Montréal

Welcome & Bienvenue to the OWASP Montréal chapter


The OWASP Foundation was established in 2001 as an open community and software security resource. Since then, OWASP has grown to be globally recognized as a credible source for application security standards. OWASP is an open community dedicated to enabling organizations to conceive, develop, acquire, operate, and maintain applications that can be trusted. All of the OWASP tools, documents, forums, and chapters are free and open to anyone interested in improving application security. We advocate approaching application security as a people, process, and technology problem because the most effective approaches to application security include improvements in all of these areas. OWASP is open to anyone. Anyone can attend OWASP's vendor agnostic local chapter meetings, participate in regional and global conferences, and contribute to the many OWASP projects. And anyone can start a new project, form a new chapter, or lend their expertise to help an OWASP Global Committee. '''On parle français aussi ! Le chapitre de Montréal organise plusieurs activités gratuites afin de partager les connaissances en sécurité applicative avec la communauté de développeurs et gestionnaires. Suivez-nous sur les réseaux sociaux pour connaître les dates des conférences du midi et des workshops !'''

Top documentation from OWASP includes:


 * OWASP TOP 10 : The Ten Most Critical Web Application Security Risks


 * OWASP ASVS : Application Security Verification Standard


 * OWASP Testing Guide : Penetration Testing Framework


 * OWASP Code Review Guide : Source Code Analysis Framework


 * OWASP Cheat Sheet : Best practices guidelines for developers


 * OWASP Global

Chapter Leaders / Responsables du chapitre
Special thanks to / Remerciements :
 * [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
 * [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
 * [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
 * [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique
 * Simon Lacasse, Web content / Site internet

Reach our chapter / Joindre le chapitre
Follow OWASP's Montreal chapter's activities through social medias, register to events, watch the previous presentations and more!

Suivez les activités du chapitre OWASP Montréal via les réseaux sociaux, inscrivez-vous aux activités, visualisez les anciennes présentations et plus encore!







Sponsorship & Membership / Commandite & Adhésion
to this chapter or become a local chapter supporter.

Or consider the value of Individual, Corporate, or Academic Supporter membership. Ready to become a member?

Donnez au chapitre ou devenez commanditaire du chapitre local!

Devenez membre ! Pour en savoir davantage sur les avantages d’une adhésion individuelle, corporative ou en tant qu’institution d’enseignement, cliquez ici.

Chapter Supporters / Commanditaires du chapitre
All details available here / Pour tous les détails

Gold / Or


= OWASP Foundation / Mission OWASP   = OWASP Foundation (Overview Slides) is a professional association of global members and is open to anyone interested in learning more about software security. Local chapters are run independently and guided by the Chapter_Leader_Handbook. As a 501(c)(3) non-profit professional association your support and sponsorship of any meeting venue and/or refreshments is tax-deductible. Financial contributions should only be made online using the authorized online chapter donation button. To be a SPEAKER at ANY OWASP Chapter in the world simply review the speaker agreement and then contact the local chapter leader with details of what OWASP PROJECT, independent research or related software security topic you would like to present on.

La fondation OWASP est une association de professionnels et elle est ouverte à tout intervenant intéressé à en apprendre davantage sur la sécurité applicative. Les chapitres locaux (dont celui de Montréal) sont gérés de façon indépendante et selon un manuel de directives à respecter. Toute contribution financière au chapitre peut être faite en ligne en utilisant l’icône prévu à cet effet. Pour être conférencier au sein de n’importe quel chapitre à l’échelle mondiale, vous n’avez qu’à prendre connaissance du document "entente avec les conférenciers – speaker agreement" et à joindre le responsable du chapitre Montréal avec un descriptif du sujet que vous aimeriez aborder et s’il est relié à un projet OWASP, à de la recherche indépendante ou encore le sujet en particulier, concernant la sécurité applicative, que vous souhaitez aborder.

[[Image:Circle_owasp_logo_nowhitebackground.png|128px]] Montreal OWASP Team
Scope of the team is to discuss and plan local activities and meetings

Chapter Leaders

 * [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
 * [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
 * [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
 * [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique
 * [mailto:marius.popescu{at}owasp.org Marius Popescu], Photos and events support manager/Photos et Support aux évènements

Chapter leader history

 * 2008-2010 - Benoit Guerette, founder and chapter leader
 * 2011-2012 - Philippe Gamache, chapter leader (vice chapter-leader since 2010)
 * 2013-2015 - Jonathan Marcil, chapter leader
 * 2016-... - Anne Gauthier, Michel Bourque, Marius Popescu, Hugo Genesse, Olivier Arteau

Old board members

 * Philippe Pépos Petitclerc
 * Michael Robillard
 * Benoit Guerette (logistics 2015)
 * Alexandre Rimthong
 * Mathieu Binette
 * Sean Coates
 * Jean-Marc Robert
 * Philippe Blondin
 * Benoit Guerette (founder)
 * Laurent Desaulniers

= Lunch & Learn / Midi conférence 2016-2017 =

Logiciel de rançon (Ransomware) s'attaque au domaine de la santé


Unfortunately, the presentation is not available / Vidéo non disponible See the slides / Voir la présentation

