
Top 10 des risques de sécurité des API de l'OWASP : utilisation non sécurisée des API
En dixième position du Top 10 des risques liés à la sécurité des API, publié par l'Open Worldwide Application Security Project® (OWASP) en 2023, on retrouve l'utilisation non sécurisée des API.
Lorsque vous travaillez avec des entreprises connues et des API tierces, le niveau de confiance est généralement plus élevé qu'avec les utilisateurs individuels. Cependant, si quelqu'un infiltre le réseau du tiers, cette confiance peut être brisée, exposant ainsi vos réseaux et permettant une utilisation dangereuse des API.
Vecteurs d’attaque
Ce type d'attaque a entraîné des problèmes importants aux entreprises qui en ont été victimes. En identifiant et en compromettant d'autres API ou services avec lesquels vos API interagissent, les pirates peuvent accéder à vos systèmes. Ces attaques peuvent être un peu difficiles à détecter immédiatement, car les trafics enregistrés vers un tiers passent pour des flux autorisés et authentifiés. Ainsi, même si vous avez mis en place des contrôles de sécurité et des alertes robustes, il se peut que vous ne soyez pas averti(e), à moins que les pirates tentent d'accéder à des zones non autorisées.
Failles de sécurité
L'utilisation non sécurisée des API est un vecteur d'attaque assez courant, en particulier lorsque les développeurs ne vérifient pas l'interaction des points de terminaison avec les API externes ou tierces. Ces API peuvent être soumises à des exigences de sécurité moins strictes, notamment dans les secteurs suivants :
- Sécurité du transport
- Authentification
- Autorisation
- Validation des entrées
- Nettoyage
Impacts sur les entreprises
L'impact de ce type de risque de sécurité varie en fonction de l'entreprise et du secteur, mais il peut être significatif. Un système compromis peut être infecté par des logiciels malveillants et des ransomwares. L'exfiltration de données sensibles ou propriétaires peut causer des dommages importants. L'utilisation non sécurisée des API peut être à l'origine d'attaques par déni de service.
Utilisation non sécurisée des API
Il est aussi simple d'utiliser des API non sécurisées qu'exploiter pour les pirates les vulnérabilités d'autres applications et réseaux, puis d'utiliser les API pour s'introduire dans vos systèmes par une porte dérobée. Les acteurs malveillants peuvent utiliser le tiers pour stocker des charges utiles malveillantes qui se font passer pour des informations légitimes. Lorsqu'une API introduit ces informations dans son système, la charge utile est exécutée et envoie des données à un serveur contrôlé par le hacker.
Les pirates peuvent également trouver un moyen de compromettre les API tierces et de détecter des modèles dans les réponses aux demandes. Grâce à ces modèles, ils peuvent rediriger les demandes de données vers le pirate plutôt que vers le tiers.
Exemples concrets
Parmi les récents exemples d'utilisation dangereuse des API, on peut citer la fameuse vulnérabilité Log4Shell, à laquelle la base de données gouvernementale National Vulnerability Database (NVD) a attribué une note de 10 sur 10 dans son évaluation de la menace. Apache Log4j est largement utilisé dans le code et présente un accès assez permissif à partir d'une entrée contrôlée par l'utilisateur via des API. Lorsqu'un service utilisait Log4j dans sa base de code pour enregistrer les demandes ou les réponses API entrantes, cette attaque pouvait exécuter du code arbitraire sur le serveur hébergeant l'application.
Des chercheurs ont découvert que l'API du fournisseur de paiement Venmo pouvait être utilisée de manière abusive pour récupérer des données sur les transactions et d'autres informations sensibles. L'API a été conçue pour afficher un flux de transactions sur la page d'accueil de l'application, mais elle est restée ouverte aux demandes authentifiées, selon les chercheurs qui ont pu récupérer les données de plus de 200 millions de transactions privées.
Un outil de suivi de localisation disponible en ligne était destiné à des fins de démonstration, mais il a été exploité par des utilisateurs qui pouvaient facilement contourner les exigences d'authentification. Ainsi, les utilisateurs ont pu ajouter des numéros de téléphone mobile et suivre la localisation des utilisateurs jusqu'à ce que la démo soit mise hors ligne.
Détection de l'utilisation non sécurisée des API
La détection d'une utilisation non sécurisée des API nécessite des approches similaires à celles d'autres exploitations d'API, notamment une surveillance active des schémas d'utilisation à la recherche de pics inhabituels dans les demandes d'API par les utilisateurs, d'une répartition inégale du trafic ou de demandes d'API pour une utilisation non publique.
Les analyses d'API peuvent aider à découvrir des API ou des points de terminaison non protégés pour les limiter. Les entreprises souhaiteront peut-être déployer des tests d'intrusion pour détecter les vulnérabilités et le profilage du comportement des utilisateurs afin de détecter les anomalies à partir de l'analyse de référence.
Les équipes de sécurité doivent régulièrement examiner les journaux d'accès et d'erreurs des passerelles API afin de détecter toute activité inhabituelle, telle que des requêtes provenant d'IP non authentifiées ou des taux d'erreur plus élevés. Des alarmes doivent être mises en place pour détecter les accès non sécurisés à l'API, notamment les demandes qui dépassent les limites, qui indiquent l'activité d'un bot ou qui entraînent des échecs répétés des jetons.
Les charges utiles doivent également être inspectées pour détecter les schémas d'attaque courants, tels que les fichiers malveillants, l'injection de code ou la falsification de paramètres.
Prévention des vulnérabilités liées à l'utilisation non sécurisée des API
Les développeurs doivent mettre en place des protocoles de sécurité stricts pour l'autorisation et l'authentification tout en accordant une attention particulière aux API tierces. L'OWASP recommande les actions suivantes :
- Interagir avec d'autres API sur des canaux chiffrés
- Valider et nettoyer les données provenant d'autres API avant de les traiter ou de les transmettre à des composants en aval
- Éviter les configurations d'API qui suivent aveuglément les redirections
- Appliquer des politiques globales de limitation de débit et limiter les ressources disponibles pour traiter les demandes de tiers
- Mettre en place des délais d'expiration pour les interactions
Lors de l'évaluation des prestataires de services, il est important d'évaluer leur stratégie en matière de sécurité des API et de s'assurer que toutes les interactions se déroulent sur un canal de communication sécurisé, tel que TLS. Les développeurs doivent également maintenir des listes d'autorisation strictes pour déterminer où les API intégrées peuvent rediriger le trafic.
Les organisations peuvent également renforcer leur protection en chiffrant les données sensibles à risque et en exigeant une certification de validation pour prévenir les attaques dites de « l'homme du milieu ». La base de toute approche de sécurité consiste à déployer une approche multicouche pour surveiller l'authentification et la vérification avant l'accès aux données.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter