Difference between revisions of "Quebec City"

From OWASP
Jump to: navigation, search
(Major update of the chapter's page)
 
(40 intermediate revisions by the same user not shown)
Line 3: Line 3:
 
= Nouvelles OWASP Quebec City =
 
= Nouvelles OWASP Quebec City =
  
== Une première collaboration pour OWASP Quebec City et le Hackfest ==
+
==6 au 8 avril 2016: Partenariat OWASP Québec et Web à Québec 2016==
<table>
+
<tr>
+
<td>
+
[[Image:Hackfest_comm.png‎|200x75px|left|link=http://www.hackfest.ca]]Le chapitre OWASP Québec est heureux d'annoncer une première collaboration avec le '''[http://www.hackfest.ca Hackfest.ca]'''.  '''[https://www.owasp.org/index.php/User:Jmanico Jim Manico]''' membre actif OWASP et VP Architecture sécurité chez [https://www.whitehatsec.com/ WhiteHat Security] sera conférencier invité lors de cet évènement d'envergure provinciale.  Il propose de nous entrenir sur '''les 10 meilleures techniques de programmation pour protéger les applications Web'''.  À noter que la présentation sera en anglais.
+
  
 +
{| border="0"
 +
[[Image:WAQsmall.png|289x150px|left|link=http://webaquebec.org/]]
 +
|
  
Le Hackfest est principalement connu pour son événement annuel qui réunit dans la ville de Québec plus de 400 passionnés de sécurité. L'événement a un rayonnement provincial, près de la moitié des participants viennent de l'extérieur de la région de Québec. Le Hackfest regroupe plusieurs autres activités telles que les conférences mensuelles "Hackerspace" qui regroupent la communauté, le Hackfest Média avec son blogue et ses podcasts hebdomadaires, les vidéos et plus encore.
 
  
  
Le [http://www.hackfest.ca Hackfest] aura lieu les 2-3 novembre prochain à l'hôtel Plaza, [http://www.hackfest.ca/inscription pour s'inscrire].
 
</td>
 
</tr>
 
</table>
 
  
<br>
 
<br>
 
  
== Conférence de Jim Manico au Hackfest 2012 ==
+
|}
<table>
+
 
<tr>
+
 
<td>
+
 
===Jim Manico===
+
 
[[Image:AppSecDC12-manico.jpg|left|link=http://www.hackfest.ca/speakers]]'''Top Ten Web Defenses:''' We cannot hack or firewall our way secure. Application programmers need to learn to code in a secure fashion if we have any chance of providing organizations with proper defenses in the current threatscape. This talk will discuss '''the 10 most important security-centric computer programming techniques''' necessary to build low-risk web-based applications.
+
 
</td>
+
 
</tr>
+
 
</table>
+
OWASP Québec a conclu un partenariat avec [http://webaquebec.org/ '''Web à Québec 2016''']
 +
 
 +
Profitez d'un '''rabais de 15%''' sur l'incontournable du développement Web à Québec!
 +
 
 +
Entrez le code promotionnel '''OWASP@WAQ16''' sur [http://waq2016.eventbrite.com '''waq2016.eventbrite.com'''] ou [https://waq2016.eventbrite.com/?discount=OWASP%40WAQ16 '''cliquez sur ce lien'''] pour obtenir '''15% de rabais''' sur les forfaits disponibles
 +
 
 +
Aussi, pour les '''4 premiers membres OWASP''' un '''rabais de 400$ sur le prix régulier''' ([mailto:patrick.leclerc@owasp.org envoyez-moi] votre confirmation de membership OWASP)
 +
 
 +
 
 +
Surtout! Profitez de votre passage au WAQ 2016 pour assiter à la conférence de David Caissy '''Sécurité des applications Web en 2016'''
 +
 
 +
 
 +
 
 +
==7 mars 2016: Conférence de David Caissy, consultant pour le Département de la Défense Nationale==
 +
 
 +
Sujet à venir...
 +
 
 +
{| border="0"
 +
[[image:DavidCaissy2.png|200px|left]]
 +
|
 +
'''David Caissy'''<br />
 +
Security Consultant <br />
 +
Department of National Defense
 +
 +
 
 +
|}
 +
 
 +
 
 +
 
 +
 
 +
 
 +
 
 +
====Lieu====
 +
Local P-451 du CÉGEP de Ste-Foy, Aile "P"
 +
 
 +
====Horaire====
 +
18:30 - 19:00 Accueil <br />
 +
19:00 - 20:00 Conférence: David Caissy <br />
 +
20:00 - 20:30 Questions, discussions, débats, suites <br />
 +
20:30 - Réseautage
 +
 
 +
====Stationnement====
 +
Le stationnement accessible à partir de la rue Nicolas Pinel est gratuit à partir de 18h00.
 +
 
 +
====Lunch====
 +
Vous pouvez apporter votre repas (lunch froid) si vous le désirez, des tables sont à votre disposition.
 +
 
 +
====Gratuit, RSVP!====
 +
Comme à l'habitude, cet événement est gratuit et ouvert à tous. SVP, afin de nous permettre d'assurer une meilleure logistique [mailto:patrick.leclerc@owasp.org confirmez votre présence]
 +
 
 +
====Remerciements à nos commenditaires====
 +
{| border="0"
 +
[[Image:cegep_ste-foy.png|150x45px|left|link=http://www.cegep-ste-foy.qc.ca/csf4/index.php]]
 +
|
 +
pour la salle <br />
 +
 
 +
|}
 +
 
  
<br>
 
<br>
 
  
<table>
+
----
<tr>
+
<td>
+
== Annonces et publications OWASP Québec dans le magazine Sécus ==
+
[[Image:Secus_logo.jpg|183x76px|left|link=http://www.secus.ca]]Merci au magazine '''[http://www.secus.ca Secus]''' pour ses publications et annonces pour le chapitre OWASP Québec.
+
  
SÉCUS est un magazine électronique produit par des professionnels québécois de la sécurité de l’information. Il est destiné à tous les francophones ayant un intérêt professionnel ou personnel à ce sujet. Le but de cette initiative est d’offrir une tribune aux experts afin de diffuser leur savoir, de faire connaître les produits et services et, finalement, de promouvoir la sécurité informatique.
+
'''Nous sommes toujours à la recherche de conférenciers, de démonstrations ou de sujets de discussion. Manifestez-vous!'''
<br>
+
</td>
+
</tr>
+
</table>
+
  
 
= Bienvenue =
 
= Bienvenue =
Line 51: Line 90:
  
 
*Le leader du chapitre est [mailto:patrick.leclerc@owasp.org Patrick Leclerc].  
 
