Vous avez bâti une API élégante. Elle est rapide, évolutive et alimente une excellente expérience utilisateur. Vous avez probablement coché les cases des fondamentaux : HTTPS est activé, vous utilisez des JWTs ou des clés API pour l'authentification, et peut-être même avez-vous exécuté un scanner de vulnérabilités. Vous vous sentez en sécurité. Mais il existe un tueur silencieux dans le monde de la sécurité des API que les scanners traditionnels manquent souvent, et il ne nécessite pas un exploit complexe ou une charge utile sophistiquée pour fonctionner.
Il s'agit de BOLA—Broken Object Level Authorization.
Si vous n'êtes pas familier avec le terme, BOLA est essentiellement l'astuce de l'« échange d'ID ». Imaginez qu'un utilisateur se connecte à votre application et voit son profil à l'adresse api.example.com/user/12345. Il remarque le numéro à la fin. Sur un coup de tête, il change 12345 en 12346. Si votre serveur renvoie allègrement les données privées de l'utilisateur 12346 sans vérifier si le demandeur a réellement la permission de les voir, vous avez une vulnérabilité BOLA.
Cela semble simple — presque trop simple. Mais cette simplicité explique pourquoi BOLA est constamment classée comme la menace n°1 dans le OWASP API Security Top 10. Pourquoi ? Parce qu'il ne s'agit pas d'un échec d'authentification (savoir qui est l'utilisateur), mais d'un échec d'autorisation (savoir ce que l'utilisateur est autorisé à faire).
Sécuriser vos points d'accès API contre les attaques BOLA ne consiste pas à ajouter un pare-feu plus grand ; il s'agit de changer la façon dont votre application gère la propriété des données. Dans ce guide, nous allons détailler exactement comment BOLA fonctionne, pourquoi cela se produit, et les étapes concrètes que vous pouvez prendre pour sécuriser définitivement vos points d'accès.
Qu'est-ce que BOLA exactement et pourquoi est-ce si dangereux ?
Pour comprendre BOLA, nous devons distinguer l'authentification et l'autorisation. Ces deux termes sont souvent utilisés de manière interchangeable, mais dans le contexte de la sécurité des API, ils sont très différents.
L'authentification est le processus de vérification de l'identité d'un utilisateur. « Êtes-vous bien qui vous prétendez être ? » Lorsqu'un utilisateur fournit un mot de passe ou un jeton et que votre système répond « Oui », il est authentifié.
L'autorisation est le processus de vérification des permissions. « Maintenant que je sais qui vous êtes, êtes-vous autorisé à accéder à cette donnée spécifique ? »
BOLA se produit lorsqu'une application fournit l'accès à un objet (un enregistrement de base de données, un fichier, un compte utilisateur) basé sur une entrée fournie par l'utilisateur, mais ne parvient pas à vérifier que l'utilisateur authentifié possède réellement ou est autorisé à accéder à cet objet.
L'anatomie d'une attaque BOLA
Une attaque BOLA typique suit un schéma très prévisible :
- Observation : L'attaquant crée un compte légitime sur votre plateforme. Il commence à utiliser l'application et remarque que les requêtes API utilisent des identifiants prévisibles (comme des entiers) dans l'URL.
- Manipulation : L'attaquant utilise un outil proxy (comme Burp Suite ou Postman) pour intercepter une requête. Il voit une requête comme
GET /api/v1/orders/9876. - Itération : L'attaquant change
9876en9875,9874, et ainsi de suite. - Exfiltration : Si le serveur ne vérifie pas la propriété de la commande 9875, il renvoie les données. L'attaquant écrit alors un script simple pour parcourir des milliers d'ID, aspirant votre base de données entière en quelques minutes.
Pourquoi les outils de sécurité traditionnels ne parviennent pas à détecter BOLA
Si vous utilisez un pare-feu d'application web (WAF) standard ou un scanner de vulnérabilités basique, vous vous demandez peut-être pourquoi ils ne vous ont pas averti de cela.
Le problème est que les attaques BOLA ressemblent à un trafic parfaitement légal. Pour un WAF, une requête pour /api/v1/orders/9875 est identique à une requête pour /api/v1/orders/9876. Les deux sont des requêtes HTTP GET valides. Les deux possèdent un jeton d'authentification valide. L'"attaque" se produit dans la logique métier de votre code, et non dans le formatage de la requête.
C'est là que l'écart entre le "scanning" et le "testing" devient apparent. Un scanner recherche des signatures connues (comme les chaînes de SQL Injection) ; un Penetration Test recherche des failles logiques. C'est pourquoi les équipes s'orientent vers la gestion continue de l'exposition aux menaces (CTEM) et utilisent des plateformes comme Penetrify. Vous avez besoin d'un système qui comprend le contexte de vos appels API, et pas seulement si la requête est "bien formée".
Scénarios courants où BOLA s'infiltre
BOLA ne se limite pas à un seul type de point de terminaison. Elle a tendance à apparaître partout où un ID unique est utilisé pour récupérer des données. Voici quelques-uns des endroits les plus courants où elle se cache.
Profils utilisateur et paramètres de compte
C'est l'exemple classique. Les points de terminaison comme /api/users/{userId}/settings ou /api/me/profile sont des cibles privilégiées. Si le backend prend simplement le {userId} de l'URL et interroge la base de données sans vérifier si current_user.id == requested_userId, tout utilisateur connecté peut consulter ou modifier les paramètres de n'importe quel autre utilisateur.
E-commerce et historique des commandes
Pensez à une page "Mes commandes". L'API pourrait appeler /api/orders/{orderId}. Un attaquant peut simplement incrémenter l'orderId pour voir les achats, adresses et numéros de téléphone d'autres personnes. C'est une mine d'or pour les voleurs d'identité.
Isolation des locataires SaaS
Pour les entreprises qui développent des applications SaaS multi-locataires, BOLA peut être catastrophique. Si vous avez une structure comme /api/tenant/{tenantId}/projects, et qu'un utilisateur du Locataire A peut accéder aux projets du Locataire B simplement en modifiant le tenantId, vous avez une fuite de données massive. Ce n'est pas seulement un bug ; c'est un échec fondamental de l'isolation des locataires.
Téléchargements et mises en ligne de fichiers
De nombreuses applications stockent des fichiers (factures, identifiants, photos) et les servent via des points de terminaison comme /api/files/download?fileId=5542. Si le système ne vérifie pas si l'utilisateur a la permission d'accéder à fileId 5542, un attaquant peut récupérer tous les documents téléchargés sur votre plateforme.
Guide étape par étape pour la mise en œuvre des défenses BOLA
Alors, comment arrêter cela concrètement ? Cela nécessite une approche multicouche. Vous ne pouvez pas compter sur une solution "miracle" unique. Au lieu de cela, vous devez intégrer l'autorisation au cœur même de la conception de votre API.
1. Mettre en œuvre des contrôles d'autorisation stricts au niveau des objets
Le moyen le plus direct d'arrêter BOLA est de vérifier la propriété sur chaque requête qui accède à une ressource.
La mauvaise approche (Pseudo-code) :
app.get('/api/orders/:orderId', async (req, res) => {
const order = await db.Orders.findOne({ id: req.params.orderId });
res.json(order);
// DANGER : Aucune vérification si la commande appartient à l'utilisateur !
});
La bonne approche (Pseudo-code) :
app.get('/api/orders/:orderId', async (req, res) => {
const userId = req.user.id; // Get ID from the authenticated JWT
const orderId = req.params.orderId;
const order = await db.Orders.findOne({
where: {
id: orderId,
userId: userId // MUST filter by the owner's ID
}
});
if (!order) {
return res.status(404).send('Order not found');
// Use 404 instead of 403 to avoid leaking that the ID exists
}
res.json(order);
});
En incluant le userId directement dans la requête de base de données, vous vous assurez que la base de données ne renvoie l'enregistrement que s'il appartient à la personne qui le demande. Si l'ID existe mais n'appartient pas à l'utilisateur, la requête renvoie null et vous envoyez un 404.
2. Remplacer les ID prévisibles par des UUID
L'utilisation d'entiers séquentiels (1, 2, 3...) pour vos clés primaires est un cadeau pour les attaquants. Cela rend le « ID walking » ou l'« énumération » trivial.
Bien que l'utilisation d'UUID (Universally Unique Identifiers) ne corrige pas le bug d'autorisation sous-jacent, elle rend presque impossible pour un attaquant de deviner un ID valide.
