Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Imperva : un nouveau bug sur une API de Facebook

décembre 2018 par Dvir Shapira, Director, Imperva

En fin de semaine dernière, Facebook a révélé l’existence d’un bug de son API qui a pu exposer les photos de 6,8 millions d’utilisateurs, entre le 13 et 25 septembre 2018. Dvir Shapira, Director, Imperva, expert en cybersécurité, réagit à cette actualité :

« Ce bug se trouvait dans les interfaces de programmation d’applications, ou API, de Facebook, qui peuvent fournir une passerelle directe vers les informations sensibles des clients sans vérifier qui accède aux données. Ce type de menace est une préoccupation croissante pour bon nombre d’entreprises qui développent de plus en plus d’applications orientées client. En fait, une récente enquête sur la sécurité des API a révélé qu’en moyenne, les entreprises gèrent 363 API différentes et que 69 % des entreprises exposent les API au public et à leurs partenaires. Comme nous l’avons vu au cours de l’année écoulée, les API sont particulièrement vulnérables aux erreurs de codage de sécurité des applications tierces. D’ailleurs, pas plus tard que la semaine dernière, Google a révélé un problème de sécurité API dans Google+, et nous devrions nous attendre à voir plus d’incidents de ce type se produire au cours de l’année à venir. Bien que l’ampleur de ce problème d’API spécifique soit mineur en comparaison à celui de Google+, la quantité de renseignements personnels que Facebook détient en fait toujours une préoccupation importante.

Rappelons que la plupart des entreprises ne sont pas Facebook ou Google, qui ont investi des millions de dollars et s’appuient sur d’innombrables développeurs d’outils de sécurité API à utiliser en interne pour protéger leurs API (et même ceux-ci ne sont pas parfaits, comme on peut le voir dans les deux exemples cités ici). Étant donné que les API sont généralement assez personnalisées et uniques, par opposition aux applications Web, le renforcement de la sécurité des applications Web que nous avons pu constater ces dernières années ne s’est pas répercutée sur les API, et la plupart des API de nos jours (en dehors des géants de la technologie, comme Facebook ou Google) sont complètement exposées. Espérons que ces nouveaux incidents encouragent les entreprises à prendre la sécurité plus au sérieux, à examiner leurs applications et logiciels de plus près et, surtout, à accorder toujours plus d’importance à la protection de nos données et, espérons-le, à la sensibilisation renforcée à la sécurité API. »




Voir les articles précédents

    

Voir les articles suivants