La sécurité des API est l’un des aspects les plus importants dont vous devez vous occuper dans presque toutes les applications.
De nos jours, les API constituent le meilleur moyen d’intégrer votre application à d’autres applications. Ils fournissent une passerelle vers votre application et, par conséquent, les API doivent être suffisamment sécurisées pour que vous n’obteniez aucun visiteur indésirable.
Examinons quelques vulnérabilités de l’API qui peuvent constituer une menace pour votre application.
Table des matières
Vulnérabilités courantes des API
#1. Scripts intersites (XSS)
Les attaques XSS sont courantes dans les applications Web, mais peuvent également se produire via des API si les données utilisateur entrantes ne sont pas correctement nettoyées. Les attaquants peuvent exécuter des scripts malveillants sur le serveur et accéder aux données sensibles.
#2. Violation de la limitation de débit
La violation de la fonction de limitation de débit de l’API peut donner aux attaquants la possibilité de bombarder votre serveur avec un grand nombre de requêtes. Finalement, le serveur pourrait tomber en panne et votre clientèle pourrait avoir des difficultés à vous joindre.
#3. Authentification incorrecte
Si l’API n’est pas correctement configurée à l’aide d’une méthode d’authentification fiable, tout tiers peut accéder à votre système via l’API. L’autorisation est également importante car elle définit qui peut accéder à quelle ressource API pendant une durée spécifiée.
#4. Transmission de données non sécurisée
Les données envoyées aux consommateurs de votre API doivent être cryptées en cours de route. Si ce n’est pas le cas, il est possible que les données soient divulguées par des attaquants utilisant une attaque de l’homme du milieu. C’est pourquoi il est toujours recommandé d’utiliser un protocole sécurisé tel que HTTPS pour transmettre des données.
#5. Dépendances obsolètes/obsolètes
Les API ont de nombreuses dépendances externes qui sont utilisées pour effectuer des tâches complexes et pour décharger une logique complexe. Si ces dépendances présentent une vulnérabilité, alors indirectement, votre API devient également vulnérable. Assurez-vous toujours de mettre à jour les versions des dépendances.
Maintenant que vous connaissez les vulnérabilités des API, examinons quelques bonnes pratiques pour sécuriser votre API.
Lisez également : Meilleures alternatives Postman pour tester l’API pour les développeurs
Sécurité des API – Meilleures pratiques
Gestion des versions de l’API
Il est crucial de surveiller et de mettre à jour régulièrement vos API avec des dépendances mises à jour, car ces dépendances peuvent contenir des vulnérabilités majeures. Vous pouvez informer les utilisateurs de l’API en publiant une version corrective de l’API conformément aux versionnement sémantique.
Garder votre API à jour est la moindre des choses pour éviter qu’elle ne soit exploitée par des attaquants.
Authentification
Il existe de nombreuses façons d’authentifier un utilisateur d’API. Le moyen le plus simple consiste à utiliser l’approche nom d’utilisateur/mot de passe, mais c’est trop basique et dépend uniquement de la force du mot de passe.
Une autre façon consiste à utiliser des clés API pour accéder à l’API. Vous pouvez fournir à chaque utilisateur de l’API une clé unique qu’il peut utiliser.
L’authentification JWT est une technique dans laquelle les informations d’identification de l’utilisateur sont converties en un jeton signé numériquement puis envoyées à l’utilisateur. L’utilisateur renvoie ensuite le même jeton à chaque requête au serveur pour que celui-ci le valide. Les JWT ont également un délai d’expiration.
La solution la plus efficace est OAuth. Il permet à des tiers d’accéder à l’API avec des informations de connexion déjà existantes. Par exemple, si vous êtes déjà connecté à Google, une application peut utiliser ces informations d’identification pour vous connecter à votre compte sans avoir besoin de mot de passe. Votre compte Google devient le mot de passe.
Autorisation
L’autorisation est une chose différente de l’authentification. Pendant que vous autorisez un utilisateur, il est déjà authentifié pour utiliser votre API, et il s’agit simplement de la ressource API à laquelle il peut accéder.
Par exemple, un professeur d’université peut avoir accès à tous les étudiants d’un lot, mais un seul étudiant ne peut accéder qu’à ses données. Dans ce cas, l’étudiant et le professeur sont authentifiés sur le même système mais ne sont autorisés qu’à effectuer certaines actions.
