Une API (interface de programmation d'application) est une interface informatique qui définit et permet les interactions entre différents logiciels. De nombreuses tâches quotidiennes sont effectuées au moyen d'API, comme le partage de contenus sur les réseaux sociaux, le traitement des paiements en ligne et l'agrégation des données issues de l'analyse de sites web. L'alliance entre le cloud et les API permet aux entreprises de déployer plus facilement des infrastructures d'échelle mondiale.
De nos jours, la majorité des logiciels utilisent des API, quand ils n'appartiennent pas tout bonnement à cette catégorie. Ce type d'application a d'ailleurs connu une croissance exponentielle lors des quatre à cinq dernières années. À titre d'exemple, la plateforme collaborative Postman, dédiée au développement d'API, a constaté une explosion du nombre de dossiers d'API, passés de moins d'un demi-million en 2016 à près de 35 millions lors du passage à l'année 2021.
Malgré la croissance fulgurante des API en termes de popularité, les mesures de sécurité associées sont restées loin derrière. L'essor récent du trafic a néanmoins révélé de nombreuses vulnérabilités d'ordre majeur. Gartner estime qu'en raison de leur croissance explosive et de l'insuffisance des systèmes de sécurité, les API pourraient devenir la plus grande vulnérabilité rencontrée à ce jour.
Un des principaux moteurs de la croissance des API repose sur la prolifération des microservices, qui ont commencé à gagner en popularité en 2013. L'architecture caractéristique des microservices promeut le développement de petites applications individuelles, qui communiquent entre elles à l'aide d'API. Les tâches complexes se voient ainsi décomposées en fragments plus petits, chacun étant développé et géré indépendamment.
Le marché mondial de l'architecture des microservices était estimé à 2,07 milliards de dollars en 2018 et devrait atteindre 8,07 milliards de dollars en 2026 (TCAC de 18,6 % entre 2019 et 2026). La flexibilité, les cycles de développement plus rapides et l'évolutivité supérieure des microservices ont favorisé leur adoption à grande échelle.
Ainsi, pour répondre à la demande, Netflix a délaissé ses datacenters monolithiques et centralisés au profit d'une architecture de microservices dans le cloud. Cette migration a permis aux développeurs de disposer d'une liberté remarquable dans la poursuite de leurs efforts visant à améliorer continuellement l'expérience client, en adaptant les contenus à des régions géographiques spécifiques, par exemple.
Les tendances qui ont conduit à l'actuelle hégémonie des API nous permettent également de comprendre où se situent les vulnérabilités. Les API sont omniprésentes et leur nombre ne cesse de croître. Les risques entraînés par ces dernières augmentent donc par voie de conséquence.
L'ampleur du développement et des activités en lien avec les API ne contribue en rien à la sécurité des applications. Selon Gartner, 90 % des applications web présenteront à l'avenir une surface d'attaque exposée par les API plus étendue que celle exposée par l'interface utilisateur (IU). Gartner a également prédit que l'exploitation des failles de sécurité des API deviendra le vecteur d'attaque le plus fréquent en 2022, tandis qu'il occupe une place marginale aujourd'hui.
Les vulnérabilités des API affectent de nombreux domaines, notamment les points de terminaison (appareils, serveurs, environnements virtuels, etc.), l'exposition des données, les attaques par déni de service (DoS), les vulnérabilités des systèmes d'autorisation, la configuration incorrecte des systèmes de sécurité, etc. Compte tenu de la surface d'attaque considérable que représentent les milliers de ressources prises en charge par des API au sein de toute entreprise, les vulnérabilités des API peuvent avoir des effets extrêmement variés.
Les pertes de données, les vols de fonds, les pertes de productivité, les vols de propriété intellectuelle, les vols de données personnelles et financières, les fraudes, les perturbations des activités de l'entreprise en constituent de bons exemples, de même que le coût de rétablissement et/ou de suppression des données et systèmes endommagés. Les violations d'API peuvent également nuire à la réputation des entreprises et entraîner une perte de confiance chez les consommateurs. Ce phénomène survient d'ailleurs fréquemment lors des graves incidents de sécurité.
Plusieurs cas très médiatisés d'entreprises ayant subi des attaques sur leurs API (malgré la mise en place de mesures de sécurité performantes) ont déjà fait la une des actualités. Dans le cas de Facebook, par exemple, 50 millions de comptes ont été exposés suite à l'exploitation d'une vulnérabilité inhérente à la fonctionnalité « Voir en tant que » du site. Cette dernière permettait aux acteurs malveillants de voler des jetons d'accès aux comptes suite à la création, par Facebook, d'une fonctionnalité de téléchargement de vidéos reposant sur une API.
Uber a également fait les frais d'une exposition de ses données lorsque la divulgation des identifiants universels uniques (UUID) de ses utilisateurs, via des requêtes d'API, a entraîné la fuite (par l'intermédiaire des réponses de l'API) de jetons susceptibles d'être utilisés pour pirater des comptes. Les pirates ont ensuite pu localiser la position géographique de leurs victimes et même bénéficier de services de transport, facturés ensuite à ces dernières.
Les attaques lancées contre Facebook et Uber constituent ce que l'on appelle des attaques d'API par « corruption de l'authentification des utilisateurs ». Un défaut de mise en œuvre au niveau du système d'authentification permet alors aux acteurs malveillants de s'emparer de jetons d'authentification et expose d'autres failles susceptibles de faciliter l'usurpation de l'identité des utilisateurs.
L'utilisation massive d'adresses IP résidentielles entraînée par l'essor du télétravail lié à la pandémie de COVID-19 rend la séparation des appels d'API malveillants et légitimes encore plus essentielle. Les attaques par bourrage d'identifiants ou spam menées par les botnets peuvent utiliser jusqu'à 10 000 adresses IP différentes, qui correspondent à des serveurs, des postes de travail, voire des appareils IdO, compromis.