(Conférence en anglais) Pour le lancement de la saison 2016 - 2017, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de la santé une incursion dans le monde du logiciel malveillant ciblant le domaine de la santé. Cette conférence s'intége dans le Coopérathon co-organisé par le Mouvement Desjardins et Hacking Health. Le domaine de la santé serait devenu une cible privilégiée des campagnes de ransomware parce que l'industrie a souvent payé la rançon demandée pour récupérer les données confidentielles et vitales de ses clients. Monsieur Ed Gershfang nous brossera un portrait du phénomène et des meilleures pratiques à mettre en place en matière de sécurité applicative. Ed Gershfang possède une expérience solide dans l'infrastructure informatique et plus de 6 ans d'expérience dans les domaines de la sécurité de l'information, de la vulnérabilité, de la gouvernance et de la gestion des risques. Il était directeur de la sécurité pour la société PeriGen, un chef de file de développement de logiciels médicaux en Israël.

= Lunch & Learn / Midi conférence 2015-2016 =

La sécurité applicative vue par un pentesteur
From Left to Right : Isabelle Lusseyran, Head of Development at Hacking Health. Eduard Gershfang Information Security Analyst at WSP | Parsons Brinckerhoff.

@Photo : Marius Popescu Unfortunately, the presentation is not available / Vidéo non disponible See the slides / Voir la présentation Pour clore la saison 2015 – 2016, OWASP Montréal est fier d’accueillir au Midi Conférence un des architectes de renom du développement applicatif au Canada, monsieur Mario Contestabile. En tant qu’auteur de plusieurs centaines de tests d’intrusion, il connait tous les rouages de ce qu’est véritablement une application Web «sécurisée». Mais avez-vous déjà remarqué que les rapports de tests d’intrusion mentionnent rarement, voir jamais : «Votre site est très difficile à pirater. Félicitations !» ? Et qu’en est-il de ces rapports qui contiennent des dizaines de soi-disant vulnérabilités ? Est-ce que cela signifie d’emblée que l’application devrait être mise hors ligne ? Lors de cette conférence, nous examinerons des rapports concrets (ambigus) de vulnérabilités et nous les analyserons afin de mieux comprendre si elles représentent une véritable menace, ou si elles ne servent qu’à «remplir» les rapports. Avec son expertise en protection et en attaque d’applications Web, il abordera les points suivants : Comment pouvez-vous sélectionner des systèmes de façon à mieux exécuter des protections de sécurité ? Éviter certains pièges dans votre application Web qui rendent les attaques plus faciles et la protection plus difficile. De nos jours, que peuvent faire les développeurs à l’intérieur de systèmes communs, qui puisse me rendre la tâche plus ardue en tant que « hacker »? Pouvons-nous exiger de meilleurs rapports de la part des firmes de sécurité? À quoi devrions-nous nous attendre de la part d’un « pentesters »? Comment pouvons-nous savoir si le « pentester » a vérifié les failles de l’application et qu’il n’a pas simplement utilisé un scanneur? Et enfin, comment pouvons-nous aider les « ethical hackers » à obtenir un meilleur rendement lors d’un test d’intrusion? Il expliquera le sujet en détails, et ensemble, nous verrons de quelles façons les développeurs d’applications peuvent exploiter le savoir-faire des « pentesters », et comment nous pouvons faire en sorte qu’une application Web soit protégée. Biographie : Mario Contestabile est reconnu comme l’un des experts en sécurité les plus réputés au Canada. Son expertise, construire et protéger votre plateforme applicative. Ancien développeur C++ et Java, Mario partage ses nombreuses connaissances en « ethical hacking » et en développement de codes sécurisé. WHEN Tuesday, 14 June 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar WHERE Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest, Montreal, Quebec

Comment protéger les applications mobiles?


@Photo : Marius Popescu Unfortunately, the presentation is not available / Vidéo non disponible See the slides / Voir la présentation Dans le cadre des Midis Conférence à l'Espace Desjardins, l'équipe OWASP Montréal vous invite à assister à une présentation sur les vulnérabilités les plus communes associées aux appareils mobiles. Marie-Claire Willig détaillera entre autres comment stocker de façon sécuritaire les données de l’application mobile ainsi que protéger l’application contre des attaques externes. Des outils simples vous seront dévoilés pour détecter ces vulnérabilités. Marie-Claire est une professionnelle d'expérience en sécurité appliquée. Une grande partie de son intérêt professionnel réside actuellement dans un domaine assez niche, soit la revue de code sécuritaire, un fondement important de tout cycle de développement sécuritaire en entreprise. Au sein de l'équipe de sécurité technologique Desjardins, elle est, en autre, responsable de former les développeurs (Java et .NET principalement) afin de les sensibiliser aux meilleures pratiques de développement sécuritaire. Également, elle est une professionnelle des tests d'intrusion sur les applications web, les applications mobiles ainsi que l'infrastructure réseau. Bienvenue à tous WHEN Wednesday, 20 April 2016 from 12:15 PM to 1:00 PM (EDT) - Add to Calendar WHERE Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest, Montreal, Quebec

