Sauvegarde des écosystèmes API : Les 10 principaux risques de sécurité des API de l'OWASP pour 2023
Le paysage numérique reposant de plus en plus sur les interfaces de programmation d'applications (API) et les besoins de mesures de sécurité renforcées pour les API se fait de plus en plus sentir. C'est pourquoi l'Open Web Application Security Project (OWASP) met régulièrement à jour sa liste des principaux risques liés à la sécurité des API afin d'informer et d'aider les organisations à protéger leurs actifs numériques. Cet article explore les 10 principaux risques de sécurité des API selon l'OWASP en 2023 et leur impact potentiel sur la sécurité des API.
API1 : 2023 Broken Object Level Authorization (BOLA)
Faille d’autorisation au niveau de l'objet brisé
Cette menace fait référence à la mauvaise application des contrôles d'autorisation sur les opérations au niveau de l'objet.
Les API exposent souvent des points d'extrémité qui gèrent des identifiants d'objets, ce qui crée une vaste surface d'attaque pour les problèmes de contrôle d'accès au niveau de l'objet. En l'absence de contrôles d'autorisation réfléchis au niveau de l'objet, un pirate peut manipuler l'identifiant d'un objet envoyé dans la requête et obtenir un accès non autorisé à des données sensibles.
Pour limiter ce risque, chaque fonction interagissant avec une source de données via des identifiants fournis par l'utilisateur doit intégrer des contrôles d'autorisation méticuleux au niveau de l'objet.
API2 : 2023 Broken Authentication
Faille d’authentification
Cette menace englobe des vulnérabilités dans le processus d'authentification, telles que des mots de passe faibles, des failles dans la gestion des sessions ou une mise en œuvre inadéquate de l'authentification multifactorielle. Des mécanismes d'authentification défectueux compromettent gravement la sécurité de l'API, permettant aux attaquants de compromettre les jetons d'authentification ou d'usurper l'identité d'autres utilisateurs. Les entreprises doivent veiller à la mise en œuvre correcte des protocoles d'authentification afin de se prémunir contre les accès non autorisés.
API3 : 2023 Broken Object Property Level Authorization
Faille d’autorisation du niveau de propriété de l'objet
Ce risque combine les questions abordées dans les documents API3:2019 Excessive Data Exposure et API6:2019 Mass Assignment, en se concentrant sur leur cause première : l'absence ou la mauvaise validation des autorisations au niveau des propriétés de l'objet. Si une API n'applique pas les contrôles d'autorisation appropriés aux propriétés individuelles, les attaquants peuvent accéder aux données sensibles d'un objet ou les manipuler.
Une validation correcte des autorisations au niveau des propriétés de l'objet est obligatoire pour éviter les fuites de données ou les modifications non autorisées par des parties malveillantes.
API4 : 2023 Unrestricted Resource Consumption
Consommation de ressources sans restriction
Les demandes d'API utilisent diverses ressources, telles que la bande passante du réseau, l'unité centrale, la mémoire et le stockage. En outre, les intégrations avec des services tiers, tels que le courrier électronique, les SMS ou les données biométriques, peuvent être payées à la demande.
Si les API ne mettent pas en œuvre des mécanismes pour limiter la consommation de ressources, les attaquants peuvent submerger une API avec des demandes et une consommation de ressources excessives. Cela peut entraîner une augmentation des coûts opérationnels, un déni de service ou une dégradation des performances pour les utilisateurs légitimes. Il est essentiel de mettre en place des mesures de protection pour limiter la consommation de ressources et surveiller l'utilisation des API.
API5 : 2023 Broken Function Level Authorization
Faille d’autorisation au niveau de la fonction
Cette menace survient lorsqu'une API ne parvient pas à vérifier si l'utilisateur ou le client dispose des autorisations nécessaires pour accéder à des fonctions ou opérations spécifiques. Cela peut permettre à des utilisateurs non autorisés d'effectuer des actions qu'ils ne devraient pas pouvoir faire et potentiellement d'accéder à des données sensibles ou d'effectuer des activités malveillantes.
Cela devient généralement possible en raison de politiques de contrôle d'accès complexes et d'une séparation peu claire entre les fonctions administratives et régulières. Il est donc essentiel de mettre en œuvre des mécanismes de contrôle d'accès robustes avec des hiérarchies claires et une séparation des privilèges pour atténuer ce risque.
API6 : 2023 Unrestricted Access to Sensitive Business Flows
Accès non restreint aux flux commerciaux sensibles
Certaines API exposent des flux commerciaux sans tenir compte des dommages potentiels causés en cas d'accès abusif à la fonctionnalité. Si une API ne limite pas l'accès au flux, par exemple si elle permet d'acheter tout le stock d'un produit dans une boutique en ligne, les attaquants peuvent spammer le système avec des demandes automatisées, accéder à des informations sensibles et endommager ou perturber le flux par des actions non autorisées.
