
Top 10 des risques de sécurité des API de l'OWASP : consommation illimitée des ressources
En 4e position sur la liste préliminaire des 10 principaux risques de sécurité des API de l'Open Worldwide Application Security Project® (OWASP) se trouve la consommation illimitée des ressources.
Le plus souvent, la consommation illimitée des ressources permet aux pirates de surcharger les points de terminaison des API avec des requêtes pour refuser le service aux utilisateurs.
Vecteurs d’attaque
L'OWASP a attribué un score d'exploitabilité de deux à la consommation illimitée des ressources, ce qui signifie que cette faille est facilement exploitable par les pirates.
Les pirates utilisent de simples requêtes API, avec un seul ordinateur ou le cloud computing pour exécuter de multiples requêtes en même temps. Lorsque les API ne limitent pas les interactions avec les clients ou la consommation des ressources, elles peuvent finir par être surchargées, ce qui peut entraîner des expirations de sessions, le dépassement de la mémoire maximum affectée ou le blocage de la bande passante.
Failles de sécurité
L'OWASP donne la note de 3 à la consommation illimitée des ressources, sur son échelle de prévalence et de détectabilité, ce qui montre que cette vulnérabilité est bien répandue et peut être facilement détectée. Pourtant, on trouve encore beaucoup d'API qui ne limitent pas les interactions ni la consommation. Par exemple, un pirate peut modifier les points de terminaison de l'API pour qu'elle renvoie des quantités massives de données en une seule interaction.
Bien que la plupart des interactions soient consignées, un manque de surveillance et d'alerte peut permettre aux activités malveillantes de passer inaperçues.
Impacts sur les entreprises
Les impacts pour l'entreprise incluent le déni de service (DoS) dû à la pénurie de ressources. Cela peut dégrader considérablement les performances lorsque les points de terminaison de l'API sont submergés par les requêtes. Les attaquants peuvent rapidement épuiser les ressources de l’API, telles que le CPU, le stockage et la mémoire, provoquant la défaillance des systèmes.
Les impacts pour l'entreprise incluent :
- Indisponibilité des API pour traiter les requêtes légitimes
- Attaques par force brute et attaques par injection de commandes à grande échelle
- Vol de jetons d'accès et accès non autorisé aux données sensibles
- Exfiltration de données
- Frais supplémentaires d'accès pour la consommation de l'API
Ces attaques sont souvent utilisées comme couvertures pour masquer d'autres activités malveillantes. Pendant que les équipes de sécurité traitent des attaques DoS et tentent de rétablir le service pour les utilisateurs, par exemple, d'autres attaques peuvent être en cours.
Comment fonctionne la consommation illimitée des ressources
Lorsque les logiciels ne limitent pas la quantité de ressources pouvant être demandées par les utilisateurs, les pirates peuvent exploiter cette vulnérabilité pour submerger les systèmes. Ces attaques ont pris de l'ampleur depuis quelques années et continuent de croître, en témoigne leur augmentation de 47 % au premier trimestre 2023 par rapport à la même période en 2022.
Les attaquants utilisent également des botnets et des réseaux d'appareils compromis pour inonder les points de terminaison des API de requêtes, entraînant un blocage ou un plantage des systèmes, dans des attaques de déni de service distribué (DDoS).
Exemples concrets
Une faille chez T-Mobile a divulgué les données de plus de 30 millions de clients. Les données de près d'un million de clients ont été exfiltrées quotidiennement par le biais d'un point de terminaison d'API pendant un mois, sans déclencher de limitation sur le débit ni d'anomalie comportementale basée sur l'historique. Bien que cette attaque n'ait émis aucune alerte sur la dégradation des performances, les attaquants ont pu siphonner des quantités massives de données sans être détectés pendant un certain temps.
L'OWASP détaille également plusieurs scénarios d'attaque, tels que l'activation de la carte de crédit, dans laquelle les utilisateurs doivent fournir les quatre derniers chiffres d'un compte à activer. Lorsqu'une API ne limite pas le nombre de tentatives possibles, les tactiques de force brute peuvent être déployées avec succès.
Autre exemple : des attaquants qui chargent des images volumineuses en envoyant une requête POST à une API qui crée plusieurs vignettes de tailles différentes. En raison de la grande taille de l'image, la mémoire disponible serait affectée et l'API serait rapidement indisponible. Le même scénario peut être appliqué aux API qui ne limitent pas la taille des fichiers stockés dans le stockage d'objets cloud. Alors que de nouvelles requêtes envoient des fichiers volumineux sans déclencher d'alerte sur la consommation, les frais mensuels peuvent augmenter de manière considérable.
Détecter les vulnérabilités de consommation illimitée des ressources
Le premier signe d'une vulnérabilité de consommation illimitée des ressources survient souvent lorsqu'une attaque DDoS est lancée sans prévenir. Les développeurs doivent s'assurer de surveiller et d'alerter sur les signes précurseurs tels que :
- Les adresses IP qui envoient plusieurs requêtes de connexion en peu de temps
- Les sources de trafic qui continuent d'interroger des ensembles de données similaires de manière totalement différente du comportement d'un utilisateur lambda
- Des retards de performance inattendus ou l'expiration de la durée de vie (TTL) des requêtes ping
- Des demandes d’API inhabituelles sans explication évidente
La simulation proactive des attaques DoS pour rechercher les vulnérabilités et le déploiement de restrictions sur le nombre de ressources pouvant être affectées à une demande d’API peuvent également aider à détecter et à prévenir de telles attaques.
Prévenir les vulnérabilités de consommation illimitée des ressources
Pour prévenir ces vulnérabilités, il faut limiter la mémoire, le CPU, les redémarrages, les descripteurs de fichiers et d'autres requêtes à un nombre raisonnable. Par exemple, en définissant et en appliquant une taille de données maximale pour toutes les charges utiles entrantes, les développeurs peuvent limiter la consommation des ressources.
Les firewalls d’applications Web doivent être configurés pour protéger chaque point de terminaison d’API afin de détecter et de bloquer le trafic associé aux attaques DoS et DDoS, notamment :
Contrôle du débit
Limiter la fréquence à laquelle les clients peuvent interagir avec les API dans un délai défini en fonction des besoins métier.
Limitation du débit
Limiter le nombre de fois qu’un utilisateur d’API peut exécuter des opérations sans exiger de validation supplémentaire.
Validation côté serveur
Contrôler plus étroitement le nombre d'enregistrements qui peuvent être renvoyés dans la réponse de l'API.
Configurer des limites de requêtes
Appliquer des limites et des alertes aux fournisseurs de services et aux intégrations d'API afin de signaler les requêtes excessives.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter