La vulnérabilité des API, angle mort de la défense des entreprises qui veulent une expérience client fluide

Les interfaces de programmation applicatives (API) sont aujourd’hui partout dans les entreprises, pour enrichir les services apportés aux utilisateurs. Pourtant, les organisations peinent à en assurer la sécurité, comme le rappelle Nicolas Jeanselme de Salt Security, en prenant l’exemple du cas récent de Booking.com.

Nicolas Jeanselme de Salt Security

Nicolas Jeanselme de Salt Security

Alors que le Forum International de la Cybersécurité se tient du 5 au 7 avril, les sujets de préoccupation pour les entreprises ne manquent pas. L’édition 2023 de la grand-messe de la cyber française sera ainsi consacrée aux enjeux de confiance du Cloud ; mais de nombreuses autres thématiques et expertises coexistent dans les allées du Grand Palais de Lille qui accueille l’évènement. Parmi celles-ci, la question de la vulnérabilité des API passe pourtant régulièrement sous le radar des grands titres de la presse, qui voient plutôt se succéder des attaques par rançongiciel sur les hôpitaux ou les chantages et arnaques plus ou moins complexes mis en œuvre par les criminels.

Pourtant, les API (interfaces de programmation applicatives) sont aujourd’hui partout, à la fois chez les pure-players du digital, dont elles sont l’une des fondations pour proposer des services étendus à leurs utilisateurs et se connecter à d’autres plateformes, mais aussi au sein des systèmes d’information d’entreprises plus traditionnelles qui se digitalisent et veulent proposer des expériences « sans coutures » à leurs clients.

A lire aussi : Mathieu Rasse (Meta-API) : « Il y a un enjeu de sensibilisation à l’API car la simplicité fait peur »

Une maîtrise rudimentaire des API dans les entreprises

« Il y a une énorme pression du business pour digitaliser, mais la place de la « security by design » dans la conception des projets est encore très faible. Et cela se ressent en particulier au niveau des API. Il y a beaucoup d’applications qui prolifèrent dans toutes les organisations aujourd’hui, et la maîtrise des API (qui les font communiquer et ajoutent de l’interopérabilité, NDLR) est souvent rudimentaire » décrit ainsi Nicolas Jeanselme, principal security engineer de Salt Security. Cette entreprise, fondée en 2016 par des anciens de l’armée israélienne, est spécialisé dans la sécurité des API.

Dans son dernier rapport « State of API Security », elle note une hausse de 400% du nombre de pirates ciblant les API au cours des six derniers mois. Elle met également en exergue les problèmes rencontrés par Booking.com, la célèbre plateforme de réservation d’hébergement. « Ces failles, décelées dans l’implémentation du protocole Open Authorization (OAuth) utilisé par Booking.com, étaient susceptibles d’affecter les utilisateurs se connectant au site depuis leur compte Facebook (et s’appuyant sur une API, donc, NDLR). Les erreurs de configuration de la fonctionnalité OAuth auraient ainsi pu mener à des usurpations massives de comptes clients » note le rapport.

A la clé de telles usurpations de compte, des risques de perte de contrôle des utilisateurs, avec exécution de réservation et d’annulation à leur place, mais aussi de fuites de leurs données personnelles. « Si OAuth offre l’avantage d’une expérience simplifiée sur les sites web, la fonctionnalité présente en contrepartie un back-end technique complexe pouvant donner lieu à des failles exploitables. Dès lors qu’il se connecte via Facebook, n’importe quel utilisateur de Booking.com est donc susceptible d’en faire les frais » commente l’entreprise, qui estime que de telles vulnérabilités sur des plateformes ayant pignon sur rue, mettent potentiellement en porte-à-faux des millions de personnes.

Pas d’effet d’aubaine dans l’écosystème

Malgré ces risques, la réalité est cependant bien là : les systèmes d’information s’ouvrent aujourd’hui massivement pour proposer aux clients, et parfois même aux collaborateurs, des services plus riches et rapides et des parcours utilisateurs plus fluides. Les API, au cœur de ces capacités pour faciliter le partage de données et l’authentification entre des plateformes différentes, concernent donc aujourd’hui tous les secteurs. Du côté des acteurs de la finance, les experts de Salt Security ont ainsi pu voir passer dernièrement des problèmes au niveau des connecteurs qui reliaient une banque à près d’une centaine de start-up. Le tout sans que les utilisateurs aient conscience de cette fragilité, du fait de l’excellente réputation de sécurité dont peuvent se prévaloir les systèmes bancaires.

