Un pare-feu d’application web (WAF) est l’un des principaux composants de sécurité de toute organisation disposant d’applications web accessibles depuis l’internet. Malheureusement, « nous avons un WAF » ne signifie pas toujours « nous sommes protégés » – de nombreuses implémentations de WAF fonctionnent en mode « surveillance uniquement », ont des signatures obsolètes ou sont configurées si soigneusement qu’elles laissent passer la plupart des attaques. Le WAF de F5 Networks est une solution qui, lorsqu’elle est correctement configurée, protège véritablement les applications et ne se contente pas de générer des journaux.
Table des matières
- Qu’est-ce qu’un WAF et en quoi diffère-t-il d’un pare-feu réseau ?
- Fonctionnement du WAF F5 – Mécanismes d’inspection
- Protection contre les 10 principales attaques de l’OWASP
- Protection des API – pourquoi le WAF doit-il comprendre les API ?
- Gestion des robots – comment distinguer un bon robot d’un mauvais ?
- WAF en mode apprentissage – configuration automatique des politiques
- Principales conclusions
- FAQ
- Résumé
Qu’est-ce qu’un WAF et en quoi diffère-t-il d’un pare-feu réseau ?
Un pare-feu réseau classique (L3/L4) contrôle le flux de paquets sur la base des adresses IP, des ports et des protocoles – autorisant ou bloquant les connexions TCP/UDP sans voir le contenu. Le WAF opère au niveau de la couche application (L7) et comprend le protocole HTTP/HTTPS – il analyse le contenu des requêtes et des réponses, les en-têtes HTTP, les paramètres URL, le corps de la requête POST et les structures JSON/XML.
Cette différence est fondamentale : une attaque par injection SQL envoyée par le port 443 (HTTPS) à un pare-feu normal ressemble à du trafic web normal. Le WAF voit le contenu de la requête, reconnaît le modèle d’injection SQL et la bloque. Le pare-feu protège le réseau, le WAF protège l’application – et l’un ne remplace pas l’autre.
F5 Networks propose le WAF sous forme d’appliance matérielle (BIG-IP ASM), de logiciel virtuel et de service cloud (F5 Distributed Cloud WAAP), ce qui lui confère la flexibilité nécessaire pour s’adapter à différentes architectures de déploiement.
Fonctionnement du WAF F5 – Mécanismes d’inspection
Le WAF F5 (Advanced WAF / BIG-IP ASM) utilise plusieurs mécanismes d’inspection fonctionnant en parallèle. L’inspection des signatures compare les demandes à une base de données de modèles d’attaques connus – des centaines de milliers de signatures pour l’injection SQL, XSS, l’injection de commandes, la traversée de chemin, SSRF et d’autres catégories. La base de données de signatures est régulièrement mise à jour par F5 Threat Intelligence.
L’analyse du protocole HTTP vérifie que la demande est une demande HTTP correctement structurée et conforme aux RFC – les anomalies de protocole indiquent souvent des attaques ou des outils automatisés. Le modèle de sécurité positive définit ce qui est autorisé (par opposition à la sécurité négative, qui définit ce qui est interdit) – seules les demandes qui respectent le format défini sont autorisées, toutes les autres sont bloquées.
L’analyse comportementale analyse le comportement de l’utilisateur au fil du temps – les modèles de demande propres aux outils automatisés (scanners, robots) sont identifiés et bloqués indépendamment de la signature de l’attaque spécifique.
Protection contre les 10 principales attaques de l’OWASP
Le Top 10 de l’OWASP est une liste des 10 catégories de vulnérabilités d’applications web les plus graves, publiée par l’Open Web Application Security Project. Le WAF F5 est optimisé pour bloquer chacune de ces catégories.
Injection (SQL, NoSQL, LDAP, OS Command injection) – Le WAF analyse les paramètres des requêtes à la recherche de séquences caractéristiques des tentatives d’injection de code. Le mécanisme est résistant aux techniques de contournement typiques (encodage, fragmentation, commentaires SQL).
Cross-Site Scripting (XSS) – blocage des tentatives d’injection de code JavaScript dans les requêtes qui pourraient être faites dans les navigateurs d’autres utilisateurs. Le F5 WAF comprend le contexte – le même mot-clé peut être autorisé dans le contenu d’un article de blog et bloqué dans le paramètre de recherche.
Contrôle d’accès défaillant et mauvaise configuration de la sécurité – Le WAF peut appliquer des politiques d’accès au niveau de l’URL, en bloquant l’accès aux ressources auxquelles un utilisateur ne devrait pas avoir accès.
La combinaison du WAF avec des solutions de pare-feu de nouvelle génération crée une protection multicouche du réseau à l’application.
Protection des API – pourquoi le WAF doit-il comprendre les API ?
Les applications web modernes sont en grande partie constituées d’API – les frontends communiquent avec le backend via des API REST, les microservices communiquent entre eux via des API, les applications mobiles appellent des API. Les API constituent donc une surface d’attaque de plus en plus importante que les WAF classiques (conçus pour les applications web HTML) ne gèrent pas bien.
