Les API, cible privilégiée des cybercriminels : plus de 40 000 incidents recensés au premier semestre 2025

  • Industrie et services
  • Cybersécurité
  • Groupe
  • Type Communiqué de presse
  • Publié

Le dernier rapport de Thales sur les menaces liées aux API révèle un nombre d’attaques record, ciblant en priorité les secteurs de la finance, des télécoms et du voyage.

Thales a dévoilé les conclusions de son dernier rapport sur les menaces liées aux API au premier semestre 2025, alertant sur le fait que ces connecteurs invisibles – qui font fonctionner applications, paiements et authentifications – sont désormais devenus la cible privilégiée des cybercriminels.


​Dans plus de 4 000 environnements, Thales a recensé plus de 40 000 incidents liés aux API sur les seuls six premiers mois de l’année. Bien qu’elles ne représentent que 14 % de l’ensemble des surfaces d’attaque, les API concentrent aujourd’hui 44 % du trafic des bots avancés, illustrant ainsi comment les attaquants déploient leurs automatismes les plus sophistiqués sur les processus au cœur des opérations critiques des entreprises.

Des attaques par déni de service distribué (« DDoS ») sans précédent contre le secteur financier

Le rapport constate l’ampleur d’une attaque DDoS de type applicative, qui a généré un nombre record de 15 millions de requêtes par seconde contre une API de services financiers.


​Contrairement aux campagnes DDoS volumétriques classiques, qui visent à saturer la bande passante réseau, cette attaque ciblait directement la couche applicative – exploitant l’API elle-même pour épuiser les ressources et perturber les opérations.


​Au premier semestre 2025, 27 % de l’ensemble du trafic DDoS dirigé contre des API a visé le secteur financier, reflet de sa forte dépendance aux API pour les transactions en temps réel telles que les consultations de solde, virements et autorisations de paiement.


​Cet incident illustre la capacité des cybercriminels à associer désormais puissance et discrétion, en mobilisant d’immenses botnets et des navigateurs sans interface (« headless browsers ») capables d’imiter des requêtes d’API légitimes, ce qui rend plus difficile la distinction entre le trafic malveillant et le trafic d’utilisateurs légitimes.

Points clefs du rapport:

  • Plus de 40 000 incidents liés aux API ont été enregistrés au premier semestre 2025, soit une moyenne de plus de 220 par jour ; si la tendance se poursuit, le total devrait dépasser 80 000 d’ici fin d’année.
  • Répartition des attaques par type d’API : 37 % sur l’accès aux données, 32 % sur les paiements/checkout, 16 % sur l’authentification, 5 % sur la validation des cartes cadeaux ou promotions, et 3 % sur des « endpoint shadow » ou mal configurés.
  • Les tentatives de « credential stuffing » et de prise de contrôle de comptes ont augmenté de 40 % sur les API dépourvues de MFA adaptatif.
  • Le « data scraping » représente 31 % de l’activité des bots ciblant les API, visant souvent des données sensibles comme les adresses e-mail ou les informations de paiement.
  • La fraude aux coupons et aux paiements constitue 26 % des attaques, exploitant les failles de validation lors du checkout ou les boucles de promotion.
  • Les tentatives d’exécution de code à distance (« RCE ») comptent pour 13 % des attaques, avec pour cibles principales Log4j, Oracle WebLogic et Joomla.
  • Par secteur, les services financiers (27 %) sont les plus touchés, suivis des télécoms et fournisseurs d’accès (10 %), du voyage (14 %), puis des arts et divertissements (13 %).
  • Les « Shadow » APIs restent un angle mort critique : les organisations disposent généralement de 10 à 20 % d’API actives supplémentaires dont elles ignorent l’existence.
« Les API sont les connecteurs invisibles de l’économie numérique – mais c’est aussi ce qui en fait la surface d’attaque la plus attrayante », déclare Tim Chang, Vice-Président Produits de sécurité des applications chez Thales. « Ce que nous observons, ce n’est pas seulement une explosion du volume des attaques, mais un véritable changement de paradigme dans la manière d’opérer des cybercriminels : ils n’ont plus besoin d’injecter un malware, il leur suffit de détourner la logique métier de l’entreprise. Les requêtes paraissent légitimes, mais leurs conséquences peuvent être dévastatrices. »

​« Au cours des six prochains mois, le volume et la sophistication des attaques contre les API ne feront que croître. Le meilleur moment pour agir, c’était hier – le deuxième meilleur, c’est agir aujourd’hui. Chaque organisation doit identifier ses terminaux actifs, comprendre leur valeur opérationnelle et les protéger grâce à des défenses contextuelles et adaptatives, si elles veulent préserver leurs chiffre d’affaires, la confiance de leurs clients et leur conformité. »

Méthodologie

Le Rapport de menace de Thales sur les API (premier semestre 2025) s’appuie sur des données réelles d’attaques collectées dans plus de 4 000 environnements clients d’Imperva à travers le monde. Les données ont été recueillies entre janvier et juillet 2025 et incluent :

  • Plus de 40 000 incidents liés aux API dans des secteurs tels que les services financiers, les télécoms, le voyage, la santé et l’e-commerce.
  • Des analyses de télémétrie et d’empreintes de bots, permettant de comprendre comment les attaquants exploitent des automatismes avancés aussi bien sur des API web que mobiles.
  • L’étude du comportement des « endpoints », incluant les volumes de trafic, les anomalies et les schémas furtifs révélateurs d’abus.
  • Le suivi des exploits de vulnérabilités (« CVE »), avec une attention particulière portée sur des failles persistantes telles que Log4j, Oracle WebLogic et Joomla.
  • Des investigations numériques d’attaques DDoS, notamment une attaque record atteignant 15 millions de requêtes par seconde contre une API de services financiers.

L’équipe de recherche sur les menaces de Thales a eu recours à l’analyse comportementale, au « machine learning » et à l’analyse forensique pour catégoriser les attaques, les associer aux « endpoints » ciblés et identifier les tendances sectorielles. Bien que le jeu de données reflète le périmètre des clients d’Imperva, il offre une vision robuste et représentative de la manière dont les API sont aujourd’hui instrumentalisées à l’échelle mondiale.


Notes aux redactions – Glossaire:

  1. Application Programming Interface (API) (ou Interface de programmation applicative): Un ensemble de code qui relie deux applications ou plus afin qu’elles puissent partager des données entre elles. Par exemple, une application mobile peut utiliser l’API d’un réseau social pour permettre à l’utilisateur de se connecter avec ses identifiants de ce réseau.
  2. Coupon (ou Code promotionnel): Un code numérique ou physique qui offre aux clients une remise, une promotion ou un avantage spécial lors du passage en caisse (checkout).
  3. Credential stuffing (ou Bourrage d’identifiants): Pratique où les cybercriminels achètent des listes de couples identifiant/mot de passe sur le dark web, puis utilisent des bots pour tester automatiquement ces identifiants sur les pages de connexion d’autres comptes afin de voir où ils fonctionnent.
  4. Data Scraping (ou Extraction de données): Extraction automatisée de données depuis des sites web ou applications, généralement à des fins malveillantes comme la manipulation des prix.
  5. Distributed Denial of Service (DDoS) (ou Attaque en déni de service distribué): Saturation d’un site par un trafic massif afin de le rendre inaccessible. Ces attaques sont généralement automatisées à l’aide d’un réseau de bots (botnet) – des programmes automatisés ou des appareils connectés à Internet compromis et contrôlés à distance par les attaquants.
  6. Endpoint (ou Terminal): Appareils physiques connectés à un système réseau, tels que smartphones, ordinateurs portables, objets connectés, capteurs ou serveurs.
  7. Headless browser (ou Navigateur sans interface): Un navigateur web dépourvu d’interface graphique, souvent utilisé par les attaquants pour automatiser des actions et imiter le comportement d’utilisateurs légitimes.
  8. Remote code Execution (ou Attaques par exécution de code à distance): Vulnérabilité de sécurité permettant à un attaquant d’exécuter son propre code sur une machine distante via un réseau public ou privé. Cette faille peut leur donner accès à des données sensibles, détourner du trafic ou lancer d’autres attaques.
  9. Shadow APIs (ou API fantômes): API existantes et opérationnelles, mais qui échappent aux canaux officiels de gestion et de surveillance d’une organisation, représentant ainsi un risque de sécurité majeur.

À propos de Thales

Thales (Euronext Paris: HO) est un leader mondial des hautes technologies pour les secteurs de la Défense, de l’Aérospatial et de la Cybersécurité & Digital. Son portefeuille de produits et de services innovants contribue à répondre à plusieurs défis majeurs : souveraineté, sécurité, durabilité et inclusion.

Le Groupe investit plus de 4 milliards d’euros par an en Recherche & Développement dans des domaines clés, en particulier pour les environnements critiques, tels que l’Intelligence Artificielle, la cybersécurité, le quantique et les technologies du cloud.

Thales compte plus de 83 000 collaborateurs dans 68 pays. En 2024, le Groupe a réalisé un chiffre d'affaires de 20,6 milliards d'euros.

Accéder au contenu du communiqué de presse

Exporter le communiqué de presse au format PDF

Relations Médias

Pour plus d’informations, merci de contacter l’équipe relations médias (réservé aux journalistes uniquement).