OWASP - User contributions [en]

Unrestricted File Upload

2018-07-23T17:50:45Z

Svieg: regex was not working properly, now should

{{Template:Vulnerability}}

Last revision (mm/dd/yy): '''{{REVISIONMONTH}}/{{REVISIONDAY}}/{{REVISIONYEAR}}'''

== Description ==

Uploaded files represent a significant risk to applications. The first step in many attacks is to get some code to the system to be attacked. Then the attack only needs to find a way to get the code executed. Using a file upload helps the attacker accomplish the first step.

The consequences of unrestricted file upload can vary, including complete system takeover, an overloaded file system or database, forwarding attacks to back-end systems, client-side attacks, or simple defacement. It depends on what the application does with the uploaded file and especially where it is stored.

There are really two classes of problems here. The first is with the file metadata, like the path and file name. These are generally provided by the transport, such as HTTP multi-part encoding. This data may trick the application into overwriting a critical file or storing the file in a bad location. You must validate the metadata extremely carefully before using it.

The other class of problem is with the file size or content. The range of problems here depends entirely on what the file is used for. See the examples below for some ideas about how files might be misused. To protect against this type of attack, you should analyse everything your application does with files and think carefully about what processing and interpreters are involved.

== Risk Factors ==

* The impact of this vulnerability is high, supposed code can be executed in the server context or on the client side. The likelihood of detection for the attacker is high. The prevalence is common. As a result the severity of this type of vulnerability is high.
* It is important to check a file upload module's access controls to examine the risks properly.
* Server-side attacks: The web server can be compromised by uploading and executing a web-shell which can run commands, browse system files, browse local resources, attack other servers, or exploit the local vulnerabilities, and so forth.
* Client-side attacks: Uploading malicious files can make the website vulnerable to client-side attacks such as [[Cross-site Scripting (XSS)|XSS]] or Cross-site Content Hijacking.
* Uploaded files can be abused to exploit other vulnerable sections of an application when a file on the same or a trusted server is needed (can again lead to client-side or server-side attacks)
* Uploaded files might trigger vulnerabilities in broken libraries/applications on the client side (e.g. iPhone MobileSafari LibTIFF Buffer Overflow).
* Uploaded files might trigger vulnerabilities in broken libraries/applications on the server side (e.g. ImageMagick flaw that called ImageTragick!).
* Uploaded files might trigger vulnerabilities in broken real-time monitoring tools (e.g. Symantec antivirus exploit by unpacking a RAR file)
* A malicious file such as a Unix shell script, a windows virus, an Excel file with a dangerous formula, or a reverse shell can be uploaded on the server in order to execute code by an administrator or webmaster later -- on the victim's machine.
* An attacker might be able to put a phishing page into the website or deface the website.
* The file storage server might be abused to host troublesome files including malwares, illegal software, or adult contents. Uploaded files might also contain malwares' command and control data, violence and harassment messages, or steganographic data that can be used by criminal organisations.
* Uploaded sensitive files might be accessible by unauthorised people.
* File uploaders may disclose internal information such as server internal paths in their error messages.

== Examples ==

=== Attacks on application platform ===

* Upload .jsp file into web tree - jsp code executed as the web user
* Upload .gif file to be resized - image library flaw exploited
* Upload huge files - file space denial of service
* Upload file using malicious path or name - overwrite a critical file
* Upload file containing personal data - other users access it
* Upload file containing "tags" - tags get executed as part of being "included" in a web page
* Upload .rar file to be scanned by antivirus - command executed on a server running the vulnerable antivirus software

=== Attacks on other systems ===

* Upload .exe file into web tree - victims download trojaned executable
* Upload virus infected file - victims' machines infected
* Upload .html file containing script - victim experiences [[Cross-site Scripting (XSS)]]
* Upload .jpg file containing a Flash object - victim experiences Cross-site Content Hijacking.
* Upload .rar file to be scanned by antivirus - command executed on a client running the vulnerable antivirus software

== Weak Protections and Bypassing Methods ==

=== Blacklisting File Extensions ===

This protection might be bypassed by:

* Finding missed extensions that can be executed on the server side or can be dangerous on the client side (e.g. ".php5", ".pht", ".phtml", ".shtml", ".asa", ".cer", ".asax", ".swf", or ".xap").
* Finding flaws in a web server configuration when it parses files with double extensions or it executes them by providing a sensitive extension after a delimiter such as "/" or ";" character (e.g. "/file.jpg/index.php" when the "file.jpg" file contains PHP code and has been uploaded)
** In Apache, a php file might be executed using the double extension technique such as "file.php.jpg" when ".jpg" is allowed.
** In IIS6 (or prior versions), a script file can be executed by using one of these two methods:
*** by adding a semi-colon character after the forbidden extension and before the permitted one (e.g. "file.asp;.jpg")
*** by renaming a script file's extension (e.g. ".asp") to an allowed extension (e.g. ".txt") in a folder that its name ends with the script's extension (e.g. "folder.asp\file.txt"). In Windows, it is possible to create a directory by using a file uploader and ADS (Alternate Data Stream). In this method, a filename that ends with "::$Index_Allocation" or ":$I30:$Index_Allocation" makes the file uploader to create a directory rather than a file (e.g. "folder.asp::$Index_Allocation" creates "folder.asp" as a directory).
* Changing a number of letters to their capital forms to bypass case sensitive rules (e.g. "file.aSp" or "file.PHp3").
* Using Windows 8.3 feature, it is possible to replace the existing files by using their shortname (e.g. "web.config" can be replaced by "web~1.con" or ".htaccess" can be replaced by "HTACCE~1")
* Finding characters that are converted to other useful characters during the file upload process. For instance, when running PHP on IIS, the ">", "<", and double quote " characters respectively convert to "?", "*", and "." characters that can be used to replace existing files (e.g. "web<<" can replace the "web.config" file). In order to include the double quote character in the filename in a normal file upload request, the filename in the "Content-Disposition" header should use single quotes (e.g. filename='web"config' to replace the "web.config" file).
* Finding neutral characters after a filename such as trailing spaces and dots in Windows filesystem or dot and slash characters in a Linux filesystem. These characters at the end of a filename will be removed automatically (e.g. "file.asp ... ... . . .. ..", "file.asp ", or "file.asp."). Although slash or backslash characters are also normally problematic characters, they can be ignored in a normal file upload request as anything before these characters may count as the directory name on the server-side; that said, they should be tried for a thorough test (e.g. "test.php/" or "test.php.\").
* Finding flaws in extension detection techniques. A web server may use the first extension after the first dot (".") in the provided filename or use a flawed algorithm to detect the extension when there is none or multiple dot characters (e.g. "file.txt.jpg.php").
* Using control characters such as null character (0x00) after a forbidden extension and before a permitted one may lead to a bypass. In this method, all the strings after the Null character will be discarded when saving the files. Both URL-encoded and decoded version of the null character should be tried in a file upload request for a thorough test.
* Using NTFS alternate data stream (ADS) in Windows. In this case, a colon character ":" will be inserted after a forbidden extension and before a permitted one. As a result, an empty file with the forbidden extension will be created on the server (e.g. "file.asax:.jpg"). This file might be edited later using other techniques such as using its short filename. The "::$data" pattern can also be used to create non-empty files. Therefore, adding a dot character after this pattern might also be useful to bypass further restrictions (.e.g. "file.asp::$data.")
* Flaws in the protection mechanism when it replaces dangerous extensions. For instance, "file.p.phphp" might be changed to "file.php" after going through this functionality.
* Flaws in the uploaded file usage for instance when a PHP application uses the "include" function to show the uploaded images.
* Combination of the above techniques.

=== Beating getimagesize() ===

The getimagesize() function will check if it is an image and will check "mime" to verify image type.

Insecure Configuration :

<FilesMatch ".+\.ph(p([3457s]|\-s)?|t|tml)">
SetHandler application/x-httpd-php
</FileMatch>

Secure Configuration :

<FilesMatch ".+\.ph(p([3457s]|\-s)?|t|tml)$">
SetHandler application/x-httpd-php
</FileMatch>

If the service is up an running with the Insecure Configuration, any one can beat the getimagesize function by writing comments in GIF file.

For that an end user need to install an utility in Kali/Ubuntu OS named 'gifsicle'

For Kali Linux : apt-get install gifsicle
For Ubuntu : sudo apt-get install gifsicle

Once installed, the below commands will help writing the commands in gif file.

gifsicle < mygif.gif -- comment "<?php echo 'Current PHP version: ' . phpversion(); ?>" > output.php.gif

The above command will create an file with the name "output.php.gif" which simply need to be upload durning the check of file upload vulnerability.

=== Whitelisting File Extensions ===

Applications that check the file extensions using a whitelist method also need to validate the full filename to prevent any bypass.

* The list of permitted extensions should be reviewed as it can contain malicious extensions as well. For instance, in case of having ".shtml" in the list, the application can be vulnerable to SSI attacks.
* Some of the bypass techniques for the blacklist methods such as using double extensions are also applicable here and should be checked.

