WAF : Deny All sort ses atouts innovants sur rWeb 4.0

Comptez une dizaine de nouveautés dans rWeb 4.0 , la nouvelle version du pare-feu applicatifs Web (WAF ou Web Application Firewall en anglais), développée par Deny All. Une solution destinée à protéger, authentifier et accélérer les transactions Internet (applications Web, XML et FTP) .

« La plate-forme actuelle (version 3.8) remonte à 2005. La V4 que nous livrons est prête pour les cinq prochaines années », assure Renaud Bidou, Directeur technique et R&D de la société française qui se veut à la pointe du développement du WAF

En fait, c’est une refonte complète de la plate-forme menée sous la houlette de l’équipe R&D de Deny All (14 personnes) : ajout de modules spécifiques et de fonctionnalités, ré-écriture du produit (nouveau code),  interface utilisateur qui passe du Java en Ajax. Avec une ferme volonté d’améliorer le niveau global de sécurité (prévention des intrusions, protection contre les attaques par déni de service, contrôle de l’accès…).

Autre enjeu : alors que Deny All a l’habitude de travailler avec des clients grands comptes dans les secteurs de la banque ou de l’énergie (150 clients,  20 000 sites couverts), le fournisseur de solutions de firewalls applicatifs veut désormais toucher le segment PME.

Du coup, elle a cherché à démystifier le WAF en vue d’une vulgarisation de la solution vers des entreprises de taille intermédiaires (ETI, grosses PME). Ainsi, l’interface graphique a été revue pour des configurations plus simples et un usage plus convivial.

Sur le front des technologies, priorité est donnée à la sécurité renforcée. Deny All a monté une nouvelle approche fondée sur un modèle de filtrage par scoring, dépassant la simple vue de liste blanche (modèle positif : « tout ce qui n’est pas explicitement autorisé est rejeté ») et de liste noire (modèle négatif « tout ce qui n’est pas interdit est autorisé »).

« Avec notre modèle de scoring, nous donnons des poids différents en fonction des paramètres (…) Si, en faisant la somme des poids, on dépasse un certain niveau, on considère qu’il s’agit d’une attaque », décortique Renaud Bidou.

Une combinaison qui permettrait de bloquer en moyenne 85% des attaques à ce niveau-là (SQL injection, Cross-Site Scripting, HTML injection…).

La nouvelle mouture de rWeb propose également une protection SOAP/XML (prévention, authentification des accès aux Web services…). Deny All considère que l’essor des projets Web services initiés par les entreprises est un paramètre que son WAF doit prendre en compte pour coller au réalité du marché.

Poste de travail : Deny All propose une fenêtre « décontaminée »

Autre angle de l’innovation : la « sanitization » du poste client. Au-delà de ce barbarisme marketing, cette nouvelle option sur le produit rWeb permet de créer des applications exécutables dans une nouvelle fenêtre de protection.

Intérêt : si le poste client est infecté par un malware, l’application qui démarre sur la nouvelle fenêtre « saine » ne sera pas infectée. Renaud Bidou refuse de parler de « sandbox ». « C’est une bulle intermédiaire, le lien entre l’OS et l’application est coupée. »

Actuellement, Deny All distribue la solution rWeb sous différente forme : appliance, version 100% logicielle, mode virtualisation sous forme d’image Vmware (« la certification commence »)…Coût de la solution d’entrée de gamme : 12 000 euros. Après, il faut prendre en compte les coûts d’incrémentation en fonction du nombre d’applications réseaux. Pour tous les clients disposant d’un contrat de maintenance, l’accès à l’update est gratuit.