Les applications Web continuent d’être l’un des principaux vecteurs d’attaque pour les criminels et la tendance ne montre aucun signe de fléchissement. En effet, de plus en plus, les pirates évitent les attaques réseau au profit d’attaques par cross-site scripting (XSS), d’injections SQL et de nombreuses autres techniques d’infiltration destinées à frapper plus haut dans le modèle OSI, au niveau de la couche applicative en général, et du Web en particulier.

Si vous ne savez pas tout sur les attaques menées contre les applications Web, ces dernières ont été abordées en détail dans un précédent article disponible ici chez notre confrère SC Magazine. En outre, le projet OWASP (Open Web Application Security Project) offre une profusion d’informations pédagogiques sur la sécurité des applications Web sur son site Web , notamment sur les 10 attaques contre les applications Web les plus répandues.

Les firewalls pour applications Web sont destinés à prévenir les attaques là où les firewalls réseau et les systèmes de détection ou de prévention des intrusions cessent d’être efficaces. A noter aussi qu’une mise à jour de la norme PCI DSS (Payment Card Industry Data Security Standard), effective depuis juin 2008, exige de sécuriser les applications Web via l’analyse du code ou des firewalls WAF.

Mais avant de franchir le pas et d’adopter un firewall WAF, il y a plusieurs choses que vous devez prendre en compte afin d’être certain de choisir celui qui correspond à vos besoins :

Les deux principales architectures WAF. Il s’agit des modèles de sécurité négatif et positif. Le modèle de sécurité négatif autorise par défaut toutes les transactions. Seules les transactions contenant des attaques sont rejetées. Basé sur une signature, ce type de firewall WAF détecte les attaques en exécutant des correspondances de définitions. Et, comme c’est le cas avec les logiciels antivirus et les systèmes de prévention des intrusions (IPS), la vitesse, la qualité et la quantité de mises à jour des signatures publiées par le fournisseur sont cruciales.

Pour ce qui est du modèle de sécurité positif, le firewall WAF refusera toutes les transactions par défaut et s’appuiera sur les ensembles de règles pour autoriser les seules transactions réputées fiables. Cette méthode exigera du firewall une activité d’apprentissage non négligeable pour détecter les transactions légitimes. Pour le WAF fonctionnant de la sorte, il est important de savoir s’il prendra en charge les mises à jour automatiques pour son modèle de comportement applicatif, sans devoir le former à nouveau lors de chaque mise à jour. En outre, il convient de s’intéresser aux techniques de normalisation qu’il utilise afin que des pirates ne puissent pas esquiver votre firewall en modifiant tout simplement une charge utile malveillante afin qu’elle semble inoffensive.

Secure Socket Layer (SSL). L’un des points les plus importants, en particulier pour les commerces en ligne ou toute personne ayant un site sensible, est la manière dont le firewall WAF que vous choisirez gérera SSL. Dans la mesure où le trafic SSL est généralement délivré directement au serveur Web, le firewall WAF devra être capable de déchiffrer le trafic SSL avant sa livraison au serveur, et ceci afin de vérifier si le trafic comporte un quelconque contenu nuisible. Si votre firewall WAF ne peut pas faire cela son utilité s’en verra grandement limitée. En règle générale, les firewalls WAF prennent en charge SSL de deux manières :

• L’opération de déchiffrement SSL migre du serveur Web vers le firewall WAF. Ce dernier inspecte les données et ne transmet que les bonnes requêtes (en clair) au serveur Web.
• Le firewall WAF est en quelque sorte intégré au serveur Web ou fournit des interfaces logicielles que le serveur Web peut appeler après s’être chargé de déchiffrer les données. Le firewall WAF peut alors vérifier la validité de chaque requête.

Outre la gestion de SSL, il y a quelques questions subsidiaires à se poser dans en terme d’authentification : le firewall WAF prendra-t-il en charge vos protocoles et technologies d’authentification ? Supportera-t-il HTTP/0.9, HTTP/1.0 et HTTP1.1 ? Peut-il gérer une authentification de base, une authentification Digest, des certificats SSL clients ou une authentification bifactorielle ? Il ne faut jamais se laisser piégé par un firewall WAF qui ne prendrait pas en charge les certificats ou les protocoles nécessaires.

Journalisation. Le firewall WAF est-il capable de consigner les connexions tant valides que non valides ainsi que les tentatives de connexion ? Peut-il supprimer des journaux les données sensibles telles que les informations personnelles concernant les clients en ligne et les données de carte de crédit ? Vous aurez besoin de ces fonctionnalités pour vos propres analyses, en plus de devoir probablement vous conformer à diverses réglementations.

Encombrement et performances. Le firewall WAF est-il fourni en tant qu’appliance avec un matériel optimisé pour améliorer les performances ou s’agit-il d’une solution exclusivement logicielle à installer su un serveur générique ? Bien que les firewalls WAF logiciels soient généralement moins chers, ils n’offrent pas toujours le débit nécessaire pour les applications exigeantes. Plus que pour d’autres technologies le rapport performances / prix sera un indicateur vital lors de la sélection d’un WAF. De plus, il vous faudra tenir compte de critères tels que le nombre maximum de nouvelles connexions, du débit, du nombre de connexions simultanées ou de la latence des requêtes.