# Comparaison WAF 2026 : Comment les attaques d'évasion par padding changent la donne
Les tests de Check Point ont révélé que la plupart des WAF sont vulnérables aux nouvelles attaques basées sur le padding, comme React2Shell. Seules deux solutions offrent une couverture complète, tandis que les autres manquent des menaces ou bloquent le trafic légitime.
Limites architecturales des WAF traditionnels
Les WAF traditionnels reposant sur l'analyse par signatures montrent des limites croissantes face aux malwares sophistiqués. Les tests de 2024-25 avaient déjà mis en lumière ce problème, mais en 2026, l'introduction de la technique d'évasion par padding a complètement changé les critères d'évaluation. Cette méthode permet aux attaquants de cacher du code malveillant dans d'énormes quantités de données « inutiles », contournant les tampons d'inspection standards de 8 à 128 Ko.
Métriques clés : Sécurité vs Détection
Lors du choix d'un WAF, deux paramètres critiques s'opposent souvent :
- Qualité de sécurité (Taux de vrais positifs) — la capacité à identifier et bloquer précisément les requêtes malveillantes.
- Qualité de détection (Taux de faux positifs) — la capacité à laisser passer le trafic légitime sans fausses alertes.
Un WAF idéal équilibre les deux. Pour une évaluation objective, nous utilisons la Précision équilibrée — la moyenne de ces deux métriques.
Résultats des tests pour les principaux WAF
En décembre 2025, Check Point a testé 13 configurations de WAF populaires, incluant des solutions de Microsoft Azure, AWS, Cloudflare, F5, Google, Fortinet et Imperva. Les tests ont utilisé :
- 1 040 242 requêtes HTTP légitimes provenant de 692 sites web réels.
- 74 284 combinaisons malveillantes issues de vecteurs d'attaque courants.
Résultats par précision équilibrée :
- open-appsec / CloudGuard WAF (profil critique) — 99,453 %
- open-appsec / CloudGuard WAF (profil par défaut) — 99,283 %
- F5 NGINX App Protect WAF — 94,071 %
Les cas extrêmes soulignent les déséquilibres :
- Imperva Cloud WAF offrait une excellente détection (0,009 % de faux positifs) mais manquait 88,03 % des menaces réelles.
- Microsoft Azure WAF bloquait 97,537 % des menaces mais générait 54,412 % de faux positifs, perturbant le fonctionnement des applications.
La menace des attaques d'évasion par padding et les trois comportements des WAF
L'introduction de datasets d'évasion par padding (utilisant CVE-2025-55182 dans React2Shell) a exposé des différences architecturales fondamentales. Les charges utiles massives cachées dans des données inutiles testent non seulement les bases de signatures, mais aussi les mécanismes de traitement des requêtes. Les tests ont révélé trois comportements :
- Fail Open — Le WAF n'inspecte qu'une partie de la requête (ex. : premiers 128 Ko), manque la menace et laisse passer l'ensemble. Résultat : Vulnérable aux zero-days.
- Fail Close — Le WAF voit que la requête dépasse son tampon et la bloque entièrement. Résultat : Nombreux faux positifs, bloquant les requêtes légitimes volumineuses (JSON, uploads de fichiers).
- Couverture complète — Le WAF analyse l'intégralité du corps de la requête quel que soit sa taille, détectant les menaces cachées sans bloquer le trafic légitime. Résultat : Protection optimale.
Comparaison du comportement des WAF face aux attaques d'évasion par padding
| WAF | Comportement sur les grandes requêtes | Résultat | Statut |
| :--- | :--- | :--- | :--- |
| open-appsec / CloudGuard WAF | Couverture complète | Protégé | ✅ |
| Google Cloud Armor | Couverture complète | Protégé | ✅ |
| Microsoft Azure WAF | Fail Close | Bloque les requêtes légitimes | ❌ |
| AWS WAF (Règles gérées & F5) | Fail Close | Bloque les requêtes légitimes | ❌ |
| Cloudflare WAF | Fail Open | Vulnérable à l'évasion par padding | ❌ |
| F5 NGINX AppProtect | Fail Open | Vulnérable à l'évasion par padding | ❌ |
| F5 BIG-IP Advanced WAF | Fail Open | Vulnérable à l'évasion par padding | ❌ |
| Fortinet FortiAppSec | Fail Open | Vulnérable à l'évasion par padding | ❌ |
Seuls open-appsec/CloudGuard et Google Cloud Armor atteignent la couverture complète. La plupart, y compris Cloudflare, F5 et Fortinet, adoptent Fail Open, exposant les applications. AWS et Azure choisissent Fail Close, sacrifiant l'utilisabilité pour la sécurité.
Évolution des outils de test et anomalies
Les outils de test ont évolué vers une plateforme complète avec rapports PDF, visualisations de résultats et exemples de logs. Le support Docker permet des vérifications rapides. Mais les tests ont révélé une anomalie : Imperva Cloud WAF bloquait 100 % du trafic de l'outil de test, y compris les requêtes légitimes — signe d'heuristiques agressives ciblant les outils d'audit eux-mêmes.
Enseignements clés
- Les attaques d'évasion par padding sont le nouveau standard — Les WAF doivent gérer toute taille de requête pour contrer des menaces comme React2Shell.
- L'équilibre des métriques est essentiel — Choisir un WAF uniquement sur la sécurité ou la détection risque des vulnérabilités ou des interruptions.
- L'architecture détermine les résultats — Seule l'analyse en streaming avec IA offre une couverture complète sans impact sur les performances.
- La configuration compte — Tester les produits en différents modes (ex. : open-appsec) montre que les réglages influencent fortement la précision équilibrée.
- Les outils de test sont plus avancés — Les plateformes modernes fournissent des rapports détaillés pour un choix et un réglage intelligents des WAF.
— Editorial Team
Aucun commentaire pour le moment.