Les API (Application Programming Interfaces) sont devenues la colonne vertébrale des applications modernes, des microservices et de l’économie numérique. Cette omniprésence en fait une cible de choix pour les cybercriminels. Conscient de ces risques spécifiques, l’OWASP a créé une liste dédiée : l’OWASP API Security Top 10.
Une solution de Web Application and API Protection (WAAP) est précisément conçue pour adresser ces menaces, là où un WAF traditionnel serait insuffisant. Voyons comment un WAAP protège contre les vulnérabilités les plus critiques de la liste 2023.
API1:2023 – Autorisation défaillante au niveau de l’objet (BOLA)
Considérée comme la menace la plus grave, la BOLA (Broken Object Level Authorization) se produit lorsqu’un utilisateur peut accéder à des objets de données qui ne lui appartiennent pas.
- Scénario d’attaque : Un utilisateur accède à sa facture via l’appel GET /api/invoices/901. En modifiant l’ID à 902, il parvient à télécharger la facture d’un autre client.
- Protection WAAP : Un WAAP avancé peut intégrer la gestion des identités. Il peut analyser le jeton d’authentification (ex: JWT) pour extraire l’ID de l’utilisateur et le mapper aux objets auxquels il a droit. Toute requête tentant d’accéder à un objet non autorisé est automatiquement bloquée, même si la requête semble syntaxiquement valide.
API2:2023 – Authentification défaillante (Broken Authentication)
Cette vulnérabilité couvre les failles dans les mécanismes d’authentification, comme l’absence de limitation de débit sur les points de connexion.
- Scénario d’attaque : Un attaquant utilise un bot pour lancer une attaque par credential stuffing, testant des milliers de paires d’identifiants/mots de passe volés sur le point de terminaison /api/login.
- Protection WAAP : Le WAAP applique des politiques de limitation de débit (rate limiting) strictes sur les points d’authentification. De plus, son module de mitigation de bots peut identifier et bloquer le trafic automatisé avant même qu’il ne sature le service d’authentification.
API4:2023 – Consommation de ressources illimitée
Les API peuvent être sollicitées pour des opérations coûteuses en ressources (CPU, mémoire, bande passante), menant à un déni de service (DoS).
- Scénario d’attaque : Une API permet de demander une liste d’utilisateurs avec un paramètre ?page_size=100. Un attaquant modifie la requête pour ?page_size=100000, forçant le serveur à allouer une quantité excessive de mémoire et à ralentir, voire planter.
- Protection WAAP : Le WAAP applique une validation de schéma positive. Il peut être configuré pour n’autoriser que des valeurs spécifiques pour les paramètres (par exemple, page_size doit être un entier entre 1 et 200). Toute requête en dehors de ces limites est rejetée à la périphérie, protégeant ainsi les ressources du serveur d’origine.
API7:2023 – Falsification de requête côté serveur (SSRF)
Une vulnérabilité SSRF permet à un attaquant de forcer le serveur à effectuer des requêtes vers des ressources internes ou externes non prévues.
- Scénario d’attaque : Une API permet d’importer une image de profil depuis une URL. L’attaquant fournit une URL interne comme http://192.168.1.10/admin. Le serveur, en tentant de récupérer l’image, envoie une requête à son propre panneau d’administration interne.
- Protection WAAP : Un WAAP peut être configuré avec des listes d’autorisation (allow-lists) strictes pour les requêtes sortantes initiées par les API. Il peut bloquer toute tentative de connexion à des adresses IP internes ou à des domaines non approuvés, neutralisant ainsi la menace SSRF.
API9:2023 – Mauvaise gestion de l’inventaire
Les entreprises peinent souvent à maintenir un inventaire à jour de toutes leurs API, laissant des points de terminaison de test ou obsolètes exposés.
- Scénario d’attaque : Un attaquant découvre un point de terminaison api.example.com/v1_beta/users qui n’est plus maintenu et ne bénéficie pas des derniers correctifs de sécurité. Il l’exploite pour accéder aux données utilisateur.
- Protection WAAP : La fonctionnalité de découverte d’API d’un WAAP analyse en continu le trafic pour identifier tous les points de terminaison actifs, y compris ceux qui ne sont pas officiellement documentés (shadow APIs). Cela fournit une visibilité complète, permettant aux équipes de sécurité d’appliquer des politiques de protection à l’ensemble de la surface d’attaque.
En conclusion, la sécurité des API nécessite une approche spécialisée que seul un WAAP peut fournir. En combinant la découverte, la validation de schéma, la gestion des identités et la mitigation des bots, un WAAP offre une protection indispensable contre les risques uniques et critiques qui pèsent sur l’économie des API.
Notre dossier complet “WAAP & Cyberattaque : Le guide de la protection applicative moderne”
- ROI d’un WAAP : Calculer la valeur d’une protection applicative renforcée
- WAAP et RGPD : Le duo gagnant pour sécuriser vos données personnelles
- DevSecOps et WAAP : Intégrer la sécurité applicative dès le développement
- WAAP et Zero Trust : La synergie idéale pour une cybersécurité inégalée
- Attaques Zero-Day : Le rôle de l’IA et de l’analyse d’anomalies dans la détection proactive
- Mitigation des Bots : Comment l’analyse comportementale et le fingerprinting déjouent les bots malveillants
- Attaques DDoS et DoS : Comment se protéger efficacement avec un WAAP
- Sécurité des API : Comment un WAAP vous protège contre le Top 10 OWASP API Security
- Protéger vos applications contre l’OWASP Top 10 avec un WAAP intelligent
- Cybersécurité & WAAP : 20 termes à connaître
- Les 4 Piliers du WAAP Décortiqués : WAF, API Security, Anti-DDoS et Bot Mitigation
- WAAP vs. WAF : Comprendre les différences clés pour une protection optimale
