Prévisions AppSec 2021 : les attaquants se tournent de plus en plus vers les API

Version imprimable, PDF et e-mail

This is the second in a three-part series of AppSec predictions for 2021.  You can read the complete series here.

Chaque année (environ), je publie nos prévisions en matière de sécurité des applications en examinant les trois menaces les plus inquiétantes pour l'année à venir. Ces deux dernières années, les prévisions ont porté sur les attaques par credential stuffing/piratage de compte, les attaques visant les API et celles visant les chaînes logistiques. Cette année, nos prévisions reposent sur notre service de suivi des menaces (que nous avons enrichi récemment) et qui fait partie de Barracuda Advanced Bot Protection. Vous l'aurez donc compris, nous disposons de beaucoup plus de données nous permettant de formuler des conclusions.

Les pirates se tournent davantage vers les API plutôt que vers les applications Web

Aujourd'hui, la plupart des applications sont conçues selon un modèle API-first, ce qui accélère le processus de développement et le déploiement. Cela permet également de profiter d'applications dernière génération telles que les SPA (Single Page Applications ou applications monopage), conçues pour fonctionner avec les navigateurs mobiles et simuler les applications mobiles sans avoir à installer une application.

« D'ici 2021, au moins un tiers des entreprises aura déployé une plateforme de développement multi-expérience prenant en charge le développement mobile, Web, conversationnel et pour la réalité augmentée. »​

Modèle de maturité des stratégies d'API de Gartner, oct. 2019​

Une des principales caractéristiques de ce type d'application est sa visibilité directe pour l'utilisateur. Revenons un peu en arrière et examinons le fonctionnement des applications Web par rapport à celles basées sur des API. Avec une application Web, le navigateur faisait office d'intermédiaire : il communiquait avec l'application qui, elle, exécutait certaines actions en fonction de votre demande et vous répondait par l'intermédiaire du navigateur. Toute la logique métier est masquée dans l'application et la plupart des attaques sont connues. En revanche, lorsqu'une application est développée selon un modèle API, la logique métier y est directement incluse : l'application utilise l'API pour obtenir des données, puis exécute la logique métier sur l'appareil du client final. Lorsqu'un pirate intercepte le trafic API, il peut identifier le serveur back-end, en déterminer la logique et effectuer différents tests pour repérer les failles et attaquer le système.

Les API sont d'autant plus risquées car elles permettent d'accéder directement à un grand nombre d'informations sensibles. Votre API bancaire peut donner accès à votre numéro de sécurité sociale, à votre numéro d'identification nationale ou à votre date de naissance, et une API mal protégée permettra aux pirates de récupérer ces données en masse.

« Les API sont la nouvelle vitrine, mais la sécurité n'a pas évolué au même rythme. »

Insécurité des API : la menace dissimulée dans votre logiciel, rapport de Forrester, oct. 2020

Comme l'indiquent si bien les analystes de Forrester, les API sont là, mais la sécurité n'a pas évolué au même rythme, et c'est le cas pour la plupart des technologies émergentes. En ce qui concerne les API, nous constatons que certains scénarios sont récurrents : manque d'une fonction de limitation de débit, absence de contrôle et d'autorisation des accès, de contrôles établis en fonction des rôles, et par-dessus tout, exposition publique des API qui sont testées directement sur le Web. Cette situation s'est traduite par un certain nombre de violations de données très médiatisées récemment, comme cela a été le cas avec Airtel, Just Dial, etc.

De nos jours, la plupart des applications sont développées selon un modèle API-first, ce qui accélère le processus de développement et le déploiement.Cliquez pour tweeter

Montée des 10 principales attaques visant les API répertoriées par OWASP

Les attaques visant les API semblent désormais suffisamment dangereuses pour que l'OWASP en établisse un top 10 qui, d'ailleurs, recense quelques attaques déjà bien connues des listes d'applications Web depuis des années ! Les anciennes attaques refont surface, mais pour autant nous ne semblons pas avoir retenu les leçons du passé. Certaines des attaques les plus importantes sont mentionnées ici, et parmi elles, la limitation de débit fait partie des préoccupations majeures. C'est un problème qui touche tous les domaines. Par exemple, il y a deux ans, une API TMobile-Apple conçue pour l'intégration de nouveaux téléphones ne présentait aucune limitation de débit. Vous disposiez donc d'un nombre illimité d'essais pour trouver le code PIN d'un utilisateur donné.

Vous avez également des attaques par injection (telles que l'injection SQL) qui figurent en tête des listes Web depuis très longtemps, et qui continuent d'affecter les applications basées sur API. La première en date, l'attaque BOLA (ou Broken object level authorization), a entraîné des complications majeures lorsque Shopify a mis en place une API il y a quelques années sans contrôle d'autorisation approprié. Ils n'ont pas procédé au contrôle des autorisations d'accès aux données des recettes réalisées par les boutiques hébergées sur leur plateforme, exposant ainsi publiquement leurs données.

Cela étant dit, la liste des 10 principales attaques visant les API établie par l'OWASP est une très bonne initiative car elle fournit aux développeurs un cadre de référence leur permettant de sécuriser leurs API.

« Les API ont tendance à être incriminées alors que le véritable fautif est l'application, l'infrastructure ou l'utilisateur. »

Insécurité des API : la menace dissimulée dans votre logiciel, oct. 2020

Ceci est tout particulièrement le cas avec les API. Les développeurs finissent par exposer des données telles que les clés API sur les repositories publics GitHub et s'étonnent lorsque l'API se fait pirater.

Il faut s'attendre à voir de nombreuses violations d'API très médiatisées (comme par exemple, la violation de l'application Parler iOS avant le confinement) émerger cette année.

Rendez-vous la semaine prochaine pour le troisième volet de la série. Si vous souhaitez en savoir plus sur la sécurité des applications, rejoignez nos experts pour une table ronde instructive sur les tendances actuelles de la cybersécurité, la sécurité des applications Web, les prévisions technologiques pour 2021, et bien plus encore. Le webinaire est gratuit et disponible à la demande :

Prévisions 2021 en matière de sécurité des applications : attaques par bots et visant les API et les chaînes logistiques
Regardez le webinaire ici

Remonter en haut de page
Tweeter
Partager
Partager