Comme les API exposent la logique des applications et des données confidentielles, les données à caractère personnel (PII, Personally Identifiable Information), par exemple, elles constituent une composante vitale de l'infrastructure et de l'approche de sécurité des entreprises. Pourtant, les stratégies de sécurité des applications web traditionnelles (qui reposent, en grande partie, sur un modèle de « sécurité négative ») ne parviennent pas à arrêter la plupart des menaces liées aux API.
Dans un modèle de « sécurité négative », chaque requête transite via un pare-feu d'applications web (WAF), sauf si elle figure sur une liste de blocage de menaces connues ou suspectées. Ce modèle peut générer des faux positifs et entraîner le blocage d'appels d'API légitimes. Il peut également échouer à détecter certaines attaques plus ciblées. Les pare-feu WAF ont toutefois un rôle essentiel à jouer dans la sécurité des API. Le trafic authentifié qui réussirait à passer quelques étapes de validation de schéma (par exemple, un terminal, une méthode et des paramètres) peut ainsi toujours être porteur d'une attaque SQL, qu'un pare-feu WAF pourrait permettre d'intercepter. En outre, certaines API ne sont pas adaptées au protocole TLS ou présentent des problèmes au niveau de la validation de schéma. Si les schémas ne sont pas à jour, ou si les API se révèlent fragmentées et difficiles à regrouper au sein d'un schéma unique, un pare-feu WAF peut permettre de pallier cette faille.
Toutefois, le fait de compter uniquement sur un pare-feu d'applications web (WAF) associé à une liste de blocage pour sécuriser ses API laisse l'entreprise vulnérable. Les solutions d'atténuation des menaces visant les API, comme API Shield, peuvent permettre d'éviter ces risques, grâce à un modèle de « sécurité positive » qui autorise uniquement les comportements connus, tout en identifiant et en refusant les autres.
La mise en place d'un modèle positif nécessite le déploiement d'un protocole d'authentification et d'autorisation fiable, qui ne permet ni la réutilisation ni le partage de mots de passe (par exemple, TLS ou OAuth). La gestion des autorisations et du partage des certificats peut également constituer une opération particulièrement fastidieuse. Les développeurs doivent donc privilégier les outils qui simplifient autant que possible le processus d'autorisation.
Il n'est bien sûr pas impossible d'extraire un certificat d'un appareil pour le réutiliser ailleurs. Les développeurs ont également besoin d'un moyen de valider eux-mêmes les appels d'API. La validation de schéma peut y parvenir en établissant une correspondance entre le contenu de requêtes d'API (les paramètres de requête qui suivent l'URL et le contenu du corps de la requête POST) et un contrat ou « schéma » contenant les règles définissant la réponse attendue. En cas d'échec de la validation, l'appel d'API est bloqué et l'origine protégée contre une requête non valide ou une charge utile malveillante.
S'il est important de garantir une sécurité positive via l'authentification/l'autorisation et la validation des appels d'API, il convient également de recourir à des mesures de sécurité supplémentaires. Les API restent encore vulnérables aux attaques volumétriques par exemple, de même qu'aux attaques par force brute et par bourrage d'identifiants. L'atténuation des attaques DDoS et la limitation de débit demeurent donc des outils nécessaires à la stratégie de sécurité globale d'une entreprise.
L'ajout de nouveaux outils de sécurité aux outils existants, à l'image de l'atténuation des attaques DDoS et de la limitation du débit, peut engendrer des difficultés. Lorsque les appels d'API transitent par de nombreux outils disparates, ils deviennent plus difficiles à suivre et à journaliser. En outre, la canalisation du trafic via différents outils situés au sein de datacenters géographiquement dispersés peut ajouter de la latence et nuire aux performances des applications.
La sécurisation des API est ainsi mieux assurée par plusieurs dispositifs de sécurité intégrés à un réseau périphérique plus vaste. Cette approche présente, en outre, plusieurs avantages :
Résilience : si plusieurs emplacements du réseau de périphérie peuvent héberger des outils de sécurisation des API, les défaillances isolées présentent moins de risques.
Réduction de la latence : si plusieurs outils de sécurité des API opèrent au sein d'un même emplacement du réseau périphérique , le trafic n'est pas réacheminé d'un emplacement à l'autre.
Informations sur les menaces : si un réseau périphérique dispose d'une portée suffisante, il peut analyser les attaques lancées contre un grand nombre d'API et utiliser ces informations pour mieux protéger les autres.
Connexion facilitée : l'utilisation d'un réseau unique, géré depuis une seule interface, permet aux développeurs de disposer d'une source unique de données fiables.
Conçue pour l'architecture d'entreprise moderne, la plateforme Cloudflare facilite la sécurisation des API grâce à un robuste service de vérification de l'identité basé sur les certificats des clients et un système de validation strict fondé sur les schémas. Il s'agit là d'une solution intelligente et évolutive qui vous permettra de protéger vos applications web stratégiques contre les attaques malveillantes, sans modifier votre infrastructure existante.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Cet article vous permettra de comprendre les points suivants :
Le rythme de croissance relatif à l'utilisation des API
L'extension de la surface d'attaque liée aux API
Les stratégies permettant d'entraver ces risques
Les avantages d'une plateforme intégrée
Découvrez plus d'informations sur la protection contre les vulnérabilités affectant les API dans le rapport Gartner Magic Quadrant for Web Application and API Protection (WAAP) (Rapport Gartner Magic Quadrant sur les protections des API et des applications web).