
Top 10 de l'OWASP en matière de risques de sécurité liés aux API : accès illimité aux flux métier sensibles
L'accès illimité aux flux métier sensibles figure en sixième position du Top 10 des risques de sécurité liés aux API de l'Open Worldwide Application Security Project® (OWASP) pour 2023.
Un accès illimité aux flux métier sensibles se produit lorsque les points de terminaison API ne limitent pas les fonctionnalités en cas d'utilisation excessive, ce qui revient à l'exploitation de lacunes de la logique métier.
Vecteurs d’attaque
Des vecteurs d'attaque types sont créés lorsque les acteurs malveillants apprennent comment les API gèrent les flux métier. Grâce à l'automatisation, l'API exploite cette faiblesse pour nuire à l'entreprise. Malheureusement, l’accès illimité aux flux métier sensibles est assez facile à exploiter.
Failles de sécurité
Les failles de sécurité sont courantes, surtout lorsque les développeurs n'ont pas anticipé l'impact d'une demande excessive. Les développeurs qui ne disposent pas d’une vue globale de l’API pour prendre en charge les besoins de l’entreprise et analyser les vecteurs d’attaque potentiels sont particulièrement vulnérables.
Les attaquants identifient quels points de terminaison sont impliqués dans les flux de travail et la façon dont ils fonctionnent (ou pas) ensemble pour trouver des failles de sécurité.
Impacts sur les entreprises
Les entreprises peuvent être affectées de plusieurs manières. Ainsi, les utilisateurs légitimes d'un système peuvent être empêchés de l'utiliser ou d'effectuer un achat. Par exemple, un pirate peut réserver tous les créneaux horaires disponibles, empêcher tout autre utilisateur d'accéder au système, ou acheter tous les billets pour un spectacle et les revendre à un prix plus élevé.
L'OWASP évalue l'impact de telles pratiques sur les entreprises comme étant modéré, mais pour certaines d'entre elles, il peut être significatif.
Fonctionnement de l'accès illimité aux flux métier sensibles
Les pirates sondent la logique métier derrière les API pour trouver des flux sensibles, puis automatisent les appels pour exploiter la faille. Sans limiter le nombre d'appels autorisés à des flux métier sensibles et sans instaurer des règles d'autorisation pour empêcher les utilisateurs d'utiliser trop de ressources sur une courte période, les attaques sont difficiles à détecter. Chaque demande individuelle peut être une demande légitime, autorisée par le système. Ce n'est que lorsque les demandes sont effectuées en grand nombre que les problèmes commencent. Par conséquent, il peut être difficile de détecter les requêtes API malveillantes sans examiner les requêtes API dans leur ensemble.
L'accès illimité aux flux d'entreprise sensibles peut entraîner :
- L'épuisement des ressources du système et la dégradation des performances en raison de l'automatisation
- Une surcharge de l'infrastructure de l'API par des demandes conduisant à un déni de service (DoS)
- L'exploitation du système, permettant la mise en place d'actions non désirées
- L'accès non autorisé à des données sensibles ou à des comptes utilisateurs
Exemples concrets
L'OWASP donne plusieurs exemples relatifs à la façon dont les pirates peuvent exploiter la logique métier, notamment :
- Utilisation d'une application de covoiturage qui offre des crédits de parrainage. Une attaque écrit un script pour automatiser le processus d'inscription et ajoute des utilisateurs fictifs, ce qui ajoute des crédits au compte du pirate.
- Un pirate réserve 90 % des sièges d'une compagnie aérienne qui ne facture aucuns frais d'annulation, puis annule toutes les réservations juste avant le vol.
- Utilisation abusive de la loi de l'offre et de la demande. Une entreprise propose un nombre limité d'articles à vendre dans un contexte de forte demande. Grâce à l'automatisation, les pirates achètent la majorité des articles, en interdisant l'accès à d'autres, puis les revendent en faisant de juteux bénéfices.
La Federal Trade Commission (FTC) a infligé une amende de 3,7 millions de dollars à trois personnes pour l'utilisation de bots automatisés destinés à l'achat de milliers de billets de concert et de spectacle , puis à leur revente. Bien que le « scalping numérique » soit illégal en vertu de la loi BOTS aux États-Unis, cette pratique reste assez courante. De nombreux fans essayant d’acheter des billets pour la dernière tournée de Taylor Swift ont été contraints d’acheter des billets sur le marché de la revente à des prix gonflés en raison de ce que Ticketmaster a qualifié d’attaque de bot, qui a fait planter son site et acheté un grand volume de billets.
Même la société de cybersécurité Symantec a été victime d'une violation consistant en un accès illimité à des flux métier sensibles. Les pirates ont exploité le contrôle d’accès dans la logique métier d’un revendeur pour divulguer des clés privées, ce qui a entraîné la révocation de plus de 20 000 certificats SSL.
Détection de l'accès illimité aux vulnérabilités des flux métier sensibles
Les défauts logiques sont souvent invisibles si vous ne les cherchez pas spécifiquement. Le trafic légitime doit être autorisé, mais les pirates trouvent des moyens non anticipés d'utiliser les API.
Une surveillance constante des accès API avec des indicateurs d'utilisation suspecte peut aider à détecter un nombre excessif d'appels API. Par exemple, le signalement de comportements non attribuables à des humains, tels que des achats répétés, des actions accomplies en quelques secondes ou la consommation d'un grand nombre de ressources sur une courte période.
Interdiction de l'accès illimité aux vulnérabilités des flux métier sensibles
Les failles logiques des flux métier se produisent généralement parce que les développeurs pensent à la façon dont les utilisateurs autorisés interagiront avec une application, sans tenir compte des acteurs malveillants. Lorsqu'une personne dévie du comportement attendu, l'application ne l'empêche pas de le faire. De telles failles sont courantes dans les systèmes complexes et ne sont souvent découvertes qu'après coup.
Pour compliquer les choses, certains composants de code peuvent relever d'un domaine hautement spécialisé, ou le code peut avoir été développé au fil du temps par différentes équipes de programmeurs. Une personne qui travaille dans un domaine particulier d'une application peut se tromper sur la manière dont fonctionne un autre domaine.
À ce titre, il est nécessaire d'adopter une approche globale afin d'empêcher l'accès illimité à des flux métier sensibles. La prévention nécessite une vérification régulière du code, avec une attention particulière portée aux contrôles d'accès des API et aux limites en cas d'utilisation excessive. Les développeurs doivent penser comme un pirate et aux façons dont ils pourraient exploiter les systèmes en créant un trop grand volume de ressources au cours d'une période donnée.
La protection des flux métier sensibles implique d'effectuer des tests pour tous les scénarios. Cependant, d'autres stratégies sont possibles :
- Demande de réauthentification pour chaque appel API
- Utilisation de l'authentification multifacteur (MFA), de captchas ou de l'identification biométrique
- Blocage des adresses IP associées aux proxys et aux nœuds de sortie Tor
- Refus d'accès à des appareils clients inattendus à l'aide de la prise d'empreintes digitales
- Limitation ou plafonnement des activités répétées pour les flux commerciaux sensibles
Enfin, il faut sécuriser et limiter l'accès aux API par les machines, notamment les API B2B, qui ne mettent que rarement en place une protection efficace.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter