Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Akamai estime que les vulnérabilités liées aux API sont un immense enjeu pour les entreprises et les particuliers

octobre 2021 par Akamai

Akamai Technologies, Inc. a publié une nouvelle recherche sur l’évolution de l’écosystème des menaces pour les interfaces de programmation d’applications (API), qui, selon Gartner, sera le vecteur d’attaque en ligne le plus fréquent d’ici 2022. Le rapport « API : la surface d’attaque qui nous connecte tous » est le dernier de la série État des lieux d’Internet / Sécurité d’Akamai. Ce nouveau rapport présente également une collaboration entre les chercheurs d’Akamai et de Veracode, notamment un essai invité rédigé par Chris Eng, Directeur de recherche chez Veracode.

Les API sont par nature conçues pour être des pipelines simples et rapides entre différentes plateformes. Bien que cette priorité en matière de praticité et d’expérience utilisateur place les API parmi les éléments les plus critiques pour de nombreuses entreprises, elle en fait également des cibles attrayantes pour les cybercriminels. Le rapport d’Akamai met en évidence les tendances frustrantes en matière de vulnérabilités d’API, malgré les améliorations apportées aux cycles de développement des logiciels (SDLC) et aux outils de test. Souvent, la sécurité des API est reléguée au second plan dans la course à leur mise sur le marché. De nombreuses entreprises s’appuient sur des solutions de sécurité réseau traditionnelles qui ne sont pas conçues pour protéger la vaste surface d’attaque que les API peuvent introduire.

« Des violations d’authentification aux failles d’injection, en passant par de simples erreurs de configuration, il existe de nombreuses préoccupations en matière de sécurité des API pour quiconque conçoit une application connectée à Internet », a déclaré Steve Ragan, security researcher chez Akamai et auteur du rapport État des lieux d’Internet / Sécurité. « Les attaques sur les API sont à la fois sous-détectées et sous-signalées lorsqu’elles le sont. Bien que les attaques DDoS et les ransomware soient deux problèmes majeurs, les attaques sur les API ne reçoivent pas le même niveau d’attention, en grande partie car les criminels utilisent les API d’une manière qui ne fait pas l’objet d’une attaque de ransomware bien exécutée, mais cela ne veut pas dire qu’elles doivent être ignorées. »

Il n’est pas toujours évident de savoir où résident les vulnérabilités d’API. Par exemple, les API sont souvent cachées dans les applications pour mobiles, ce qui laisse à penser qu’elles sont à l’abri de toute manipulation. Les développeurs supposent que les utilisateurs n’interagiront sur les API que par l’intermédiaire de l’interface utilisateur mobile (UI), mais, comme indiqué dans ce rapport, ce n’est pas le cas.

Chris Eng, Directeur de recherche chez Veracode, a déclaré : « Comparez les 10 principaux risques de l’OWASP (Open Web Application Security Project) aux 10 principaux risques pour la sécurité des API de l’OWASP. Ce dernier vise à corriger les « vulnérabilités uniques et les risques de sécurité » des API, mais regardez de près et vous découvrirez les mêmes vulnérabilités Web, dans un ordre légèrement différent, décrites avec des mots légèrement différents. Pour ajouter de l’huile sur le feu, les appels d’API sont plus simples et plus rapides à automatiser (dès la conception !) — une arme à double tranchant qui profite aussi bien aux développeurs qu’aux attaquants. »

Pics dans le point de trafic d’attaque vers les vulnérabilités d’API continues

Également détaillé dans le rapport, Akamai a passé en revue 18 mois de trafic d’attaque entre janvier 2020 et juin 2021, constatant plus de 11 milliards de tentatives d’attaques au total. Avec 6,2 milliards de tentatives enregistrées, l’injection SQL (SQLi) reste en tête de la liste des tendances en matière d’attaques Web, suivie par l’inclusion de fichiers locaux (LFI) avec 3,3 milliards et le cross-site scripting (XSS) avec 1 019 milliards.

Bien qu’il soit difficile d’identifier les attaques susmentionnées en termes de pourcentage d’attaques purement API, l’Open Web Application Security Project (OWASP), une fondation à but non lucratif qui travaille à améliorer la sécurité des logiciels, a récemment publié une liste des 10 principaux risques pour la sécurité des API, qui reflétait en grande partie les conclusions d’Akamai.

Les autres éléments marquants du rapport sont les suivants :

• Les attaques par credential stuffing suivies pendant 18 mois (entre janvier 2020 et juin 2021) sont restées stables, avec des pics de plus d’un milliard d’attaques enregistrés en janvier 2021 et mai 2021.
• Les États-Unis ont été la cible principale des attaques d’applications Web pendant cette période observée, avec un trafic six fois plus élevé que celui de l’Angleterre, qui s’est classée deuxième.
o Les États-Unis ont également été en tête de liste des sources d’attaques, se trouvant en première place loin devant la Russie, avec un trafic presque quatre fois plus élevé que cette dernière.
• Le trafic DDoS est resté constant en 2021 jusqu’à présent, avec des pics enregistrés plus tôt au premier trimestre 2021. En janvier 2021, Akamai a enregistré 190 événements DDoS en une seule journée, puis 183 en mars.




Voir les articles précédents

    

Voir les articles suivants