IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Les attaques ciblant les API ont augmenté de 400 % au cours des six derniers mois, selon Salt Security


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Anthony
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    Novembre 2022
    Messages
    1 419
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Rédacteur technique

    Informations forums :
    Inscription : Novembre 2022
    Messages : 1 419
    Par défaut Les attaques ciblant les API ont augmenté de 400 % au cours des six derniers mois, selon Salt Security
    Les attaques ciblant les API ont augmenté de 400 % au cours des six derniers mois, et 80 % de ces attaques se sont produites par le biais d'API authentifiées, selon Salt Security

    Le dernier rapport de Salt Security sur l'état de la sécurité des API révèle une augmentation de 400 % du nombre d'attaquants uniques au cours des six derniers mois.

    En outre, environ 80 % des attaques se sont produites par le biais d'API authentifiées. Il n'est donc pas surprenant que près de la moitié (48 %) des personnes interrogées déclarent que la sécurité des API est devenue un sujet de discussion au niveau de la direction de leur entreprise.

    Le rapport révèle également que 94 % des personnes interrogées ont rencontré des problèmes de sécurité dans les API de production au cours de l'année écoulée, et que 17 % d'entre elles ont déclaré que leur entreprise avait subi une violation de données en raison de lacunes de sécurité dans les API.

    "L'augmentation rapide des attaques et les données fournies par les personnes interrogées dans le cadre de notre enquête montrent que les dirigeants comprennent de mieux en mieux l'importance de la sécurité des API pour réduire les risques commerciaux", déclare Roey Eliyahu, cofondateur et directeur général de Salt Security. "Propulsée par les API, la transformation numérique en cours continue d'offrir de nouvelles opportunités commerciales et des avantages concurrentiels. Cependant, le coût des violations d'API, telles que celles subies récemment par T-Mobile, Toyota et Optus, met en péril à la fois les nouveaux services et la réputation de la marque, en plus des opérations commerciales. Les acteurs malveillants continuant à trouver des moyens nouveaux et inattendus d'attaquer les API, les entreprises doivent prendre au sérieux la sécurisation de ces actifs critiques".

    Nom : salt.png
Affichages : 1577
Taille : 13,4 Ko

    Plus de la moitié des personnes interrogées (59 %) déclarent avoir dû ralentir le déploiement de nouvelles applications en raison de préoccupations liées à la sécurité des API. Seules 23 % des personnes interrogées estiment que leurs approches de sécurité existantes sont très efficaces pour prévenir les attaques contre les API.

    Interrogés sur les risques les plus préoccupants en matière de sécurité des API, 54 % des personnes interrogées déclarent que les API obsolètes ou "zombies" constituent une préoccupation majeure, contre 42 % au dernier trimestre. (Les API zombies ou obsolètes ont été la préoccupation numéro un dans les cinq dernières enquêtes de Salt). 43 % des personnes interrogées déclarent que la prise de contrôle des comptes (ATO) est une préoccupation majeure, mais seulement 20 % d'entre elles citent les API fantômes comme une préoccupation majeure, alors qu'il est probable que la plupart des environnements utilisent des API qui ne sont pas documentées. En effet, seulement 18 % des personnes interrogées se disent très confiantes dans le fait que leurs inventaires d'API fournissent suffisamment de détails sur leurs API et les PII ou données sensibles qu'elles contiennent.

    Source : Salt Security

    Et vous ?

    Quelle lecture faites-vous de cette situation ?

    Ce rapport est-il pertinent, selon vous ?

    Avez-vous été confrontés à un problème de sécurité des API au cours de l'année passée ? Si oui, quelles leçons en avez-vous tiré ?

    Voir aussi

    Les attaques contre les API ont augmenté de 681 % au cours des 12 derniers mois, un incident API est survenu chez 95 % des entreprises au cours de cette période, selon Salt Security

    80 % des attaques bloquées entre juin et décembre 2021, soit 1,8 milliard, étaient basées sur des API, les API exposant des données sensibles ont augmenté de 87 %, selon Cequence Security

    94 % des entreprises ont rencontré des problèmes de sécurité dans leurs API de production au cours de l'année écoulée, 20 % d'entre elles ont déclaré que cela avait entraîné une violation des données

    Le trafic des attaques API a augmenté de plus de 300 % ces 6 derniers mois, alors que le trafic global des API a progressé de 141 %, d'après un nouveau rapport de Salt Security
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Communiqués de presse

    Femme Profil pro
    Traductrice Technique
    Inscrit en
    Juin 2023
    Messages
    1 962
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France

    Informations professionnelles :
    Activité : Traductrice Technique

    Informations forums :
    Inscription : Juin 2023
    Messages : 1 962
    Par défaut L'utilisation de l'IA fait que les API deviennent la principale surface d'attaque en 2024
    Les API sont devenues la principale surface d'attaque en 2024, l'IA étant le principal facteur de risque pour la sécurité des API, avec une augmentation massive de 1025 % des vulnérabilités liées à l'IA.

