Montréal

Reach our chapter




You can also reach us on : Google Calendar iCal Facebook Page LinkedIn Group Google+ Page

= Next event =

OWASP Montréal - 7 novembre 2013 - Vulnérabilités liées au téléversement de fichiers
'''Attention! Présentation spéciale sur l'heure du midi'''

12h30-12h40 Accueil 12h40-12h45 Introduction 12h45-13h25 Présentation principale 13h25-13h35 Questions
 * PRÉSENTATEUR PRINCIPAL: Philippe Arteau
 * RÉSUMÉ: Le téléversement de fichiers fait partie intégrante des applications web modernes. Qu'il s'agisse d'images ou de documents, plusieurs risques guettent l'acceptation de fichiers provenant d'un utilisateur. Les attaques les plus communes seront présentées allant de simples "webshells" à des problèmes de configuration plus poussés liés au "same orgin policy".
 * BIO: Philippe est conseiller en sécurité applicative pour le Groupe Technologies Desjardins. Au quotidien, il s'occupe d'effectuer des tests d'intrusions et des revues de code pour des applications utilisées par Desjardins. Il a découvert des vulnérabilités importantes dans plusieurs logiciels populaires comme Google Chrome, DropBox, ESAPI et Jira.
 * QUAND: 7 novembre 2013 à 12h30
 * OÙ: École Polytechnique de Montréal, 2500 chemin de Polytechnique, Montréal (Québec) H3T 1J4, pavillon Lassonde, Salle : M-2204
 * INSCRIPTION: https://www.eventbrite.ca/event/8944847279
 * WEBCAST: Sera disponible en direct sur YouTube
 * ÉQUIPE ACADÉMIQUE: Polytechnique - Polyhack http://polyhack.org/
 * PROGRAMME:



OWASP Montréal - 11 novembre 2013 - ISO/IEC 27034 – Sécurité des applications
18:00-18:30 Réseautage 18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.) 18:35-19:30 Présentation principale : ISO/IEC 27034 – Sécurité des application 19:30-20:00 Discussion ouverte 20:00-...  Fin de la rencontre dans un pub
 * PRÉSENTATEUR PRINCIPAL: Luc Poulin
 * RÉSUMÉ: Cette nouvelle norme propose aux organisations de toutes tailles un modèle pour faciliter l’intégration de la sécurité tout au long du cycle de vie des applications. Ce modèle comprend des objets et des processus qui complètent ceux déjà en place dans l’organisation et s’insèrent dans les pratiques courantes de gouvernance, de gestion et d’opération, telles que le SGSI proposé par la norme ISO/CEI 27001, les processus ITIL et ISO/CEI 12207, les pratiques de sécurité OWASP et PCI-DSS, etc. La norme 27034 est destinée aux gestionnaires, équipes de réalisation et d’exploitation, clients et fournisseurs d’applications et auditeurs qui doivent concevoir, planifier, implanter, gérer et vérifier la sécurité des applications. La conformité à cette norme résulte en la diminution du risque par réduction des vulnérabilités des applications.
 * BIO: M. Poulin compte plus de trente années d'expérience en informatique, durant lesquelles il a acquis une solide expertise en technologie des systèmes et en génie logiciel. Il se spécialise en gestion, implantation et évaluation de la sécurité globale de systèmes informatiques, à l'intérieur d'environnements de développement et d’opération d'applications. Il est un membre du groupe de travail canadien WG D – Security Controls and Services au sous-comité sur la sécurité de l’information (SC 27) du comité conjoint ISO JTC 1, et corédacteur de la norme ISO/IEC 27034 – Sécurité des applications.
 * QUAND: 11 novembre 2013
 * OÙ: École de technologie supérieure, 1100 rue Notre-Dame ouest, Montréal, Salle: A-1150
 * INSCRIPTION: http://www.eventbrite.ca/event/9006250939
 * WEBCAST: Sera disponible en direct sur YouTube
 * ÉQUIPE ACADÉMIQUE: ETS - DCI http://dciets.com/
 * PROGRAMME:

= OWASP Montreal News =

2013-10-11 : OWASP Montréal - 11 novembre 2013 - ISO/IEC 27034 – Sécurité des applications

2013-10-07 : OWASP Montréal - 7 novembre 2013 - Vulnérabilités liées au téléversement de fichiers

2013-09-12 : OWASP Montréal - 12 septembre - OWASP Top 10 2013

2013-08-19 : MontréHack Web4kids

2013-08-06 : OWASP Canada - August 7th - Bug Bounty Program for the Web

2013-07-03 : OWASP Montreal - July 3rd - Linux/CDorked

2013-06-13 : Restructuration of the board, named Xavier Garceau-Aranda as Polytechnique Acamedic Lead and Alexandre Rimthong as UQAM Acamedic Lead.

2013-05-22 : OWASP Montréal - 22 mai - Injections LDAP

2013-03-25 : OWASP Montreal - March 25th - Drupal Security - Ben Jeavons, Acquia

2013-02-28 : Hangout at ConFoo 2013 - Demystifying web cache - Kristian Lyngstøl, Varnish Software

2013-02-27 : OWASP at ConFoo 2013 - Come see us at the community table

2013-02-26 : OWASP Montreal - February 26th - Secure Coding pour Java - Sébastien Gioria, OWASP France

2013-01-29 : OWASP Montreal Hangout - Meet the board and see what's next

2012-12-17 : The Board elected Jonathan Marcil as Chapter Leader!

2012-11-20 : Secure Code Review - OWASP TOP 10 - Sherif Koussa, OWASP Ottawa

2012-10-30 : Les utilités d’un pare-feu applicatif Web (WAF) -&gt; Jonathan Marcil, OWASP Montreal

2012-06-18 : Evolution of Malware and Defense from an Enterprise Infrastructure -&gt; John Otterson

2012-02-12 : Integrating security in a webapp project: from the idea to going live -&gt; Antonio Fontes, Philippe Gamache, Sébastien Gioria

2011-11-17 : Gray areas of the Same Origin Policy -&gt; Philippe Arteau

2011-09-15 : XSS Defense In Depth at Scale! -&gt; Jim Manico, WhiteHat Security

2011-07-21 : VEGA -&gt; David Mirza, Subgraph

2011-05-19 : Hackus 2011 - Démonstration d'attaques Web -&gt; Jérémie Goulet, Jonathan Marcil, Hackus 2011

2011-03-08 : Comment obtenir de l'assurance sécurité tout au long d'un projet de déveleopppement web -&gt; Antonio Fontes, L7 Sécurité

2011-01-25 : OWASP Enterprise Security API -&gt; Philippe Gamache, Parler Haut, Interagir Librement

2010-12-04 : The new chapter leader is Philippe Gamache

2010-10-25 : Tweet My Trojan Please -&gt; Sherif Koussa, Software Secured

2010-07-13 : Le fuzzing et les tests d'intrusions -&gt; Eric Gingras &amp; Sebastien Duquette, Gardien Virtuel

2010-05-11 : Why Implementing Cryptography is Hard

2010-03-19 : Next meetings date are published

2010-03-10 : OWASP Application Security Verification Standard (ASVS) Project -&gt; Sebastien Gioria

2010-02-02 : Authentification forte by Philippe Gamache

2010-01-21 : The Board elected Philippe Gamache as Vice Chapter Leader!

2010-xx-xx : Look at the tabs, 2 meeting date are scheduled

2009-11-03 : November 3rd 2009, Pravir Chandra present Software Assurance Maturity Model (OpenSAMM)

2009-09-17 : Next meeting on September 17th 2009!

2009-07-13 : We are preparing the next meeting, it will be held on September.

2009-04-07 : Next meeting on April 7th 2009 in Montreal!

2009-02-25 : Already working for the 2nd meeting in 3 months, more details to come on this site.

2009-02-24 : OWASP meeting on February 24th 2009 in Montreal!

2009-01-20 : Board meeting

2008-12-04 : Creation of the chapter board

2008-11-28 : The new chapter leader is Benoit Guerette (benoit.guerette@owasp.org)

2008-10-14 : First meeting preparation.

2007-10-09 : First meeting preparation. (Cancelled)

2007-08-06 : Email list installation.

2007-07-13 : Start-up of the Montreal Chapter. Welcome!



= Montreal OWASP Team =

[[Image:Circle_owasp_logo_nowhitebackground.png|128px]] Montreal OWASP Board
Scope of the board is to discuss and plan local activities, meetings and to overlook the doing of chapter leaders.

Core team

 * Board Member [mailto:philippe.gamache{at}owasp.org Philippe Gamache]
 * Board Member [mailto:laurent.desaulniers{at}gmail.com Laurent Desaulniers]
 * Chapter Leader [mailto:jonathan.marcil@owasp.org Jonathan Marcil]

Academic teams
UQAM
 * Acamedic Lead [mailto:rimthong.alexandre{at}courrier.uqam.ca Alexandre Rimthong]

Polytechnique
 * Acamedic Lead [mailto:xavier.garceau-aranda{at}owasp.org Xavier Garceau-Aranda]

ETS
 * Acamedic Lead [mailto:dci@aeets.com Mathieu Binette]

Are you from McGill or Concordia and want to be part of our team? [mailto:jonathan.marcil@owasp.org Contact our chapter leader]

Chapter leader history

 * 2008-2010 - Benoit Guerette, founder and chapter leader
 * 2011-2012 - Philippe Gamache, chapter leader (vice chapter-leader since 2010)
 * 2013- ... - Jonathan Marcil, chapter leader

Old board members

 * Sean Coates
 * Jean-Marc Robert
 * Philippe Blondin
 * Benoit Guerette (founder)

= 24 octobre 2013 =

OWASP Montréal - 24 octobre - Authentification à deux facteurs pour services Web

 * PRÉSENTATEUR PRINCIPAL: Alexandre Rimthong
 * RÉSUMÉ: Qu'est-ce que l'authentification à multiples facteurs et comment l'implanter dans un service web? La présentation fera d'abord un bref survol sur les principes d'authentification et les stratégies mises en place dans l'industrie. Par la suite, nous plongerons dans deux exemples concrets en utilisant des technologies gratuites ou peu coûteuses avec Google Authenticator et Yubikey.
 * BIO: Consultant TI dans une coopérative de solidarité se spécialisant dans le développement Web et la continuité des opérations de jour, amateur de sécurité et gladiateur des hackothons locaux la nuit. On le retrouve normalement à contribuer dans des projets de données ouvertes ou dans un projet de startup s'il n'est pas dans une compétition de sécurité ou de programmation. Présentement au sein de l'équipe OWASP Montréal, via l'équipe académique de l'UQAM.
 * QUAND: 24 octobre 2013 à 18h00
 * OÙ: Pavillon Président-Kennedy 201, Avenue du Président-Kennedy, J2X 3Y7 Local PK-1630
 * INSCRIPTION: https://www.eventbrite.ca/event/8182818029
 * WEBCAST: http://www.youtube.com/watch?v=1h7Dp23zfpA
 * ÉQUIPE ACADÉMIQUE AGEEI-UQAM - http://www.ageei.org/
 * PROGRAMME:

18:00-18:15 Accueil 18:15-18:20 Mot de bienvenue par le leader du chapitre (Jonathan M.) 18:20-19:00 Présentation principale : Auth. à deux facteurs 19:00-19:15 Période de questions



= 12 septembre 2013 =

OWASP Montréal - 12 septembre - OWASP Top 10 2013
'''Attention! Présentation spéciale sur l'heure du midi'''


 * PRÉSENTATEURS PRINCIPAUX: Sébastien Gioria et Jonathan Marcil
 * RÉSUMÉ: Présentation du nouveau OWASP Top 10 2013. L'objectif principal du Top 10 de l'OWASP est de sensibiliser les développeurs, concepteurs, architectes, décideurs, et les entreprises aux conséquences des faiblesses les plus importantes inhérentes à la sécurité des applications web. Le Top 10 fournit des techniques de base pour se protéger contre ces domaines problématiques à haut risque – et fournit des conseils sur la direction à suivre.
 * BIO: Sebastien Gioria est consultant sénior en Sécurité des Systèmes d'Informations spécialisé en Sécurité des Applications, Chapter Leader de l'OWASP pour la France(https://www.owasp.org/index.php/France), membre du OWASP Global Education Committee et membre du CLUSIF(http://www.clusif.fr). Il a une expérience de plus de 15 ans dans la sécurité des Systèmes d’Informations au sein de postes techniques ou à responsabilité dans des banques, assurances, telecoms. Jonathan Marcil est consultant en sécurité des applications Web et leader du chapitre de Montréal. Il est concepteur de défi pour NorthSec (https://www.nsec.io), une compétition de sécurité informatique technique et conseiller sur le sujet sécurité de la conférence de technologies Web ConFoo(http://confoo.ca/) à Montréal. Il possède plus de 10 ans d'expérience en technologie de l'information et développement Web avec un penchant pour la sécurité.
 * QUAND: 12 septembre 2013
 * OÙ: École Polytechnique de Montréal, 2500 chemin de Polytechnique, Montréal (Québec) H3T 1J4, pavillon Lassonde, Salle : L-1710
 * INSCRIPTION: https://www.eventbrite.ca/event/8179640525
 * WEBCAST: Sera disponible en direct sur YouTube https://www.youtube.com/owaspmontreal
 * ÉQUIPE ACADÉMIQUE Polytechnique - Polyhack http://polyhack.org/
 * PROGRAMME:

12:30-12:45 Accueil 12:45-12:50 Mot de bienvenue par le leader du chapitre (Jonathan M.) 12:50-13:30 Présentation principale : OWASP Top 10 2013 13:30-13:45 Période de questions



= August 19th 2013 =

OWASP Montreal - August 19th - MontréHack Web4kids

 * MAIN PRESENTER: Jonathan Marcil
 * ABSTRACT: WORKSHOP FORMAT, bring your laptop to play with Web and Trivia problems for beginners and intermediates. Theses exercises were part of the challenge Web4kids held at NorthSec 2013. It is composed of fourteen (14) challenges that will lead the participant to understand the basics of Web security weaknesses and practice the usage of diverse tools.
 * BIO: Jonathan is the leader of OWASP Montreal and a Challenge designer at the NorthSec computer security competition.
 * WHEN: August 19th 2013
 * WHERE: Notman House, 51 Sherbrooke west, Montreal, QC H2X 1X2
 * REGISTRATION: https://www.eventbrite.ca/event/7400161081
 * SPONSOR: Community partners MontréHack and NorthSec
 * PROGRAM:

18:00-18:05 Presentation of community partner MontréHack (Olivier B.) 18:05-18:30 Setup and help by Chapter Leader Jonathan M. and Chapter board member Laurent D. 18:30-20:00 Workshop Web4kids 20:00-21:00 Demonstration of some solutions and Q&A 21:00-...  End of the meeting in a pub



= August 7th 2013 =

OWASP Canada - August 7th - Bug Bounty Program for the Web

 * MAIN PRESENTER: Raymond Forbes, Web Security Engineer, Mozilla Corporation
 * ABSTRACT: This talk will look at the Mozilla bug bounty program and how it has helped with web security. We will be looking at the history of the program, how it is set up, some successes and common concerns.
 * BIO: Raymond has been a web security engineer with Mozilla since 2011, and is visiting OWASP Vancouver chapter from Seattle, WA.
 * WHEN: August 7th 2013
 * WHERE: Live streaming from Mozilla Vancouver
 * WEBCAST: http://www.youtube.com/watch?v=VZHp5Ssi67U
 * SLIDES: https://speakerdeck.com/owaspmontreal/bug-bounty-program-for-the-web-by-raymond-forbes
 * SPONSOR: Chapter partner OWASP Vancouver
 * PROGRAM:

18:00-18:15 Canada Chapters Talk 18:15-19:15 Main presentation: Bug Bounty Program for the Web

= July 3rd 2013 =

OWASP Montreal - July 3rd - Linux/CDorked

 * MAIN PRESENTER: Olivier Bilodeau
 * ABSTRACT: Presentation on the largely publicized threat: Linux/CDorked. We will explain in detail the behavior of the malware, discuss its variants and the impact of these new types of threats on the distribution of malware. Then, we will talk about detection, prevention and the likely cause of exploitation leading to infection and why the OWASP community should care about this new server-side malware threat type.
 * BIO: Coming from the dusty Unix server room world, Olivier evolved professionally in networking, information security and open source software development to finally become malware researcher at ESET Canada. Presenting at Defcon, publishing in (In)secure Mag, teaching infosec to undergrads (ÉTS), driving the NorthSec Hacker Jeopardy and co-organizer of the MontréHack training initiative are among its note-worthy successes.
 * WHEN: July 3rd 2013
 * WHERE: École Polytechnique de Montréal, 2500 chemin de Polytechnique, Montréal (Québec) H3T 1J4, pavillon #4 J.-Armand-Bombardier (JAB), Salle : J-1035
 * WEBCAST: http://www.youtube.com/watch?v=R_-JI6xZXWQ
 * SLIDES: https://speakerdeck.com/owaspmontreal/cdorked-by-olivier-bilodeau http://obilodeau.github.io/slides/linux-cdorked/owasp-mtl-201307/
 * SPONSOR: ESET Canada
 * PROGRAM:

18:00-18:30 Networking 18:30-18:32 Welcome speech by Chapter Leader (Jonathan M.) 18:30-19:30 Main presentation: Linux/CDorked 19:30-20:00 Open discussion 20:00-...  End of the meeting in a pub



= Past meetings =

Presentations For Download
OWASP ASVS by Sebastien Gioria (09/03/2010)

Authentification Forte by Philippe Gamache (02/02/2010)

Software Assurance Maturity Model (OpenSAMM) by Pravir Chandra (03/11/2009)

Crossing the Border – Javascript Exploits by Justin Foster (17/09/2009)

A Laugh RIAt by Rafal Los (07/04/2009)

Microsoft Security Development Lifecycle for IT by Rob Labbe (24/02/2009)

OWASP Goal and Top Ten 2007 for Managers - French version by Benoit Guerette (24/02/2009)

Newer presentations are available on Speaker Deck