{"id":2197,"date":"2018-07-24T13:37:03","date_gmt":"2018-07-24T11:37:03","guid":{"rendered":"https:\/\/blog.alwaysdata.com\/?p=2197"},"modified":"2018-08-01T11:52:40","modified_gmt":"2018-08-01T09:52:40","slug":"le-pare-feu-applicatif-web-waf","status":"publish","type":"post","link":"https:\/\/blog.alwaysdata.com\/fr\/2018\/07\/24\/le-pare-feu-applicatif-web-waf\/","title":{"rendered":"Le pare-feu applicatif web (WAF)"},"content":{"rendered":"

Nous avons r\u00e9cemment d\u00e9ploy\u00e9 sur nos serveurs une nouvelle version de notre reverse proxy HTTP, avec son lot de nouveaut\u00e9s. Ce billet de blog est le premier d\u2019une s\u00e9rie visant \u00e0 vous les pr\u00e9senter en d\u00e9tail.<\/p>\n

Nous vous pr\u00e9sentons ici le pare-feu applicatif web (Web Application Firewall<\/em>, ou WAF).<\/p>\n

Un WAF, qu\u2019est-ce que c\u2019est ?<\/h2>\n

La quasi-totalit\u00e9 des applications ont des bugs, et notamment les applications web. Ils peuvent rendre les sites vuln\u00e9rables et \u00eatre utilis\u00e9s par des attaquants pour les p\u00e9n\u00e9trer et prendre le contr\u00f4le (on parle alors g\u00e9n\u00e9ralement d\u2019infection<\/em>). Les cons\u00e9quences peuvent \u00eatre handicapantes (site web qui ne fonctionne plus), voire pire (fuite de donn\u00e9es personnelles).<\/p>\n

La cybers\u00e9curit\u00e9 est un domaine \u00e0 part enti\u00e8re. En suivant certaines bonnes pratiques,<\/a> et en utilisant un WAF, il est possible de diminuer drastiquement la vuln\u00e9rabilit\u00e9 de vos sites web. Bonne nouvelle : nous avons int\u00e9gr\u00e9 un WAF au sein de notre infrastructure et simplifi\u00e9 au maximum sa mise en place pour que tous nos clients puissent l\u2019utiliser.<\/p>\n

\"Gandalf<\/div>\n

Un WAF<\/abbr><\/strong> est un pare-feu prot\u00e9geant les applications web<\/a> face \u00e0 divers vecteurs d\u2019attaques. Le WAF examine chaque requ\u00eate HTTP, et peut soit les autoriser \u00e0 transiter jusqu\u2019\u00e0 l\u2019application, soit les bloquer, alerter ou consigner si elles sont jug\u00e9es malveillantes. Il est g\u00e9n\u00e9ralement capable de r\u00e9agir \u00e0 un grand nombre de vecteurs d\u2019attaques et donc de limiter au maximum les infections.<\/p>\n

\n \"La
Parcours d\u2019une requ\u00eate HTTP face \u00e0 un WAF (ic\u00f4nes : The Noun Project)<\/small><\/figcaption><\/figure>\n

Le WAF Modsecurity<\/h2>\n

Plut\u00f4t que de d\u00e9velopper une solution en interne, nous avons opt\u00e9 pour le WAF ModSecurity<\/a><\/strong> d\u00e9velopp\u00e9 par Trustwave SpiderLabs<\/a>. Ce projet jouit d\u2019une bonne notori\u00e9t\u00e9 dans le secteur de la s\u00e9curit\u00e9 applicative. Par ailleurs, la communaut\u00e9 d\u2019utilisateurs de ModSecurity est tr\u00e8s active, ce qui participe \u00e0 son am\u00e9lioration jour apr\u00e8s jour.<\/p>\n

N\u00e9anmoins, ModSecurity est un moteur de s\u00e9curit\u00e9 applicative et un moteur sans carburant ne peut fonctionner. Le carburant de ModSecurity ce sont les r\u00e8gles permettant de d\u00e9terminer si une requ\u00eate est malveillante. Nous avons choisi d\u2019utiliser l\u2019ensemble de r\u00e8gles libres OWASP Modsecurity Core Rule Set<\/a><\/strong> (CRS) qui offre une protection g\u00e9n\u00e9rique \u00e0 diverses attaques ainsi qu\u2019au Top 10 OWASP<\/a> avec un minimum de faux positifs.<\/p>\n

Configurer son pare-feu applicatif chez alwaysdata<\/h2>\n

Pour plus de flexibilit\u00e9 et de modularit\u00e9, le WAF est activable individuellement pour chacun de vos sites h\u00e9berg\u00e9s chez alwaysdata.<\/p>\n

Plusieurs profils sont activables, chacun offrant un niveau de protection diff\u00e9rent. Ils sont au nombre de six, tri\u00e9s par ordre croissant de protection :<\/p>\n

    \n
  1. Aucun (par d\u00e9faut)<\/li>\n
  2. Basique\n