Inscrivez-vous gratuitement à la Newsletter BFM Business
Le marché des pare-feu applicatifs arrive à un tournant. Les pionniers perfectionnent leurs protections en se spécialisant davantage. Les acteurs plus généralistes combinent cette technologie à d'autres fonctions de gestion de trafic.
Les faits
Le Français Deny All lance une protection par scoring. Le fabricant de boîtiers antispam Barracuda Networks acquiert l'éditeur de pare-feu applicatif NetContinuum. F5 Networks protégera les flux FTP en plus des flux HTTP.
L'analyse
Ne parlera-t-on plus bientôt de pare-feu applicatif ? Non, ce type de protection chargé de stopper les attaques sur les bases de données qui alimentent un site web ne va pas disparaître. Il sera toujours nécessaire de bloquer les attaques de type SQL injection, cross site scripting, injection de valeurs de paramètres, ou usurpation d'identité qu'utilisent les hackers via des formulaires mal protégés. Mais la technologie devrait se banaliser. On la trouve actuellement sous forme d'extensions pour les serveurs web, comme Modsecurity ou Binarysec pour Apache, Aqtronix Webknight pour IIS de Microsoft, ou dans des plates-formes indépendantes chez Armorlogic, Applicure, Beeware, Breach security, Citrix, Protegrity... Demain, elle se combinera aussi à d'autres fonctions au sein de boîtiers de protection. F5 Networks, qui s'attaque par ailleurs aux flux FTP, montre l'exemple avec son pare-feu ASM (Application Security Manager) incorporé à ses boîtiers d'équilibrage de charge, d'accélération de sessions SSL, de cache et de compression. Une voie que devrait logiquement suivre le fournisseur de boîtier antispam et d'équilibrage de charge, Barracuda Networks, qui vient de racheter NetContinuum, éditeur historique de pare-feu applicatifs et d'accélération SSL.
Les limites des listes noire et blanche
Les méthodes de protection s'enrichissent toutefois. Elles reposent le plus souvent sur des listes noire et blanche. La première bloque la transaction dès que des éléments interdits (la signature) sont repérés. Outre que certaines règles doivent être désactivées pour laisser passer du trafic valide (tel Outlook Webaccess), ' la liste noire est contournable par des experts ', déplore le RSSI d'une grande banque. ' La liste blanche est plus sécurisée. Elle décrit ce qui est valide, mais la tenir à jour est difficile car les sites évoluent sans cesse '. Elle est associée à des technologies heuristiques afin d'étendre le champ des actions possibles. Nombre de pare-feu procèdent par apprentissage des transactions valides puis bloquent les requêtes s'écartant de la norme.Deny All, lui, vient d'annoncer un filtrage par scoring. L'éditeur évalue la probabilité d'un risque à partir de deux cents mots-clés (Select, From, Print, MD5...) potentiellement suspects selon le contexte. L'approche est plus flexible, mais risque de faire remonter des ' faux positifs '. Chez Imperva, arrivé plus récemment sur ce marché et qui annonce cinq cents boîtiers pare-feu applicatifs SecureSphere à la mi-octobre, la protection applicative épaule d'autres fonctions. Elle assure la traçabilité des accès aux bases de données en couplant deux boîtiers SecureSphere. Un marché spécifique où l'on trouve des acteurs comme Tizor ou Application Security Inc.
Votre opinion