Le site de Lego est le dernier exemple en date des risques sécurité issus des API, les interfaces de programmation d’application. Dans ce cas, des chercheurs avaient trouvé des failles critiques qui auraient pu permettre à des acteurs malveillants d’accéder à toutes les données personnelles des clients et éventuellement à une compromission complète des serveurs internes.
Pour rappel, une API est un ensemble de définitions et de protocoles d’échanges de données avec des applications. Elle permet ainsi d’obtenir des informations ou de réaliser des traitements de données sans connaître les détails de leur mise en œuvre technique. Elles sont aujourd’hui utilisées partout sur le web et sont essentielles pour le développement des services en ligne.

Il est évident que l’exposition de services sur Internet requiert bien entendu une sécurisation des échanges. Aujourd’hui, le nombre d’attaques sur les API explosent car elles sont souvent des portes d’entrée vulnérables permettant d’accéder en masse à des données.
Selon une enquête menée par Google Cloud, les problèmes de sécurité des API les plus préoccupants sont les erreurs de configuration, les API ou leurs composants obsolètes, ainsi que les spams ou les robots malveillants.
Pour creuser le sujet: