NAXSI est un pare-feu applicatif open-source développé par Thibault « bui » Koechlin, RSSI de NBS System, et son équipe. Ce module NGINX, utilisé par NBS System, sécurise profondément les sites web, notamment contre les attaques de type XSS et SQL injection.

Dans l’esprit open-source, et pour une amélioration continue de l’outil, un questionnaire de feedback est disponible sur la page Github de NAXSI. Découvrez aujourd’hui un bilan des retours reçus par le biais de ce questionnaire.

Dans quel cadre est utilisé NAXSI ?

264 réponses ont été reçues depuis la mise en ligne du questionnaire, depuis mars 2012. Parmi ces répondants, au moment de leur réponse :

  • 31% testaient l’outil
  • 49% utilisaient NAXSI dans un environnement de pré-production
  • 20% l’utilisaient en production

La taille des sites gérés par les répondants est également relativement variable, comme indiqué dans le tableau ci-dessous :

Répartition fréquentation des sites par environnement

La majorité des répondants (63%) s’occupent de sites enregistrant mois de 5000 visiteurs par mois. Pour les plus nombreux (37% du total), il s’agit de sites avec moins de 100 visites par mois.

On peut cependant remarquer que 42% des répondants utilisant NAXSI en pré-production gèrent des sites accueillant plusieurs centaines de visiteurs par jour ou plus ! C’est d’ailleurs en test et en pré-production que NAXSI est le plus utilisé pour les sites générant le plus de trafic.

Cependant, étant donné les bons commentaires laissés par les répondants, il est fort à parier que nombre d’entre ceux qui testaient NAXSI ou l’utilisaient en pré-production au moment de leur réponse ont fini par l’intégrer dans leur environnement de production ! Si vous êtes dans ce cas, n’hésitez pas à nous faire savoir ce qui vous a décidé…

NAXSI : pourquoi l’utiliser ?

Le questionnaire contenait une question interrogeant les répondants sur la raison principale pour laquelle ils utilisent NAXSI.

Voici leurs réponses :

  • 34% : parce que je suis paranoïaque
  • 29% : parce qu’avoir confiance n’exclut pas un contrôle !
  • 20% : parce que je sais que mon site contient des vulnérabilités
  • 17% : autre

Parmi ces répondants ayant choisi l’option « autre », certains ont apporté des précisions via les commentaires :

  • 18% : demande ou obligation de la part de l’entreprise, d’un partenaire, d’un client…
  • 16% : test de l’outil
  • 16% : apport d’une couche de sécurité complémentaire
  • 13 %: comparaison avec ModSecurity
  • 11% : recherche d’outils après avoir subi une attaque

Certaines de ces réponses soulèvent des points intéressants. On peut en effet regrouper ces réponses en plusieurs grandes motivations :

bleu - couche de sécu65% des répoRépartition causes utilisation NAXSIndants cherchent simplement à assurer leur sécurité au maximum

vert - vulnérabilité21% savent que leur site contient des vulnérabilités ou ont subi une attaque

jaune - test6% sont en phase de test ou de comparaison d’outils de protection

orange - obligation3% utilisent NAXSI par obligation

gris - pas de réponse5% n’ont pas répondu (autre / sans commentaire)

En effet, en tant que pare-feu applicatif, NAXSI a cette caractéristique de venir se superposer aux couches de protections déjà présentes sur une infrastructure. Que l’on sache si son site est vulnérable ou non, il apporte une sécurité supplémentaire permettant d’assurer la sécurité de son site contre les principales attaques web, à la manière d’un bouclier.

Quelles améliorations sont à apporter à NAXSI ?

icone documentationDans un souci d’amélioration continue, le questionnaire demandait également aux utilisateurs de NAXSI de remonter d’éventuels problèmes, remarques ou points d’amélioration. Beaucoup de ces réponses concernaient des particularités liées au site ou à l’environnement dans lequel le répondant utilisait ou testait NAXSI.

Cependant, une remarque sort du lot : 29% des répondants demandent une meilleure documentation. Il est vrai qu’il n’est pas toujours simple d’intégrer un nouvel outil ! Il ne faut pas oublier cependant que NAXSI est open-source : ses créateurs, bien qu’investis et y apportant des améliorations régulièrement, s’occupent également d’autres projets.

Nous comptons donc sur votre participation ! Le wiki de NAXSI est en édition libre pour tout le monde : n’hésitez donc pas à compléter la documentation de l’outil, et ainsi à apporter votre pierre à l’édifice !

Que pensent les utilisateurs de NAXSI ?

Pouce vertLes réponses suivantes sont traduites de l’anglais.

« J’ai une équipe de plus de 10 développeurs web, et auditer chaque code avant le Go Live serait idéal, mais nous n’avons pas assez de main d’œuvre. Je ne vois aucune raison de retirer NAXSI. »

« NAXSI est fantastique. L’augmentation du temps de réponse est négligeable, quand il y en a. »

« Avec NAXSI, l’application ne tombe pas et je peux dormir plus sereinement ! […] Il fait exactement ce qu’il est censé faire, et il le fait extrêmement bien. »

« J’adore les grenouilles. Elles sont tellement mignonnes et gentilles. Elles devraient être vénérées par tout le monde. »

« Je suis pentesteur, j’ai rencontré NAXSI plusieurs fois, et la plupart du temps, j’ai perdu. »

« L’idée derrière le produit relève du génie 🙂 »

« C’est bien trop facile à utiliser, comment puis-je justifier mon travail avec un outil pareil ? »

«  BOOON TRAVAIL !!! »

Bien entendu, nous n’avons relevé ici que quelques-uns des commentaires qui nous ont été laissés… tous positifs ! Une grande victoire pour NAXSI et pour la sécurité du web en général.

Rendez-vous sur le github de NAXSI !

Lucie Saunois
Lucie Saunois
Passionnée d'informatique, en particulier de sécurité, depuis qu'elle a rejoint l'OT Group en 2015, Lucie se spécialise dans la vulgarisation technique pour permettre à tous d'appréhender ces sujets parfois complexes.