Adrian Grosu - stock.adobe.com

Les API alimentées par l'IA s'avèrent très vulnérables aux attaques

La croissance de l'IA s'avère être une arme à double tranchant pour la sécurité des API, offrant aux défenseurs des possibilités d'améliorer leur résilience, mais aussi davantage de risques liés aux attaques alimentées par l'IA, selon un rapport.

Plus de 150 milliards d'attaques d'interfaces de programmation d'applications (API) ont été observées dans la nature en 2023 et 2024, selon des données publiées cette semaine par Akamai, spécialiste de la sécurité dans le Cloud, la multiplication des API alimentées par l'intelligence artificielle (IA) et les attaques activées par l'IA se combinent pour créer une surface d'attaque en constante expansion.

Dans son dernier rapport State of apps and API security 2025, Akamai a également déclaré avoir observé des volumes de cyberattaques sur le web en hausse d'un tiers au cours de l'année 2024, pour atteindre 311 milliards au total. Une hausse prononcée qui semble être en étroite corrélation avec une expansion de la portée des menaces découlant de l'IA.

« L'IA transforme la sécurité du web et des API, en améliorant la détection des menaces mais aussi en créant de nouveaux défis », estime Rupesh Chokshi, vice-président senior et directeur général du portefeuille de sécurité des applications d'Akamai : « ce rapport est à lire absolument pour comprendre ce qui motive ce changement et comment les défenseurs peuvent garder une longueur d'avance avec les bonnes stratégies d'atténuation ».

Selon Akamai, l'intégration d'outils d'IA aux plates-formes principales par le biais d'API élargit « considérablement » la surface d'attaque, car la grande majorité des API alimentées par l'IA ne sont pas seulement accessibles au public, mais ont tendance à s'appuyer sur des protections inadéquates, manquant par exemple de mécanismes d'authentification. Ce problème est aujourd'hui aggravé par un nombre croissant d'attaques basées sur l'IA.

Pour les utilisateurs finaux, cela signifie que si les équipes de sécurité sont en mesure d'améliorer la sécurité des applications web et des API en renforçant leurs capacités défensives grâce à l'automatisation alimentée par l'IA - par exemple, en aidant à trouver les menaces, à prédire les violations possibles et à réduire les délais de réponse aux incidents - l'IA aide également les attaquants à améliorer l'efficacité de leurs attaques en automatisant le scraping web et en mettant en œuvre des méthodologies d'attaque plus dynamiques.

Pour ce qui est de l'avenir, Akamai estime que même si la gestion des API pilotée par l'IA continuera sans aucun doute à évoluer, les attaques pilotées par l'IA resteront probablement une préoccupation importante, ce qui signifie que les organisations doivent adopter des stratégies de sécurité plus robustes et de défense en profondeur.

Attaques sur le web

En ce qui concerne les attaques web, Akamai dit avoir observé une hausse spectaculaire des attaques en déni de service distribué (DDoS) de la couche d'application (alias couche 7) ciblant à la fois les applications web et les API, avec des volumes mensuels passant de plus de 500 milliards au début de 2023 à plus d'un milliard à la fin de 2024 - les robots malveillants et la persistance du HTTP-flooding en tant que vecteur d'attaque semblent être à l'origine de cette évolution.

Le secteur technologique a été le plus souvent la cible de ces attaques - plus de sept milliards au cours de la période couverte par l'étude.

Par zone géographique, la région EMEA a subi 2,7 billions d'attaques DDoS sur la couche 7, dont 306 milliards ont touché des cibles au Royaume-Uni et 369 milliards en Allemagne.

Pour Akamai, la protection des applications web et des API continuera à être un besoin toujours plus essentiel pour les organisations. Et de recommander un certain nombre d'actions clés que les responsables de la sécurité devraient envisager de prendre :

  • Établir un plan de sécurité des API incorporant les techniques shift-left et DevSecOps pour intégrer la sécurité depuis la conception initiale de l'API jusqu'à la post-production, en accordant une attention particulière à la découverte et à la visibilité continues, à l'authentification et à l'atténuation des bots ;
  • Mettre en œuvre des mesures de sécurité de base plus robustes, telles que la surveillance et la réponse continues aux menaces, et utiliser des outils de test des API tels que les tests dynamiques de sécurité des applications (DAST) ;
  • Soyez proactif face aux menaces, en utilisant des outils de protection DDoS spécialisés, par exemple, et en prêtant attention à la gestion des correctifs, au contrôle d'accès et à la segmentation du réseau ;
  • Agir rapidement pour atténuer les vulnérabilités des API, en suivant les lignes directrices établies, telles que celles de l'OWASP, afin d'assurer une sécurité plus solide et de traiter les risques associés à de mauvaises pratiques de développement ou à des configurations erronées ;
  • Accorder plus d'attention aux menaces liées aux ransomwares, en tirant parti des architectures sans confiance, de la micro-segmentation et du framework Mitre ATT&CK ;
  • Enfin, se préparer à l'IA avec des stratégies de défense qui comprennent des défenses contre les robots, des outils alimentés par l'IA, des pare-feu spécialisés et des mesures plus proactives telles que l'évaluation continue et le sans confiance.

Pour approfondir sur DevSecOps