Rapport : Près des deux tiers des organisations ne disposent pas d’une sécurité API de base

Près des deux tiers des organisations n’ont pas au moins une stratégie de base de sécurité des API, selon le dernier rapport de Salt Security. Cette lacune de protection est particulièrement inquiétante car les cyberattaques ciblant les API sont en augmentation parallèlement à l’adoption de technologies relativement nouvelles comme GraphQL. L’adoption de GraphQL a doublé de 2020 à 2021 et continue de s’accélérer. Cependant, la sensibilisation à la sécurité autour de GraphQL est encore relativement faible. Plusieurs aspects de la structure de l’API GraphQL peuvent créer des risques de sécurité difficiles à évaluer.

Salt Labs, la division de recherche de Salt Security, a identifié une nouvelle vulnérabilité d’autorisation d’API GraphQL qui peut survenir dans les requêtes d’API imbriquées. Salt Labs a identifié cette vulnérabilité au sein d’une grande plate-forme de technologie financière (fintech) interentreprises, qui propose des services financiers sous la forme d’applications mobiles basées sur des API et de SaaS aux petites et moyennes entreprises ainsi qu’aux marques commerciales. Les chercheurs ont pu lancer des attaques où n’importe quel utilisateur pouvait soumettre des transactions non autorisées contre d’autres clients ou récolter des données clients sensibles.

Cette vulnérabilité découverte permet à des attaquants potentiels de manipuler des appels d’API afin d’exfiltrer des données et d’initier des transactions non autorisées. En outre, les chercheurs ont découvert que certains appels d’API pouvaient accéder à un point de terminaison d’API qui ne nécessitait aucune authentification, permettant ainsi aux attaquants de saisir n’importe quel identifiant de transaction et de récupérer les enregistrements de données des transactions financières précédentes.

Les vulnérabilités de GraphQL sont particulièrement problématiques, car le nombre de développeurs utilisant GraphQL s’accélère. Les API GraphQL sont intrinsèquement difficiles à sécuriser en raison de leur flexibilité et de leur structure uniques, c’est pourquoi Salt Security investit dans cette recherche et fournit des capacités pour répondre aux besoins de sécurité des API dans cet espace.

L’organisation a utilisé GraphQL dans sa pile technologique pour alimenter les activités de compte des clients utilisant des applications mobiles. L’organisation a également tiré parti d’une API tierce pour récupérer les enregistrements des transactions antérieures du compte client. L’implémentation n’a pas réussi à authentifier et à autoriser correctement les clients. En conséquence, les chercheurs de Salt Labs ont pu soumettre des transactions non autorisées contre d’autres clients du fournisseur de services financiers, corréler l’activité des comptes d’utilisateurs et récupérer des informations personnelles sur les clients.

Le maintien de l’anonymat de ce fournisseur de services est essentiel, les détails techniques qui pourraient identifier l’organisation ont donc été nettoyés. Après avoir identifié la vulnérabilité, Salt Labs a rendu ses conclusions et a recommandé des mesures d’atténuation à l’organisation conformément aux politiques de divulgation responsable. Dans le cadre de la mission plus large de Salt Labs, la société partage les résultats pour accroître la sensibilisation aux vulnérabilités des API, y compris les modèles d’attaque, les étapes de propagation de l’attaque et la mise en évidence des techniques d’atténuation.

Lisez le rapport complet de Salt Security.