=== "Content-Type" Header Validation ===

"Content-Type" entity in the header of the request indicates the Internet media type of the message content. Sometimes web applications use this parameter in order to recognise a file as a valid one. For instance, they only accept the files with the "Content-Type" of "text/plain".

* It is possible to bypass this protection by changing this parameter in the request header using a web proxy.

=== Using a File Type Detector ===

Sometimes web applications intentionally or unintentionally use some functions (or APIs) to check the file types in order to process them further. For instance, when an application resize an image file, it may just show an error message when non-image files are uploaded without saving them on the server.

* If it reads the few first characters (or headers), it can be bypassed by inserting malicious code after some valid header or within the file's metadata.
* Inserting code in the comments section or those section that have no effect on the main file can also lead to a bypass.
* The inserted data can be obfuscated or encoded if the application detects a malicious code using specific patterns or signatures.
* Uploaded file can be crafted to create a malicious code in case of being compressed by the application.

=== Other Interesting Test Cases ===

* Uploading a file when another file with the same name already exists. This may show interesting error messages that can lead to information disclosure. Logical flaws might be found if the application renames the new file to keep it on the server.
* Uploading a file when another folder with the same name already exists. This may show interesting error messages that can lead to information disclosure.
* Uploading a file with a long name. This may show interesting error messages that can lead to information disclosure.
* Uploading a file multiple times at the same time. This may show interesting error messages that can lead to information disclosure.
* Uploading valid and invalid files in different formats such as compressed or XML files to detect any possible processing on the server side.
* Uploading a file with ".", "..", or "..." as its name. For instance, in Apache in Windows, if the application saves the uploaded files in "/www/uploads/" directory, the "." filename will create a file called "uploads" in the "/www/" directory.
* Uploading files that may not be deleted easily such as "...:.jpg" in NTFS that makes the "..." file (this file can be deleted using command line). This may show interesting error messages that can lead to information disclosure.
* Uploading a file in Windows with invalid characters such as |<>*?" in its name. This may show interesting error messages that can lead to information disclosure.
* Uploading a file in Windows using reserved (forbidden) names such as CON, PRN, AUX, NUL, COM1, COM2, COM3, COM4, COM5, COM6, COM7, COM8, COM9, LPT1, LPT2, LPT3, LPT4, LPT5, LPT6, LPT7, LPT8, and LPT9. This may show interesting error messages that can lead to information disclosure. Uploading a file with a reserved name may lead to denial of service if the application keeps the name and tries to save it with another extension (detecting it wrongly as an existing file).
* Cross-site content hijacking issues can be exploited by uploading a file with allowed name and extension but with Flash, PDF, or Silverlight contents.
* Uploading a "crossdomain.xml" or "clientaccesspolicy.xml" file can make a website vulnerable to cross-site content hijacking. These files should be uploaded to the root of the website to work. However, the "crossdomain.xml" file can be in a subdirectory as long as it is allowed in the root "crossdomain.xml" file.

=== Important Notes in Testing File Uploaders ===

* Do not try to replace the existing files during testing unless it is safe to proceed. For instance, replacing configuration files such as "web.config" or ".htaccess" file can lead to a denial of service attack for the whole website.

== Prevention Methods (Solutions to be more secure) ==
In order to make a Windows server more secure, it is very important to follow the Microsoft security best practices first. For this purpose, some of the useful links are:
* IIS 6.0 Security Best Practices[http://technet.microsoft.com/en-us/library/cc782762(WS.10).aspx]
* Securing Sites with Web Site Permissions[http://technet.microsoft.com/en-us/library/cc756133(WS.10).aspx]
* IIS 6.0 Operations Guide[http://technet.microsoft.com/en-us/library/cc785089(WS.10).aspx]
* Improving Web Application Security: Threats and Countermeasures[http://msdn.microsoft.com/en-us/library/ms994921.aspx]
* Understanding the Built-In User and Group Accounts in IIS 7.0[http://learn.iis.net/page.aspx/140/understanding-the-built-in-user-and-group-accounts-in-iis-70/]
* IIS Security Checklist[http://windows.stanford.edu/docs/IISsecchecklist.htm]
And some special recommendations for the developers and webmasters:
* The file types allowed to be uploaded should be restricted to only those that are necessary for business functionality.
* Never accept a filename and its extension directly without having a whitelist filter.
* The application should perform filtering and content checking on any files which are uploaded to the server. Files should be thoroughly scanned and validated before being made available to other users. If in doubt, the file should be discarded.
* It is necessary to have a list of only permitted extensions on the web application. And, file extension can be selected from the list. For instance, it can be a "select case" syntax (in case of having VBScript) to choose the file extension in regards to the real file extension.
* All the control characters and Unicode ones should be removed from the filenames and their extensions without any exception. Also, the special characters such as ";", ":", ">", "<", "/" ,"\", additional ".", "*", "%", "$", and so on should be discarded as well. If it is applicable and there is no need to have Unicode characters, it is highly recommended to only accept Alpha-Numeric characters and only 1 dot as an input for the file name and the extension; in which the file name and also the extension should not be empty at all (regular expression: [a-zA-Z0-9]{1,200}\.[a-zA-Z0-9]{1,10}).
* Limit the filename length. For instance, the maximum length of the name of a file plus its extension should be less than 255 characters (without any directory) in an NTFS partition.
* It is recommended to use an algorithm to determine the filenames. For instance, a filename can be a MD5 hash of the name of file plus the date of the day.
* Uploaded directory should not have any "execute" permission and all the script handlers should be removed from these directories.
* Limit the file size to a maximum value in order to prevent denial of service attacks (on file space or other web application’s functions such as the image resizer).
* Restrict small size files as they can lead to denial of service attacks. So, the minimum size of files should be considered.
* Use Cross Site Request Forgery protection methods.
* Prevent from overwriting a file in case of having the same hash for both.
* Use a virus scanner on the server (if it is applicable). Or, if the contents of files are not confidential, a free virus scanner website can be used. In this case, file should be stored with a random name and without any extension on the server first, and after the virus checking (uploading to a free virus scanner website and getting back the result), it can be renamed to its specific name and extension.
* Try to use POST method instead of PUT (or GET!)
* Log users’ activities. However, the logging mechanism should be secured against log forgery and code injection itself.
* In case of having compressed file extract functions, contents of the compressed file should be checked one by one as a new file.
* If it is possible, consider saving the files in a database rather than on the filesystem.
* If files should be saved in a filesystem, consider using an isolated server with a different domain to serve the uploaded files.
* File uploaders should be only accessible to authenticated and authorised users if possible.
* Write permission should be removed from files and folders other than the upload folders. The upload folders should not serve any
* Ensure that configuration files such as ".htaccess" or "web.config" cannot be replaced using file uploaders. Ensure that appropriate settings are available to ignore the ".htaccess" or "web.config" files if uploaded in the upload directories.
* Ensure that files with double extensions (e.g. "file.php.txt") cannot be executed especially in Apache.
* Ensure that uploaded files cannot be accessed by unauthorised users.
* Adding the "Content-Disposition: Attachment" and "X-Content-Type-Options: nosniff" headers to the response of static files will secure the website against Flash or PDF-based cross-site content-hijacking attacks. It is recommended that this practice be performed for all of the files that users need to download in all the modules that deal with a file download. Although this method does not fully secure the website against attacks using Silverlight or similar objects, it can mitigate the risk of using Adobe Flash and PDF objects, especially when uploading PDF files is permitted.
* Flash/PDF (crossdomain.xml) or Silverlight (clientaccesspolicy.xml) cross-domain policy files should be removed if they are not in use and there is no business requirement for Flash or Silverlight applications to communicate with the website.
* Browser caching should be disabled for the corssdomain.xml and clientaccesspolicy.xml files. This enables the website to easily update the file or restrict access to the Web services if necessary. Once the client access policy file is checked, it remains in effect for the browser session so the impact of non-caching to the end-user is minimal. This can be raised as a low or informational risk issue based on the content of the target website and security and complexity of the policy file(s).
* CORS headers should be reviewed to only be enabled for static or publicly accessible data. Otherwise, the "Access-Control-Allow-Origin" header should only contain authorised addresses. Other CORS headers such as "Access-Control-Allow-Credentials" should only be used when they are required. Items within the CORS headers such as "Access-Control-Allow-Methods" or "Access-Control-Allow-Headers" should be reviewed and removed if they are not required.

== Related [[Attacks]] ==

* [[Path Traversal]]
* [[Path Manipulation]]
* [[Relative Path Traversal]]
* [[Windows_::DATA_alternate_data_stream]]

==Related [[Vulnerabilities]]==

* [[:Category:Input Validation Vulnerability]]

== Related [[Controls]] ==

* [[:Category:Input Validation]]

== Related [[Threat Agent]] ==

* [[:Category:External Threat Agent]]
* [[:Category:Internal Threat Agent]]
* [[:Category:Internet attacker]]
* [[:Category:Intranet attacker]]

== Related [[Technical Impacts]] ==

* [[System Access]]
* [[Security Bypass]]
* [[Exposure of system information]]
* [[Exposure of sensitive information]]
* [[Client Side Threat]]

== References ==

* Improve File Uploaders’ Protections – Bypass Methods- Rev. 1.0 [http://soroush.secproject.com/blog/2010/03/improve-file-uploaders%e2%80%99-protections-rev-1-0/ ]
* 8 basic rules to implement secure file uploads - SANS - [http://software-security.sans.org/blog/2009/12/28/8-basic-rules-to-implement-secure-file-uploads]
* IIS6/ASP & file upload for fun and profit [http://blog.48bits.com/2010/09/28/iis6-asp-file-upload-for-fun-and-profit/]
* Secure file upload in PHP web applications [http://www.net-security.org/dl/articles/php-file-upload.pdf]
* Potentially Dangerous File Types [http://www.windowsitpro.com/Files/18/27072/Webtable_01.pdf]
* Image Upload XSS [http://ha.ckers.org/blog/20070603/image-upload-xss/]
* Code Execution Through Filenames in Uploads [http://ha.ckers.org/blog/20070620/code-execution-through-filenames-in-uploads/]
* Secure File Upload Check List With PHP [http://hungred.com/useful-information/secure-file-upload-check-list-php/]
* NTFS in WikiPedia [http://en.wikipedia.org/wiki/NTFS]
* NTFS Streams [http://msdn.microsoft.com/en-us/library/ff469210(v=PROT.10).aspx]
* NTFS - Glossary [http://inform.pucp.edu.pe/~inf232/Ntfs/ntfs_doc_v0.5/help/glossary.html]
* IIS 6.0 Security Best Practices [http://technet.microsoft.com/en-us/library/cc782762(WS.10).aspx]
* Securing Sites with Web Site Permissions [http://technet.microsoft.com/en-us/library/cc756133(WS.10).aspx]
* IIS 6.0 Operations Guide [http://technet.microsoft.com/en-us/library/cc785089(WS.10).aspx]
* Improving Web Application Security: Threats and Countermeasures [http://msdn.microsoft.com/en-us/library/ms994921.aspx]
* Understanding the Built-In User and Group Accounts in IIS 7.0 [http://learn.iis.net/page.aspx/140/understanding-the-built-in-user-and-group-accounts-in-iis-70/]
* IIS Security Checklist [http://windows.stanford.edu/docs/IISsecchecklist.htm]
* Microsoft IIS ASP Multiple Extensions Security Bypass [http://secunia.com/advisories/37831/]
* CVE-2009-4444 [http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-4444]
* CVE-2009-4445 [http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-4445]
* CVE-2009-1535 [http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1535]
* MSDN - Naming Files, Paths, and Namespaces [https://msdn.microsoft.com/en-gb/library/windows/desktop/aa365247(v=vs.85).aspx]
* Even uploading a JPG file can lead to Cross-Site Content Hijacking (client-side attack) [https://soroush.secproject.com/blog/2014/05/even-uploading-a-jpg-file-can-lead-to-cross-domain-data-hijacking-client-side-attack/]
* Cross-Site Content (Data) Hijacking (XSCH) PoC Project [https://github.com/nccgroup/CrossSiteContentHijacking]
* iPhone MobileSafari LibTIFF Buffer Overflow [https://www.exploit-db.com/exploits/16862/]
* ImageMagick Is On Fire-CVE-2016–3714 [https://imagetragick.com/]
* Symantec Antivirus multiple remote memory corruption unpacking RAR CVE-2016-2207 [https://bugs.chromium.org/p/project-zero/issues/detail?id=810]
* File in the hole - HackPra Nov. 2012 [https://www.nds.rub.de/media/attachments/files/2012/11/File-in-the-hole.pdf]
* Self contained web shells and other attacks via .htaccess files [https://github.com/wireghoul/htshells]
* Upload a web.config File for Fun & Profit [https://soroush.secproject.com/blog/2014/07/upload-a-web-config-file-for-fun-profit/]
* PHP filesystem attack vectors - Take Two [http://www.ush.it/2009/07/26/php-filesystem-attack-vectors-take-two/]
* File Upload and PHP on IIS: >=? and <=* and "=. [https://soroush.secproject.com/blog/2014/07/file-upload-and-php-on-iis-wildcards/]

