{"id":41373,"date":"2026-04-11T23:12:33","date_gmt":"2026-04-11T23:12:33","guid":{"rendered":"https:\/\/ramsdata.com.pl\/waf-dans-f5-comment-fonctionne-le-pare-feu-applicatif-et-contre-quoi-il-protege\/"},"modified":"2026-04-11T23:12:33","modified_gmt":"2026-04-11T23:12:33","slug":"waf-dans-f5-comment-fonctionne-le-pare-feu-applicatif-et-contre-quoi-il-protege","status":"publish","type":"post","link":"https:\/\/ramsdata.com.pl\/fr\/waf-dans-f5-comment-fonctionne-le-pare-feu-applicatif-et-contre-quoi-il-protege\/","title":{"rendered":"WAF dans F5 – comment fonctionne le pare-feu applicatif et contre quoi il prot\u00e8ge"},"content":{"rendered":"

Un pare-feu d’application web (WAF) est l’un des principaux composants de s\u00e9curit\u00e9 de toute organisation disposant d’applications web accessibles depuis l’internet. Malheureusement, \u00ab\u00a0nous avons un WAF\u00a0\u00bb ne signifie pas toujours \u00ab\u00a0nous sommes prot\u00e9g\u00e9s\u00a0\u00bb – de nombreuses impl\u00e9mentations de WAF fonctionnent en mode \u00ab\u00a0surveillance uniquement\u00a0\u00bb, ont des signatures obsol\u00e8tes ou sont configur\u00e9es si soigneusement qu’elles laissent passer la plupart des attaques. Le WAF de F5 Networks<\/a> est une solution qui, lorsqu’elle est correctement configur\u00e9e, prot\u00e8ge v\u00e9ritablement les applications et ne se contente pas de g\u00e9n\u00e9rer des journaux. <\/p>\n

Table des mati\u00e8res<\/h3>\n
    \n
  1. Qu’est-ce qu’un WAF et en quoi diff\u00e8re-t-il d’un pare-feu r\u00e9seau ?<\/li>\n
  2. Fonctionnement du WAF F5 – M\u00e9canismes d’inspection<\/li>\n
  3. Protection contre les 10 principales attaques de l’OWASP<\/li>\n
  4. Protection des API – pourquoi le WAF doit-il comprendre les API ?<\/li>\n
  5. Gestion des robots – comment distinguer un bon robot d’un mauvais ?<\/li>\n
  6. WAF en mode apprentissage – configuration automatique des politiques<\/li>\n
  7. Principales conclusions<\/li>\n
  8. FAQ<\/li>\n
  9. R\u00e9sum\u00e9<\/li>\n<\/ol>\n

    Qu’est-ce qu’un WAF et en quoi diff\u00e8re-t-il d’un pare-feu r\u00e9seau ?<\/h3>\n

    Un pare-feu r\u00e9seau classique (L3\/L4) contr\u00f4le le flux de paquets sur la base des adresses IP, des ports et des protocoles – autorisant ou bloquant les connexions TCP\/UDP sans voir le contenu. Le WAF op\u00e8re au niveau de la couche application (L7) et comprend le protocole HTTP\/HTTPS – il analyse le contenu des requ\u00eates et des r\u00e9ponses, les en-t\u00eates HTTP, les param\u00e8tres URL, le corps de la requ\u00eate POST et les structures JSON\/XML. <\/p>\n

    Cette diff\u00e9rence est fondamentale : une attaque par injection SQL envoy\u00e9e par le port 443 (HTTPS) \u00e0 un pare-feu normal ressemble \u00e0 du trafic web normal. Le WAF voit le contenu de la requ\u00eate, reconna\u00eet le mod\u00e8le d’injection SQL et la bloque. Le pare-feu prot\u00e8ge le r\u00e9seau, le WAF prot\u00e8ge l’application – et l’un ne remplace pas l’autre. <\/p>\n

