Le web et ses applications sont au cœur des usages courants d’Internet et notamment des sites marchands. D’où l’intérêt pour les cybercriminels de s’attaquer aux applications web plutôt qu’aux architectures réseaux en général bien protégées.

Sur le front de la sécurité informatique, le constat est clair : les applications web font l’objet d’attaques toujours plus nombreuses, les cybercriminels préférant éviter d’agresser frontalement les infrastructures réseau généralement bien protégées par des pare-feux de plus en plus sophistiqués. Ce changement d’objectif ne s’est pas seulement opéré par dépit mais aussi parce que les nouvelles cibles sont moins bien protégées et que les enjeux sont finalement plus intéressants. Par exemple, les attaques du genre cross-site scripting (XSS) exploitent un type de faille de sécurité des sites web qui permet à l’agresseur d’injecter des contenus de toutes sortes dans une page ce qui provoque des actions sur les navigateurs web visitant la page. Il devient de ce fait possible de rediriger à son insu l’internaute visiteur vers un autre site pour pratiquer de l’hameçonnage ou encore voler des informations de session (donc des informations permettant la connexion du « client ») ou de récupérer des cookies contenant des informations d’utilisateur réutilisables pour des usages délictueux. D’autres techniques d’infiltration (injection SQL ou de code) permettant d’attaquer au niveau des couches applicatives en général, et du web en particulier, sont également praticables dès lors que les ports http/https ne sont pas du tout protégés ou filtrés.

Des pare-feu spécifiquement adaptés

Les pare-feu applicatifs web ou (WAF) ont été conçus pour parer à ce type d’agression qui peut provoquer des dommages importants sur les sites marchands. Un pare-feu applicatif web se présente sous la forme d’une application ou d’un équipement dédié (une appliance) qui surveille les conversations entre un navigateur client et un serveur web au niveau des paquets http. Le premier type est directement intégré dans le serveur web et traite le trafic entrant (mais aussi sortant) avant qu’il n’atteigne l’application web. Le second type est généralement placé entre un pare-feu classique et le serveur web sur lequel tourne l’application critique, position qui lui permet également de contrôler l’intégralité du trafic entrant et sortant. On distingue également le WAF distribué (dWAF) dont les composants logiciels sont répartis dans l’infrastructure réseau et dont la structure variable convient bien aux environnements virtualisés propres aux différents modes cloud. Il existe aussi des solutions WAF en mode SaaS, mutualisables donc bien adaptées aux petits sites web qui requièrent de la sécurité mais ne peuvent investir dans une plateforme dédiée. Le WAF peut appliquer les politiques de sécurité définies par les administrateurs systèmes qui peuvent programmer une grande variété de critères, y compris des signatures d’attaques connues. Il complète donc efficacement le dispositif de sécurité en détectant et prévenant des attaques que n’ont pas décelé les pare-feu réseaux classiques et les systèmes de détection ou de prévention des intrusions. Cette action complémentaire a d’ailleurs été prise en compte par la norme PCI-DSS (Payment Card Industry Data Security Standard) qui, depuis sa mise à jour de juin 2008, exige la sécurisation des applications web par analyse de code ou par la mise en œuvre de pare-feu adaptés de type WAF.

Des modèles de sécurité variés

Un pare-feu applicatif peut suivre deux modèles de sécurité. Le modèle de sécurité négatif qui autorise par défaut toutes les transactions et rejette celles contenant des attaques reconnues par le biais de leur signature. Ce fonctionnement s’apparente à celui des logiciels antivirus et des systèmes de prévention des intrusions (IPS) qui dépendent grandement de la vitesse, de la qualité et de la quantité de mises à jour des signatures publiées par le fournisseur de la solution. Dans le modèle de sécurité positif, le pare-feu applicatif refuse au contraire toutes les transactions par défaut et s’appuie sur des ensembles de règles pour autoriser les seules transactions réputées fiables. Cette méthode implique une période d’’apprentissage assez longue pour que le WAF puisse bien détecter les transactions réputées légitimes. Le modèle positif suppose également une certaine vigilance sur l’implémentation des mises à jour qui ne doivent pas relancer le processus d’apprentissage et sur les techniques de normalisation utilisées qui pourraient être trompées pour faire paraître inoffensive une charge utile malveillante.