
Top 10 de l'OWASP relatif aux risques de sécurité des API : la défaillance de l'authentification
La défaillance de l'authentification figure en deuxième position sur la liste des 10 principaux risques de sécurité des API établie par l'Open Worldwide Application Security Project® (OWASP).
La défaillance de l'authentification permet aux pirates de contourner les méthodes d'authentification en exploitant les vulnérabilités des outils d'authentification ou de gestion des sessions.
Vecteurs d’attaque
Comme les méthodes d'authentification sont accessibles à toute personne se connectant à un serveur, celui-ci constitue une cible facile pour les pirates. Des mots de passe faibles ou faciles à deviner et des attaques par force brute peuvent faciliter l'accès, de même que des attaques par fixation de session, des jetons/cookies de session de mauvaise qualité ou le défaut d'invalidation des sessions après la déconnexion de l'utilisateur.
Comme l'indique l'OWASP, l'authentification des API est complexe. Les ingénieurs logiciels commettent souvent des erreurs dans la mise en œuvre des outils et des limites d'authentification.
L'OWASP a attribué un score d'exploitabilité de trois à la défaillance de l'authentification, ce qui signifie qu'elle est relativement exploitable par les hackers.
Failles de sécurité
Deux problèmes majeurs se posent lorsqu'il s'agit de la défaillance de l'authentification liée à la sécurité des API. Il y a souvent un manque de protection concernant l'authentification au niveau des points de terminaison des API. Ils doivent être traités différemment des points de terminaison classiques, avec des niveaux de protection supplémentaires. Deuxièmement, il est fréquent que le mauvais dispositif soit utilisé compte tenu des différents vecteurs d'attaque. Par exemple, les dispositifs d'authentification conçus pour les applications web peuvent ne pas convenir aux clients utilisant l'internet des objets (IoT).
L'OWASP attribue à la défaillance de l'authentification un score de deux sur son échelle de prévalence et de détectabilité, ce qui dénote que la vulnérabilité est fréquente et qu'elle peut être détectée moyennant un effort modéré.
Impacts sur les entreprises
Bien qu'il ne s'agisse pas de la vulnérabilité la plus grave d'un point de vue technique, tout accès non autorisé peut entraîner des risques majeurs pour les entreprises.
Les violations peuvent causer de graves préjudices, notamment :
- Un accès non autorisé aux données sensibles
- Le piratage de compte
- La manipulation de données
- Usurpation d'identité
Une fois qu'un pirate a accès à un compte utilisateur, il peut également exploiter d'autres vulnérabilités potentielles, telles que l'élévation des privilèges, ou se déplacer latéralement au sein d'un réseau. Ces attaques peuvent également poser des problèmes de conformité réglementaire en ce qui concerne la protection des données, telles que le RGPD, CCPA, HIPAA ou PCI-DSS.
Fonctionnement des attaques par défaillance de l'authentification
Les pirates sondent les systèmes à la recherche de vulnérabilités et déploient toute une série de stratégies pour y accéder. L'une des méthodes les plus courantes est la force brute, qui consiste à utiliser des mots de passe générés par ordinateur pour deviner les identifiants des utilisateurs à grande échelle. Malgré des années de mises en garde, de nombreux utilisateurs utilisent encore des mots de passe faibles ou des systèmes qui conservent des mots de passe non chiffrés.
D’autres attaques incluent :
- Détournement de session : les pirates interceptent les jetons/cookies de session utilisateur.
- Fixation de session : les pirates fixent le jeton de session ou le cookie d'un utilisateur à une valeur connue et forcent ensuite l'utilisateur à se connecter en utilisant ce jeton ou ce cookie, ce qui permet aux pirates de détourner la session.
- Bourrage de mots de passe (passwords spraying) : les pirates « bourrent » les mots de passe fréquents sur les comptes utilisateur pour identifier un vecteur de menace.
- Credential stuffing : les pirates utilisent des mots de passe volés à partir d'une application pour obtenir un accès non autorisé aux systèmes où les utilisateurs ont réutilisé les mêmes identifiants.
- Falsification d'URL : les pirates manipulent des URL pour contourner l'authentification, exploitant le formatage commun des URL.
