Retour aux actualités
    Audit applicatif

    Audit sécurité des API web : méthodologie et outils 2026

    Les API REST et GraphQL sont devenues la surface d'attaque prioritaire : 83 % du trafic web transite par des API (Akamai 2025). L'OWASP a publié une liste dédiée des 10 vulnérabilités API les plus critiques. Voici comment conduire un audit de sécurité des API de façon méthodique et efficace.

    Phase 1 : Reconnaissance et cartographie

    Avant de tester, il faut connaître le périmètre API de la cible :

    • Documentation API : récupérer les specs OpenAPI/Swagger, Postman collections, documentations publiques.
    • Découverte de endpoints cachés : Arjun (bruteforce de paramètres), kiterunner (découverte de routes API), analyse JavaScript pour les endpoints côté client.
    • Shadow APIs : endpoints non documentés détectés via Shodan, crawling de l'application, logs de proxy.
    • Versionning : tester les anciennes versions (v1, v2, beta) qui peuvent avoir des contrôles moins stricts.

    OWASP API Security Top 10 (2023)

    API1 — Broken Object Level Authorization (BOLA)

    La vulnérabilité n°1. Un utilisateur peut accéder aux objets d'autres utilisateurs en modifiant l'ID dans la requête. Test : changer l'ID d'un objet pour accéder aux données d'un autre compte. Outil : Burp Suite Intruder pour tester tous les IDs d'une plage.

    API2 — Broken Authentication

    Tests : JWT avec algorithme "none" ou secret faible (JWTcrack), absence de rotation des tokens, brute force sans rate limiting, OAuth flows mal implémentés (PKCE absent, implicit flow).

    API3 — Broken Object Property Level Authorization

    Mass Assignment : envoyer des propriétés supplémentaires dans le body (ex: "isAdmin": true) qui ne devraient pas être modifiables. Excessive Data Exposure : l'API renvoie plus de données que nécessaire.

    API4 — Unrestricted Resource Consumption

    Absence de rate limiting, pagination ou limites de taille. Tests : requêtes massives sur des endpoints coûteux, GraphQL depth bombing (requêtes imbriquées récursives), file uploads sans limite de taille.

    API5 à API10

    • API5 — Broken Function Level Authorization : accès à des fonctions admin (DELETE /users/{id}) depuis un compte standard.
    • API6 — Unrestricted Access to Sensitive Business Flows : abus de processus métier (achat massif d'articles limités, enumération de comptes via reset password).
    • API7 — Server Side Request Forgery (SSRF) : forcer le serveur à faire des requêtes vers des ressources internes via des URLs dans les paramètres.
    • API8 — Security Misconfiguration : CORS trop permissif (Access-Control-Allow-Origin: *), headers de sécurité manquants, introspection GraphQL exposée en production.
    • API9 — Improper Inventory Management : endpoints legacy en production, documentation Swagger exposée.
    • API10 — Unsafe Consumption of APIs : confiance excessive dans les APIs tierces sans validation des données retournées.

    Outils d'audit API

    • Burp Suite Pro : proxy intercepteur, scanner automatique, Intruder pour les fuzzing, extensions (JWT Editor, API Scanner).
    • OWASP ZAP : alternative open source avec API scan, Active Scan et AJAX Spider pour les SPAs.
    • Postman : test fonctionnel, collections automatisées, pre-request scripts pour tests de sécurité.
    • GraphQL Voyager / InQL : exploration du schéma GraphQL, génération automatique de requêtes de test.
    • jwt_tool : manipulation de tokens JWT (algorithm confusion, RS256/HS256 confusion, kid injection).
    • ffuf / Feroxbuster : fuzzing de endpoints API avec wordlists spécialisées (SecLists/Discovery/Web-Content).

    Livrables d'un audit API

    • • Cartographie complète des endpoints testés avec méthodes HTTP et paramètres.
    • • Vulnérabilités classées par criticité (CVSS ou risk-based) avec preuve de concept.
    • • Recommandations de remédiation priorisées et actionnables.
    • • Analyse des contrôles d'authentification et d'autorisation implémentés.
    • • Évaluation de la configuration (headers, CORS, rate limiting, logging).

    Abonnez-vous à notre newsletter cybersécurité

    Recevez nos actualités, guides pratiques, alertes de sécurité et invitations aux événements directement dans votre boîte mail.

    Consultez notre politique de confidentialité pour plus d'informations.