- ID séquentiel :
1001$\rightarrow$ le suivant est1002. - UUID :
550e8400-e29b-41d4-a716-446655440000.
Passer aux UUID augmente le « coût » de l'attaque. Un attaquant ne peut pas simplement écrire une boucle for de 1 à 10 000. Il devrait d'abord trouver un UUID valide d'une manière ou d'une autre. Cependant, rappelez-vous : les UUID sont de l'obfuscation, pas de la sécurité. Si un attaquant trouve un UUID dans un journal divulgué ou une réponse d'API différente, il peut toujours exploiter une vulnérabilité BOLA si vos vérifications d'autorisation sont manquantes.
3. Utiliser un middleware d'autorisation centralisé
Écrire la logique d'autorisation dans chaque contrôleur est une recette pour le désastre. Vous en oublierez un. Vous manquerez un cas limite.
Au lieu de cela, déplacez votre logique d'autorisation dans un middleware ou un service dédié. Cela garantit une politique cohérente sur l'ensemble de l'API. Vous pouvez implémenter un système de contrôle d'accès basé sur des politiques où vous définissez qui peut effectuer quelle action sur quelle ressource.
Par exemple, un middleware pourrait vérifier :
canUserAccessResource(user, resourceType, resourceId, action)
Si vous travaillez dans un environnement complexe avec plusieurs fournisseurs de cloud (AWS, Azure, GCP), la gestion de ces permissions peut devenir compliquée. C'est là que l'orchestration automatisée de la sécurité devient vitale. Des outils comme Penetrify vous aident à cartographier votre surface d'attaque et à simuler ces types d'attaques de « ID swap » (échange d'ID) dans vos environnements pour trouver les lacunes que vos développeurs auraient pu manquer.
4. Implémenter la limitation de débit et la détection d'anomalies
Une attaque BOLA implique généralement un volume élevé de requêtes dans une courte période, l'attaquant tentant de récupérer des données. Bien que la limitation de débit n'arrête pas une seule requête BOLA ciblée, elle arrêtera une tentative d'exfiltration massive de données.
- Limites de débit par utilisateur : Limitez le nombre de requêtes qu'un seul utilisateur authentifié peut effectuer vers des points de terminaison sensibles.
- Surveillance des 404 : Si un seul utilisateur déclenche 500 erreurs « Not Found » (non trouvé) en une minute sur un point de terminaison comme
/api/orders/{id}, il est presque certainement à la recherche d'ID valides. Déclenchez une alerte ou bannissez temporairement l'IP/le compte.
BOLA dans différentes architectures API : GraphQL et REST
La manière de combattre BOLA dépend légèrement de la structure de votre API.
BOLA dans les API REST
Dans les API REST, les vulnérabilités BOLA se produisent généralement dans le chemin de l'URL (comme nous l'avons abordé). La solution est simple : toujours valider que le userId extrait de la session/du jeton a une relation avec le resourceId dans l'URL.
BOLA dans GraphQL
GraphQL est un peu plus complexe car il utilise un point d'accès unique (généralement /graphql) et un langage de requête. Les attaquants ne modifient pas l'URL ; ils modifient les arguments au sein de la requête.
Exemple de requête GraphQL :
query {
user(id: "12345") {
email
phoneNumber
creditCardLastFour
}
}
Un attaquant modifie simplement l'argument id. Parce que GraphQL implique souvent un « imbrication » (récupérer un utilisateur, puis ses commandes, puis les détails d'expédition de ces commandes), une seule vulnérabilité BOLA dans un résolveur peut entraîner une cascade massive de fuites de données.
La solution pour GraphQL : L'autorisation doit se produire au niveau du résolveur. Chaque résolveur qui récupère un objet de la base de données doit effectuer la même vérification de propriété que celle que nous avons abordée pour les API REST. Ne supposez pas que parce que la requête de niveau supérieur a été autorisée, les objets imbriqués le sont aussi.
Comparaison entre le Penetration Testing manuel et la détection automatisée de BOLA
Si BOLA est si dangereux, pourquoi ne pas simplement engager une entreprise de Penetration Testing une fois par an ? Voici la réalité du modèle « une fois par an ».
| Caractéristique | Penetration Test manuel traditionnel | Tests automatisés continus (par ex., Penetrify) |
|---|---|---|
| Fréquence | Annuelle ou semi-annuelle | À la demande / Continue |
| Coût | Élevé (Honoraires de cabinets spécialisés) | Basé sur abonnement / Évolutif |
| Couverture | Approfondie mais ponctuelle | Large et évolue avec les modifications de code |
| Boucle de rétroaction | Semaines après le test | En temps réel ou quasi réel |
| Intégration CI/CD | Aucune (Transfert manuel) | Intégré DevSecOps |
Les testeurs manuels sont excellents pour trouver des failles logiques complexes, mais ils ne peuvent pas être présents chaque fois que vos développeurs déploient un nouveau commit en production. Si un développeur ajoute un nouveau point d'accès /api/v1/user-preferences un mardi, et que votre dernier Penetration Test a eu lieu en janvier, ce point d'accès est une porte ouverte pour BOLA jusqu'en janvier prochain.
C'est pourquoi nous préconisons le Penetration Testing as a Service (PTaaS). En automatisant les phases de reconnaissance et de balayage, vous pouvez évoluer vers la Gestion Continue de l'Exposition aux Menaces (CTEM). Vous ne vous contentez pas de rechercher des « bugs » ; vous simulez le comportement d'un attaquant qui tente de manipuler des identifiants d'objets.
Stratégies avancées pour les environnements à haute sécurité
Pour ceux d'entre vous qui gèrent des données hautement sensibles (dossiers médicaux, transactions financières, données gouvernementales), le « juste suffisant » ne suffit pas. Vous avez besoin d'une stratégie de défense en profondeur.
1. Utiliser des références d'objets indirectes (basées sur des cartes)
Si vous ne pouvez absolument pas faire confiance au client avec une quelconque version d'un identifiant de base de données, utilisez une carte spécifique à la session.
Au lieu d'exposer order_id: 9876 à l'utilisateur, votre serveur génère une clé temporaire aléatoire pour cette session :
TemporaryKey_A$\rightarrow$order_id: 9876TemporaryKey_B$\rightarrow$order_id: 9877
Le client ne voit que TemporaryKey_A. S'il essaie de deviner TemporaryKey_C, celle-ci n'existe pas dans sa carte de session, et la requête échoue. Cela supprime complètement la prévisibilité de l'ID.
2. Contrôle d'accès basé sur les attributs (ABAC)
À mesure que votre organisation se développe, le contrôle d'accès basé sur les rôles (RBAC), comme « Admin » ou « Utilisateur », devient trop rudimentaire. Vous avez besoin de l'ABAC.
L'ABAC vous permet de définir des politiques basées sur des attributs :
- Attribut utilisateur :
ClearanceLevel: Level 2 - Attribut de ressource :
Sensitivity: Level 2 - Attribut d'environnement :
AccessTime: 9am-5pm
Un contrôle BOLA dans un système ABAC ressemblerait à ceci : « Cet utilisateur peut-il accéder à cet objet si le département de l'utilisateur correspond au département de l'objet ET si l'objet n'est pas marqué 'Privé' ? » Cela offre un niveau de sécurité beaucoup plus granulaire.
3. Signatures numériques pour les ID
Certaines API à haute sécurité signent leurs ID. Lorsque le serveur envoie un ID au client, il y joint une signature cryptographique (un HMAC). Lorsque le client renvoie l'ID, le serveur vérifie la signature. Si l'utilisateur modifie 123 en 124, la signature devient invalide, et le serveur rejette la requête immédiatement, avant même qu'elle n'atteigne la base de données.
Erreurs courantes lors de la tentative de correction des vulnérabilités BOLA
Même les développeurs expérimentés commettent ces erreurs. Si vous auditez votre code, soyez attentif à ces schémas.
Erreur 1 : Compter sur le frontend pour masquer les boutons
« L'utilisateur ne peut pas accéder à la page 'Modifier' parce que j'ai masqué le bouton dans l'interface utilisateur React. » C'est de la sécurité par l'obscurité. Un attaquant n'utilise pas votre interface utilisateur ; il utilise un terminal ou un proxy. Partez toujours du principe que l'attaquant connaît chaque point d'extrémité (endpoint) de votre API.
