~1 minute
API Server — Point d’Entrée Central
Description & Rôle
L’API Server est le composant central de Kubernetes qui expose l’API RESTful. Tous les objets Kubernetes (pods, services, deployments, etc.) sont gérés par l’API Server, qui stocke l’état dans etcd. C’est le point d’entrée unique pour l’administration et l’orchestration du cluster.
CVEs Connus
CVE-2024-3177 — Fuite d’informations sensibles via les logs de l’API Server en cas de verbosité excessive. Affecte les versions < 1.27.13, 1.28.x < 1.28.9, 1.29.x < 1.29.4. Lien CVE
CVE-2024-21658 — Contournement du RBAC via des requêtes malveillantes au niveau HTTP. Affecte Kubernetes < 1.26.13, 1.27.x < 1.27.9, 1.28.x < 1.28.5. Lien CVE
Analyse STRIDE
| Risque | Description |
|---|---|
| S — Spoofing | Accès non authentifié via certificats compromis ou jetons exposés; Utilisation de tokens ServiceAccount sans rotation |
| T — Tampering | Modification d’objets Kubernetes sans audit trail approprié; Pas de validations strictes sur les modifications API |
| R — Repudiation | Logs d’API insuffisants ou non persistants; Pas de traçabilité des mutations critiques |
| I — Information Disclosure | Exposition de secrets dans les réponses API; Logs contenant des données sensibles |
| D — Denial of Service | Surcharge de l’API Server par des requêtes massives; Pas de rate-limiting ou throttling approprié |
| E — Elevation of Privilege | Contournement du RBAC via requêtes malformées; Admission controllers faibles ou désactivés |
Best-Practices Minimales
- Chiffrer toute communication API en TLS 1.2+ (mutuellement)
- Implémenter l’audit complet avec persistance (–audit-log-path, –audit-log-maxage)
- Appliquer le RBAC strictement (privilège minimal)
- Utiliser des authentifications client forts (certificats, OpenID Connect)
- Mettre en place le network policy pour restreindre l’accès à l’API Server
- Activer l’Admission Webhook pour valider les requêtes sensibles
- Monitorer les tentatives d’accès échouées sur l’API Server
- Maintenir l’API Server à jour (patch de sécurité réguliers)
Articles lies
MITRE ATT&CK appliqué aux applications Web cloud native
Mapper les attaques cloud native avec MITRE ATT&CK Cloud : Kubernetes, IAM, containers, APIs, CI/CD et détections adaptées.
19/06/2026Le Résumé de la semaine 2026-W24
Résumé de la semaine 2026-W24: K08: RBAC mal configuré; K09: Journalisation et monitoring inadéquats; K10: Compromission de la supply chain
15/06/2026K10 : Compromission de la supply chain
Réduire le risque OWASP K10 Kubernetes avec Sigstore, SLSA, SBOM CycloneDX, Kyverno et des contrôles d'admission supply chain.
12/06/2026K09 : Journalisation et monitoring inadéquats
Sans audit logging activé, un attaquant peut pivoter à travers le cluster sans laisser la moindre trace exploitable.
10/06/2026Le Résumé de la semaine 2026-W23
Résumé de la semaine 2026-W23: K05: Configuration obsolète et vulnérable; RAMPART & Clarity: quand les outils rejoignent le threat modeling agentiqu
08/06/2026