Les services d’API : les nouvelles cibles des cybercriminels pour 2022

0
209

Dans leurs prédictions des menaces pour 2022, McAfee Enterprise et FireEye ont notamment mis en cause la sécurité du cloud, notamment via le ciblage des services API et l’exploitation des contenus des applications.

Tribune – Alors que des statistiques récentes suggèrent que plus de 80 % de l’ensemble du trafic internet appartient à des services API, ce type d’utilisation accrue attire l’attention des développeurs de menaces en quête de cibles gratifiantes ! En effet, les API riches en fonctionnalités ne sont plus seulement un intergiciel pour les applications mais sont devenues l’épine dorsale de la plupart des applications modernes utilisées aujourd’hui. En voici quelques exemples :

  • Les applications mobiles 5G : la connectivité 5G et le déploiement de points de terminaison IoT se sont développés de façon spectaculaire, offrant une capacité plus élevée pour des besoins de connectivité plus larges.
  • L’Internet des objets : plus de 30,9 milliards d’appareils IoT devraient être utilisés dans le monde d’ici 2025, et le marché de l’IoT industriel devrait atteindre 124 milliards de dollars en 2021.
  • Suites de productivité dynamiques basées sur le web : le marché mondial des logiciels de productivité bureautique basés sur le cloud devrait atteindre 50,7 milliards de dollars en 2026.

Dans la plupart des cas, les attaques ciblant les API passent inaperçues car ces interfaces sont généralement considérées comme fiables et ne bénéficient pas du même niveau de gouvernance et de contrôles de sécurité.

Voici quelques-uns des principaux risques que nous pourrions connaitre dans le futur :

  • La mauvaise configuration des API entraînant l’exposition accidentelle d’informations.
  • L’exploitation des mécanismes d’authentification modernes tels que Oauth/Golden SAML pour obtenir l’accès aux API et persister dans les environnements ciblés.
  • L’évolution des attaques traditionnelles de logiciels malveillants pour utiliser davantage les API du cloud, telles que l’API Graph de Microsoft. Cela a d’ores et déjà été confirmé notamment par l’attaque de SolarWinds et d’autres acteurs de la menace comme APT40/GADOLINIUM.
  • L’utilisation abusive potentielle des API pour lancer des attaques sur les données des entreprises, comme les ransomwares sur les services de stockage cloud (OneDrive par exemple).
  • L’utilisation des API pour l’infrastructure définie par logiciel signifie également une potentielle mauvaise utilisation conduisant à une prise de contrôle total de l’infrastructure ou à la création d’une infrastructure fantôme à des fins malveillantes.

Gagner en visibilité sur l’utilisation des applications et avoir la possibilité d’examiner les API utilisées, devrait être une priorité pour les entreprises, l’objectif étant de disposer à terme d’un inventaire basé sur les risques des API utilisées et d’une politique de gouvernance pour contrôler l’accès à ces services. Il est également essentiel d’avoir une vue d’ensemble des entités non basées sur l’utilisateur au sein de l’infrastructure, telles que les comptes de service et les principes d’application qui intègrent les API dans l’écosystème de l’entreprise au sens large.

Pour les développeurs, l’élaboration d’un modèle de menace efficace pour leurs API et la mise en place d’un mécanisme de contrôle d’accès de type “Zero Trust” devraient être une priorité, de même qu’une journalisation et une télémétrie de sécurité efficaces pour une meilleure réponse aux incidents et la détection des utilisations malveillantes.