Salt Security, spécialiste de la sécurisation des API, publie aujourd’hui la découverte par son laboratoire de recherche Salt Labs d’une vulnérabilité orientée API, qui présente en détail une faille SSRF (Server-Side Request Forgery) sur la plateforme numérique d’une fintech basée aux États-Unis. La plateforme fintech en question propose un large éventail de services bancaires numériques à plusieurs centaines de banques et à des clients par millions, et cette vulnérabilité menaçant la sécurité des API peut permettre le piratage ou la prise de contrôle de compte (ATO, account takeover). Des pirates auraient pu exploiter cette faille pour lancer des attaques afin de :
Bénéficier d’un accès administratif au système bancaire ;
Accéder aux coordonnées bancaires et aux opérations financières des utilisateurs ;
Faire fuiter les données à caractère personnel des utilisateurs ;
Transférer illégalement des fonds sur les comptes bancaires de pirates.
La faille SSRF, à l’origine d’une falsification des requêtes côté serveur, était déjà présente dans un grand nombre de systèmes de la fintech et susceptible de compromettre les comptes utilisateurs et les données transactionnelles adressées par ses banques clientes. Lors de la découverte de cette vulnérabilité, Salt Labs s’est conformé à des pratiques de communication coordonnées, et tous les incidents sont à présent corrigés. Pour autant, un recours abusif à cette plate-forme aurait pu permettre à des cyberassaillants de prendre le contrôle des comptes bancaires et des actifs de plusieurs millions d’utilisateurs, et donner lieu à des préjudices conséquents : pertes financières et vol, fraude, mais aussi atteinte à la réputation.
« Les failles SSRF sont plus courantes que nombre d’opérateurs fintech et établissements bancaires ne veulent bien l’admettre. Si cette vulnérabilité avait été repérée par des acteurs malveillants, elle aurait pu occasionner de graves préjudices financiers chez toutes les parties concernées », fait observer Yaniv Balmas, vice-président de la recherche chez Salt Security. « Les attaques ciblant les API deviennent plus fréquentes et plus complexes. Nos chercheurs Salt Labs mettent au jour des vulnérabilités critiques qui, chaque jour, font courir des risques à des entreprises. En faisant la lumière sur ces menaces, nous nous efforçons d’informer en permanence les professionnels de la sécurité sur la présence de possibles vulnérabilités dans leurs systèmes. »
D’après le rapport Salt Security « State of API Security Report », 1er trimestre 2022, 95 % des entreprises ont recensé un incident de sécurité concernant une API au cours des 12 derniers mois. Une autre étude fait état d’une progression significative (681 %) du trafic d’API malveillantes sur la même période. Les écosystèmes API des opérateurs fintech et des prestataires de services financiers sont vastes, avec des clients, banques et coopératives de crédit qui s’appuient sur des API pour développer les interactions à l’échelle d’un réseau complexe composé de sites web, d’applications mobiles, d’intégrations sur mesure, de points d’ancrage web, etc...
En l’occurrence, les chercheurs Salt Labs sont parvenus à manipuler facilement un certain nombre de ces interactions externes nécessitant des valeurs en entrée, comme des valeurs URL, ce qui a abouti à la découverte de la faille SSRF. Les développeurs de logiciels et d’API doivent accorder une attention particulière aux valeurs en entrée gérées par les utilisateurs, en adjoignant une validation et une détection comportementale pour protéger les données des attaques SSRF.
« Les applications bancaires modernes font l’objet d’attaques constantes. Or, les API demeurent un volet négligé dans une surface d’attaques qui a changé. Pour se défendre contre des attaques API, il faut de meilleurs outils de sécurité capables de détecter les subtiles activités d’investigation menées par des pirates en quête de failles dans la logique applicative », précise Roey Eliyahu, CEO et cofondateur de Salt Security. « Au vu de notre expérience, la plupart des entreprises sont mal préparées à se prémunir contre une attaque ciblant une API car les outils de sécurité traditionnels tels que les pare-feu applicatifs web (WAF) et les passerelles API sont incapables de détecter la manipulation d’API. Les conséquences peuvent être graves, et sources de préjudices pour leurs finances comme pour leur réputation. »
La plateforme Salt Security de protection des API s’attèle directement aux types de vulnérabilités issues d’implémentations API défaillantes et aux attaques répertoriées dans le « Top 10 » des vulnérabilités API de l’OWASP, notamment les erreurs de configuration en sécurité et la falsification des requêtes côté serveur. Première et unique solution de sécurisation des API à exploiter les mégadonnées, l’intelligence artificielle (IA) et le machine learning (ML) à l’échelle du cloud, la plateforme Salt Security supporte les activités de millions d’utilisateurs et d’appels API en parallèle pour détecter les opérations de reconnaissance des acteurs malveillants et y mettre fin avant que ceux-ci n’atteignent leur objectif. Via son architecture ACE (API Context Engine) unique, cette plateforme protège les API aux stades du développement, du déploiement et de l’exécution, met au jour la totalité des API et les données confidentielles exposées, repère et bloque leurs assaillants, et fait le point sur les mesures correctrices mise en œuvre en cours d’exécution dont peuvent se servir les développeurs pour renforcer les API.