Le WAF est un outil de sécurité informatique. Il permet de protéger un site web contre les attaques sur Internet.
De plus en plus d’organisations l’utilisent pour prévenir les risques liés aux failles applicatives.
Qu’est-ce qu’un WAF ?
WAF signifie « Web Application Firewall », ou pare-feu d’application web. C’est un système de protection logicielle ou matérielle.
Il agit comme un filtre entre les utilisateurs d’un site web et l’application web elle-même.
Son rôle est d’analyser les requêtes entrantes. S’il détecte une activité douteuse, il bloque la communication.
Le WAF vise à éviter des attaques comme l’injection SQL, le cross-site scripting (XSS) ou la falsification de requêtes (CSRF).
À quoi sert un WAF ?
Le WAF protège les applications web contre des attaques fréquentes et automatisées.
Il est utilisé par les entreprises qui hébergent des services en ligne exposés au public : sites e-commerce, API, extranets, etc.
Un WAF aide à éviter des incidents de sécurité pouvant entraîner :
- le vol de données personnelles ;
- la perte de revenus liée à l’arrêt du service ;
- la perte de réputation de l’entreprise.
Dans certains secteurs, l’utilisation d’un WAF facilite le respect des normes de conformité (comme PCI-DSS pour le paiement en ligne).
Comment fonctionne un WAF ?
Le WAF intercepte les données échangées entre un internaute et une application web.
Il analyse chaque requête HTTP ou HTTPS pour détecter les comportements dangereux.
Pour cela, il utilise différentes méthodes comme :
- les règles prédéfinies : elles servent à bloquer des requêtes connues comme malveillantes ;
- l’analyse comportementale : elle observe les anomalies par rapport à un trafic normal ;
- la mise en liste noire ou blanche : pour autoriser ou interdire certaines adresses IP ou types d’accès.
Certains WAF sont capables d’adapter automatiquement leurs règles selon les menaces détectées.
Ils peuvent être déployés dans le cloud, sur site (matériel dédié), ou intégrés à un autre service de sécurité.
Différences avec des notions proches
Le WAF ne doit pas être confondu avec un pare-feu réseau (firewall classique).
Un pare-feu réseau bloque ou autorise le trafic en fonction des adresses IP, ports ou protocoles utilisés.
Le WAF, lui, inspecte le contenu des requêtes http/https liées aux applications web.
Contrairement à un antivirus, il ne vise pas les fichiers, mais les échanges entre navigateur et application.
Il est aussi différent d’un système de détection d’intrusion (IDS), qui détecte mais ne bloque pas automatiquement.
Exemples ou cas d’usage concrets
Une entreprise gérant un site e-commerce utilise un WAF pour se prémunir contre des tentatives d’injection SQL. Ces attaques peuvent permettre à un pirate d’accéder à la base de données des clients.
Un service public qui expose un portail de démarches en ligne déploie un WAF pour gérer les tentatives d’arrêt de service (attaques DDoS applicatives).
Une startup qui fournit une API ouverte à ses partenaires configure un WAF pour limiter la charge et bloquer les appels non autorisés.
Un hôpital intègre un WAF dans son hébergement cloud pour protéger ses applications internes, qui contiennent des données de santé sensibles.