Pourquoi la sécurité des API est un enjeu majeur
Les API REST sont devenues le tissu conjonctif des systèmes d'information modernes. Chaque application mobile, chaque intégration SaaS, chaque frontend communique avec un ou plusieurs backends via des API. Cette omniprésence en fait une cible privilégiée : selon le rapport OWASP 2023, les API représentent le vecteur d'attaque en plus forte croissance.
Une API mal sécurisée expose des données sensibles, permet des escalades de privilèges et peut compromettre l'ensemble de votre infrastructure. La sécurisation doit être pensée dès la conception, pas ajoutée en fin de projet.
Authentification et autorisation
L'authentification vérifie l'identité de l'appelant, l'autorisation détermine ce qu'il a le droit de faire. Ces deux mécanismes sont distincts et doivent être implémentés séparément.
OAuth 2.0 + JWT est le standard pour les API publiques et internes. Utilisez des tokens à durée de vie courte (15 minutes), un refresh token sécurisé en httpOnly cookie, et validez systématiquement la signature côté serveur.
API keys conviennent pour les intégrations machine-to-machine simples, mais ne suffisent pas pour des accès utilisateur. Combinez-les avec des scopes précis pour limiter les permissions.
- Implémentez le principe du moindre privilège sur chaque endpoint.
- Vérifiez les autorisations au niveau de l'objet (BOLA), pas uniquement au niveau du rôle.
- Journalisez chaque tentative d'accès refusée.
Validation et sanitisation des entrées
Chaque donnée envoyée par un client doit être considérée comme potentiellement malveillante. Validez le type, le format, la longueur et la plage de chaque paramètre côté serveur, même si une validation côté client existe déjà.
Utilisez des schémas de validation explicites (JSON Schema, Pydantic, Zod) et rejetez toute requête non conforme avec un code HTTP 422. Ne renvoyez jamais de messages d'erreur détaillés en production qui révèleraient la structure interne de votre application.
Rate limiting et protection contre les abus
Le rate limiting protège vos API contre les abus, les attaques par force brute et les dénis de service. Implémentez-le à plusieurs niveaux :
- Par IP : limitez le nombre de requêtes par seconde depuis une même adresse.
- Par utilisateur : plafonnez l'usage par compte authentifié.
- Par endpoint : appliquez des limites plus strictes sur les routes sensibles (login, reset password).
Renvoyez des headers standard (X-RateLimit-Limit, X-RateLimit-Remaining, Retry-After) pour que les clients puissent s'adapter.
CORS, headers de sécurité et transport
Configurez CORS de manière restrictive : listez explicitement les origines autorisées, n'utilisez jamais le wildcard (*) sur des API authentifiées. Ajoutez les headers de sécurité essentiels :
- Strict-Transport-Security : forcez HTTPS avec HSTS.
- Content-Security-Policy : limitez les sources de contenu autorisées.
- X-Content-Type-Options: nosniff : empêchez le MIME sniffing.
Toutes les communications doivent utiliser TLS 1.2 minimum (TLS 1.3 recommandé). Désactivez les protocoles obsolètes côté serveur.
Journalisation et détection d'incidents
Chaque requête doit être journalisée avec un identifiant de corrélation, l'IP source, l'utilisateur authentifié, le endpoint appelé et le code de réponse. Ces logs alimentent votre SIEM ou votre outil de monitoring pour détecter les comportements anormaux.
Mettez en place des alertes sur les signaux faibles : pics de requêtes 401/403, patterns d'énumération de ressources, tentatives de traversée de répertoires.
Checklist de sécurité API
- Authentification OAuth 2.0 ou équivalent sur chaque endpoint sensible.
- Validation des entrées côté serveur avec schéma strict.
- Rate limiting par IP, par utilisateur et par endpoint.
- CORS configuré de manière restrictive.
- TLS 1.2+ obligatoire, HSTS activé.
- Journalisation exhaustive avec corrélation.
- Audit de sécurité régulier basé sur l'OWASP API Security Top 10.