S’assurer que l’autorisation API fonctionne correctement peut empêcher tout accès non autorisé à une ressource.
Rédaction des données
La rédaction de données est le processus de révélation sélective d’informations aux utilisateurs et de protection des informations sensibles. Une autorisation appropriée peut conduire à une meilleure rédaction des données. Les réglementations sur la confidentialité des données telles que le RGPD reposent également sur la suppression des données. Tout tiers indésirable ne devrait pas pouvoir accéder aux données personnelles ou sensibles.
Vous pouvez implémenter une réaction aux données en implémentant un middleware ou un gestionnaire de passerelle.
Chiffrement
C’est devenu le contrôle de sécurité le plus important dans le monde d’aujourd’hui. Le cryptage est indispensable si vous traitez tout type d’informations sensibles. Le moins de cryptage que vous puissiez faire consiste à utiliser le protocole HTTPS, qui utilise la poignée de main TLS (Transport Layer Security) et SSL (Secure Socket Layer).
Le chiffrement de bout en bout est un autre moyen de sécuriser étroitement les données en transit. Les données stockées dans la base de données doivent également être cryptées au cas où un attaquant pourrait pénétrer dans la base de données et accéder aux données.
La gestion des erreurs
Des informations sur l’infrastructure de l’application peuvent être divulguées aux attaquants via des messages d’erreur détaillés. Pour éviter cela, gardez les messages d’erreur génériques et implémentez une gestion des erreurs personnalisée. Assurez-vous qu’aucune information système sensible n’est enregistrée dans les détails de l’erreur.
Validation des entrées et nettoyage des données
La validation des entrées est très cruciale lorsqu’il s’agit d’API, car vous ne connaissez pas l’entrée tant que l’utilisateur ne l’envoie pas.
La désinfection est le processus de suppression de tout code exécutable indésirable de la charge utile. Un attaquant peut saisir un script Javascript, et si vous ne le nettoyez pas avant de le transmettre à votre code HTML, il s’exécutera en tant que script et récupérera les données.
Une désinfection inappropriée peut conduire à des attaques de type Cross-site scripting (XSS).
Systèmes de détection d’intrusion
Également connus sous le nom d’IDS, les systèmes de détection d’intrusion aident à surveiller et à détecter le trafic réseau arrivant à l’API. S’il détecte un comportement inhabituel dans le trafic, il peut enregistrer et alerter les autorités concernées.
Généralement, il existe deux types de systèmes : basés sur le réseau et basés sur l’hôte. Dans les systèmes basés sur le réseau, le système est réparti entre différents points de contrôle pour surveiller le trafic en plusieurs points. Dans un système basé sur un hôte, il est déployé sur un seul hôte.
De tels systèmes constituent un excellent moyen de déterminer qui tente d’accéder à votre réseau avant d’entraver vos données.
Liste blanche IP
La liste blanche IP est un moyen d’autoriser uniquement les adresses IP sélectionnées à accéder à votre API et à votre réseau. Cette technique peut ne pas fonctionner si vous disposez d’une API publique car il est trop complexe de répertorier chaque IP.
Il est avantageux de savoir que seules certaines applications des systèmes vont accéder à votre API.
Jetons Web JSON
Les JWT sont généralement utilisés pour authentifier un utilisateur en lui envoyant un jeton signé numériquement créé à partir de ses informations d’identification. Cela fonctionne car il masque les informations d’identification réelles de l’utilisateur et vous n’avez pas non plus besoin de stocker les informations d’identification dans la base de données ou du côté de l’utilisateur.
Le JWT peut être divisé en trois sections : en-tête, charge utile et signature. La section de charge utile contient les informations d’identification de l’utilisateur et l’en-tête peut contenir des informations telles que l’algorithme utilisé. La section de signature est signée numériquement par le serveur et le client à chaque demande ultérieure.
Les JWT ont généralement une date d’expiration, après laquelle un nouveau jeton est généré par le serveur puis envoyé à l’utilisateur.
Journalisation et surveillance
Surveiller le trafic vers votre API peut être bénéfique pour détecter et identifier au préalable les visiteurs indésirables. Vous pouvez surveiller chaque demande, mais assurez-vous que les journaux ne contiennent aucune information sensible.