    F5 Networks<\/a> propose le WAF sous forme d’appliance mat\u00e9rielle (BIG-IP ASM), de logiciel virtuel et de service cloud (F5 Distributed Cloud WAAP), ce qui lui conf\u00e8re la flexibilit\u00e9 n\u00e9cessaire pour s’adapter \u00e0 diff\u00e9rentes architectures de d\u00e9ploiement.<\/p>\n

    Fonctionnement du WAF F5 – M\u00e9canismes d’inspection<\/h3>\n

    Le WAF F5 (Advanced WAF \/ BIG-IP ASM) utilise plusieurs m\u00e9canismes d’inspection fonctionnant en parall\u00e8le. L’inspection des signatures compare les demandes \u00e0 une base de donn\u00e9es de mod\u00e8les d’attaques connus – des centaines de milliers de signatures pour l’injection SQL, XSS, l’injection de commandes, la travers\u00e9e de chemin, SSRF et d’autres cat\u00e9gories. La base de donn\u00e9es de signatures est r\u00e9guli\u00e8rement mise \u00e0 jour par F5 Threat Intelligence. <\/p>\n

    L’analyse du protocole HTTP v\u00e9rifie que la demande est une demande HTTP correctement structur\u00e9e et conforme aux RFC – les anomalies de protocole indiquent souvent des attaques ou des outils automatis\u00e9s. Le mod\u00e8le de s\u00e9curit\u00e9 positive d\u00e9finit ce qui est autoris\u00e9 (par opposition \u00e0 la s\u00e9curit\u00e9 n\u00e9gative, qui d\u00e9finit ce qui est interdit) – seules les demandes qui respectent le format d\u00e9fini sont autoris\u00e9es, toutes les autres sont bloqu\u00e9es. <\/p>\n

    L’analyse comportementale analyse le comportement de l’utilisateur au fil du temps – les mod\u00e8les de demande propres aux outils automatis\u00e9s (scanners, robots) sont identifi\u00e9s et bloqu\u00e9s ind\u00e9pendamment de la signature de l’attaque sp\u00e9cifique.<\/p>\n

    Protection contre les 10 principales attaques de l’OWASP<\/h3>\n

    Le Top 10 de l’OWASP est une liste des 10 cat\u00e9gories de vuln\u00e9rabilit\u00e9s d’applications web les plus graves, publi\u00e9e par l’Open Web Application Security Project. Le WAF F5 est optimis\u00e9 pour bloquer chacune de ces cat\u00e9gories. <\/p>\n

    Injection (SQL, NoSQL, LDAP, OS Command injection) – Le WAF analyse les param\u00e8tres des requ\u00eates \u00e0 la recherche de s\u00e9quences caract\u00e9ristiques des tentatives d’injection de code. Le m\u00e9canisme est r\u00e9sistant aux techniques de contournement typiques (encodage, fragmentation, commentaires SQL). <\/p>\n

    Cross-Site Scripting (XSS) – blocage des tentatives d’injection de code JavaScript dans les requ\u00eates qui pourraient \u00eatre faites dans les navigateurs d’autres utilisateurs. Le F5 WAF comprend le contexte – le m\u00eame mot-cl\u00e9 peut \u00eatre autoris\u00e9 dans le contenu d’un article de blog et bloqu\u00e9 dans le param\u00e8tre de recherche. <\/p>\n

    Contr\u00f4le d’acc\u00e8s d\u00e9faillant et mauvaise configuration de la s\u00e9curit\u00e9 – Le WAF peut appliquer des politiques d’acc\u00e8s au niveau de l’URL, en bloquant l’acc\u00e8s aux ressources auxquelles un utilisateur ne devrait pas avoir acc\u00e8s.<\/p>\n

    La combinaison du WAF avec des solutions de pare-feu de nouvelle g\u00e9n\u00e9ration<\/a> cr\u00e9e une protection multicouche du r\u00e9seau \u00e0 l’application.<\/p>\n