Exemples concrets
De telles attaques par défaillance de l'authentification ont été utilisées dans une série d'incidents très médiatisés, comme celui qui a visé la chaîne hôtelière Marriott. Les identifiants de connexion volés de deux employés ont été utilisés pour accéder aux informations de plus de 5,2 millions de clients.
Des attaques similaires en 2023 ont été menées contre Yum Brands (Taco Bell, KFC), Chick-fil-A, Norton LifeLock, T-Mobile et Mailchimp.
Détecter les vulnérabilités liées à la défaillance de l'authentification
La détection des vulnérabilités liées à la défaillance de l'authentification nécessite un audit de sécurité complet des dispositifs d'authentification, y compris l'authentification de l'utilisateur, la gestion des mots de passe, la gestion des sessions et les contrôles d'accès.
Les scanners de vulnérabilité automatisés peuvent aider à identifier les menaces courantes à la sécurité des API. Des tests manuels peuvent également être effectués pour identifier les vulnérabilités liées à la défaillance de l'authentification.
Prévenir les vulnérabilités liées à la défaillance de l'authentification
Les ingénieurs logiciels et les équipes de sécurité peuvent contribuer à prévenir les vulnérabilités liées à la défaillance de l'authentification en déployant plusieurs stratégies simples. Bien que chaque étape ne permette pas à elle seule de prévenir les attaques visant les chemins d'accès aux API, une approche par niveaux permet de limiter les risques.
Utiliser l'authentification multifactorielle
Les mots de passe à usage unique (OTP) envoyés par e-mail ou par SMS aux utilisateurs, les codes d'authentification multifactorielle (MFA) et d'autres mesures de validation complémentaires peuvent contribuer à prévenir les attaques par force brute et le credential stuffing.
Imposer des mots de passe forts
Obliger les utilisateurs à utiliser des mots de passe plus complexes en combinant des lettres majuscules et minuscules, des symboles alphanumériques et des caractères spéciaux. Les administrateurs doivent également suivre les directives définies dans le document NIST 800-63B concernant les identifiants.
Appliquer le contrôle du débit
Les administrateurs de système doivent limiter le nombre de tentatives de connexion infructueuses afin d'éviter les attaques par force brute ou le credential stuffing. Le contrôle du débit peut également servir de moyen de dissuasion contre les attaques par déni de service. Un système d'alerte automatisé devrait également être mis en place en cas de tentatives de connexion infructueuses répétées, afin de mettre en évidence les menaces potentielles en vue d'une analyse plus approfondie.
Veiller à ce que les formulaires de connexion envoient des réponses cohérentes
Les attaques par énumération de comptes peuvent se produire lorsque les pirates envoient plusieurs requêtes en utilisant différents noms d'utilisateur et mots de passe. Si le système répond par des messages d'erreur différents pour les combinaisons valides et non valides, les pirates peuvent déterminer quels utilisateurs figurent dans le système, ce qui déclenche des attaques par force brute ou par phishing.
Générer des identifiants de session aléatoires
La génération d'identifiants de session aléatoires une fois que les utilisateurs se connectent peut compliquer la tâche des pirates. Les identifiants aléatoires garantissent que chaque session a un identifiant unique et n'est valable que pour une durée limitée. Tous les identifiants de session doivent expirer lors de la déconnexion. Cela permet de limiter les attaques par fixation de session en supprimant les jetons faibles ou trop prévisibles.
Utiliser des passerelles API ou un proxy inverse
Les microservices qui permettent l'accès aux API sans authentification additionnelle peuvent accroître considérablement la surface d'attaque. L'utilisation d'une passerelle API ou d'un proxy inverse crée un point d'accès unique pour toutes les demandes entrantes, imposant des politiques d'authentification et d'autorisation pour toutes les demandes API.
Un plan de sécurité API complet
Dans le cadre d'un plan de sécurité complet, les équipes informatiques devraient également déployer le chiffrement de bout en bout pour toutes les données en transit, la protection des points d'accès aux API, le chiffrement des mots de passe et des tests réguliers pour détecter les vulnérabilités.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter