Qu’est-ce que la découverte d’API ?

La découverte d’API crée un stock des interfaces de programmation d’application (API) utilisées, ce qu’elles font, qui a les autorisations d’accès et bien plus encore. Elle peut également aider à découvrir les API cachées ou oubliées, élément essentiel pour atténuer les risques de sécurité.

Les API sont un élément essentiel du développement logiciel moderne et offrent un échange bidirectionnel : elles permettent aux développeurs et aux applications de demander des données, d’ajouter des services et de capitaliser sur les capacités d’autres applications, tout en donnant aux propriétaires d’applications un moyen de partager, de rendre public et de commercialiser leurs produits. Cette fonctionnalité essentielle s’accompagne d’une complexité et de vulnérabilités accrues.

La gestion des API est essentielle pour sécuriser ces vulnérabilités et s’assurer qu’un écosystème d’API fonctionne comme prévu. Il est important de savoir exactement combien, quel type et à quel point les API sont populaires, pour des raisons de sécurité des API, d’authentification, d’efficacité, de protection des données sensibles et de maintien d’une vision globale de l’utilisation d’une application donnée. Mais comment un propriétaire d’application peut-il découvrir toutes ces informations ? C’est là que la découverte d’API entre en jeu.

Les API ou interfaces de programmation d’application sont des ensembles de règles et de protocoles qui permettent aux applications et aux services de communiquer entre eux. Ce sont essentiellement les intermédiaires qui permettent aux applications d’extraire des données en temps réel à partir de toutes sortes de sources différentes. Les API fournissent les données dans les applications météorologiques, les paiements accélérés sur les applications d’achat et les cartes sur le site Web d’un restaurant, entre autres cas d’utilisation. Dans l’entreprise, les API sont utilisées pour intégrer les flux de travail et les plateformes, connecter les microservices, faciliter le partage d’actifs, mettre des applications à la disposition des utilisateurs tiers et bien plus encore.

Compte tenu du nombre considérable d’applications utilisées par les entreprises modernes (plus d’un millier en moyenne selon une enquête Salesforce), il est important pour les organisations de disposer d’une solide pratique de découverte d’API. La découverte d’API fait référence au processus consistant à trouver des API documentées et cachées, à créer des répertoires et à compiler un stock des API découvertes. La découverte d’API revêt une extrême importance, à la fois en raison des avantages qu’elle peut apporter et des possibles impacts sur la sécurité des applications en cas de négligence. La découverte d’API est un élément essentiel de l’assemblage d’une documentation approfondie et complète sur les API.

La redondance, c’est-à-dire la création de plusieurs instances de fonctionnalités identiques ou similaires qui encombrent la documentation, peut avoir un impact considérable sur les processus de développement en réduisant l’efficacité et la productivité. En bref, créer une nouvelle API qui n’est pas vraiment nouvelle peut vous faire perdre du temps et des ressources. Une bonne découverte des API et une bonne documentation des API peuvent réduire les risques de redondance des API. S’il est facile de trouver de la documentation pour une roue, il n’est pas non plus nécessaire de réinventer son concept.

En utilisant les outils de découverte d’API pour découvrir des API et produire une documentation solide, les développeurs peuvent mieux comprendre à quelles applications et services existants (internes et externes) ils peuvent accéder et intégrer. En utilisant des services et des fonctions préexistants, les développeurs peuvent accélérer la production, étendre les capacités des applications et réduire les délais de mise sur le marché.

La découverte d’API permet de créer un stock d’API qui aide les développeurs à localiser et à utiliser les services existants. Cela présente l’avantage supplémentaire d’encourager les développeurs à intégrer les données et les services d’une application en proposant un menu d’options.

La découverte d’API et la maintenance cohérente d’un catalogue d’API permettent aux équipes de trouver rapidement et facilement des API existantes. Cela peut améliorer l’efficacité, réduire les tâches inutiles et même améliorer le flux de travail en alertant les développeurs sur des capacités qu’ils n’ont peut-être pas réalisées.

