Source : Imperva (blog) — Dans une analyse dédiée à la sécurité des API, Imperva publie des constats et correctifs concrets sur les risques d’authentification, avec un focus sur l’usage des JWT (JSON Web Token) et les mauvaises configurations courantes.

• Constat principal : 46% des vulnérabilités d’authentification proviennent de JWT contenant des données sensibles (PII, informations financières, IDs gouvernementaux) exposées via un simple encodage base64 plutôt que chiffrées. D’autres risques majeurs incluent les tokens longue durée (21%) et les algorithmes de signature faibles (19%).

• Détails techniques : Les problèmes clés portent sur la sécurité du payload JWT, le contrôle insuffisant des champs exp/nbf, et l’acceptation d’algorithmes non sûrs, notamment “alg: none”. L’étude souligne la nécessité de validation côté serveur, d’algorithmes forts (RS256/ES256) et de patterns de refresh tokens avec des access tokens à durée de vie réduite.

• Recommandations :

  • Retirer toute PII et données sensibles des tokens.
  • Gérer strictement les TTL (réduction des durées de vie, rotation via refresh tokens).
  • Imposer RS256/ES256 et rejeter “alg: none”.
  • Migrer du Basic Auth ou placer ces endpoints derrière un VPN.
  • Invalider correctement le cache pour les tokens expirés.

• Gouvernance et opérations : Imperva insiste sur une évaluation continue plutôt que des audits ponctuels afin de détecter la configuration drift dans des environnements API en évolution rapide. Des modifications de configuration immédiates peuvent réduire significativement le risque.

🔎 TTPs observés/décrits :

  • Exposition de PII dans les JWT via base64 (absence de chiffrement).
  • Tokens longue durée facilitant l’abus en cas de compromission.
  • Usage d’algorithmes faibles ou “alg: none” dans la signature JWT.
  • Absence/erreurs de validation serveur (contrôles exp/nbf insuffisants).
  • Basic Authentication accessible publiquement (non migrée ou non protégée par VPN).
  • Mauvaise invalidation de cache pour les tokens expirés.

ℹ️ Il s’agit d’une publication de recherche visant à partager des constats chiffrés sur les vulnérabilités d’authentification API et à fournir des recommandations techniques de remédiation.

🔗 Source originale : https://www.imperva.com/blog/imperva-api-security-authentication-risk-report-key-findings-fixes/

🖴 Archive : https://web.archive.org/web/20250911092915/https://www.imperva.com/blog/imperva-api-security-authentication-risk-report-key-findings-fixes/