Ce rapport est basé sur les schémas de trafic agrégé observés par le réseau mondial de Cloudflare. Il met en évidence que de nos jours, le trafic lié aux API surclasse les autres formes de trafic Internet, en totalisant 57 % du trafic dynamique traité par Cloudflare. Dans le même temps, il apparaît, selon le rapport, que les API sont de plus en plus complexes à gérer et à protéger contre les abus.

Le rapport explore :

• Le risque croissant lié aux API fantômes.
• Les erreurs et les menaces les plus courantes affectant les API.
• L'utilisation des API à l'échelle mondiale, dans différents secteurs.
• Les prévisions de Cloudflare et ses recommandations pour protéger les API de manière globale.

Les API fantômes

Qu'est-ce donc que des API fantômes ?  Selon ce rapport, de nombreux services informatiques ne savent toujours pas combien d'API ils possèdent. La découverte basée sur l'apprentissage automatique de Cloudflare a trouvé 30,7 % de points de terminaison d'API en plus que les points de terminasons déclarés. Ce qui indique montre que près d'un tiers des API sont des API fantômes, c'est-à-dire pas correctement inventoriées.

Cloudflare précise : Souvent, les API fantômes sont introduites par les développeurs et d'autres utilisateurs au sein d'une organisation, soit au cours du processus de développement de l'application, soit pour exécuter d'autres fonctions métier.

Les API fantômes ne sont pas nécessairement utilisées à des fins malveillantes. Cependant, comme elles ne sont pas sous le contrôle des équipes informatiques et de sécurité d'une organisation, il est impossible de les protéger contre les nouvelles vulnérabilités et les nouvelles attaques.

Bien que les API fantômes ne soient pas malveillantes par nature, elles peuvent présenter un certain nombre de risques. Les équipes informatiques et de sécurité d'une organisation sont chargées d'appliquer et d'améliorer les normes de sécurité des API, mais elles ne peuvent protéger que les API et les points de terminaison qui leur sont visibles. S'il existe une dépendance dont ces équipes n'ont pas connaissance, elles ne peuvent pas suivre l'exposition potentielle des données, ni garantir la conformité ou bloquer les attaques.

Cloudflare recommande une limitation de débit par ID de session sur les API

Si les API constituent la plomberie essentielle d’Internet, elles sont également propices aux abus explique Cloudflare. Pour limiter ces abus, une solution est de mettre un place une limitation de débit. Il existe plusieurs approches pour ce faire, toutes n'étant pas de valeurs églaes. Par exemple si vous utilisez HTTP 429 pour vos limites de débit, les attaquants sauront instantanément qu'ils ont été limités en débit et pourront « surfer » juste en dessous de la limite sans être détectés. C'est pourquoi si implémenter des limites de requêtes sur les adresses IP peut être tentant, Cloudflare recommande de baser la limite sur un ID de session comme meilleure pratique et de ne recourir à l'adresse IP (ou à l'empreinte IP + JA3) que lorsque les ID de session ne sont pas disponibles.

Le rapport 2024 sur la sécurité et la gestion des API de Cloudflare peut être téléchargé ici.