{"id":356577,"date":"2022-09-09T12:18:27","date_gmt":"2022-09-09T14:18:27","guid":{"rendered":"https:\/\/teknomers.com\/fr\/6-principaux-risques-de-securite-des-api-cibles-privilegiees-pour-les-attaquants-si-elles-ne-sont-pas-gerees\/"},"modified":"2022-09-09T12:18:28","modified_gmt":"2022-09-09T14:18:28","slug":"6-principaux-risques-de-securite-des-api-cibles-privilegiees-pour-les-attaquants-si-elles-ne-sont-pas-gerees","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/6-principaux-risques-de-securite-des-api-cibles-privilegiees-pour-les-attaquants-si-elles-ne-sont-pas-gerees\/","title":{"rendered":"6 principaux risques de s\u00e9curit\u00e9 des API\u00a0!  Cibles privil\u00e9gi\u00e9es pour les attaquants si elles ne sont pas g\u00e9r\u00e9es"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Les menaces de s\u00e9curit\u00e9 sont toujours une pr\u00e9occupation en ce qui concerne les API.  La s\u00e9curit\u00e9 des API peut \u00eatre compar\u00e9e \u00e0 la conduite d&#8217;une voiture.  Vous devez \u00eatre prudent et tout examiner attentivement avant de le diffuser dans le monde.  En omettant de le faire, vous vous mettez vous-m\u00eame et les autres en danger.<\/p>\n<p>Les attaques d&#8217;API sont plus dangereuses que les autres violations.  Facebook avait un compte d&#8217;utilisateur de 50 millions affect\u00e9 par une violation d&#8217;API, et une violation de donn\u00e9es d&#8217;API sur le compte Hostinger a expos\u00e9 14 millions d&#8217;enregistrements de clients. <\/p>\n<p>Si un pirate p\u00e9n\u00e8tre dans les points de terminaison de votre API, cela pourrait \u00eatre catastrophique pour votre projet.  Selon les industries et les zones g\u00e9ographiques dont vous parlez, les API non s\u00e9curis\u00e9es pourraient vous mettre dans l&#8217;eau chaude.  Surtout dans l&#8217;UE, si vous \u00eates au service du secteur bancaire, vous pourriez \u00eatre confront\u00e9 \u00e0 d&#8217;\u00e9normes probl\u00e8mes juridiques et de conformit\u00e9 s&#8217;il s&#8217;av\u00e9rait que vous utilisiez des API non s\u00e9curis\u00e9es. <\/p>\n<p>Pour att\u00e9nuer ces risques, vous devez \u00eatre conscient du potentiel <a rel=\"nofollow noopener\" href=\"https:\/\/www.indusface.com\/blog\/critical-owasp-top-10-api-security-threats?utm_source=thehackernews-sponsored-article&amp;utm_medium=referral&amp;utm_campaign=thehackernews-api-risks\" target=\"_blank\"><strong>Vuln\u00e9rabilit\u00e9s de l&#8217;API<\/strong><\/a>  que les cybercriminels peuvent exploiter.<\/p>\n<h2 style=\"text-align: left\"> <strong>6 risques de s\u00e9curit\u00e9 des API couramment ignor\u00e9s<\/strong><\/h2>\n<h4 style=\"text-align: left\"><strong>#1 Absence de visibilit\u00e9 de l&#8217;API et de risque des moyens de surveillance&#8217;<\/strong><\/h4>\n<p>Lorsque vous d\u00e9veloppez votre utilisation des r\u00e9seaux bas\u00e9s sur le cloud, le nombre d&#8217;appareils et d&#8217;API utilis\u00e9s augmente \u00e9galement.  Malheureusement, cette croissance entra\u00eene \u00e9galement moins de visibilit\u00e9 sur les API que vous exposez en interne ou en externe.<\/p>\n<p>Les API fant\u00f4mes, masqu\u00e9es ou obsol\u00e8tes qui \u00e9chappent \u00e0 la visibilit\u00e9 de votre \u00e9quipe de s\u00e9curit\u00e9 cr\u00e9ent davantage d&#8217;opportunit\u00e9s de cyberattaques r\u00e9ussies sur des API, des param\u00e8tres d&#8217;API et une logique m\u00e9tier inconnus.  Les outils traditionnels comme la passerelle API n&#8217;ont pas la capacit\u00e9 d&#8217;offrir un inventaire complet de toutes les API.<\/p>\n<p>Doit avoir une visibilit\u00e9 API, inclut<\/p>\n<ul>\n<li>Visibilit\u00e9 centralis\u00e9e ainsi qu&#8217;un inventaire de toutes les API<\/li>\n<li>Vue d\u00e9taill\u00e9e des trafics API<\/li>\n<li>Visibilit\u00e9 des API transmettant des informations sensibles<\/li>\n<li>Analyse automatique des risques API avec des crit\u00e8res pr\u00e9d\u00e9finis<\/li>\n<\/ul>\n<h4 style=\"text-align: left\"><strong>#2 Incomp\u00e9tence API <\/strong><\/h4>\n<p>Il est important de pr\u00eater attention \u00e0 vos appels d&#8217;API pour \u00e9viter de transmettre des demandes en double ou r\u00e9p\u00e9t\u00e9es \u00e0 l&#8217;API.  