Pour fournir a ses clients et utilisateurs la meilleure experience virtuel possible, les strategies de developpement basees sur les API se sont multipliees. Mais quelles bonnes pratiques de securite adopter ?
On estime qu’actuellement une seule transaction dans le web ou sur votre smartphone transite en moyenne par 35 systemes ou composants technologiques divers, contre 22 ils font juste 5 annees.
Mes API (ou interface de programmation d’applications) sont desormais au c?ur du fonctionnement du internet : application meteo, systeme de navigation, comparateur tarifaire bien transite via des API. Toutefois, connecter des services necessite d’echanger de donnees. des fois critiques. Notre politique de securisation des API est-elle optimale ? Les dernieres fuites de informations chez Facebook, Apple, Tinder. tendent a demontrer le contraire. Alors comment tirer pleinement profits des benefices offerts par nos API bien en securisant les informations des entreprises et de leurs utilisateurs ?
Multiplication des API et “go to market”
Selon Gartner, “Les API seront Actuellement au c?ur de l’architecture des applications car elles permettront une integration sans couplage tri?s et aident au fonctionnement des applications mobiles et de nombreux appareils IoT”. Elles favorisent l’innovation interne en offrant l’agilite et J’ai flexibilite necessaires et peuvent permettre une mise via le marche plus pratique de nouveaux services. Plus besoin de developper des fonctionnalites necessaires au fonctionnement d’une application si elles existent deja ailleurs, il faut juste des integrer. Dans un monde ou la technologie evolue chaque jour pour satisfaire aux besoins des consommateurs et des utilisateurs, la capacite a fournir des prestations de suite et a moindre cout est vitale.
Mecanisme de communication preponderant et incontournable concernant toute entreprise en phase de transformation digitale, les API s’appuient non seulement concernant des donnees publiques mais egalement sur des informations privees voir sensibles (n° de carte bancaire, n° de securite sociale, . ). Cette interconnexion de services et d’applications souleve aussi une question incontournable, comment garantir un acces permanent aux precisions peu importe la zone et le device en toute securite ?
Selon un audit dans la securite de 128 applications web[1], des failles graves ont ete observees dans 60% des cas et ca est tres similaire pour les API.
Une fuite de donnees silencieuse
La grande majorite des attaques API restent invisibles et ne semblent, de fait, detectees que reellement un certain temps apres, pourtant lorsqu’une API mal securisee conduit a une violation de precisions, nos consequences seront tres dommageables.
En septembre 2018, Facebook a fait l’objet d’un detournement massif de informations qui a affecte environ 50 millions de comptes. Pire encore, ils ont admis qu’ils ne savaient pas quel type d’informations avait ete vole a J’ai suite de une telle breche. La vulnerabilite proprement dit, qui possi?de foutu 20 mois avant d’etre detectee et corrigee, etait due a une fonctionnalite de View As, une API qui permettait aux developpeurs de mettre les pages en mode utilisateur. Ce n’est gui?re 
une premiere pour la firme de Menlo Park et c’est loin d’etre un cas isole. Mes services postaux americains ont egalement connu quelques desagrements, en novembre 2018, suite a une vulnerabilite d’authentification au sein d’ l’API de suivi du courrier qui possi?de permis a toute personne possedant un compte de visualiser les precisions d’autres comptes. La meme annee, un manque de securisation d’une API utilisee via Salesforce a expose les coordonnees des clients et les donnees des prospects.
Mes API non securisees peuvent servir de porte derobee a une application ? securisee, une authentification robuste par rapport i l’API est donc essentielle.
Et si le CIAM etait la reponse ?
Porte par la generalisation des services cloud, le CIAM (customer identity and access management) n’est desormais plus cantonne aux problematiques de provisioning utilisateur et d’authentification mais est devenu une composante essentielle d’la transformation virtuel des firmes. Notre securite etant inherente a toute solution de gestion des identites et des acces, elle s’appuie par exemple sur le protocole de delegation d’autorisation OAuth (Open Authorization), element central une securisation des API, qui permet a une application d’obtenir un acces limite a une ressource concernant le compte d’un utilisateur. Plusieurs applications necessitant une securite forte utilisent deja le CIAM Afin de s’integrer a diverses types d’identites de tiers, comme les banques, les operateurs de reseaux mobiles ou le gouvernement – des acteurs qui exigent une verification fine des identites numeriques.
Par sa conception, le CIAM peut evaluer les politiques d’autorisation, construire des profils d’identite et coder les attributs necessaires au fonctionnement des API tout en offrant une securite maximale.
[1] Source : Wavestone : Bilan d’la securite des e-boutiques internet en France
댓글을 남겨주세요