les dangers d’un déferlement d’API non sécurisées

Cloudflare a publié récemment un long rapport sur la sécurité des API. Bien que cette communication soit l’occasion de placer ses propres services de sécurité, elle permet aussi de rappeler les nombreuses problématiques liées à ces pivots du développement, souvent ignorés du grand public.

Une API, pour Application Programming Interface, est un pivot par lequel peuvent passer les demandes pour accéder à des informations. Elles sont omniprésentes, car leur création a permis de simplifier largement le travail des développeurs, qui n’avaient alors plus à réinventer la roue chaque fois qu’ils se lançaient dans un nouveau projet.

Un exemple connu et remontant aux années 90 est DirectX. Ce lot d’API, publié par Microsoft, a pour mission de rationaliser les demandes d’accès au matériel. Sur DOS et Windows, chaque jeu devait auparavant posséder un accès spécifique et prévoir de nombreux cas de figure. Exemple type : les cartes son. Avec DirectX, les studios se sont centrés sur les fonctions offertes par les API, qui se chargeaient alors de communiquer avec le matériel via les pilotes.

Il n’est donc pas étonnant qu’elles soient également très présentes dans le développement web. Si vous développez par exemple un site pour afficher la météo, vous n’allez pas créer tous les composants responsables de la collecte et la distribution des informations réunies par les capteurs disséminés en France (à moins d’en avoir l’envie et les moyens). Des API sont à disposition via divers services, notamment Météo France.

Ces interfaces de programmation ont fait l’objet très récemment d’une publication chez Cloudflare, qui en avertit des dangers. La multiplication des API peut en effet constituer autant de portes d’entrée pour des pirates.

Source