare API discovery.