Selon le Baromètre mondial des risques d’Allianz de 2018, le risque cyber est devenu le deuxième risque le plus redouté, après le risque d’interruption d’activité et juste devant le risque lié aux catastrophes naturelles. Et pour cause, le risque cyber n’est plus pris à la légère aujourd’hui, de plus en plus d’entreprises prennent conscience de l’enjeu que représente la cybersécurité. Il faut dire qu’avec l’avènement du numérique et l’explosion des solutions Cloud, il est nécessaire de sécuriser le tout. Dans cet article, nous allons nous intéresser à la protection des serveurs, et plus particulièrement les WAF, ou Web Application Firewall. De plus en plus populaire, le WAF est devenu un élément important de la sécurité des serveurs. Focus sur cette solution.
Définition :
Un Web Application Firewall (WAF) est, comme son nom l’indique, un type de pare-feu dont le but est de protéger la couche applicative du réseau, en particulier les applications, sans pour autant les modifier. Dans le schéma d’architecture globale d’un système, le WAF sera placé à avant de l’application à protéger, de sorte que toute requête adressée à notre application sera analysée par le WAF. Ainsi, les paquets seront analysés un à un. Si la demande est conforme avec l’ensemble de règles prédéfinies, alors ces paquets seront autorisés à atteindre l’application. Dans le cas contraire, ceux-ci seront rejetés. Le mode de fonctionnement est explicité dans le schéma ci-dessous :
Ce mode de fonctionnement va permettre au WAF de protéger la couche applicative du réseau contre un bon nombre d’attaques les plus courantes. Chaque attaque a une signature qui lui est spécifique, c’est ce qui va permettre au WAF de les bloquer, puisque l’analyse du trafic permettra de détecter toute activité anormale. Parmi les attaques bloquées par les WAF, on peut citer :
Les vols de session: Lorsqu’une session web est initiée sur un site, un cookie sera créé de sorte qu’on n’ait pas besoin de nous authentifier toutes les 10 minutes. Un cookie mal-sécurisé peut être répliqué et hop ! on nous usurpe notre session, plutôt embêtant quand on est sur le site de sa banque, par exemple. Le WAF permet de se prémunir contre ces attaques en proposant une sécurisation de notre connexion à l’aide d’un chiffrement SSL.
Les Injections SQL : les injections sont souvent véhiculées par des requêtes http ou embarquées dans une URL. Dans un très grand nombre d’attaques de ce type, on remarque que des caractères comme les « = » ou « ‘’ » reviennent souvent. Grâce au WAF, on peut implémenter une règle de blocage de caractère dans les formulaires de saisie.
Les attaques DDoS : les attaques DDoS (Distributed Denial of Service) sont des attaques visant à rendre une application ou un serveur indisponible, en saturant sa bande passante. Ainsi, lorsque cette attaque est en cours sur un serveur, le nombre de requêtes par seconde va drastiquement augmenter, et le temps de réponse du serveur avec. Le WAF détecte, dans ce cas, un comportement anormal et va réagir en conséquence. Par exemple, il peut limiter le nombre de requêtes par seconde vers le serveur et rejeter le surplus, ou tout simplement blacklister les adresses IP suspectes et les requêtes qui y proviennent.
Ceci n’est qu’un exemple d’attaques contre lesquelles protège le WAF. On peut aussi citer le Cross-Site Scripting (XSS) ou le forced browsing.
Quand dois-je mettre un WAF ?
Au vu de ses capabilités, le WAF est certainement un « nice-to-have », offrant un niveau supplémentaire de sécurité, en plus des protections déjà mises en place. Mais avant de l’implémenter, il faut se poser la question de sa nécessité. Le besoin va dépendre d’un nombre de critères :
L’importance de l’application à protéger : si l’on prend le site vitrine d’une grande marque de parfums, à audience mondiale, cet asset sera certainement d’une importance stratégique pour l’entreprise et là, le WAF sera plus que conseillé. Mais si on est en présence d’un petit site personnel, le besoin est beaucoup moins évident.
Les données hébergées sur le serveur : Les données bancaires des clients doivent faire l’objet d’un haut niveau de sécurité, et le firewall applicatif ne sera pas de trop. Avec sa capacité à stocker les logs sur le serveur, une fuite de données peut être détectée rapidement.
Le cadre réglementaire et légal : En sachant, par exemple, que le RGPD impose la notification de la CNIL à chaque fuite de données, au plus tard 72h après la constatation des faits, la capacité du WAF à détecter les data breach serait plus que bienvenue.
Le coût et la maintenance : Comme vous pouvez vous en douter, un WAF a un coût. Il s’agit, là encore, de voir si l’investissement en vaut la peine. Il faut savoir aussi qu’un WAF a besoin d’être entrainé à détecter les comportements inhabituels, cela nécessite de mobiliser des compétences spécifiques pour des opérations de maintenance et mises à jour régulières.
D’autres critères peuvent rentrer en jeu et il faut garder en tête que le fonctionnement d’un pare-feu applicatif n’est pas sans faille (détection de faux-positifs par exemple provoquant le blocage à tort d’un ensemble de requêtes) et ne peut rien contre les attaques exploitant des failles spécifiques.
Même s’il limite grandement le risque lié à certaines attaques, la sécurité commence avant tout par la sensibilisation des parties prenantes quant à l’exploitation sécurisée d’un service web, car on ne le dira jamais assez, la sécurité est l’affaire de tous !
Mehdi