Votre IA est-elle conforme ? Inscrivez-vous dès aujourd'hui

Industrie

API zombies : La menace des morts-vivants pour votre sécurité

January 9, 2025

Michael Callahan
Chief Marketing Officer

Les API zombies, parfois appelées API « orphelines » ou « oubliées », désignent des points d'accès (endpoints) qui ont été initialement déployés dans un but précis, mais qui ne sont plus activement utilisés ou maintenus. Ces API restent souvent opérationnelles au sein de l'infrastructure d'une organisation en raison d'une négligence ou de processus de décommissionnement incomplets. Malgré leur inactivité, les API zombies peuvent toujours exposer des données sensibles, permettre un accès non autorisé ou contenir des vulnérabilités que les attaquants exploitent, ce qui en fait une menace silencieuse dans le paysage des API.

À mesure que les organisations adoptent des flux de travail agiles et étendent leurs écosystèmes numériques, les API zombies deviennent de plus en plus courantes, en particulier lorsque de nouveaux points d'accès sont développés rapidement et que les anciens sont abandonnés. Ce document explore les risques posés par les API zombies, les conséquences concrètes de leur non-traitement et les stratégies efficaces pour identifier et atténuer ces menaces.

Le risque pour la sécurité des API zombies

Les API zombies posent des risques de sécurité importants pour les organisations. En fait, le Salt Security State of API Security report a montré que les API zombies étaient la principale préoccupation en matière de sécurité des API pour les organisations au cours des quatre dernières enquêtes. Il est inquiétant de constater que de nombreux outils et pratiques traditionnels sont incapables de les détecter, de les sécuriser et de les gérer. Les risques sont les suivants :

1. Protocoles de sécurité obsolètes et vulnérabilités

Contrairement aux API activement utilisées, les API zombies manquent souvent de mises à jour de sécurité régulières. Comme ces API sont exclues des cycles de maintenance réguliers, elles utilisent fréquemment des protocoles d'authentification, des normes de chiffrement ou des contrôles d'accès obsolètes, ce qui les rend vulnérables aux attaques.

Sans mesures de sécurité à jour, les API zombies deviennent des cibles faciles pour les attaquants qui recherchent des points d'accès utilisant des protocoles obsolètes, tels que d'anciennes versions de TLS, ou des méthodes d'authentification plus simples comme les clés API. Les attaquants exploitent ces points faibles pour obtenir un accès non autorisé à des systèmes sensibles, des données, ou même à des contrôles réseau plus larges.

Par exemple, en 2023, le grand fournisseur de télécommunications T-Mobile a subi une violation de données lorsque des attaquants ont exploité une API zombie qui utilisait un chiffrement TLS obsolète. L'API avait été utilisée pour une application mobile héritée, et en raison d'un manque de surveillance et de mises à jour, le chiffrement obsolète a permis aux attaquants d'intercepter et de déchiffrer facilement les données.

Action : Analysez régulièrement toutes les API à la recherche de protocoles obsolètes ou de configurations dépassées. Les évaluations de sécurité automatisées devraient inclure l'identification des API inactives qui n'ont pas reçu de mises à jour récentes, permettant aux équipes de sécurité de les décommissionner ou de les mettre aux normes actuelles.

2. Exposition de données non surveillée et risques pour la confidentialité

De nombreuses API transmettent ou accèdent à des données sensibles, mais lorsqu'une API devient inactive et n'est pas surveillée, elle peut exposer des données involontairement. Dans les secteurs réglementés, l'exposition de données non surveillée peut entraîner des violations de conformité et des amendes coûteuses.

Par exemple, en 2018 une faille d'API au sein du service postal des États-Unis (USPS) a potentiellement exposé les données de 60 millions de clients. La vulnérabilité permettait à toute personne disposant d'un compte USPS d'accéder aux informations sensibles d'autres utilisateurs, y compris les adresses e-mail, les noms d'utilisateur, les adresses postales et les numéros de téléphone. La faille avait été découverte et signalée des mois auparavant, mais ce n'est que lorsqu'un chercheur en sécurité a contacté Brian Krebs que l'USPS a pris des mesures pour résoudre le problème.

Action : Intégrer des outils de prévention des pertes de données (DLP) dans les systèmes de surveillance des API afin de signaler toute exposition anormale de données. La surveillance continue doit s'étendre aux API inactives, et des audits réguliers doivent être menés pour s'assurer que les données sensibles sont protégées ou que l'accès est complètement désactivé.

3. Violations de conformité dues au manque de documentation et de surveillance

Les API zombies sont souvent non documentées ou mal cataloguées, ce qui crée des risques de conformité importants. Pour des réglementations comme le RGPD, le CCPA ou l'HIPAA, les organisations doivent être en mesure de rendre compte de tous les systèmes traitant des données sensibles. Lorsqu'une API n'est pas documentée, il devient impossible de vérifier son statut de conformité, ce qui représente un risque de violation réglementaire.

