Est ce que votre WAF PrestaShop est efficace ?


Vous vous êtes fait pirater malgré la présence d'un pare-feu applicatif (WAF) que l'on vous avait vendu comme la solution miracle ? Vous êtes inquiet de l'efficacité réel de votre WAF ou de son respect de l'état de l'Art selon l'OWASP ?

Notre diagnostiqueur de WAF PrestaShop répond à ce besoin.

Un WAF mal configuré ou obsolète peut donner un faux sentiment de sécurité tout en laissant passer des attaques sophistiquées : SQL Injection, XSS, SSRF, XXE, etc autant de menaces que votre pare-feu est censé stopper, mais en est-il réellement capable ?

Trop souvent, les WAF sont mis en place sans véritable validation de leur efficacité ou sans ajustement face aux nouvelles menaces. Trop de WAF se révèlent complètement inefficaces sur les fuites de données.

Avec notre outil, vous obtenez une analyse approfondie de votre WAF PrestaShop face aux attaques courantes et avancées. Nous testons ses réactions, détectons ses faiblesses et vous fournissons des recommandations concrètes pour renforcer votre protection.


Vérifiez dès maintenant si votre WAF est vraiment à la hauteur des menaces actuelles.


Pourquoi tester votre WAF ?



  • 🔍 Identifier les fragilités dans votre configuration actuelle avant qu'un pirate ne le fasse
  • ✅ Vérifier la conformité de votre WAF avec les meilleures pratiques de sécurité applicative et l'état de l'Art.
  • 🛡️ Tester la résilience face aux attaques courantes (SQL Injection, XSS, RCE, SSRF, XXE, etc.).


Fonctionnalités clés



  • ✅ Tests automatisés et personnalisés : Simulation d'attaques réelles pour évaluer la robustesse du WAF.
  • ✅ Analyse en temps réel : Détection immédiate des fragilités et des règles inefficaces.
  • ✅ Compatibilité multi-WAF : Fonctionne avec ModSecurity, Cloudflare, et bien d'autres.
  • ✅ Rapports détaillés : Génération de comptes-rendus exploitables pour ajuster votre configuration.
  • ✅ Respect des normes OWASP : Tests alignés sur les dernières recommandations d'OWASP dont OWASP Core Rule Set (CRS).
  • ✅ Tests avancés de contournement d'expressions régulières malformées : Identification des faiblesses dans les règles de filtrage basées sur des regex inefficaces ou contournables.
Chaque diagnostic est unique pour maximiser sa fiabilité.


Comment cela fonctionne ?



  • 🔍 Scan initial : Analyse préliminaire de la configuration du WAF.
  • 🎯 Batterie de tests : Simulation d'attaques contrôlées selon des scénarios réalistes basés sur nos retours d'expérience.
  • 📊 Évaluation des résultats : Identification des requêtes bloquées et des éventuelles fragilités exploitables.
  • 🛠️ Recommandations : Conseils techniques pour renforcer votre sécurité.


Touchweb : une expertise de terrain pour une sécurité éprouvée



Notre société, TouchWeb, est aujourd'hui la principale productrice de notes de sécurité (CVE) pour PrestaShop, ce qui nous place au cœur de la menace et de son évolution en partenariat avec PrestaShop SA.

Nous sommes en première ligne pour analyser les vulnérabilités exploitées dans l'écosystème et comprendre précisément comment les attaques pénètrent les systèmes et surtout pourquoi elles réussissent.

Notre expertise ne s'arrête pas à PrestaShop. Nous réalisons une veille constante sur les menaces affectant l'ensemble de l'écosystème PHP, incluant Magento, WooCommerce et les frameworks majeurs, afin d'anticiper les nouvelles stratégies des attaquants.

En surveillant les signaux faibles et en étudiant les techniques émergentes, nous sommes capables d'adapter nos défenses et de proposer des diagnostics de WAF réellement ancrés dans la réalité des attaques.

Cette approche terrain nous permet de proposer des tests de sécurité pragmatiques et efficaces, basés sur des cas réels et non sur des modèles théoriques.

Grâce à cette expertise unique, nous sommes en mesure d'identifier les fragilités les plus critiques et d'optimiser la protection des infrastructures e-commerce face aux menaces actuelles et futures.


Pour les plus techniques d'entre vous : Que testons-nous ?



Tous les malwares / virus Web usuels incluant :
  • 🛑 Injection SQL
  • 🚀 Cross-Site Scripting (XSS)
  • 📡 Remote Code Execution (RCE)
  • 🔄 Server-Side Request Forgery (SSRF)
  • 📂 Inclusion de fichiers (LFI/RFI)
  • 🕵️‍♂️ Exfiltration de données via XXE
  • 📤 Envoi de fichiers malveillants

Et ce, sur le plus de vecteurs d'attaque possibles (pas seulement les GET / POST), mais également les flux JSON / XML, les headers et les cookies.


Fragilités spécifiques aux WAF :
  • 🎭 Contournement des expressions régulières malformées
  • 🔄 Évasion de filtrage par encodage
  • 🔥 Tests de résistance aux attaques zero-day

Nous stressons également les fuites de données :
  • 📁 Fuites de données techniques
  • 🔐 Fuites de données à caractère personnel
  • 🔐 Respect du RGPD sur les données sensibles dont les mots de passe

À des fins pédagogiques, nous vous montrons également des charges impossibles à bloquer "by design" par les WAF dans un contexte de vulnérabilités 0-day non documentées :

  • 🧠 XSS de type 0 (DOM-based) : exécutés uniquement dans le navigateur de la victime, ils sont invisibles côté serveur, donc inblocables par un WAF.
  • 🔓 IDOR (Insecure Direct Object References) : la plupart s'exploitent via des arguments inoffensifs pour le serveur, donc indétectables pour un WAF - c'est un ennemi de l'intérieur.
  • 🗂️ LFI sur assets inoffensifs ou à chemin fragmenté : inclusion locale sur des fichiers statiques uploadés (images / document Office) qui ne déclenchent aucune alerte du WAF par ce biais (elles doivent être capturées à l'upload - volet des uploaders).
  • 🎯 CSRF sur vecteur GET : partant du principe que filtrer efficacement sur les referers est une mission quasi impossible.
  • 🧬 Charges à haute entropie : qu'elles soient encodées en base64 ou chiffrées/compressées (ex. openssl_encrypt, gzcompress), ces charges peuvent traverser les WAF sans détection en raison de leur apparente innocuité et complexité - un camouflage efficace pour des attaques différées via des backdoors déposées après un premier hack.

Et pour finir, nous testons :
  • 🛡️ Le blindage applicatif pour s'assurer que les répertoires usuels pouvant contenir des charges sont bien totalement paralysés
  • 🎭 L'usurpation d'identité sur les services tiers professionnels (dont des banques)

Notre approche repose sur une veille constante et des scénarios réalistes afin de garantir que votre WAF ne soit pas qu'une illusion de sécurité, mais une véritable barrière contre les attaques modernes.



Différence entre un test d'intrusion (comme Qualys WAS) et un diagnostiqueur de WAF



Un test d'intrusion (pentest) tel que Qualys WAS est une solution d'évaluation de la sécurité des applications web qui scanne les vulnérabilités présentes dans le code, la configuration des serveurs et les frameworks utilisés.

Il permet de détecter des failles avérées et d'évaluer le niveau de risque d'un site ou d'une application web. Ces tests sont souvent orientés vers la détection des vulnérabilités effectives, ce qui signifie qu'ils explorent en profondeur les applications web et leurs composants sous-jacents.

À l'inverse, un diagnostiqueur de WAF PrestaShop se concentre spécifiquement sur l'efficacité du pare-feu applicatif web. Son but est de tester la réaction du WAF face à des attaques simulées et de s'assurer qu'il bloque correctement les requêtes malveillantes.

Il ne cherche pas à identifier des vulnérabilités PrestaShop mais à évaluer si le WAF est bien configuré pour prévenir les attaques connues et émergentes.

Cette approche est donc complémentaire aux pentests comme ceux de Qualys WAS, car un WAF mal configuré pourrait laisser passer certaines menaces même si les tests d'intrusion n'ont rien détectés.



Pour celles et ceux qui s'interrogent sur notre approche



Nous comprenons que notre démarche puisse interpeller certains. Notre objectif n'est pas de remettre en question votre professionalisme, mais plutôt d'apporter une évaluation objective et pragmatique de l'efficacité réelle de vos mécaniques de cyberdéfense applicative face aux menaces modernes.

Les solutions de protection applicative ne sont pas infaillibles, et il est essentiel de sortir d'une confiance aveugle dans les pare-feux applicatifs. Plutôt que de nous appuyer uniquement sur des certifications ou des modèles théoriques, nous préférons une approche basée sur la réalité du terrain : une analyse rigoureuse, des tests concrets et une veille constante sur les nouvelles techniques d'attaque.

Nous constatons une augmentation notable des vulnérabilités publiées (CVE), incluant un nombre croissant de 0-day activement exploités (vulnérabilités exploitées avant publication), mettant en lumière des vulnérabilités critiques que les WAF traditionnels peinent à contenir. Parallèlement, les écosystèmes E-Commerce, notamment PrestaShop, Magento et WooCommerce, sont de plus en plus pris pour cible par des attaquants motivés par des gains financiers immédiats. Les cybercriminels perfectionnent leurs techniques, et les failles non corrigées ou mal protégées deviennent des portes d'entrée.

Nous ne prétendons pas avoir la vérité absolue, mais nous savons qu'ignorer les limites des WAF expose les entreprises à des risques majeurs. Nous invitons donc tous les experts et confrères du domaine à considérer notre démarche comme une opportunité d'amélioration, et non comme une remise en cause systématique de leur travail.

Nous savons que nombre d'hébergeurs ont exclu de leurs périmètres la cybersécurité applicative, la considérant comme étant de la responsabilité de l'agence Web ou (souvent) du marchand.

Néanmoins, face à un risque systémique qui touche l'ensemble des acteurs du E-Commerce, il nous paraît essentiel que nous soutenions collectivement l'écosystème PHP. La montée en puissance des vulnérabilités, l'augmentation des attaques 0-day et la spécialisation croissante des cybercriminels nécessitent une prise de conscience et une collaboration active entre tous les intervenants.

Nous appelons donc les hébergeurs, infogéreurs, agences et marchands à ne pas voir la cybersécurité comme un fardeau isolé, mais comme une responsabilité partagée, essentielle à la pérennité de nos infrastructures et à la protection des données des utilisateurs.




Essayez-le dès maintenant !



Renforcez la sécurité de votre infrastructure en testant dès aujourd'hui votre WAF PrestaShop avec le Diagnostiqueur de WAF TOUCHWEB. Pour toute question ou pour une démonstration, contactez-nous !


Souhaitez-vous en discuter avec nous ? 02 42 00 00 24