Pare-feu applicatif web (WAF) : à quoi ça sert vraiment
Une définition simple
Un pare-feu applicatif web — WAF, pour Web Application Firewall — est un filtre placé devant votre site qui inspecte chaque requête HTTP avant qu’elle n’atteigne votre serveur. Si une requête ressemble à une attaque — injection SQL, script inter-sites (XSS), exécution de code à distance — le WAF peut la bloquer ou soumettre le visiteur à une vérification. Un pare-feu réseau classique raisonne en ports et adresses IP ; le WAF, lui, comprend la logique de l’application web.
Comment ça fonctionne concrètement
Dans un modèle cloud comme Smart WAF, vous n’installez rien sur votre serveur. Vous pointez le DNS de votre domaine vers nos nœuds en périphérie situés dans l’UE, et le trafic les traverse :
- Normalisation de la requête (méthode, URI, en-têtes, corps).
- Analyse par règles : nos deux moteurs Coraza (proxy-wasm 0.5.0 et libcoraza FFI) appliquent l’OWASP Core Rule Set 4.26, qui couvre les grandes familles d’attaques sans que vous ayez à écrire de signatures à la main.
- Échelle de défis : un client suspect n’est pas bloqué à l’aveugle. Il gravit des marches — preuve de travail (proof-of-work), puis CAPTCHA, puis Web Bot Auth (RFC 9421 / Ed25519). Les humains et les robots vérifiés passent ; l’abus automatisé cale.
- Transmission du trafic propre vers votre origine.
Pourquoi c’est utile à une entreprise
- Protection contre les attaques courantes sans que vos développeurs rédigent des règles : la communauté OWASP maintient la base à votre place.
- Visibilité. Chaque action est consignée dans un journal d’audit immuable (en ajout seul) : on voit ce qui a été bloqué, quand et pourquoi.
- Certificats automatiques. Un certificat Let’s Encrypt dédié est émis par domaine via le module nginx-acme — aucune manipulation TLS manuelle.
- Résidence des données dans l’UE. Nos nœuds tournent dans l’UE (Hetzner, OVH, Scaleway) : c’est un choix d’architecture, pas une option payante.
Quand un WAF est réellement nécessaire
Dès que vous avez une page de connexion, un espace client ou un paiement, vous êtes déjà une cible pour les scanners automatisés. Un WAF ne remplace pas un code sûr, mais il élève nettement la barre pour l’attaquant et vous donne le journal de ce qui se passe.
Nous restons sobres sur la performance : notre budget de latence ajoutée est de ≤5 ms par conception, et nous ne citons pas de chiffres « de production » que nous n’avons pas mesurés sur du matériel réel.
Envie de le voir sur votre propre domaine ? Écrivez-nous.