Pas efficaces, les signatures ? C’est déjà ce que clament depuis quelques temps maintenant les éditeurs d’antivirus, dépassés par la croissance exponentielle des parasites.

Mais aujourd’hui, c’est le pare-feu web (WAF, pour web application firewall) qui est sur la sellette. Lors d’une récente présentation à la conférence OWASP AppSec Europe 2009, Wendel Henrique (Trustwave) et Sandro Gauci (EnableSecurity) ont démontré combien la seule approche de blacklisting (signatures, donc) était faillible aussi sur les WAF.

Si la conclusion est la même pour les deux technologies, les causes, bien entendu, sont différentes : en matière d’antivirus c’est essentiellement la taille croissante de la base des signatures qui pose un problème. Du côté des WAF, c’est plutôt la facilité à contourner le blacklisting si le produit ne passe pas par une phase de décodage et de normalisation efficace (et c’est d’ailleurs ici que se trouve la vraie valeur ajoutée de ces produits).

Les deux experts insistent sur le fait qu’un WAF qui se contenterait de blacklister le trafic avec ses signatures sans le décoder ni le normaliser est essentiellement inutile. Ils insistent également sur le fait qu’une approche par liste blanche est largement plus efficace, mais généralement si complexe en mettre en oeuvre dans un environnement de production un peu chargé qu’elle est souvent abandonnée au profit de la seule détection des attaques par signatures.

La question qui se pose alors est de savoir comment évaluer votre vendeur de solution WAF en matière de décodage et de normalisation du trafic ?