Les organisations doivent mettre en œuvre des contrôles d'accès et des mesures de limitation de débit appropriés afin de restreindre l'accès aux fonctionnalités sensibles et d'empêcher toute utilisation excessive ou abusive.
API7 : 2023 Server-Side Request Forgery (SSRF)
Falsification des requêtes côté serveur
La falsification des requêtes côté serveur se produit lorsqu'une API récupère des ressources distantes lors d'une requête sans valider les URL qu'elle contient et permet à l'attaquant de modifier l'URL dans la requête. En manipulant les demandes, un pirate peut contourner les contrôles de sécurité, accéder à des informations sensibles ou envoyer des demandes élaborées au nom de l'API vers des destinations inattendues, même lorsqu'elles sont protégées par des pare-feux ou des réseaux privés virtuels.
La mise en œuvre d'une validation et d'un assainissement des entrées appropriés est cruciale pour prévenir les attaques SSRF.
Pour prévenir les attaques SSRF, il faut mettre en œuvre une validation stricte des entrées, établir une liste blanche des URL ou des adresses IP autorisées et isoler les ressources internes critiques grâce à la segmentation du réseau et aux contrôles d'accès.
API8 : 2023 Security Misconfiguration
Mauvaise configuration de la sécurité
Les API et les systèmes qui les supportent impliquent souvent des configurations complexes pour améliorer la personnalisation. Toutefois, les développeurs peuvent négliger les meilleures pratiques en matière de sécurité, ce qui les conduit à utiliser des configurations d'API par défaut ou faibles, à activer des fonctions inutiles ou à mettre en place des contrôles d'accès inappropriés.
Les attaquants peuvent exploiter ces mauvaises configurations pour obtenir un accès non autorisé, manipuler des données ou mener d'autres activités malveillantes. Pour contourner ce problème, les organisations doivent adhérer aux meilleures pratiques en matière de sécurité, effectuer des audits de sécurité réguliers et surveiller et mettre à jour les configurations avec vigilance.
API9 : 2023 Improper Inventory Management
Gestion inadéquate des inventaires
Les organisations qui utilisent un réseau étendu et interconnecté d'API doivent avoir une bonne compréhension et une bonne visibilité de leurs propres API et points de terminaison d'API, de leurs versions et de la manière dont elles stockent ou partagent des données avec des tiers externes. Dans le cas contraire, l'utilisation d'API obsolètes ou vulnérables et le manque de visibilité sur l'état de sécurité des API augmentent l'exposition aux attaques ciblant des vulnérabilités connues.
Pour gérer et sécuriser l'écosystème des API, il est essentiel de gérer correctement l'inventaire et la documentation des points d'extrémité des API, les versions, les dépendances, ainsi que les correctifs, les mises à jour et les audits réguliers.
API10 : 2023 Unsafe Consumption of APIs
Consommation non sécurisée d'API
Parfois, les développeurs accordent le bénéfice du doute à des API tierces, en particulier celles fournies par des entreprises renommées, et utilisent des normes de sécurité moins strictes. En général, cela se traduit par une validation ou un assainissement inadéquats des données d'entrée, ce qui, à son tour, ouvre la porte à des attaques par injection telles que l'injection SQL ou le cross-site scripting (XSS), permettant aux attaquants d'exécuter un code malveillant ou d'obtenir un accès non autorisé.
Comme les attaquants ciblent les services tiers intégrés pour compromettre indirectement les API, les organisations doivent mettre en œuvre des mesures de sécurité strictes lorsqu'elles utilisent des API tierces, notamment la validation des entrées, le nettoyage des données et le respect des meilleures pratiques.
Protégez vos systèmes grâce à l'expertise de Connect-i
Comprendre et traiter ces menaces de sécurité OWASP pour les API est primordial pour protéger les API, garantir l'intégrité et la confidentialité des données et maintenir la confiance des utilisateurs. Des pratiques de codage sécurisées, des contrôles d'accès appropriés, la validation des entrées, le cryptage et une surveillance rigoureuse peuvent contribuer à atténuer ces menaces et à améliorer la sécurité globale des implémentations d'API.
Connect-i peut guider votre organisation dans la mise en œuvre de mesures de sécurité solides. En se concentrant sur l'authentification, l'autorisation, la consommation des ressources, les configurations sécurisées et la gestion appropriée de l'inventaire, Connect-i est prêt à fortifier et à protéger vos actifs numériques.
