IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les attaques contre les API mettent les entreprises en danger, 27 % des attaques en 2023 ciblant la logique commerciale des API
Soit une croissance de 10 %, selon le rapport d'Imperva

Le , par Jade Emy

0PARTAGES

5  0 
Selon le rapport d'Imperva, les attaques d'API mettent les entreprises en danger. Les attaques ciblant la logique commerciale des API ont représenté 27 % des attaques en 2023, soit une croissance de 10 % par rapport à l'année précédente. Les attaques de prise de contrôle de compte (ATO) ciblant les API ont également augmenté, passant de 35 % en 2022 à 46 % en 2023.

C'est l'une des conclusions d'un nouveau rapport d'Imperva, qui montre que le trafic des API a représenté plus de 71 % du trafic web l'année dernière. Si les API présentent l'avantage de permettre une connectivité transparente, d'améliorer les expériences en ligne et de favoriser l'innovation, leur adoption généralisée entraîne de nouveaux défis en matière de sécurité.

Le nombre moyen d'appels d'API vers les sites des entreprises est de 1,5 milliard. Mais ces volumes élevés de trafic automatisé non humain sont liés à une augmentation des attaques automatisées contre les API, telles que les attaques DDoS et les prises de contrôle de comptes (ATO). 46 % de toutes les attaques ATO ont ciblé des points d'extrémité d'API. Les attaquants deviennent également plus avisés dans leurs stratégies, 28 % de toutes les attaques DDoS sur les API visant les organisations de services financiers, le secteur le plus ciblé pour ce type d'attaque.


Grainne McKeever écrit sur le blog d'Imperva : "Les attaques automatisées constituent une menace importante pour les API en raison de leur composition fondamentale qui est, par conception, orientée vers l'automatisation et indifférente à l'intervention humaine. Les attaquants ont de plus en plus recours aux attaques automatisées, ou "bad bots", pour cibler la logique commerciale de l'API ou sa fonctionnalité de base. En imitant le trafic automatisé régulier de l'API, les attaques ne sont pas détectées, ce qui permet aux acteurs de la menace de mener leurs activités malveillantes sans interruption".

Les outils de sécurité traditionnels, tels que les pare-feu d'application web, ont du mal à détecter et à combattre cette forme d'abus, car les attaques d'API sont capables d'imiter le trafic normal.

Source : The State of API Security in 2024 (Imperva)

Et vous ?

Pensez-vous que ce rapport est crédible ou pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

Les attaques ciblant les API ont augmenté de 400 % au cours des six derniers mois et 80 % de ces attaques se sont produites par le biais d'API authentifiées, selon Salt Security

Les attaques d'applications et d'API dans le secteur du commerce de la région EMEA sont en hausse de 189 %, selon un rapport d'Akamai

76 % des entreprises ont subi un incident de sécurité lié aux API au cours de l'année écoulée, 74 % des professionnels de la cybersécurité ne savent pas quelles API renvoient des données sensibles

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de i5evangelist
Membre éclairé https://www.developpez.com
Le 04/03/2024 à 8:53
"Quand on expose, on s'expose" comme dirait l'autre.
1  0 
Avatar de smarties
Expert confirmé https://www.developpez.com
Le 29/02/2024 à 21:53
En lisant ça, je déduis que l'API n'est pas un minimum protégée. Personnellement, mon accès au web (via nginx) limite les connexion et la vitesse de surf pour réduire les pics de charge. J'ai aussi un fail2ban ou crowdsec pour bannir (notamment trop d'erreur 401/403 sur les mêmes IPs).
0  0