Votre IA est-elle conforme ? Inscrivez-vous dès aujourd'hui

Technique

Top 10 de la sécurité des API OWASP 2023 expliqué

December 31, 2024

Eric Schwake
Head of Product Marketing

Qu'est-ce que l'OWASP ?

Dans le paysage numérique interconnecté d'aujourd'hui, les API sont fondamentales pour les applications modernes, stimulant l'innovation et permettant aux entreprises de répondre aux attentes croissantes des clients. Cependant, cette dépendance aux API en a également fait des cibles attrayantes pour les cyberattaquants. Pour contrer efficacement ces menaces, les organisations doivent comprendre les principaux risques de sécurité des API et trouver des moyens de les atténuer.

OWASP : Un champion de la sécurité des applications web

L'Open Web Application Security Project (OWASP) est une organisation à but non lucratif qui se consacre à l'amélioration de la sécurité des applications web. Elle propose une vaste gamme de ressources gratuites, telles que de la documentation, des outils, des forums et des vidéos, visant à aider les développeurs et les experts en sécurité à créer des applications plus sûres. Parmi ses contributions clés figurent l'OWASP Top 10, qui met en évidence les vulnérabilités des applications web, et l'OWASP API Security Top 10, qui cible les risques associés à la sécurité des API.

Le paysage évolutif des attaques d'API

Le paysage des menaces liées aux API est en constante évolution, les attaquants améliorant leurs méthodes. Le rapport sur l'état de la sécurité des API de Salt Security a indiqué que 95 % des organisations ont subi une forme d'incident de sécurité lié aux API. Les acteurs malveillants ciblent de plus en plus la logique métier fondamentale des API et emploient des tactiques "lentes et discrètes" pour éviter la détection, ce qui leur permet de mener leurs attaques sur des périodes prolongées.

OWASP API Security Top 10 : Une ressource essentielle

En 2023, l'OWASP a publié sa version mise à jour du Top 10 de la sécurité des API pour faire face aux menaces évolutives. Cette liste offre des informations cruciales sur les principaux défis de sécurité dans l'écosystème complexe des API d'aujourd'hui. Ce blog examinera en détail chaque vulnérabilité décrite dans l'OWASP API Security Top 10.

API1:2023 Autorisation au niveau de l'objet défaillante (BOLA)

L'autorisation au niveau de l'objet défaillante résulte d'un manque de contrôles d'accès appropriés sur les points d'accès des API, permettant à des utilisateurs non autorisés d'accéder et de modifier des données sensibles. La BOLA est présente dans environ 40 % de toutes les attaques d'API et constitue la menace de sécurité API la plus courante. Les vulnérabilités API liées à l'autorisation au niveau de l'objet défaillante sont en tête de liste de l'OWASP depuis 2019 et ont conservé leur première place dans la version 2023.

API2:2023 Authentification défaillante

L'authentification défaillante permet aux attaquants d'utiliser des jetons d'authentification volés, le bourrage d'identifiants et les attaques par force brute pour obtenir un accès non autorisé aux applications. Cette vulnérabilité de sécurité de l'authentification API a conservé sa deuxième place sur la liste OWASP depuis 2019.

API3:2023 Autorisation défaillante au niveau des propriétés d'objet

L'autorisation défaillante au niveau des propriétés d'objet regroupe les attaques qui se produisent en obtenant un accès non autorisé à des informations sensibles par le biais de Exposition excessive de données (précédemment classée au 3ème rang dans le Top 10 de la sécurité des API OWASP 2019) ou Assignation de masse (précédemment à la sixième place dans la liste de 2019). Les deux techniques reposent sur la manipulation des points d'accès API pour obtenir l'accès à des données sensibles.  

API4:2023 Consommation de ressources illimitée

Cette vulnérabilité provient des API qui implémentent mal ou négligent d'implémenter des limites sur la consommation de ressources, les rendant très vulnérables aux attaques par force brute. La consommation de ressources illimitée a remplacé l'ancienne vulnérabilité numéro 4 du Top 10 de la sécurité des API OWASP, le manque de ressources et de limitation de débit. Cependant, bien que le nom ait changé, cette vulnérabilité reste globalement la même.

API5:2023 Autorisation défaillante au niveau des fonctions (BFLA)

Cette menace se manifeste lorsque l'autorisation n'est pas correctement implémentée, permettant à des utilisateurs non autorisés d'exécuter des fonctions API telles que l'ajout, la mise à jour ou la suppression d'un enregistrement client ou d'un rôle utilisateur. Le BFLA a conservé sa cinquième place sur la liste depuis 2019.

API6:2023 Accès illimité aux flux métier sensibles

Cette nouvelle menace, qui a remplacé l'Assignation de masse à la 6ème place du Top 10 de la sécurité des API OWASP, se manifeste lorsqu'une API expose un flux métier sans prévoir comment la fonctionnalité pourrait causer des dommages si elle était utilisée de manière excessive par l'automatisation. Pour exploiter cette vulnérabilité, un attaquant devra comprendre la logique métier derrière l'API en question, trouver les flux métier sensibles et automatiser leur accès afin de nuire à l'entreprise.

API7:2023 Falsification de requêtes côté serveur (SSRF)

La falsification de requêtes côté serveur peut se produire lorsqu'une URL contrôlée par l'utilisateur est transmise via une API et est acceptée et traitée par le serveur back-end. Les risques de sécurité de l'API se matérialisent si le serveur back-end tente de se connecter à l'URL fournie par l'utilisateur, ce qui ouvre la porte au SSRF. Cette menace a remplacé Assignation de masse à la 6ème place sur la liste Top 10 de la sécurité des API OWASP.

API8:2023 Mauvaise configuration de sécurité

La mauvaise configuration de sécurité est un terme générique pour un large éventail de mauvaises configurations de sécurité qui ont souvent un impact négatif sur la sécurité globale des API et introduisent des vulnérabilités API par inadvertance. Cette menace figurait à la 7ème place de la liste Top 10 de la sécurité des API OWASP publiée en 2019 et elle est restée à la même position en 2023.

API9:2023 Gestion d'inventaire inappropriée

Cette menace résulte d'un inventaire obsolète ou incomplet, ce qui peut créer des lacunes inconnues dans la surface d'attaque des API, rendant difficile l'identification des versions plus anciennes d'API qui devraient être décommissionnées. La gestion d'inventaire inappropriée a remplacé la gestion inappropriée des actifs à la 9ème place du Top 10 de la sécurité des API OWASP et, bien que le nom ait été modifié pour souligner l'importance d'un inventaire d'API précis et à jour, la menace reste la même.

API10:2023 Consommation non sécurisée d'API

La vulnérabilité de la consommation non sécurisée d'API découle de l'utilisation inappropriée des API par les clients API, comme le contournement des contrôles de sécurité d'authentification API ou la manipulation des réponses API, ce qui peut entraîner un accès non autorisé et une exposition de données. Cette vulnérabilité API peut être exploitée via la consommation de données API elles-mêmes ou en exploitant les problèmes d'intégration tiers. La consommation non sécurisée d'API a remplacé Journalisation et surveillance insuffisantes à la 10ème place du Top 10 de la sécurité des API OWASP.

L'importance de comprendre le Top 10 de la sécurité des API OWASP

Les API connectent les applications modernes d'aujourd'hui, alimentent l'innovation commerciale et permettent aux entreprises de répondre aux attentes de plus en plus élevées de leurs clients en matière de numérisation et de rapidité. Mais, en devenant un atout inestimable pour les organisations, elles sont également devenues une cible principale pour les attaquants.

Si vous souhaitez en savoir plus sur Salt et comment nous pouvons vous accompagner dans votre parcours de sécurité API à travers la découverte, la gouvernance de la posture et la protection contre les menaces en temps réel, contactez-nous, planifiez une démo, ou consultez notre site web.

Blog de Salt Security

Inscrivez-vous à la newsletter Salt pour recevoir les dernières ressources et articles de blog.

Nos derniers articles