*Le leader du chapitre est [mailto:patrick.leclerc@owasp.org Patrick Leclerc].  
*Le vice-leader est [mailto:yannick.berneron@owasp.org Yannick Berneron].  
+
*Le vice-leader est [mailto:johan.renaut@owasp.org Johan Renaut].  
*La responsable des évènements, commandites et communications est [mailto:annemarie.faber@owasp.org Anne-Marie Faber].
+
 
<br>
+
  
 
Vous pouvez vous inscrire à la [http://lists.owasp.org/mailman/listinfo/owasp-quebeccity liste de distribution OWASP Ville de Québec] pour recevoir les dernières annonces et notifications de rencontres du chapitre.  
 
Vous pouvez vous inscrire à la [http://lists.owasp.org/mailman/listinfo/owasp-quebeccity liste de distribution OWASP Ville de Québec] pour recevoir les dernières annonces et notifications de rencontres du chapitre.  
Line 60: Line 98:
 
*[https://www.facebook.com/OwaspQuebec OwaspQuebec] sur [http://facebook.com facebook].
 
*[https://www.facebook.com/OwaspQuebec OwaspQuebec] sur [http://facebook.com facebook].
 
*[http://www.linkedin.com/groups/OWASP-Quebec-4338809 OWASP-Quebec] sur [http://linkedin.com LinkedIn].
 
*[http://www.linkedin.com/groups/OWASP-Quebec-4338809 OWASP-Quebec] sur [http://linkedin.com LinkedIn].
<br>
+
 
 +
 
 +
----
 +
 
 +
'''Nos activités sont pour la plupart gratuites pour tous. Soyez plus que participants, devenez membre de notre communauté! Pour [https://www.owasp.org/index.php/Membership_Map devenir membre OWASP]'''
  
 
= Agenda =
 
= Agenda =
 
Les meetings OWASP ont lieu quelques fois par année et se déroulent généralement dans une salle prêtée par un commenditaire ou partenaire de l'OWASP. Maintenez-vous informé des prochaines rencontres en vous inscrivant à la [http://lists.owasp.org/mailman/listinfo/owasp-quebeccity liste OWASP Ville de Québec].
 
Les meetings OWASP ont lieu quelques fois par année et se déroulent généralement dans une salle prêtée par un commenditaire ou partenaire de l'OWASP. Maintenez-vous informé des prochaines rencontres en vous inscrivant à la [http://lists.owasp.org/mailman/listinfo/owasp-quebeccity liste OWASP Ville de Québec].
  
'''Meeting 1 2012''' | 19 septembre 2012, heure et lieu à déterminer
+
'''16 mars 2016''' | Présentation de Patrick Leclerc d'OWASP Québec à [https://asiq.org/ l'ASIQ]
  
'''Hackfest.ca 2012''' | Conférence de [https://www.owasp.org/index.php/User:Jmanico Jim Manico] de l'OWASP les 2&3 novembre au [http://www.hackfest.ca hackfest.ca]
+
'''7 avril 2016''' | David Caissy, consultant en sécurité pour le Départememnt de la Défense Nationale
 +
 
 +
'''8 avril 2016''' | Présentation de David Caissy au [http://webaquebec.org/ WAQ 2016], '''Sécurité des applications Web en 2016'''
 +
 
 +
'''Autres évènements à venir, suivez-nous sur notre liste OWASP Québec ou sur nos médias sociaux'''
  
'''Meeting 2 2012''' | date à convenir en décembre
 
<br>
 
  
 
= Historique =
 
= Historique =
Aucune recontre précédente...
+
 
<br>
+
==2 février 2016: Comprendre l'usage de la crypto pour les développeurs : choses à faire et à ne pas faire==
 +
 
 +
Souvent, la cryptographie (encryptions, hashing, etc.) est enseignée et présentée d'un point de vue mathématique. Par contre, dans l'industrie, les problèmes les plus fréquents qui sont rencontrés n'ont rien à voir avec les mathématiques, mais sont plutôt dus à une mauvaise utilisation pratique des techniques de cryptographie. Dans cette présentation, je ferai un rappel des différents outils de cryptographie et de leur raison d'être, et je parlerai des problèmes fréquents rencontrés avec leur utilisation. Je ne parlerai pas des algorithmes mathématiques, mais plutôt de l'aspect pratique de l'utilisation de ces algorithmes.  
 +
 
 +
{| border="0"
 +
[[image:LouisNadeau.png|100px|left]]
 +
|
 +
'''Louis Nadeau'''<br />
 +
Responsable de la sécurité <br />
 +
Bentley Systems
 +
 +
 
 +
|}
 +
 
 +
 
 +
==6-7 novembre: Collaboration OWASP Montréal & OWASP Québec au HackFest 2015==
 +
 +
[[Image:Hackfest_lucky.png|200x75px|left|link=http://www.hackfest.ca]]
 +
 
 +
 
 +
 
 +
 
 +
 
 +
 
 +
===Kiosque OWASP et mini CTF OWASP===
 +
 
 +
Le chapitre OWASP Québec et OWASP Montréal collaborent pour animer un kiosque OWASP lors des 2 jours de conférences et de jeux de hacking au [http://www.hackfest.ca HackFest 2015]. 
 +
 
 +
Nous aurons également un '''mini CTF OWASP''' au "HackFest Party" du samedi soir 7 novembre.
 +
 
 +
Le mini-CTF (Capture The Flag) OWASP est une compétition de sécurité Web avec des défis très accessibles. La finale sera diffusée sur grand écran et commentée en direct!
 +
Pour se qualifier, obtenez le plus de points et ce, le plus rapidement possible.
 +
 
 +
 
 +
 
 +
==20-21 octobre: OWASP Québec au CQSI, Le Carrefour de l'industrie de la sécurité==
 +
{| border="0"
 +
[[Image:CQSI.png?|200x75px|left|link=http://http://www.cqsi.org/]]
 +
|
 +
|}
 +
 
 +
 +
 
 +
 
 +
 
 +
 
 +
Le chapitre OWASP Ville de Québec est heureux d'annoncer sa participation au '''[http://www.cqsi.org/ CQSI 2015 (Carrefour de l'industrie de sécurité)]''' qui aura lieu du 20-21 octobre au Centre des congrès de Québec.
 +
 
 +
Pour '''[https://www.owasp.org/index.php/Membership supporter OWASP Quebec City]''' :
 +
*En devenant membre ($50 US / 1 an), sélectionnez notre chapitre pour lui verser 40% du montant: https://www.owasp.org/index.php/Membership
 +
*En faisant un don via Paypal en cliquant sur le bouton " Donate " juste au bas de cette page
 +
 
 +
 
 +
 
 +
==Rencontre du 2 juin 2015==
 +
 +
===SSL et les problèmes de validation de certificats dans les applications mobiles===
 +
 +
Les protocoles SSL/TLS et les certificats X.509 sont des éléments essentiels de la sécurité sur internet. Jusqu'à "récemment", la grande majorité des développeurs n'avaient à se soucier de cette composante que lors du déploiement de leur application: on met un certificat sur le serveur, et voilà! Mais aujourd'hui, c'est fort différent.
 +
 
 +
Pourquoi ? Les applications mobiles.
 +
 
 +
Dans un monde PC, la validation du côté client du certificat SSL renvoyé par le server se fait presque toujours par le navigateur web. Par contre, dans le monde mobile, chaque application doit elle-même faire la validation du certificat serveur pour éviter les "Man-in-the-middle". Cependant, vérifier correctement un certificat SSL ne semble pas être une tâche simple.
 +
 
 +
Dans cette présentation, nous aborderons rapidement les grandes lignes de la mécanique de validation des certificats SSL. Par la suite, nous présenterons un prototype de laboratoire virtuel permettant de tester automatiquement si une application Android valide bien les certificats SSL qu'elle reçoit (ou si elle expose ses usagers à du vol d’information sensible par une attaque Man-in-the-middle). Finalement, nous terminerons avec les résultats préliminaires d'une étude sur la qualité des implémentations SSL dans les applications Android existantes.
 +
 
 +
====Conférenciers====
 +
{| border="0"
 +
[[image:Team1CegepSteFoy.png|600x225px|left]]
 +
|
 +
'''Marc-Antoine Fortier, Marc-Antoine Ferland, Simon Desloges et Jonathan Ouellet'''<br />
 +
Étudiants en informatique au Cégep Sainte-Foy <br />
 +
 
 +
'''François Gagnon'''<br />
 +
Professeur-Chercheur au '''[http://www.cegep-ste-foy.qc.ca/cybersecurite Laboratoire de recherche en cybersécurité du Cégep Ste-Foy]''' <br />
 +
 
 +
 +
 
 +
 
 +
 
 +
 
 +
|}
 +
 
 +
 
 +
 
 +
 
 +
 
 +
==OWASP Ottawa & OWASP Quebec at ICCE 2014 : "The Insider Threats"==
 +
 +
===OWASP booth at International Conference on Corporate Espionage and Industrial Security (ICCE)===
 +
 +
 +
 +
 +
[[Image:ICCE_Logo_small.png|200x53px|left|link=http://icceconferences.com/app.php/]] OWASP Ottawa and OWASP Quebec City chapters, are proud to announce their participation at the new and improved International Conference on Corporate Espionage and Industrial Security (ICCE 2014), taking place on December 1-2, at the Hilton Lac-Leamy Conference Centre. There, we'll hold an OWASP booth.
 +
 
 +
 
 +
This year, the conference will provide exclusive solutions and security practices to help you and your company to counter the “Insider Threats”.
 +
 
 +
This edition promises to be even greater than the last (CISC2011) with exclusives highlights such as:
 +
 
 +
*Two days of “Secret” Level Briefings
 +
*The “Bugged Room” Challenge
 +
*Presentations of Surveillance and Counter-Surveillance Equipment that could be used by or against you
 +
*Opportunity to visit the [http://icceconferences.com/app.php/venue Casino Lac-Leamy Security Centre]
 +
*Keynotes by former foreign spies
 +
*And much more!
 +
 
 +
ICCE 2014 has a team of renowned international speakers. Among them, we can find:
 +
 
 +
*Renee Guttmann – Vice President, Office of the CISO at Accuvant (United States)
 +
*John E. McClurg – Chief Security Officer, Dell (United States)
 +
*Lt-Colonel Rene Lopez – Former Cuban Intelligence Officer (Cuba)
 +
*Brian Shields – Former Senior Advisor System Security, Nortel (United States)
 +
*Richard Olszewski – Chief of Staff, Haut Comité Français pour la Défense Civile (France)
 +
*Michel Juneau-Katsuya – CEO, Northgate (Canada)
 +
*And many other (visit our Speaker  page for more information)
 +
 
 +
 
 +
==Collaboration OWASP Montréal & OWASP Québec au HackFest 2014==
 +
 +
===Kiosque OWASP et OWASP mini CTF===
 +
 
 +
 
 +
 
 +
[[Image:Hackfest_return.png|200x75px|left|link=http://www.hackfest.ca]] Le chapitre OWASP Québec et OWASP Montréal ont collaboré avec le Hackfest.ca pour animer un kiosque OWASP lors des 2 jours de conférences (7-8 novembre 2014) au [http://www.hackfest.ca HackFest 2014].  Nous avons également tenu un '''mini CTF sécurité applicative''' au "HackFest Party" du samedi soir 8 novembre.
 +
 
 +
 
 +
 
 +
==Rencontre du 30 septembre 2014==
 +
 +
===Ce que vous devriez savoir sur le Cloud computing===
 +
 +
Vous songez à réduire vos coûts liés à la gestion de vos infrastructures ?technologiques et de vos applications?  Vous avez entendu dire que le Cloud Computing (pour certains l'infonuagique ou informatique en nuage) permettait d’augmenter la disponibilité, la performance et l'extensibilité de vos applications tout en protégeant vos actifs informationnels?  En consommateur avisé, vous êtes méfiants et aimeriez en savoir davantage avant de vous lancer dans une aventure ou seuls les plus aguerris s’en sortent sans y laisser de plumes.  Si tel est votre cas, ou si vous êtes tout simplement curieux de voir l'envers de la médaille, cette conférence est pour vous!
 +
Nous vous apporterons des pistes de solutions ainsi qu’un retour sur nos expériences de travail vécues sur la sécurité dans le Cloud.
 +
 
 +
Voici la '''[http://www.slideshare.net/PatrickLeclerc/ce-que-vous-devriez-savoir-sur-le-cloud-computing-owasp-quebec présentation]'''
 +
 
 +
====Conférenciers====
 +
{| border="0"
 +
[[image:YannRivière.png|100px|left]]
 +
|
 +
'''Yann Rivière'''<br />
 +
Consultant senior en sécurité <br />
 +
EGYDE Services & Conseils en sécurité de l'information
 +
 +
 
 +
 
 +
|}
 +
{| border="0"
 +
[[image:PatrickLeclerc.png|100px|left]]
 +
|
 +
'''Patrick Leclerc'''<br />
 +
Architecte logiciel et sécurité applicative <br />
 +
EGYDE Services & Conseils en sécurité de l'information
 +
 +
 
 +
|}
 +
 
 +
 
 +
==Rencontre du 10 juin 2014==
 +
 
 +
===Avez-vous dit XSS ? (Cross-site Scripting)===
 +
 +
La faille dite de '''Cross-site scripting (XSS)''' est une faille web bien connue des pirates informatiques.  Sur un site web vulnérable, elle permet d’y injecter du code malicieux qui sera exécuté à partir du navigateur des visiteurs, ou plutôt, des victimes...
 +
 +
Ces failles peuvent sembler bénignes de prime abord, mais lorsqu'elles sont exploitées malicieusement, elles deviennent un vecteur d'attaque puissant pour d'éventuels attaquants.
 +
 +
Cette présentation se veut une introduction aux différents types de failles XSS de base.
 +
 
 +
Nous couvrirons plusieurs sujets relatifs aux failles XSS:<br />
 +
 
 +
- Qu’est-ce que le XSS?<br />
 +
- Pourquoi devons-nous nous en préoccuper?<br />
 +
- Comment les découvrir<br />
 +
- Comment les tester via des scénarios d'attaques classiques<br />
 +
- Comment s'en prémunir<br />
 +
 
 +
{| border="0"
 +
[[image:johanRenaut.png|100px|left]]
 +
|
 +
'''Johan Renaut'''<br />
 +
Analyste en sécurité de l'information <br />
 +
EGYDE Services & Conseils en sécurité de l'information
 +
 +
 
 +
 
 +
|}
 +
 
 +
 
 +
==Rencontre du 15 avril 2014==
 +
 
 +
===La sécurité applicative et le cycle de développement===
 +
 +
Encore de nos jours la majorité des applications Web comportent des vulnérabilités, ces dernières représentent plus souvent qu'autrement des risques dont les organisations ignorent encore l'existence.
 +
Certaines organisations croient qu'un simple balayage de vulnérabilités parfois accompagné d'un test d'intrusion sont les seuls moyens d'identifier les risques, mais encore faut-il les corriger après!
 +
S'il y a des coûts à prévenir et mitiger les risques, ils sont décuplés lorsque nous avons à les corriger!
 +
 
 +
Dans cette '''[http://www.slideshare.net/PatrickLeclerc/securite-applicative-et-sdlc-owasp-quebec-15-avril-2014-diffusion présentation]''', découvrez comment identifier et mitiger vos risques de sécurité en les prenant en charge tout au long du cycle de développement.  Vous avez intérêts, puisque depuis quelques années déjà, Gartner identifiait que 75% des attaques étaient dirigées sur les applications Web.  Plusieurs firmes ont fait les manchettes ces dernières années, n'attendez pas votre tour.
 +
 
 +
{| border="0"
 +
[[image:PatrickLeclerc.png|100px|left]]
 +
|
 +
'''Patrick Leclerc'''<br />
 +
Architecte logiciel et sécurité applicative <br />
 +
EGYDE Services & Conseils en sécurité de l'information
 +
 +
 
 +
 
 +
|}
 +
 
 +
 
 +
==Rencontre du 19 février 2014==
 +
 +
===Développement d’une application sécurisée : étanchéité par le pipeline Web et le cadre d’application===
 +
 +
Par le biais de techniques fort simples, l’application de règles applicatives centralisées très sévères et l’utilisation d’un cadre d’application (framework) approprié, il n’est pas utopique d’éliminer 100% des vulnérabilités d’une application Web et de son infrastructure sous-jacente. Mais, pour cela, l’application et son infrastructure doivent respecter un ensemble de conditions bien précises. Cette présentation très concrète fera un survol de la recette pour développer une application sécuritaire, même contre les erreurs des développeurs.
 +
 +
'''Cette [http://prezi.com/ivp3kylabx32 présentation] veut provoquer la discussion sur certaines pratiques de développement et d’implantation de sites Web.'''
 +
 +
{| border="0"
 +
[[image:Eric Chartré.png|100px|left]]
 +
|
 +
'''Eric Chartré'''<br />
 +
Spécialiste technique en architecture Web <br />
 +
TELUS Communications inc.
 +
 
 +
 
 +
|}
 +
 
 +
== Première rencontre 2013 des membres OWASP Quebec City ==
 +
 
 +
Voici le contenu de la rencontre de lancement: http://www.slideshare.net/PatrickLeclerc/premire-rencontre-dowasp-qubec
 +
 
 +
== Une première collaboration pour OWASP Quebec City et le Hackfest 2012 ==
 +
 
 +
[[Image:Hackfest_comm.png?|200x75px|left|link=http://www.hackfest.ca]]Le chapitre OWASP Québec a collaboré avec le '''[http://www.hackfest.ca Hackfest.ca]''' pour obtenir les services de '''[https://www.owasp.org/index.php/User:Jmanico Jim Manico]''', membre actif OWASP et VP Architecture sécurité chez [https://www.whitehatsec.com/ WhiteHat Security] pour présenter une conférence sur '''les 10 meilleures techniques de programmation pour protéger les applications Web'''.
 +
 
 +
 
 +
 
 +
 
 +
== Conférence de Jim Manico au Hackfest 2012 ==
 +
 
 +
'''Top Ten Web Defenses:''' We cannot hack or firewall our way secure. Application programmers need to learn to code in a secure fashion if we have any chance of providing organizations with proper defenses in the current threatscape. This talk will discuss '''the 10 most important security-centric computer programming techniques''' necessary to build low-risk web-based applications.
 +
 
 +
{| border="0"
 +
[[image:AppSecDC12-manico.jpg|100px|left|link=https://www.owasp.org/index.php/User:Jmanico]]
 +
|
 +
'''Jim Manico'''<br />
 +
OWASP Global Board Member  <br />
 +
VP Security Architecture at WhiteHat Security <br />
 +
|}
 +
 
 +
 
 +
 
 +
 
 +
 
  
 
= Participation =
 
= Participation =
 
Les rencontres OWASP sont ouvertes à tous et gratuites. Nous encourageons l'échange informel sur tous sujets relatifs à la sécurité applicative. Toute personne intéressée par la sécurité applicative est la bienvenue aux rencontres.
 
Les rencontres OWASP sont ouvertes à tous et gratuites. Nous encourageons l'échange informel sur tous sujets relatifs à la sécurité applicative. Toute personne intéressée par la sécurité applicative est la bienvenue aux rencontres.
<br>
 
 
   
 
   
 
Les sujets principalement abordés sont:
 
Les sujets principalement abordés sont:
Line 87: Line 386:
 
*Sécurité d'architectures et technologies de développement logiciel
 
*Sécurité d'architectures et technologies de développement logiciel
 
*Gouvernance de la sécurité logicielle dans les organisations
 
*Gouvernance de la sécurité logicielle dans les organisations
<br>
+
 
  
 
'''Conférenciers / Intervenants'''<br>
 
'''Conférenciers / Intervenants'''<br>
 
Si vous souhaitez présenter un sujet lors d'une prochaine rencontre OWASP ou avez une question relative aux rencontres de la section OWASP Ville de Québec, n'hésitez pas à envoyer un email à [mailto:patrick.leclerc@owasp.org Patrick Leclerc]. Toute intervention orale (présentation, formation) lors d'un meeting OWASP est soumise à l'acceptation préalable du [https://www.owasp.org/index.php/Speaker_Agreement règlement des conférenciers].
 
Si vous souhaitez présenter un sujet lors d'une prochaine rencontre OWASP ou avez une question relative aux rencontres de la section OWASP Ville de Québec, n'hésitez pas à envoyer un email à [mailto:patrick.leclerc@owasp.org Patrick Leclerc]. Toute intervention orale (présentation, formation) lors d'un meeting OWASP est soumise à l'acceptation préalable du [https://www.owasp.org/index.php/Speaker_Agreement règlement des conférenciers].
<br>
+
 
 +
 
 +
----
 +
 
 +
'''Nos activités sont pour la plupart gratuites pour tous. Soyez plus que participants, devenez membre de notre communauté! Pour [https://www.owasp.org/index.php/Membership_Map devenir membre OWASP]'''
  
 
= Commandites =
 
= Commandites =
Line 99: Line 402:
 
* Facility Sponsor: publicité des évènements OWASP Quebec City et/ou mise à la disposition de salles équipées pour la tenue des meetings OWASP Ville de Québec
 
* Facility Sponsor: publicité des évènements OWASP Quebec City et/ou mise à la disposition de salles équipées pour la tenue des meetings OWASP Ville de Québec
 
* Organization Supporter: soutien financier annuel de la fondation OWASP + 40% de la cotisation reversés à la section affiliée (OWASP Quebec City)
 
* Organization Supporter: soutien financier annuel de la fondation OWASP + 40% de la cotisation reversés à la section affiliée (OWASP Quebec City)
<br>
+
Pour toute information relative au sponsoring affilié à la section, merci de contacter [mailto:annemarie.faber@owasp.org Anne-Marie Faber] ou consulter la page [https://www.owasp.org/index.php/Membership memberships] dédiée à cet effet.
+
Pour toute information relative au sponsoring affilié à la section, merci de contacter [mailto:patrick.leclerc@owasp.org Patrick Leclerc] ou consulter la page [https://www.owasp.org/index.php/Membership memberships] dédiée à cet effet.
<br>
+
<table>
+
<tr>
+
<td>
+
== Remerciements ==
+
[[Image:Secus_logo.jpg|183x76px|left|link=http://www.secus.ca]]Merci au magazine '''[http://www.secus.ca Secus]''' pour ses publications et annonces pour le chapitre OWASP Québec.
+
 
+
SÉCUS est un magazine électronique produit par des professionnels québécois de la sécurité de l’information. Il est destiné à tous les francophones ayant un intérêt professionnel ou personnel à ce sujet. Le but de cette initiative est d’offrir une tribune aux experts afin de diffuser leur savoir, de faire connaître les produits et services et, finalement, de promouvoir la sécurité informatique.
+
<br>
+
</td>
+
</tr>
+
</table>
+
  
 
= Contact et Newsletter =
 
= Contact et Newsletter =
 
Pour nous contacter : [mailto:patrick.leclerc@owasp.org OWASP Ville de Québec]<br>
 
Pour nous contacter : [mailto:patrick.leclerc@owasp.org OWASP Ville de Québec]<br>
 
Pour s'inscrire à la liste de diffusion: [http://lists.owasp.org/mailman/listinfo/owasp-quebeccity liste OWASP Ville de Québec]
 
Pour s'inscrire à la liste de diffusion: [http://lists.owasp.org/mailman/listinfo/owasp-quebeccity liste OWASP Ville de Québec]
<br>
 
  
 
<headertabs />
 
<headertabs />

Latest revision as of 20:54, 4 February 2016


[edit]

6 au 8 avril 2016: Partenariat OWASP Québec et Web à Québec 2016

WAQsmall.png






OWASP Québec a conclu un partenariat avec Web à Québec 2016

Profitez d'un rabais de 15% sur l'incontournable du développement Web à Québec!

Entrez le code promotionnel OWASP@WAQ16 sur waq2016.eventbrite.com ou cliquez sur ce lien pour obtenir 15% de rabais sur les forfaits disponibles

Aussi, pour les 4 premiers membres OWASP un rabais de 400$ sur le prix régulier (envoyez-moi votre confirmation de membership OWASP)


Surtout! Profitez de votre passage au WAQ 2016 pour assiter à la conférence de David Caissy Sécurité des applications Web en 2016


7 mars 2016: Conférence de David Caissy, consultant pour le Département de la Défense Nationale

Sujet à venir...

DavidCaissy2.png

David Caissy
Security Consultant
Department of National Defense





Lieu

Local P-451 du CÉGEP de Ste-Foy, Aile "P"

Horaire

18:30 - 19:00 Accueil
19:00 - 20:00 Conférence: David Caissy
20:00 - 20:30 Questions, discussions, débats, suites
20:30 - Réseautage

Stationnement

Le stationnement accessible à partir de la rue Nicolas Pinel est gratuit à partir de 18h00.

Lunch

Vous pouvez apporter votre repas (lunch froid) si vous le désirez, des tables sont à votre disposition.

Gratuit, RSVP!

Comme à l'habitude, cet événement est gratuit et ouvert à tous. SVP, afin de nous permettre d'assurer une meilleure logistique confirmez votre présence

Remerciements à nos commenditaires

Cegep ste-foy.png

pour la salle



Nous sommes toujours à la recherche de conférenciers, de démonstrations ou de sujets de discussion. Manifestez-vous!

Bienvenue sur la page d'accueil du chapitre OWASP Ville de Québec (OWASP Quebec City).


Vous pouvez vous inscrire à la liste de distribution OWASP Ville de Québec pour recevoir les dernières annonces et notifications de rencontres du chapitre. Vous pouvez aussi nous suivre sur:



Nos activités sont pour la plupart gratuites pour tous. Soyez plus que participants, devenez membre de notre communauté! Pour devenir membre OWASP

Les meetings OWASP ont lieu quelques fois par année et se déroulent généralement dans une salle prêtée par un commenditaire ou partenaire de l'OWASP. Maintenez-vous informé des prochaines rencontres en vous inscrivant à la liste OWASP Ville de Québec.

16 mars 2016 | Présentation de Patrick Leclerc d'OWASP Québec à l'ASIQ

7 avril 2016 | David Caissy, consultant en sécurité pour le Départememnt de la Défense Nationale

8 avril 2016 | Présentation de David Caissy au WAQ 2016, Sécurité des applications Web en 2016

Autres évènements à venir, suivez-nous sur notre liste OWASP Québec ou sur nos médias sociaux


2 février 2016: Comprendre l'usage de la crypto pour les développeurs : choses à faire et à ne pas faire

Souvent, la cryptographie (encryptions, hashing, etc.) est enseignée et présentée d'un point de vue mathématique. Par contre, dans l'industrie, les problèmes les plus fréquents qui sont rencontrés n'ont rien à voir avec les mathématiques, mais sont plutôt dus à une mauvaise utilisation pratique des techniques de cryptographie. Dans cette présentation, je ferai un rappel des différents outils de cryptographie et de leur raison d'être, et je parlerai des problèmes fréquents rencontrés avec leur utilisation. Je ne parlerai pas des algorithmes mathématiques, mais plutôt de l'aspect pratique de l'utilisation de ces algorithmes.

LouisNadeau.png

Louis Nadeau
Responsable de la sécurité
Bentley Systems



6-7 novembre: Collaboration OWASP Montréal & OWASP Québec au HackFest 2015

Hackfest lucky.png




Kiosque OWASP et mini CTF OWASP

Le chapitre OWASP Québec et OWASP Montréal collaborent pour animer un kiosque OWASP lors des 2 jours de conférences et de jeux de hacking au HackFest 2015.

Nous aurons également un mini CTF OWASP au "HackFest Party" du samedi soir 7 novembre.