À mesure que les organisations étendent leurs écosystèmes d'API, la gestion de la conformité pour chaque point d'accès devient un défi, en particulier pour les API fantômes et zombies. Les API zombies échappent souvent aux contrôles de conformité réguliers, augmentant le risque de non-conformité et d'amendes potentielles.

La violation de données de T-Mobile en 2021 est un bon exemple d'attaque liée aux API qui a entraîné des violations de conformité. Bien que les détails exacts de l'attaque n'aient pas été entièrement divulgués, on pense que des pirates ont exploité des vulnérabilités dans l'API de T-Mobile pour obtenir un accès non autorisé à des données clients sensibles, y compris des informations personnelles, des numéros de sécurité sociale et des détails financiers. Cette violation a entraîné d'importantes amendes réglementaires et des dommages à la réputation de T-Mobile.

Action : Des audits réguliers des API et des pratiques de documentation sont essentiels pour la conformité. Les outils de découverte automatisés peuvent aider à cartographier toutes les API au sein d'une organisation, garantissant que chaque point d'accès est documenté, surveillé et évalué pour sa conformité aux normes de l'industrie.

4. Points d'entrée privilégiés des attaquants pour le mouvement latéral

Les attaquants recherchent fréquemment les points d'accès oubliés ou non surveillés car ils sont moins susceptibles d'être détectés et utilisent souvent des paramètres de sécurité plus faibles. Une fois à l'intérieur, les attaquants utilisent ces points d'entrée pour un mouvement latéral au sein du réseau d'une organisation, étendant l'accès au-delà de l'API d'origine.

Une fois que les attaquants ont pénétré via une API vulnérable, ils peuvent accéder à des systèmes interconnectés, extraire des données sensibles et potentiellement élever leurs privilèges. Les API zombies, en particulier celles dotées d'une authentification ou de contrôles d'accès faibles, offrent un accès facile aux attaquants pour explorer les systèmes internes sans être détectés.

Le Rapport 2024 de Salt Security sur l'état de la sécurité des API a révélé que les API étaient de plus en plus utilisées par les cybercriminels comme point d'entrée pour les cyberattaques. Le rapport a constaté que plus de 37 % des personnes interrogées ont déclaré avoir subi un incident de sécurité API au cours de la dernière année, contre 17 % en 2023, le nombre d'API ayant augmenté de 167 % au cours de la dernière année. De plus, le rapport a révélé que de nombreuses organisations manquent d'une stratégie de sécurité API mature, ce qui entraîne une augmentation des risques et des vulnérabilités.

Action : Mettre en œuvre des protocoles stricts de contrôle d'accès et de surveillance pour toutes les API, y compris les inactives. La segmentation du réseau et la micro-segmentation aident à limiter les mouvements latéraux, empêchant les attaquants d'utiliser les API zombies pour accéder aux systèmes sensibles.

Faire face à la menace des API zombies dès maintenant

Une gestion appropriée du cycle de vie des API implique le suivi de chaque API, du développement à la dépréciation et au démantèlement. Sans processus formalisé, les API peuvent rester actives longtemps après que leur objectif a été atteint, devenant ainsi des API zombies. L'établissement d'une politique rigoureuse de gestion du cycle de vie garantit que les API obsolètes ne sont pas laissées vulnérables dans les environnements de production.

Une politique de cycle de vie claire exige des équipes qu'elles documentent chaque API, planifient des examens réguliers et désactivent les API qui ne sont plus nécessaires. En appliquant ce processus, les organisations peuvent réduire la prolifération des API, minimiser les surfaces d'attaque et assurer la conformité aux normes de protection des données.

Action : Adoptez un cadre de gestion du cycle de vie des API qui suit chaque API de sa création à sa dépréciation. Des outils automatisés devraient être utilisés pour détecter les API inactives ou sous-utilisées, et des politiques devraient exiger un examen régulier et la mise hors service des points d'accès obsolètes.

Éliminer le risque des API zombies

Les API zombies sont une menace souvent négligée dans les environnements API modernes, offrant des points d'accès faciles aux attaquants en raison de leurs protocoles obsolètes, de leur manque de documentation et de leurs flux de données non surveillés. À mesure que les organisations étendent leurs déploiements d'API, le risque d'API zombies augmente, rendant essentiel l'adoption de pratiques de gestion proactives.

En appliquant la gestion du cycle de vie, en intégrant des outils de découverte et de surveillance automatisés, et en priorisant la conformité et la protection des données, les organisations peuvent minimiser les risques posés par les API zombies. S'attaquer aux « morts-vivants » dans les environnements API est essentiel pour maintenir un écosystème API sécurisé, conforme et résilient.

En 2025 et au-delà, la gestion des API zombies deviendra un élément standard de toute stratégie de sécurité API robuste. Les organisations qui ne parviennent pas à s'attaquer à ces menaces cachées risquent d'être victimes de violations de données, de pertes de données et d'infractions réglementaires, mettant en péril leurs opérations et leur réputation.

Découvrez comment détecter les API zombies au sein de votre organisation dès aujourd'hui.

Blog de Salt Security

Inscrivez-vous à la newsletter Salt pour recevoir les dernières ressources et articles de blog.

Nos derniers articles