    Wallarm a publié son rapport 2025 API ThreatStats Report, qui révèle que les API sont devenues la principale surface d'attaque au cours de l'année écoulée, l'IA étant le principal facteur de risque pour la sécurité des API. Les chercheurs de Wallarm ont suivi 439 CVE liés à l'IA, soit une augmentation stupéfiante de 1 025 % par rapport à l'année précédente.

    En 2023, un rapport sur l'état de la sécurité des API révèle une augmentation de 400 % du nombre d'attaquants uniques entre octobre 2022 et mars 2023. En outre, environ 80 % des attaques se sont produites par le biais d'API authentifiées. Il n'est donc pas surprenant que près de la moitié (48 %) des personnes interrogées déclarent que la sécurité des API est devenue un sujet de discussion au niveau de la direction de leur entreprise.

    Un récent rapport confirme cette tendance et révèle que les API sont devenues la principale surface d'attaque au cours de l'année 2024, l'IA étant le principal facteur de risque pour la sécurité des API. L'enquête de Wallarm, menée auprès de 200 chefs d'entreprise américains sur l'IA et la sécurité des API, révèle que plus de 53 % d'entre eux déclarent s'être engagés dans de multiples déploiements d'IA. Ces déploiements sont principalement rendus possibles par la technologie des API, ce qui fait des API le fondement de l'adoption de l'IA par les entreprises. Toutefois, si l'intégration de l'IA favorise l'adoption rapide des API dans tous les secteurs d'activité, elle présente également des risques uniques.

    Le rapport révèle également une augmentation massive de 1 025 % des vulnérabilités liées à l'IA, dont la quasi-totalité est directement liée aux API. Les chercheurs ont suivi 439 CVE liés à l'IA et 99 % d'entre eux sont directement liés aux API, y compris les failles d'injection, les mauvaises configurations et les nouvelles vulnérabilités de corruption de la mémoire découlant de la dépendance de l'IA à l'égard des API binaires à haute performance.


    Pour la première fois, plus de 50 % de toutes les vulnérabilités exploitées par la CISA étaient liées aux API, soit une augmentation de 30 % par rapport à l'année précédente, ce qui met en évidence la prévalence et la criticité croissantes de la sécurité des API dans les environnements de menaces modernes.

    Si les anciennes API, telles que celles utilisées dans les incidents de Digi Yatra et d'Optus, restent vulnérables en raison de leur conception dépassée, les API RESTful modernes sont tout aussi menacées en raison des défis d'intégration complexes et des configurations inadéquates.

    Un rapport de Wallarm en décembre 2024 avait déjà confirmé l'importance de renforcer la sécurité des API. Le rapport indiquait notamment que les API nouvellement lancées, sont trouvées par les attaquants en moins de 30 secondes. Le délai le plus long pour la découverte d'une nouvelle API a été de 34 secondes, tandis que le temps moyen nécessaire aux attaquants pour trouver une nouvelle API n'est que de 29 secondes. Selon le rapport, les nouvelles API sont généralement moins protégées et moins sûres, ce qui en fait une cible prioritaire des acteurs malveillants.

    Concernant ce nouveau rapport, Ivan Novikov, PDG et cofondateur de Wallarm, avait commenté : "D'après nos conclusions, il est clair que la sécurité des API n'est plus seulement un défi technique - c'est désormais un impératif commercial. Les failles de sécurité liées aux API sont alimentées par l'adoption de l'IA, car les API sont l'interface critique entre les modèles d'IA et les applications qu'ils alimentent. Cependant, cette croissance rapide a révélé des vulnérabilités importantes.

    Par exemple, nous avons constaté que 57 % des API alimentées par l'IA étaient accessibles de l'extérieur et que 89 % d'entre elles reposaient sur des mécanismes d'authentification non sécurisés. Il est particulièrement préoccupant de constater que seulement 11 % des entreprises ont mis en place des mesures de sécurité solides, ce qui rend la plupart des points d'extrémité vulnérables. Dans l'environnement actuel, les entreprises ne peuvent pas se permettre de ne pas sécuriser leurs API. Si elles ne le font pas, elles s'exposent à de graves risques qui peuvent entraîner des vulnérabilités techniques coûteuses et des crises opérationnelles et de réputation.
    "

    Source : Wallarm Annual 2025 API ThreatStats Report

    Et vous ?