Le mini-CTF (Capture The Flag) OWASP est une compétition de sécurité Web avec des défis très accessibles. La finale sera diffusée sur grand écran et commentée en direct! Pour se qualifier, obtenez le plus de points et ce, le plus rapidement possible.


20-21 octobre: OWASP Québec au CQSI, Le Carrefour de l'industrie de la sécurité




Le chapitre OWASP Ville de Québec est heureux d'annoncer sa participation au CQSI 2015 (Carrefour de l'industrie de sécurité) qui aura lieu du 20-21 octobre au Centre des congrès de Québec.

Pour supporter OWASP Quebec City :

  • En devenant membre ($50 US / 1 an), sélectionnez notre chapitre pour lui verser 40% du montant: https://www.owasp.org/index.php/Membership
  • En faisant un don via Paypal en cliquant sur le bouton " Donate " juste au bas de cette page


Rencontre du 2 juin 2015

SSL et les problèmes de validation de certificats dans les applications mobiles

Les protocoles SSL/TLS et les certificats X.509 sont des éléments essentiels de la sécurité sur internet. Jusqu'à "récemment", la grande majorité des développeurs n'avaient à se soucier de cette composante que lors du déploiement de leur application: on met un certificat sur le serveur, et voilà! Mais aujourd'hui, c'est fort différent.

Pourquoi ? Les applications mobiles.

Dans un monde PC, la validation du côté client du certificat SSL renvoyé par le server se fait presque toujours par le navigateur web. Par contre, dans le monde mobile, chaque application doit elle-même faire la validation du certificat serveur pour éviter les "Man-in-the-middle". Cependant, vérifier correctement un certificat SSL ne semble pas être une tâche simple.

Dans cette présentation, nous aborderons rapidement les grandes lignes de la mécanique de validation des certificats SSL. Par la suite, nous présenterons un prototype de laboratoire virtuel permettant de tester automatiquement si une application Android valide bien les certificats SSL qu'elle reçoit (ou si elle expose ses usagers à du vol d’information sensible par une attaque Man-in-the-middle). Finalement, nous terminerons avec les résultats préliminaires d'une étude sur la qualité des implémentations SSL dans les applications Android existantes.

Conférenciers

Team1CegepSteFoy.png

Marc-Antoine Fortier, Marc-Antoine Ferland, Simon Desloges et Jonathan Ouellet
Étudiants en informatique au Cégep Sainte-Foy

François Gagnon
Professeur-Chercheur au Laboratoire de recherche en cybersécurité du Cégep Ste-Foy






OWASP Ottawa & OWASP Quebec at ICCE 2014 : "The Insider Threats"

OWASP booth at International Conference on Corporate Espionage and Industrial Security (ICCE)

ICCE Logo small.png
OWASP Ottawa and OWASP Quebec City chapters, are proud to announce their participation at the new and improved International Conference on Corporate Espionage and Industrial Security (ICCE 2014), taking place on December 1-2, at the Hilton Lac-Leamy Conference Centre. There, we'll hold an OWASP booth.


This year, the conference will provide exclusive solutions and security practices to help you and your company to counter the “Insider Threats”.

This edition promises to be even greater than the last (CISC2011) with exclusives highlights such as:

  • Two days of “Secret” Level Briefings
  • The “Bugged Room” Challenge
  • Presentations of Surveillance and Counter-Surveillance Equipment that could be used by or against you
  • Opportunity to visit the Casino Lac-Leamy Security Centre
  • Keynotes by former foreign spies
  • And much more!

ICCE 2014 has a team of renowned international speakers. Among them, we can find:

  • Renee Guttmann – Vice President, Office of the CISO at Accuvant (United States)
  • John E. McClurg – Chief Security Officer, Dell (United States)
  • Lt-Colonel Rene Lopez – Former Cuban Intelligence Officer (Cuba)
  • Brian Shields – Former Senior Advisor System Security, Nortel (United States)
  • Richard Olszewski – Chief of Staff, Haut Comité Français pour la Défense Civile (France)
  • Michel Juneau-Katsuya – CEO, Northgate (Canada)
  • And many other (visit our Speaker page for more information)


Collaboration OWASP Montréal & OWASP Québec au HackFest 2014

Kiosque OWASP et OWASP mini CTF

Hackfest return.png
Le chapitre OWASP Québec et OWASP Montréal ont collaboré avec le Hackfest.ca pour animer un kiosque OWASP lors des 2 jours de conférences (7-8 novembre 2014) au HackFest 2014. Nous avons également tenu un mini CTF sécurité applicative au "HackFest Party" du samedi soir 8 novembre.


Rencontre du 30 septembre 2014

Ce que vous devriez savoir sur le Cloud computing

Vous songez à réduire vos coûts liés à la gestion de vos infrastructures ?technologiques et de vos applications? Vous avez entendu dire que le Cloud Computing (pour certains l'infonuagique ou informatique en nuage) permettait d’augmenter la disponibilité, la performance et l'extensibilité de vos applications tout en protégeant vos actifs informationnels? En consommateur avisé, vous êtes méfiants et aimeriez en savoir davantage avant de vous lancer dans une aventure ou seuls les plus aguerris s’en sortent sans y laisser de plumes. Si tel est votre cas, ou si vous êtes tout simplement curieux de voir l'envers de la médaille, cette conférence est pour vous! Nous vous apporterons des pistes de solutions ainsi qu’un retour sur nos expériences de travail vécues sur la sécurité dans le Cloud.

Voici la présentation

Conférenciers

YannRivière.png

Yann Rivière
Consultant senior en sécurité
EGYDE Services & Conseils en sécurité de l'information


PatrickLeclerc.png

Patrick Leclerc
Architecte logiciel et sécurité applicative
EGYDE Services & Conseils en sécurité de l'information



Rencontre du 10 juin 2014

Avez-vous dit XSS ? (Cross-site Scripting)

La faille dite de Cross-site scripting (XSS) est une faille web bien connue des pirates informatiques. Sur un site web vulnérable, elle permet d’y injecter du code malicieux qui sera exécuté à partir du navigateur des visiteurs, ou plutôt, des victimes...

Ces failles peuvent sembler bénignes de prime abord, mais lorsqu'elles sont exploitées malicieusement, elles deviennent un vecteur d'attaque puissant pour d'éventuels attaquants.

Cette présentation se veut une introduction aux différents types de failles XSS de base.

Nous couvrirons plusieurs sujets relatifs aux failles XSS:

- Qu’est-ce que le XSS?
- Pourquoi devons-nous nous en préoccuper?
- Comment les découvrir
- Comment les tester via des scénarios d'attaques classiques
- Comment s'en prémunir

JohanRenaut.png

Johan Renaut
Analyste en sécurité de l'information
EGYDE Services & Conseils en sécurité de l'information



Rencontre du 15 avril 2014

La sécurité applicative et le cycle de développement

Encore de nos jours la majorité des applications Web comportent des vulnérabilités, ces dernières représentent plus souvent qu'autrement des risques dont les organisations ignorent encore l'existence. Certaines organisations croient qu'un simple balayage de vulnérabilités parfois accompagné d'un test d'intrusion sont les seuls moyens d'identifier les risques, mais encore faut-il les corriger après! S'il y a des coûts à prévenir et mitiger les risques, ils sont décuplés lorsque nous avons à les corriger!

Dans cette présentation, découvrez comment identifier et mitiger vos risques de sécurité en les prenant en charge tout au long du cycle de développement. Vous avez intérêts, puisque depuis quelques années déjà, Gartner identifiait que 75% des attaques étaient dirigées sur les applications Web. Plusieurs firmes ont fait les manchettes ces dernières années, n'attendez pas votre tour.

PatrickLeclerc.png

Patrick Leclerc
Architecte logiciel et sécurité applicative
EGYDE Services & Conseils en sécurité de l'information



Rencontre du 19 février 2014

Développement d’une application sécurisée : étanchéité par le pipeline Web et le cadre d’application

Par le biais de techniques fort simples, l’application de règles applicatives centralisées très sévères et l’utilisation d’un cadre d’application (framework) approprié, il n’est pas utopique d’éliminer 100% des vulnérabilités d’une application Web et de son infrastructure sous-jacente. Mais, pour cela, l’application et son infrastructure doivent respecter un ensemble de conditions bien précises. Cette présentation très concrète fera un survol de la recette pour développer une application sécuritaire, même contre les erreurs des développeurs.

Cette présentation veut provoquer la discussion sur certaines pratiques de développement et d’implantation de sites Web.

Eric Chartré.png

Eric Chartré
Spécialiste technique en architecture Web
TELUS Communications inc.


Première rencontre 2013 des membres OWASP Quebec City

Voici le contenu de la rencontre de lancement: http://www.slideshare.net/PatrickLeclerc/premire-rencontre-dowasp-qubec

Une première collaboration pour OWASP Quebec City et le Hackfest 2012

Le chapitre OWASP Québec a collaboré avec le Hackfest.ca pour obtenir les services de Jim Manico, membre actif OWASP et VP Architecture sécurité chez WhiteHat Security pour présenter une conférence sur les 10 meilleures techniques de programmation pour protéger les applications Web.



Conférence de Jim Manico au Hackfest 2012

Top Ten Web Defenses: We cannot hack or firewall our way secure. Application programmers need to learn to code in a secure fashion if we have any chance of providing organizations with proper defenses in the current threatscape. This talk will discuss the 10 most important security-centric computer programming techniques necessary to build low-risk web-based applications.

AppSecDC12-manico.jpg

Jim Manico
OWASP Global Board Member
VP Security Architecture at WhiteHat Security




Les rencontres OWASP sont ouvertes à tous et gratuites. Nous encourageons l'échange informel sur tous sujets relatifs à la sécurité applicative. Toute personne intéressée par la sécurité applicative est la bienvenue aux rencontres.

Les sujets principalement abordés sont:

  • Analyse et conception d'applications sécurisées
  • Techniques et méthodes de développement sécurisé
  • Évaluation et validation de la sécurité des applications (tests d'intrusion, recherche de vulnérabilités)
  • Sécurité d'architectures et technologies de développement logiciel
  • Gouvernance de la sécurité logicielle dans les organisations


Conférenciers / Intervenants
Si vous souhaitez présenter un sujet lors d'une prochaine rencontre OWASP ou avez une question relative aux rencontres de la section OWASP Ville de Québec, n'hésitez pas à envoyer un email à Patrick Leclerc. Toute intervention orale (présentation, formation) lors d'un meeting OWASP est soumise à l'acceptation préalable du règlement des conférenciers.



Nos activités sont pour la plupart gratuites pour tous. Soyez plus que participants, devenez membre de notre communauté! Pour devenir membre OWASP

Quatre formules de sponsoring sont actuellement proposées aux organisations désireuses de soutenir la mission de l'OWASP:

  • Chapter Supporter: soutien financier annuel du chapitre OWASP Ville de Québec
  • Single Meeting Supporter: soutien financier ponctuel, pour un meeting spécifique du chapitre OWASP Ville de Québec
  • Facility Sponsor: publicité des évènements OWASP Quebec City et/ou mise à la disposition de salles équipées pour la tenue des meetings OWASP Ville de Québec
  • Organization Supporter: soutien financier annuel de la fondation OWASP + 40% de la cotisation reversés à la section affiliée (OWASP Quebec City)

Pour toute information relative au sponsoring affilié à la section, merci de contacter Patrick Leclerc ou consulter la page memberships dédiée à cet effet.

Pour nous contacter : OWASP Ville de Québec
Pour s'inscrire à la liste de diffusion: liste OWASP Ville de Québec


funds to OWASP earmarked for Quebec City (Canada) Chapter.