    Protection des API – pourquoi le WAF doit-il comprendre les API ?<\/h3>\n

    Les applications web modernes sont en grande partie constitu\u00e9es d’API – les frontends communiquent avec le backend via des API REST, les microservices communiquent entre eux via des API, les applications mobiles appellent des API. Les API constituent donc une surface d’attaque de plus en plus importante que les WAF classiques (con\u00e7us pour les applications web HTML) ne g\u00e8rent pas bien. <\/p>\n

    F5 Advanced WAF dispose d’une s\u00e9curit\u00e9 API d\u00e9di\u00e9e qui comprend les structures REST, JSON et GraphQL. Les politiques de s\u00e9curit\u00e9 des API peuvent valider la structure du corps JSON (si la demande contient les champs requis, si les types de donn\u00e9es sont valides), appliquer des limites de d\u00e9bit pour des points d’extr\u00e9mit\u00e9 d’API sp\u00e9cifiques, se prot\u00e9ger contre le Top 10 de la s\u00e9curit\u00e9 des API de l’OWASP (BOLA\/IDOR, authentification bris\u00e9e, exposition excessive des donn\u00e9es et plus encore) et g\u00e9rer l’acc\u00e8s aux API gr\u00e2ce \u00e0 l’int\u00e9gration OAuth\/JWT. <\/p>\n

    Gestion des robots – comment distinguer un bon robot d’un mauvais ?<\/h3>\n

    Tous les bots ne sont pas mauvais – Googelbot, les bots de surveillance, les bots d’API des partenaires sont tous les bienvenus. Les mauvais bots comprennent : les web scrapers qui volent du contenu, les bots de credential stuffing qui essaient de prendre le contr\u00f4le de comptes via une liste de fuites de mots de passe, les bots qui cliquent sur des publicit\u00e9s, les bots qui effectuent des attaques DDoS d’applications. <\/p>\n

    F5 Advanced WAF dispose d’un module int\u00e9gr\u00e9 de gestion des bots qui utilise plusieurs techniques pour identifier les bots. D\u00e9fi JavaScript – la page envoie un d\u00e9fi JavaScript qui doit \u00eatre ex\u00e9cut\u00e9 par le navigateur. Les bots qui n’ont pas de moteur JS ne passeront pas le d\u00e9fi. Empreinte du navigateur – analyse des propri\u00e9t\u00e9s du navigateur (polices, plugins, WebGL, r\u00e9solution de l’\u00e9cran) par rapport aux valeurs attendues pour l’agent utilisateur d\u00e9clar\u00e9. CAPTCHA comme escalade pour le trafic suspect. Analyse comportementale – mod\u00e8les de clics, mouvements de la souris, temps entre les actions propres aux humains et aux automates. <\/p>\n

    WAF en mode apprentissage – configuration automatique des politiques<\/h3>\n

    La configuration d’un WAF \u00e0 partir de z\u00e9ro est un processus fastidieux – en particulier pour les applications complexes avec des centaines de points d’extr\u00e9mit\u00e9 et des milliers de param\u00e8tres. F5 Advanced WAF offre un mode d’apprentissage (construction automatique de politiques) qui observe le trafic des applications pendant une p\u00e9riode d\u00e9finie et g\u00e9n\u00e8re automatiquement des politiques de s\u00e9curit\u00e9 bas\u00e9es sur les mod\u00e8les observ\u00e9s. <\/p>\n

    En mode apprentissage, le WAF ne bloque rien, mais recueille des informations : les URL disponibles, les param\u00e8tres accept\u00e9s par chaque point final, les valeurs typiques et les types de donn\u00e9es. Apr\u00e8s la p\u00e9riode d’apprentissage, le WAF g\u00e9n\u00e8re une proposition de politique de s\u00e9curit\u00e9 positive, que l’administrateur examine et approuve ou modifie. Cela acc\u00e9l\u00e8re consid\u00e9rablement la mise en \u0153uvre et r\u00e9duit le risque de bloquer un trafic valide. <\/p>\n

    Principales conclusions<\/h3>\n