Lorsque deux API d\u00e9ploy\u00e9es essaient d&#8217;utiliser la m\u00eame URL, cela peut entra\u00eener des probl\u00e8mes d&#8217;utilisation d&#8217;API r\u00e9p\u00e9titifs et redondants.  En effet, les points de terminaison des deux API utilisent la m\u00eame URL.  Pour \u00e9viter cela, chaque API doit avoir sa propre URL unique avec optimisation.<\/p>\n<h4 style=\"text-align: left\"><strong>#3 Menaces de disponibilit\u00e9 des services <\/strong><\/h4>\n<p>Les attaques cibl\u00e9es d&#8217;API DDoS, avec l&#8217;aide de botnets, peuvent surcharger les cycles CPU et la puissance du processeur du serveur API, en envoyant des appels de service avec des demandes invalides et en le rendant indisponible pour le trafic l\u00e9gitime.  Les attaques d&#8217;API DDoS ciblent non seulement vos serveurs sur lesquels les API sont ex\u00e9cut\u00e9es, mais \u00e9galement chaque point de terminaison d&#8217;API.<\/p>\n<p>La limitation de d\u00e9bit vous donne la confiance n\u00e9cessaire pour maintenir vos applications en bonne sant\u00e9, mais un bon plan de r\u00e9ponse est accompagn\u00e9 de solutions de s\u00e9curit\u00e9 multicouches telles que <a rel=\"nofollow noopener\" href=\"https:\/\/www.indusface.com\/api-protection.php\/?utm_source=thehackernews-sponsored-article&amp;utm_medium=referral&amp;utm_campaign=thehackernews-api-risks\" target=\"_blank\"><strong>Protection des API d&#8217;AppTrana<\/strong><\/a>.  La protection pr\u00e9cise et enti\u00e8rement g\u00e9r\u00e9e de l&#8217;API surveille en permanence le trafic de l&#8217;API et bloque instantan\u00e9ment les requ\u00eates malveillantes avant qu&#8217;elles n&#8217;atteignent votre serveur.<\/p>\n<h4 style=\"text-align: left\"><strong>#4 H\u00e9siter sur l&#8217;utilisation de l&#8217;API <\/strong><\/h4>\n<p>En tant qu&#8217;entreprise B2B, vous devez souvent exposer vos chiffres d&#8217;utilisation de l&#8217;API interne \u00e0 des \u00e9quipes ext\u00e9rieures \u00e0 l&#8217;organisation.  Cela peut \u00eatre un excellent moyen de faciliter la collaboration et de permettre aux autres d&#8217;acc\u00e9der \u00e0 vos donn\u00e9es et services.  Cependant, il est essentiel d&#8217;examiner attentivement \u00e0 qui vous donnez acc\u00e8s \u00e0 votre API et de quel niveau d&#8217;acc\u00e8s ils ont besoin.  Vous ne voulez pas ouvrir votre API trop largement et cr\u00e9er des risques de s\u00e9curit\u00e9.<\/p>\n<p>Les appels d&#8217;API doivent \u00eatre surveill\u00e9s de pr\u00e8s lorsqu&#8217;ils sont partag\u00e9s entre partenaires ou clients.  Cela permet de garantir que tout le monde utilise l&#8217;API comme pr\u00e9vu et ne surcharge pas le syst\u00e8me.<\/p>\n<h4 style=\"text-align: left\"><strong>#5 Injection d&#8217;API<\/strong><\/h4>\n<p>L&#8217;injection d&#8217;API est un terme utilis\u00e9 pour d\u00e9crire le moment o\u00f9 un code malveillant est inject\u00e9 avec la demande d&#8217;API.  La commande inject\u00e9e, lorsqu&#8217;elle est ex\u00e9cut\u00e9e, peut m\u00eame supprimer le site entier de l&#8217;utilisateur du serveur.  La principale raison pour laquelle les API sont vuln\u00e9rables \u00e0 ce risque est que le d\u00e9veloppeur de l&#8217;API ne parvient pas \u00e0 nettoyer l&#8217;entr\u00e9e avant qu&#8217;elle n&#8217;apparaisse dans le code de l&#8217;API. <\/p>\n<p>Cette faille de s\u00e9curit\u00e9 cause de graves probl\u00e8mes aux utilisateurs, y compris le vol d&#8217;identit\u00e9 et les violations de donn\u00e9es, il est donc essentiel d&#8217;\u00eatre conscient du risque.  Ajoutez la validation des entr\u00e9es c\u00f4t\u00e9 serveur pour emp\u00eacher les attaques par injection et \u00e9viter l&#8217;ex\u00e9cution de caract\u00e8res sp\u00e9ciaux.<\/p>\n<h4 style=\"text-align: left\"><strong>#6 Attaques contre les appareils IoT via des API <\/strong><\/h4>\n<p>L&#8217;utilisation efficace de l&#8217;IoT d\u00e9pend du niveau de gestion de la s\u00e9curit\u00e9 des API\u00a0;  si cela ne se produit pas, vous aurez du mal avec votre appareil IoT. <\/p>\n<p>Au fil du temps et des progr\u00e8s technologiques, les pirates utiliseront toujours de nouvelles fa\u00e7ons d&#8217;exploiter les vuln\u00e9rabilit\u00e9s des produits IoT.  