Erreur 2 : Vérifier l'autorisation uniquement au point d'entrée
Les développeurs vérifient souvent si un utilisateur est connecté au début d'une requête, puis supposent que tout ce qui se trouve à l'intérieur de cette requête est sûr.
- Mauvais :
if (!user.isAuthenticated) return 401;$\rightarrow$ procéder à la récupération de n'importe quel ID. - Bon :
if (!user.isAuthenticated) return 401;$\rightarrow$if (!user.owns(resourceId)) return 404;.
Erreur 3 : Fuite d'ID valides dans d'autres points d'extrémité
Vous avez peut-être corrigé la vulnérabilité BOLA sur votre point d'extrémité /api/orders, mais avez-vous un point d'extrémité /api/search/users qui renvoie une liste de tous les ID utilisateur ? Si c'est le cas, vous venez de donner à l'attaquant la carte dont il a besoin pour attaquer vos autres points d'extrémité. Minimisez toujours la quantité de données d'ID que vous exposez dans les vues de « liste » ou de « recherche ».
Erreur 4 : Utiliser 403 Forbidden au lieu de 404 Not Found
Lorsqu'un utilisateur demande un objet qu'il ne possède pas, renvoyer 403 Forbidden indique à l'attaquant : « Cet objet existe, mais vous n'êtes pas autorisé à le voir. »
En renvoyant 404 Not Found, vous dites à l'attaquant : « Je n'ai aucune idée de ce dont vous parlez. » Cela empêche l'attaquant de confirmer si un ID spécifique est valide ou non.
La liste de contrôle d'audit « BOLA » pour votre équipe
Si vous dirigez une équipe DevOps ou de sécurité, vous pouvez utiliser cette liste de contrôle lors de votre prochaine revue de sprint ou audit de sécurité.
- Inventaire : Avons-nous une liste complète de tous les points d'accès API qui acceptent un ID comme paramètre ?
- Identité : Extrayons-nous l'ID utilisateur d'un jeton sécurisé côté serveur (comme un JWT) plutôt que de faire confiance à un ID utilisateur envoyé dans le corps de la requête ou l'URL ?
- Propriété : Chaque requête de base de données pour une ressource spécifique inclut-elle un filtre pour l'ID utilisateur propriétaire ou l'ID de locataire ?
- Prévisibilité : Utilisons-nous des UUID ou d'autres identifiants non séquentiels pour les ressources accessibles au public ?
- Cohérence : L'autorisation est-elle gérée par un middleware ou un service centralisé plutôt que dupliquée dans chaque contrôleur ?
- Gestion des erreurs : Retournons-nous des 404 au lieu de 403 pour l'accès non autorisé aux objets ?
- Limitation de débit : Avons-nous des alertes pour les utilisateurs qui déclenchent un nombre inhabituel de 404 sur les points d'accès aux ressources ?
- Tests : Effectuons-nous des tests automatisés de "permutation d'ID" dans le cadre de notre pipeline CI/CD ?
Comment Penetrify simplifie la détection des vulnérabilités BOLA
La recherche manuelle de vulnérabilités BOLA est fastidieuse. Il faut cartographier chaque point d'accès, créer plusieurs comptes utilisateur et tester manuellement chaque combinaison d'ID. Pour une petite équipe, c'est une tâche impossible. Pour une grande équipe, c'est un goulot d'étranglement.
C'est précisément la raison pour laquelle Penetrify a été conçu. Au lieu de s'appuyer sur une analyse statique qui recherche les "bibliothèques obsolètes", Penetrify se concentre sur la surface d'attaque.
Voici comment il vous aide à résoudre le problème BOLA :
- Cartographie automatisée de la surface d'attaque : Penetrify identifie tous vos points d'accès exposés, y compris ceux que vos développeurs ont pu oublier de documenter.
- Simulation logique intelligente : La plateforme ne se contente pas d'envoyer des chaînes aléatoires ; elle analyse la structure de vos ID et tente de simuler le comportement de "parcours d'ID" que les pentesters manuels utilisent.
- Surveillance continue : Parce qu'il est natif du cloud, Penetrify peut être intégré à votre flux de travail DevSecOps. Chaque fois que vous déployez une nouvelle version de votre API, il réévalue votre périmètre de sécurité.
- Remédiation exploitable : Vous ne recevez pas seulement un rapport indiquant "Vous avez un bug BOLA". Vous obtenez des conseils spécifiques sur le point d'accès vulnérable et sur la manière d'implémenter la vérification d'autorisation pour le corriger.
En comblant le fossé entre un simple scanner de vulnérabilités et un audit manuel coûteux, Penetrify permet aux PME et aux startups SaaS de prouver leur maturité en matière de sécurité (pour la conformité SOC 2 ou HIPAA) sans avoir besoin d'une équipe Red Team interne à grande échelle.
Foire Aux Questions (FAQ)
Q : Ne puis-je pas simplement utiliser un WAF pour arrêter les attaques BOLA ?
Pas efficacement. Comme mentionné, les attaques BOLA utilisent une syntaxe valide et une authentification valide. Un WAF examine la structure de la requête, tandis que BOLA est une défaillance de la logique métier. Bien qu'un WAF puisse aider à limiter le débit pour ralentir un attaquant, il ne peut pas déterminer si l'utilisateur A doit avoir accès à la commande B.
Q : L'utilisation de JWT (JSON Web Tokens) prévient-elle les attaques BOLA ?
Non. Les JWT gèrent l'authentification (prouver qui est l'utilisateur). Ils ne gèrent pas l'autorisation (ce à quoi l'utilisateur peut accéder). Un utilisateur peut avoir un JWT parfaitement valide et signé et l'utiliser quand même pour demander un objet qui ne lui appartient pas si votre backend n'effectue pas la vérification de propriété.
Q : Si j'utilise une base de données NoSQL comme MongoDB, suis-je toujours à risque ?
Oui. BOLA est indépendant du type de base de données. Que vous utilisiez des _id MongoDB (qui sont naturellement plus complexes que des entiers) ou une séquence PostgreSQL, la vulnérabilité existe si l'application permet à un utilisateur de demander un enregistrement par un ID sans vérifier la propriété.
Q : BOLA est-il la même chose qu'IDOR ?
Essentiellement, oui. IDOR (Insecure Direct Object Reference) est le terme plus ancien et plus large. BOLA est la terminologie moderne spécifiquement adaptée aux API. Dans le contexte d'une API, une attaque BOLA est une forme d'IDOR.
Q : Comment tester BOLA sans acheter un outil coûteux ?
Vous pouvez commencer par utiliser un proxy comme Burp Suite (Community Edition). Créez deux comptes utilisateur distincts. Connectez-vous en tant qu'Utilisateur A, capturez une requête pour une ressource que vous possédez, puis remplacez l'ID de la ressource par un ID appartenant à l'Utilisateur B. Si vous pouvez voir les données de l'Utilisateur B alors que vous êtes connecté en tant qu'Utilisateur A, vous avez une vulnérabilité BOLA.
Réflexions finales : Aller au-delà de la sécurité ponctuelle
La plus grande erreur qu'une entreprise puisse commettre en matière de sécurité des API est de croire qu'un seul rapport de Penetration Test "propre" signifie qu'elle est sécurisée. La sécurité n'est pas une destination ; c'est un état de maintenance constante.
Votre code change tous les jours. Votre infrastructure évolue. De nouveaux endpoints sont ajoutés pour satisfaire une demande client. Chacun de ces changements est une opportunité pour qu'une vulnérabilité BOLA s'y glisse.
La transition des "audits annuels" vers la "Gestion Continue de l'Exposition aux Menaces" est le seul moyen de garder une longueur d'avance sur les attaquants modernes. En combinant une logique d'autorisation stricte, des ID non prévisibles et des plateformes de test automatisées comme Penetrify, vous pouvez cesser de considérer la sécurité comme une simple case à cocher et commencer à la traiter comme une fonctionnalité essentielle de votre produit.
N'attendez pas une violation de données pour découvrir que votre logique d'autorisation est défaillante. Commencez à auditer vos endpoints dès aujourd'hui, mettez en œuvre les vérifications de propriété que nous avons abordées et automatisez vos tests afin de pouvoir vous concentrer sur la création de votre produit au lieu de vous soucier de la prochaine attaque par "échange d'ID".
Prêt à vérifier si vos API sont réellement sécurisées ? Arrêtez de deviner et commencez à tester. Visitez Penetrify pour découvrir comment les tests de sécurité automatisés et à la demande peuvent protéger vos données et votre réputation.