Pour Booking.com, aucun impact particulier n’a cependant été noté, car la faille a été corrigée avant d’être exploitée. « Notre entité Salt Labs recherche en permanence des failles, y compris sur des entreprises qui ne sont pas nos clients. Nous détectons, signalons, aidons à la correction. Pour Booking, nous avons découvert les premiers signes de problème le 10 novembre 2022 et l’entreprise a pu corriger le 26 décembre. Nous en parlons uniquement aujourd’hui parce que nous savons que l’entreprise a géré le problème. Cependant c’est une alerte : beaucoup de sites proposent des identifications par compte tiers équivalente » explique Nicolas Jeanselme, qui note que de nombreux acteurs ont dès lors demandé des audits sur leurs propres organisations pour vérifier s’ils n’étaient pas concernés. 

Car c’est un problème fondamental des API : chaque organisation créée les siennes propres, qui vont coexister, se développer, être réinventées… créant une situation unique. « Quand Booking fixe sa faille, il n’y a pas d’effets réseaux ou d’aubaine, comme on peut en voir sur d’autres sujets de la cybersécurité. Il n’y a pas une « correction de faille » automatique pour tout le monde. Le mieux qu’une telle affaire puisse apporter, c’est de provoquer des évolutions dans la posture des autres organisations. » insiste l’ingénieur.

En effet, pour beaucoup d’entreprises, les API ne sont tout simplement pas une vulnérabilité claire et bien identifiée. Contrairement à d’autres systèmes et applications, elles ne gèrent pas pour ces connecteurs précieux des politiques abouties de mises à jour et de « patch management », chargées de combler les failles de sécurité au fur et à mesure que les éditeurs et les hackers éthiques les signalent. Sans compter que toutes les entreprises ne mettent même pas encore en œuvre ces bonnes pratiques. « On voit dans l’actualité que même quand le correctif existe sur une faille importante, comme avec le cas bien connu Eternal Blue dans les systèmes Microsoft, des organisations de taille importante ne l’ont toujours pas appliqué des années plus tard. » se désole donc Nicolas Jeanselme.

Nommer une personne responsable de la sécurité des API

Quels sont alors les leviers d’action pour sortir de cet angle mort de la protection de nombreuses plateformes ? « Les directeurs cybersécurité doivent recenser et connaître les API de leur entreprise » synthétise le spécialiste de Salt Security. Des solutions techniques peuvent permettre de comprendre et détecter ce qu’est un usage « anormal » d’une API, pour détecter des attaques en corrélant ces informations avec d’autres issues des pratiques de cybersécurité de l’entreprise. « L’utilisation de l’intelligence artificielle pourra enlever le caractère rébarbatif de cette détection. Tous les opérateurs de sécurité se souviennent sans doute d’avoir dû faire cela à la main pendant des journées : telles requêtes ne sont pas normales, etc. On peut maintenant y échapper. »

Mais plus important, l’expert appelle les organisations à penser le long terme, en changeant le design de leurs API pour améliorer la posture de sécurité et éviter de recommencer à chaque fois à zéro. « La bonne nouvelle, c’est que statistiquement seuls quelques APIs sont vraiment en défaut ; il faut donc se donner les moyens de ne pas en souffrir. Pour cela, il faut faire changer la gouvernance sur le sujet. Aujourd’hui, la sécurité des API n’est souvent le sujet de personne en particulier… et donc mécaniquement de personne du tout. Rares sont les organisations à avoir vraiment une personne dédiée à la question. Ce que l’on constate, c’est que dès qu’une telle personne est nommée, les lignes bougent ».

La prise de conscience a-t-elle cependant commencé ? Dans son rapport State of API Security, Salt Security met en avant que 48% des 400 professionnels de la sécurité interrogés disent voir enfin le sujet parmi les préoccupations de leurs dirigeants.  Et un peu plus de la moitié de ces mêmes professionnels ont conscience du risque que présentent les API obsolètes qui pourraient exister dans leur entreprise. Suffisant pour voir le verre à moitié plein ?