WAF

01 — DéfinitionQu'est-ce qu'un WAF ?

Un WAF (Web Application Firewall) est un dispositif de sécurité qui filtre, surveille et bloque le trafic HTTP/HTTPS à destination d'une application web ou d'une API, en se positionnant entre les clients et l'application. Il analyse chaque requête au niveau applicatif (couche 7 OSI) pour détecter les attaques applicatives courantes.

Contrairement au pare-feu réseau qui opère aux couches 3-4 (IP, ports, protocoles), le WAF comprend le protocole HTTP et inspecte l'URL, les paramètres, les headers, le corps des requêtes POST/PUT, les cookies, les réponses.

Ce qu'un WAF détecte et bloque

• Injections SQL — altération de requêtes base de données.
• XSS (Cross-Site Scripting) — injection de scripts.
• Command injection — exécution de commandes système.
• Path traversal — accès à des fichiers hors contexte.
• SSRF (Server-Side Request Forgery).
• Exploitation de CVE — signatures pour vulnérabilités connues (Log4Shell, Spring4Shell).
• Bruteforce d'authentification.
• Bots malveillants — scrapers, credential stuffing, scanners.
• DDoS applicatif (L7) — surcharges ciblées.
• Exfiltration de données — détection dans les réponses.

Le WAF dans la défense en profondeur

Le WAF constitue une ligne de défense périmétrique applicative, complémentaire — non substituable — à la sécurisation du code. Modèle recommandé par l'OWASP, le NIST et l'ANSSI :

1. Développement sécurisé (DevSecOps) — prévenir à la source.
2. Tests (pentest, bug bounty) — détecter les failles résiduelles.
3. WAF — bloquer les exploitations connues en périmètre.
4. Monitoring et SOC — détecter ce qui passe.
5. Réponse à incident — contenir et remédier.

Un WAF bien configuré est utile, mais il ne résout pas les problèmes applicatifs. Le considérer comme une solution miracle conduit à négliger la sécurisation du code, ce qui laisse l'application vulnérable dès qu'une technique d'évasion contourne le WAF.

02 — FonctionnementLes mécanismes internes

Position dans le flux

Le WAF s'insère entre les clients et l'application en mode reverse proxy. Il intercepte les connexions HTTP/HTTPS, termine le TLS (ou le traverse en mode transparent), analyse chaque requête, applique ses règles, forwarde au backend si la requête est légitime.

Deux paradigmes de détection

Modèle négatif (signature-based)

Le plus courant. Base de signatures connues d'attaques, comparaison de chaque requête à ces patterns. Avantages : simple, rapide, efficace contre les attaques automatisées. Limites : contournement possible par variantes encodées ou inconnues.

Modèle positif (allowlist)

Le WAF apprend ou se voit déclarer un modèle de ce qui est légitime (URL, paramètres, formats, longueurs). Tout écart est bloqué. Avantages : protège contre l'inconnu. Limites : configuration complexe, risque élevé de faux positifs.

Modèle hybride et IA

Les WAF modernes combinent les deux avec : apprentissage automatique du comportement, threat intelligence temps réel (IP malveillantes, IOC), réputation IP/ASN, fingerprinting TLS (JA3/JA4) pour identifier les outils d'attaque.

OWASP ModSecurity Core Rule Set (CRS)

Projet OWASP phare : règles open source largement utilisées (avec ModSecurity, Coraza) ou adaptées dans les WAF commerciaux. Couvre injections SQL, XSS, LFI/RFI, RCE, scanners automatisés, CVE récentes. Système de score d'anomalie : plusieurs règles déclenchées augmentent le score, au-delà d'un seuil la requête est bloquée. Version actuelle : CRS 4.x.

Actions sur détection

• Bloquer — code HTTP 403.
• Challenge — CAPTCHA, preuve de travail (Cloudflare Turnstile, hCaptcha).
• Rate limiting — limitation du nombre de requêtes.
• Redirection — vers une page d'information.
• Detection only — logger sans bloquer (tuning).
• Custom response — réponse personnalisée.

TLS inspection

Pour analyser HTTPS, le WAF doit terminer le TLS ou disposer du trafic déchiffré :

• Edge WAF : termine TLS près du client, rechiffre vers le backend.
• Backend WAF : devant l'application, trafic en clair après terminaison amont.
• Module serveur : intégré Apache/nginx, analyse après déchiffrement.

03 — TypesModèles de déploiement

WAF cloud / edge (SaaS)

Modèle dominant en 2026. Hébergé par un fournisseur, distribué sur des POP mondiaux, souvent intégré dans un CDN : Cloudflare, Akamai, Fastly, AWS WAF, Azure Front Door, Google Cloud Armor, Imperva Cloud WAF, F5 Distributed Cloud.

Avantages : déploiement rapide, protection DDoS mutualisée, mises à jour automatiques, distribution géographique. Limites : dépendance fournisseur, traversée TLS (le fournisseur voit le trafic en clair), souveraineté, coût croissant avec le trafic.

WAF on-premises / virtuel

Appliance physique ou virtuelle dans l'infrastructure du client : F5 Advanced WAF / BIG-IP ASM, Imperva WAF Gateway, Fortinet FortiWeb, Radware AppWall, Barracuda, A10 Networks Thunder, Ubika (ex-DenyAll, acteur français historiquement qualifié ANSSI).

Avantages : contrôle total, souveraineté, pas de traversée TLS externe, adapté aux environnements hautement régulés. Limites : coût d'achat et maintenance, scaling complexe, mises à jour manuelles.

WAF en module serveur web

• ModSecurity — historique open source, support Apache, nginx, IIS. Projet Trustwave peu maintenu aujourd'hui.
• Coraza — successeur moderne écrit en Go, projet OWASP. Intégrations Envoy, Caddy, Traefik.
• NAXSI — module nginx français, maintenance irrégulière.

Gratuit, transparent, contrôle fin — mais expertise requise et charge CPU sur les serveurs applicatifs.

WAF en ingress Kubernetes

Tendance récente cloud-native : WAF intégré aux contrôleurs d'ingress. ModSecurity/Coraza avec Nginx Ingress, Coraza pour Envoy/Istio, AWS ALB avec WAF attaché, Cloudflare Ingress.

WAF embarqué applicatif / RASP

Middleware ou SDK intégrés à l'application avec contexte métier. Proche du RASP (Runtime Application Self-Protection) : Contrast Security, Jscrambler, Sqreen (acquis par Datadog).

04 — ProtectionsCe qu'un WAF protège (et pas)

Menaces bien couvertes

• Injections SQL — excellente couverture.
• XSS — bonne couverture, attention au DOM-based.
• Command injection, LFI, RFI — bonne couverture sur patterns classiques.
• Exploitation de CVE connues — virtual patching rapide.
• Scanners automatisés (Nikto, Acunetix, sqlmap basique).
• Bruteforce d'authentification — rate limiting efficace.
• DDoS applicatif L7.
• Bots basiques — scrapers, credential stuffing simple.

Menaces partiellement couvertes

• Attaques API : WAF classique voit mal les BOLA. Les WAAP modernes comblent partiellement.
• Bots avancés : émulation de vrai navigateur nécessitant du bot management dédié.
• Zero-day sophistiqués : détection par anomalie imparfaite.
• Deserialization attacks : complexes à détecter génériquement.
• Supply chain attacks via dépendances applicatives.

Menaces non couvertes

• Vulnérabilités de logique métier : BOLA, escalade applicative — requêtes structurellement correctes.
• Fraude applicative : scalping, abus de promotions.
• Exfiltration lente : requêtes légitimes répétées (nécessite UEBA).
• Attaques internes : credentials légitimes contournent le WAF.
• Attaques côté client : Magecart, formjacking — nécessite CSP, SRI, monitoring JS.

Techniques d'évasion connues

• Encodage multiple : URL, Unicode, double encoding, base64.
• Fragmentation entre plusieurs paramètres.
• HTTP request smuggling : différences d'interprétation WAF/backend.
• Syntaxes SQL exotiques : fonctions non standard.
• Mutations de payload : sqlmap --tamper.
• HTTP Parameter Pollution.
• Charset alternatifs.

La course entre attaquants et défenseurs est permanente. Un pentest dédié à l'évasion WAF est recommandé régulièrement.

Virtual patching

Cas d'usage précieux : quand une CVE critique est publiée et qu'un patch n'est pas immédiatement déployable, le WAF bloque l'exploitation via signature spécifique. Exemples 2021-2024 : Log4Shell (Cloudflare et Akamai ont déployé des règles en quelques heures), Spring4Shell, CVE Atlassian Confluence, CVE MOVEit. Virtual patching n'est pas un substitut au vrai patch — il peut être contourné et introduit parfois des faux positifs.

05 — ActeursLe marché mondial

Leaders cloud WAF / Edge

• Cloudflare : leader accessibilité. Free (fonctionnel), Pro (~25 USD/mois), Business (~250 USD/mois), Enterprise. Réseau edge mondial, DDoS intégré.
• Akamai : premium enterprise, App & API Protector, Bot Manager. Intégration Noname Security depuis 2024 pour API.
• Fastly : Next-Gen WAF issu du rachat Signal Sciences, orienté DevOps.
• Imperva : historique, propriété Thales depuis 2023, forte présence enterprise.
• F5 Distributed Cloud WAAP : offre cloud-native issue de Shape Security et Volterra.

WAF des hyperscalers

• AWS WAF : intégré CloudFront, ALB, API Gateway. ~0,60 USD/million de requêtes + 1 USD/règle/mois.
• Azure Front Door WAF et Application Gateway WAF : managed rule sets OWASP.
• Google Cloud Armor : intégration Cloud CDN et Load Balancing.
• Oracle Cloud Infrastructure WAF.

WAF appliances enterprise

• F5 Advanced WAF / BIG-IP ASM : leader historique, très présent banque et grand compte.
• Fortinet FortiWeb : bon rapport qualité/prix.
• Radware AppWall : focus performance.
• Citrix Web App Firewall : composant NetScaler.
• Barracuda Web Application Firewall : accessible aux ETI.
• Ubika (ex-DenyAll) : acteur français historique, produit rWeb.

Open source

• ModSecurity : historique, peu maintenu aujourd'hui.
• Coraza : successeur moderne en Go, projet OWASP.
• OWASP Core Rule Set (CRS) : règles open source utilisables avec ModSecurity ou Coraza.

WAAP spécialisés API

• Salt Security : leader API security.
• Wallarm : WAF + API security.
• Traceable : observabilité API basée distributed tracing.
• Data Theorem : API + mobile + cloud.

Bot management

• Cloudflare Bot Management, Akamai Bot Manager, Imperva Advanced Bot Protection.
• DataDome : acteur français spécialisé, très présent e-commerce.
• Human Security (ex-White Ops).
• Kasada, Netacea, Reblaze.

06 — WAAPL'évolution vers la protection unifiée

Pourquoi le WAF seul ne suffit plus

• Explosion des API : plus de 80% du trafic web mondial. WAF traditionnel voit mal les attaques spécifiques (BOLA, BFLA).
• Bots sophistiqués : émulent parfaitement les navigateurs.
• DDoS applicatif : les attaques L7 nécessitent une détection comportementale.
• Microservices : surface distribuée, protection cohérente sur tous endpoints.
• Zero Trust : protection périmétrique seule ne suffit plus.

Qu'est-ce qu'un WAAP ?

WAAP (Web Application and API Protection), terme introduit par Gartner en 2020. Intègre typiquement 4 composantes :

1. WAF traditionnel — filtrage HTTP classique.
2. Protection DDoS applicative (L7).
3. Protection API — compréhension OpenAPI, détection BOLA/BFLA, inventaire automatique.
4. Bot management — distinction bots légitimes/malveillants, fingerprinting, challenge.

Leaders WAAP (Magic Quadrant Gartner 2024)

Cloudflare, Akamai, Imperva, F5, AWS, Fastly. Le marché se consolide via acquisitions (Akamai/Noname, Thales/Imperva, CyberArk/Venafi) et évolue avec l'IA et l'accent sur les API.

Tendances 2025-2026

• IA générative dans le WAAP : détection assistée par modèles de langage.
• Attaques par IA : phishing et fuzzing automatisés.
• Protection des agents IA : nouvelle surface (APIs consommées par LLM).
• API discovery continue : 20-40% d'API non inventoriées typiquement.
• Convergence WAAP/Bot/DDoS : offres tout-en-un.

07 — Bonnes pratiquesDéployer et exploiter un WAF

08 — FAQQuestions fréquentes

Combien coûte un WAF typique ?

Fourchettes 2026 : Cloudflare Free (gratuit, règles OWASP basiques), Pro (~25 USD/mois), Business (~250 USD/mois), Enterprise (devis, à partir de ~5 000 USD/mois). AWS WAF : ~0,60 USD par million de requêtes + 1 USD/règle/mois, souvent 50-500 USD/mois pour application moyenne. F5 on-premises : 20 000 à 200 000 € selon volumétrie. Imperva SaaS : devis, 10 000 à 100 000 €/an typiquement. ModSecurity/Coraza : gratuit mais coût d'expertise et d'exploitation.

Le WAF ralentit-il mon application ?

Un peu, mais négligeable dans la plupart des cas. Latence ajoutée typique : 1-5 ms pour un WAF edge, 5-20 ms pour un WAF on-premises bien dimensionné. Les WAF edge (Cloudflare, Akamai) peuvent même accélérer globalement grâce au CDN intégré et à la proximité géographique des POP. Points d'attention : terminaison TLS (coût CPU), règles custom complexes, blocages massifs. Un WAF mal dimensionné ou mal configuré peut devenir goulot d'étranglement — tests de charge recommandés avant production.

Peut-on contourner un WAF facilement ?

Un WAF bien configuré avec règles à jour bloque la grande majorité des attaques automatisées et des tentatives basiques. Un attaquant déterminé et compétent peut cependant contourner un WAF via encodage, fragmentation, techniques spécifiques. Les outils comme sqlmap --tamper existent précisément pour cela. C'est pour cela que le WAF ne doit jamais être l'unique ligne de défense. Conseil : pentest périodique avec objectif explicite de tester les capacités d'évasion du WAF.

WAF cloud ou on-premises ?

Le WAF cloud/edge est adapté à la plupart des cas — simplicité, protection DDoS, scalabilité, coût initial faible. Le WAF on-premises se justifie pour : exigences fortes de souveraineté ou SecNumCloud, applications non exposées sur Internet, refus de traverser TLS par un tiers, régulations sectorielles strictes, gros volumétries où le coût cloud dépasse l'investissement matériel. Modèles hybrides courants : WAF on-premises pour les applications sensibles internes, WAF cloud pour les applications publiques.

Le WAF est-il obligatoire pour la conformité ?

PCI DSS impose explicitement un WAF ou un processus équivalent de revue de code sécurisée (exigence 6.6). En pratique, la plupart des organisations choisissent le WAF, plus opérationnel. ISO 27001, SOC 2, NIS2 ne l'imposent pas nominativement mais l'attendent de fait comme mesure de sécurité raisonnable. L'ANSSI recommande le WAF dans ses guides de sécurité web. OWASP ASVS cite le WAF dans ses exigences. Pour les applications exposées sur Internet traitant des données sensibles, un WAF est aujourd'hui considéré comme un minimum.