Les attaques par APIs : 95% des entreprises sont touchées !

Au fil des évolutions technologiques, l'exposition aux risques est toujours plus étendue. Que l'on pense à l'extension du télétravail, les migrations vers le cloud ou les nouvelles approches du développement en containers, chaque évolution amène son cortège de problèmes liés à des configurations erronées.

95% des entreprises ont connu une attaque via une API en 2021. Ce chiffre, issu de notre étude semestrielle est d’autant plus inquiétant que le nombre d’attaques augmente de 681% pour une hausse de 321% du volume globale des appels des APIs. Face à l’augmentation de cette menace, de nombreuses entreprises peinent à déployer une stratégie de sécurité des APIs. 

Vous souvenez-vous des attaques lancées contre Microsoft Exchange Server par Hafnium, piloté par la Chine, ou encore de Experian avec le vol de score de crédits et des informations de 700 millions de profils sur Linkedin, du détournement de l’automatisation des machines de John Deer ? La liste d’attaques par API est sans fin. De fait, ce type de piratage est une constante dans l’univers du hacking. Conçues pour partager les données et des services, ces interfaces et leurs vulnérabilités sont une proie idéale pour les pirates — à titre d’exemple, nous détectons des vulnérabilités dans 80 % des tests que nous effectuons. Que ce soit les attaques par connexion, par déni de service ou autres, l’API est une porte d’entrée parfaite pour léser une entreprise. Les objectifs de ces détournements sont nombreux : vol de données, accès aux ressources, paralysie du S.I, vol de comptes, etc. 

Au fil des évolutions technologiques, l’exposition aux risques est toujours plus étendue. Que l’on pense à l’extension du télétravail, les migrations vers le cloud ou encore les nouvelles approches du développement d’applications en containers, chaque évolution amène son cortège de nouveaux problèmes liés à des configurations erronées. L’extension de l’architecture micro-service fondée sur des Apis accroît elle aussi le risque et nécessite de nouvelles approches de la sécurité.

APIs : un risque sous-estimé par la majorité des entreprises

De fait, les résultats de notre dernière étude, « State of API Security », réalisée auprès de 250 entreprises révèlent encore une sous-évaluation de ces risques ou un défaut de protection pro-active, fautes de moyens, de compétences, ou de stratégie. 

Rappelons-le : 95 % des entreprises ont connu une attaque au cours des douze derniers mois. Face à ces risques, plus d’un tiers des entreprises répondantes déclarent n’avoir aucune stratégie de sécurité des APIs déployée, 27 % une stratégie basique, 29 % intermédiaire avec quelques tests et 11 % seulement ont mis en place des tests récurrents et une protections dédiée aux APIs. 

Cette faiblesse dans la mise en œuvre de mesures sécuritaire se justifie par un manque d’expertise pour 22 % des répondants, des contraintes budgétaires pour 20 % et enfin le temps et les ressources humaines suffisantes pour 13 % chacun. À l’identique, sur la stratégie de développement et de gestion des APIs, 22 % des entreprises relèvent que leur programme d’API souffrait d’un sous-investissement en préproduction et 18 % qu’ils n’abordaient pas de la bonne manière la sécurité d’exécution et de production. Dans ce cadre, la sécurisation lors du développement est souvent en retrait et laissé à la charge de l’exécution, autrement dit a posteriori, avec ce paradoxe que 85 % des répondants déplorent un manque d’outils efficaces pour stopper les attaques. 

Contrer les attaques par API : comment faire ? 

La majorité des répondants sont conscients que le statu quo n’est pas tenable face aux risques, mais manquent de pistes pour mettre en œuvre une stratégie efficace. Quand la question leur est posée sur la fonctionnalité la plus importante d’une plate-forme de sécurité, chacun cite la capacité à stopper des attaques. Une réponse logique. Le plus grand risque est lié à une attaque en cours avec pour objectif l’exfiltration de données ou la prise de contrôle de comptes. Pour contrer ce risque, les entreprises se repose en partie sur leur WAF (Web application Firewall). Mais l’architecture des WAF s’avère trop restreinte pour bloquer les attaques sur les APIs. En effet, fondée sur un jeu de règles portant sur les seules attaques connues et incapables de corréler le trafic dans le temps, ces éléments mettent la détection d’intrusion furtive hors de leur portée. Dans les faits, déployer une vraie politique de sécurité d’API demande une méthode bien plus amont. 

Cette méthode repose sur une première évaluation des risques. Il est nécessaire de développer une approche couvrant toute l’ensemble du cycle de vie de l’API en déployant des tests, des analyses et fuzzing pendant la phase de développement. Pour ce faire, il faut utiliser des plateformes capables de lancer des attaques d’APIs dans des environnements de test pour évaluer les vulnérabilités. 

Exploiter le big data et le machine learning dans le cloud

Pour assurer ces phases de test, il faut utiliser un volume important de données de trafic API pour identifier le contexte propice aux attaques APIs. Les attaques se déroulent sur des jours, des semaines ou des mois. De fait, les entreprises ont besoin de traitement big data à l’échelle du cloud pour avoir une portée suffisante afin de détecter les attaques par API. Une détection qui se fera à l’aide de l’intelligence artificielle pour discerner flux normal du flux d’attaque. 

Enfin, il est important d’exécuter les APIs pour exposer et détecter leurs vulnérabilités plutôt que de spéculer sur une sécurisation par les développeurs, et ce même si nous notons dans l’étude une augmentation des échanges entre les équipes de sécurité et les développeurs sur la sécurisation des APIs.

Face à l’inflation des attaques des APIs, et au vu des résultats de notre étude et recherche, il est essentiel pour les entreprises de prendre au sérieux le risque lié à ces interfaces. À l’heure où la cybersécurité est un enjeu crucial pour les entreprises et les états, les APIs sont le principal point faible des systèmes d’information. Notre étude démontre que la prise de conscience est encore bien en deçà des risques réels encourus par les entreprises. Le statu quo n’est pas tenable.