BLOG

La sécurité des API nécessite une gestion des robots : Traitement des dix principales vulnérabilités des API de l'OWASP

Vignette de Jim Downey
Jim Downey
Publié le 16 mai 2025

Les équipes de cybersécurité des entreprises se sont concentrées sur la sécurité des API , et à juste titre. Dans l’économie numérique, les API sont la porte d’entrée de l’entreprise, un point d’entrée pour les appareils IoT, les applications Web et mobiles et, de plus en plus, pour les applications basées sur l’IA qui transforment notre façon de faire des affaires. Malheureusement, les API sont également la porte d’entrée des criminels, dont beaucoup s’appuient sur des robots pour mener leurs attaques. Il est donc essentiel pour les équipes de sécurité de protéger les API et d’atténuer les robots utilisés pour les attaquer.

La liste des dix principales vulnérabilités de sécurité des API de l'OWASP identifie clairement le rôle central que jouent les robots dans les attaques contre les API. Trois des dix principales vulnérabilités des API sont directement liées aux robots :

  • Authentification brisée : Les robots brisent l'authentification par le biais d'attaques par force brute, par dictionnaire et par bourrage d'informations d'identification qui entraînent des prises de contrôle de comptes, des fraudes, des pertes financières et des clients mécontents.
  • Consommation illimitée des ressources : Les bots exploitent cette consommation illimitée, épuisant la mémoire et la capacité de traitement des API. Quand ces bots ciblent des API destinées aux applications interactives (web et mobiles utilisées par des humains), ils peuvent sérieusement dégrader les performances et augmenter les coûts.
  • Accès illimité aux flux commerciaux sensibles : Un accès excessif à certains flux commerciaux peut nuire à l’entreprise. Les revendeurs non autorisés peuvent épuiser les stocks de produits et les revendre à un prix considérablement plus élevé. Les spammeurs peuvent exploiter un flux de commentaires/publications. Les attaquants peuvent utiliser un système de réservation pour réserver tous les créneaux horaires disponibles. Dans ces cas, des robots sont déployés pour exploiter ces flux commerciaux.

Dans son livre Hacking APIs : Interruption des interfaces de programmation d'applications Web, Corey J. Ball, expert renommé en cybersécurité et en API, explique comment les outils automatisés de découverte d'API (OWASP ZAP, Gobuster, Kiterunner) et de fuzzing (Postman, Wfuzz et Burp Suite) peuvent être utilisés par les attaquants pour envoyer des milliers de requêtes aux API afin de détecter les vulnérabilités. Une gestion des robots doit être mise en place pour identifier l’espionnage et réduire son efficacité.

Les robots n’impactent pas toutes les API de la même manière. Les API sont généralement protégées par TLS mutuel , de sorte que le risque d'authentification rompue est faible et une limitation de débit peut être appliquée par client authentifié. Les API qui attendent du trafic provenant uniquement d'applications Web et mobiles interactives sont les plus vulnérables aux robots.

Protéger les API contre les bots devient de plus en plus complexe lorsqu’elles attendent un trafic initié par des humains. Les bibliothèques open source facilitent l’évasion à la détection via l’empreinte des en-têtes, et les services permettant de battre les CAPTCHA et de proxyfier les requêtes à travers des réseaux comptant des dizaines de millions d’adresses IP résidentielles sont largement accessibles aux opérateurs de bots. Les anciennes méthodes telles que l’analyse des en-têtes, les listes de refus d’IP et le CAPTCHA ne sont plus efficaces. Ainsi, les équipes de sécurité applicative doivent collecter des signaux riches côté client, en s’appuyant sur JavaScript, des SDK mobiles et un apprentissage automatique avancé pour différencier outils d’attaque et comportements des bots.

À mesure que les applications d’IA sont déployées à plus grande échelle, la sécurisation des API et de ces points de terminaison contre les attaques automatisées sera essentielle. En réponse, l'OWASP a publié son Top 10 des risques et atténuations pour les LLM et les applications Gen AI en 2025 . Consultez mon article récent, Comment les robots attaquent les grands modèles de langage , pour en savoir plus.

Quelles API de votre organisation sont vulnérables aux robots ? Quelle est la probabilité d’une attaque et le coût de l’impact ? Comment pouvez-vous concevoir des contrôles de sécurité pour garantir les protections nécessaires contre les robots ? Ce sont de bonnes questions à aborder dans la modélisation des menaces. Pour en savoir plus sur l'impact commercial des bots, lisez le livre blanc F5 sur le sujet ou inscrivez-vous pour une consultation gratuite