Sécurité des API et API Zombies : Meilleures Pratiques Recommandées pour la Découverte et le Suivi des API

Les API sont déployées partout, d’où la crainte d’en oublier certaines et de ne pas tout savoir sur les API actives. Ces API s’implantent dans les environnements cloud publics et privés, distribués dans différents data centers. De ce fait, la plupart des équipes DevOps et de sécurité ne sont pas sures de connaître toutes les API exposées, internes et externes.

Pour cette raison, les équipes de sécurité doivent impérativement intervenir pour éliminer les angles morts et identifier toutes les API, y compris les ‘shadow APIs’ et les anciennes versions laissées actives par erreur lors de la migration d’une application. Les hackers cherchent ces API et les exploitent pour créer des failles dans les organisations puis voler des données ou usurper des comptes pour gagner de l’argent. Ce type d’attaque a déjà eu lieu sur des réseaux sociaux, et dans les secteurs de la finance, de la santé et de la grande distribution.

Aussi, que pouvez-vous faire pour maintenir votre entreprise en sécurité face aux acteurs malveillants ciblant les API vulnérables ? Il s’agit de comprendre où se trouvent les risques et comment mettre en place les bonnes pratiques en matière de sécurité des API, notamment la découverte et le suivi des API, pour protéger votre réseau.

Les API peuvent entraîner d’énormes bénéfices économiques pour les entreprises. Mais cela n’est pas sans risque, et certains types d’API sont plus risqués que d’autres.

Pour commencer, une API zombie est une API oubliée, laissée derrière généralement pour gérer des migrations depuis une version d’une application vers une autre. Un exemple serait la sortie de la nouvelle version d’une application, qui en raison de ses fonctionnalités améliorées, requiert une nouvelle API. Pour s’assurer que la migration soit fluide, l’ancienne API est maintenue « active » pour donner du temps aux développeurs afin qu’ils passent à la nouvelle API. La difficulté pour l’équipe de la sécurité est de suivre ces « anciennes » API et de les désactiver à temps. Le plus souvent, elles sont juste oubliées et représentent une excellente porte d’entrée pouvant être utilisée par les hackers.

Une API shadow est, le plus souvent, le nom donné à une API créée en dehors de la procédure traditionnelle DevSecOps. De ce fait, elles sont également appelées « rogue API » ou « API rebelles » et ne sont pas suivies par l’équipe de la sécurité, ce qui augmente le risque de faille.

Si aucune de ces API n’est découverte ni suivie par l’équipe de sécurité, elles ont le potentiel de faire du tort à votre entreprise.

Le meilleur moyen pour réduire les risques accompagnant les API shadow et zombies est de suivre les bonnes pratiques entourant la sécurité des API, qui peuvent être réalisées avec de bonnes procédures DevSecOps et le déploiement de solutions spécifiques au domaine.

Par exemple, des outils tels que PingOne API Intelligence sont disponibles pour découvrir et suivre automatiquement les API actives. Cette solution détecte les nouvelles API, les API shadow, les anciennes versions des API et, en général, toutes les API oubliées qui sont toujours actives, pour que la sécurité soit renforcée avant que les hackers les découvrent.

Une surveillance efficace de l’infrastructure d’une API nécessite également de suivre l’activité de chaque utilisateur sur toutes les API, quel que soit l’emplacement de l’API, du cloud ou de la API gateway utilisés. Cette surveillance indique principalement quel utilisateur y accède, les API et URL utilisées, les jetons, les cookies, les clés API et les adresses IP, ce qui implique de relier tout le trafic des API à l’identité de chaque utilisateur et de mettre ces informations à disposition sur les tableaux de bord et les rapports.

Enfin, les bonnes pratiques pour la sécurité des API nécessiterait également d’utiliser une solution basée sur l’intelligence artificielle et le machine learning pour détecter et bloquer les activités anormales sur les API, telles que celles qui sont associées aux hackers « travaillant » sur une API pour y trouver une faille ou bien un partenaire qui utiliserait mal ou abuserait d’une API. Les cyberattaques ciblant les API contournent les mesures de sécurité traditionnelles, notamment car les hackers ressemblent à des utilisateurs normaux avec des identifiants valides.

Aussi, l’utilisation de l’intelligence artificielle et du machine learning est devenue fondamentale pour contrer les attaques ciblant les API, lesquelles sont « free style », en évolution permanente et spécifiques à l’API ciblée. Vous pouvez penser à chaque attaque comme conçue individuellement pour l’API qui est spécifiquement ciblée, et c’est pourquoi la signature et la sécurité basée sur les règles, telles que celles utilisées dans les WAF, n’offrent aucune protection contre la plupart des attaques ciblant des API.

Les API apportent des résultats qui font gagner du temps et de l’efficacité à l’ensemble de votre entreprise mais, sauf si elles sont correctement protégées, elles peuvent aussi largement exposer votre organisation aux cybercrimes. Il est dont impératif d’adopter de bonnes pratiques de sécurité, comme la découverte et le suivi des API, pour garantir la protection des infrastructures des API. En optimisant ainsi votre sécurité, vous pouvez continuer à utiliser les API à votre avantage, tout en étant sûrs que les API inconnues ou oubliées ne poseront pas ce qui, à l’inverse, constituerait un risque évitable pour votre entreprise.

Articles pour en savoir plus : Sécurité des API : Le guide complet