Les interfaces de programmation d'applications (API) sont au cœur de presque toutes les expériences numériques modernes, et leurs performances et leur cybersécurité sont essentielles pour engager les clients et augmenter les revenus. Qu'ils permettent la livraison d'applications mobiles qui permettent aux consommateurs de surveiller et de personnaliser leurs routines d'exercice à l'aide d'un appareil connecté à l'IoT ou permettent aux propriétaires de voitures de suivre et de partager leurs comportements. l'impact est clair. À propos de l'auteur Liad Bokovsky est directeur principal de l'ingénierie des solutions chez Axway. Cependant, des rapports plus fréquents de vulnérabilités de sécurité qui exposent des données privées ont mis en évidence le problème de la gestion des API. Dans de nombreux cas, de simples échecs à traiter la sécurité des API avec respect ont entraîné des violations de données majeures affectant des millions d'utilisateurs. Par exemple, plus tôt cette année, Peloton a été sous le feu des projecteurs pour une vulnérabilité qui permettait aux demandes d'API d'accéder aux informations du profil utilisateur de Peloton. Cela signifiait que n'importe qui, n'importe où, pouvait accéder aux informations de tous les utilisateurs de Peloton. Ce n'est pas une bonne situation. Le problème sous-jacent est que de nombreuses entreprises ne traitent toujours pas les API comme des "citoyens de première classe" de l'entreprise. Une partie du problème est que tous les professionnels de l'informatique n'ont pas l'expérience nécessaire pour comprendre pleinement le fonctionnement des API, comment les concevoir et comment les gérer en toute sécurité. Mais avec l'augmentation des attaques d'API et Gartner prédisant que les API deviendront le principal vecteur d'attaque d'ici 2022, les entreprises connectées d'aujourd'hui doivent avoir des structures en place pour s'assurer que la conception, la mise en œuvre et la gestion des API sont bien faites. .
L'anatomie des vulnérabilités des API
Dans ce contexte, les cybercriminels sont de plus en plus à l'affût des vulnérabilités potentielles des API. La liste des risques de sécurité est longue et commence souvent par de mauvaises pratiques de codage, où de graves risques de sécurité sont intégrés très tôt dans l'API, augmentant considérablement la probabilité que son intégrité soit compromise. Cela relève également de la question générale et importante de la responsabilité. La question de savoir qui est responsable des risques de sécurité des API peut être difficile à résoudre. La responsabilité commence avec le développeur, qui devrait être responsable de la création d'une API qui résout efficacement les principales vulnérabilités. Mais la responsabilité ne s'arrête pas là et devrait également incomber à l'utilisateur de l'API, qui doit également déterminer s'il est nécessaire d'inclure des mesures de sécurité supplémentaires pour l'API. Un autre problème important est la classification des API. Les API peuvent être déployées dans des configurations publiques, privées et partenaires, et les applications centrées sur le client et/ou les organisations centrées sur les appareils classent souvent leurs API comme publiques et privées. Contrairement aux employés, les utilisateurs externes n'y accèdent pas via un intranet organisationnel privé. Le problème ici est que cette approche peut créer une vulnérabilité potentielle si les équipes techniques travaillent sur l'hypothèse qu'une API privée ne nécessite pas une sécurité comparable à une implémentation publique. En réalité, restreindre l'accès aux API aux utilisateurs authentifiés ne suffit pas, et il existe des exemples d'organisations laissant leurs API privées exposées et vulnérables, puis se retrouvant dans la position difficile de devoir identifier et résoudre un grave problème de sécurité et de confidentialité. Dans le cas de Peloton, par exemple, l'impact de cette approche pour une entreprise qui s'appuie fortement sur son application grand public était que les nouveaux utilisateurs pouvaient créer un compte mais aussi récupérer les détails du profil d'autres personnes, tels que votre nom, votre emplacement, votre sexe, etc. . Peu importait que les utilisateurs définissent leur compte de profil sur « privé » : la vulnérabilité de l'API offrait une autre voie d'accès aux données, avec des implications évidentes en matière de confidentialité et de protection des données. Dans de telles situations, au lieu de créer l'API pour accorder l'accès aux données utilisateur lorsque certaines conditions sont remplies, comme fournir un jeton "utilisateur authentifié", le code API doit être renforcé pour empêcher l'exposition des données. Pour couronner le tout, le processus de correction a pris plus de trois mois, tandis qu'une intégration efficace de la sécurité des API dans le processus de développement aurait garanti que la vulnérabilité n'aurait pas pu être exploitée.
approche holistique
La liste des défis est longue, mais il suffit de dire que les organisations doivent adopter une approche holistique de la sécurité des API et, de la conception à la livraison, sont mieux placées pour garder une longueur d'avance sur les cybercriminels qui deviennent de plus en plus aptes à identifier et exploiter les vulnérabilités. Sans une attention plus généralisée sur les risques et les efforts d'atténuation, nous verrons probablement beaucoup plus d'exemples de violations de données et de confidentialité liées à l'API que beaucoup pensent devoir être évitées. Alors que la mise en œuvre d'API se développe pour répondre aux besoins des organisations sur la voie de la transformation numérique, l'intérêt des cybercriminels qui cherchent à exploiter les vulnérabilités potentielles augmente également. La clave para minimizar el riesgo es garantizar que el diseño, la implementación y la administración de un extremo a otro de las API satisfagan las necesidades de los servicios basados en aplicaciones que son una parte integral de las primeras experiencias digitales de los consumidores en l'actualité. En adoptant un état d'esprit où les API sont traitées comme des "citoyens de première classe" de l'entreprise, les équipes informatiques et de sécurité peuvent avoir beaucoup plus confiance dans leur stratégie de sécurité. Pour garder les connexions en ligne privées et sécurisées, consultez notre meilleur VPN professionnel.