Malek Berrezouga · Consultant API Security · Montréal & Remote Mondial Malek Berrezouga · API Security Consultant · Montréal & Worldwide Remote

Les hackers
ciblent vos
APIs. Hackers are
after your
APIs.

Après 10 ans à concevoir des APIs bancaires critiques, j'ai vu les mêmes failles se répéter partout. Aujourd'hui j'aide les banques, fintechs et gouvernements à les corriger, avant qu'un attaquant ne les exploite. After 10 years designing critical banking APIs, I kept seeing the same vulnerabilities everywhere. Now I help banks, fintechs and governments fix them before an attacker finds them first.

Demander un audit → Request an audit → Voir les tarifs View pricing

OWASP · API Security

Architecture CloudCloud Architecture

Zero-Trust · DevSecOps

PCI-DSS · ISO 27001

ISO 27001

Montréal & Remote mondial Montréal & Worldwide Remote

EN · FR

securapi-scan — analyse en cours… securapi-scan — analysis in progress…

Authentification cassée

Broken authentication

POST /api/v2/auth · JWT sans expiry

CRITICAL

Données PAN exposées

Exposed PAN data

GET /users/accounts · PAN non masqué

HIGH

Rate limiting absent

Missing rate limiting

14 endpoints sans throttling

14 endpoints without throttling

HIGH

BOLA sur /accounts/{id}

BOLA on /accounts/{id}

Énumération possible

Enumeration possible

CRITICAL

TLS / HTTPS

Chiffrement conforme

Compliant encryption

PASS

Score de risque

Risk score

34/100

Méthodologie

Methodology

Mon approche My approach

Pas de rapport PDF générique. Je lis votre code, je comprends votre contexte, et je vous livre des recommandations que votre équipe peut appliquer dès le sprint suivant. No generic PDF report. I read your code, understand your context, and deliver recommendations your team can act on in the very next sprint.

01 / 04

IngestionIngestion

Je collecte vos specs OpenAPI, schémas, configs IAM. Pas de questionnaire à remplir. Je travaille avec ce que vous avez déjà. I collect your OpenAPI specs, schemas, IAM configs. No questionnaire to fill. I work with what you already have.

02 / 04

Analyse IAAI Analysis

Mon moteur passe chaque endpoint au crible: OWASP, PCI-DSS, JWT, CORS, rate limiting. En moins de 90 secondes sur votre spec complète. My engine checks every endpoint: OWASP, PCI-DSS, JWT, CORS, rate limiting. Under 90 seconds on your full spec.

03 / 04

Rapport ExécutifExecutive Report

Un score, une priorité claire, et une feuille de route que vous présentez à votre CISO en 30 minutes. Sans jargon inutile. One score, clear priorities, and a roadmap you can walk your CISO through in 30 minutes. No unnecessary jargon.

04 / 04

CI/CD GateCI/CD Gate

J'installe des gates dans vos pipelines Jenkins ou GitHub Actions. Les régressions sont bloquées avant d'arriver en production, automatiquement. I install gates in your Jenkins or GitHub Actions pipelines. Regressions get blocked before they hit production, automatically.

OWASP API Security Top 10 · 2023

Ce que je détecte What I detect

Chaque règle est testée systématiquement. Ce ne sont pas des recommandations théoriques. J'ai vu chacune de ces vulnérabilités en production, dans de vraies institutions. Every rule is tested systematically. These aren't theoretical recommendations. I've seen each of these vulnerabilities in production, at real institutions.