== Authors ==
* [[User:Soroush Dalili|Soroush Dalili]]
* [[User:Dirk Wetter|Dirk Wetter]]
* [[User:Landon Mayo|Landon Mayo]]
* [[User:OWASP|OWASP]]

__NOTOC__

[[Category:OWASP ASDR Project]]
[[Category:File System]]
[[Category:Windows]]
[[Category:Unix]]
[[Category:Use of Dangerous API]]
[[Category:Vulnerability]]

Unrestricted File Upload

2018-07-18T15:35:24Z

Svieg: /* Beating getimagesize() */

{{Template:Vulnerability}}

Last revision (mm/dd/yy): '''{{REVISIONMONTH}}/{{REVISIONDAY}}/{{REVISIONYEAR}}'''

== Description ==

Uploaded files represent a significant risk to applications. The first step in many attacks is to get some code to the system to be attacked. Then the attack only needs to find a way to get the code executed. Using a file upload helps the attacker accomplish the first step.

The consequences of unrestricted file upload can vary, including complete system takeover, an overloaded file system or database, forwarding attacks to back-end systems, client-side attacks, or simple defacement. It depends on what the application does with the uploaded file and especially where it is stored.

There are really two classes of problems here. The first is with the file metadata, like the path and file name. These are generally provided by the transport, such as HTTP multi-part encoding. This data may trick the application into overwriting a critical file or storing the file in a bad location. You must validate the metadata extremely carefully before using it.

The other class of problem is with the file size or content. The range of problems here depends entirely on what the file is used for. See the examples below for some ideas about how files might be misused. To protect against this type of attack, you should analyse everything your application does with files and think carefully about what processing and interpreters are involved.

== Risk Factors ==

* The impact of this vulnerability is high, supposed code can be executed in the server context or on the client side. The likelihood of detection for the attacker is high. The prevalence is common. As a result the severity of this type of vulnerability is high.
* It is important to check a file upload module's access controls to examine the risks properly.
* Server-side attacks: The web server can be compromised by uploading and executing a web-shell which can run commands, browse system files, browse local resources, attack other servers, or exploit the local vulnerabilities, and so forth.
* Client-side attacks: Uploading malicious files can make the website vulnerable to client-side attacks such as [[Cross-site Scripting (XSS)|XSS]] or Cross-site Content Hijacking.
* Uploaded files can be abused to exploit other vulnerable sections of an application when a file on the same or a trusted server is needed (can again lead to client-side or server-side attacks)
* Uploaded files might trigger vulnerabilities in broken libraries/applications on the client side (e.g. iPhone MobileSafari LibTIFF Buffer Overflow).
* Uploaded files might trigger vulnerabilities in broken libraries/applications on the server side (e.g. ImageMagick flaw that called ImageTragick!).
* Uploaded files might trigger vulnerabilities in broken real-time monitoring tools (e.g. Symantec antivirus exploit by unpacking a RAR file)
* A malicious file such as a Unix shell script, a windows virus, an Excel file with a dangerous formula, or a reverse shell can be uploaded on the server in order to execute code by an administrator or webmaster later -- on the victim's machine.
* An attacker might be able to put a phishing page into the website or deface the website.
* The file storage server might be abused to host troublesome files including malwares, illegal software, or adult contents. Uploaded files might also contain malwares' command and control data, violence and harassment messages, or steganographic data that can be used by criminal organisations.
* Uploaded sensitive files might be accessible by unauthorised people.
* File uploaders may disclose internal information such as server internal paths in their error messages.

== Examples ==

=== Attacks on application platform ===

* Upload .jsp file into web tree - jsp code executed as the web user
* Upload .gif file to be resized - image library flaw exploited
* Upload huge files - file space denial of service
* Upload file using malicious path or name - overwrite a critical file
* Upload file containing personal data - other users access it
* Upload file containing "tags" - tags get executed as part of being "included" in a web page
* Upload .rar file to be scanned by antivirus - command executed on a server running the vulnerable antivirus software

=== Attacks on other systems ===

* Upload .exe file into web tree - victims download trojaned executable
* Upload virus infected file - victims' machines infected
* Upload .html file containing script - victim experiences [[Cross-site Scripting (XSS)]]
* Upload .jpg file containing a Flash object - victim experiences Cross-site Content Hijacking.
* Upload .rar file to be scanned by antivirus - command executed on a client running the vulnerable antivirus software

== Weak Protections and Bypassing Methods ==

=== Blacklisting File Extensions ===

This protection might be bypassed by:

* Finding missed extensions that can be executed on the server side or can be dangerous on the client side (e.g. ".php5", ".pht", ".phtml", ".shtml", ".asa", ".cer", ".asax", ".swf", or ".xap").
* Finding flaws in a web server configuration when it parses files with double extensions or it executes them by providing a sensitive extension after a delimiter such as "/" or ";" character (e.g. "/file.jpg/index.php" when the "file.jpg" file contains PHP code and has been uploaded)
** In Apache, a php file might be executed using the double extension technique such as "file.php.jpg" when ".jpg" is allowed.
** In IIS6 (or prior versions), a script file can be executed by using one of these two methods:
*** by adding a semi-colon character after the forbidden extension and before the permitted one (e.g. "file.asp;.jpg")
*** by renaming a script file's extension (e.g. ".asp") to an allowed extension (e.g. ".txt") in a folder that its name ends with the script's extension (e.g. "folder.asp\file.txt"). In Windows, it is possible to create a directory by using a file uploader and ADS (Alternate Data Stream). In this method, a filename that ends with "::$Index_Allocation" or ":$I30:$Index_Allocation" makes the file uploader to create a directory rather than a file (e.g. "folder.asp::$Index_Allocation" creates "folder.asp" as a directory).
* Changing a number of letters to their capital forms to bypass case sensitive rules (e.g. "file.aSp" or "file.PHp3").
* Using Windows 8.3 feature, it is possible to replace the existing files by using their shortname (e.g. "web.config" can be replaced by "web~1.con" or ".htaccess" can be replaced by "HTACCE~1")
* Finding characters that are converted to other useful characters during the file upload process. For instance, when running PHP on IIS, the ">", "<", and double quote " characters respectively convert to "?", "*", and "." characters that can be used to replace existing files (e.g. "web<<" can replace the "web.config" file). In order to include the double quote character in the filename in a normal file upload request, the filename in the "Content-Disposition" header should use single quotes (e.g. filename='web"config' to replace the "web.config" file).
* Finding neutral characters after a filename such as trailing spaces and dots in Windows filesystem or dot and slash characters in a Linux filesystem. These characters at the end of a filename will be removed automatically (e.g. "file.asp ... ... . . .. ..", "file.asp ", or "file.asp."). Although slash or backslash characters are also normally problematic characters, they can be ignored in a normal file upload request as anything before these characters may count as the directory name on the server-side; that said, they should be tried for a thorough test (e.g. "test.php/" or "test.php.\").
* Finding flaws in extension detection techniques. A web server may use the first extension after the first dot (".") in the provided filename or use a flawed algorithm to detect the extension when there is none or multiple dot characters (e.g. "file.txt.jpg.php").
* Using control characters such as null character (0x00) after a forbidden extension and before a permitted one may lead to a bypass. In this method, all the strings after the Null character will be discarded when saving the files. Both URL-encoded and decoded version of the null character should be tried in a file upload request for a thorough test.
* Using NTFS alternate data stream (ADS) in Windows. In this case, a colon character ":" will be inserted after a forbidden extension and before a permitted one. As a result, an empty file with the forbidden extension will be created on the server (e.g. "file.asax:.jpg"). This file might be edited later using other techniques such as using its short filename. The "::$data" pattern can also be used to create non-empty files. Therefore, adding a dot character after this pattern might also be useful to bypass further restrictions (.e.g. "file.asp::$data.")
* Flaws in the protection mechanism when it replaces dangerous extensions. For instance, "file.p.phphp" might be changed to "file.php" after going through this functionality.
* Flaws in the uploaded file usage for instance when a PHP application uses the "include" function to show the uploaded images.
* Combination of the above techniques.

=== Beating getimagesize() ===

The getimagesize() function will check if it is an image and will check "mime" to verify image type.

Insecure Configuration :

<FilesMatch ".+\.ph(p[3457s]?|t|tml|\-s)">
SetHandler application/x-httpd-php
</FileMatch>

Secure Configuration :

<FilesMatch ".+\.ph(p[3457s]?|t|tml|\-s)$">
SetHandler application/x-httpd-php
</FileMatch>

If the service is up an running with the Insecure Configuration, any one can beat the getimagesize function by writing comments in GIF file.

For that an end user need to install an utility in Kali/Ubuntu OS named 'gifsicle'

For Kali Linux : apt-get install gifsicle
For Ubuntu : sudo apt-get install gifsicle

Once installed, the below commands will help writing the commands in gif file.

gifsicle < mygif.gif -- comment "<?php echo 'Current PHP version: ' . phpversion(); ?>" > output.php.gif

The above command will create an file with the name "output.php.gif" which simply need to be upload durning the check of file upload vulnerability.