F5 Advanced WAF dispose d’une sécurité API dédiée qui comprend les structures REST, JSON et GraphQL. Les politiques de sécurité des API peuvent valider la structure du corps JSON (si la demande contient les champs requis, si les types de données sont valides), appliquer des limites de débit pour des points d’extrémité d’API spécifiques, se protéger contre le Top 10 de la sécurité des API de l’OWASP (BOLA/IDOR, authentification brisée, exposition excessive des données et plus encore) et gérer l’accès aux API grâce à l’intégration OAuth/JWT.
Gestion des robots – comment distinguer un bon robot d’un mauvais ?
Tous les bots ne sont pas mauvais – Googelbot, les bots de surveillance, les bots d’API des partenaires sont tous les bienvenus. Les mauvais bots comprennent : les web scrapers qui volent du contenu, les bots de credential stuffing qui essaient de prendre le contrôle de comptes via une liste de fuites de mots de passe, les bots qui cliquent sur des publicités, les bots qui effectuent des attaques DDoS d’applications.
F5 Advanced WAF dispose d’un module intégré de gestion des bots qui utilise plusieurs techniques pour identifier les bots. Défi JavaScript – la page envoie un défi JavaScript qui doit être exécuté par le navigateur. Les bots qui n’ont pas de moteur JS ne passeront pas le défi. Empreinte du navigateur – analyse des propriétés du navigateur (polices, plugins, WebGL, résolution de l’écran) par rapport aux valeurs attendues pour l’agent utilisateur déclaré. CAPTCHA comme escalade pour le trafic suspect. Analyse comportementale – modèles de clics, mouvements de la souris, temps entre les actions propres aux humains et aux automates.
WAF en mode apprentissage – configuration automatique des politiques
La configuration d’un WAF à partir de zéro est un processus fastidieux – en particulier pour les applications complexes avec des centaines de points d’extrémité et des milliers de paramètres. F5 Advanced WAF offre un mode d’apprentissage (construction automatique de politiques) qui observe le trafic des applications pendant une période définie et génère automatiquement des politiques de sécurité basées sur les modèles observés.
En mode apprentissage, le WAF ne bloque rien, mais recueille des informations : les URL disponibles, les paramètres acceptés par chaque point final, les valeurs typiques et les types de données. Après la période d’apprentissage, le WAF génère une proposition de politique de sécurité positive, que l’administrateur examine et approuve ou modifie. Cela accélère considérablement la mise en œuvre et réduit le risque de bloquer un trafic valide.
Principales conclusions
- Le WAF fonctionne au niveau de la couche L7 et comprend les protocoles HTTP/HTTPS, ce qui lui permet d’inspecter le contenu des requêtes et de bloquer les attaques d’applications invisibles pour le pare-feu du réseau.
- F5 Advanced WAF combine l’inspection des signatures, le modèle de sécurité positive et l’analyse comportementale.
- La protection de l’API est une composante distincte et dédiée, cruciale pour les architectures d’applications modernes.
- La gestion des bots différencie le trafic automatisé souhaitable du trafic malveillant grâce à des défis JavaScript, des empreintes digitales et une analyse comportementale.
- Le mode d’apprentissage permet d’élaborer automatiquement des politiques de sécurité basées sur l’observation du trafic réel, ce qui réduit le temps de mise en œuvre.
FAQ
Le WAF F5 peut-il provoquer des faux positifs (en bloquant le mouvement correct) ? Oui – tout WAF peut générer des faux positifs, en particulier lorsqu’il est configuré de manière trop agressive. Le mode d’apprentissage et le renforcement progressif des politiques minimisent ce risque. F5 propose également un mode « transparent » (surveillance non bloquante) pour calibrer les politiques avant que le blocage ne soit déclenché.
Le F5 WAF prend-il en charge IPv6 ? Oui – F5 BIG-IP prend en charge la double pile IPv4/IPv6 complète.
Comment le F5 WAF met-il à jour les signatures d’attaques ? Les signatures sont mises à jour automatiquement par F5 Threat Intelligence – de nouveaux modèles d’attaque sont ajoutés régulièrement, souvent dans les heures qui suivent leur détection dans la nature.
Le WAF F5 peut-il être déployé dans le nuage ? Oui – F5 propose un WAF sous la forme de : BIG-IP Virtual Edition (VM dans le nuage), F5 Distributed Cloud WAAP (SaaS) et images de marché pour AWS/Azure/GCP.
Résumé
Le WAF F5 est l’une des solutions de protection des applications web les plus avancées du marché – combinant l’inspection des signatures avec un modèle de sécurité positive, une protection API dédiée et une gestion avancée des robots. Cependant, une mise en œuvre correcte d’un WAF n’est pas une tâche ponctuelle, mais un processus continu de calibration et de mises à jour. Contactez Ramsdata pour découvrir comment F5 Networks peut protéger les applications web de votre organisation.
