Glossaire
BOLA (Broken Object Level Authorization)
Faille n°1 du Top 10 OWASP API Security, qui correspond à un contrôle d'accès insuffisant au niveau des objets. BOLA est la version API de l'IDOR : l'attaquant manipule les identifiants d'objets dans les requêtes API pour accéder aux données d'autres utilisateurs. Elle est systématiquement recherchée lors des audits d'API.
Pourquoi BOLA est la faille n°1 des API
L'OWASP classe BOLA en première position de son Top 10 API Security depuis 2019, et nos audits le confirment : c'est la vulnérabilité la plus fréquente dans les API REST et GraphQL des SaaS. La raison est structurelle : les frameworks modernes génèrent facilement des endpoints CRUD, mais le contrôle d'autorisation au niveau de chaque objet reste à la charge du développeur. Un middleware d'authentification global donne une fausse impression de sécurité : l'utilisateur est identifié, mais rien ne vérifie que l'objet demandé lui appartient.
Le cas des SaaS multi-tenant RH
Dans un SaaS RH multi-tenant, une BOLA prend une dimension particulière : elle peut casser le cloisonnement entre entreprises clientes. Un compte RH de l'entreprise A qui peut lire les entretiens annuels, les salaires ou les candidatures de l'entreprise B, c'est exactement le scénario qu'un prospect testera — ou qu'un client découvrira — avant de remplir votre questionnaire de sécurité. Les endpoints les plus touchés dans nos audits : téléchargement de documents, exports CSV, webhooks de synchronisation et routes d'API « internes » utilisées par le frontend.
Comment CleanIssue teste les BOLA
Nous créons plusieurs comptes de test dans des tenants distincts, puis nous rejouons chaque requête d'un contexte vers l'autre : identifiants croisés, tokens échangés, paramètres de tenant modifiés. Chaque accès indu est documenté avec la requête exacte et les données réellement exposées, classé selon l'impact métier. La correction passe presque toujours par un contrôle d'appartenance systématique dans la couche d'accès aux données — pas dans le frontend.
Questions fréquentes
BOLA et IDOR, est-ce la même chose ?
Oui, sur le fond. BOLA est la terminologie OWASP API Security, IDOR le terme historique du web. Les deux désignent l'absence de contrôle d'autorisation au niveau de l'objet. BOLA insiste sur le contexte API, où le problème est le plus systématique.
Comment prévenir les BOLA dans une API REST ?
Chaque handler doit vérifier que l'objet demandé appartient bien au périmètre de l'utilisateur (son compte, son tenant, son rôle) avant toute lecture ou écriture. Les politiques d'accès centralisées — RLS côté base de données, policies dans la couche service — sont plus fiables que des vérifications dispersées dans chaque contrôleur.
Un scanner automatique détecte-t-il les BOLA ?
Rarement. Un scanner ne sait pas quelles ressources devraient être accessibles à quel utilisateur : il faut une compréhension du modèle métier et plusieurs comptes de test. C'est précisément ce qu'apporte un audit manuel en conditions réelles par rapport à un scan automatisé.