Johanne Ulloa

Qu’est-ce qu’un WAF ?

Un WAF  (Web application Firewall) est un logiciel ou un équipement matériel  placé entre le firewall et les serveurs WEB,  il permet principalement de protéger les applications Web des attaques applicatives (SQL injections, Cross Site Scripting, injection de code …)

J’ai déjà un Firewall réseau. Quelles sont les différences entre un Firewall réseau et un Firewall applicatif Web ?

Le premier offre une protection périmétrique, il a en charge d’autoriser des paquets à le traverser en fonction de leur source et de leur destination. Le firewall applicatif Web est lui en charge du contenu de ces paquets. On peut comparer ces deux fonctionnalités à un contrôle douanier. Dans un premier temps, une vérification sur le passeport est effectuée (ceci peut être assimilé au firewall réseau), puis une fouille est réalisée (ici assimilée à la vérification effectuée par le firewall applicatif WEB). Ces deux actions sont tout à fait complémentaires et indispensables.

Pourquoi un WAF est maintenant un élément indispensable dans mon infrastructure ?

Selon une étude du Gartner, 75% des attaques ciblent les systèmes d’information à travers les applications WEB.  Selon cette même étude, 2/3 des applications Web sont vulnérables. Elles ont donc une sensibilité « naturelle » aux attaques et offrent un large champ d’action aux hackers. Les attaques Web sont très simples à mettre en œuvre (dans bien des cas, un simple navigateur suffit). De plus, le retour sur investissement pour les hackers est élevé. Voilà principalement pourquoi les applications Web sont de plus en plus la cible d’attaques.

Simplicité de mise en œuvre et retour sur investissement très élevé pour les pirates

Quels sont les cibles et les impacts des attaques Web ?

• L’utilisateur : Les attaques vont cibler l’utilisateur principalement pour récupérer les éléments d’authentification tels que les mots de passe. Une fois récupéré par le pirate, ce dernier pourra se faire passer pour l’utilisateur et réaliser toutes les actions que celui-ci aurait pu réaliser.
• Le serveur WEB. Parmi les impacts les plus fréquents, on retrouve :
  • modification de contenu. Les conséquences du « défacement » sont variables en fonction de la sensibilité de l’image de marque de l’entreprise ;
  • Ajout de contenu illicite;
  • Accès à des documents présents sur le serveur et qui ne sont normalement pas accessibles via le serveur Web ;
  • prise de contrôle du serveur Web (exécution de commandes).
• L’application WEB (au sens logique). Dans ce cas, le but sera de faire en sorte que l’application Web ait un comportement différent de celui attendu. Par exemple : modifier le prix d’un produit
• Les bases de données. Elles sont la cible privilégiée des hackers.  Dans ce cas, le serveur Web est utilisé comme un outil pour accéder aux données. Les impacts vont du vol, à la suppression ou l’altération de données. Notons que bien des vols de données passent complètement inaperçus, car celles-ci restent présentes sur le serveur après « l’effraction ».
• Les Web Services n’échappent pas aux attaques. De plus en plus déployés, ils ont une forte interaction avec les bases de données, ce qui fait d’eux une cible de choix.

Quels sont les autres aspects de sécurité qui peuvent être pris en charge par le firewall applicatif Web ?

Le firewall applicatif est en amont des applications Web qu’il protège. Il devient donc naturel de lui demander de réaliser de l’authentification. Ce point est particulièrement utile lorsque l’on souhaite rendre accessible sur internet et de façon sécurisée des applications Web internes.
Le firewall applicatif Web permet également de virtualiser l’infrastructure applicative (il donne la possibilité d’utiliser des noms de serveurs Web différents de ceux utilisés en interne). De plus, un firewall applicatif Web facilite la mise à disposition sur internet d’applications Web internes (il n’est plus nécessaire de déplacer le serveur Web vers une zone spécifique du réseau). Enfin le FireWall applicatif peut également être utilisé pour fournir des preuves de tentatives d’intrusion. En effet, la totalité des requêtes est journalisée (les serveurs Web ne journalisent pas l’intégralité des éléments).

La sécurité de l’application Web est prise en compte durant le développement, ai-je malgré tout besoin d’un WAF ?

Pour que les méthodes qui visent à apporter de la sécurité tout au long du cycle de vie de l’application puissent être efficaces, il faut avoir un contrôle total sur les phases de développement.  Les aspects de sécurité devront être pris en compte dès la conception, tout au long du développement et durant l’exploitation. Il arrive fréquemment que l’on n’ait pas le niveau de contrôle suffisant à ces différents stades pour obtenir un niveau de sécurité suffisant. Ces méthodes doivent donc impérativement être complétées par la mise en œuvre d’un firewall applicatif Web pour diminuer le périmètre de vulnérabilité. De plus, le firewall applicatif Web permet de lutter contre les attaques qui visent le serveur Web par lui-même (Vulnérabilités IIS, apache … comme directory traversal, déni de services tel que Slowloris …). Firewall applicatif Web et méthodes visant à prendre en considération la sécurité applicative durant les phases de développement sont donc complémentaires.

Le firewall applicatif Web offre-t-il d’autres plus values que celles liées à la sécurité ?

Oui, le firewall applicatif permet d’accélérer le trafic Web particulièrement quand les serveurs Web sont surchargés. En effet, une bonne partie du travail qui était réalisé par le serveur Web (délivrer les pages statiques, prise en charge du chiffrement) sera pris en charge par le Firewall applicatif. L’avantage principal est de permettre au serveur Web de disposer de plus de ressources pour effectuer les traitements. Le firewall applicatif Web est également capable de répartir la charge sur plusieurs serveurs Web et d’assurer la haute disponibilité de ces serveurs. Le bénéfice étant de ne pas avoir à implémenter des mécanismes complexes de haute disponibilité et de se passer d’un répartiteur de charge (load balanceur) en aval. Sans oublier les avantages soulignés dans le paragraphe précédent, comme la simplification et la rationalisation de l’infrastructure.