Les API alimentent 99 % des applications mobiles et des sites web, et les pirates l'ont bien compris. Ces interfaces sont aujourd'hui la principale porte d'entrée des cyberattaques, alerte l'expert F5 Matthieu Dierick.
Invisible à l'œil nu, l'API est pourtant partout, derrière chaque clic, chaque scroll de votre application préférée. Moteur discret du web moderne, elle est aussi devenue une porte d'entrée royale pour les hackers, faute de sécurisation suffisante. Et souvent, le problème n'est ni technique ni complexe : il est avant tout budgétaire. Depuis le Forum InCyber (FIC), Matthieu Dierick, expert en cybersécurité, nous éclaire sur le danger des API.
L'API, ce rouage invisible au cœur de toutes vos applications, que les hackers convoitent
Matthieu Dierick a une façon bien à lui d'expliquer ce qu'est une API (ou interface de programmation d'application). « C'est très simple, c'est un point d'entrée, c'est une demande. » Imaginez Facebook : votre fil d'actualité, votre messagerie, votre profil, chaque bloc de la page est en réalité chargé séparément, via sa propre API. Concrètement, chacune correspond à une adresse web spécifique, du type nomdusite[.]com/messages, que l'application interroge pour afficher le bon contenu au bon endroit.
Pour illustrer la dangerosité des API mal sécurisées, Matthieu Dierick cite le cas Uber. Au lancement de la plateforme, des hackers ont repéré une URL accessible à tous, baptisée « /conducteur ». En l'interrogeant, ils ont obtenu un nom, un prénom, et surtout un identifiant. Puis, en réutilisant cet identifiant sur une autre API, ils ont récupéré l'intégralité du profil du chauffeur, numéro de sécurité sociale inclus. « On lui demande quelque chose, et elle répond, tout le temps. C'est le concept de l'API. » Comme un guichet automatique qui distribuerait des billets à n'importe qui, sans jamais vérifier l'identité.
Si les API ont envahi le web, c'est d'abord parce qu'elles simplifient radicalement le travail des développeurs. « C'est beaucoup plus agile », résume Dierick. Avant, une seule équipe écrivait des centaines de lignes de code pour construire une page entière. Aujourd'hui, plusieurs équipes travaillent en parallèle, chacune responsable d'un seul bloc (la messagerie ; le fil d'actualité etc), sans interférer avec les autres. C'est cette modularité qui explique que « 99 % des applications aujourd'hui sont faites à base d'API ».
Pourquoi une API mal sécurisée répond aussi bien à un hacker qu'à un utilisateur normal
Le vrai problème des API, c'est qu'elles ne font pas la différence entre un utilisateur légitime et un hacker. Posez-leur une question, elles répondent, point. « L'API se moque de tout ça, on lui pose une question, elle répond. C'est vraiment très binaire. » Peu importe qui vous êtes, d'où vous venez (donc d'où le trafic web provient), la réponse tombe. Si cette réponse contient des données personnelles mal protégées, le pirate repart avec le butin.
Les développeurs sont souvent en cause, non par mauvaise volonté, mais parce que la sécurité passe parfois après la rapidité de mise en production. « Malheureusement, très souvent, ils négligent un peu la sécurité », observe l'expert F5. Faute de vérification suffisante, une API peut renvoyer à un utilisateur des données qui appartiennent à quelqu'un d'autre. Vous interrogez l'API avec votre identifiant, et elle vous répond avec les données de votre voisin. C'est précisément ce type de faille qui a permis à un spécialiste de prendre le contrôle de robots DJI via leurs API.
Alors, que faire en tant que simple utilisateur ? Matthieu Dierick est lucide, presque fataliste : « Il faut toujours se dire que ce que je mets sur internet est quelque chose qui un jour pourra ressortir. » Les API ne sont qu'une menace parmi d'autres, au milieu de la manipulation psychologique (appelée social engineering), pour soutirer des accès, ou de l'intrusion physique dans un data center. Peu importe le vecteur, le message reste qu'il faut partir du principe que vos données en ligne ne sont jamais définitivement à l'abri.
Double authentification, la solution simple que certaines institutions françaises refusent pourtant d'appliquer
Alors pour contenir la menace, la parade la plus efficace est aussi la plus accessible, et nous vous en parlons presque chaque semaine, que ce soit sur Clubic, ou dans l'actualité lorsque nos ministères sont pris à défaut de ne pas l'utiliser. Il s'agit de la double authentification. Le principe est simple : en plus de votre mot de passe, un second code vous est demandé à chaque connexion, via une application ou un SMS. « N'importe quel service, s'il offre la possibilité de deuxième facteur, on doit le mettre en place », insiste Matthieu Dierick. Google Authenticator, Microsoft Entra ID (ex-Azure AD) et FranceConnect, des outils que l'expert cite, existent et sont éprouvés. Et pourtant, certaines institutions françaises font encore l'impasse.
Et pas n'importe lesquelles. Matthieu Dierick cite notamment le Système d'Information sur les Armes, le SIA, qu'il décrit comme « le coffre-fort numérique des armes en France », autrement dit la base de données qui recense qui possède quoi en matière d'armement, récemment piratée, faute de double authentification. Un armurier avait également été compromis la semaine précédente, exposant l'identité de clients détenteurs d'armes. La Fédération française de Tir et le ministère de l'Intérieur sont dans le même cas. « Je n'arrive pas à l'expliquer », réagit notre expert, qui a tout de même son idée sur la question.
« Je plaide plus pour un problème de moyens qu'un problème de volonté. La couche technique est ultra simple. » Déployer la double authentification n'a rien d'un exploit technologique, mais ce serait bien une question de budget. Les responsables de la sécurité informatique dans le secteur public le savent bien. « Je suis convaincu qu'un RSSI dans le service public est au courant. Ils savent que le problème est financier. » Ce sont désormais aux décideurs politiques, en haut de la chaîne, de plaider à leur tour, cette fois en faveur de la cybersécurité. Car pendant ce temps, les API, elles, continuent de répondre à toutes les questions, y compris celles des hackers.