Maintenir un catalogue d’API à jour est un excellent moyen de contrôler qui a accès aux données sensibles telles que les informations utilisateur et les clés API. En utilisant la découverte d’API pour trouver toutes les API qui accèdent aux données sensibles, un propriétaire d’application peut plus facilement contrôler qui a accès à quoi et s’assurer que les API et les applications respectent toutes les lois et directives applicables. Cet aspect est particulièrement important compte tenu de la prévalence des API fantômes.

La découverte d’API implique la découverte de nombreux détails différents (le type d’API, ce qu’elles font, les données auxquelles elles ont accès et bien plus encore) qui aident les développeurs à identifier et à mieux comprendre les API utilisées par une entreprise. La découverte d’API génère des informations sur les API, notamment :

Protocole, architecture et formats de données pris en charge : le processus de découverte permet de documenter le protocole ou l’architecture des API (tels que REST, GraphQL, SOAP ou RPC) et les formats de données qu’elles prennent en charge (tels que JSON, XML et YAML.)

Points de terminaison d’API : il s’agit de l’emplacement d’un entrepôt de données ou d’un service particulier, généralement représenté sous la forme d’une URL.

Authentification : les API sont souvent sécurisées afin que seuls les clients, projets et utilisateurs reconnus puissent y accéder. La découverte d’API permet de découvrir les spécifications d’authentification.

Méthodes et paramètres : la reconnaissance d’API identifie les actions prises en charge telles que GET, PUT, DELETE et POST, ainsi que les paramètres que l’API accepte.

La découverte d’API peut jouer un rôle majeur dans le renforcement de la sécurité des API. La documentation appropriée et la gestion des API donnent aux propriétaires d’application une vue complète de l’utilisation de l’API, ce qui peut faciliter la découverte des vulnérabilités de sécurité. En retour, le propriétaire d’une application ou le développeur peut alors corriger les correctifs potentiels.

L’un des principaux moyens de découverte des API pour la securité des API consiste à localiser les API fantômes.

Le terme « fantôme » n’est pas tout à fait exact, dans la mesure où une API fantôme n’est pas nécessairement malveillante. Au lieu de cela, l’« API fantôme » fait référence aux API qui ne sont pas documentées et ne sont pas incluses dans la documentation de l’API. Il existe de nombreuses API fantômes qui sont parfaitement inoffensives, telles que les fonctionnalités de défilement infini ou de nombreuses fonctionnalités de saisie semi-automatique dans les champs de texte des applications Web.

Cela dit, même les API fantômes inoffensives peuvent constituer un casse-tête potentiel pour les équipes de sécurité. Les API fantômes, exclues des solutions de sécurité, ne seront pas soumises à l’arsenal habituel de mesures réglementaires et de sécurité telles que les pare-feu d’un propriétaire d’application. Il existe de nombreux types d’API fantômes, allant du simple oubli à l’activité malveillante, c’est pourquoi le processus de découverte des API est si important.

Bien qu’elles ne soient pas nécessairement malveillantes, les API fantômes sont définies comme des API qui ne sont ni gérées ni sécurisées par l’entité qui les utilise. Sans visibilité des API, ces dernières existent en dehors du champ d’application de la sécurité d’une entreprise et sont vulnérables aux attaques.

Un rapport de 2022 a révélé qu’environ 31 % des transactions malveillantes ciblaient les API fantômes, ce qui en faisait un risque de sécurité notable. Les attaques d’API visant les API fantômes ont le potentiel de mettre en danger des données sensibles telles que les informations des utilisateurs ou les connaissances propriétaires, ce qui fait de la cybersécurité une excellente raison d’utiliser de bonnes techniques de découverte des API. Les équipes de sécurité ne sont pas non plus en mesure de fournir des correctifs de sécurité aux API dont elles ne connaissent pas, ce qui signifie que les API fantômes peuvent présenter des vulnérabilités inconnues de tous les pirates, sauf les plus intelligents. Ces éléments peuvent élargir la surface d’attaque ou les accès disponibles aux acteurs malveillants.