Répartition type · clients bancaires Typical distribution · banking clients

■ CRITICAL ■ HIGH ■ MEDIUM

API1 CRITICAL

Broken Object Level Auth

Accès non autorisé aux ressources d'autres utilisateurs via ID énumérables

Unauthorized access to other users' resources via enumerable IDs

API2 CRITICAL

Broken Authentication

JWT sans expiry, tokens faibles, credential stuffing non bloqué

JWT without expiry, weak tokens, unblocked credential stuffing

API3 HIGH

Broken Object Property Auth

PAN, PIN, mots de passe exposés dans les réponses GET

PAN, PIN, passwords exposed in GET responses

API4 HIGH

Unrestricted Resource Consumption

Absence de rate limiting, pagination manquante, DDoS applicatif

No rate limiting, missing pagination, application DDoS

API5 CRITICAL

Broken Function Level Auth

Endpoints /admin accessibles sans rôle, escalade de privilèges

Admin endpoints accessible without role, privilege escalation

API6 HIGH

Unrestricted Business Flows

Virements, retraits, inscriptions automatisables sans CAPTCHA ni idempotence

Transfers, withdrawals automatable without CAPTCHA or idempotency

API7 HIGH

Server Side Request Forgery

Paramètres URL non validés, requêtes vers services internes AWS/Azure

Unvalidated URL params, requests to internal AWS/Azure services

API8 MEDIUM

Security Misconfiguration

Headers manquants, CORS permissif, HTTP non chiffré, stack traces exposées

Missing headers, permissive CORS, unencrypted HTTP, exposed stack traces

Pourquoi me faire confiance

Why trust me

Je viens de
l'intérieur du
système I came from
inside the
system

J'ai conçu des APIs bancaires traitant des millions de transactions quotidiennes. Aujourd'hui j'audite, sécurise et architecture des systèmes cloud-native pour les institutions qui n'ont pas le droit à l'erreur. I designed banking APIs processing millions of transactions daily. Today I audit, secure, and architect cloud-native systems for institutions where failure is not an option.

Analyste-Programmeur Sénior · Architecte API Senior Analyst-Programmer · API Architect

Grande banque canadienne (Top 5) · Microservices Java/Spring · 15+ APIs critiques · PCI-DSS · ISO 27001 Major Canadian Bank (Top 5) · Java/Spring Microservices · 15+ Critical APIs · PCI-DSS · ISO 27001

Conception des contrats OpenAPI pour transactions bancaires traitant M$+ quotidiennement · Architecture zero-trust · Revues sécurité pré-production Designed OpenAPI contracts for banking transactions processing M$+ daily · Zero-trust architecture · Pre-production security reviews

2020–2025

Analyste Systèmes TI · Architecte Infrastructure IT Systems Analyst · Infrastructure Architect

The Weather Network (Pelmorex) · Infrastructure multi-plateformes · APIs temps réel haute disponibilité The Weather Network (Pelmorex) · Multi-platform infrastructure · High-availability real-time APIs

Design et sécurisation d'APIs géospatiales · Intégration systèmes météo critiques · SLA 99.99% Designed & secured geospatial APIs · Critical weather system integration · 99.99% SLA

2017–2020

Développeur Full-Stack · Architecte Solutions Full-Stack Developer · Solutions Architect

I2V / Novo3bi · Plateformes e-commerce & SaaS · APIs REST haute performance I2V / Novo3bi · E-commerce & SaaS Platforms · High-performance REST APIs

Développement API REST · Architecture microservices · Intégrations paiement sécurisées REST API development · Microservices architecture · Secure payment integrations

2015–2017

Certifications

Google Cybersecurity Professional

Google · 2025

Cisco Ethical Hacker

Cisco · 2025

Swagger Hub API Owner

SmartBear · 2022

Java Spring OWASP

OWASP · 2020

PSPO — Product Owner

Scrum.org · 2021

Azure / AWS Cloud

DevSecOps · Opérationnel

Expertise technique

Technical expertise

Je parle le
langage de vos
architectes I speak your
architects'
language

Quand je détecte une faille dans votre spec OpenAPI, je peux aussi vous montrer comment la corriger dans votre code Spring Boot. C'est la différence entre un auditeur qui coche des cases et quelqu'un qui a vraiment construit ces systèmes. When I find a vulnerability in your OpenAPI spec, I can also show you exactly how to fix it in your Spring Boot code. That's the difference between an auditor checking boxes and someone who actually built these systems.

Java Spring Boot OpenAPI 3.0 Kafka Docker OWASP Azure · AWS GitHub Actions SonarQube Kubernetes DDD PostgreSQL · Oracle

securapi_scan.py — analyse en cours
1# OWASP API Security Top 10 · 2023
2class SecurAPIEngine:
3
4  def scan(self, spec):
5    findings = []
6    findings += self.check_bola(spec)
7    findings += self.check_broken_auth(spec)
8    findings += self.check_ssrf(spec)
9    # ... 7 more rules
10    score = risk_score(findings)
11    return {
12      "score": score,
13      "critical": count(findings, "CRITICAL"),
14      "findings": findings
15    }

                ▶ Résultat — demo_banquedemo_api.json
                ▶ Result — demo_banquedemo_api.json
              
34
Score
7
CRITICAL
10
HIGH
6
MEDIUM+

Processus d'analyse

Analysis process

Comment l'IA disséque vos APIs How AI dissects your APIs

Donnez-moi votre fichier OpenAPI. En moins de 90 secondes, je détecte ce que la plupart des équipes mettent des mois à trouver, si elles le trouvent. Hand me your OpenAPI file. In under 90 seconds, I detect what most teams take months to find, if they ever do.

