Salt Security renforce les API et prévient les attaques

Créé en 2016, Salt Security s’est attaqué au sujet des API, « anticipant l’explosion des API » qui allaient devenir la cible des cyberattaquants ! Dès 2018, Salt Security devient leader sur ce marché avec sa solution brevetée faisant appel à l’IA et au machine learning, et entend protéger les API au cœur de chaque application moderne. « Le corpus des données est essentiel, aussi en améliorant les modèles depuis des années, nous restons à la pointe et avons une longueur d’avance ».

Sécurité des API

Les API sont un sujet crucial au sein des entreprises, « beaucoup ne sont même pas conscients de la présence d’API dans leur organisation, alors que c’est 85% du trafic web ».

La première problématique est donc d’avoir la connaissance de ses propres API et du niveau de risque « connaître ses API, sa propre surface d’attaque API ». Ainsi, la solution Salt Security permet de connaître les fonctionnalités, déceler les données sensibles, savoir dans quel périmètre elles sont traitées. « En effet, côté API, beaucoup d’organisations ont des changements hebdomadaires, il faut donc prendre en compte la vitesse du changement ».

Deuxième problématique, c’est le changement de l’approche pentest auprès des clients. « Aujourd’hui les API se testent différemment, les attaques classiques ne fonctionnent plus, car les services ont été durcis. Maintenant, les attaques se portent sur la logique métier des API, sur ce que les développeurs ont fait de spécifique pour l’organisation, et cela représente 85 % des attaques. Aussi, nous utilisons l’IA pour comprendre la logique métier, et bloquer les accès non autorisés».

Il faut donc vérifier si l’entreprise n’a pas des pratiques qui augmentent le risque. Un pentest annuel et un audit annuel sont loin d’être suffisants, aussi la solution Salt Security procède automatiquement en temps réel pour une protection continue. En corrélant les activités de millions d’API et d’utilisateurs, l’entreprise parvient à fournir un contexte avec une analyse en temps réel pour la découverte d’API, la prévention des attaques et le renforcement des API.

Cybersécurité & Vulnérabilités

Prendre en compte le lourd passif des API est une priorité. En effet, « beaucoup d’API présentes depuis longtemps, conçues pour un usage interne, sont dorénavant exposées sans avoir le niveau de sécurité suffisant et de ce fait, avec l’ouverture, les risques explosent ».

Autre tendance. Outre la promesse de résultats avec l’IA, il faut prendre en compte l’IA connectée via les API « puisqu’elle consomme massivement de la donnée ». Récemment, l’entité de recherche Salt Labs a identifié un nouveau vecteur d’attaque avec les fonctionnalités ChatGPT, les vulnérabilités auraient pu donner accès aux comptes des utilisateurs sur des sites tiers (notamment GitHub).

Ces failles de sécurité au sein des plugins ChatGPT pointent un nouveau risque. Les plugins (modules d’extension) donnent aux agents conversationnels pilotés par l’IA les accès et les autorisations pour exécuter des tâches sur des sites web tiers pour le compte des utilisateurs, comme valider du code dans des référentiels GitHub ou extraire des données stockées sur les comptes Google Drive d’une entreprise. Trois failles ont été découvertes par Salt Labs à savoir une première vulnérabilité observée au niveau de ChatGPT, lors de l’installation de nouveaux plugins, une deuxième mise au jour dans PluginLab (pluginlab.ai), framework de développement de modules d’extension pour ChatGPT utilisé par les développeurs et les entreprises, une troisième commune à plusieurs plugins, est le détournement de redirection OAuth (Open Authorization). Les chercheurs Salt Labs ont contacté OpenAI et les éditeurs tiers, tous les problèmes ont été résolus rapidement.

Un dernier point de vigilance, c’est le Shadow API, « ici, on parle des API non documentées, non connues, transportant des données sensibles sur des environnements non sécurisés ». Salt Security prend en charge cet aspect dès la phase d’inventaire.

Moteur de gouvernance de posture de sécurité des API

« Pour 2024, nous poursuivons et continuons à diminuer le risque encore plus tôt dans le cycle de mise en production de nos clients, nous vérifions les bonnes pratiques du marché et nous mettons à disposition le premier moteur de gouvernance de posture de sécurité des API. L’entreprise peut implémenter dans l’outil ses propres bonnes pratiques internes pour aller encore plus loin, avoir plus de contrôle et adopter une démarche proactive ».

Ce moteur aide à diminuer le plus possible les risques liés à la stratégie API-first, en définissant des normes applicables à la posture des API et en évaluant leur conformité, dans le respect des bonnes pratiques sectorielles et des obligations réglementaires. Les experts du cycle de vie des API (architectes, développeurs, responsables produits API, équipes AppSec, équipes SecOps de sécurité et d’exploitation) procèdent ainsi en synchronisation, avec des normes de sécurité tout au long du cycle de vie d’une API.