Les API, des attaques en constante augmentation
L’exposition des données et l’automatisation des requêtes associées sont du pain béni pour les hackers. Gartner estime que les fuites de données via API seront plus fréquentes que celles réalisées via les sites Web d'ici 2022. Par exemple, en septembre 2018, Facebook était victime de l’exploitation d’une faille de sécurité sur l’une de ses API pendant quelques jours. L’API donnait un accès libre aux photos personnelles de 6,8 millions d’utilisateurs, car aucune authentification n’était requise.
Les entreprises mettent en place des API Gateway
Pour mieux gérer ces API, les entreprises mettent de plus en plus en œuvre des plateformes spécialisées « API Management Platforms ». Parmi les plus connus du marché, on trouve entre autres des grands de l’informatique : Google/Apigee, CA Technologies, RedHat… En plus d’assurer le chiffrement des flux, ces plates-formes assurent par exemple une authentification centralisée et des contrôles des attaques référencées par l’OWASP. Cette centralisation offre malheureusement une cible de choix aux hackers, qui peuvent avoir accès à l’ensemble des applications via une seule interface.
Sécurisation des API
La sécurité des API est spécifique à ce type de flux. Certaines attaques comme les « SQL injections » peuvent être communes avec les sites web mais le code n’étant pas interprété par un navigateur, les injections JavaScript par exemple n’ont pas d’effet sur les API. À l'image du WAF pour la protection des sites WEB, les éditeurs de Reverse Proxy développent des modules de sécurité spécifiques pour protéger les API. Notre partenaire F5 Networks développe un arsenal complet pour répondre au mieux à vos besoins de protection des API. https://www.f5.com/solutions/application-security/web-app-and-api-protection Afin de mieux présenter leurs solutions, vous pouvez assister à notre Webinar du jeudi 30 avril à 14h. Nous présenterons en 1 heure les grandes lignes de la protection des APIs par F5.