Limitation du débit
Si une API n’implémente pas de limitation de débit, elle est vulnérable aux attaques DDoS en raison de l’afflux inattendu de trafic réseau. Les attaquants peuvent inonder le système avec un grand nombre de requêtes en peu de temps, ce qui finit par faire planter le serveur.
Les API de limitation et de limitation de débit évitent les attaques par déni de service en limitant le flux du trafic API.
Dépendances sécurisées
Les vulnérabilités n’émergent pas seulement du code de votre API, elles peuvent également faire partie de toute dépendance tierce que vous pourriez utiliser dans votre API. C’est pourquoi il est important de surveiller et d’analyser régulièrement vos dépendances et de détecter toute vulnérabilité qui pourrait y être présente.
Vous pouvez implémenter une tâche planifiée pour analyser et mettre à jour régulièrement les dépendances si elles peuvent être mises à jour avec une version de correctif corrigeant la vulnérabilité. Choisissez également des dépendances plus sécurisées et fournissant des mises à jour de sécurité fréquentes.
Les en-têtes de sécurité doivent être renvoyés avec la réponse de l’API pour informer le navigateur sur la sécurité de l’API et sur la manière dont il doit agir. Les en-têtes importants que vous pouvez envoyer pour améliorer la sécurité sont :
- Cache-Control : définissez-le sur no-store pour éviter de stocker des informations sensibles dans le navigateur.
- Content-Security-Policy : le définir sur frame-ancestors ‘aucun’ évite d’encadrer les réponses de l’API dans une iframe.
- Content-Type : cet en-tête est important car sans lui, le navigateur essaie de deviner le type de réponse de l’API, ce qui peut conduire à des attaques par reniflage. Pour la réponse JSON, vous pouvez la définir sur application/json.
- X-Content-Type-Options : définissez-le sur nosniff pour demander au navigateur de ne pas deviner le type MIME de la réponse et de le rechercher uniquement dans l’en-tête Content-Type.
Normes et cadres de sécurité
Concevez votre API à l’aide de normes et de cadres de sécurité prédéfinis pour garantir que votre API est à jour avec les dernières considérations de sécurité.
Expiration du jeton
Si vous utilisez des jetons au porteur, le délai d’expiration du jeton devrait être de courte durée car il nécessite une ré-authentification de l’utilisateur, ce qui est une bonne chose. Dans JWT, il existe généralement deux jetons : les jetons d’accès et d’actualisation. Les jetons d’actualisation ont une durée de vie longue, tandis que les jetons d’accès sont de courte durée. Dans tous les cas, vos tokens doivent avoir une date d’expiration.
Firewall d’applications Web
Un WAF, également appelé Web Application Firewall, est une passerelle qui surveille, filtre et bloque tout trafic réseau malveillant. C’est souvent le meilleur moyen de prévenir les attaques malveillantes via le protocole HTTP.
Utilisation des passerelles API
Si vous souhaitez configurer facilement la sécurité des API et gérer les routes API et leur accès, vous pouvez opter pour des passerelles API. Ils fournissent également des outils de surveillance, de journalisation et d’analyse, que vous pouvez utiliser pour surveiller votre API.
Confiance zéro
L’idée derrière la stratégie Zero Trust est de ne faire confiance à aucune source centralisée. La sécurité doit être superposée et mise en œuvre à plusieurs points de contrôle.
Fondamentalement, on ne peut faire confiance à personne, même aux développeurs travaillant sur l’API. Chaque passerelle doit être surveillée et analysée pour éviter les failles de sécurité.
L’automatisation est utile dans de tels cas. Vous pouvez utiliser des outils automatisés pour surveiller et bloquer régulièrement les activités inhabituelles ou suspectes.
Derniers mots
Vous ne pouvez pas faire grand-chose pour assurer la sécurité de vos API. Il existe toujours des failles dans les logiciels qui peuvent être exploitées. De telles failles entraînent des vulnérabilités Zero Day. Ainsi, pour sécuriser vos API, le moins que vous puissiez faire est de les maintenir à jour avec les dernières normes de sécurité.
Jetez un œil aux meilleurs outils de test de sécurité des applications dynamiques.