Dévoilée en fin de semaine dernière, la fuite de données dont a été victime la filiale américaine de l'opérateur T-Mobile (avec au moins 37 millions de comptes concernés), illustre la menace de grande ampleur que fait peser tout défaut de sécurisation des API sur les entreprises. Car c'est bien une faille dans la protection d'une interface de programmation qui a permis aux assaillants de récupérer les données personnelles de dizaines de millions de clients de l'opérateur entre la fin novembre 2022 et le 5 janvier 2023, date à laquelle le pot aux roses a été découvert par les équipes de T-Mobile.

Si l'entreprise n'a pas dévoilé comment les pirates s'y sont pris pour compromettre cette API, cet incident majeur illustre la priorité que constitue le dossier de la sécurisation de ces interfaces. Dès 2021, le cabinet d'études Gartner avertissait du risque que faisait peser le détournement des API par des cyberassaillants. Publiée en ce début d'année, une étude du fournisseur de technologies Corsha, spécialisé dans la sécurisation des API, évaluait à 53% la part des entreprises ayant connu une fuite de données en raison de jetons API compromis. Rappelons qu'il y a environ un mois, c'est Twitter qui reconnaissait une fuite de données touchant 235 millions d'utilisateurs du fait d'un défaut de sécurisation d'une de ses interfaces.

Une aubaine pour les développeurs... et pour les pirates

A mesure que les usages du cloud se généralisent, rendant le recours aux API de plus en plus incontournable, la surveillance des accès à ces dernières devient un sujet critique pour les DSI et RSSI. D'autant que le nombre des accès à monitorer explose à mesure que les systèmes deviennent de plus en plus hybrides. Et qu'une simple journalisation de ces mêmes accès s'avère parfois insuffisante, comme l'a montré le contournement de la solution de journalisation CloudTrail d'AWS mise au jour par Datadog.

Pensées pour faciliter la communication entre services applicatifs, les API sont des cibles de choix pour les pirates, tout contournement offrant un accès à d'importants volumes de données. « Les API sont conçues pour fournir un accès facile aux applications et aux données. Un vrai plus pour les développeurs, mais aussi une aubaine pour les pirates, explique Mark O'Neill, analyste chez Gartner à nos confrères de VentureBeat. La sécurisation commence par la découverte et la catégorisation de vos API. Vous ne pouvez pas sécuriser ce que vous ne connaissez pas. » Un prérequis avant de déployer les mesures de sécurisation proprement dites (tests de pénétration, gateways dédiées, outils de type WAAP, pour Web application and API protection).

« L'un des principaux problèmes est que la sécurité des API dépend de deux équipes : les équipes d'ingénierie, qui manquent de compétences en matière de sécurité, et les équipes de sécurité, qui manquent de compétences en matière d'API », reprend l'analyste du Gartner.

Gérer les secrets pour faire face à l'explosion des accès

Une des priorités essentielles pour ces équipes ? Améliorer la visibilité sur l'identité des machines, applications ou services qui accèdent aux API de leur organisation. Selon l'étude de Corsha, menée auprès de 400 spécialistes de la sécurité ou de l'ingénierie logicielle, 42% de ces professionnels expliquent gérer jusqu'à 250 jetons, clés ou certificats d'accès aux API sur leurs réseaux. Que ces secrets se trouvent dans une base de données, codés en dur ou dans un fichier dédié, leur monitoring représente un immense défi pour des équipes de sécurité déjà sous pression.

D'autant que ce chiffre est voué à croître rapidement : l'équipementier Cisco estime que 500 millions de nouvelles applications seront développées en 2023, soit autant qu'au cours des 40 dernières années. « Davantage d'applications signifie que l'armée de machines requérant des accès aux API va exploser », souligne Corsha dans son rapport. Or, dans la plupart des entreprises, les pratiques de gestion des secrets, encore largement basées sur des interventions manuelles, peinent à suivre le rythme : huit organisations sur dix modifient les jetons, certificats et clefs donnant accès à leur API moins d'une fois par mois.