Sécuriser les API : technologies et bonnes pratiques

Par :
Bernard Harguindeguy

lun, 06/07/2020 - 16:51

Les API, ces interfaces logicielles qui permettent de connecter entre elles différentes applications, connaissent aujourd’hui un véritable engouement auprès des entreprises. Développées à un rythme effréné, elles facilitent l’intégration et la connexion entre eux d’individus, de sites web, de systèmes, de services, de produits, de données, d’objets ou de traitements logiciels. Et permettent ainsi aux entreprises, grandes ou petites, d’innover, d’accélérer la mise sur le marché de nouveaux produits et services, de créer de nouvelles sources de revenus, d’améliorer l’expérience client ou le partage de données et autres ressources.

L’écosystème de ces API, que l’on appelle l’économie des API, est déjà évaluée selon plusieurs sources à plusieurs milliers de milliards de $. Un autre rapport révèle même que plus d’un tiers des entreprises génèrent au moins 25% de leur chiffre d’affaires grâce à leurs API.

Les API, un nouvel eldorado pour les cyber criminels

Mais dans le même temps, elles sont devenues des cibles de choix pour les cyber criminels.

D’abord parce qu’elles sont de nouveaux points d’entrée vers les données les plus sensibles des entreprises, et les attaquer permet à des acteurs malveillants de voler et manipuler des informations critiques, qui peuvent être d’importantes sources de revenus.

Ensuite parce qu’elles sont étonnamment simples à compromettre. Il suffit en effet de se procurer les identifiants d’un compte utilisateur légitime, ou d’en créer un avec une banque, une compagnie d’assurances, etc., pour y accéder puis en prendre le contrôle. Concrètement, dès qu’il a eu accès à une API, un cyber attaquant possédant les connaissances techniques adéquates peut suivre et analyser son fonctionnement, identifier ses vulnérabilités et les exploiter pour accéder à d’autres comptes utilisateur.

Enfin, plus grave encore, parce que les attaques ciblant les API ne peuvent être identifiées par les solutions de sécurité généralement mises en place pour traiter les menaces au niveau applicatif, et prennent souvent de longs mois avant d’être détectées, quand elles le sont, car dans la plupart des cas elles ne le sont pas, et c’est le cyber attaquant qui par erreur ou volontairement révèle l’attaque.

Pour ces raisons, les API s’apparentent désormais à un nouvel eldorado pour les ‘hackers’, comme le confirme une récente étude du cabinet Gartner, qui prévoit qu’elles deviendront la cible préférée des cyber attaques d’ici 2022.

Deux mesures clés

Pour relever le défi que représente aujourd’hui la sécurité des API, les organisations doivent prendre simultanément deux mesures clés.

Adopter de nouvelles technologies, complétant leurs politiques de sécurité existantes dédiées aux applications web. Ces technologies doivent avoir deux objectifs.

Identifier et dresser un inventaire précis des API qu’elles utilisent. Beaucoup de responsables de la sécurité en entreprise n’ont qu’une visibilité incomplète sur toutes les API utilisées dans leur organisation, particulièrement celles à usage interne. De nouvelles solutions sont désormais capables d’identifier automatiquement l’ensemble d’entre elles pour en contrôler l’activité, et éviter que des API non identifiées ne soient compromises.

Surveiller en continu le comportement des API. Ce suivi permanent du trafic, API par API, et utilisateur par utilisateur, est maintenant capable d’identifier, via des technologies de machine learning et d’intelligence artificielle, des comportements anormaux et d’agir en conséquence. Ainsi par exemple, si une API est appelée normalement 5 fois de suite pour faire 5 transferts de 20 KB, une série de 40 requêtes pour des transferts de 1 MB chacun pourra indiquer un vol de données.

Adopter des meilleures pratiques pour sécuriser le développement des API.

Mais l’adoption de nouvelles technologies d’identification et de suivi des API n’est pas suffisante. Elle doit être complétée simultanément par une action en amont. Des centaines de milliers d’API sont aujourd’hui développées chaque année dans les entreprises. Or dans de nombreux cas, ces développements sont effectués sans prendre en compte leur niveau de sécurité, ce qui entraîne la persistance de vulnérabilités. Des acteurs malveillants ont ensuite tout loisir de les exploiter, par exemple via des méthodes de ‘reverse engineering’.

Pour remédier à cette situation, les entreprises doivent imposer à leurs équipes de développement des meilleures pratiques en matière de sécurité. Ces pratiques passent par la mise en place de nouveaux processus en y intégrant systématiquement le paramètre sécurité, et par la réalisation pour chaque API développée de tests de vulnérabilités avec l’esprit hacker’, c’est-à-dire en se mettant à la place d’un pirate potentiel.

Faute de ces deux mesures clés, les API continueront pour longtemps d’être un eldorado pour les cyber criminels, et de représenter un facteur de risque de sécurité majeur pour les entreprises.

A propos de l'auteur

Bernard Harguindeguy
SVP Intelligence, Ping Identity