
Ombres, zombies et l'API grande ouverte de Twilio
Je n'envie pas les auteurs des différentes listes du Top 10 de l'OWASP. Il y a tellement de vulnérabilités dans les applications web et les API, et seulement 10 d'entre elles figurent sur chaque liste (malgré les CWE pour chaque élément). Par exemple, la liste OWASP TOP 10 API 2023 ne contient pas le terme Insuffisance des journaux et de la surveillance.
L'histoire se répète.
Nous commencerons par la « violation de données » de Trello début 2024. Un terminal de l'API Trello autorisait les requêtes non authentifiées à l'aide d'adresses e-mail et répondait avec des noms d'utilisateur, des noms complets et d'autres informations de compte. L'auteur de la menace semble avoir récupéré les données d'environ 15 millions d'utilisateurs en validant les adresses e-mail divulguées lors d'autres violations contre l'API de Trello.
Ce n'est qu'une question de temps avant que les tests de réutilisation des mots de passe permettent aux gens de détourner les comptes Trello, à l'instar de ce qui s'est passé avec Disney+ lors de son lancement en 2019.
Le plus gênant dans cette affaire, c'est que la faille a été découverte pour la première fois, du moins me semble-t-il, lorsque l'auteur de la menace a mis les données en vente. Cela signifie plusieurs choses, mais il y a deux erreurs de configuration constantes dans ce type de violation :
- Absence de limitation de débit efficace
- Manque de journalisation et d’alerte (ce qui aurait alerté l’équipe Trello de la violation en cours !)
Ces conditions ont également été observées lors de la récente violation de Dell, et maintenant, avec la nouvelle violation de Twilio.
La violation de Twilio est un peu plus délicate pour moi que celle de Dell parce qu'elle s'est produite par le biais d'un terminal Authy non protégé. Authy est une application d’authentification à deux facteurs. Le fait qu'il possédait un terminal d'API non authentifié sans aucune autre protection est un énorme problème, étant donné qu'il s'agit avant tout d'un produit de sécurité. Ce qui est encore plus grave, et d'après ce que j'ai lu jusqu'à présent, cela est vrai, c'est que cette violation n'a pas été remarquée avant que les auteurs de la menace ne publient les données.
Les données qui ont fuité jusqu'à présent comprennent des numéros de téléphone, des comptes et des détails sur les appareils, mais pas de noms d'utilisateur ni de mots de passe. Les auteurs de la menace ont suggéré de valider ces numéros de téléphone à l'aide des bases de données Gemini et Nexo sur les violations de cryptomonnaies. D'autres comparaisons avec d'autres bases de données de violations permettront probablement de trouver des mots de passe réutilisés et, en combinaison avec le Smishing, cela conduira probablement à des vols de cryptomonnaies ou à des piratages de comptes (ATO).
La sécurité des API
Le nombre de violations dues à des API non sécurisées est beaucoup trop élevé. La sécurité n'a pas suivi le rythme de la transition vers des applications principalement basées sur des API. Je dirais que la sécurité des API en est au même point que la sécurité des applications web en 2004. La liste OWASP pour la sécurité des API en est à sa deuxième édition. Les équipes de sécurité commencent maintenant à travailler sur la création de cadres de gouvernance des API et sur la création de cadres pour sécuriser leurs API. Cependant, si vous exposez cette API de test à quelque chose sans aucune protection, vous vous retrouvez avec une autre violation de données.
Pourquoi cela se produit-il ? Le nombre d'acteurs motivés qui prennent des notes sur chaque infraction et qui ont accès à l'automatisation est beaucoup plus élevé qu'en 2004. Il existe des forums, des canaux Telegram et d'autres plateformes en ligne où les acteurs de la menace peuvent partager des malwares, des exploits et des informations sur la manière de gagner de l'argent grâce à ces attaques. Grâce à l'automatisation et à l'intelligence artificielle, même les hackers peu qualifiés peuvent mener des attaques d'API avancées.
Alors, qu'aurait pu faire Twilio pour éviter cette violation ?
- Des politiques de gouvernance de l'API qui garantissent que tous ces terminaux sont connus et sécurisés
- Un contrôle d’accès pour tous les terminaux
- Une limitation efficace du débit capable d’identifier et de ralentir/bloquer les attaques automatisées faibles et lentes
- Une alerte améliorée pour les avertir d’une activité anormale
En ce qui concerne la sécurité des API, j’adore utiliser l’image suivante pour illustrer le problème :

Image de l'iceberg API illustrant la présence d'API connues, d'API fantômes et d'API zombies
Les API connues sont représentées par la partie visible de l'iceberg, qui est plus susceptible d'être sécurisée. Mais ensuite vous avez les API inconnues :
- API fantômes censées fonctionner mais inconnues de l'équipe de sécurité et non sécurisées.
- Les API héritées/zombies qui ne devraient pas fonctionner, comme une ancienne version d'un terminal d'API, mais qui sont toujours accessibles, qui répondent et qui ne sont pas sécurisées.
Vous pouvez compter sur Barracuda
L'article d'aujourd'hui est sponsorisé par.... Barracuda Application Protection. Barracuda Application Protection est une plateforme complète de protection des applications Web et protection des API qui est facile à utiliser et à gérer. Dans ce cas, elle offre les protections pertinentes suivantes :
- API Discovery, basé sur l'apprentissage automatique, utilise les données de trafic en temps réel pour identifier les points de terminaison de l'API (Shadow ou autre), puis active automatiquement la protection des points de terminaison d'API découverts.
- Limitation avancée du débit et Tarpits qui peuvent fonctionner à la fois sur un paramètre par IP et par appareil. Le paramètre par appareil est très utile lorsque vos clients se trouvent derrière un NAT et utilisent plusieurs appareils.
- Application des autorisations jusqu’au niveau des paramètres, avec des intégrations avec les certificats JWT et clients. Cela inclut la possibilité de faire appliquer le VBAAC et l'ABAC.
- Protection contre le piratage de comptes basée sur l'apprentissage automatique avec plusieurs niveaux de protection, notamment une protection contre le bourrage d'informations d'identification (pour les comptes piratés connus) et la protection des comptes privilégiés (pour les comptes récemment piratés).
- Protection avancée contre les bots, basée sur l'apprentissage automatique, qui identifie et bloque les bots les plus avancés, y compris les « scrapers ».
- Journalisation détaillée et alertes, y compris des intégrations avec des solutions SIEM/SOAR/XDR comme Azure Sentinel, Splunk, SumoLogic, Barracuda XDR, et bien d'autres.
Barracuda propose une protection complète des applications et la plateforme de cybersécurité la plus complète du secteur, qui défend tous les vecteurs d'attaque grâce à une veille sur les menaces et à une réponse aux incidents en temps réel. Consultez notre site Web pour découvrir comment nous protégeons les e-mails, les réseaux, les applications et les données.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter