Et si le succi?s quelques notions client dependait d’la securisation des API ?

Pour fournir a ses clients et utilisateurs la meilleure experience numerique possible, les strategies de developpement basees i  propos des API se paraissent multipliees. Mais quelles bonnes pratiques de securite adopter ?

On estime qu’actuellement une seule transaction concernant la toile ou dans votre smartphone transite en moyenne via 35 systemes ou composants technologiques divers, contre 22 il y a seulement 5 ans.

Les API (ou interface de programmation d’applications) paraissent desormais au c?ur du fonctionnement du web : application meteo, systeme de navigation, comparateur de tarifs tout transite par des API. Toutefois, connecter des services necessite d’echanger de donnees. desfois critiques. La politique de securisation des API est-elle optimale ? Mes dernieres fuites de donnees chez Facebook, Apple, Tinder. tendent a demontrer le contraire. Alors comment tirer pleinement profits des benefices offerts avec les API bien en securisant des informations des firmes et de leurs utilisateurs ?

Multiplication des API et “go to market”

Selon Gartner, “Mes API sont maintenant au c?ur de l’architecture des applications car elles permettront une integration sans couplage tri?s et aident au fonctionnement des applications mobiles ainsi que nombreux appareils IoT”. Elles favorisent l’innovation interne en offrant l’agilite et la flexibilite necessaires et permettront une mise dans le marche plus pratique de nouveaux services. Plus besoin de developper des fonctionnalites necessaires au fonctionnement d’une application si elles existent deja ailleurs, il suffit de nos integrer. Dans un monde ou la technologie evolue constamment pour satisfaire a toutes les besoins des consommateurs et des utilisateurs, la capacite a fournir des prestations promptement et a moindre cout est vitale.

Mecanisme de communication preponderant et incontournable concernant toute firme en phase de transformation digitale, les API s’appuient non juste dans des precisions publiques mais egalement via des precisions privees voir sensibles (n° de carte bancaire, n° de securite sociale, . ). Cette interconnexion de services et d’applications souleve du coup une question incontournable, De quelle fai§on garantir un acces permanent aux informations quel que soit le lieu et le device en toute marketing ?

Selon 1 audit via Notre securite de 128 applications web[1], des failles graves ont ete observees dans 60% des cas et ca est tres similaire pour les API.

Une fuite de informations silencieuse

J’ai grande majorite des attaques API restent invisibles et ne semblent, aussi, detectees que fort un moment apres, pourtant lorsqu’une API mal securisee conduit a une violation de donnees, les consequences seront tres dommageables.

En septembre 2018, Facebook a fait l’objet d’un detournement massif de precisions qui possi?de affecte plus de 50 millions de comptes. Pire bien, ils ont admis qu’ils ne savaient nullement quel type d’informations avait ete vole a J’ai suite de une telle breche. La vulnerabilite proprement dit, qui possi?de foutu 20 mois avant d’etre detectee et corrigee, est due a une fonctionnalite de View As, une API qui permettait aux developpeurs de mettre les pages en mode utilisateur. Ce n’est jamais une premiere firstmet chat pour la firme de Menlo Park et c’est loin d’etre un cas isole. Mes services postaux americains ont egalement connu des desagrements, en novembre 2018, suite a une vulnerabilite d’authentification au sein d’ l’API de suivi du courrier qui a permis a toute personne possedant un compte de visualiser les precisions d’autres comptes. La aussi annee, un manque de securisation d’une API utilisee par Salesforce a expose les coordonnees de la clienti?le et les donnees des prospects.

Mes API non securisees peuvent servir de a derobee a une application ? securisee, une authentification robuste par rapport i  l’API est donc essentielle.

Et si le CIAM etait la reponse ?

Porte par la generalisation des prestations cloud, le CIAM (customer identity and access management) n’est desormais plus cantonne aux problematiques de provisioning utilisateur et d’authentification mais est devenu une composante essentielle en transformation virtuel des firmes. J’ai securite etant inherente a toute solution de gestion des identites et des acces, elle s’appuie ou autre sur le protocole de delegation d’autorisation OAuth (Open Authorization), element central d’la securisation des API, qui permet a une application d’obtenir un acces limite a une ressource concernant le compte d’un utilisateur. Plusieurs applications necessitant une securite forte utilisent deja le CIAM Afin de s’integrer a quelques types d’identites de tiers, comme les banques, les operateurs de reseaux mobiles ou le gouvernement – des acteurs qui exigent une verification fine des identites numeriques.

Par sa conception, le CIAM peut evaluer les politiques d’autorisation, construire les profils d’identite et coder les attributs necessaires au fonctionnement des API bien en offrant une securite maximale.

[1] Source : Wavestone : Bilan d’une securite des e-boutiques web en France