Difference between revisions of "Quebec City"

From OWASP
Jump to: navigation, search
m
(conf du 6 juin)
 
(179 intermediate revisions by 2 users not shown)
Line 1: Line 1:
__NOTOC__  
+
__NOTOC__
 +
[[image:OWASPQcCity.png]]
 +
=Événements à venir=
 +
==6 juin 2017 - Conférence - Quelques outils de modélisation des menaces==
 +
[[image:JonathanMarcil100PX.jpg|100px|left]]
 +
'''Jonathan Marcil'''<br/>
 +
Ancien dirigeant du chapitre OWASP Montréal<br/>
 +
Senior Application Security Engineer, Blizzard Entertainment<br/>
 +
 
  
= Nouvelles OWASP Quebec City =
 
  
==Rencontre du 15 avril 2014==
 
 
===La sécurité applicative et le cycle de développement===
 
 
Encore de nos jours la majorité des applications Web comportent des vulnérabilités, ces dernières représentent plus souvent qu'autrement des risques dont les organisations ignorent encore l'existence.
 
Certaines organisations croient qu'un simple balayage de vulnérabilités parfois accompagné d'un test d'intrusion sont les seuls moyens d'identifier les risques, mais encore faut-il les corriger après!
 
S'il y a des coûts à prévenir et mitiger les risques, ils sont décuplés lorsque nous avons à les corriger!
 
  
Découvrez comment identifier et mitiger vos risques de sécurité en les prenant en charge tout au long du cycle de développement.  Vous avez intérêts, puisque depuis quelques années déjà, Gartner identifiait que 75% des attaques étaient dirigées sur les applications Web.  Plusieurs firmes ont fait les manchettes ces dernières années, n'attendez pas votre tour.
 
  
====Conférencier====
+
Suite à la présentation au sujet de la modélisation de menaces du mois dernier, nous vous présentons ce mois-ci certaines méthodologies qui aideront les projets de toutes de tailles à organiser les menaces et visualiser graphiquement les systèmes en place. L’audience sera donc invitée à prendre part à l’introduction avec les acquis de la dernière présentation. De plus, la discussion sera dirigée vers un point de vue pragmatique qui sera potentiellement différent pour stimuler la pensée critique.
{| border="0"
 
[[image:PatrickLeclerc.png|100px|left]]
 
|
 
'''Patrick Leclerc'''<br />
 
Architecte logiciel et sécurité applicative <br />
 
EGYDE Services & Conseils en sécurité de l'information
 
 
   
 
   
|}
+
Voici la description originale anglaise de la présentation qui vous sera donnée en français à OWASP Québec en juin 2017 :
 
 
 
 
 
 
 
 
  
----
+
====Threat Modeling Toolkit====
 +
Threat Modeling is a great way to analyze security early in software development by structuring possible attacks, bad actors and countermeasures over a broad view of the targeted system. This talk will describe basic components of a threat model and how to use them effectively.
 +
Threat Intelligence is where you gather knowledge about the environment and business assets to determine what are the actual threats. But how do you reconcile that with the current architecture in a useful manner?
 +
The toolkit presented in this talk will enable you to systematically structure related information using graphical notations such as flow diagram and attack tree. In case you are wondering where to start in your organization, a quick lightweight risk rating methodology will also be proposed.
 +
And in the end, you’ll see how we can all tie those together and get threat modeling to a point where it’s an efficient application security activity for communication. Doing this will prevent security reviews from missing important things even when chaos prevails during the realization of a project.
 +
Modeling concepts will be demonstrated with an actual IoT device used as example.
  
====Lieu====
+
====Lieu (attention: changement de local)====
Local P-451 du CÉGEP de Ste-Foy, Aile "P"
+
Local P-451 du CÉGEP de Ste-Foy
  
 
====Horaire====
 
====Horaire====
 
18:00 - 18:30 Accueil <br />
 
18:00 - 18:30 Accueil <br />
18:30 - 18:45 Communications OWASP Québec <br />
+
18:30 - 19:30 Conférence <br />
18:45 - 19:45 Conférence: La sécurité applicative et le cycle de développement <br />
+
19:30 - 20:00 Questions, discussions, débats, suites <br />
19:45 - 20:00 Questions, discussions, débats, suites <br />
 
 
20:00 - Réseautage
 
20:00 - Réseautage
  
Line 42: Line 35:
 
Le stationnement accessible à partir de la rue Nicolas Pinel est gratuit à partir de 18h00.  
 
Le stationnement accessible à partir de la rue Nicolas Pinel est gratuit à partir de 18h00.  
  
====Gratuit, RSVP!====
+
====Lunch====
Comme à l'habitude, cet événement est gratuit et ouvert à tous. SVP, afin de nous permettre d'assurer une meilleure logistique [mailto:patrick.leclerc@owasp.org confirmez votre présence]
+
Vous pouvez apporter votre repas (lunch froid) si vous le désirez, des tables sont à votre disposition.  
 +
 
 +
====Remerciements====
 +
Merci au Cégep de Ste-Foy de nous fournir les locaux et à Bentley Systems pour les breuvages et grignotines.  
  
====Remerciements à nos commenditaires====
+
====Inscription gratuite! RSVP!====
{| border="0"
+
[[Image:Eventbrite.png|left|link=http://bit.ly/OWASPQc-06jun17]]
[[Image:cegep_ste-foy.png‎|150x45px|left|link=http://www.cegep-ste-foy.qc.ca/csf4/index.php]]
+
<br/><br/><br/>
|
 
  
 +
----
 +
<br/>
  
pour la salle <br />
+
= Historique =
 +
==9 mai 2017 - Conférence - La modélisation des menaces : Comment éviter que votre frigo Internet ne se retourne contre vous?==
 +
[[image:VincentGoulet100PX.jpg|100px|left]]
 +
'''Vincent Goulet'''<br/>
 +
Conseiller principal en Sécurité de l'information<br/>
 +
In Fidem<br/>
  
|}
 
  
{| border="0"
 
[[Image:Egyde.png‎|150x45px|left|link=http://www.egyde.ca]]
 
|
 
  
  
pour les breuvages et grignotines <br />
+
Après avoir discuté des fondements du processus de modélisation des menaces (threat modeling), vous serez invités à tester vos connaissances sur un exemple actuel et amusant. Ensemble, nous déterminerons les principales menaces qui guettent les prochaines générations de frigos connectés et proposerons des pistes de solution.<br/>
 +
Afin de stimuler notre créativité, nous utiliserons deux méthodes complémentaires d’analyse des menaces : STRIDE, le standard de l’industrie (Microsoft) et Security Cards, qui saura vous surprendre par son approche ludique (Université de Washington). Finalement, nous discuterons des principaux défis qui devront être relevés pour favoriser une plus grande adoption de la pratique de modélisation des menaces en entreprise.
  
|}
+
==7 mars 2017 - Conférence - Les logiciels malveillants sur les objets connectés (IoT)==
 +
[[image:OlivierBilodeau.png|100px|left]]
 +
'''Olivier Bilodeau'''<br/>
 +
Leader du département de recherche en cybersécurité<br/>
 +
GoSecure<br/>
  
====Indications====
 
  
[[Image:plan_cegep_ste-foy.png|left]]
 
  
  
 +
On peut trouver des logiciels malveillants partout où du code s'exécute. Les systèmes embarqués, plus communément appelés les objets connectés (Internet of Things - IoT), n'en font pas exception. De leur popularité découle une nouvelle vague de virus et de tactiques. À travers cette présentation, nous verrons comment chasser ce genre de menaces.
  
 +
Les sujets couverts seront:
  
 +
* La difficulté de collecte de logiciels malveillants de type IoT
 +
* Les pots de miel (honeypots)
 +
* Pots de miel hybrides (émulation et réelle exécution)
 +
* Problèmes de rétro-ingénierie et solutions pratiques
 +
* Étude de 3 cas réels: Linux/Moose, MIPS Dropper et LizardStresser DDoS (Linux/Gafgyt)
 +
* Source du problème et pistes de solutions
  
 +
L'auditoire sortira mieux équipé pour affronter cette prochaine génération de logiciels malveillants, et ce en utilisant principalement des outils libres (open source).
  
 +
====Bio====
  
 +
Olivier Bilodeau est à la tête du département de recherche en cybersécurité de GoSecure. Avec plus de 10 ans d’expérience en sécurité informatique.
 +
Il a présenté à plusieurs conférences telles que BlackHat Europe, Defcon, Botconf, SecTor, Derbycon, NorthSec et bien d’autres.
 +
*  https://ca.linkedin.com/in/olivierbilodeau
  
 +
==7 février 2017 - Conférence - Rétro-ingénierie de protocole crypto: Un "starter pack"==
 +
[[image:MaximeLeblanc.png|100px|left]]
 +
'''Maxime Leblanc'''<br/>
 +
Information Security Specialist (SecOps)<br/>
 +
Poka<br/>
  
  
  
  
 +
Dans cette présentation, vous apprendrez les bases de l'analyse de protocole cryptographique, et quelques pistes pouvant aider à détecter une faille au sein de ces protocoles. Aucune connaissance crypto n'est nécessaire a priori (il ne s'agit pas ici de briser des protocoles éprouvés, mais de voir comment leur mauvaise utilisation peut les rendre inefficaces). On fera par le fait même un survol des outils utiles pour la rétro-ingénierie réseau, comme "Wireshark". La présentation sera basée sur un exemple réel d'un protocole VoIP brisé et corrigé récemment.
  
 +
Présentation: [http://bit.ly/presentation7fevrier Rétro-ingénierie de protocole crypto]
  
 +
==29 novembre 2016 - Conférences - Louis Nadeau & Patrick Leclerc==
 +
===Retour sur les conférences OWASP AppSecUSA 2016===
 +
[[image:LouisNadeau.png|100px|left]]
 +
'''Louis Nadeau'''<br />
 +
Co-leader du chapitre OWASP Ville de Québec <br />
 +
Responsable de la sécurité <br />
 +
Bentley Systems
 +
[[image:100px-PatrickLeclerc.png|100px|left]]
 +
'''Patrick Leclerc'''<br />
 +
Leader du chapitre OWASP Ville de Québec <br />
  
 +
Conseiller en sécurité des actifs informationnels <br />
 +
La Capitale
  
  
 +
Nous avons fait un retour sur quelques sujets intéressants des conférences [https://2016.appsecusa.org/ OWASP AppSecUSA 2016]
  
 +
==4 octobre 2016 - Conférence - Patrick Leclerc==
 +
===Cybercrime: Nos données personnelles sont à risque, entre autres parce que nos mots de passe sont inadéquats et mal protégés===
 +
[[image:100px-PatrickLeclerc.png|100px|left]]
 +
'''Patrick Leclerc'''<br />
 +
Conseiller en sécurité des actifs informationnels <br />
 +
La Capitale
  
  
  
 +
De nos jours, la majorité d'entre nous avons une ou plusieurs identité(s) sur Internet (médias sociaux, courriels, fournisseurs de services, services en lignes, etc.).  Cette nouvelle réalité signifie également de nouvelles opportunités de fraude pour les acteurs du crime organisé.  Un nombre sans cesse croissant de fraudes Internet sont rapportées dans les manchettes, tant les individus (oui, vous!) que les compagnies sont ciblés.
  
 +
Empruntant quelques « slides » de la présentation de David Caissy d’avril dernier, qui expliquait que plus de 90 % des mots de passe sont encore trop faibles même lorsqu'ils répondent aux critères de complexité actuels, je vous présenterai les principaux risques, pourquoi nos données sont encore trop souvent mal protégées ainsi que quelques trucs pour vous aider à préserver votre identité en ligne et celles de vos clients.
  
 +
Présentation: [http://fr.slideshare.net/PatrickLeclerc/owasp-quebec-octobre-2016-presentation-sur-les-mots-de-passe L'usage non sécuritaire des mots de passe]
  
 +
==2012 à 2016 - Partenariats - OWASP & Hackfest==
 +
[[Image:Hackfest2016 small.png|200x88px|left|link=http://www.hackfest.ca]]
  
  
Line 99: Line 144:
  
  
 +
Le chapitre OWASP Ville de Québec et OWASP Montréal ont collaborés encore une fois pour assurer une présence OWASP au [http://www.hackfest.ca HackFest 2016]. Formation « Secure Coding and Testing Webservices and Web Applications » de 2 jours dispensée par Jim Manico, kiosque OWASP et Mini CTP OWASP au HackFest party.
 +
----
 +
[[Image:Hackfest_lucky.png|200x75px|left|link=http://www.hackfest.ca]]
  
  
Line 106: Line 154:
  
  
 +
Le chapitre OWASP Québec et OWASP Montréal ont collaborés pour animer un kiosque OWASP lors des 2 jours de conférences et de jeux de hacking au [http://www.hackfest.ca HackFest 2015]. 
 +
Nous avons également animé un '''mini CTF OWASP''' au "HackFest Party".
  
 +
Le mini-CTF (Capture The Flag) OWASP est une compétition de sécurité Web avec des défis très accessibles. La finale a est diffusée sur grand écran et commentée en direct!
 +
Pour se qualifier, obtenez le plus de points et ce, le plus rapidement possible!
 +
----
 +
[[Image:Hackfest_return.png|200x75px|left|link=http://www.hackfest.ca]]
  
  
Line 114: Line 168:
  
  
 +
Le chapitre OWASP Québec et OWASP Montréal ont collaboré avec le Hackfest.ca pour animer un kiosque OWASP lors des 2 jours de conférences (7-8 novembre 2014) au [http://www.hackfest.ca HackFest 2014].  Nous avons également tenu un '''mini CTF sécurité applicative''' au "HackFest Party".
  
 
----
 
----
 +
[[Image:Hackfest_comm.png|200x75px|left|link=http://www.hackfest.ca]]
 +
 +
 +
 +
 +
 +
 +
 +
Le chapitre OWASP Québec a collaboré avec le '''[http://www.hackfest.ca Hackfest.ca]''' pour obtenir les services de '''[https://www.owasp.org/index.php/User:Jmanico Jim Manico]''', membre actif OWASP et VP Architecture sécurité chez [https://www.whitehatsec.com/ WhiteHat Security] pour présenter une conférence sur '''les 10 meilleures techniques de programmation pour protéger les applications Web'''.
 +
 +
==6 septembre 2016 - Conférence - Louis Nadeau==
 +
===Attaques et techniques de défense des sessions Web===
 +
[[image:LouisNadeau.png|100px|left]]
 +
'''Louis Nadeau'''<br />
 +
Responsable de la sécurité <br />
 +
Bentley Systems
 +
 +
 +
 +
Le concept de session est extrêmement important pour permettre aux applications Web de fournir une expérience personnalisée à ses utilisateurs. La session permet à l’utilisateur de ne pas avoir à faire transiger ses informations d’authentification à chaque requête, ce qui serait risqué. Par contre, la (mauvaise) gestion de la session ouvre la porte à plusieurs sortes de menaces. Durant cette présentation, quatre types d’attaques sur les sessions seront présentés ainsi que les bonnes pratiques pour se prémunir de ces problèmes. Entre autres, il sera question de « session hijacking » (différentes variantes), de « session fixation », de « session donation » et de « session puzzling ». D’autres sujets connexes seront aussi abordés comme le temps d’expiration des sessions et les complications liées à l’authentification de type authentification unique.
 +
 +
Présentation: [http://www.slideshare.net/PatrickLeclerc/owasp-qubec-attaques-et-techniques-de-dfense-des-sessions-web-par-louis-nadeau Attaques et techniques de défense des sessions Web]
 +
 +
==6 au 8 avril 2016 - Collaboration - OWASP Québec & Web à Québec 2016==
 +
===Conférence de David Caissy: Sécurité des applications Web en 2016===
 +
[[Image:WAQsmall.png|left|link=http://webaquebec.org/]]
 +
 +
 +
OWASP Québec au [http://webaquebec.org/ Web à Québec 2016]
 +
 +
 +
 +
 +
==7 avril 2016 - Conférence - David Caissy==
 +
===La sécurité des applications Web en 2016===
 +
[[image:DavidCaissy2.png|left]]
 +
'''David Caissy'''<br />
 +
Security Consultant <br />
 +
Department of National Defense
 +
 +
 +
 +
Les vulnérabilités reliées aux applications Web ont été un facteur important dans la plupart des cybers attaques dans le monde en 2015. Malgré cela, l’industrie tarde à réaliser où se trouve le vrai problème : les entreprises investissent massivement dans la protection de leurs réseaux sans savoir que les applications Web ne sont que partiellement protégées par ces mesures. C'est pourquoi 15.1% des applications Web en 2015 possédaient au moins une vulnérabilité de niveau élevé…
 +
 +
Mais la bonne nouvelle est que si certains principes de sécurité sont appliqués dès le début du développement des applications et si les bonnes mesures d’atténuation sont mises en place lors de leur déploiement, il est possible d’obtenir un très haut niveau de sécurité à faible coût.
 +
 +
Alors quelles stratégies devrions-nous adopter pour nous prémunir de ces cybers attaques? Quelles ont été les principales vulnérabilités recensées en 2015? Quels sont les exemples à suivre dans l’industrie et plus important encore, quels sont les pièges à éviter?
 +
 +
==16 mars 2016 - Conférence - Patrick Leclerc==
 +
===Stratégies pour développer et exploiter des applications sécuritaires à [https://asiq.org/ l'ASIQ]===
 +
[[image:100px-PatrickLeclerc.png|left]]
 +
'''Patrick Leclerc'''<br />
 +
Leader du chapitre OWASP Québec <br />
 +
OWASP Ville de Québec
 +
  
'''Nous sommes toujours à la recherche de conférenciers, de démonstrations ou de sujets de discussion. Manifestez-vous!'''
 
  
= Bienvenue =
+
De nos jours les applications Web sont des cibles prisées des pirates informatiques, puisque très fréquemment ils s’y faufilent sans être détectés ou arrêtés.  Parfois même, ces applications représentent un vecteur par lequel un pirate parvient à une compromission complète des systèmes de mission d’une organisation.
  
Bienvenue sur la page d'accueil du chapitre OWASP Ville de Québec ('''OWASP Quebec City''').
+
Vol d’informations confidentielles, fraude, bris de disponibilité, falsification des données, sabotage, sont tous des risques que les organisations doivent tenter de prévenir.  
  
*Le leader du chapitre est [mailto:patrick.leclerc@owasp.org Patrick Leclerc].
+
Dans cette conférence, nous vous ferons connaître quelques stratégies et outils qui vous aideront à prendre en main efficacement le développement et l’exploitation d’applications sécuritaires.
*Le vice-leader est [mailto:yannick.berneron@owasp.org Yannick Berneron].
 
*La responsable des évènements, commandites et communications est [mailto:annemarie.faber@owasp.org Anne-Marie Faber].
 
  
 +
Présentation: [https://asiq.org/evenement/strategies-pour-developper-et-exploiter-applications-securitaires/ Stratégies pour développer et exploiter des applications sécuritaires]
  
Vous pouvez vous inscrire à la [http://lists.owasp.org/mailman/listinfo/owasp-quebeccity liste de distribution OWASP Ville de Québec] pour recevoir les dernières annonces et notifications de rencontres du chapitre.
+
==2 février 2016 - Conférence - Louis Nadeau==
Vous pouvez aussi nous suivre sur:
+
===Comprendre l'usage de la crypto pour les développeurs : choses à faire et à ne pas faire===
*[https://twitter.com/owaspquebec @owaspquebec] sur [http://twitter.com twitter].
+
[[image:LouisNadeau.png|100px|left]]
*[https://www.facebook.com/OwaspQuebec OwaspQuebec] sur [http://facebook.com facebook].
+
'''Louis Nadeau'''<br />
*[http://www.linkedin.com/groups/OWASP-Quebec-4338809 OWASP-Quebec] sur [http://linkedin.com LinkedIn].
+
Responsable de la sécurité <br />
 +
Bentley Systems
 +
  
  
----
+
Souvent, la cryptographie (encryptions, hashing, etc.) est enseignée et présentée d'un point de vue mathématique. Par contre, dans l'industrie, les problèmes les plus fréquents qui sont rencontrés n'ont rien à voir avec les mathématiques, mais sont plutôt dus à une mauvaise utilisation pratique des techniques de cryptographie. Dans cette présentation, je ferai un rappel des différents outils de cryptographie et de leur raison d'être, et je parlerai des problèmes fréquents rencontrés avec leur utilisation. Je ne parlerai pas des algorithmes mathématiques, mais plutôt de l'aspect pratique de l'utilisation de ces algorithmes.
  
'''Nos activités sont pour la plupart gratuites pour tous. Soyez plus que participants, devenez membre de notre communauté! Pour [https://www.owasp.org/index.php/Membership_Map devenir membre OWASP]'''
+
==20 au 21 octobre 2015 - Participation - OWASP==
 +
===OWASP Quebec City au CQSI, Le Carrefour de l'industrie de la sécurité===
 +
[[Image:CQSI.png|200x75px|left|link=http://http://www.cqsi.org/]]
  
= Agenda =
+
Les meetings OWASP ont lieu quelques fois par année et se déroulent généralement dans une salle prêtée par un commenditaire ou partenaire de l'OWASP. Maintenez-vous informé des prochaines rencontres en vous inscrivant à la [http://lists.owasp.org/mailman/listinfo/owasp-quebeccity liste OWASP Ville de Québec].
 
  
  
'''19 février 2014''' | Développement d’une application sécurisée : étanchéité par le pipeline Web et le cadre d’application
 
  
'''15 avril 2014''' | La sécurité applicative et le cycle de développement
 
  
'''10 juin 2014''' | Sujet à venir
+
Le chapitre OWASP Ville de Québec a participé au [http://www.cqsi.org/ CQSI 2015 (Carrefour de l'industrie de sécurité)] le 20 au 21 octobre 2015 au Centre des congrès de Québec.
  
'''30 septembre 2014''' | Retour sur l'[http://2014.appsecusa.org/2014/ AppSec USA 2014]?
+
==2 juin 2015 - Conférence - François Gagnon==
 +
===SSL et les problèmes de validation de certificats dans les applications mobiles===
 +
[[image:Team1CegepSteFoy.png|left]]
 +
'''Marc-Antoine Fortier, Marc-Antoine Ferland, Simon Desloges et Jonathan Ouellet'''<br />
 +
Étudiants en informatique au Cégep Sainte-Foy <br />
  
'''25 novembre 2014''' | Sujet à venir
+
'''François Gagnon'''<br />
 +
Professeur-Chercheur au [http://www.cegep-ste-foy.qc.ca/cybersecurite Laboratoire de recherche en cybersécurité du Cégep Ste-Foy] <br />
  
= Historique =
+
Les protocoles SSL/TLS et les certificats X.509 sont des éléments essentiels de la sécurité sur internet. Jusqu'à "récemment", la grande majorité des développeurs n'avaient à se soucier de cette composante que lors du déploiement de leur application: on met un certificat sur le serveur, et voilà! Mais aujourd'hui, c'est fort différent.
  
== Première rencontre 2013 des membres OWASP Quebec City ==
+
Pourquoi ? Les applications mobiles.
  
Voici le contenu de la rencontre de lancement: http://www.slideshare.net/PatrickLeclerc/premire-rencontre-dowasp-qubec
+
Dans un monde PC, la validation du côté client du certificat SSL renvoyé par le server se fait presque toujours par le navigateur web. Par contre, dans le monde mobile, chaque application doit elle-même faire la validation du certificat serveur pour éviter les "Man-in-the-middle". Cependant, vérifier correctement un certificat SSL ne semble pas être une tâche simple.
  
 +
Dans cette présentation, nous aborderons rapidement les grandes lignes de la mécanique de validation des certificats SSL. Par la suite, nous présenterons un prototype de laboratoire virtuel permettant de tester automatiquement si une application Android valide bien les certificats SSL qu'elle reçoit (ou si elle expose ses usagers à du vol d’information sensible par une attaque Man-in-the-middle). Finalement, nous terminerons avec les résultats préliminaires d'une étude sur la qualité des implémentations SSL dans les applications Android existantes.
  
== Une première collaboration pour OWASP Quebec City et le Hackfest 2012 ==
+
==1 au 2 decembre 2014 - Partenariat - OWASP au ICCE 2014 "The Insider Threats"==
 +
===OWASP booth at International Conference on Corporate Espionage and Industrial Security (ICCE)===
 +
[[Image:ICCE_Logo_small.png|200x53px|left|link=http://icceconferences.com/app.php/]]
  
[[Image:Hackfest_comm.png‎|200x75px|left|link=http://www.hackfest.ca]]Le chapitre OWASP Québec a collaboré avec le '''[http://www.hackfest.ca Hackfest.ca]''' pour obtenir les services de '''[https://www.owasp.org/index.php/User:Jmanico Jim Manico]''', membre actif OWASP et VP Architecture sécurité chez [https://www.whitehatsec.com/ WhiteHat Security] pour présenter une conférence sur '''les 10 meilleures techniques de programmation pour protéger les applications Web'''.
 
  
  
  
  
 +
OWASP Ottawa and OWASP Quebec City chapters had a booth at the International Conference on Corporate Espionage and Industrial Security (ICCE 2014) that took place on December 1-2 2014, at the Hilton Lac-Leamy Conference Centre.  Renee Guttmann, Vice President, Office of the CISO at Accuvant was our invitee.  The conferences provided exclusive solutions and security practices to help counter the “Insider Threats”.
  
== Conférence de Jim Manico au Hackfest 2012 ==
+
==30 septembre 2014 - Conférence - Yann Rivière & Patrick Leclerc==
 +
===Ce que vous devriez savoir sur le Cloud computing===
 +
[[image:YannRivière.png|100px|left]]
 +
'''Yann Rivière'''<br />
 +
Consultant senior en sécurité <br />
 +
EGYDE Services & Conseils en sécurité de l'information
 +
  
'''Top Ten Web Defenses:''' We cannot hack or firewall our way secure. Application programmers need to learn to code in a secure fashion if we have any chance of providing organizations with proper defenses in the current threatscape. This talk will discuss '''the 10 most important security-centric computer programming techniques''' necessary to build low-risk web-based applications.
 
  
{| border="0"
+
[[image:100px-PatrickLeclerc.png|left]]
[[image:AppSecDC12-manico.jpg|100px|left|link=https://www.owasp.org/index.php/User:Jmanico]]
+
'''Patrick Leclerc'''<br />
|
+
Architecte logiciel et sécurité applicative <br />
'''Jim Manico'''<br />
+
EGYDE Services & Conseils en sécurité de l'information
OWASP Global Board Member  <br />
+
VP Security Architecture at WhiteHat Security <br />
 
|}
 
  
  
  
  
 +
Vous songez à réduire vos coûts liés à la gestion de vos infrastructures ?technologiques et de vos applications?  Vous avez entendu dire que le Cloud Computing (pour certains l'infonuagique ou informatique en nuage) permettait d’augmenter la disponibilité, la performance et l'extensibilité de vos applications tout en protégeant vos actifs informationnels?  En consommateur avisé, vous êtes méfiants et aimeriez en savoir davantage avant de vous lancer dans une aventure ou seuls les plus aguerris s’en sortent sans y laisser de plumes.  Si tel est votre cas, ou si vous êtes tout simplement curieux de voir l'envers de la médaille, cette conférence est pour vous!
 +
Nous vous apporterons des pistes de solutions ainsi qu’un retour sur nos expériences de travail vécues sur la sécurité dans le Cloud.
  
 +
Présentation: http://www.slideshare.net/PatrickLeclerc/ce-que-vous-devriez-savoir-sur-le-cloud-computing-owasp-quebec
  
==Rencontre du 19 février 2014==
+
==10 juin 2014 - Conférence - Johan Renaut==
 +
===Avez-vous dit XSS ? (Cross-site Scripting)===
 +
[[image:johanRenaut.png|100px|left]]
 +
'''Johan Renaut'''<br />
 +
Analyste en sécurité de l'information <br />
 +
EGYDE Services & Conseils en sécurité de l'information
 
   
 
   
===Développement d’une application sécurisée : étanchéité par le pipeline Web et le cadre d’application===
+
 
 +
 
 +
La faille dite de '''Cross-site scripting (XSS)''' est une faille web bien connue des pirates informatiques.  Sur un site web vulnérable, elle permet d’y injecter du code malicieux qui sera exécuté à partir du navigateur des visiteurs, ou plutôt, des victimes...
 
   
 
   
Par le biais de techniques fort simples, l’application de règles applicatives centralisées très sévères et l’utilisation d’un cadre d’application (framework) approprié, il n’est pas utopique d’éliminer 100% des vulnérabilités d’une application Web et de son infrastructure sous-jacente. Mais, pour cela, l’application et son infrastructure doivent respecter un ensemble de conditions bien précises. Cette présentation très concrète fera un survol de la recette pour développer une application sécuritaire, même contre les erreurs des développeurs.
+
Ces failles peuvent sembler bénignes de prime abord, mais lorsqu'elles sont exploitées malicieusement, elles deviennent un vecteur d'attaque puissant pour d'éventuels attaquants.
 
   
 
   
'''Cette [http://prezi.com/ivp3kylabx32 présentation] veut provoquer la discussion sur certaines pratiques de développement et d’implantation de sites Web.'''
+
Cette présentation se veut une introduction aux différents types de failles XSS de base.
 +
 
 +
Nous couvrirons plusieurs sujets relatifs aux failles XSS:<br />
 +
 
 +
- Qu’est-ce que le XSS?<br />
 +
- Pourquoi devons-nous nous en préoccuper?<br />
 +
- Comment les découvrir<br />
 +
- Comment les tester via des scénarios d'attaques classiques<br />
 +
- Comment s'en prémunir<br />
 +
 
 +
==15 avril 2014 - Conférence - Patrick Leclerc==
 +
===La sécurité applicative et le cycle de développement===
 +
[[image:100px-PatrickLeclerc.png|left]]
 +
'''Patrick Leclerc'''<br />
 +
Architecte logiciel et sécurité applicative <br />
 +
EGYDE Services & Conseils en sécurité de l'information
 
   
 
   
{| border="0"
+
 
 +
 
 +
Encore de nos jours la majorité des applications Web comportent des vulnérabilités, ces dernières représentent plus souvent qu'autrement des risques dont les organisations ignorent encore l'existence.
 +
Certaines organisations croient qu'un simple balayage de vulnérabilités parfois accompagné d'un test d'intrusion sont les seuls moyens d'identifier les risques, mais encore faut-il les corriger après!
 +
S'il y a des coûts à prévenir et mitiger les risques, ils sont décuplés lorsque nous avons à les corriger!
 +
 
 +
Dans cette [http://www.slideshare.net/PatrickLeclerc/securite-applicative-et-sdlc-owasp-quebec-15-avril-2014-diffusion présentation], découvrez comment identifier et mitiger vos risques de sécurité en les prenant en charge tout au long du cycle de développement.  Vous avez intérêts, puisque depuis quelques années déjà, Gartner identifiait que 75% des attaques étaient dirigées sur les applications Web.  Plusieurs firmes ont fait les manchettes ces dernières années, n'attendez pas votre tour.
 +
 
 +
Présentation: http://www.slideshare.net/PatrickLeclerc/securite-applicative-et-sdlc-owasp-quebec-15-avril-2014-diffusion
 +
 
 +
==19 février 2014 - Conférence - Eric Chartré==
 +
===Développement d’une application sécurisée : étanchéité par le pipeline Web et le cadre d’application===
 
[[image:Eric Chartré.png|100px|left]]
 
[[image:Eric Chartré.png|100px|left]]
|
 
 
'''Eric Chartré'''<br />
 
'''Eric Chartré'''<br />
 
Spécialiste technique en architecture Web <br />
 
Spécialiste technique en architecture Web <br />
Line 201: Line 356:
  
  
 +
 +
Par le biais de techniques fort simples, l’application de règles applicatives centralisées très sévères et l’utilisation d’un cadre d’application (framework) approprié, il n’est pas utopique d’éliminer 100% des vulnérabilités d’une application Web et de son infrastructure sous-jacente. Mais, pour cela, l’application et son infrastructure doivent respecter un ensemble de conditions bien précises. Cette présentation très concrète fera un survol de la recette pour développer une application sécuritaire, même contre les erreurs des développeurs.
 +
 +
Cette [http://prezi.com/ivp3kylabx32 présentation] veut provoquer la discussion sur certaines pratiques de développement et d’implantation de sites Web.
 +
Présentation: http://prezi.com/ivp3kylabx32
 +
 +
----
 +
----
 +
== 2013 - Première rencontre des membres OWASP Quebec City ==
 +
 +
Voici le contenu de la rencontre de lancement: http://www.slideshare.net/PatrickLeclerc/premire-rencontre-dowasp-qubec
 +
 +
== Conférence de Jim Manico au Hackfest 2012 ==
 +
 +
'''Top Ten Web Defenses:''' We cannot hack or firewall our way secure. Application programmers need to learn to code in a secure fashion if we have any chance of providing organizations with proper defenses in the current threatscape. This talk will discuss '''the 10 most important security-centric computer programming techniques''' necessary to build low-risk web-based applications.
 +
 +
{| border="0"
 +
[[image:AppSecDC12-manico.jpg|100px|left|link=https://www.owasp.org/index.php/User:Jmanico]]
 +
|
 +
'''Jim Manico'''<br />
 +
OWASP Global Board Member  <br />
 +
VP Security Architecture at WhiteHat Security <br />
 
|}
 
|}
 +
<br/><br/>
  
 
= Participation =
 
= Participation =
 +
==Communauté==
 
Les rencontres OWASP sont ouvertes à tous et gratuites. Nous encourageons l'échange informel sur tous sujets relatifs à la sécurité applicative. Toute personne intéressée par la sécurité applicative est la bienvenue aux rencontres.
 
Les rencontres OWASP sont ouvertes à tous et gratuites. Nous encourageons l'échange informel sur tous sujets relatifs à la sécurité applicative. Toute personne intéressée par la sécurité applicative est la bienvenue aux rencontres.
 
   
 
   
Line 214: Line 393:
 
*Gouvernance de la sécurité logicielle dans les organisations
 
*Gouvernance de la sécurité logicielle dans les organisations
  
 
+
==Devenez conférencier!==
'''Conférenciers / Intervenants'''<br>
 
 
Si vous souhaitez présenter un sujet lors d'une prochaine rencontre OWASP ou avez une question relative aux rencontres de la section OWASP Ville de Québec, n'hésitez pas à envoyer un email à [mailto:patrick.leclerc@owasp.org Patrick Leclerc]. Toute intervention orale (présentation, formation) lors d'un meeting OWASP est soumise à l'acceptation préalable du [https://www.owasp.org/index.php/Speaker_Agreement règlement des conférenciers].
 
Si vous souhaitez présenter un sujet lors d'une prochaine rencontre OWASP ou avez une question relative aux rencontres de la section OWASP Ville de Québec, n'hésitez pas à envoyer un email à [mailto:patrick.leclerc@owasp.org Patrick Leclerc]. Toute intervention orale (présentation, formation) lors d'un meeting OWASP est soumise à l'acceptation préalable du [https://www.owasp.org/index.php/Speaker_Agreement règlement des conférenciers].
  
 +
==Responsables du chapitre==
 +
Leader: [mailto:patrick.leclerc@owasp.org Patrick Leclerc]<br/>
 +
Vice-leader: [mailto:louis.nadeau@owasp.org Louis Nadeau]
  
----
+
=Supports & Commandites=
 
+
==Supportez-nous!==
'''Nos activités sont pour la plupart gratuites pour tous. Soyez plus que participants, devenez membre de notre communauté! Pour [https://www.owasp.org/index.php/Membership_Map devenir membre OWASP]'''
+
Pour [https://www.owasp.org/index.php/Membership supporter OWASP Quebec City]:
 +
*En devenant membre ($50 US / 1 an), sélectionnez notre chapitre pour lui verser 40% du montant: https://www.owasp.org/index.php/Membership
 +
*En faisant un don via Paypal en cliquant sur le bouton " Donate " juste au bas de cette page
 +
Pour [https://www.owasp.org/index.php/Membership_Map devenir membre OWASP]
  
= Commandites =
+
==Devenez commanditaire de notre communauté!==
 
Quatre formules de sponsoring sont actuellement proposées aux organisations désireuses de soutenir la mission de l'OWASP:
 
Quatre formules de sponsoring sont actuellement proposées aux organisations désireuses de soutenir la mission de l'OWASP:
 
* Chapter Supporter: soutien financier annuel du chapitre OWASP Ville de Québec
 
* Chapter Supporter: soutien financier annuel du chapitre OWASP Ville de Québec
Line 230: Line 414:
 
* Organization Supporter: soutien financier annuel de la fondation OWASP + 40% de la cotisation reversés à la section affiliée (OWASP Quebec City)
 
* Organization Supporter: soutien financier annuel de la fondation OWASP + 40% de la cotisation reversés à la section affiliée (OWASP Quebec City)
 
   
 
   
Pour toute information relative au sponsoring affilié à la section, merci de contacter [mailto:annemarie.faber@owasp.org Anne-Marie Faber] ou consulter la page [https://www.owasp.org/index.php/Membership memberships] dédiée à cet effet.
+
Pour toute information relative au sponsoring affilié à la section, merci de contacter [mailto:patrick.leclerc@owasp.org Patrick Leclerc] ou consulter la page [https://www.owasp.org/index.php/Membership memberships] dédiée à cet effet.
 
 
= Contact et Newsletter =
 
Pour nous contacter : [mailto:patrick.leclerc@owasp.org OWASP Ville de Québec]<br>
 
Pour s'inscrire à la liste de diffusion: [http://lists.owasp.org/mailman/listinfo/owasp-quebeccity liste OWASP Ville de Québec]
 
 
 
 
<headertabs />
 
<headertabs />
  
 +
====Recevez les invitations à nos événements OWASP en nous suivant sur nos médias sociaux!====
 +
[[Image:FacebookLogo.png| Facebook: /OwaspQuebec |link=https://www.facebook.com/OwaspQuebec]]
 +
[[Image:Linkdin.png| LinkedIn: /Owasp-Quebec-4338809 |link=http://www.linkedin.com/groups/OWASP-Quebec-4338809]]
 +
[[Image:Mailing-list.jpg | liste de distribution OWASP Ville de Québec | link=http://lists.owasp.org/mailman/listinfo/owasp-quebeccity]]
 +
[[Image:TwitterLogo.png| Twitter: @owaspquebec |link=https://twitter.com/owaspquebec]]<br/>
  
 
+
Pour nous contacter : [mailto:patrick.leclerc@owasp.org OWASP Ville de Québec]
<paypal>Quebec City (Canada) Chapter</paypal>  
+
----
 +
<paypal>Quebec City (Canada) Chapter</paypal>
 
[[Category:OWASP_Chapter]] [[Category:Canada]]
 
[[Category:OWASP_Chapter]] [[Category:Canada]]

Latest revision as of 21:06, 17 May 2017

OWASPQcCity.png

6 juin 2017 - Conférence - Quelques outils de modélisation des menaces

JonathanMarcil100PX.jpg

Jonathan Marcil
Ancien dirigeant du chapitre OWASP Montréal
Senior Application Security Engineer, Blizzard Entertainment



Suite à la présentation au sujet de la modélisation de menaces du mois dernier, nous vous présentons ce mois-ci certaines méthodologies qui aideront les projets de toutes de tailles à organiser les menaces et visualiser graphiquement les systèmes en place. L’audience sera donc invitée à prendre part à l’introduction avec les acquis de la dernière présentation. De plus, la discussion sera dirigée vers un point de vue pragmatique qui sera potentiellement différent pour stimuler la pensée critique.

Voici la description originale anglaise de la présentation qui vous sera donnée en français à OWASP Québec en juin 2017 :

Threat Modeling Toolkit

Threat Modeling is a great way to analyze security early in software development by structuring possible attacks, bad actors and countermeasures over a broad view of the targeted system. This talk will describe basic components of a threat model and how to use them effectively. Threat Intelligence is where you gather knowledge about the environment and business assets to determine what are the actual threats. But how do you reconcile that with the current architecture in a useful manner? The toolkit presented in this talk will enable you to systematically structure related information using graphical notations such as flow diagram and attack tree. In case you are wondering where to start in your organization, a quick lightweight risk rating methodology will also be proposed. And in the end, you’ll see how we can all tie those together and get threat modeling to a point where it’s an efficient application security activity for communication. Doing this will prevent security reviews from missing important things even when chaos prevails during the realization of a project. Modeling concepts will be demonstrated with an actual IoT device used as example.

Lieu (attention: changement de local)

Local P-451 du CÉGEP de Ste-Foy

Horaire

18:00 - 18:30 Accueil
18:30 - 19:30 Conférence
19:30 - 20:00 Questions, discussions, débats, suites
20:00 - Réseautage

Stationnement

Le stationnement accessible à partir de la rue Nicolas Pinel est gratuit à partir de 18h00.

Lunch

Vous pouvez apporter votre repas (lunch froid) si vous le désirez, des tables sont à votre disposition.

Remerciements

Merci au Cégep de Ste-Foy de nous fournir les locaux et à Bentley Systems pour les breuvages et grignotines.

Inscription gratuite! RSVP!

Eventbrite.png






9 mai 2017 - Conférence - La modélisation des menaces : Comment éviter que votre frigo Internet ne se retourne contre vous?

VincentGoulet100PX.jpg

Vincent Goulet
Conseiller principal en Sécurité de l'information
In Fidem



Après avoir discuté des fondements du processus de modélisation des menaces (threat modeling), vous serez invités à tester vos connaissances sur un exemple actuel et amusant. Ensemble, nous déterminerons les principales menaces qui guettent les prochaines générations de frigos connectés et proposerons des pistes de solution.
Afin de stimuler notre créativité, nous utiliserons deux méthodes complémentaires d’analyse des menaces : STRIDE, le standard de l’industrie (Microsoft) et Security Cards, qui saura vous surprendre par son approche ludique (Université de Washington). Finalement, nous discuterons des principaux défis qui devront être relevés pour favoriser une plus grande adoption de la pratique de modélisation des menaces en entreprise.

7 mars 2017 - Conférence - Les logiciels malveillants sur les objets connectés (IoT)

OlivierBilodeau.png

Olivier Bilodeau
Leader du département de recherche en cybersécurité
GoSecure



On peut trouver des logiciels malveillants partout où du code s'exécute. Les systèmes embarqués, plus communément appelés les objets connectés (Internet of Things - IoT), n'en font pas exception. De leur popularité découle une nouvelle vague de virus et de tactiques. À travers cette présentation, nous verrons comment chasser ce genre de menaces.

Les sujets couverts seront:

  • La difficulté de collecte de logiciels malveillants de type IoT
  • Les pots de miel (honeypots)
  • Pots de miel hybrides (émulation et réelle exécution)
  • Problèmes de rétro-ingénierie et solutions pratiques
  • Étude de 3 cas réels: Linux/Moose, MIPS Dropper et LizardStresser DDoS (Linux/Gafgyt)
  • Source du problème et pistes de solutions

L'auditoire sortira mieux équipé pour affronter cette prochaine génération de logiciels malveillants, et ce en utilisant principalement des outils libres (open source).

Bio

Olivier Bilodeau est à la tête du département de recherche en cybersécurité de GoSecure. Avec plus de 10 ans d’expérience en sécurité informatique. Il a présenté à plusieurs conférences telles que BlackHat Europe, Defcon, Botconf, SecTor, Derbycon, NorthSec et bien d’autres.

7 février 2017 - Conférence - Rétro-ingénierie de protocole crypto: Un "starter pack"

MaximeLeblanc.png

Maxime Leblanc
Information Security Specialist (SecOps)
Poka



Dans cette présentation, vous apprendrez les bases de l'analyse de protocole cryptographique, et quelques pistes pouvant aider à détecter une faille au sein de ces protocoles. Aucune connaissance crypto n'est nécessaire a priori (il ne s'agit pas ici de briser des protocoles éprouvés, mais de voir comment leur mauvaise utilisation peut les rendre inefficaces). On fera par le fait même un survol des outils utiles pour la rétro-ingénierie réseau, comme "Wireshark". La présentation sera basée sur un exemple réel d'un protocole VoIP brisé et corrigé récemment.

Présentation: Rétro-ingénierie de protocole crypto

29 novembre 2016 - Conférences - Louis Nadeau & Patrick Leclerc

Retour sur les conférences OWASP AppSecUSA 2016

LouisNadeau.png

Louis Nadeau
Co-leader du chapitre OWASP Ville de Québec
Responsable de la sécurité
Bentley Systems

100px-PatrickLeclerc.png

Patrick Leclerc
Leader du chapitre OWASP Ville de Québec

Conseiller en sécurité des actifs informationnels
La Capitale


Nous avons fait un retour sur quelques sujets intéressants des conférences OWASP AppSecUSA 2016

4 octobre 2016 - Conférence - Patrick Leclerc

Cybercrime: Nos données personnelles sont à risque, entre autres parce que nos mots de passe sont inadéquats et mal protégés

100px-PatrickLeclerc.png

Patrick Leclerc
Conseiller en sécurité des actifs informationnels
La Capitale


De nos jours, la majorité d'entre nous avons une ou plusieurs identité(s) sur Internet (médias sociaux, courriels, fournisseurs de services, services en lignes, etc.). Cette nouvelle réalité signifie également de nouvelles opportunités de fraude pour les acteurs du crime organisé. Un nombre sans cesse croissant de fraudes Internet sont rapportées dans les manchettes, tant les individus (oui, vous!) que les compagnies sont ciblés.

Empruntant quelques « slides » de la présentation de David Caissy d’avril dernier, qui expliquait que plus de 90 % des mots de passe sont encore trop faibles même lorsqu'ils répondent aux critères de complexité actuels, je vous présenterai les principaux risques, pourquoi nos données sont encore trop souvent mal protégées ainsi que quelques trucs pour vous aider à préserver votre identité en ligne et celles de vos clients.

Présentation: L'usage non sécuritaire des mots de passe

2012 à 2016 - Partenariats - OWASP & Hackfest

Hackfest2016 small.png





Le chapitre OWASP Ville de Québec et OWASP Montréal ont collaborés encore une fois pour assurer une présence OWASP au HackFest 2016. Formation « Secure Coding and Testing Webservices and Web Applications » de 2 jours dispensée par Jim Manico, kiosque OWASP et Mini CTP OWASP au HackFest party.


Hackfest lucky.png




Le chapitre OWASP Québec et OWASP Montréal ont collaborés pour animer un kiosque OWASP lors des 2 jours de conférences et de jeux de hacking au HackFest 2015. Nous avons également animé un mini CTF OWASP au "HackFest Party".

Le mini-CTF (Capture The Flag) OWASP est une compétition de sécurité Web avec des défis très accessibles. La finale a est diffusée sur grand écran et commentée en direct! Pour se qualifier, obtenez le plus de points et ce, le plus rapidement possible!


Hackfest return.png




Le chapitre OWASP Québec et OWASP Montréal ont collaboré avec le Hackfest.ca pour animer un kiosque OWASP lors des 2 jours de conférences (7-8 novembre 2014) au HackFest 2014. Nous avons également tenu un mini CTF sécurité applicative au "HackFest Party".


Hackfest comm.png




Le chapitre OWASP Québec a collaboré avec le Hackfest.ca pour obtenir les services de Jim Manico, membre actif OWASP et VP Architecture sécurité chez WhiteHat Security pour présenter une conférence sur les 10 meilleures techniques de programmation pour protéger les applications Web.

6 septembre 2016 - Conférence - Louis Nadeau

Attaques et techniques de défense des sessions Web

LouisNadeau.png

Louis Nadeau
Responsable de la sécurité
Bentley Systems


Le concept de session est extrêmement important pour permettre aux applications Web de fournir une expérience personnalisée à ses utilisateurs. La session permet à l’utilisateur de ne pas avoir à faire transiger ses informations d’authentification à chaque requête, ce qui serait risqué. Par contre, la (mauvaise) gestion de la session ouvre la porte à plusieurs sortes de menaces. Durant cette présentation, quatre types d’attaques sur les sessions seront présentés ainsi que les bonnes pratiques pour se prémunir de ces problèmes. Entre autres, il sera question de « session hijacking » (différentes variantes), de « session fixation », de « session donation » et de « session puzzling ». D’autres sujets connexes seront aussi abordés comme le temps d’expiration des sessions et les complications liées à l’authentification de type authentification unique.

Présentation: Attaques et techniques de défense des sessions Web

6 au 8 avril 2016 - Collaboration - OWASP Québec & Web à Québec 2016

Conférence de David Caissy: Sécurité des applications Web en 2016

WAQsmall.png


OWASP Québec au Web à Québec 2016



7 avril 2016 - Conférence - David Caissy

La sécurité des applications Web en 2016

DavidCaissy2.png

David Caissy
Security Consultant
Department of National Defense


Les vulnérabilités reliées aux applications Web ont été un facteur important dans la plupart des cybers attaques dans le monde en 2015. Malgré cela, l’industrie tarde à réaliser où se trouve le vrai problème : les entreprises investissent massivement dans la protection de leurs réseaux sans savoir que les applications Web ne sont que partiellement protégées par ces mesures. C'est pourquoi 15.1% des applications Web en 2015 possédaient au moins une vulnérabilité de niveau élevé…

Mais la bonne nouvelle est que si certains principes de sécurité sont appliqués dès le début du développement des applications et si les bonnes mesures d’atténuation sont mises en place lors de leur déploiement, il est possible d’obtenir un très haut niveau de sécurité à faible coût.

Alors quelles stratégies devrions-nous adopter pour nous prémunir de ces cybers attaques? Quelles ont été les principales vulnérabilités recensées en 2015? Quels sont les exemples à suivre dans l’industrie et plus important encore, quels sont les pièges à éviter?

16 mars 2016 - Conférence - Patrick Leclerc

Stratégies pour développer et exploiter des applications sécuritaires à l'ASIQ

100px-PatrickLeclerc.png

Patrick Leclerc
Leader du chapitre OWASP Québec
OWASP Ville de Québec


De nos jours les applications Web sont des cibles prisées des pirates informatiques, puisque très fréquemment ils s’y faufilent sans être détectés ou arrêtés. Parfois même, ces applications représentent un vecteur par lequel un pirate parvient à une compromission complète des systèmes de mission d’une organisation.

Vol d’informations confidentielles, fraude, bris de disponibilité, falsification des données, sabotage, sont tous des risques que les organisations doivent tenter de prévenir.

Dans cette conférence, nous vous ferons connaître quelques stratégies et outils qui vous aideront à prendre en main efficacement le développement et l’exploitation d’applications sécuritaires.

Présentation: Stratégies pour développer et exploiter des applications sécuritaires

2 février 2016 - Conférence - Louis Nadeau

Comprendre l'usage de la crypto pour les développeurs : choses à faire et à ne pas faire

LouisNadeau.png

Louis Nadeau
Responsable de la sécurité
Bentley Systems


Souvent, la cryptographie (encryptions, hashing, etc.) est enseignée et présentée d'un point de vue mathématique. Par contre, dans l'industrie, les problèmes les plus fréquents qui sont rencontrés n'ont rien à voir avec les mathématiques, mais sont plutôt dus à une mauvaise utilisation pratique des techniques de cryptographie. Dans cette présentation, je ferai un rappel des différents outils de cryptographie et de leur raison d'être, et je parlerai des problèmes fréquents rencontrés avec leur utilisation. Je ne parlerai pas des algorithmes mathématiques, mais plutôt de l'aspect pratique de l'utilisation de ces algorithmes.

20 au 21 octobre 2015 - Participation - OWASP

OWASP Quebec City au CQSI, Le Carrefour de l'industrie de la sécurité

CQSI.png




Le chapitre OWASP Ville de Québec a participé au CQSI 2015 (Carrefour de l'industrie de sécurité) le 20 au 21 octobre 2015 au Centre des congrès de Québec.

2 juin 2015 - Conférence - François Gagnon

SSL et les problèmes de validation de certificats dans les applications mobiles

Team1CegepSteFoy.png

Marc-Antoine Fortier, Marc-Antoine Ferland, Simon Desloges et Jonathan Ouellet
Étudiants en informatique au Cégep Sainte-Foy

François Gagnon
Professeur-Chercheur au Laboratoire de recherche en cybersécurité du Cégep Ste-Foy

Les protocoles SSL/TLS et les certificats X.509 sont des éléments essentiels de la sécurité sur internet. Jusqu'à "récemment", la grande majorité des développeurs n'avaient à se soucier de cette composante que lors du déploiement de leur application: on met un certificat sur le serveur, et voilà! Mais aujourd'hui, c'est fort différent.

Pourquoi ? Les applications mobiles.

Dans un monde PC, la validation du côté client du certificat SSL renvoyé par le server se fait presque toujours par le navigateur web. Par contre, dans le monde mobile, chaque application doit elle-même faire la validation du certificat serveur pour éviter les "Man-in-the-middle". Cependant, vérifier correctement un certificat SSL ne semble pas être une tâche simple.

Dans cette présentation, nous aborderons rapidement les grandes lignes de la mécanique de validation des certificats SSL. Par la suite, nous présenterons un prototype de laboratoire virtuel permettant de tester automatiquement si une application Android valide bien les certificats SSL qu'elle reçoit (ou si elle expose ses usagers à du vol d’information sensible par une attaque Man-in-the-middle). Finalement, nous terminerons avec les résultats préliminaires d'une étude sur la qualité des implémentations SSL dans les applications Android existantes.

1 au 2 decembre 2014 - Partenariat - OWASP au ICCE 2014 "The Insider Threats"

OWASP booth at International Conference on Corporate Espionage and Industrial Security (ICCE)

ICCE Logo small.png



OWASP Ottawa and OWASP Quebec City chapters had a booth at the International Conference on Corporate Espionage and Industrial Security (ICCE 2014) that took place on December 1-2 2014, at the Hilton Lac-Leamy Conference Centre. Renee Guttmann, Vice President, Office of the CISO at Accuvant was our invitee. The conferences provided exclusive solutions and security practices to help counter the “Insider Threats”.

