BLOG

La sécurité des API nécessite une gestion des robots : Traitement des dix principales vulnérabilités des API de l'OWASP

Vignette de Jim Downey
Jim Downey
Publié le 16 mai 2025

Les équipes de cybersécurité des entreprises se sont concentrées sur la sécurité des API , et à juste titre. Dans l’économie numérique, les API sont la porte d’entrée de l’entreprise, un point d’entrée pour les appareils IoT, les applications Web et mobiles et, de plus en plus, pour les applications basées sur l’IA qui transforment notre façon de faire des affaires. Malheureusement, les API sont également la porte d’entrée des criminels, dont beaucoup s’appuient sur des robots pour mener leurs attaques. Il est donc essentiel pour les équipes de sécurité de protéger les API et d’atténuer les robots utilisés pour les attaquer.

La liste des dix principales vulnérabilités de sécurité des API de l'OWASP identifie clairement le rôle central que jouent les robots dans les attaques contre les API. Trois des dix principales vulnérabilités des API sont directement liées aux robots :

  • Authentification brisée : Les robots brisent l'authentification par le biais d'attaques par force brute, par dictionnaire et par bourrage d'informations d'identification qui entraînent des prises de contrôle de comptes, des fraudes, des pertes financières et des clients mécontents.
  • Consommation illimitée des ressources : Les robots profitent d’une consommation illimitée de ressources, épuisant la mémoire et la capacité de traitement des API. Lorsque les robots ciblent des API conçues pour être consommées par des applications interactives (applications Web et mobiles utilisées par des humains), l’impact sur les performances et les coûts peut être catastrophique.
  • Accès illimité aux flux commerciaux sensibles : Un accès excessif à certains flux commerciaux peut nuire à l’entreprise. Les revendeurs non autorisés peuvent épuiser les stocks de produits et les revendre à un prix considérablement plus élevé. Les spammeurs peuvent exploiter un flux de commentaires/publications. Les attaquants peuvent utiliser un système de réservation pour réserver tous les créneaux horaires disponibles. Dans ces cas, des robots sont déployés pour exploiter ces flux commerciaux.

Dans son livre Hacking APIs : Interruption des interfaces de programmation d'applications Web, Corey J. Ball, expert renommé en cybersécurité et en API, explique comment les outils automatisés de découverte d'API (OWASP ZAP, Gobuster, Kiterunner) et de fuzzing (Postman, Wfuzz et Burp Suite) peuvent être utilisés par les attaquants pour envoyer des milliers de requêtes aux API afin de détecter les vulnérabilités. Une gestion des robots doit être mise en place pour identifier l’espionnage et réduire son efficacité.

Les robots n’impactent pas toutes les API de la même manière. Les API sont généralement protégées par TLS mutuel , de sorte que le risque d'authentification rompue est faible et une limitation de débit peut être appliquée par client authentifié. Les API qui attendent du trafic provenant uniquement d'applications Web et mobiles interactives sont les plus vulnérables aux robots.

La défense contre les robots est devenue de plus en plus difficile pour les API qui attendent du trafic initié par l’homme. Les bibliothèques open source permettent d'éviter facilement la détection grâce à l'empreinte digitale d'en-tête, et les services permettant de contourner les CAPTCHA et les requêtes proxy via des réseaux contenant des dizaines de millions d'adresses IP résidentielles sont largement disponibles pour les opérateurs de robots. Les anciennes techniques d'analyse d'en-tête, de listes de refus d'adresses IP et de CAPTCHA ne sont plus efficaces , ce qui signifie que les équipes de sécurité des applications cherchant à atténuer les bots doivent s'appuyer sur une riche collecte de signaux côté client, en utilisant JavaScript et des SDK mobiles, ainsi qu'un apprentissage automatique sophistiqué pour distinguer les outils d'attaque et les comportements des bots.

À mesure que les applications d’IA sont déployées à plus grande échelle, la sécurisation des API et de ces points de terminaison contre les attaques automatisées sera essentielle. En réponse, l'OWASP a publié son Top 10 des risques et atténuations pour les LLM et les applications Gen AI en 2025 . Consultez mon article récent, Comment les robots attaquent les grands modèles de langage , pour en savoir plus.

Quelles API de votre organisation sont vulnérables aux robots ? Quelle est la probabilité d’une attaque et le coût de l’impact ? Comment pouvez-vous concevoir des contrôles de sécurité pour garantir les protections nécessaires contre les robots ? Ce sont de bonnes questions à aborder dans la modélisation des menaces. Pour en savoir plus sur l'impact commercial des bots, lisez le livre blanc F5 sur le sujet ou inscrivez-vous pour une consultation gratuite