Alors que les API permettent une extensibilit\u00e9 puissante, elles ouvrent de nouvelles portes aux pirates pour acc\u00e9der aux donn\u00e9es sensibles sur vos appareils IoT.  Pour \u00e9viter de nombreuses menaces et d\u00e9fis auxquels sont confront\u00e9s les appareils IoT, les API doivent \u00eatre plus s\u00e9curis\u00e9es.<\/p>\n<p>Par cons\u00e9quent, vous devez maintenir vos appareils IoT \u00e0 jour avec les derniers correctifs de s\u00e9curit\u00e9 pour vous assurer qu&#8217;ils sont prot\u00e9g\u00e9s contre les derni\u00e8res menaces.<\/p>\n<h2 style=\"text-align: left\"><strong>Arr\u00eatez le risque d&#8217;API en mettant en \u0153uvre WAAP<\/strong><\/h2>\n<p>Dans le monde d&#8217;aujourd&#8217;hui, les organisations sont constamment menac\u00e9es par des attaques d&#8217;API.  Avec de nouvelles vuln\u00e9rabilit\u00e9s apparaissant chaque jour, il est essentiel d&#8217;inspecter r\u00e9guli\u00e8rement toutes les API \u00e0 la recherche de menaces potentielles.  Les outils de s\u00e9curit\u00e9 des applications Web sont insuffisants pour prot\u00e9ger votre entreprise contre de tels risques.  Pour que la protection des API fonctionne, elle doit \u00eatre enti\u00e8rement d\u00e9di\u00e9e \u00e0 la s\u00e9curit\u00e9 des API.  WAAP (Web Application and API Protection) peut \u00eatre une solution efficace \u00e0 cet \u00e9gard.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/www.indusface.com\/web-application-and-api-protection.php\/?utm_source=thehackernews-sponsored-article&amp;utm_medium=referral&amp;utm_campaign=thehackernews-api-risks\" target=\"_blank\"><strong>Industrie WAAP<\/strong><\/a>  est une solution au probl\u00e8me omnipr\u00e9sent de la s\u00e9curit\u00e9 des API.  Il vous permet de limiter le flux de donn\u00e9es \u00e0 ce qui est n\u00e9cessaire, vous \u00e9vitant ainsi de divulguer ou d&#8217;exposer accidentellement des informations sensibles.  En outre, la plate-forme holistique de protection des applications Web et des API (WAAP) comprend la trinit\u00e9 de l&#8217;analyse du comportement, de la surveillance centr\u00e9e sur la s\u00e9curit\u00e9 et de la gestion des API pour tenir \u00e0 distance les actions malveillantes sur les API.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/09\/6-top-api-security-risks-favored.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les menaces de s\u00e9curit\u00e9 sont toujours une pr\u00e9occupation en ce qui concerne les API. La s\u00e9curit\u00e9 des API peut \u00eatre compar\u00e9e \u00e0 la conduite d&#8217;une voiture. Vous devez \u00eatre prudent et tout examiner attentivement avant de le diffuser dans le monde. En omettant de le faire, vous vous mettez vous-m\u00eame et les autres en danger. [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":356578,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[43650,11865,9589,4168,4158,4165,4161,133,10660,107482,4157,4159,4171,4170,65,4167,4160,4163,4162,132,185,11630,39209,3979,1835,4172,4169,317,4166,4164],"class_list":["post-356577","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-api","tag-attaquants","tag-cibles","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-elles","tag-gerees","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pas","tag-pour","tag-principaux","tag-privilegiees","tag-risques","tag-securite","tag-securite-informatique","tag-securite-internet","tag-sont","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/356577","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=356577"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/356577\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/356578"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=356577"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=356577"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=356577"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}