NorthSec, Le plus gros événement de cybersécurité appliquée au Canada


@Photo : Marius Popescu Watch the conference / Regarder la conférence Slides are not available / Présentation non disponible OWASP Montréal est fier d’inviter au Midi Conférence de mars, NorthSec est le plus gros événement de sécurité appliquée au Canada qui comprend deux jours de formation, deux jours de conférences ainsi qu’une compétition du genre « capture the flag » (CTF) de trois jours. Gabriel Tremblay, Benoit Guerette, Pierre-David Oriol et Laurent Desaulniers viendront vous parler de cet organisme sans but lucratif dynamique qui est géré par une équipe de bénévoles passionnés qui donnent à chaque année leur énergie et leur temps pour soutenir la communauté de la sécurité de l’information. Le volet compétition, l’épreuve maîtresse, est présentée sous forme d’un scénario qui rend cohérent une centaine de défis techniques. Les équipes de participants attaquent l’infrastructure de compétition pour soutirer des drapeaux (flags) à travers un ensemble de vulnérabilités présentes comme de l’injection SQL, des XSS ou encore l’exploitation d’exécutables sur systèmes embarqués. Quelques exemples de défis des années passées seront également présentés. Le volet conférence, qui est à sa 2ème année, met de l’avant plusieurs présentations techniques touchant la sécurité applicative mais aussi l’éthique et leurs impacts sociaux. Certaines présentations confirmées seront dévoilés. Le tout nouveau volet formation propose deux formations en sécurité applicative de calibre international (anglais) : “Advanced Web Security Testing with Burp Pro” et “Modern Object-Oriented Malware Reverse Engineering”. Venez aussi, découvrir comment l'équipe est partie d'une idée en 2012 pour se rendre à un évènement d'envergure, qui rassemblera plus de 600 professionnels, étudiants et autres passionnés de sécurité appliquée lors de la 4ème édition qui aura lieu du 17 au 22 mai 2016 au Marché Bonsecours. Finalement, la mission, la vision ainsi que les activités sociales de la semaine de NorthSec sont aussi au menu de cette présentation qui sera suivie d’une période de questions.

Gabriel Tremblay, Delve Labs, Président Benoit Guerette, Desjardins, VP Finances

Pierre-David Oriol, Delve Labs, VP Conférence Laurent Desaulniers, Bell Canada, Artisant de drapeaux WHEN Wednesday, 23 March 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar WHERE Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest, Montreal, Quebec

La sécurité applicative et l'hameçonnage - February 24th


@Photo : Marius Popescu Watch the conference / Regarder la conférence Slides are not available / Présentation non disponible

De nos jours, une des méthodes les plus efficaces pour contourner les périmètres de sécurité externes est l'hameçonnage conjointement avec l’abus de certaines technologies Web.

Dans le cadre ses activités, OWASP Montréal est heureux d'inviter d'accueillir, l'équipe OKIOK qui présentera les impacts liés à ce type d'attaque, tel que vu et expérimenté en entreprise ainsi que les plans d'action pour traiter ces risques. La présentation abordera aussi bien la sécurité web et applicatives, des systèmes informatiques ainsi que de la sécurité physique de centres de données.

Capture d'informations sensibles par imitations de portails Web ; Authentification Web par 2-facteurs ; Injection SMTP dans des formulaires Web ; Attaque de type “Drive-by-download”; Prise de contrôle à distance à travers des flux HTTP; Attaque de CSRF à partir de courriels ; Attaque d'hameçonnage basée sur des achats par Internet (ex : PayPal). When Wednesday, 24 February 2016 from 12:00 PM to 1:15 PM (EST) - Add to Calendar Where Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest Montreal, Quebec CA

Internet of {Things, Threats} - January 20th


@Photo : Marius Popescu Unfortunately, the presentation is not available / Vidéo non disponible See the slides / Voir la présentation De plus en plus de périphériques se retrouvent connectés sur Internet. Sous la bannière "Internet of Things" (IoT) ces équipements, que ce soit une pompe à insuline ou un système de caméra de sécurité, tournent généralement sous un système GNU/Linux embarqué d'architecture MIPS ou ARM. La difficulté de mettre à jour ces équipements ainsi que le peu d'effort mis dans la sécurité des systèmes ou la sécurité applicative en font des cibles de choix. Ces derniers mois, nous avons analysé plusieurs logiciels malveillants ciblant ces architectures. Que ce soit par l'exploitation d'une vulnérabilité (Shellshock) ou encore un défaut de configuration, ces systèmes exposés sur Internet peuvent être compromis.

Notre présentation couvrira quelques une de ces analyses:


 * Linux/Moose, un malware se propageant automatiquement qui fraude les réseaux sociaux (par exemple Facebook, Twitter et YouTube)
 * LizardSquad et acteurs étrangers qui utilisent des systèmes embarqués compromis pour réaliser des dénis de service distribué (DDoS)
 * Win32/RBrute est un logiciel malveillant qui tente de changer les paramètres de routeurs dans le but de faire du "DNS poisoning". Il a été distribué par le populaire botnet Sality.
 * Un kit d'exploits qui utilise seulement le navigateur de leur victime avec le même objectif, c'est-à-dire faire du "DNS poisoning".

Enfin, des conseils seront proposés à l'audience pour l'aider à se protéger de ces menaces.

