Sécurité API : détection de patterns d'utilisation anormaux dans les microservices

Découvrez comment l'IA et le machine learning transforment la sécurité des API en détectant les Shadow APIs, les attaques BOLA et les patterns d'utilisation anormaux dans les microservices modernes.

Mis à jour le
6 min de lecture
Sécurité API : détection de patterns d'utilisation anormaux dans les microservices
Photo of William Blondel

William Blondel

Partie 5 de la sérieDéveloppement Sécurisé à l'ère de l'IA

Introduction : le tissu conjonctif sous attaque

Dans l’architecture logicielle moderne, l’application monolithique est morte. Elle a été remplacée par des réseaux tentaculaires de microservices, tous communiquant via des API (Application Programming Interfaces). Les API sont le sang vital des applications mobiles, de l’infrastructure cloud et des intégrations B2B. Sans surprise, elles sont également devenues le principal vecteur d’attaque pour les cybercriminels.

Sécuriser les API est fondamentalement différent de sécuriser une application web traditionnelle. Un attaquant n’a pas nécessairement besoin d’injecter du code SQL malveillant ; dans une architecture zero trust, il utilise souvent l’API exactement comme elle a été conçue, mais de façons que le développeur n’avait jamais anticipées. Les contrôles de sécurité traditionnels sont aveugles à ces abus. Pour protéger l’écosystème de microservices, les équipes DevSecOps se tournent vers le machine learning pour analyser les patterns comportementaux et détecter les anomalies que les règles statiques manquent.

1. L’échec du rate limiting statique

Historiquement, la première ligne de défense d’une API était la passerelle API, configurée avec des limites de débit statiques (ex. « Autoriser un maximum de 100 requêtes par adresse IP par minute »).

Les attaquants d’aujourd’hui contournent facilement cette logique. En utilisant des botnets pilotés par IA et des réseaux de proxies résidentiels massifs, un attaquant peut distribuer une attaque sur 50 000 adresses IP différentes. Si chaque IP ne fait qu’une seule requête malveillante par heure, le limiteur de débit statique ne voit absolument rien d’anormal. Le trafic passe complètement sous le radar. De plus, les règles statiques ne peuvent pas comprendre la logique métier. Si un endpoint est conçu pour transférer de l’argent, un attaquant exfiltrant des données lentement, un enregistrement à la fois, ne déclenchera pas d’alarme volumétrique.

2. Le machine learning pour l’établissement d’une baseline API

Pour détecter les attaques « lentes et discrètes » et les abus distribués, les outils de sécurité doivent passer des seuils volumétriques à l’établissement d’une baseline comportementale.

Les modèles de machine learning non supervisés ingèrent les logs de trafic API pour apprendre le rythme « normal » de chaque endpoint. L’IA construit un profil mathématique pour chaque route API en se basant sur des dizaines de paramètres :

  • Séquence d’appels : un utilisateur normal se connecte, consulte son profil, puis demande l’historique de ses transactions. Un attaquant pourrait ignorer la consultation du profil et attaquer directement l’endpoint de l’historique des transactions par brute force.
  • Caractéristiques du payload : l’IA apprend la taille et la structure typiques du payload JSON. Si un endpoint reçoit habituellement un payload de 2 Ko avec cinq clés spécifiques, et reçoit soudainement un payload de 50 Ko contenant des tableaux imbriqués, l’IA signale l’anomalie, même si le JSON est parfaitement valide.
  • Temps et vélocité : l’IA apprend la cadence quotidienne et hebdomadaire des communications API machine-à-machine (M2M). Si un microservice qui récupère habituellement des données en batch à 2h00 du matin commence soudainement à diffuser des données en continu à 15h00, le système intervient.

3. Détection du BOLA (Broken Object Level Authorization)

Selon l’OWASP API Security Top 10, la vulnérabilité la plus critique est le BOLA (Broken Object Level Authorization), anciennement connu sous le nom d’IDOR (Insecure Direct Object Reference).

Le BOLA se produit lorsqu’un endpoint API ne valide pas correctement si l’utilisateur authentifié a la permission d’accéder à l’objet spécifique demandé. Par exemple, l’utilisateur A (ID : 100) modifie la requête API de api/v1/receipts/100 en api/v1/receipts/101 et télécharge avec succès les données de l’utilisateur B.

Les pare-feux applicatifs web (WAF) traditionnels ne peuvent pas détecter le BOLA car la requête elle-même ne contient aucun payload malveillant ; il s’agit d’un trafic HTTP parfaitement formaté avec un token d’authentification valide. Les modèles de machine learning, en revanche, excellent dans la corrélation de l’identité avec les patterns d’accès aux données. Si l’IA observe qu’un seul token d’authentification itère systématiquement à travers des identifiants d’objets séquentiels (101, 102, 103…), elle reconnaît la signature comportementale d’une attaque d’énumération BOLA et coupe la connexion.

4. Découverte des Shadow APIs et Zombie APIs

Vous ne pouvez pas sécuriser une API dont vous ignorez l’existence. Dans les environnements CI/CD rapides, les développeurs créent fréquemment de nouveaux endpoints API pour des tests ou du routage interne.

  • Shadow APIs : ce sont des endpoints non documentés et non gérés qui contournent entièrement la passerelle API officielle, ce qui signifie qu’ils manquent d’authentification et de rate limiting.
  • Zombie APIs : ce sont des versions dépréciées et héritées d’une API (ex. v1 alors que la version actuelle est v3) qui n’ont jamais été correctement désactivées. Les attaquants adorent les Zombie APIs car elles manquent souvent des correctifs de sécurité appliqués aux versions plus récentes.

Les outils de sécurité API pilotés par IA résolvent cette crise de visibilité grâce à l’analyse passive du trafic réseau. En inspectant le trafic réel qui circule sur le réseau (ex. via eBPF dans les clusters Kubernetes), l’IA découvre et catalogue automatiquement chaque endpoint API en cours d’utilisation, en comparant le trafic observé à la documentation Swagger/OpenAPI du développeur. Si l’IA détecte du trafic vers un endpoint /api/v1/debug_users non documenté, elle alerte immédiatement l’équipe DevSecOps sur la Shadow API.

Conclusion

À mesure que les microservices continuent de se multiplier, les API deviennent la cible ultime pour l’exfiltration de données et l’abus de logique métier. S’appuyer sur des passerelles statiques et une documentation manuelle est un combat perdu d’avance. En intégrant l’IA dans le cycle de vie de la sécurité des API, les organisations peuvent découvrir automatiquement leur véritable surface d’attaque, établir une baseline du comportement normal et stopper les attaques basées sur la logique avant que les données ne quittent le périmètre.

# Sécurité API# Microservices# DevSecOps# Machine Learning# BOLA# Shadow APIs

William Blondel

55 articles publiés

Développeur web full-stack senior et généalogiste amateur. Geek de naissance avec un Amstrad CPC 6128. Expert PHP & Laravel 🐘

Twitter / X GitHub LinkedIn williamblondel.fr