OpenAPI / Swagger

JSON · YAML · v2/v3

Parsing

Décomposition spec

Spec decomposition

OWASP Engine

API Top 10 · 2023

AI Analysis

Détection anomalies

Anomaly detection

Scoring

Risk 0–100

Rapport

Report

PDF · HTML · JSON

API1 · API5

Authorization

Vérifie BOLA, BFLA, accès non autorisés aux objets et fonctions

Checks BOLA, BFLA, unauthorized access to objects and functions

API2 · API8

Authentification

Authentication

JWT, OAuth2, HTTP Basic, TLS, headers de sécurité manquants

JWT, OAuth2, HTTP Basic, TLS, missing security headers

API3 · API9

Données sensibles

Sensitive data

PAN, PIN, mots de passe exposés, propriétés non restreintes

PAN, PIN, passwords exposed, unrestricted properties

API4 · API6 · API7

Consommation & flux

Consumption & flows

Rate limiting, pagination, SSRF, flux métier non protégés

Rate limiting, pagination, SSRF, unprotected business flows

APIs analysées · 2025

APIs analyzed · 2025

51 APIs scannées 51 APIs scanned

J'ai analysé 51 APIs publiques utilisées par les plus grandes institutions. Score moyen : 56.3/100. La plupart ne passeraient pas un audit PCI-DSS. I analyzed 51 public APIs used by major institutions. Average score: 56.3/100. Most wouldn't pass a PCI-DSS audit.

UK Open Banking

Accounts API

UK Open Banking

Payments API

Plaid

Financial Data API

Stripe

Payments API

Adyen

Checkout API

Wise

Platform API

Moov Financial

Banking API

Yapily

Banking API

Open Payments

GNAP / Interledger

GoCardless

Payments API

Mifos / Fineract

Core Banking API

Mambu

Core Banking

Temenos Transact

Core Banking

Finastra

Open API Platform

Coinbase

Advanced Trade API

Binance

Exchange API

Kraken

REST API

Experian

Credit API

Equifax

Credit Bureau API

SWIFT GPI

Banking Infrastructure

Canada Open Data

Government of Canada

USA Data.gov

US Federal Government

EU Open Data Portal

European Union

USA Census Bureau

US Census API

IRS e-File

IRS USA

FDA Drug Database

FDA USA

World Bank Data

World Bank

IMF Data

IMF

Bank for Int'l Settlements

BIS · Central Banking

ACORD Insurance

Insurance Standards

TD Bank

Open Banking API · CA

RBC Royal Bank

Banking API · CA

Revenu Québec

Tax API · Québec Gov

US Federal Reserve

FRED Economic Data API

SEC EDGAR

Financial Filings API · US

CFPB

Consumer Finance API · US

FinCEN / US Treasury

AML Reporting API · US

Ontario Digital

Provincial Gov API · CA

OpenAI

GPT API Platform

Anthropic Claude

AI API Platform

Hugging Face

Inference API

Google Vertex AI

AI Platform

Azure OpenAI

Microsoft AI Service

Cohere

NLP API

Replicate

ML Models API

Stability AI

Image Generation API

Mistral AI

LLM API

Together AI

Open Source LLMs

10x Banking

Banking Platform

Thought Machine

Vault API

Apache Fineract

Core Banking

Exemple d'audit réel

Real audit example

Ce qu'un audit ressemble vraiment What an audit actually looks like

Pas un rapport PDF de 200 pages que personne ne lit. Un dossier technique actionnable, avec preuves d'exploitation et roadmap sprint par sprint. Not a 200-page PDF nobody reads. An actionable technical dossier, with exploitation proof and a sprint-by-sprint roadmap.

FINDING-001 CRITICAL OWASP API1 · BOLA

Accès non autorisé aux comptes bancaires via ID énumérable

Unauthorized access to bank accounts via enumerable ID

CVSS v3.1 9.1

Confidentiality: HIGH Integrity: HIGH Availability: LOW

Requête HTTP vulnérable Vulnerable HTTP request

GET /api/v2/accounts/{victim_id}/balance HTTP/1.1

Authorization: Bearer eyJhbGciOiJSUzI1NiJ9.eyJzdWIiOiJ1c2VyXzEyMyJ9...

Host: api.bank.ca

// Attacker is user_123 — accessing ANY account by iterating IDs

Réponse serveur — données exposées Server response — data exposed

HTTP/1.1 200 OK

"accountId": "ACC-99871",

"balance": 142500.00,

"iban": "CA12 3456 7890 1234 5678",

"owner": {"name": "John Doe", "sin": "123-456-789"}

// SIN, IBAN, balance of another user returned without authorization check

Preuve d'exploitation — Python Proof of exploitation — Python

# Automated BOLA scan — 847 accounts exposed in 3 minutes

for victim_id in range(1000, 9999):

r = requests.get(f"/api/v2/accounts/{'{victim_id}'}/balance", headers=auth)

if r.status_code == 200:

print(f"EXPOSED: ${{r.json()['balance']}} CAD — SIN: {{r.json()['sin']}}")

# No rate limiting. No auth check. No alert triggered.

Remédiation recommandée

Recommended remediation

01 Implémenter une vérification d'ownership côté serveur avant tout retour de données Implement server-side ownership check before returning any resource data

02 Remplacer les IDs séquentiels par des UUIDs non-prévisibles Replace sequential IDs with non-predictable UUIDs

03 Ajouter un middleware d'autorisation au niveau API Gateway Add authorization middleware at API Gateway level

Effort correctif Fix effort 2–4 hrs

PCI-DSS Req 6.4

ISO 27001 A.9.4.1

Structure du rapport livré

Delivered report structure

Résumé exécutif (CISO-ready)

Executive summary (CISO-ready)

Score global, niveau de risque, 3 priorités immédiates. Une page.

Global score, risk level, top 3 immediate priorities. One page.

Rapport technique détaillé

Detailed technical report

Chaque finding avec PoC, preuve d'exploitation, CVSS score.

Each finding with PoC, exploitation proof, CVSS score.

Roadmap de remédiation

Remediation roadmap

Sprint par sprint. Effort estimé. Mapping PCI-DSS / ISO 27001.

Sprint by sprint. Estimated effort. PCI-DSS / ISO 27001 mapping.

Specs OpenAPI corrigées

Fixed OpenAPI specs

Fichiers YAML/JSON avec les corrections appliquées, prêts à déployer.

YAML/JSON files with corrections applied, ready to deploy.

Évaluation CVSS — exemple réel

CVSS Assessment — real example

Attack Vector

Network

Attack Complexity

Low

Privileges Required

Low

User Interaction

None

Scope

Changed

Confidentiality

High

Integrity

High

Availability

Low

CVSS v3.1 Score: 9.1 / 10 CRITICAL

Comment je travaille avec vous

How I work with you

De la vulnérabilité à la correction From vulnerability to fix

Ce n'est pas juste un rapport. Je reste avec vous jusqu'à ce que les failles soient corrigées — sprint par sprint. It's not just a report. I stay with you until the vulnerabilities are fixed — sprint by sprint.

Votre API

Your API

OpenAPI spec

Score inconnu Score unknown

Envoi spec

Send spec

SecurAPI Engine

OWASP · AI · CVSS

Findings

Rapport

Report

CVSS · PoC · OWASP

4 CRITICAL 4 CRITICAL

Priorités

Priorities

Sprint Plan

Par priorité

By priority

3 sprints 3 sprints

Corrections

Fixes applied

API Sécurisée

Secured API

PCI-DSS Ready

Score 85+ Score 85+

Je détecte

I detect

Chaque vulnérabilité classée par sévérité CVSS, avec preuve d'exploitation concrète

Every vulnerability ranked by CVSS severity, with concrete exploitation proof

J'explique

I explain

Appel débrief avec votre équipe — je traduis chaque finding en tâche concrète Jira

Debrief call with your team — I translate each finding into a concrete Jira task

Je priorise

I prioritize

Roadmap sprint par sprint avec effort estimé — les CRITICAL en sprint 1, jamais bloquants

Sprint-by-sprint roadmap with estimated effort — CRITICAL in sprint 1, never blocking

Je vérifie

I verify

Scan de re-validation après correction — je confirme que la faille est réellement fermée

