Merge branch 'release/2.4.0'

VERSION

@@ -1 +1 @@
-2.3.2
+2.4.0

editions/2019/pt-pt/0xa5-broken-function-level-authorization.md

@@ -24,7 +24,7 @@ Nunca assuma o tipo dum _endpoint_, normal ou administrativo, apenas com base no
 URL.
 
 Apesar dos programadores poderem ter decidido expor a maioria dos _endpoints_
-administrativos sob um mesmo prefixo, e.g. `api/admins, é comum encontrarem-se
+administrativos sob um mesmo prefixo, e.g. `api/admins`, é comum encontrarem-se
 _endpoints_ administrativos sob outros prefixos, misturados com _endpoints_
 ordinários e.g. `api/users`.
 

editions/2019/pt-pt/0xd0-about-data.md

@@ -1,4 +1,4 @@
-# Methodology and Data
+# Metodologia e Dados
 
 ## Preâmbulo
 

editions/2023/fr/0x00-header.md

@@ -0,0 +1,14 @@
+---
+title: ''
+description: OWASP API Security Top 10 2023 edition
+---
+
+![OWASP LOGO](images/cover.jpg)
+
+| | | |
+| - | - | - |
+| https://owasp.org | Ce travail est sous licence [Creative Commons Attribution-ShareAlike 4.0 International License][1] | ![Creative Commons License Logo](images/front-cc.png) |
+
+[1]: http://creativecommons.org/licenses/by-sa/4.0/
+
+

editions/2023/fr/0x00-notice.md

@@ -0,0 +1,12 @@
+# Note
+
+Ce document est la version texte traduite en français de l'OWASP API Security Top 10. Il est utilisé comme source pour toutes les versions officielles de ce document, telles que le site web.
+
+
+Les contributions au projet telles que les commentaires, les corrections ou les traductions doivent être effectuées ici. Pour plus de détails sur [Comment contribuer][1], veuillez vous référer à [CONTRIBUTING.md][1].
+
+* Erez Yallon
+* Inon Shkedy
+* Paulo Silva
+
+[1]: ../../../CONTRIBUTING.md

editions/2023/fr/0x00-toc.md

@@ -0,0 +1,23 @@
+# Table des Matières
+
+* [Table des Matières](0x00-toc.md)
+* [À propos de l'OWASP](0x01-about-owasp.md)
+* [Avant-propos](0x02-foreword.md)
+* [Introduction](0x03-introduction.md)
+* [Notes de publication](0x04-release-notes.md)
+* [Risques de sécurité des API](0x10-api-security-risks.md)
+* [OWASP Top 10 API Security Risks – 2023](0x11-t10.md)
+* [API1:2023 Broken Object Level Authorization](0xa1-broken-object-level-authorization.md)
+* [API2:2023 Broken Authentication](0xa2-broken-authentication.md)
+* [API3:2023 Broken Object Property Level Authorization](0xa3-broken-object-property-level-authorization.md)
+* [API4:2023 Unrestricted Resource Consumption](0xa4-unrestricted-resource-consumption.md)
+* [API5:2023 Broken Function Level Authorization](0xa5-broken-function-level-authorization.md)
+* [API6:2023 Unrestricted Access to Sensitive Business Flows](0xa6-unrestricted-access-to-sensitive-business-flows.md)
+* [API7:2023 Server Side Request Forgery](0xa7-server-side-request-forgery.md)
+* [API8:2023 Security Misconfiguration](0xa8-security-misconfiguration.md)
+* [API9:2023 Improper Inventory Management](0xa9-improper-inventory-management.md)
+* [API10:2023 Unsafe Consumption of APIs](0xaa-unsafe-consumption-of-apis.md)
+* [Perspectives pour les Développeurs](0xb0-next-devs.md)
+* [Perspectives pour les DevSecOps](0xb1-next-devsecops.md)
+* [Méthodologie et données](0xd0-about-data.md)
+* [Remerciements](0xd1-acknowledgments.md)

