Les applications web sont en première ligne des cyberattaques. En tant que responsable de la sécurité des systèmes d'information, cela n’a pas pu vous échapper. Il s’agit bien souvent du maillon faible des infrastructures IT. Découvrez au sein de cet article comment les sécuriser.
Les applications web sont devenues incontournables pour votre business et le fonctionnement de votre entreprise. Aujourd’hui, un navigateur web permet d’accéder à des outils collaboratifs et de messagerie, des sites web d’e-commerce ou e-banking ou encore, à des applications métiers plus spécifiques telles que les ERP ou CRM.
Avec le développement de la mobilité (smartphones, PC portables), des technologies web 2.0, et du SaaS (Software as a Service), la diversité des applications ainsi que le nombre d’accès à celles-ci se sont accrus de manière exponentielle. Aussi, un grand nombre d’entre elles peuvent être vulnérables à de nombreuses menaces connues ou non-connues (Zero Day), qui sont en permanence testées par les hackers à la recherche de faiblesses à exploiter. Selon une étude de Positive Technologies publiée en février 2020, le contrôle total du système pourrait être obtenu sur 16% des applications Web.
Ces activités malveillantes peuvent avoir des impacts métiers conséquents, allant de la paralysie partielle ou complète de votre activité, à la modification ou l’exfiltration de vos informations. Plus concrètement ces attaques peuvent se traduire par une défiguration de votre site Internet, perturbant son fonctionnement et détériorant l’image de votre entreprise, ou encore à un accès illégal au logiciel de comptabilité afin d’extraire vos informations bancaires.
Au cours de ces dernières années, la communauté OWASP (Open Web Application Security Projet) - qui travaille sur la sécurité des applications web - constate une augmentation constante du nombre d’attaques avec l’apparition de techniques de plus en plus sophistiquées.
Ces cyber-attaques utilisent des techniques diverses, telles que l’injection de code malveillant SQL ou LDAP pour duper l’interpréteur afin de l’amener à exécuter des commandes fortuites, ou d’accéder à des données non autorisées (ajout du compte ou supprimer un mot de passe).
Une autre méthode fréquemment utilisée est le Cross-Site-Script (XSS), réalisable lorsque qu’une application accepte des données non fiables et les envoie à un navigateur web sans vérification. Ceci dans le but d’exécuter des scripts dans votre navigateur pour, par exemple, voler la session d’un utilisateur pour une réutilisation, altérer des sites web ou rediriger l’utilisateur vers un site malveillant voire introduire des vers. Toujours selon l’étude de Positive Technologies, les attaques XSS représentaient 76% en 2019.
De façon plus globale ces menaces évoluent dans le temps et sont inhérentes au développement de l’application web, aux vulnérabilités protocolaires connues ou inconnues ou encore à de mauvaises configurations de sécurité.
Fort de ce constat, il vous devient indispensable d’implémenter des outils capables de protéger vos applications web internes et publiques contre ces cyber-menaces. Choses que ne sont pas capables de faire les pare-feux et IPS classiques. Quelle est alors la meilleure solution ? Le pare-feu applicatif Web (WAF).
Le firewall applicatif web fournit une couche de contrôle de niveau 7 entre les utilisateurs finaux et les applications web. Son rôle ? Filtrer tous les accès applicatifs (https/XML/Json… ) ainsi que d’inspecter les requêtes clientes et les réponses en provenance de l’application. Celui-ci est déployé en frontal des serveurs applicatifs afin de surveiller chaque accès et de permettre la collecte des logs nécessaires à la conformité, l’audit et l’analyse.
Les solutions WAF sont principalement mises en coupure (In-Line) sur vos architectures, soit en mode « reverse proxy » nécessitant la mise en place de mécanismes de NAT entre vos réseaux client et serveurs applicatifs, soit en mode « transparent proxy » agissant sur un même réseau de niveau 2.
D’autres modes d’implémentation sont disponibles comme le mode “sniffer Out Of Band », fonctionnant à l’aide d’une copie du trafic en vue de réaliser du monitoring et un nombre limité d’actions.
L’intérêt du WAF est de vous fournir une protection personnalisable pour chacune de vos applications web contre les exploits connus et les vulnérabilités logicielles sans aucune entrave sur leurs fonctionnements.
En complément, les WAF peuvent embarquer des technologies de sécurité additionnelles, telles que des scanners de vulnérabilités dont les résultats seront exploités pour la mise en place de « virtual patching », des systèmes de protection anti-DDoS, ou encore des solutions de détection de fraude Web et de sécurisation de base de données.
De plus, ces solutions bénéficient, dans certains cas, de mécanismes d’accélération et d’optimisation du trafic web (caching, SSL offload, Multiplexage TCP). Celles-ci sont souvent accompagnées d’une solution de Web Access Management (WAM) couplée à des systèmes d’authentification gérant le « single sign-on » (SSO).
Enfin, certains firewalls applicatifs web peuvent s’interfacer avec vos environnements Cloud afin de bénéficier par exemple, de mises à jour de signatures ou de listes de réputation IP.
Pour résumer les technologies présentes dans le WAF ont pour but :
Ces offres proposent un service WAF déporté. Celles-ci sont combinées, bien souvent, avec des offres anti-DDoS, un service de répartition de charge (SLB/GSLB) voire du CDN (Content Delivery Networking).
L’ensemble du trafic applicatif est dans un premier temps, dirigé vers votre service cloud, afin d’être analysé par le moteur WAF et les autres briques souscrites. Puis après vérification et nettoyage, il est redirigé vers vos serveurs applicatifs. L’administration et le monitoring s’effectuent via un portail Web. Ces solutions ont le bénéfice d’être souples, faciles et rapides à mettre en oeuvre quelque soit votre architecture. Le point noir de ce service reste la confidentialité de vos données, la gestion des flux SSL étant déléguée au fournisseur du service cloud.
Ces modules vous permettent facilement de bénéficier d’une sécurité applicative, ceci sans modification de votre architecture initiale. Cette solution permet de regrouper, sur un même équipement, un ensemble de fonctionnalités telles que la répartition de charge, la gestion des politiques d’accès ou bien évidemment la sécurité applicative. Il est important de prendre conscience que l’activation du WAF aura un impact plus ou moins important sur les performances de l’ADC pouvant éventuellement entraîner un ralentissement de vos applications.
Ces boîtiers, dédiés à la fonctionnalité WAF, restent très avancés. Ces équipements proposent un vaste panel de fonctionnalités de sécurité et sont très granulaires dans l’analyse du workflow applicatif. Ceux-ci sont équipés d’outils de supervision et de reporting complets et bien structurés facilitant l’exploitation. Ces solutions sont capables en fonction de leurs performances de prendre en charge un grand nombre de services Webs.
Vous l’aurez compris : les applications web sont malheureusement trop souvent le maillon faible des infrastructures IT, victimes de cyberattaques toujours plus pointues. Ces dernières peuvent avoir des impacts métier extrêmement conséquents, allant parfois, jusqu’à la paralysie totale de votre activité. Fort heureusement, des solutions efficaces existent. C’est le cas du WAF (Web Application Firewall), pare-feu indispensable et personnalisable, qui protègera le serveur de vos applications web contre diverses attaques.