Le défi que pose la sécurité des API

À la suite de la violation de 37 millions de comptes T-Mobile, l'accent est mis, pour le moment, sur la sécurité des interfaces de programmation d'applications (API). Les API constituent la base du partage des données, surtout à l'ère de l'économie numérique, de sorte que des millions d'API sont aujourd'hui utilisées. Malheureusement, la sécurisation de ces API n'a été qu'un pis-aller qui se heurte à la réalité du monde actuel.

T-Mobile signale que si les API compromises permettaient d'accéder aux données des clients, les informations relatives aux cartes de paiement (PCI), les numéros de sécurité sociale et les numéros d'identification fiscale, les permis de conduire ou autres numéros d'identification gouvernementaux, les mots de passe, les numéros d'identification personnels (PIN) ou d'autres informations relatives aux comptes bancaires n'ont pas été compromis. En d'autres termes, on a évité le pire.

Le problème que rencontrent de nombreuses entreprises en matière de sécurité des API est que l'on ne sait pas toujours qui en est responsable. Les développeurs créent régulièrement des API pour partager des données. La plupart de ces API sont basées sur l'architecture REST, mais d'autres types d'API basées, par exemple, sur GraphQL, gagnent également en popularité. Le problème majeur est que les développeurs qui créent ces API ne disposent pas d'une grande expertise en matière de cybersécurité. Les erreurs sont donc nombreuses et permettent aux cybercriminels d'exfiltrer des données.

Hélas, les équipes chargées de la cybersécurité n'ont généralement pas une grande visibilité sur la manière dont ces API sont créées et déployées. Par conséquent, toutes ces API sont, en fait, des points d'accès non sécurisés. Heureusement, la plupart de ces API sont accessibles en interne, de sorte que le nœud du problème se situe au niveau de la sécurité des API accessibles en externe. Bien que ces API soient moins nombreuses, les équipes chargées de la cybersécurité ne doivent pas négliger la sécurité des API à usage interne. Les équipes de développement peuvent facilement rendre les API internes accessibles aux utilisateurs externes, de sorte que ce qui peut sembler suffisamment sûr aujourd'hui peut, demain, devenir un très gros problème si une unité commerciale décide, pour une raison quelconque, de permettre à une entité extérieure à l'entreprise d'accéder à une API existante.

En théorie, du moins, les développeurs assument davantage de responsabilités en matière de sécurité des API dans le cadre du changement de responsabilité général en matière de sécurité des applications via l'adoption des meilleures pratiques DevSecOps. Cependant, le nombre d'API déjà créées se compte en millions. Il existe également un nombre incalculable d'« API zombies » qui ont été délaissées par les équipes de développement et qui permettent toujours d'accéder aux données. En général, il incombe toujours aux équipes de cybersécurité de trouver et de sécuriser tous les points d'accès aux API qui ont été créés.

Quelle que soit la personne responsable de la sécurité des API dans une entreprise, il est clair qu'elle n'y prête pas suffisamment attention. Les problèmes de cybersécurité qui touchent les applications Web depuis des années concernent également les API. Le problème est qu'il y a beaucoup plus d'API non sécurisées que d'applications Web. Les équipes de cybersécurité actuelles ne disposent pas d'une grande expertise en matière de sécurité des API, de sorte que la probabilité que la plupart des entreprises soient confrontées à un problème de sécurité des API en 2023 est, malheureusement, beaucoup plus élevée que ce que l'on veut bien admettre.