Montréal

Reach our chapter




You can also reach us on : Google Calendar iCal Facebook Page LinkedIn Group Google+ Page

= Next event =

OWASP Montreal - February 25th - Proven Strategies for Web Application Security

 * MAIN PRESENTER: Justin C. Klein Keane
 * ABSTRACT: The rising dominance of the web as an application delivery platform has focused attacker attention squarely on the security of dynamic web applications. Application security is a complex, and shifting, field. Learn about tested and successful techniques to build safer applications, find flaws before they become vulnerabilities, and deploy applications that can detect, and resist attack.
 * BIO: Justin C. Klein Keane is a security engineer and chapter leaders of OWASP in Philadelphia. For over a decade Justin has worked as a trainer, coder, and exploit developer. Justin is currently writing a book for NoStarch Press on hacking, speaks regularly at conferences, holds a masters degree in information technology from the University of Pennsylvania and is credited with hundreds of application vulnerability discoveries.
 * WHEN: February 25th 2014
 * WHERE: Ecole de technologie superieure, 1100 Notre-Dame west, Montreal, Room: A-1150
 * REGISTRATION: TBD
 * WEBCAST: will be on YouTube
 * ACADEMIC PARTNER: ETS - DCI http://dciets.com/
 * PROGRAM:

18:00-18:25 Networking 18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil) 18:30-20:00 Main session and open discussion: Proven Strategies for Web Application Security 20:00-...  End of the meeting in a pub



= OWASP Montreal Team =

[[Image:Circle_owasp_logo_nowhitebackground.png|128px]] Montreal OWASP Board
Scope of the board is to discuss and plan local activities, meetings and to overlook the doing of chapter leaders.

Core team

 * Board Member [mailto:philippe.gamache{at}owasp.org Philippe Gamache]
 * Board Member [mailto:michael.robillard{at}gmail Michael Robillard]
 * Chapter Leader [mailto:jonathan.marcil@owasp.org Jonathan Marcil]

Academic teams
UQAM
 * Acamedic Lead [mailto:rimthong.alexandre{at}courrier.uqam.ca Alexandre Rimthong]

Polytechnique
 * Acamedic Lead [mailto:xavier.garceau-aranda{at}owasp.org Xavier Garceau-Aranda]

ETS
 * Acamedic Lead [mailto:dci@aeets.com Mathieu Binette]

Are you from McGill or Concordia and want to be part of our team? [mailto:jonathan.marcil@owasp.org Contact our chapter leader]

Chapter leader history

 * 2008-2010 - Benoit Guerette, founder and chapter leader
 * 2011-2012 - Philippe Gamache, chapter leader (vice chapter-leader since 2010)
 * 2013- ... - Jonathan Marcil, chapter leader

Old board members

 * Sean Coates
 * Jean-Marc Robert
 * Philippe Blondin
 * Benoit Guerette (founder)
 * Laurent Desaulniers

= January 28th =

OWASP Montreal - January 28th - Latest trends in Mobile Security

 * MAIN PRESENTER: Francois Proulx
 * ABSTRACT: Last AppSecUSA 2013 had a great line up of talks, especially regarding mobile applications. This session will be covering all the hottest presentations about mobile security by doing an overview from what see saw at AppSecUSA, all with some slides and snippets of presentations that was recorded at the event. Discussion will be encouraged within the audience as this will be more a dynamic event than a regular talk.
 * BIO: François Proulx is a senior mobile application developer who has worked on dozens of iOS applications since the very beginning of the Apple iOS platform. Over the past few years he has switched his focus to security. He spends a lot of his free time participating in Capture the Flag events (CTFs) and organizing the NorthSec security competition.
 * WHEN: January 28th 2014
 * WHERE: UQAM Room PK-1705, Pavillon Président-Kennedy (the big boat at Place des Arts) - 201 Avenue du Président-Kennedy J2X 3Y7
 * REGISTRATION: http://owaspmtl-mobilesecurity.eventbrite.ca
 * SLIDES/CONTENT: YouTube playlist
 * SPONSOR: Academic partner AGEEI-UQAM - http://www.ageei.org/
 * PROGRAM:

18:00-18:25 Networking 18:25-18:30 Welcome speech by Chapter Leader (Jonathan M.) 18:30-20:00 Main session and open discussion: Mobile Security 20:00-...  End of the meeting in a pub



= 2 décembre 2013 =

OWASP Montréal - 2 décembre 2013 - OWASP Top 10 et ISO/IEC 27034 – Sécurité des applications
18:00-18:30 Réseautage 18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.) 18:35-19:30 Présentation principale : OWASP Top 10 et ISO/IEC 27034 – Sécurité des applications 19:30-20:00 Discussion ouverte 20:00-...  Fin de la rencontre dans un pub
 * PRÉSENTATEURS PRINCIPAUX: Luc Poulin et Jonathan Marcil
 * RÉSUMÉ: Cette nouvelle norme propose aux organisations de toutes tailles un modèle pour faciliter l’intégration de la sécurité tout au long du cycle de vie des applications. La norme 27034 est destinée aux gestionnaires, équipes de réalisation et d’exploitation, clients et fournisseurs d’applications et auditeurs qui doivent concevoir, planifier, implanter, gérer et vérifier la sécurité des applications. La conformité à cette norme résulte en la diminution du risque par réduction des vulnérabilités des applications. Suite à la dernière présentation sur le sujet, celle-ci introduira le projet OWASP officiel qui produira des contrôles de sécurité applicatifs (CSA) basé sur le Top 10 d'OWASP sous le format de la norme.
 * BIO: M. Poulin compte plus de trente années d'expérience en informatique, durant lesquelles il a acquis une solide expertise en technologie des systèmes et en génie logiciel. Il se spécialise en gestion, implantation et évaluation de la sécurité globale de systèmes informatiques, à l'intérieur d'environnements de développement et d’opération d'applications. Il est corédacteur de la norme ISO/IEC 27034 – Sécurité des applications. Jonathan Marcil est consultant en sécurité des applications Web et leader du chapitre de Montréal. Il possède plus de dix ans d'expérience en technologie de l'information et développement Web avec un penchant pour la sécurité. Il est concepteur de défi pour NorthSec, une compétition de sécurité informatique technique et conseiller sur le sujet sécurité de la conférence de technologies Web ConFoo à Montréal.
 * QUAND: 2 décembre 2013
 * OÙ: École de technologie supérieure, 1100 rue Notre-Dame ouest, Montréal, Salle: A-1150
 * INSCRIPTION: http://owasptop10iso27034.eventbrite.ca
 * WEBCAST: Sera disponible en direct sur YouTube
 * ÉQUIPE ACADÉMIQUE: ETS - DCI http://dciets.com/
 * PROGRAMME:

= 11 novembre 2013 =

OWASP Montréal - 11 novembre 2013 - ISO/IEC 27034 – Sécurité des applications
18:00-18:30 Réseautage 18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.) 18:35-19:30 Présentation principale : ISO/IEC 27034 – Sécurité des application 19:30-20:00 Discussion ouverte 20:00-...  Fin de la rencontre dans un pub
 * PRÉSENTATEUR PRINCIPAL: Luc Poulin
 * RÉSUMÉ: Cette nouvelle norme propose aux organisations de toutes tailles un modèle pour faciliter l’intégration de la sécurité tout au long du cycle de vie des applications. Ce modèle comprend des objets et des processus qui complètent ceux déjà en place dans l’organisation et s’insèrent dans les pratiques courantes de gouvernance, de gestion et d’opération, telles que le SGSI proposé par la norme ISO/CEI 27001, les processus ITIL et ISO/CEI 12207, les pratiques de sécurité OWASP et PCI-DSS, etc. La norme 27034 est destinée aux gestionnaires, équipes de réalisation et d’exploitation, clients et fournisseurs d’applications et auditeurs qui doivent concevoir, planifier, implanter, gérer et vérifier la sécurité des applications. La conformité à cette norme résulte en la diminution du risque par réduction des vulnérabilités des applications.
 * BIO: M. Poulin compte plus de trente années d'expérience en informatique, durant lesquelles il a acquis une solide expertise en technologie des systèmes et en génie logiciel. Il se spécialise en gestion, implantation et évaluation de la sécurité globale de systèmes informatiques, à l'intérieur d'environnements de développement et d’opération d'applications. Il est un membre du groupe de travail canadien WG D – Security Controls and Services au sous-comité sur la sécurité de l’information (SC 27) du comité conjoint ISO JTC 1, et corédacteur de la norme ISO/IEC 27034 – Sécurité des applications.
 * QUAND: 11 novembre 2013
 * OÙ: École de technologie supérieure, 1100 rue Notre-Dame ouest, Montréal, Salle: A-1150
 * INSCRIPTION: http://www.eventbrite.ca/event/9006250939
 * WEBCAST: http://www.youtube.com/watch?v=AAHG_oB9iEU
 * SLIDES: https://speakerdeck.com/owaspmontreal/iso-iec-27034-securite-des-applications-par-luc-poulin
 * ÉQUIPE ACADÉMIQUE: ETS - DCI http://dciets.com/
 * PROGRAMME:

= 7 novembre 2013 =

OWASP Montréal - 7 novembre 2013 - Vulnérabilités liées au téléversement de fichiers
'''Attention! Présentation spéciale sur l'heure du midi'''

12h30-12h40 Accueil 12h40-12h45 Introduction 12h45-13h25 Présentation principale 13h25-13h35 Questions
 * PRÉSENTATEUR PRINCIPAL: Philippe Arteau
 * RÉSUMÉ: Le téléversement de fichiers fait partie intégrante des applications web modernes. Qu'il s'agisse d'images ou de documents, plusieurs risques guettent l'acceptation de fichiers provenant d'un utilisateur. Les attaques les plus communes seront présentées allant de simples "webshells" à des problèmes de configuration plus poussés liés au "same orgin policy".
 * BIO: Philippe est conseiller en sécurité applicative pour le Groupe Technologies Desjardins. Au quotidien, il s'occupe d'effectuer des tests d'intrusions et des revues de code pour des applications utilisées par Desjardins. Il a découvert des vulnérabilités importantes dans plusieurs logiciels populaires comme Google Chrome, DropBox, ESAPI et Jira.
 * QUAND: 7 novembre 2013 à 12h30
 * OÙ: École Polytechnique de Montréal, 2500 chemin de Polytechnique, Montréal (Québec) H3T 1J4, pavillon Lassonde, Salle : M-2204
 * INSCRIPTION: https://www.eventbrite.ca/event/8944847279
 * WEBCAST: http://www.youtube.com/watch?v=mo10to3JNBY
 * SLIDES: https://speakerdeck.com/owaspmontreal/vulnerabilites-liees-au-televersement-de-fichiers-par-philippe-arteau
 * ÉQUIPE ACADÉMIQUE: Polytechnique - Polyhack http://polyhack.org/
 * PROGRAMME:



= 24 octobre 2013 =

OWASP Montréal - 24 octobre - Authentification à deux facteurs pour services Web

 * PRÉSENTATEUR PRINCIPAL: Alexandre Rimthong
 * RÉSUMÉ: Qu'est-ce que l'authentification à multiples facteurs et comment l'implanter dans un service web? La présentation fera d'abord un bref survol sur les principes d'authentification et les stratégies mises en place dans l'industrie. Par la suite, nous plongerons dans deux exemples concrets en utilisant des technologies gratuites ou peu coûteuses avec Google Authenticator et Yubikey.
 * BIO: Consultant TI dans une coopérative de solidarité se spécialisant dans le développement Web et la continuité des opérations de jour, amateur de sécurité et gladiateur des hackothons locaux la nuit. On le retrouve normalement à contribuer dans des projets de données ouvertes ou dans un projet de startup s'il n'est pas dans une compétition de sécurité ou de programmation. Présentement au sein de l'équipe OWASP Montréal, via l'équipe académique de l'UQAM.
 * QUAND: 24 octobre 2013 à 18h00
 * OÙ: Pavillon Président-Kennedy 201, Avenue du Président-Kennedy, J2X 3Y7 Local PK-1630
 * INSCRIPTION: https://www.eventbrite.ca/event/8182818029
 * WEBCAST: http://www.youtube.com/watch?v=1h7Dp23zfpA
 * SLIDES: https://speakerdeck.com/owaspmontreal/authentification-a-deux-facteurs-pour-services-web-par-alexandre-rimthong
 * ÉQUIPE ACADÉMIQUE AGEEI-UQAM - http://www.ageei.org/
 * PROGRAMME:

18:00-18:15 Accueil 18:15-18:20 Mot de bienvenue par le leader du chapitre (Jonathan M.) 18:20-19:00 Présentation principale : Auth. à deux facteurs 19:00-19:15 Période de questions



= 12 septembre 2013 =

OWASP Montréal - 12 septembre - OWASP Top 10 2013
'''Attention! Présentation spéciale sur l'heure du midi'''


 * PRÉSENTATEURS PRINCIPAUX: Sébastien Gioria et Jonathan Marcil
 * RÉSUMÉ: Présentation du nouveau OWASP Top 10 2013. L'objectif principal du Top 10 de l'OWASP est de sensibiliser les développeurs, concepteurs, architectes, décideurs, et les entreprises aux conséquences des faiblesses les plus importantes inhérentes à la sécurité des applications web. Le Top 10 fournit des techniques de base pour se protéger contre ces domaines problématiques à haut risque – et fournit des conseils sur la direction à suivre.
 * BIO: Sebastien Gioria est consultant sénior en Sécurité des Systèmes d'Informations spécialisé en Sécurité des Applications, Chapter Leader de l'OWASP pour la France(https://www.owasp.org/index.php/France), membre du OWASP Global Education Committee et membre du CLUSIF(http://www.clusif.fr). Il a une expérience de plus de 15 ans dans la sécurité des Systèmes d’Informations au sein de postes techniques ou à responsabilité dans des banques, assurances, telecoms. Jonathan Marcil est consultant en sécurité des applications Web et leader du chapitre de Montréal. Il est concepteur de défi pour NorthSec (https://www.nsec.io), une compétition de sécurité informatique technique et conseiller sur le sujet sécurité de la conférence de technologies Web ConFoo(http://confoo.ca/) à Montréal. Il possède plus de 10 ans d'expérience en technologie de l'information et développement Web avec un penchant pour la sécurité.
 * QUAND: 12 septembre 2013
 * OÙ: École Polytechnique de Montréal, 2500 chemin de Polytechnique, Montréal (Québec) H3T 1J4, pavillon Lassonde, Salle : L-1710
 * INSCRIPTION: https://www.eventbrite.ca/event/8179640525
 * WEBCAST: Sera disponible en direct sur YouTube https://www.youtube.com/owaspmontreal
 * ÉQUIPE ACADÉMIQUE Polytechnique - Polyhack http://polyhack.org/
 * PROGRAMME:

12:30-12:45 Accueil 12:45-12:50 Mot de bienvenue par le leader du chapitre (Jonathan M.) 12:50-13:30 Présentation principale : OWASP Top 10 2013 13:30-13:45 Période de questions



= August 19th 2013 =

OWASP Montreal - August 19th - MontréHack Web4kids

 * MAIN PRESENTER: Jonathan Marcil
 * ABSTRACT: WORKSHOP FORMAT, bring your laptop to play with Web and Trivia problems for beginners and intermediates. Theses exercises were part of the challenge Web4kids held at NorthSec 2013. It is composed of fourteen (14) challenges that will lead the participant to understand the basics of Web security weaknesses and practice the usage of diverse tools.
 * BIO: Jonathan is the leader of OWASP Montreal and a Challenge designer at the NorthSec computer security competition.
 * WHEN: August 19th 2013
 * WHERE: Notman House, 51 Sherbrooke west, Montreal, QC H2X 1X2
 * REGISTRATION: https://www.eventbrite.ca/event/7400161081
 * SPONSOR: Community partners MontréHack and NorthSec
 * PROGRAM:

18:00-18:05 Presentation of community partner MontréHack (Olivier B.) 18:05-18:30 Setup and help by Chapter Leader Jonathan M. and Chapter board member Laurent D. 18:30-20:00 Workshop Web4kids 20:00-21:00 Demonstration of some solutions and Q&A 21:00-...  End of the meeting in a pub



= August 7th 2013 =

OWASP Canada - August 7th - Bug Bounty Program for the Web

 * MAIN PRESENTER: Raymond Forbes, Web Security Engineer, Mozilla Corporation
 * ABSTRACT: This talk will look at the Mozilla bug bounty program and how it has helped with web security. We will be looking at the history of the program, how it is set up, some successes and common concerns.
 * BIO: Raymond has been a web security engineer with Mozilla since 2011, and is visiting OWASP Vancouver chapter from Seattle, WA.
 * WHEN: August 7th 2013
 * WHERE: Live streaming from Mozilla Vancouver
 * WEBCAST: http://www.youtube.com/watch?v=VZHp5Ssi67U
 * SLIDES: https://speakerdeck.com/owaspmontreal/bug-bounty-program-for-the-web-by-raymond-forbes
 * SPONSOR: Chapter partner OWASP Vancouver
 * PROGRAM:

18:00-18:15 Canada Chapters Talk 18:15-19:15 Main presentation: Bug Bounty Program for the Web

= July 3rd 2013 =

OWASP Montreal - July 3rd - Linux/CDorked

 * MAIN PRESENTER: Olivier Bilodeau
 * ABSTRACT: Presentation on the largely publicized threat: Linux/CDorked. We will explain in detail the behavior of the malware, discuss its variants and the impact of these new types of threats on the distribution of malware. Then, we will talk about detection, prevention and the likely cause of exploitation leading to infection and why the OWASP community should care about this new server-side malware threat type.
 * BIO: Coming from the dusty Unix server room world, Olivier evolved professionally in networking, information security and open source software development to finally become malware researcher at ESET Canada. Presenting at Defcon, publishing in (In)secure Mag, teaching infosec to undergrads (ÉTS), driving the NorthSec Hacker Jeopardy and co-organizer of the MontréHack training initiative are among its note-worthy successes.
 * WHEN: July 3rd 2013
 * WHERE: École Polytechnique de Montréal, 2500 chemin de Polytechnique, Montréal (Québec) H3T 1J4, pavillon #4 J.-Armand-Bombardier (JAB), Salle : J-1035
 * WEBCAST: http://www.youtube.com/watch?v=R_-JI6xZXWQ
 * SLIDES: https://speakerdeck.com/owaspmontreal/cdorked-by-olivier-bilodeau http://obilodeau.github.io/slides/linux-cdorked/owasp-mtl-201307/
 * SPONSOR: ESET Canada
 * PROGRAM:

18:00-18:30 Networking 18:30-18:32 Welcome speech by Chapter Leader (Jonathan M.) 18:30-19:30 Main presentation: Linux/CDorked 19:30-20:00 Open discussion 20:00-...  End of the meeting in a pub



= Past meetings =

Presentations For Download
OWASP ASVS by Sebastien Gioria (09/03/2010)

Authentification Forte by Philippe Gamache (02/02/2010)

Software Assurance Maturity Model (OpenSAMM) by Pravir Chandra (03/11/2009)

Crossing the Border – Javascript Exploits by Justin Foster (17/09/2009)

A Laugh RIAt by Rafal Los (07/04/2009)

Microsoft Security Development Lifecycle for IT by Rob Labbe (24/02/2009)

OWASP Goal and Top Ten 2007 for Managers - French version by Benoit Guerette (24/02/2009)

Newer presentations are available on Speaker Deck