Et si la sécurité cloud était vulnérable à cause des API

Dans de nombreux services Cloud à travers le monde, il est incorporé de manière progressive des interfaces de programmation d’applications.

Si cela se présente comme étant quelque chose de très utilitaire dans la pratique, il n’en demeure pas moins que pour les hackers, ces interfaces sont des cibles de choix. Ce qui rend ainsi ces aspects comme étant assez vulnérables pour la sécurité Cloud.

Cet article va aussi vous intéresser : Les entreprises doivent faire plus attention aux API et aux applications

« Alors que l’adoption des API ne cesse de croître, il est essentiel de s’attaquer dès maintenant à leur sécurité en utilisant les bons outils et les bonnes techniques. », explique Jason Kent, du cabinet IDG NS.

Selon l’un des meilleurs indicateurs de la sécurité cloud au monde, qu’il n’est autre que le rapport rédigé chaque deux ans, par la structure Cloud Security Alliance, intitulé « Top Threats to Cloud Computing » (Principales menaces pour le cloud computing), les API non sécurisées font parties des vulnérabilités les plus prégnante depuis 2 ans maintenant au niveau du Cloud. On observe une évolution assez frappante par rapport à l’année 2017, pour les API qui n’étaient pas sécurisées se situait qu’à la troisième position des menaces sécuritaires sur les services Cloud. Même en 2019 les API non sécurisées ne constituaient que la septième menace des services Cloud.

En 2022 les choses ont changé. Elles sont l’une des principales menaces.

Il est légitime donc de s’interroger sur la cause de ce changement de statut. Selon Jason Kent : « En premier lieu, la dépendance à l’égard des API a énormément augmenté. Comme le montre l’analyse du trafic web, on est passé d’une infrastructure d’application basée sur le Web à une infrastructure basée sur les API. Sur les 2,1 milliards de transactions analysées au second semestre 2021, 70 % ont été effectuées via des API. Et selon un récent rapport de l’Enterprise Strategy Group (ESG), cette tendance devrait se poursuivre. D’après ESG, si aujourd’hui 28 % des applications et sites web utilisent des API, ce chiffre devrait plus que doubler au cours des deux années à venir. Les API facilitent la vie des développeurs pour concevoir des services cloud, mais elles donnent également accès à des données très sensibles, ce qui en fait une cible de choix pour les attaquants. ».

Par ailleurs, une enquête d’ESG a mis en évidence que :

– Un quart des entreprises qui ont été victimes d’attaques informatiques sur la base d’API ont connu un problème de configuration.

– Une entreprise sur 5 a été victime des attaques de type ATO pour account takeover et OWASP pour open web application security project,

– 27 % des entreprises qui ont subi les attaques de type ATO et OWASP avaient envisagé prendre des mesures nécessaires pour réduire ce genre d’incidents et éviter ces mêmes attaques.

Malheureusement les impacts des attaques informatiques sont très visibles. Effectivement, plus de 40 % des entreprises qui ont été victimes de ce type d’incident de sécurité, affirment que leurs clients ainsi que leurs marques ont subi les répercussions. 34 % de ces entreprises affirment même qu’elles auront des retours d’expériences négatives chez leurs clients. La valeur boursière de 34 autres pour cent de ces entreprises a connu une baisse significative après l’observation d’attaques informatiques du genre. Une perte de revenus a été observée chez les 26 autres pour cent. 41 % des entreprises affirment que leurs employés subissent aussi les conséquences des incidents de sécurité. 38 % affirment que cela a été la cause de la difficulté de déploiement de certains de leurs produits et de services divers.

« Tout cela nous amène à la deuxième raison pour laquelle les API sont en tête du classement des menaces, car elles sont très difficiles à sécuriser. Les acteurs de la menace tirent parti du mode de fonctionnement des API plutôt que d’un exploit ou d’une vulnérabilité particulière, en menant ce que l’on appelle une attaque « Living off the Land » (LotL), c’est dire en exploitant des applications et des processus standards installés sur l’ordinateur de leur victime pour masquer des activités de phishing. Étant donné qu’il n’y a pas de signature ou de violation des règles, les solutions de sécurité traditionnelles ont du mal à détecter cette activité. », explique Jason Kent, IDG NS.

Accédez maintenant à un nombre illimité de mot de passe :