30 septembre 2014 - Conférence - Yann Rivière & Patrick Leclerc

Ce que vous devriez savoir sur le Cloud computing

YannRivière.png

Yann Rivière
Consultant senior en sécurité
EGYDE Services & Conseils en sécurité de l'information


100px-PatrickLeclerc.png

Patrick Leclerc
Architecte logiciel et sécurité applicative
EGYDE Services & Conseils en sécurité de l'information



Vous songez à réduire vos coûts liés à la gestion de vos infrastructures ?technologiques et de vos applications? Vous avez entendu dire que le Cloud Computing (pour certains l'infonuagique ou informatique en nuage) permettait d’augmenter la disponibilité, la performance et l'extensibilité de vos applications tout en protégeant vos actifs informationnels? En consommateur avisé, vous êtes méfiants et aimeriez en savoir davantage avant de vous lancer dans une aventure ou seuls les plus aguerris s’en sortent sans y laisser de plumes. Si tel est votre cas, ou si vous êtes tout simplement curieux de voir l'envers de la médaille, cette conférence est pour vous! Nous vous apporterons des pistes de solutions ainsi qu’un retour sur nos expériences de travail vécues sur la sécurité dans le Cloud.

Présentation: http://www.slideshare.net/PatrickLeclerc/ce-que-vous-devriez-savoir-sur-le-cloud-computing-owasp-quebec

10 juin 2014 - Conférence - Johan Renaut

Avez-vous dit XSS ? (Cross-site Scripting)

JohanRenaut.png

Johan Renaut
Analyste en sécurité de l'information
EGYDE Services & Conseils en sécurité de l'information


La faille dite de Cross-site scripting (XSS) est une faille web bien connue des pirates informatiques. Sur un site web vulnérable, elle permet d’y injecter du code malicieux qui sera exécuté à partir du navigateur des visiteurs, ou plutôt, des victimes...

Ces failles peuvent sembler bénignes de prime abord, mais lorsqu'elles sont exploitées malicieusement, elles deviennent un vecteur d'attaque puissant pour d'éventuels attaquants.

Cette présentation se veut une introduction aux différents types de failles XSS de base.

Nous couvrirons plusieurs sujets relatifs aux failles XSS:

- Qu’est-ce que le XSS?
- Pourquoi devons-nous nous en préoccuper?
- Comment les découvrir
- Comment les tester via des scénarios d'attaques classiques
- Comment s'en prémunir

15 avril 2014 - Conférence - Patrick Leclerc

La sécurité applicative et le cycle de développement

100px-PatrickLeclerc.png

Patrick Leclerc
Architecte logiciel et sécurité applicative
EGYDE Services & Conseils en sécurité de l'information


Encore de nos jours la majorité des applications Web comportent des vulnérabilités, ces dernières représentent plus souvent qu'autrement des risques dont les organisations ignorent encore l'existence. Certaines organisations croient qu'un simple balayage de vulnérabilités parfois accompagné d'un test d'intrusion sont les seuls moyens d'identifier les risques, mais encore faut-il les corriger après! S'il y a des coûts à prévenir et mitiger les risques, ils sont décuplés lorsque nous avons à les corriger!

Dans cette présentation, découvrez comment identifier et mitiger vos risques de sécurité en les prenant en charge tout au long du cycle de développement. Vous avez intérêts, puisque depuis quelques années déjà, Gartner identifiait que 75% des attaques étaient dirigées sur les applications Web. Plusieurs firmes ont fait les manchettes ces dernières années, n'attendez pas votre tour.

Présentation: http://www.slideshare.net/PatrickLeclerc/securite-applicative-et-sdlc-owasp-quebec-15-avril-2014-diffusion

19 février 2014 - Conférence - Eric Chartré

Développement d’une application sécurisée : étanchéité par le pipeline Web et le cadre d’application

Eric Chartré.png

Eric Chartré
Spécialiste technique en architecture Web
TELUS Communications inc.


Par le biais de techniques fort simples, l’application de règles applicatives centralisées très sévères et l’utilisation d’un cadre d’application (framework) approprié, il n’est pas utopique d’éliminer 100% des vulnérabilités d’une application Web et de son infrastructure sous-jacente. Mais, pour cela, l’application et son infrastructure doivent respecter un ensemble de conditions bien précises. Cette présentation très concrète fera un survol de la recette pour développer une application sécuritaire, même contre les erreurs des développeurs.

Cette présentation veut provoquer la discussion sur certaines pratiques de développement et d’implantation de sites Web. Présentation: http://prezi.com/ivp3kylabx32



2013 - Première rencontre des membres OWASP Quebec City

Voici le contenu de la rencontre de lancement: http://www.slideshare.net/PatrickLeclerc/premire-rencontre-dowasp-qubec

Conférence de Jim Manico au Hackfest 2012

Top Ten Web Defenses: We cannot hack or firewall our way secure. Application programmers need to learn to code in a secure fashion if we have any chance of providing organizations with proper defenses in the current threatscape. This talk will discuss the 10 most important security-centric computer programming techniques necessary to build low-risk web-based applications.

AppSecDC12-manico.jpg

Jim Manico
OWASP Global Board Member
VP Security Architecture at WhiteHat Security



Communauté

Les rencontres OWASP sont ouvertes à tous et gratuites. Nous encourageons l'échange informel sur tous sujets relatifs à la sécurité applicative. Toute personne intéressée par la sécurité applicative est la bienvenue aux rencontres.

Les sujets principalement abordés sont:

  • Analyse et conception d'applications sécurisées
  • Techniques et méthodes de développement sécurisé
  • Évaluation et validation de la sécurité des applications (tests d'intrusion, recherche de vulnérabilités)
  • Sécurité d'architectures et technologies de développement logiciel
  • Gouvernance de la sécurité logicielle dans les organisations

Devenez conférencier!

Si vous souhaitez présenter un sujet lors d'une prochaine rencontre OWASP ou avez une question relative aux rencontres de la section OWASP Ville de Québec, n'hésitez pas à envoyer un email à Patrick Leclerc. Toute intervention orale (présentation, formation) lors d'un meeting OWASP est soumise à l'acceptation préalable du règlement des conférenciers.

Responsables du chapitre

Leader: Patrick Leclerc
Vice-leader: Louis Nadeau

Supportez-nous!

Pour supporter OWASP Quebec City:

  • En devenant membre ($50 US / 1 an), sélectionnez notre chapitre pour lui verser 40% du montant: https://www.owasp.org/index.php/Membership
  • En faisant un don via Paypal en cliquant sur le bouton " Donate " juste au bas de cette page

Pour devenir membre OWASP

Devenez commanditaire de notre communauté!

Quatre formules de sponsoring sont actuellement proposées aux organisations désireuses de soutenir la mission de l'OWASP:

  • Chapter Supporter: soutien financier annuel du chapitre OWASP Ville de Québec
  • Single Meeting Supporter: soutien financier ponctuel, pour un meeting spécifique du chapitre OWASP Ville de Québec
  • Facility Sponsor: publicité des évènements OWASP Quebec City et/ou mise à la disposition de salles équipées pour la tenue des meetings OWASP Ville de Québec
  • Organization Supporter: soutien financier annuel de la fondation OWASP + 40% de la cotisation reversés à la section affiliée (OWASP Quebec City)

Pour toute information relative au sponsoring affilié à la section, merci de contacter Patrick Leclerc ou consulter la page memberships dédiée à cet effet.

Recevez les invitations à nos événements OWASP en nous suivant sur nos médias sociaux!

Facebook: /OwaspQuebec LinkedIn: /Owasp-Quebec-4338809 liste de distribution OWASP Ville de Québec Twitter: @owaspquebec

Pour nous contacter : OWASP Ville de Québec


<paypal>Quebec City (Canada) Chapter</paypal>