editions/2023/fr/0x01-about-owasp.md

@@ -0,0 +1,45 @@
+# À propos de l'OWASP
+
+L'Open Worldwide Application Security Project (OWASP) est une communauté ouverte qui cherche à aider les organisations à développer, acheter et maintenir des applications et des API en lesquelles elles peuvent avoir confiance.
+
+L'OWASP vous met à disposition gratuitement et en libre accès :
+
+* Des outils et des normes de sécurité pour les applications.
+* Des livres complets à propos des tests de sécurité sur les applications, du développement de code sécurisé et de la revue de code sécurisé.
+* Des présentations et des [vidéos][1].
+* Des [Cheat sheets][2] sur de nombreux sujets.
+* Des contrôles et des bibliothèques de sécurité standard.
+* Des [communautés locales partout dans le monde][3].
+* Des recherches de pointe.
+* De nombreuses [conférences partout dans le monde][4].
+* Des [listes de diffusion][5] ([archive][6]).
+
+Plus de renseignements sur : [https://www.owasp.org][7].
+
+Tous les outils, documents, vidéos, présentations et communautés de l'OWASP sont gratuits et ouverts à toute personne intéressée par l'amélioration de la sécurité des applications.
+
+Nous considerons la sécurité des applications d'abord comme un problème impliquant des personnes, des processus et de la technologie. La manière la plus efficace de la faire progresser est donc de travailler sur l'ensemble de ces domaines en même temps.
+
+L'OWASP est un nouveau type d'organisation. Notre liberté face aux pressions commerciales nous permet de fournir des informations impartiales, pratiques et rentables sur la sécurité des applications. 
+
+L'OWASP n'est affiliée à aucune entreprise de technologie, bien que nous soutenions l'utilisation éclairée de technologies sous licences commerciales. L'OWASP produit toutes sortes d'éléments de manière collaborative, transparente et ouverte.
+
+La Fondation OWASP est l'entité à but non lucratif qui garantit le succès à long terme du projet. La quasi-totalité des personnes associée à l'OWASP est bénévole, y compris le conseil d'administration, les responsables des communautés, les responsables de projets et les membres des projets. Nous soutenons la recherche et l'innovation sur la sécurité par des subventions et des infrastructures.
+
+Rejoignez-nous !
+
+## Copyright et licence
+
+![license](images/license.png)
+
+Copyright © 2003-2023 The OWASP Foundation. 
+Ce document est distribué sous la [licence Creative Commons Attribution Share-Alike 4.0][8]. Toute réutilisation ou distribution doit clairement mentionner les termes et condition de licence de cette oeuvre.
+
+[1]: https://www.youtube.com/user/OWASPGLOBAL
+[2]: https://cheatsheetseries.owasp.org/
+[3]: https://owasp.org/chapters/
+[4]: https://owasp.org/events/
+[5]: https://groups.google.com/a/owasp.org/forum/#!overview
+[6]: https://lists.owasp.org/mailman/listinfo
+[7]: https://www.owasp.org
+[8]: http://creativecommons.org/licenses/by-sa/4.0/

editions/2023/fr/0x02-foreword.md

@@ -0,0 +1,27 @@
+# Avant-propos
+
+Actuellement, l'innovation dans le monde des applications est portée par l'Interface de Programmation Applicative (API). 
+Des banques en passant par le commerce et le transport, jusqu'à l'IoT, les véhicules autonomes et les villes intelligentes, les API sont une partie essentielle des applications modernes, que ces applications soient des logiciels, des applications web ou mobiles. Les API peuvent être utilisées dans des applications destinées aux consommateurs, aux partenaires ou à des usages internes.
+
+Par nature, les API exposent la logique de l'application et des données sensibles telles que les données à caractère personnel (DCP) et, en raison de cela, les API sont devenues de plus en plus une cible privilégiée pour les attaquants. Sans API sécurisées, une innovation rapide serait impossible.
+
+Bien que la liste des 10 principaux risques de sécurité des applications web soit toujours pertinente, en raison la nature particulière des API, une liste spécifique des risques de sécurité consacrée aux API était nécessaire. La sécurité des API se concentre sur des stratégies et des solutions pour comprendre et atténuer les vulnérabilités uniques et les risques de sécurité associés aux API.
+
+Si vous êtes familier avec le [Projet OWASP Top 10][1], vous remarquerez les similitudes entre les deux documents : ils sont conçus pour être lisibles et pour facilement se les approprier. Si vous êtes nouveau dans la série OWASP Top 10, vous feriez peut-être mieux de lire les sections [Risques de sécurité des API][2] et [Méthodologie et données][3] avant de vous plonger dans la liste du Top 10.
+
+Vous pouvez contribuer au OWASP API Security Top 10 avec vos questions, commentaires et idées sur notre dépôt de projet GitHub :
+
+* https://owasp.org/www-project-api-security/
+* https://github.com/OWASP/API-Security/blob/master/CONTRIBUTING.md
+
+Vous pouvez trouver le OWASP API Security Top 10 ici :
+
+* https://owasp.org/www-project-api-security/
+* https://github.com/OWASP/API-Security
+
+Nous tenons à remercier tous les contributeurs qui ont rendu ce projet possible par leur effort et leurs contributions. Ils sont tous répertoriés dans la [section Remerciements][4]. Merci !
+
+[1]: https://owasp.org/www-project-top-ten/
+[2]: ./0x10-api-security-risks.md
+[3]: ./0xd0-about-data.md
+[4]: ./0xd1-acknowledgments.md

editions/2023/fr/0x03-introduction.md

@@ -0,0 +1,61 @@
+# Introduction
+
+## Bienvenue dans le OWASP API Security Top 10 - 2023!
+
+Bienvenue dans la seconde édition du OWASP API Security Top 10!
+
+Ce document de sensibilisation a été publié pour la première fois en 2019. Depuis
+lors, le secteur de la sécurité des API a prospéré et est devenue plus mature.
+Nous croyons fermement que la première édition de ce document a contribué positivement à cette industrie,
+car il a rapidement été adopté comme une référence.
+
+Les API jouent un rôle très important dans l'architecture moderne des applications.
+Mais comme l'innovation évolue à un rythme différent de la sensibilisation à la sécurité,
+nous pensons qu'il est important de se concentrer sur la sensibilisation à la sécurité des API.
+
+Le principal objectif du OWASP API Security Top 10 est d'éduquer ceux qui sont
+impliqués dans le développement et la maintenance des API, par exemple, les
+développeurs, les designers, les architectes, les managers ou les
+organisations. Vous pouvez en savoir plus sur le projet en
+visitant [la page du projet][1].
+
+Si vous n'êtes pas familier avec la série OWASP top 10, nous vous recommandons de
+consulter au moins les projets suivants :
+
+* [OWASP Cloud-Native Application Security Top 10][2]
+* [OWASP Desktop App Security Top 10][3]
+* [OWASP Docker Top 10][4]
+* [OWASP Low-Code/No-Code Top 10][5]
+* [OWASP Machine Learning Security Top Ten][6]
+* [OWASP Mobile Top 10][7]
+* [OWASP TOP 10][8]
+* [OWASP Top 10 CI/CD Security Risks][9]
+* [OWASP Top 10 Client-Side Security Risks][10]
+* [OWASP Top 10 Privacy Risks][11]
+* [OWASP Serverless Top 10][12]
+
+Aucun de ces projets n'en remplace un autre : si vous travaillez sur une application
+mobile alimentée par une API back-end, vous feriez mieux de lire les deux Top 10
+correspondants. Il en va de même si vous travaillez sur une application web ou
+de bureau alimentée par des API.
+
+Dans la section [Méthodologie et données][13], vous pouvez en savoir plus sur la
+façon dont cette édition a été créée. Nous encourageons tout le
+monde à contribuer avec des questions, des commentaires et des idées sur notre
+[dépôt GitHub][14] ou notre [liste de diffusion][15].
+
+[1]: https://owasp.org/www-project-api-security/
+[2]: https://owasp.org/www-project-cloud-native-application-security-top-10/
+[3]: https://owasp.org/www-project-desktop-app-security-top-10/
+[4]: https://owasp.org/www-project-docker-top-10/
+[5]: https://owasp.org/www-project-top-10-low-code-no-code-security-risks/
+[6]: https://owasp.org/www-project-machine-learning-security-top-10/
+[7]: https://owasp.org/www-project-mobile-top-10/
+[8]: https://owasp.org/www-project-top-ten/
+[9]: https://owasp.org/www-project-top-10-ci-cd-security-risks/
+[10]: https://owasp.org/www-project-top-10-client-side-security-risks/
+[11]: https://owasp.org/www-project-top-10-privacy-risks/
+[12]: https://owasp.org/www-project-serverless-top-10/
+[13]: ./0xd0-about-data.md
+[14]: https://github.com/OWASP/API-Security
+[15]: https://groups.google.com/a/owasp.org/forum/#!forum/api-security-project

editions/2023/fr/0x04-release-notes.md

@@ -0,0 +1,26 @@
+# Notes de publication
+
+Ce document est la seconde édition du OWASP API Security Top 10, disponible exactement quatre ans
+après sa première publication. Beaucoup de choses ont changé dans le domaine (de
+la sécurité) des API. Le trafic des API a augmenté à un rythme soutenu, certains
+protocoles API ont gagné en popularité, de nouvelles solutions de sécurité ont vu le jour, et, bien sûr, les attaquants ont développé de nouvelles compétences et techniques pour compromettre les API. Il était grand temps de mettre à jour la liste des dix risques de sécurité API les plus critiques.
+
+Avec une industrie de la sécurité des API plus mature, pour la première fois, il y a eu [un appel public à la collecte de données][1]. Malheureusement, aucune donnée n'a été envoyée, mais sur la base de l'expérience de l'équipe du projet, de l'examen attentif de la part des spécialistes de la sécurité des API et des retours de la communauté sur la version candidate, nous avons construit cette nouvelle liste. Dans la [section Méthodologie et Données][2], vous trouverez plus de détails sur la façon dont cette version a été construite. Pour plus de détails sur les risques de sécurité, veuillez vous référer à la [section Risques de sécurité des API][3].
+
+Le OWASP API Security Top 10 2023 est un document de sensibilisation tourné vers l'avenir pour une industrie en constante évolution. Il ne remplace pas les autres TOP 10. Dans cette édition :
+
+* Nous avons combiné l' "Excessive Data Exposure" et le "Mass Assignment" en mettant l'accent sur la cause commune : "Broken Object Property Level Authorization".
+* Nous avons mis davantage l'accent sur la consommation de ressources, plutôt que sur le rythme auquel elles sont épuisées.
+* Nous avons créé une nouvelle catégorie "Unrestricted Access to Sensitive Business Flows" pour aborder de nouvelles menaces, comprenant la plupart de celles qui peuvent être atténuées par le biais du rate limiting.
+* Nous avons ajouté "Unsafe Consumption of APIs" pour aborder quelque chose que nous avons commencé à voir : les attaquants ont commencé à chercher à compromettre les services intégrés de la cible, au lieu de viser directement les API. C'est le bon moment pour commencer à sensibiliser à ce risque croissant.
+
+Les API jouent un rôle de plus en plus important dans l'architecture moderne des microservices, les applications monopages (SPA), les applications mobiles, l'IoT, etc. Le OWASP API Security Top 10 est un effort nécessaire pour sensibiliser aux problèmes de sécurité des API modernes.
+
+Cette mise à jour n'a été possible que grâce à l'énorme effort de plusieurs bénévoles, listés dans la [section Remerciements][4].
+
+Merci!
+
+[1]: https://owasp.org/www-project-api-security/announcements/cfd/2022/
+[2]: ./0xd0-about-data.md
+[3]: ./0x10-api-security-risks.md
+[4]: ./0xd1-acknowledgments.md

editions/2023/fr/0x10-api-security-risks.md

@@ -0,0 +1,39 @@
+# Risques de sécurité des API
+
+La [méthodologie d'évaluation des risques de l'OWASP][1] a été utilisée pour effectuer l'analyse des risques.
+
+La table ci-dessous résume la terminologie associée au "score" de risque.
+
+| Facteur de menace | Exploitabilité | Prévalence de la faiblesse | Détectabilité de la faiblesse | Impact technique | Impacts organisationnel |
+| :-: | :-: | :-: | :-: | :-: | :-: |
+| Spécifique à l'API | Facile: **3** | Répandue **3** | Facile **3** | Sévère **3** | Spécifique à l'organisation |
+| Spécifique à l'API | Moyenne: **2** | Commune **2** | Moyenne **2** | Modéré **2** | Spécifique à l'organisation |
+| Spécifique à l'API | Difficile: **1** | Difficile **1** | Difficile **1** | Mineur **1** | Spécifique à l'organisation |
+
+
+**Note**: Cette approche ne prend pas en compte la probabilité de la menace. Elle ne tient pas non plus compte des divers détails techniques spécifiques à votre application. L'un de ces facteurs pourrait affecter significativement la probabilité globale qu'un attaquant trouve et exploite une vulnérabilité particulière. Cette notation ne prend pas en compte l'impact réel sur votre entreprise. Votre organisation devra décider du niveau de risque de sécurité des applications et des API que l'organisation est prête à accepter compte tenu de votre culture, de votre secteur et de votre environnement réglementaire. Le but du OWASP API Security Top 10 n'est pas de faire cette analyse de risque pour vous. Comme cette édition n'est pas basée sur des données, la prévalence résulte d'un consensus entre les membres de l'équipe.
+
+## Références
+
+### OWASP
+
+* [OWASP Risk Rating Methodology][1]
+* [Article on Threat/Risk Modeling][2]
+
+### Externes
+
+* [ISO 31000: Risk Management Std][3]
+* [ISO 27001: ISMS][4]
+* [NIST Cyber Framework (US)][5]
+* [ASD Strategic Mitigations (AU)][6]
+* [NIST CVSS 3.0][7]
+* [Microsoft Threat Modeling Tool][8]
+
+[1]: https://owasp.org/www-project-risk-assessment-framework/
+[2]: https://owasp.org/www-community/Threat_Modeling
+[3]: https://www.iso.org/iso-31000-risk-management.html
+[4]: https://www.iso.org/isoiec-27001-information-security.html
+[5]: https://www.nist.gov/cyberframework
+[6]: https://www.asd.gov.au/infosec/mitigationstrategies.htm
+[7]: https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator
+[8]: https://www.microsoft.com/en-us/download/details.aspx?id=49168