Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Tristan Kalos et Antoine Carossio, Escape : Nous sécurisons les API dés la première ligne de code

juin 2023 par Marc Jacob

Escape, fondée en 2017 est spécialisée dans la sécurisation des API à l’aide de l’intelligence artificielle. Après un an et demi de développement elle a créé sa solution, basée sur l’IA appelée Feedback Driven API Exploration (FDAE). Elle permet de détecter automatiquement en quelques minutes et sans risque les APIs de l’entreprise. Escape vient de réaliser une levée de fonds 3,6 millions d’euros auprès de deux investisseurs IRIS et FRST.
Tristan Kalos, cofondateur et CEO d’Escape, et Antoine Carossio, cofondateur et CTO d’Escape présentent leur stratégie.

Global Security Mag : Pouvez-vous nous présenter votre entreprise ?

Tristan Kalos et Antoine Carossio : Escape sécurise les API modernes à l’aide de l’intelligence artificielle.

L’histoire d’Escape commence en 2017, quand Tristan Kalos (CEO), alors jeune étudiant ingénieur, part en Californie pour travailler en tant que développeur freelance. Il expérimente alors personnellement les risques de sécurité liés aux API, car l’une des applications qu’il développe est compromise à cause d’une faille de sécurité dans son API. La base de données de cette application est dérobée et les malfaiteurs demandent une rançon importante en bitcoin.

Cet évènement fait remarquer à Tristan le manque cruel de solution de sécurité disponible pour permettre aux développeurs de trouver et régler les vulnérabilités dans les API qu’ils développent. Trois ans plus tard, son diplôme d’ingénieur en Intelligence Artificielle en poche, il fait la rencontre d’Antoine (CTO), qui a déjà une expérience de plusieurs années en tant que chercheur en sécurité informatique et bug hunter.

Ils décident de s’associer pour créer la solution qui manque aux développeurs et rendre la sécurité des API accessible à toutes les organisations : Escape.

Escape naît alors avec un concept simple : utiliser la puissance de l’IA pour détecter et assister les développeurs dans la résolution des failles de sécurité des APIs, en générant des tests de sécurité dynamiques (DAST) intelligents qui prennent en compte la logique métier de l’API, et en proposant automatiquement le code de remédiation.

Après 1,5 an de R&D, l’entreprise ouvre sa plateforme de sécurité au public en septembre 2022 et en seulement quelque mois, elle enregistre plus de 1000 entreprises utilisatrices, dont de nombreux clients du SaaS parmi lesquels Shine (Société Générale), Sorare, et des entreprises au Japon, aux États-Unis, et en Europe du nord.

L’entreprise compte aujourd’hui une dizaine de personnes, pour la plupart des ingénieurs et compte doubler la taille de son équipe pour atteindre 24 personnes d’ici un an grâce à cette levée de fonds.

Global Security Mag : Vous venez d’annoncer une levée de fond de 3,6 millions d’euros savez-vous ce qui a séduit vos investisseurs ?

Tristan Kalos et Antoine Carossio : Les outils existants pour tester la sécurité des applications sont obsolètes : ils sont peu performants sur les applications modernes (APIs, Single Page Apps, Applications Mobiles), et mal intégrés dans les processus de développement agiles (DevSecOps et Cloud). Pourtant, in fine, c’est bien au développeur qu’incombe la tâche de corriger les problèmes remontés par les équipes de sécurité, notamment chaque fois qu’il crée une nouvelle application ou la met à jour, introduisant ainsi potentiellement de nouvelles failles de sécurité.

L’essor du développement agile permet de mettre à jour les applications (et donc les APIs) plusieurs fois par jour : il faut donc aux développeurs un outil capable de détecter les failles de sécurité automatiquement, de manière fiable et rapide à chaque mise à jour d’une application.
La technologie développée par Escape, basée sur l’IA appelée Feedback Driven API Exploration (FDAE), permet de détecter automatiquement en quelques minutes et sans risque les APIs de l’entreprise, de suivre leurs mises à jour, et d’en automatiser les tests de sécurité dès la phase de développement, via une intégration avec les outils de DevSecOps.

C’est ça qui a séduit les investisseurs : une technologie et un produit qui répondent à cette problématique de glissement de la sécurité vers le développeur, qui concerne toutes les APIs, utilisable à grande échelle et avec déjà plus de 1000 applications sécurisées dans le monde en 6 mois, un potentiel commercial déjà éprouvé.

Global Security Mag : On parle de plus en plus de la sécurisation des APIs est-ce un effet marketing où y-a-t-il une réalité des attaques ? Si oui comment procèdent généralement les pirates informatiques ?

Tristan Kalos et Antoine Carossio : Une organisation expose généralement plusieurs milliers d’APIs. Ces APIs sont la pierre angulaire des échanges de données sur internet et la plupart des services que vous utilisez tous les jours (sites webs, applications mobiles) mais également les services internes de l’entreprise reposent sur des APIs. Chaque fois que vous ouvrez Instagram, entrez votre carte bleue sur Amazon ou que vous envoyez un message Slack à votre employeur, vous utilisez sans savoir des dizaines d’APIs.
Ainsi, la sécurisation de ces interfaces devient cruciale.

Pourtant SALT évalue que 94% des APIs ne sont pas sécurisées, bien qu’elles soient une porte d’entrée privilégiée pour les cyberattaques puisqu’elles présentent des vulnérabilités qui peuvent être facilement exploitées par des acteurs malveillants.

Voici quelques-unes des méthodes couramment utilisées par les pirates informatiques :
  Injection SQL : Les API qui interagissent avec une base de données peuvent être vulnérables à des attaques par injection SQL, où un attaquant insère du code malveillant dans une requête SQL.
  Attaque de force brute : Une attaque de force brute tente de deviner un mot de passe ou une clé API en essayant continuellement différentes combinaisons jusqu’à ce que la bonne soit trouvée.
  Attaques DDoS : Une attaque par déni de service distribué (DDoS) surcharge une API avec un grand nombre de requêtes, ce qui peut la rendre inutilisable pour l’intégralité des utilisateurs.
  Problèmes de contrôle d’accès (BOLA) : Des erreurs dans la gestion du contrôle d’accès des données manipulées par l’API peuvent permettre à des utilisateurs malveillants de dérober une partie de la base de données. Cet exemple a été illustré par de très nombreux cas concret comme cette faille dans l’API de l’entreprise de livraison de courses Gorillas

Global Security Mag : Quelles sont vos gammes de produits ou services phare pour 2023 ?

Tristan Kalos et Antoine Carossio : Nous avons deux principaux produits qui correspondent chacun à une phase de la sécurisation des APIs :
  L’API Catalog est une solution d’Attack Surface Management (ASM) :
Il s’agit d’un inventaire de toutes les APIs exposées par une entreprise. Il se met à jour automatiquement et en temps réel. En effet, les développeurs publient régulièrement de nouvelles APIs et mettent à jour leurs existantes, et donc les équipes de sécurité ont des difficultés à maintenir un inventaire de toutes les applications exposées par leur entreprise. C’est déjà un problème de sécurité en soi. Nous offrons ainsi aux équipes de sécurité la possibilité de reprendre le contrôle sur leurs APIs.

  Le test de sécurité dynamique de l’API (DAST) qui comprend son fonctionnement métier : le DAST est une méthode d’examen de la sécurité qui analyse une application web en cours d’exécution, ou "dynamiquement", depuis l’extérieur. La particularité du DAST est de produire un faible nombre de faux positifs. Escape utilise l’IA pour créer un DAST qui utilise le contexte d’une application pour produire des résultats facilement priorisables par les équipes de sécurité.

Global Security Mag : Quelles sont les points forts de cette offre ?

Tristan Kalos et Antoine Carossio : Les solutions DAST classiques ont 2 problèmes majeurs :
Elles ne sont pas du tout adaptées à une intégration au processus de développement (elles sont dédiées aux équipes de sécurité qui les font tourner pendant plusieurs jours et doivent analyser leurs résultats).
Elles ne comprennent pas le contexte d’exécution de l’API et ne respectent pas son fonctionnement métier.

La technologie unique de « feedback-driven API exploration » que nous avons développée résout justement ces deux problèmes.
Escape peut-être exécutée dans l’environnement de développement du développeur en quelques minutes et à chaque mise à jour de l’API, et assiste le développeur dans la remédiation du problème tout en tenant informé les équipes de sécurité.

L’intelligence artificielle d’Escape comprend le contexte et la logique métier de l’API et produit des séquences de requêtes légitimes comme un acteur malveillant pourrait le faire, ce qui permet à Escape d’atteindre un taux de couverture inégalé et d’éliminer la quasi-totalité des faux positifs.

Global Security Mag : Quelle est sa cible ?

Tristan Kalos et Antoine Carossio : Même si nous pensons que la cybersécurité est l’affaire de tous (83% du trafic mondial est pris par les APIs pourtant 91% d’entre elles ne sont pas sécurisées), nous sommes conscients que seules des structures ayant une certaine maturité sur le sujet peuvent implémenter un programme de sécurité applicative comprenant les API de façon efficace.

En ce qui concerne Escape, nous travaillons avec les startups en forte croissance, les ETI, et les grands groupes qui développent des API en interne. Certaines industries sont particulièrement sensibles au risque lié aux API : les services financiers, la santé, l’e commerce et les entreprises technologiques.

Quelle est votre stratégie marketing ? (Participation à des salons, événements, conférences, utilisation des réseaux sociaux, autres actions commerciales…)

Nous souhaitons avant tout anticiper les attentes de tous les développeurs et faire savoir que la sécurisation des APIs concerne tout le monde c’est pourquoi notre stratégie s’appuie fortement sur la communication autour de nos travaux de recherche liés à la sécurité des APIs.

Nous publions ainsi régulièrement des articles techniques sur notre blog qui ont une excellente résonance, les diffusons par nos réseaux sociaux et ainsi sommes régulièrement invités à des conférences en France et à l’international (GraphQL San Francisco, APIDays Paris, APIDays New York, APISecure Conference 2023 pour en citer quelques unes). Ces rencontres sont clés pour nous aider à diffuser notre message auprès des bonnes personnes : les directions sécurité et les développeurs.

Enfin nous publions également des livres blancs et des papiers de recherche (comme State of public APIs 2023)

Nous n’avons pas encore d’équipe marketing chez Escape, nous faisons donc écrire nos articles par nos ingénieurs, sur des sujets qui les passionnent. Ils sont régulièrement repris et cités par d’autres blogs ou sur des forums spécialisés tels que Hackernews.

Global Security Mag : Pour conclure, quel serait votre message à nos lecteurs ?

Tristan Kalos et Antoine Carossio : Escape est une solution permettant de sécuriser les APIs dès la première ligne de code. Elle concerne à la fois les développeurs dans leur travail quotidien de création, mise à jour et maintien de leur code, mais aussi et surtout les directions sécurité qui peuvent ainsi à la fois cartographier toutes leurs APIs et en garantir la sécurité sans interruption de service, un argument particulièrement clé pour les équipes produit avec qui elles travaillent.


Voir les articles précédents

    

Voir les articles suivants