BLOG

Résoudre les dix principales vulnérabilités des API de l'OWASP : La sécurité des API nécessite une gestion des robots

Vignette de Jim Downey
Jim Downey
Publié le 29 février 2024

Les équipes de cybersécurité des entreprises se sont concentrées sur la sécurité des API , et à juste titre. Dans l’économie numérique, les API constituent la porte d’entrée de l’entreprise, un point d’entrée pour les appareils IoT, les applications Web et mobiles et les processus des partenaires commerciaux. Malheureusement, les API sont également la porte d’entrée des criminels, dont beaucoup s’appuient sur des robots pour mener leurs attaques. Il est donc essentiel pour les équipes de sécurité de protéger les API et d’atténuer les robots utilisés pour les attaquer.

L’examen des dix principales vulnérabilités de sécurité des API de l’OWASP montre clairement le rôle central des robots dans les attaques sur les API. Trois des dix principales vulnérabilités des API sont liées aux robots de manière directe et évidente.

  • Authentification brisée : Les robots brisent l'authentification par le biais d'attaques par force brute, par dictionnaire et par vol d'informations d'identification qui entraînent des prises de contrôle de compte, des fraudes, des pertes financières et des clients mécontents.
  • Consommation illimitée de ressources : Ce sont des robots qui profitent d’une consommation illimitée de ressources, épuisant la mémoire et la capacité de traitement des API. Lorsque les robots ciblent des API conçues pour être utilisées par des applications interactives (c’est-à-dire des applications Web et mobiles utilisées par des humains), l’impact sur les performances peut être catastrophique.
  • Accès illimité aux flux commerciaux sensibles : Un accès excessif à certains flux commerciaux peut nuire à l’entreprise. Les revendeurs non autorisés peuvent racheter le stock d’un article pour le revendre à un prix plus élevé. Les spammeurs peuvent exploiter un flux de commentaires/publications. Les attaquants peuvent utiliser un système de réservation pour réserver tous les créneaux horaires disponibles. Dans chaque cas, ce sont les robots qui causent les dégâts. Vous vous souvenez de la vitesse à laquelle les billets de concert de Taylor Swift se sont vendus, faisant planter l'application Ticketmaster et frustrant les fans ? Ce sont les robots qui ont provoqué ce tollé .

Les sept autres éléments de la liste des dix principales vulnérabilités des API OWASP ( comme une mauvaise configuration de sécurité, une mauvaise gestion des stocks ou une autorisation rompue) ne sont pas si manifestement liés aux robots, mais les attaquants s'appuient sur ces derniers pour découvrir efficacement et exploiter rapidement ces vulnérabilités. Dans son livre Hacking APIs , Corey J. Ball explique l'utilisation de plusieurs outils automatisés pour la découverte d'API (OWASP ZAP, Gobuster, Kiterunner) et le fuzzing (Postman, Wfuzz et Burp Suite). À l’aide de ces outils, les attaquants envoient des milliers de requêtes aux API pour détecter les vulnérabilités. Pour obtenir une visibilité sur cette espionnage et réduire ses chances de succès, il faut un système efficace de lutte contre les robots.

Les robots n’impactent pas toutes les API de la même manière. Les API qui sont de machine à machine et accessibles par des processus automatisés (généralement des processus internes ou ceux de partenaires) sont généralement protégées par TLS mutuel , auquel cas le risque d'authentification rompue est faible et une limitation de débit peut être appliquée par client authentifié. Ce sont plutôt les API qui attendent du trafic provenant uniquement d’applications interactives (c’est-à-dire des applications Web et mobiles entre les mains d’humains) qui sont les plus vulnérables aux robots.

Pour les API qui attendent du trafic initié par l’humain, la défense contre les robots est devenue de plus en plus difficile. Les bibliothèques open source permettent d'éviter facilement la détection via l'empreinte digitale d'en-tête, et des services largement disponibles sont à la disposition des opérateurs de robots pour vaincre les CAPTCHA et les requêtes proxy via des réseaux contenant des dizaines de millions d'adresses IP résidentielles. Les anciennes techniques d'analyse d'en-tête, de listes de refus d'adresses IP et de CAPTCHA n'étant plus efficaces , les équipes de sécurité des applications cherchant à atténuer les bots doivent s'appuyer sur une riche collecte de signaux côté client, en utilisant JavaScript et des SDK mobiles, ainsi qu'un apprentissage automatique sophistiqué pour distinguer les outils d'attaque et les comportements des bots.

Quelles API de votre organisation sont vulnérables aux robots, quelle est la probabilité et le coût de l'impact, et comment pouvez-vous concevoir des contrôles de sécurité pour garantir les protections nécessaires contre les robots ? Ce sont de bonnes questions à aborder dans la modélisation des menaces. Pour en savoir plus sur l'impact commercial des bots, consultez notre livre blanc F5 sur le sujet ou inscrivez-vous pour une consultation gratuite .