Atlas RedConsult
Audit sécurité API — REST · GraphQL · Microservices

Pentest API — Audit de Sécurité REST, GraphQL et Microservices

Votre API est le système nerveux de votre SaaS. Une seule vulnérabilité BOLA peut exposer l'ensemble de vos données clients à n'importe quel utilisateur connecté. Atlas RedConsult audite la sécurité de vos APIs REST, GraphQL et microservices selon l'OWASP API Security Top 10 pour identifier les failles avant vos adversaires.

Demander un devis gratuit

Pourquoi le pentest API est critique pour votre SaaS

Les APIs sont devenues la cible privilégiée des attaquants modernes. Selon Gartner, les APIs représentent désormais le vecteur d'attaque le plus fréquent pour les applications web et mobiles. La raison est simple : une API mal sécurisée expose directement vos données métier, vos données clients et vos fonctionnalités sensibles, souvent sans les couches de protection (WAF, authentification frontend) qui protègent les interfaces utilisateurs classiques.

Les entreprises SaaS sont particulièrement exposées. Votre API est le cœur de votre produit : elle est utilisée par votre application web, votre application mobile, vos intégrations tierces et vos partenaires. Chacun de ces points d'accès est une surface d'attaque potentielle. Un attaquant qui compromet votre API peut exfiltrer l'ensemble de vos données sans déclencher la moindre alerte, car il utilise des requêtes valides avec des tokens d'authentification légitimes.

Les vulnérabilités les plus fréquentes que nous découvrons lors de nos missions — BOLA, BFLA, mass assignment, exposition d'endpoints non documentés — ne sont pas détectables par des outils automatiques. Elles nécessitent une compréhension de la logique métier et un test manuel systématique de chaque endpoint, méthode HTTP et paramètre.

Au-delà des risques techniques, une violation de données via une API mal sécurisée engage votre responsabilité RGPD, peut déclencher des notifications obligatoires à la CNIL et expose votre entreprise à des pénalités financières significatives. Les conséquences réputationnelles — perte de clients, atteinte à la marque — peuvent être durables.

Vulnérabilités API testées : BOLA, BFLA, injection

L'OWASP API Security Top 10 référence les dix catégories de risques les plus critiques pour les APIs modernes. Nos experts testent l'intégralité de cette liste, complétée par des vecteurs d'attaque avancés issus de notre expérience terrain :

API1

BOLA — Broken Object Level Authorization

La vulnérabilité API la plus dangereuse. Un utilisateur authentifié manipule des identifiants (IDs numériques, UUIDs) dans les requêtes pour accéder aux données d'autres utilisateurs. Exemple : GET /api/users/1234/invoices → changer 1234 pour accéder aux factures de n'importe quel client.

API2

BFLA — Broken Function Level Authorization

Accès non autorisé à des fonctionnalités d'administration ou à des endpoints sensibles. Un utilisateur standard accède à des endpoints de gestion normalement réservés aux administrateurs en devinant ou en énumérant les URLs.

API3

Mass Assignment

L'API accepte et applique des propriétés non prévues dans les requêtes. Un attaquant peut modifier son rôle (role: "admin"), contourner des restrictions (isPremium: true) ou modifier des champs critiques (price, discount) en les incluant dans une requête de mise à jour.

API4

Injection SQL, NoSQL, commandes OS

Les paramètres d'API sont rarement aussi bien filtrés que les champs de formulaires web. Nous testons les injections dans tous les paramètres de requête, headers HTTP, corps JSON/XML et variables de chemin.

API5

Authentification défaillante (JWT, OAuth, API Keys)

Tokens JWT avec algorithme "none", secrets faibles ou prévisibles, validation insuffisante des claims. Flux OAuth 2.0 mal implémentés (PKCE manquant, state non validé). Clés API exposées, insuffisamment entropiques ou sans restriction de scope.

API6

Exposition de données sensibles et sur-exposition

L'API retourne plus de données que nécessaire : champs sensibles (hash de mots de passe, tokens internes, données personnelles non nécessaires) inclus dans toutes les réponses. Problème fréquent dans les APIs générées automatiquement depuis l'ORM.

Nous testons également les vulnérabilités de rate limiting (absence de limitation permettant le brute force ou l'énumération), les Server-Side Request Forgery via des paramètres URL, les problèmes de versioning (ancienne version de l'API non sécurisée encore accessible), et les expositions de métadonnées dans les en-têtes de réponse.

Pentest API REST vs GraphQL vs microservices

Les trois architectures présentent des vecteurs d'attaque spécifiques qui nécessitent des compétences et des techniques différentes. Nos experts maîtrisent les spécificités de chaque paradigme.