    Pensez-vous que ce rapport est crédible ou pertinent ?
    Quel est votre avis sur le sujet ?

    Voir aussi :

    Les experts en sécurité informatique sont divisés sur le potentiel de l'IA à aider les experts en sécurité offensive, « l'IA accélère la détection des vulnérabilités, mais ne remplace pas l'humain »

    Les attaques contre les API mettent les entreprises en danger, 27 % des attaques en 2023 ciblant la logique commerciale des API, soit une croissance de 10 %, selon le rapport d'Imperva

    Les attaques d'applications et d'API dans le secteur du commerce de la région EMEA sont en hausse de 189 %, selon un rapport d'Akamai
    Publication de communiqués de presse en informatique. Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  3. #3
    Membre éclairé
    Homme Profil pro
    Développeur Java
    Inscrit en
    Mai 2019
    Messages
    545
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Développeur Java

    Informations forums :
    Inscription : Mai 2019
    Messages : 545
    Par défaut
    En même temps avec du rest et des swaggers partout une fois qu'elle à accès l'ia peut se faire plaisir, c'est lisible

  4. #4
    Expert confirmé
    Avatar de popo
    Homme Profil pro
    Analyste programmeur Delphi / C#
    Inscrit en
    Mars 2005
    Messages
    2 881
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Analyste programmeur Delphi / C#
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mars 2005
    Messages : 2 881
    Par défaut
    Citation Envoyé par L33tige Voir le message
    En même temps avec du rest et des swaggers partout une fois qu'elle à accès l'ia peut se faire plaisir, c'est lisible
    C'est le principe même d'un Swagger, afficher clairement le contrat de l'API
    Et un contrat clairement lisible et compréhensible, c'est la base pour qu'une API soit utilisée.

    Le Swagger et la sécurité sont deux choses différentes.
    Avoir un Swagger clair et lisible n'empêche en rien de mettre en place de la sécurité.

  5. #5
    Membre confirmé
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Février 2008
    Messages
    174
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 60
    Localisation : France, Calvados (Basse Normandie)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Février 2008
    Messages : 174
    Par défaut
    Les API sont devenues la principale surface d'attaque en 2024
    Ce n'était pas prévisible du tout, du tout

  6. #6
    Membre éclairé
    Homme Profil pro
    Développeur Java
    Inscrit en
    Mai 2019
    Messages
    545
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Développeur Java

    Informations forums :
    Inscription : Mai 2019
    Messages : 545
    Par défaut
    Citation Envoyé par popo Voir le message
    C'est le principe même d'un Swagger, afficher clairement le contrat de l'API
    Et un contrat clairement lisible et compréhensible, c'est la base pour qu'une API soit utilisée.

    Le Swagger et la sécurité sont deux choses différentes.
    Avoir un Swagger clair et lisible n'empêche en rien de mettre en place de la sécurité.
    Alors loin de moi l'idée de trouver redondant d'expliquer que le principe même d'une API rest bien ficelée rends un peu desuet le swagger...

  7. #7
    Expert confirmé
    Avatar de popo
    Homme Profil pro
    Analyste programmeur Delphi / C#
    Inscrit en
    Mars 2005
    Messages
    2 881
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Analyste programmeur Delphi / C#
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mars 2005
    Messages : 2 881
    Par défaut
    Citation Envoyé par L33tige Voir le message
    Alors loin de moi l'idée de trouver redondant d'expliquer que le principe même d'une API rest bien ficelée rends un peu desuet le swagger...
    Et bien moi, j'aimerai bien que tu m'expliques !

  8. #8
    Membre éclairé
    Homme Profil pro
    Développeur Java
    Inscrit en
    Mai 2019
    Messages
    545
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Développeur Java

    Informations forums :
    Inscription : Mai 2019
    Messages : 545
    Par défaut
    Citation Envoyé par popo Voir le message
    Et bien moi, j'aimerai bien que tu m'expliques !
    Representational :

    relating to or denoting art which aims to depict the physical appearance of things.

Discussions similaires

  1. Réponses: 1
    Dernier message: 16/06/2022, 17h22
  2. Réponses: 0
    Dernier message: 05/03/2022, 06h04
  3. Réponses: 0
    Dernier message: 06/01/2022, 18h37
  4. Réponses: 0
    Dernier message: 04/05/2020, 13h08
  5. Réponses: 0
    Dernier message: 25/04/2019, 20h02

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo