Cloudflare a lancé lundi une bêta ouverte de son scanner IA de vulnérabilités Web et API, un nouvel outil de sécurité détectant automatiquement les failles complexes dans les applications web et les API. Le scanner, intégré au service API Shield de Cloudflare, utilise l’intelligence artificielle pour cartographier les comportements des API et identifier des vulnérabilités critiques comme Broken Object Level Authorization, répondant à la principale menace qui pèse sur les services web modernes.
Le nouvel analyseur adopte une approche stateful qui comprend les séquences logiques et les dépendances de données au sein des API, une évolution majeure par rapport aux outils de sécurité traditionnels stateless qui traitent chaque requête indépendamment, selon l’annonce du blog de Cloudflare. Cette méthodologie cible spécifiquement les failles de logique métier que les scanners conventionnels ignorent.
Comment ça marche
Le scanner fonctionne via un processus sophistiqué en plusieurs étapes. Tout d’abord, il intègre la spécification OpenAPI du client pour construire un « graphe d’appels API » qui cartographie les relations entre les différents endpoints. La plateforme Workers AI analyse ensuite ce graphe pour déduire automatiquement les dépendances de données, même lorsque les conventions de nommage diffèrent entre les endpoints.
Le système exécute des analyses en utilisant deux contextes authentifiés : un « propriétaire » qui crée des ressources et un « attaquant » qui tente d’accéder sans autorisation. Lorsque l’attaquant manipule avec succès des ressources qu’il ne devrait pas contrôler, le scanner signale une vulnérabilité critique.
Impact Marché
La version bêta, désormais disponible pour tous les clients API Shield, se concentre initialement sur Broken Object Level Authorization (BOLA), classée comme la principale menace de la liste OWASP API Security Top 10. Cloudflare prévoit d’étendre la couverture pour inclure les vulnérabilités d’injection SQL et les failles de cross-site scripting dans un avenir proche, a déclaré la société.
Ce lancement positionne Cloudflare directement contre des éditeurs spécialisés en sécurité API tels que Salt Security et Noname Security, ainsi que contre les fournisseurs traditionnels de tests de sécurité applicative, y compris Checkmarx et Invicti. En intégrant des capacités de scan avancées dans sa suite de sécurité existante, Cloudflare offre aux clients une alternative pertinente aux solutions autonomes.
L’intégration étroite du scanner avec le réseau edge de Cloudflare confère un avantage exclusif. Il combine l’analyse passive du trafic à partir des outils API Discovery avec des tests actifs de vulnérabilité, permettant une vérification en temps réel des menaces potentielles identifiées dans le trafic réel, le tout sur une seule plateforme.
Pour la protection des données, Cloudflare utilise HashiCorp’s Vault Transit Secret Engine pour chiffrer les identifiants des clients, garantissant qu’ils restent sécurisés tout au long du processus de scan. La société n’a pas encore communiqué de statistiques précises concernant les détections ni de futurs modèles de tarification pour ce service.
Sources
- blog.cloudflare.com
