Cet article met en lumière les défis que posent les API dans un contexte de cyberattaques de plus en plus sophistiquées. Alors que le trafic des API continue de croître, celles-ci deviennent des cibles privilégiées des attaquants, notamment via les IA génératives, capables de simuler des comportements humains pour contourner les défenses. Cette nouvelle menace rend obsolètes les protections traditionnelles comme les WAF (Web Application Firewalls), obligeant les entreprises à évoluer vers des solutions plus avancées, telles que le WAAP (Web Application and API Protection) et les API Gateway dotées d'apprentissage automatique. Ces technologies, adoptées par des entreprises comme DataDome et Google, permettent de détecter les comportements anormaux en temps réel et de renforcer la sécurité des API contre les attaques complexes, telles que les DDoS et le credential stuffing. Cependant, face aux capacités de dissimulation de l'IA générative, les experts soulignent l'importance d'une adaptation constante de la sécurité des API pour répondre aux nouveaux risques, avec un focus sur des approches spécifiques et adaptatives qui pourraient contrer cette menace en perpétuelle évolution.

L'article souligne que plus de 90 % des cyberattaques basées sur le Web ciblent les API, exposant ainsi leurs vulnérabilités souvent ignorées par les équipes de sécurité. Il met en lumière l'importance d'une surveillance active des API et d'une adaptation des stratégies de défense face à l'évolution rapide des menaces, notamment avec l'essor des technologies d'intelligence artificielle. L'article préconise une approche de sécurité dynamique, centrée sur l'identification et la protection des API critiques, tout en insistant sur la nécessité d'une visibilité accrue et d'une intégration de solutions de sécurité adaptées pour faire face aux défis croissants de cybersécurité.

Des chercheurs ont découvert des failles critiques dans les API du portail concessionnaire de Kia. En créant un faux compte, ils ont pu accéder aux données personnelles de propriétaires et modifier leur adresse e-mail sans vérification. Cela leur a permis d’ajouter un véhicule à leur compte via le numéro VIN, et de le contrôler à distance (démarrage, verrouillage, localisation). Les failles ont été corrigées, mais révèlent un grave manque de sécurisation des API.

Deux étudiants de l'université de Californie à Santa Cruz ont découvert une faille critique dans les machines à laver connectées de leur campus, permettant de contourner le système de paiement pour obtenir des lavages gratuits. Cette vulnérabilité, liée à une API non sécurisée de l’application CSC Go, autorise la manipulation des soldes et des commandes sans vérification côté serveur. Bien qu'ils aient tenté de signaler le problème à CSC ServiceWorks, l'entreprise n'a pas répondu, ce qui les a poussés à rendre la faille publique après des mois d'attente. Cette affaire souligne l'importance de pratiques de sécurité robustes pour les objets connectés, la nécessité d'une validation des opérations côté serveur, et le rôle crucial de la réactivité des entreprises face aux vulnérabilités signalées pour protéger leurs utilisateurs.

Cet article met en lumière l'augmentation des attaques contre les applications Web et les API, devenues essentielles pour les entreprises. Selon le rapport État des lieux d’Internet d'Akamai, ces attaques ont augmenté de 49 % entre début 2023 et début 2024, avec 108 milliards d'attaques d'API observées, causant des risques financiers et de conformité. Les techniques couramment utilisées par les attaquants incluent des méthodes comme les injections SQL (SQLi), les inclusions de fichiers (LFI), et les scripts intersites (XSS), qui visent à voler des données ou perturber les services. Les secteurs du commerce, de la technologie et des réseaux sociaux sont particulièrement ciblés. Pour renforcer la sécurité des applications et des API, l'article recommande une stratégie de Zero Trust, qui consiste à segmenter les réseaux pour limiter les accès non autorisés et protéger les données sensibles.

Medefer, un partenaire privé du système de santé britannique (NHS), a exposé pendant des années des données médicales sensibles via une API mal configurée, selon une révélation de la BBC. Bien qu’aucune fuite de données n’ait été confirmée, les experts critiquent le délai de plusieurs mois entre la découverte de la faille (novembre 2023) et le lancement d’un audit approfondi (février 2024). La vulnérabilité permettait potentiellement d’accéder à des dossiers patients complets sans authentification robuste, un risque majeur pour la vie privée et la sécurité des soins. Cet incident s’inscrit dans une tendance inquiétante des cyberattaques via des API, souvent mal sécurisées ou oubliées ("API fantômes"), comme l’ont souligné récemment Cloudflare et Akamai. Le NHS et les autorités britanniques enquêtent sur cette négligence, qui pourrait entraîner des sanctions réglementaires, tandis que Medefer tente de restaurer la confiance avec l’aide d’auditeurs externes.