Re-validation scan after fix — I confirm the vulnerability is actually closed

Déroulement d'un audit Express — 5 jours

Express Audit timeline — 5 days

Jour 1

Day 1

Intake & NDA

Réception de vos specs OpenAPI · signature NDA · setup environnement isolé

Receive OpenAPI specs · NDA signed · isolated analysis environment setup

NDA OpenAPI Setup

Jours 1–2

Days 1–2

Scan automatisé

Automated scan

OWASP Top 10 · détection BOLA/Auth/PAN · scoring 0–100 par endpoint

OWASP Top 10 · BOLA/Auth/PAN detection · 0–100 scoring per endpoint

OWASP BOLA CVSS

Jours 2–4

Days 2–4

Analyse manuelle

Manual analysis

Business logic review · auth bypass chains · test des flux financiers critiques

Business logic review · auth bypass chains · critical financial flow testing

Auth bypass Logic flaws

Jour 4

Day 4

Rédaction rapport

Report writing

CVSS scoring · PoC documentation · roadmap sprint par sprint

CVSS scoring · PoC documentation · sprint-by-sprint roadmap

PDF HTML JSON

Jour 5

Day 5

Livraison + débrief

Delivery + debrief

Rapport complet · appel débrief équipe · specs OpenAPI corrigées livrées

Full report · team debrief call · corrected OpenAPI specs delivered

PCI-DSS Ready ISO 27001

Architecture de référence

Reference architecture

Ce que je construis What I build

Des architectures que vos équipes peuvent implémenter dès le sprint suivant. Pas des slides PowerPoint. Des décisions techniques défendables devant votre CTO. Architectures your teams can implement in the next sprint. Not PowerPoint slides. Technical decisions you can defend to your CTO.

Architecture de Sécurité API — Zero-Trust

API Security Architecture — Zero-Trust

Chaque requête est authentifiée, autorisée et auditée — indépendamment de sa source. Le périmètre réseau ne suffit plus.

Every request is authenticated, authorized and audited — regardless of its source. Network perimeter is no longer enough.

ClientsClients

Web · Mobile · 3rd party

Services internesInternal services

mTLS · service mesh

PartenairesPartners

OAuth2 · scoped

HTTPS · JWT · mTLS

API Gateway

Rate limit · WAF · JWT validation · Logs

Zero-Trust Entry

Auth Server

OAuth2 · PKCE · Scopes

Identity

Microservices — each validates JWT independently

Accounts

Payments

Users

Admin

Observability

SIEM · Logs · Alerts

Audit Trail

Données chiffrées au repos + transit

Data encrypted at rest + transit

Bases de donnéesDatabases

AES-256 · TLS · RLS

Secrets

Vault · rotation auto

Event Queue

Kafka · async · DLQ

Architecture API Cloud-Native + Automatisation DevSecOps

Cloud-Native API + DevSecOps Automation Architecture

Du commit GitHub au déploiement en production — chaque étape automatisée avec un gate sécurité. Les failles ne passent pas.

From GitHub commit to production deployment — every step automated with a security gate. Vulnerabilities don't make it through.

Developer

Spring Boot API

OpenAPI spec

Git commit

SecurAPI Gate

OWASP scan

BOLA check

JWT validation

Block if CRITICAL

Registry

Docker image scan

CVE check

SBOM generation

Cloud Deploy

Kubernetes

Auto-scaling

Zero-downtime

Production

API secured

PCI-DSS ready

Monitored 24/7

Infrastructure Cloud — sécurisée par défaut

Cloud infrastructure — secure by default

API Gateway

WAF · DDoS · Throttle

Service Mesh

mTLS · Istio · Linkerd

Secrets Manager

Auto-rotation · Vault

Observability

Prometheus · Grafana · SIEM

IaC Security

Terraform · OPA · policies

Les hackers
ciblent vos
APIs. Hackers are
after your
APIs.

Mon approche My approach

IngestionIngestion

Analyse IAAI Analysis

Rapport ExécutifExecutive Report

CI/CD GateCI/CD Gate

Ce que je détecte What I detect

Ce que je propose What I offer

Je viens de
l'intérieur du
système I came from
inside the
system

Je parle le
langage de vos
architectes I speak your
architects'
language

Comment l'IA disséque vos APIs How AI dissects your APIs

51 APIs scannées 51 APIs scanned

Ce qu'un audit ressemble vraiment What an audit actually looks like

De la vulnérabilité à la correction From vulnerability to fix

Ce que je construis What I build

Parlons de vos
APIs Let's talk about
your APIs

Les hackersciblent vosAPIs. Hackers areafter yourAPIs.

Mon approche My approach

IngestionIngestion

Analyse IAAI Analysis

Rapport ExécutifExecutive Report

CI/CD GateCI/CD Gate

Ce que je détecte What I detect

Ce que je propose What I offer

Je viens del'intérieur dusystème I came frominside thesystem

Je parle lelangage de vosarchitectes I speak yourarchitects'language

Comment l'IA disséque vos APIs How AI dissects your APIs

51 APIs scannées 51 APIs scanned

Ce qu'un audit ressemble vraiment What an audit actually looks like

De la vulnérabilité à la correction From vulnerability to fix

Ce que je construis What I build

Parlons de vosAPIs Let's talk aboutyour APIs

Les hackers
ciblent vos
APIs. Hackers are
after your
APIs.

Je viens de
l'intérieur du
système I came from
inside the
system

Je parle le
langage de vos
architectes I speak your
architects'
language

Parlons de vos
APIs Let's talk about
your APIs