Points clés
- OWASP classe les problèmes de sécurité des APIs en 10 catégories (OWASP API Security Top 10) — les communications inter-applicatives via APIs étant une surface d'attaque distincte des interfaces utilisateur, souvent insuffisamment testée et protégée par les équipes sécurité.
- L'étude Salt Security API Security Report 2023 révèle que 94 % des organisations ont subi un incident de sécurité lié à des APIs au cours des 12 derniers mois — confirmant que les communications inter-applicatives sont un vecteur d'attaque dominant insuffisamment maîtrisé.
- L'incident Optus Australia (2022, 9,8 millions de clients) a résulté d'une API non authentifiée exposée sur internet — une communication inter-applicative laissée sans contrôle d'accès dans un environnement de production, illustrant l'angle mort que représentent ces flux.
Les communications inter-applicatives — échanges de données entre applications via APIs, messages queues, événements, fichiers partagés, appels de fonctions distantes — représentent une proportion croissante du trafic réseau dans les architectures modernes (microservices, SOA, intégrations cloud). Ces communications sont souvent moins bien sécurisées que les communications utilisateur-application parce qu'elles sont perçues comme "internes" et donc de confiance implicite.
Risques spécifiques des communications inter-applicatives
Les communications inter-applicatives présentent des risques spécifiques : (1) absence d'authentification — les APIs internes sont souvent déployées sans mécanisme d'authentification car elles ne sont pas "censées" être accessibles depuis l'extérieur, (2) autorisation insuffisante — même avec authentification, les APIs peuvent permettre des opérations non nécessaires (lecture de ressources hors périmètre, modification non autorisée), (3) absence de validation des entrées — les communications inter-applicatives supposent souvent que les données reçues sont déjà validées par le système appelant, (4) exposition accidentelle — des APIs internes peuvent être exposées sur internet via des misconfigurations réseau ou des déploiements cloud non documentés.
Sécurisation des communications inter-applicatives
La sécurisation des APIs inter-applicatives s'appuie sur : l'authentification mutuelle (mTLS — mutual TLS) pour les communications entre services, l'utilisation de tokens à courte durée de vie (JWT avec expiration courte, refresh tokens) pour les communications service-à-service, la validation systématique des entrées même pour les APIs internes, et le logging de toutes les communications inter-applicatives pour la traçabilité et la détection des anomalies.
Cas opérationnel : Optus Australia — API non authentifiée (Australie, 2022)
En septembre 2022, Optus (second opérateur télécom australien) a subi une violation de données exposant les informations personnelles de 9,8 millions de clients — environ 40 % de la population australienne. La cause racine était une API REST exposée sur internet sans authentification : l'API, destinée aux communications inter-applicatives internes, avait été exposée publiquement lors d'une migration d'environnement de test vers la production sans révision de sécurité. Un attaquant a découvert l'API via un scan et a pu requêter l'ensemble de la base clients en effectuant des appels séquentiels avec des identifiants incrementaux. L'incident a conduit à l'imposition d'une amende de 1,5 million AUD par le régulateur australien OAIC et a déclenché une refonte complète des processus de gestion des APIs chez Optus, incluant un inventaire obligatoire de toutes les APIs avec validation de sécurité avant toute exposition.
T-Mobile a subi en janvier 2023 une violation de données de 37 millions de clients via une API exploitée depuis novembre 2022. L'API permettait d'accéder aux informations clients via des identifiants bien formés sans limitation de débit ni détection d'anomalies. L'incident illustre que même des APIs authentifiées peuvent être exploitées si elles ne disposent pas de contrôles de limitation de débit et de détection des comportements anormaux d'accès.
L'ENISA a publié en 2023 des guidelines sur la sécurité des APIs pour les entités essentielles, incluant des recommandations spécifiques pour les communications inter-applicatives. Le document recommande un programme d'inventaire des APIs incluant les APIs internes, une classification par niveau de sensibilité des données traitées, et des contrôles adaptés à chaque niveau.
La MAS de Singapour a publié des exigences spécifiques pour la sécurité des APIs dans les institutions financières, incluant les communications inter-applicatives internes. Les exigences couvrent l'authentification mutuelle, la journalisation complète et les tests de sécurité des APIs avant déploiement — des standards directement transposables au-delà du secteur financier.