Sécurité des API

Q&A : Atténuer les risques liés au développement d'applications basées sur des API

Version imprimable, PDF et e-mail

Les attaques visant les API sont en plein essor ces derniers temps, les cybercriminels se tournant de plus en plus souvent vers cette technique. C'est pourquoi la protection des API est un élément essentiel de la sécurité des applications. Et malheureusement, c'est un aspect que de nombreuses entreprises négligent.

Tim Jefferson est le vice-président senior chargé de l'ingénierie et de la gestion des produits de protection des données chez Barracuda. Nous sommes allés à sa rencontre pour lui poser quelques questions sur la sécurité des applications basées sur les API et sur le lancement récent de Barracuda Cloud Application Protection 2.0.

Interview avec Tim Jefferson, vice-président senior de Barracuda

Comment fonctionnent les attaques visant les API et pourquoi les cybercriminels y recourent-ils de plus en plus ?

Cela tient pour beaucoup à la manière dont les applications modernes sont développées et déployées. Auparavant, tout le monde déployait des applications Web. Leur particularité est que l'utilisateur n'est jamais directement en contact avec l'application, car les interactions sont toutes réalisées par l'intermédiaire d'un navigateur Web.

Actuellement, nous nous orientons principalement vers des applications basées sur des API. Il y a beaucoup de bonnes raisons à cela. Les applications basées sur des API sont plus rapides et plus faciles à développer et à déployer. Elles offrent une meilleure expérience utilisateur, notamment sur les appareils mobiles, et les entreprises peuvent les utiliser pour recueillir des données plus riches sur le comportement des utilisateurs.

Mais ces nouvelles applications contiennent l'intégralité de leur logique métier. Elles demandent les données aux serveurs backend via l'API, puis effectuent la logique métier sur l'appareil client sur lequel elles sont installées, contrairement aux applications Web traditionnelles qui maintiennent leur logique métier du côté serveur et communiquent uniquement avec le navigateur. Cela signifie que dans les applications basées sur des API, la logique métier est exposée directement au public.

Ainsi, si l'API n'est pas correctement protégée, les pirates peuvent en intercepter le trafic, identifier le serveur backend, l'analyser pour détecter les vulnérabilités, l'infiltrer et extraire toutes les données sensibles ou privées qui peuvent y être stockées. Et de nombreuses API ne sont pas correctement sécurisées.

De nombreuses API ne sont pas correctement sécurisées. Et les cybercriminels en profitent #APIsecurityCliquez pour tweeter

L'Open Web Application Security Project (OWASP) a entrepris de publier une liste des dix principales menaces liées aux API. Quels types de menaces apparaissent sur cette liste et pourquoi l'OWASP a-t-il décidé de publier cette liste ?

Comme vous le savez, l'OWASP fait autorité en matière de nouvelles menaces liées aux applications et de leur impact. La liste des dix principales menaces de l'OWASP est depuis longtemps une référence essentielle pour les fournisseurs de solutions de sécurité et les développeurs d'applications. La création d'une nouvelle liste spécifique aux API indique clairement que ces menaces sont importantes et que chacun doit les prendre au sérieux.

Lorsque l'on examine ce que contient cette liste, on est à la fois fasciné et consterné de constater que nous semblons répéter certaines des erreurs commises lorsque les applications Web sont devenues le paradigme dominant.

Avec les applications Web, l'impératif de développer et de déployer des applications aussi rapidement que possible signifiait que beaucoup d'entre elles étaient mises en production sans avoir passé un examen de sécurité approprié, ce qui les rendait vulnérables aux pirates. Au fil du temps, les développeurs ont appris à bien vérifier la sécurité de leurs applications avant de les mettre en production. Mais aujourd'hui, alors que le développement des API prend le dessus, nous voyons le même schéma se répéter, ce qui a pour conséquence une apparition de nombreuses vulnérabilités identiques ou très similaires.

Ainsi, lorsque l'on parcourt la liste de l'OWASP des dix principales menaces pour les API, on remarque qu'elle ressemble beaucoup à celle des applications Web qu'il a établie il y a quelques années. Les entreprises exposent des API sans limite de débit, sans contrôle d'accès ni autorisation, sans contrôle basé sur les rôles. Elles exposent même les API de test avec les données de production sur l'Internet public, sans aucune protection. Tout cela signifie que les pirates n'ont même pas besoin de développer de nouvelles stratégies pour exploiter ces vulnérabilités. Il leur suffit d'adapter les mêmes attaques qui fonctionnaient avec les applications Web.

Du côté des fournisseurs de solutions de sécurité, il est un peu désolant que nous devions repasser par les mêmes leçons que pour les applications Web.

Barracuda a récemment publié son rapport 2021 sur la sécurité des applications, qui se base sur une enquête menée auprès de professionnels de l'informatique du monde entier. Quelles sont les principales conclusions de ce rapport concernant la sécurité des API ?

Tout d'abord, près de 70 % des répondants ont déclaré avoir déployé des API publiques, même s'il est important de noter que la plupart des entreprises du secteur public déclarent utiliser uniquement des API internes.

La principale préoccupation des personnes interrogées à propos des API concernait la sécurité, ce qui démontre que les gens sont conscients des risques liés au développement basé sur les API. Mais la deuxième plus grande préoccupation était le manque de connaissances sur les emplacements où les API avaient été déployées, un aveu franchement alarmant. Car cela indique qu'ils ont effectivement déployé des API sans en examiner soigneusement les risques ni opérer une surveillance étroite. L'API privée de votre entreprise est exposée publiquement sans protection adéquate et vous ne savez même pas qu'elle est exposée ? Vous courez au désastre. Les pirates peuvent facilement créer un bot capable d'exploiter les API et de récupérer vos données sensibles à votre insu.

« L'API privée de votre entreprise est exposée publiquement sans protection adéquate et vous ne savez même pas qu'elle est exposée ? Vous courez au désastre. » #APIsecurityCliquez pour tweeter

Barracuda a annoncé le lancement de Cloud Application Protection 2.0. Comment cette solution sécurise-t-elle les API pour atténuer ces menaces ?

Barracuda Cloud Application Protection est une plateforme qui regroupe tout notre savoir-faire en matière de sécurité des applications et d'optimisation de leurs performances. Il s'agit de la plateforme de Barracuda dédiée à la protection des applications Web et des API (WAAP). Au cœur de la plateforme se trouve notre meilleur service cloud de pare-feu d'applications Web, Barracuda WAF-as-a-Service. Des fonctionnalités supplémentaires qui répondent à des problèmes spécifiques se greffent ensuite à cette solution WAF. Ainsi, nous ajoutons un composant de suivi des menaces, une protection DDoS, une protection avancée contre les bots, une protection côté client, un contrôle des identités et des accès et une protection des API.

En ce qui concerne la protection des API en particulier, la solution surveille le trafic des API pour repérer et bloquer une grande variété de vecteurs d'attaque. Elle comprend également un composant de découverte API qui vous donne une visibilité claire sur toutes vos API et garantit que les contrôles appropriés sont renforcés afin de les sécuriser. En outre, elle optimise les performances des API en faisant respecter les accords de niveau de service (SLA), avec limitation du débit, mise en cache, compression, routage du contenu et mise en place de tarpits pour les auteurs de violations.

À l'avenir, à mesure que de nouvelles menaces visant les applications basées sur les API apparaîtront (ce qui ne manquera pas d'arriver), Barracuda mettra à jour et complétera ces capacités WAAP afin de garantir la sécurité des API et de s'assurer que les entreprises peuvent tirer pleinement parti du développement basé sur les API en toute confiance.

Pour en savoir plus sur Barracuda Cloud Application Protection, rendez-vous sur notre site Web

Remonter en haut de page
Tweeter
Partager
Partager