Maksim Kabakou - Fotolia
Pourquoi le pare-feu applicatif web est-il une couche de sécurité indispensable
L’histoire se répète régulièrement et le montre avec obstination : le WAF (Web Application Firewall) n’a rien d’un luxe. Entre exploitation de vulnérabilités non corrigées et de défauts de configuration, les incidents ne manquent pas. Ils conduisent parfois à des brèches de grande ampleur.
Qui a oublié la compromission de grande ampleur reconnue par Equifax en septembre 2017 ? Un rapport d’enquête a montré que tout était parti d’une vulnérabilité d’Apache Struts exploitée par les attaquants. Plus tôt, il y a avait eu le scandale des Panama Papers, né du piratage de Mossack Fonseca. Par la suite, RiskIQ s’était penché sur les sites Web publiquement accessibles des entreprises du classement FTSE-30 pour révéler 1069 sites s’appuyant soit sur Wordpress, soit sur Drupal. Pour plus de 70 % d’entre eux, il était possible de découvrir la version du système de gestion de contenus (CMS) utilisée. Une indication d’autant plus précieuse pour un pirate potentiel, que 29 % des sites étudiés alors exploitaient un CMS dans une version pour laquelle des vulnérabilités étaient connues.
Des vulnérabilités en quantité
A l’automne dernier, Wavestone a dressé un état des lieux toujours piteux de la sécurité des sites Web en France. Non seulement de nombreux sites présentaient des vulnérabilités, mais ils en présentaient encore après que celles-ci aient été soulignées lors d’un précédent audit, l’année d’avant.
Apache Struts était concerné l’été dernier, tout comme WebLogic d’Oracle, tout récemment. Et il n’aura pas fallu attendre longtemps pour que des pirates se saisissent de l’information pour lancer des attaques avec le rançongiciel Sodinokibi. Au printemps 2018, des centaines de sites Drupal avaient été compromis à des fins de cryptojacking, via l’exploitation d’une vulnérabilité pourtant corrigée à la fin du mois de mars précédent.
Une gestion des correctifs délicate
Le fait est que la gestion des correctifs reste l’un des points noirs de la sécurité informatique. Et ce n’est pas forcément une question de mauvaise volonté. La très sérieuse fondation Owasp le reconnaît d’ailleurs bien volontiers : « malheureusement, en situation réelle d’entreprise, il peut y avoir de nombreux scénarios où mettre à jour le code source d’une application Web n’est pas facile ». Et cela commence notamment par la question de la disponibilité du correctif, puis celles des délais de déploiement, des coûts de développement pour les applications fortement personnalisées, ou encore, notamment, la perte de compétences ou de documentation pour le code le plus ancien.
Tous ces éléments plaident en faveur des capacités de correctif virtuel (virtual patching) des systèmes de prévention d’intrusion (IPS) et des pare-feux applicatifs (WAF). Et cela d’autant plus que les vulnérabilités logicielles sont loin d’être les seuls vecteurs d’attaque sur les sites Web : il suffit de regarder à nouveau du côté de l’Owasp pour s’en rendre compte.
Un plaidoyer pour le WAF
Le rôle du WAF va également au-delà, visant à protéger contre les bots malicieux, ceux de concurrents, par exemple, cherchant à collecter des indications tarifaires de manière industrielle. Ou encore contre les attaquants cherchant à profiter de listes d’identifiants et de mots de passe dérobés à l’occasion d’attaques antérieures et diffusées sur Internet, pour détourner des comptes d’utilisateurs légitimes ; le fameux credentials stuffing. Un détournement est si vite arrivé…
Le WAF est également susceptible d’apprendre automatiquement des applications Web qu’il protège pour établir des règles encadrant les accès légitimes, plutôt que s’appuyer uniquement sur des règles bloquant les accès illégitimes. Et c’est sans compter avec sa capacité à cacher aux assaillants potentiels des informations sensibles sur la pile logicielle utilisée pour la production de l’application.
Vient enfin une couche de protection contre certaines attaques en déni de service, en complément de ce que peut déjà proposer l’hébergeur ou l’opérateur en charge de la connectivité avec Internet.