Les API fantômes proviennent de toutes sortes d’erreurs, d’erreurs et de négligences en matière de politique de sécurité. Certains développeurs peuvent simplement oublier, ou ne pas s’en soucier assez, d’utiliser la documentation appropriée de l’API. Parfois, les API plus anciennes sont supprimées de la documentation, même si elles existent toujours. Les fusions d’entreprises sont également notoires pour produire de nombreuses API fantômes. Parfois, les développeurs créent des API fantômes à des fins de test, ou pour de très petits cas d’utilisation et ne se donnent pas la peine d’alerter les équipes de sécurité de leur présence.

Il existe un type d’API fantôme légèrement différent : l’API zombie, qui a été oubliée mais pas effacée. Les API zombie ont probablement été correctement sécurisées et entretenues à un moment donné, mais elles sont depuis restées à la traîne, peut-être même inconnues du propriétaire de l’application qui les a créées. Les API zombie ne sont généralement pas mises à jour ni corrigées, mais offrent toujours une porte quelque peu cachée vers une partie du système de l’application.

La terminologie des API malveillantes peut varier d’une entreprise à l’autre ; certaines utilisent les termes « API fantôme » et « API malveillante » de manière interchangeable, tandis que d’autres utilisent « API malveillante » pour faire référence à des API délibérément malveillantes.

Les pratiques de découverte d’API réussies sont cohérentes, bien documentées et standardisées. Suivre ces principes peut aider les développeurs, qu’ils soient internes ou externes, actuels et futurs, à utiliser les API de manière efficace et sécurisée.

Standardisation : l’utilisation de caractéristiques et de protocoles standard tels que la spécification OpenAPI (OAS), REST et GraphQL peut améliorer la découverte et la compatibilité des API et aider les consommateurs à se familiariser rapidement avec les API.

Documentation : les API dotées d’une documentation solide et standardisée sont plus faciles à découvrir, ce qui peut générer des dividendes dans les domaines de l’intégration, de la collaboration et de la gestion. Plus la documentation est de qualité, plus il est possible d’utiliser et d’améliorer les API.

Cohérence : il est important de procéder régulièrement à une découverte d’API, car les API sont continuellement ajoutées, mises à jour et supprimées, c’est un processus permanent. Les systèmes automatisés peuvent faciliter cette tâche, mais la reconnaissance manuelle régulière est également efficace.

Il existe de nombreux outils de découverte d’API, des outils de découverte d’API manuels aux outils qui reposent sur une automatisation complète. Chacun d’entre eux présente des forces et des faiblesses.

De nombreux développeurs ont recours à la découverte manuelle d’API. Cela peut impliquer l’examen des codes source ou la surveillance du trafic des API en temps réel à la recherche d’anomalies. Si une équipe de sécurité sait exactement ce qu’elle recherche, ces méthodes manuelles peuvent être plus rapides et plus directes que les méthodes automatisées. Mais en général, la découverte manuelle d’API est plus lente, moins efficace, susceptible de manquer des API fantômes plus subtiles et peut nécessiter un savoir-faire plus avancé.

Il existe de nombreux outils de découverte d’API spécialisés et automatisés. Une passerelle d’API, par exemple, est un « intermédiaire » centralisé qui reçoit et dirige les appels API. Les passerelles permettent de cataloguer et de surveiller les API et effectuent généralement une grande partie de la découverte des API dans le cadre de leur tâche.

Il existe d’autres services spécialisés de protection des API qui permettent la reconnaissance automatique des API. Lorsque vous recherchez un tel service, il est courant de rechercher un fournisseur qui offre une posture de sécurité robuste, la conformité aux normes bien connues (telles que la spécification OpenAPI, évitant d’être victime des 10 principaux risques de sécurité des API de l’OWASP) et une intégration facile à la plateforme d’une entreprise.

L’automatisation peut rendre l’amélioration du cycle de vie d’une API beaucoup plus efficace et s’assurer que seules les API sécurisées ont accès aux applications logicielles et aux ressources associées.