API REST

  • BOLA sur les IDs de ressources
  • Méthodes HTTP non restreintes (PUT, DELETE)
  • Endpoints non documentés (shadow APIs)
  • Paramètres de filtrage exploitables
  • Versioning exposant des endpoints legacy
  • CORS mal configuré

GraphQL

  • Introspection exposée en production
  • Batching & query complexity attacks
  • Contournement d'autorisation via aliases
  • Injections dans les arguments de mutation
  • Énumération de types et de champs
  • Subscriptions non sécurisées

Microservices

  • Mouvement latéral inter-services
  • Trust excessif entre services internes
  • JWT non validés entre services
  • Service Mesh mal configuré
  • Secrets partagés dans les configs
  • APIs internes exposées accidentellement

Méthodologie OWASP API Security Top 10

L'OWASP API Security Top 10, mis à jour en 2023, est le référentiel de référence pour l'évaluation de la sécurité des APIs modernes. Atlas RedConsult s'appuie sur ce cadre pour structurer ses missions de pentest API, en y ajoutant les techniques offensives propres à nos consultants.

01

Cartographie de la surface d'attaque

Inventaire exhaustif des endpoints via documentation OpenAPI/Swagger, analyse du trafic, découverte active. Identification des types de données manipulées et des mécanismes d'authentification.

02

Tests d'authentification et d'autorisation

Évaluation de tous les mécanismes d'authentification (tokens, clés API, sessions), tests de BOLA sur toutes les ressources, tests de BFLA sur toutes les fonctionnalités, tests de mass assignment.

03

Tests d'injection et de validation des entrées

Tests d'injection sur l'ensemble des paramètres (corps JSON, headers, query strings, path variables). Fuzzing des entrées, tests de débordement, analyse des erreurs retournées.

04

Analyse des flux de données et de la confidentialité

Vérification que l'API ne retourne que les données strictement nécessaires. Identification des champs sensibles exposés inutilement dans les réponses.

05

Tests de rate limiting et de disponibilité

Vérification des mécanismes de limitation, tests de brute force sur les endpoints d'authentification, évaluation de la résistance aux attaques de type enumeration.

Livrables et rapport de pentest API

À l'issue de la mission, vous recevez un rapport complet en français couvrant l'ensemble des vulnérabilités identifiées. Le rapport de pentest API est structuré pour être immédiatement actionnable par vos équipes de développement.

Rapport exécutif

Synthèse des risques, niveau de criticité global, impact business des vulnérabilités critiques, recommandations stratégiques. Destiné à la direction technique et à la direction générale.

Rapport technique par endpoint

Pour chaque vulnérabilité : endpoint concerné, méthode HTTP, preuve d'exploitation (requête/réponse brute), score CVSS v3.1, recommandation de correction avec exemple de code.

Collection Postman/Burp d'exploitation

Sur demande, nous fournissons les requêtes d'exploitation sous forme de collection Postman ou de fichier d'export Burp Suite pour faciliter la reproduction et la validation des corrections.

Session de restitution

Présentation des résultats à vos équipes développement et sécurité. Focus sur les patterns de vulnérabilités pour améliorer les pratiques de développement sécurisé (secure by design).

Un retest ciblé des vulnérabilités critiques peut être réalisé après correction, afin de vous fournir une attestation de remédiation. Ce document est utile dans le cadre de vos certifications ISO 27001, audits SOC 2, ou exigences clients. Consultez également notre page pentest SaaS pour une approche globale de la sécurité de vos produits.

FAQ pentest API

Qu'est-ce que le BOLA et pourquoi est-ce la vulnérabilité API la plus critique ?

BOLA (Broken Object Level Authorization) est la vulnérabilité n°1 de l'OWASP API Security Top 10. Elle permet à un utilisateur authentifié d'accéder aux données d'autres utilisateurs en manipulant des identifiants dans les requêtes API. Cette faille est particulièrement dangereuse car elle est difficile à détecter de façon automatisée et peut exposer l'ensemble de votre base de données clients.

Testez-vous les APIs internes ou uniquement les APIs publiques ?

Nous testons les deux types d'APIs selon vos besoins. Les APIs publiques nécessitent un test depuis l'extérieur. Les APIs internes, entre microservices ou pour le back-office, sont testées depuis un accès réseau approprié. Le mouvement latéral entre services via des APIs internes non sécurisées est un vecteur d'attaque majeur que nous évaluons spécifiquement.

Pouvez-vous tester une API GraphQL ?

Oui, nos experts sont familiers avec les spécificités de sécurité de GraphQL : introspection exposée, batching attacks, DoS via requêtes imbriquées profondes, contournement d'autorisation via des requêtes alternatives, injections via les arguments de mutation. GraphQL présente des vecteurs d'attaque spécifiques que les outils de test REST standard ne couvrent pas.

Faut-il fournir une documentation Swagger/OpenAPI pour le pentest API ?

La documentation OpenAPI est un atout précieux car elle accélère la phase de cartographie et garantit une couverture exhaustive. Cependant, elle n'est pas indispensable : nos experts peuvent reconstituer la surface d'attaque par analyse du trafic et reconnaissance active. En l'absence de documentation, nous recommandons un accès à un environnement de développement pour maximiser la couverture.

Obtenez votre devis

Réponse sous 48h. Devis gratuit et sans engagement.

Demander un devis gratuit
Devis sous 48h
Sans engagement
Rapport en français
Cabinet Paris 75008

Services associés

Votre API est-elle exposée à des failles BOLA ?

Nos experts auditent vos APIs REST, GraphQL et microservices selon l'OWASP API Security Top 10. Rapport technique actionnable en français, livré sous 7 jours ouvrés.

Demander un devis gratuit