API : quels risques en cas de changement d’architecture ?


Publié le 26-10-2020 par Modérateur freelance-info



Un changement d’architecture peut avoir de multiples conséquences, parmi lesquels des risques conséquents sur les interfaces de programmation d’application (API). Comment faire face ?

Qu’est-ce qu’une API ? 

Wikipédia nous propose la définition suivante : “En informatique, une interface de programmation applicative (souvent désignée par le terme API pour Application Programming Interface) est un ensemble normalisé de classes, de méthodes et ou de fonctions qui sert de façade par laquelle un logiciel offre des services à d’autres logiciels.” 

Une API désigne donc une “Application Programming Interface”. On parle d’interface de programmation applicative en français. 

  • Portail open date, réseau social, enceinte connectée… Une application désigne un service accessible par un être humain ou pas un programme informatique par Internet. 
  • Un programme désigne un ensemble de fonctions informatiques écrites par un développeur, qui a pour mission d’exécuter des tâches à sa place. 
  • Une interface, enfin, correspond à la porte d’entrée par laquelle le programme pourra interagir avec l’application, selon, le plus souvent, un comportement codifié et attendu. 
  • Les API permettent ainsi aux développeurs de déléguer le service qu’ils consomment. 
  • Leur utilité est très variée : accès à Netflix, visualisation des prédictions météo, vélos en libre service… On parle d’exposition de données : les développeurs construisent une application autour d’un flux de données partagées en temps réel. 

Quels risques en cas de changement d’architecture ? 

  • En cas de changement d’architecture, les API présentent un risque critique avéré. 
  • Par nature, elles ne sont pas plus ni moins risquées : en réalité, elles présentent de nombreux avantages. Le risque est hors du cadre de la sécurité traditionnelle pour investir des sphères annexes. 
  • Il est donc nécessaire de parfaitement appréhender ce transfert du risque pour éviter que les API ne soient une source de failles de sécurité pour les entreprises. 
  • La cause la plus fréquente des incidents liés aux API : un faible niveau de maturité de la sécurité (absence totale d’authentification auprès des endpoints des API, mauvais processus d’authentification, mauvais processus d’autorisation…). 
  • En effet, une API a pour but de faciliter le transfert d’informations vers et depuis un réseau selon des modalités non visibles par l’utilisateur, via le Web et à l’aide de méthodes HTTP. 
  • Chaque endpoint d’API constitue une extension de la surface d’attaque qui impose donc la mise en place de contrôles spécifiques, ce qui est encore plus délicat dans le cadre des API publiques, dont les vulnérabilités ou mauvaises configurations sont plus faciles à détecter. 

Comment gérer les risques, dans ce contexte de vulnérabilité ?

Open Data Soft propose quelques pistes incontournables. 

  • Effectuer un inventaire. On ne peut sécuriser que ce que l’on connaît. Il faut donc assurer une visibilité complète sur les endpoints des API. 
  • Assurer une authentification pour l’ensemble des API. OpenID Connect, reposant sur le protocole d’autorisation OAuth 2.0, serait actuellement la méthode de choix pour authentifier les API. 
  • Maintenir un contrôle strict sur les autorisations des agents pour prévenir les altérations, les attaques par énumération et les déplacements latéraux. OAuth 2.0 est là aussi la norme recommandée pour gérer les autorisations des API. 
  • En matière de chiffrement, l’utilisation du protocole HTTPS est de plus en plus obligatoire pour les API. 
  • En termes de médiation et de passerelles d’API, les passerelles d’API sont indispensables aux architectes d’entreprise devant gérer une large éventail d’API et leur trafic. 

 

Open Data Soft constate enfin que les API s’imposent comme une nouvelle norme de facto pour l’intégration des entreprises. Elles constituent une avancée spectaculaire exigeant un changement fondamental d’approche. 

Et vous, qu’en pensez-vous ? Spécialiste de la gestion des API, trouvez votre prochain job sur Freelance-info !

 



Modérateur freelance-info