Les équipes de cybersécurité des entreprises se sont concentrées sur la sécurité des API , et à juste titre. Dans l’économie numérique, les API sont la porte d’entrée de l’entreprise, un point d’entrée pour les appareils IoT, les applications Web et mobiles et, de plus en plus, pour les applications basées sur l’IA qui transforment notre façon de faire des affaires. Malheureusement, les API sont également la porte d’entrée des criminels, dont beaucoup s’appuient sur des robots pour mener leurs attaques. Il est donc essentiel pour les équipes de sécurité de protéger les API et d’atténuer les robots utilisés pour les attaquer.
La liste des dix principales vulnérabilités de sécurité des API de l'OWASP identifie clairement le rôle central que jouent les robots dans les attaques contre les API. Trois des dix principales vulnérabilités des API sont directement liées aux robots :
Dans son livre Hacking APIs : Interruption des interfaces de programmation d'applications Web, Corey J. Ball, expert renommé en cybersécurité et en API, explique comment les outils automatisés de découverte d'API (OWASP ZAP, Gobuster, Kiterunner) et de fuzzing (Postman, Wfuzz et Burp Suite) peuvent être utilisés par les attaquants pour envoyer des milliers de requêtes aux API afin de détecter les vulnérabilités. Une gestion des robots doit être mise en place pour identifier l’espionnage et réduire son efficacité.
Les robots n’impactent pas toutes les API de la même manière. Les API sont généralement protégées par TLS mutuel , de sorte que le risque d'authentification rompue est faible et une limitation de débit peut être appliquée par client authentifié. Les API qui attendent du trafic provenant uniquement d'applications Web et mobiles interactives sont les plus vulnérables aux robots.
Protéger les API contre les bots devient de plus en plus complexe lorsqu’elles attendent un trafic initié par des humains. Les bibliothèques open source facilitent l’évasion à la détection via l’empreinte des en-têtes, et les services permettant de battre les CAPTCHA et de proxyfier les requêtes à travers des réseaux comptant des dizaines de millions d’adresses IP résidentielles sont largement accessibles aux opérateurs de bots. Les anciennes méthodes telles que l’analyse des en-têtes, les listes de refus d’IP et le CAPTCHA ne sont plus efficaces. Ainsi, les équipes de sécurité applicative doivent collecter des signaux riches côté client, en s’appuyant sur JavaScript, des SDK mobiles et un apprentissage automatique avancé pour différencier outils d’attaque et comportements des bots.
À mesure que les applications d’IA sont déployées à plus grande échelle, la sécurisation des API et de ces points de terminaison contre les attaques automatisées sera essentielle. En réponse, l'OWASP a publié son Top 10 des risques et atténuations pour les LLM et les applications Gen AI en 2025 . Consultez mon article récent, Comment les robots attaquent les grands modèles de langage , pour en savoir plus.
Quelles API de votre organisation sont vulnérables aux robots ? Quelle est la probabilité d’une attaque et le coût de l’impact ? Comment pouvez-vous concevoir des contrôles de sécurité pour garantir les protections nécessaires contre les robots ? Ce sont de bonnes questions à aborder dans la modélisation des menaces. Pour en savoir plus sur l'impact commercial des bots, lisez le livre blanc F5 sur le sujet ou inscrivez-vous pour une consultation gratuite