Ces activités malveillantes peuvent avoir des impacts métiers conséquents allant de la paralysie partielle ou complète d’une activité à la modification ou l’exfiltration d’informations confidentielles.

Plus concrètement ces attaques peuvent se traduire par une défiguration de site Internet perturbant son fonctionnement et détériorant l’image de l’entreprise ou encore à un accès illégal au logiciel de comptabilité afin d’extraire des informations bancaires. Phenom Institute évalue le coût moyen d’une cyberattaque réussie pour une entreprise française à environ 6,4 millions de dollars (2014 Global Report on the Cost of Cyber Crime).

Au cours de ces dernières années, la communauté OWASP (Open Web Application Security Projet) qui travaille sur la sécurité des applications Web, constate une augmentation constante du nombre d’attaques avec l’apparition de techniques de plus en plus sophistiquées.

Ces cyber-attaques utilisent des techniques diverses telles que l’injection de code malveillant SQL ou LDAP pour duper l’interpréteur afin de l’amener à exécuter des commandes fortuites ou d’accéder à des données non autorisées (ajout du compte ou supprimer un mot de passe). Une autre méthode fréquemment utilisée est le Cross-Site-Script (XSS) réalisable lorsque qu’une application accepte des données non fiables et les envoie à un navigateur web sans vérification, ceci dans le but d’exécuter des scripts dans le navigateur de la victime pour, par exemple, voler la session d’un utilisateur pour une réutilisation, altérer des sites web ou rediriger l’utilisateur vers un site malveillant voire introduire des vers.

De façon plus globale ces menaces évoluent dans le temps et sont inhérentes au développement de l’application Web, aux vulnérabilités protocolaires connues ou inconnues ou encore à de mauvaises configurations de sécurité.

Fort de ce constat, il devient indispensable d’implémenter des outils capables de protéger les applications Web internes et publiques contre ces cyber-menaces, choses que ne sont pas capables de faire les pare-feux et IPS classiques. Le pare-feu applicatif Web (WAF) est la réponse adaptée pour ce type risque.
Le firewall applicatif Web fournit une couche de contrôle de niveau 7 entre les utilisateurs finaux et les applications Web. Son rôle est de filtrer tous les accès applicatifs (http/https/XML/Json… ) ainsi que d’inspecter les requêtes clientes et les réponses en provenance de l’application. Celui-ci est déployé en frontal des serveurs applicatifs afin de surveiller chaque accès et de permettre la collecte des logs nécessaires à la conformité, l’audit et l’analyse.

Les solutions WAF sont principalement mises en coupure (In-Line) sur les architectures, soit en mode « reverse proxy » nécessitant la mise en place de mécanismes de NAT entre les réseaux client et serveurs applicatifs, soit en mode « transparent proxy » agissant sur un même réseau de niveau 2. D’autres modes d’implémentation sont disponibles comme le mode « sniffer Out Of Band » fonctionnant à l’aide d’une copie du trafic en vue de réaliser du monitoring et un nombre limité d’actions.

L’intérêt du WAF est de fournir une protection personnalisable pour chaque application Web contre les exploits connus et les vulnérabilités logicielles sans aucune entrave sur leurs fonctionnements.

De manière générale le firewall applicatif propose :

• A minima, une protection contre les failles de sécurité Web les plus courantes répertoriées par l’OWASP telles que les attaques de type Cross-Site Scripting (XSS), l’injection de code malveillant ou encore la falsification de requête intersites (CSRF).
• Un mode d’auto-apprentissage permettant d’établir le comportement et le fonctionnement de l’application de manière automatique.
• Une base préconfigurée de reconnaissance des signatures applicatives permettant une plus grande rapidité de déploiement.
• Des mécanismes de contrôle d’accès pour éviter l’utilisation abusive de droits d’accès.
• Un module de gestion des certificats nécessaires au traitement des flux cryptés SSL.
• Une console de monitoring et de reporting capable de surveiller et remonter en temps réel les attaques ou toutes dégradations des services applicatifs protégés.

Cet élément est essentiel pour l’analyse et la visualisation de toutes les menaces.
En complément, les WAF peuvent embarquer des technologies de sécurité additionnelles telles que des scanners de vulnérabilités dont les résultats seront exploités pour la mise en place de « virtual patching », des systèmes de protection anti-DDoS, ou encore des solutions de détection de fraude Web et de sécurisation de base de données. De plus, ces solutions bénéficient, dans certains cas, de mécanismes d’accélération et d’optimisation du trafic web (caching, SSL offload, Multiplexage TCP). Celles-ci sont souvent accompagnées d’une solution de Web Access Management (WAM) couplée à des systèmes d’authentification gérant le « single sign-on » (SSO). Enfin, certains firewalls applicatifs web peuvent s’interfacer avec des environnements Cloud afin de bénéficier par exemple de mises à jour de signatures ou de listes de réputation IP.

Pour résumer les technologies présentes dans le WAF ont pour but la détection et la mitigation des menaces connues et inconnues, de minimiser les fausses alertes (faux positif) ainsi que de s’adapter continuellement aux évolutions des applications Web.

Actuellement plusieurs solutions de pare-feu applicatif sont disponibles sur le marché.
• Les boitiers physiques ou virtuels dédiés à la fonctionnalité WAF restent très avancés. Ces équipements proposent un vaste panel de fonctionnalités de sécurité et sont très granulaires dans l’analyse du workflow applicatif. Ceux-ci sont équipés en règle général d’outils de supervision et de reporting complets et bien structurés facilitant l’exploitation. Ces solutions sont capables en fonction de leurs performances de prendre en charge un grand nombre de services Webs.

• Les modules WAF intégrés aux ADC (Application Delivery Controller) permettent facilement de bénéficier d’une sécurité applicative, ceci sans modification de l’architecture initiale. Cette solution permet de regrouper sur un même équipement un ensemble de fonctionnalités telles que la répartition de charge, la gestion des politiques d’accès ou bien évidement la sécurité applicative. Il est important de prendre conscience que l’activation du WAF aura un impact plus ou moins important sur les performances de l’ADC pouvant éventuellement entrainer un ralentissement des applications.

• Les offres Cloud qui proposent un service WAF déporté. Celles-ci sont combinées bien souvent avec des offres anti-DDoS, un service de répartition de charge (SLB/GSLB) voire du CDN (Content Delivery Networking). L’ensemble du trafic applicatif est dans un premier temps dirigé vers le service cloud afin d’être analysé par le moteur WAF et les autres briques souscrites. Puis après vérification et nettoyage, il est redirigé vers les serveurs applicatifs du client final. L’administration et le monitoring s’effectuent via un portail Web proposé par le fournisseur. Ces solutions ont le bénéfice d’être souples, faciles et rapides à mettre en œuvre sur d’importantes comme sur de petites architectures. Le point noir de ce service reste la confidentialité des données, la gestion des flux SSL étant déléguée au fournisseur du service cloud.