Thomas Dupuy (twitter: @nyx__o)

Thomas est chercheur en logiciel malveillant chez ESET Canada Recherche. Bon vivant, Thomas déjeune en "reversant" des binaires, contribue à quelques projets open source durant le diner (yara, yara rules, pefile, APTnotes) et la nuit participe à des "Hacking Games" (Capture The Flag). Curieux de nature Thomas analyse des malware aux architectures "exotiques".

Olivier Bilodeau (twitter: @obilodeau)

Olivier Bilodeau is the head of Cybersecurity Research at GoSecure a consultancy firm specializing in cybersecurity services for the public and private sector. With more than 10 years of infosec experience, Olivier worked on Unix servers at Bell Canada, managed a portion of Air Canada's network, wrote open source network access control software at Inverse and worked as a Malware Researcher at ESET. He likes to reverse engineer everything that crosses his path, participate in information security capture-the-flag competitions, hack open source code and brew beer. He has spoken at various conferences (Defcon, Botconf, VirusBulletin, Derbycon, ...), used to lecture on information security at ETS University in Montreal, drives the NorthSec Hacker Jeopardy and co-organizes the MontreHack capture-the-flag training initiative. His primary research interests include reverse-engineering tools, Linux and/or embedded malware and honeypots.

Survivre aux attaques DDOS applicatives


@Photo : Marius Popescu Unfortunately, the presentation is not available / Vidéo non disponible Slides are not available / Présentation non disponible Survivre aux attaques DDOS (Distributed Denial-Of-Service) applicatives. Cette conférence s'adresse aux professionnels et gestionnaires des TI. Conférencier : Christian Shink, ing., CSSLP, ingénieur système chez Radware, manufacturier spécialisé dans la prévention des attaques DDOS. Il fut également consultant en sécurité applicative chez In Fidem. Objectifs de la conférence: Présenter les tendances actuelles en matière d'attaques DDOS applicatives. Renseigner les participants sur les techniques et stratégies pour contrer ces attaques illustrées à partir de cas vécus. Démystifier certains mythes en ce qui concernent les façons efficaces de protéger les applications contre des attaques DDOS. Date : 16 décembre 2015 Heure : 11h45 La conférence débute à 12h00 et se termine à 12:55. Un lunch sera servi. Réservez maintenant! 1 CPE WHEN Wednesday, 16 December 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar WHERE Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest, Montreal, Quebec

Sécurité des applications - Systèmes de contrôles industriels


@Photo : Marius Popescu Watch the conference / Regarder la conférence Slides are not available / Présentation non disponible

La sécurité des applications et les systèmes de contrôles industriels. Cette conférence s'adresse aux professionnels et gestionnaires des TI desinfrastructures critiques qui exploitent ou gèrent des systèmes de contrôles industriels(SCI) et SCADA (surveillance et d'acquisition de données). Conférenciers : Robert Nastas, CSSA. Gestionnaire de projet et Youssef Jad, Architecte Cyber sécurité, ICS-CERT Objectifs de la conférence: L'équipe OWASP Montréal vous remercie d'avoir assisté en grand nombre à la conférence, 'La sécurité des applications et les systèmes de contrôles industriels'. WHEN Wednesday, 18 November 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar WHERE Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest, Montreal, Quebec
 * Démystifier le domaine d'affaires.
 * Renseigner les participants sur les bonnes pratiques de sécurité desapplications liées au secteur industriel.
 * Proposer aux professionnels et gestionnaires des TI responsables dessystèmes SCADA et SCI des pistes de solutions aux enjeux de sécurité.

Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative


@Photo : Marius Popescu Unfortunately, the presentation is not available / Vidéo non disponible See the slides / Voir la présentation Pour le lancement des activités corporatives de la saison 2015 - 2016, le 8 septembre prochain à 12:00, l'équipe OWASP Montréal convie les gestionnaires et artisants de la sécurité des TIC à venir entendre monsieur Éric Hébert qui nous présentera son interprétation des préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative. L'événement se tiendra au complexe Desjardins à la salle "Espace Desjardins".

 ÉRIC G. HÉBERT, CISM, CISSP  Après plus de 20 ans passés dans le domaine de la sécurité des technologies de l’information, Éric se spécialise dans la mise en œuvre et la gestion d'équipes performantes, capables de relever les plus hauts défis de la cybersécurité moderne. Capable de dialoguer avec les hauts dirigeants, il sait traduire et vulgariser les enjeux techniques complexes tout en respectant la nature et l'appétence au risque de ses clients. Dynamique et pourvu d'une expérience couvrant presque toutes les sphères de la SI, il fonce dans le respect de la culture établie tout en implantant des solutions pragmatiques et efficaces. Depuis plus de 10 ans, il gravite principalement autour des entreprises du domaine financier (BNC, Desjardins, Fonds de solidarité FTQ...) et les accompagne dans la mise en place de solutions efficaces tenant compte à la fois des risques et des budgets. En plus d’avoir fondé de nombreuses associations telles que le RéseauSécurIT et le RPSI, il maintient une présence régulière auprès des milieux associatifs professionnels et partage régulièrement ses expériences lors de conférences et d'entrevues avec divers médias.

= Events / Évènements =

OWASP Montreal at OWASP AppSec USA 2016, Washington


​From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016, Alexandre Hamelin President at Synlabs Consulting Inc., Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of Find Security Bugs and Roslyn Security Guard tool which will be presented at Blackhat 2016.

OWASP Montréal at GoSec 2016
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Simon Lacasse, student and volunteer, and Laurent Desaulniers, Security Analyst at Bell Canada.

OWASP Montréal at NorthSec 2016 – Annual Applied Security Event


@Photo : Simon Veilleux From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Olivier Arteau OWASP Montréal Chapter Leader and Conseiller chez Groupe Technologie Desjardins, Hugo Genesse, OWASP Montréal Chapter Leader and Vulnerability Research Intern at Wurldtech Security Technologies.

OWASP Montréal at Hackfest 2015


@Photo : Hackfest From left to right : Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of Find Security Bugs and Roslyn Security Guard tool which will be presented at Blackhat 2016.

Watch the video / Regarder la vidéo

OWASP Montréal at GoSec 2015 – The Annual Cybersecurity Conference presented by GoSecure, EY and ISACA.


@Photo : Marius Popescu From left to right : Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016. Benoît Guérette, Application Security Team Leader at Desjardins, VP Finance at NorthSec and OWASP Montreal Chapter Founder and Former Chapter Leader.

See also / Voir aussi
OWASP Montréal recommends Montréhack. Learn and share knowledge on IT security by solving technical challenges. Third Monday of every month.

OWASP Montréal recommende Montréhack. Apprends et partages des connaissances sur la sécurité informatique en travaillant des problèmes appliqués. Chaque troisième lundi du mois.



= Archives 2007-2015 =

OWASP Montreal - February 3rd - Getting to Know the Software Assurance Marketplace (SWAMP)
Watch the conference / Regarder la conférence See the slides / Voir la présentation


 * MAIN PRESENTER: Pat Beyer
 * ADDITIONAL PRESENTER: Abe Megahed
 * ABSTRACT: The Software Assurance Marketplace (SWAMP) is an open facility that is designed, built, and operated by four research institutions. The SWAMP provides no-cost access to an array of open-source and commercial software analysis tools. This presentation will provide an overview and demo of the SWAMP, including our goals, intended audience, current capabilities, and future plans. We will cover our relationship with OWASP, incorporation of open-source software assurance tools, and status as an open-source project and resource available to the software community. Visit https://continuousassurance.org/ to learn more about us.
 * BIO: Pat Beyer serves as the Product Manager for the Software Assurance Marketplace (SWAMP). With over 25 years of experience successfully managing multi-million dollar global projects, Beyer’s expertise extends to the IT, construction, and operations sectors, with a specialization in managing government contracts and grants. A gifted communicator, Beyer is a sought after speaker due to his ability to deliver complex information about technology products and services in a way that is easily understood. He is a decorated combat veteran of the Global War on Terror, the international military campaign that started following the 9/11 terrorist attacks on the United States. In 2004, he constructed and rehabilitated over 20 schools, clinics, and water treatment plants for the Iraqi people using local contractors. Beyer also holds a Bachelor of Science, a Masters in Business Administration, a Ph.D. in Organization and Management, and a Project Management Professional (PMP) certification.
 * BIO: Abe Megahed is a web developer for the Software Assurance Marketplace. In previous lifetimes, he has been a computer graphics researcher, a game programmer, a programming language and compiler nerd, a dot com company founder, a creator of helicopter simulations, and a developer of 3D simulations for NASA astronaut crew training.
 * WHEN: Tuesday, February 3rd 2015
 * WHERE: Room PK-1140 - UQAM Pavillon Président-Kennedy, 201 Avenue du Président-Kennedy J2X 3Y7
 * REGISTRATION: https://owaspmtlswamp2015.eventbrite.ca
 * WEBCAST: https://www.youtube.com/watch?v=p4_vjufcB6Q
 * SLIDES: https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer


 * ACADEMIC PARTNER: AGEEI-UQAM - http://www.ageei.org/
 * PROGRAM:

18:00-18:25 Networking 18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil) 18:30-20:00 Main session: Getting to Know the Software Assurance Marketplace 20:00-...  End of the meeting



OWASP Montréal - 4 décembre - Malware côté serveur — évolution, méthodes d’opération et forensic Linux
Watch the conference / Regarder la conférence See the slides / Voir la présentation


 * PRÉSENTATEUR PRINCIPAL: Marc-Etienne M.Léveillé
 * RÉSUMÉ: Les logiciels malveillants ciblant les serveurs ont évolué. Ils sont utilisés par des groupes de cybercriminels organisés dans le but de faire du profit via des redirections web et l’envoie de pourriels. La présentation portera sur Opération Windigo, une opération malveillante qui a affecté plus de 25 000 serveurs dans le monde. Après une brève description des composantes de Windigo, nous verrons comment les opérateurs déploient leurs logiciels malveillants et surveille leur réseau de serveurs infectés. Des trucs pratiques pour faire de la forensics sur des systèmes Linux seront donnés. Cette présentation est une suite à la présentation "Linux/Cdorked: Server side malware", donnée par Olivier Bilodeau à OWASP Montréal en 2013. La présentation sera en français avec des diapositives en anglais (aka Montreal-style).
 * BIO: Marc-Etienne est un chercheur en logiciel malveillant chez ESET depuis 2012. Il se spécialise dans les logiciels malveillants qui s’attaquent à des plateformes inhabituelles comme aux produits fruités et aux oiseaux nordiques. Dernièrement, il passe beaucoup de son temps à faire la rétro-ingénierie de logiciels malveillants sur des serveurs Linux et s’intéresse à leurs méthodes d’opération. Il adore participer de façon collégiale aux CTFs avec ses amis les CISSP Groupies et jouer de la clarinette. Il tweet très peu à @marc_etienne_.
 * QUAND: 4 décembre 2014 à 18h00
 * OÙ: Local M-1510, Polytechnique Montréal, 2900 Boulevard Edouard-Montpetit
 * INSCRIPTION: https://www.eventbrite.ca/e/owasp-montreal-4-decembre-malware-cote-serveur-evolution-methodes-doperation-et-forensic-linux-tickets-14635313617
 * ÉQUIPE ACADÉMIQUE: Polyhack - http://polyhack.org/
 * PROGRAMME:

18:00-18:30 Réseautage 18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.) 18:35-19:30 Présentation principale : Malware côté serveur 19:30-20:00 Période de questions



OWASP Montréal - October 23rd - XXE : À l’assaut des analyseurs XML
Watch the conference / Regarder la conférence See the slides / Voir la présentation


 * PRÉSENTATEUR PRINCIPAL: Philippe Arteau
 * RÉSUMÉ: L'utilisation d’XML est fortement répandue. Le format est utilisé pour des fichiers de configuration, pour des métadonnées, pour des documents textes, et bien plus. La prise en charge de fichiers XML n’est pas sans risque. La plupart des analyseurs XML ne sont pas sécuritaires par défaut pour le traitement de fichier externe. Cette présentation fera un survol des vulnérabilités de type « Xml eXternal Entity » et de l’étendue des risques pour différents langages de programmation. Plusieurs démonstrations sont prévues.
 * BIO: Philippe est conseiller en sécurité applicative pour le Groupe Technologies Desjardins. Au quotidien, il s’occupe d’effectuer des tests d’intrusions et des revues de code. Il a découvert des vulnérabilités importantes dans plusieurs logiciels populaires incluant Google Chrome, DropBox, ESAPI et Jira.
 * QUAND: 23 Octobre 2014 à 18h00
 * OÙ: École de Technologie Supérieure Local A-3230, 1100 Rue Notre-Dame Ouest, Montréal, QC H3C 1K3
 * INSCRIPTION: http://www.eventbrite.ca/e/owasp-montreal-23-octobre-xxe-a-lassaut-des-analyseurs-xml-tickets-13426881163
 * PARTENAIRE ACADÉMIQUE: ETS - DCI http://dciets.com/
 * PROGRAMME:

18:00-18:30 Réseautage 18:30-18:45 Mot de bienvenue 18:45-19:45 Présentation principale - "À l’assaut des analyseurs XML" Philippe Arteau 19:45-20:00 Période de questions



OWASP Montreal - July 24th - Web security for DevOps: the glory is in the headers
Watch the conference / Regarder la conférence See the slides / Voir la présentation


 * MAIN PRESENTER: Jonathan Marcil
 * ABSTRACT: DevOps is a buzzword which can be easily demystified: in essence it is a process which aims to combine the development and system administration process into one; Operations. As developers become responsible for server setup, security counter measures are evolving as well. The line between server configuration and application behaviour has been blurred. In this talk we will cover some HTTP headers in regards to security such as CORS, CSP and HSTS. We will demonstrate several forms of attack, and how they can (should) be countered.
 * BIO: Jonathan is devoted to security and specialized in Web application security. His main occupation is consulting in Web security, but deep down he is a developer with a agnostic vision of programming languages. He has a diploma in Software Engineering from Ecole de Technologie Superieure and more than 10 years of experience in Information Technology and Security.
 * WHEN: At noon on July 24th 2014
 * WHERE: 75 Queen Street, office 3100, Montreal, QC H3C 2N6
 * REGISTRATION: You can join us on site for a pizza slice but this is mainly an online event. Contact jonathan.marcil@owasp.org.
 * WEBCAST: https://www.youtube.com/watch?v=6bp1NCLT-YQ
 * SLIDES: https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil
 * EVENT SPONSOR: Pheromone http://www.pheromone.ca/
 * PROGRAM:

12:00-12:10 Welcome and quick OWASP introduction 12:10-13:10 Main presentation - "Web security for DevOps: the glory is in the headers" Jonathan Marcil 13:10-... Open discussion and questions



OWASP Montreal - June 18th - Gaps in the Clouds
Unfortunately, the presentation is not available / Vidéo non disponible See the slides / Voir la présentation


 * MAIN PRESENTER: Robert Fritz
 * ABSTRACT: Cloud technology offers agility and scaling, and a chance to break away from legacy IT choices. Unfortunately, skipping traditional IT activities often results in poorly patched systems, out of date firewalls, and overprovisioned entitlements wielded by admins whose “day job” is development.  Boundaries of accountability and responsibility amongst cloud providers and consumers are confusing, vague, and shift, making security difficult to manage.  In such an environment, a “BP-spill” event, where cost wins over safely safety, is likely.  This talk will dive down into the cracks between the layers of cloud, and share some of the exciting dirt we have seen and expect to see in coming years.”
 * BIO: Robert Fritz has been practicing security his entire career. Rob started as an Air Force lieutenant at Langley AFB and later at the Pentagon in Washington DC, building and managing classified networks. Finding he was getting too far from technology after a brief stint flying, he left the military to get back to the tech, and built security tools for HP in their HP-Unix lab. Over time he found himself in more and more security design discussions, so co-authored HP’s Commercial Application Threat Analysis Methodology, building an internal consulting practice at HP.  This quantitative approach, led to two pending patents, an external-facing consulting practice, and his contributions to NIST IR-7502, the Common Configuration Scoring System (CVSS follow-on).  He is the former lead editor for the Center for Internet Security’s HP-UX Benchmark, and current lead for the Android Benchmark.  Robert now works for Morgan Stanley as global head of the Strategic Consulting team in the Security Architecture group, and leads the team’s cloud and social-media security practices.
 * WHEN: June 18th 2014
 * WHERE: 700 Rue Wellington, Floor 2, Montreal, QC H3C 3S4
 * REGISTRATION: http://owaspmtl18junems.eventbrite.ca
 * SLIDES: https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz
 * EVENT SPONSOR: Morgan Stanley http://www.morganstanley.com/
 * PROGRAM:

18:00-18:30 Networking and Morgan Stanley Hosted Pizza and Soft Drinks 18:30-18:45 OWASP Chapter & Morgan Stanley Welcome 18:45-19:45 Main presentation - "Gaps in the Clouds" Robert Fritz 19:45-20:00 Open discussion and questions 20:00-...  Optional, informal networking at Aziatic - 626 rue Marguerite-d'Youville, Montréal, QC H3C 1W7



OWASP Montréal - May 26th - Récapitulatif des challenges NorthSec
Watch the conference / Regarder la conférence Slides are not available / Présentation non disponible


 * PRÉSENTATEUR PRINCIPAL: Laurent Desaulniers
 * RÉSUMÉ: Solutions de la compétition en sécurité NorthSec 2014 sur les sujets de XXE + SSRF, WAF Bypass, Xpath Injection, DOM Injection, HTTP Only Flag bypass et contournement de captchas. Une bonne façon d'apprendre sur ces failles que vous étiez ou non un participant de la compétition.
 * MESSAGE DU PRÉSENTATEUR: Vous voyez Rao dans votre soupe? Vous voulez une solution pour un XSS avec des cookies http only? Les captchas illisibles sont un problème? Assistez à la présentation de l'OWASP!
 * BIO: Laurent Desaulniers est un passionné de sécurité informatique. Il a présenté au Hackfest, au colloque RSI, à OWASP et est challenge designer à NorthSec. M. Desaulniers détient les certifications CISSP, CISM, CISA et OSCP.
 * QUAND: 26 mai à 18h00
 * OÙ: Local PK-1140 - Pavillon Président-Kennedy 201, Avenue du Président-Kennedy, J2X 3Y7
 * INSCRIPTION: https://www.eventbrite.ca/e/owasp-montreal-26-mai-recapitulatif-des-challenges-northsec-tickets-11724413035
 * WEBCAST: https://www.youtube.com/watch?v=P8_V3RI1Ru4
 * ÉQUIPE ACADÉMIQUE AGEEI-UQAM - http://www.ageei.org/
 * PROGRAMME:

18:00-18:30 Réseautage 18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.) 18:35-19:30 Présentation principale : Récapitulatif des challenges NorthSec 19:30-20:00 Période de questions



Networking with infosec communities - April 21st
Slides are not available / Présentation non disponible


 * RÉSUMÉ: En collaboration avec Montréhack, mtlsec et NorthSec, nous organisons une soirée réseautage dans un pub du centre-ville. Du plaisir garanti avec les membres de plusieurs communautés infosec de Montréal!


 * ABSTRACT: In collaboration with Montréhack, mtlsec and NorthSec, we are organizing a networking evening in a pub downtown. Fun guaranteed with the other security communities in Montreal!


 * QUAND: 21 Avril 2014
 * WHEN: April 21st 2014


 * OÙ/WHERE: BENELUX - Brasserie Artisanale 245 Sherbrooke St W Montreal, QC H2X 1X7


 * INSCRIPTION/REGISTRATION: https://www.eventbrite.ca/e/montrehack-avril-april-northsec-pre-party-tickets-11232307133

18:00-21:00 Networking 21:00-23:59 Remember to drink responsibly!
 * PARTENAIRES/PARTNERS: Montréhack http://montrehack.ca/ - mtlsec http://blog.mtlsec.com/ - NorthSec https://www.nsec.io/
 * PROGRAMME:

OWASP Montréal - March 27th - Panel Compétition en sécurité NorthSec
Unfortunately, the presentation is not available / Vidéo non disponible Slides are not available / Présentation non disponible

Présentation sous forme de panel - venez poser vos questions!

18:00-18:25 Networking 18:25-18:30 Mot de bienvenue par le leader du chapitre (Jonathan Marcil) 18:30-20:00 Présentation principale : Panel NorthSsec
 * RÉSUMÉ: Les compétitions de type Capture the Flag (CTF) sont un moyen pour les professionnels et amateurs de sécurité informatique de mettre leurs talents à l'épreuve. NorthSec est une compétition Montréalaise annuelle en sécurité appliquée, qui aura lieu cette année au Marché Bonsecours de Montréal le 25, 26 et 27 avril prochain. Elle vise à augmenter le niveau technique des professionnels de la sécurité au Québec, ainsi que de permettre à ses acteurs les plus talentueux de se démarquer.
 * DÉTAILS: Le panel de jeudi, sous la forme d'un échange convivial entre les organisateurs de l'évènement et de ses participants, abordera des thèmes variés comme l'écriture de bon défis, l'infrastructure, la logistique, les inattendus, un bilan de 2013 et tout ça en passant par de savoureuses annecdotes (on l'espère). Venez en grand nombre toucher à ces légendes de la scène infosec montréalaise!
 * PANÉLISTES: Gabriel Tremblay, François Proulx, Laurent Desaulniers, Stéphane Graber
 * ANIMATEUR: Olivier Bilodeau
 * QUAND: 27 mars 2014
 * OÙ: Salle M-1510, École Polytechnique de Montréal, 2500 chemin de Polytechnique, Montréal (Québec) H3T 1J4, pavillon Lassonde
 * INSCRIPTION: https://www.eventbrite.ca/e/owasp-montreal-27-mars-panel-competition-en-securite-northsec-tickets-10918436337
 * ÉQUIPE ACADÉMIQUE: Polytechnique - Polyhack http://polyhack.org/
 * PROGRAMME:



OWASP Montreal - February 25th - Proven Strategies for Web Application Security
Unfortunately, the presentation is not available / Vidéo non disponible See the slides / Voir la présentation


 * MAIN PRESENTER: Justin C. Klein Keane
 * ABSTRACT: The rising dominance of the web as an application delivery platform has focused attacker attention squarely on the security of dynamic web applications. Application security is a complex, and shifting, field. Learn about tested and successful techniques to build safer applications, find flaws before they become vulnerabilities, and deploy applications that can detect, and resist attack.
 * BIO: Justin C. Klein Keane is a security engineer and chapter leaders of OWASP in Philadelphia. For over a decade Justin has worked as a trainer, coder, and exploit developer. Justin is currently writing a book for NoStarch Press on hacking, speaks regularly at conferences, holds a masters degree in information technology from the University of Pennsylvania and is credited with hundreds of application vulnerability discoveries.
 * WHEN: February 25th 2014
 * WHERE: Ecole de technologie superieure, 1100 Notre-Dame Street West, Montreal, Room: A-1150
 * REGISTRATION: http://owaspmtljan2014.eventbrite.ca
 * SLIDES: https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane
 * ACADEMIC PARTNER: ETS - DCI http://dciets.com/
 * PROGRAM:

18:00-18:25 Networking 18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil) 18:30-20:00 Main session and open discussion: Proven Strategies for Web Application Security 20:00-...  End of the meeting in a pub



OWASP Montreal - January 28th - Latest trends in Mobile Security
Watch the conference / Regarder la conférence See the slides / Voir la présentation


 * MAIN PRESENTER: Francois Proulx
 * ABSTRACT: Last AppSecUSA 2013 had a great line up of talks, especially regarding mobile applications. This session will be covering all the hottest presentations about mobile security by doing an overview from what see saw at AppSecUSA, all with some slides and snippets of presentations that was recorded at the event. Discussion will be encouraged within the audience as this will be more a dynamic event than a regular talk.
 * BIO: François Proulx is a senior mobile application developer who has worked on dozens of iOS applications since the very beginning of the Apple iOS platform. Over the past few years he has switched his focus to security. He spends a lot of his free time participating in Capture the Flag events (CTFs) and organizing the NorthSec security competition.
 * WHEN: January 28th 2014
 * WHERE: UQAM Room PK-1705, Pavillon Président-Kennedy (the big boat at Place des Arts) - 201 Avenue du Président-Kennedy J2X 3Y7
 * REGISTRATION: http://owaspmtl-mobilesecurity.eventbrite.ca
 * SLIDES/CONTENT: YouTube playlist
 * SPONSOR: Academic partner AGEEI-UQAM - http://www.ageei.org/
 * PROGRAM:

18:00-18:25 Networking 18:25-18:30 Welcome speech by Chapter Leader (Jonathan M.) 18:30-20:00 Main session and open discussion: Mobile Security 20:00-...  End of the meeting in a pub



Presentations For Download
OWASP ASVS by Sebastien Gioria (09/03/2010)

Authentification Forte by Philippe Gamache (02/02/2010)

Software Assurance Maturity Model (OpenSAMM) by Pravir Chandra (03/11/2009)

Crossing the Border – Javascript Exploits by Justin Foster (17/09/2009)

A Laugh RIAt by Rafal Los (07/04/2009)

Microsoft Security Development Lifecycle for IT by Rob Labbe (24/02/2009)

OWASP Goal and Top Ten 2007 for Managers - French version by Benoit Guerette (24/02/2009)

Newer presentations are available on Speaker Deck