Comment les vulnérabilités de l'authentification API sont au centre des préoccupations en matière de sécurité du cloud

Aug 25, 2023

Les services cloud de Microsoft ont fait l'objet d'un examen minutieux ces derniers mois, les API étant au cœur du problème. Voici quelques stratégies pour contribuer à atténuer les problèmes de sécurité pouvant survenir lors de l’utilisation des API.

Le ciel du cloud computing a été quelque peu orageux ces derniers temps pour Microsoft, qui s'est retrouvé dans la ligne de mire non seulement d'un attaquant qui a abusé de l'authentification, mais aussi de la société Tenable, qui a souligné que le géant des services cloud avait un problème général d'authentification. Un article de Microsoft et un article de Tenable ont tous deux souligné le problème de l'authentification dans le cloud et mis en lumière certaines de ses faiblesses.

Dans le post de Tenable, Microsoft a été critiqué pour son manque de transparence en matière de sécurité du cloud. Comme l'a décrit Amit Yoran, PDG de Tenable, le problème concerné « est survenu en raison d'un contrôle d'accès insuffisant aux hôtes Azure Function, qui sont lancés dans le cadre de la création et de l'exploitation de connecteurs personnalisés dans la Power Platform de Microsoft (Power Apps, Power Automation). "

Si vous avez deviné une URL Azure, vous pourriez obtenir l’accès même sans authentification. Comme l'écrit Yoran : « Il était donc possible pour un attaquant qui déterminait le nom d'hôte de la fonction Azure associée au connecteur personnalisé d'interagir avec la fonction, telle que définie par le code du connecteur personnalisé, sans authentification. Avec un tel nom d'hôte, un attaquant pourrait déterminer les noms d'hôte pour Azure Functions associés aux connecteurs personnalisés d'autres clients, car ils ne diffèrent que par un nombre entier.

Pour sa part, Microsoft a indiqué dans une note technique qu'il avait atténué la vulnérabilité de divulgation d'informations du code personnalisé de Power Platform et avait informé les clients concernés de ce problème via le Centre d'administration Microsoft 365 (MC665159) à partir d'août 2023 - si vous n'avez pas reçu la notification, aucune action n’est requise.

Les interfaces de programmation d'applications (API), qui offrent un service ou une connexion entre d'autres logiciels sans nécessiter de connexion humaine, sont au centre du problème. Avec les API, il est souvent difficile d'accéder à la sécurité jusqu'à ce que quelque chose se passe.

Les organisations doivent souvent embaucher des consultants spécialisés pour examiner les logiciels et s'assurer qu'il n'y a pas de vulnérabilités évidentes. Qu'il s'agisse d'un logiciel open source ou d'un logiciel propriétaire, à moins qu'il ne soit examiné par des spécialistes, l'examen du fournisseur à lui seul n'est généralement pas suffisant pour détecter un problème.

Le Top 10 de la sécurité des API OWASP répertorie les principaux problèmes typiques que vous devez rechercher lorsque vous utilisez des API. Allant de l'autorisation rompue au niveau de l'objet à la consommation dangereuse des API, il souligne que trop souvent, avec les API, nous faisons simplement trop confiance à leur utilisation. Nous avons également tendance à limiter rarement l’utilisation des API car nous proposons un service qui peut être utilisé par un public plus large. Si votre utilisation des API n'est pas utilisée par le grand public, envisagez d'utiliser des technologies supplémentaires actuellement en version bêta qui pourraient être en mesure de protéger et de défendre davantage.

Certaines de ces solutions ne sont cependant pas encore largement utilisées et sont encore en avant-première publique. Un exemple typique est la solution de pare-feu IP de Microsoft actuellement en préversion dans les environnements Power Platform. Comme indiqué dans la documentation Microsoft, cela permet d'atténuer les menaces internes telles que l'exfiltration de données en temps réel. "Un utilisateur malveillant qui tente de télécharger des données depuis Dataverse à l'aide d'un outil client, tel qu'Excel ou Power BI, ne peut pas télécharger les données en fonction de l'emplacement IP."

Le pare-feu IP permet également d'arrêter les attaques par rejeu de jetons provenant de l'extérieur des plages IP configurées. "Si un utilisateur vole un jeton et tente de l'utiliser pour accéder à Dataverse en dehors des plages IP configurées, l'accès est refusé par Dataverse en temps réel", le pare-feu IP fonctionne pour les scénarios interactifs et non interactifs, est disponible pour les environnements gérés, et est pris en charge pour tout environnement Power Platform qui inclut Dataverse.

Souvent, avec les API, les problèmes de sécurité se résument à l'essentiel :

Autorisations. Ne négligez pas les bases des autorisations API et ne leur permettez pas d'être trop permissives sur les services cloud. Comme pour l’accès des utilisateurs, les bases des autorisations peuvent souvent conduire à une exposition ou à des attaques. Limiter l’utilisation de l’accès au minimum requis.