=== Whitelisting File Extensions ===

Applications that check the file extensions using a whitelist method also need to validate the full filename to prevent any bypass.

* The list of permitted extensions should be reviewed as it can contain malicious extensions as well. For instance, in case of having ".shtml" in the list, the application can be vulnerable to SSI attacks.
* Some of the bypass techniques for the blacklist methods such as using double extensions are also applicable here and should be checked.

=== "Content-Type" Header Validation ===

"Content-Type" entity in the header of the request indicates the Internet media type of the message content. Sometimes web applications use this parameter in order to recognise a file as a valid one. For instance, they only accept the files with the "Content-Type" of "text/plain".

* It is possible to bypass this protection by changing this parameter in the request header using a web proxy.

=== Using a File Type Detector ===

Sometimes web applications intentionally or unintentionally use some functions (or APIs) to check the file types in order to process them further. For instance, when an application resize an image file, it may just show an error message when non-image files are uploaded without saving them on the server.

* If it reads the few first characters (or headers), it can be bypassed by inserting malicious code after some valid header or within the file's metadata.
* Inserting code in the comments section or those section that have no effect on the main file can also lead to a bypass.
* The inserted data can be obfuscated or encoded if the application detects a malicious code using specific patterns or signatures.
* Uploaded file can be crafted to create a malicious code in case of being compressed by the application.

=== Other Interesting Test Cases ===

* Uploading a file when another file with the same name already exists. This may show interesting error messages that can lead to information disclosure. Logical flaws might be found if the application renames the new file to keep it on the server.
* Uploading a file when another folder with the same name already exists. This may show interesting error messages that can lead to information disclosure.
* Uploading a file with a long name. This may show interesting error messages that can lead to information disclosure.
* Uploading a file multiple times at the same time. This may show interesting error messages that can lead to information disclosure.
* Uploading valid and invalid files in different formats such as compressed or XML files to detect any possible processing on the server side.
* Uploading a file with ".", "..", or "..." as its name. For instance, in Apache in Windows, if the application saves the uploaded files in "/www/uploads/" directory, the "." filename will create a file called "uploads" in the "/www/" directory.
* Uploading files that may not be deleted easily such as "...:.jpg" in NTFS that makes the "..." file (this file can be deleted using command line). This may show interesting error messages that can lead to information disclosure.
* Uploading a file in Windows with invalid characters such as |<>*?" in its name. This may show interesting error messages that can lead to information disclosure.
* Uploading a file in Windows using reserved (forbidden) names such as CON, PRN, AUX, NUL, COM1, COM2, COM3, COM4, COM5, COM6, COM7, COM8, COM9, LPT1, LPT2, LPT3, LPT4, LPT5, LPT6, LPT7, LPT8, and LPT9. This may show interesting error messages that can lead to information disclosure. Uploading a file with a reserved name may lead to denial of service if the application keeps the name and tries to save it with another extension (detecting it wrongly as an existing file).
* Cross-site content hijacking issues can be exploited by uploading a file with allowed name and extension but with Flash, PDF, or Silverlight contents.
* Uploading a "crossdomain.xml" or "clientaccesspolicy.xml" file can make a website vulnerable to cross-site content hijacking. These files should be uploaded to the root of the website to work. However, the "crossdomain.xml" file can be in a subdirectory as long as it is allowed in the root "crossdomain.xml" file.

=== Important Notes in Testing File Uploaders ===

* Do not try to replace the existing files during testing unless it is safe to proceed. For instance, replacing configuration files such as "web.config" or ".htaccess" file can lead to a denial of service attack for the whole website.

== Prevention Methods (Solutions to be more secure) ==
In order to make a Windows server more secure, it is very important to follow the Microsoft security best practices first. For this purpose, some of the useful links are:
* IIS 6.0 Security Best Practices[http://technet.microsoft.com/en-us/library/cc782762(WS.10).aspx]
* Securing Sites with Web Site Permissions[http://technet.microsoft.com/en-us/library/cc756133(WS.10).aspx]
* IIS 6.0 Operations Guide[http://technet.microsoft.com/en-us/library/cc785089(WS.10).aspx]
* Improving Web Application Security: Threats and Countermeasures[http://msdn.microsoft.com/en-us/library/ms994921.aspx]
* Understanding the Built-In User and Group Accounts in IIS 7.0[http://learn.iis.net/page.aspx/140/understanding-the-built-in-user-and-group-accounts-in-iis-70/]
* IIS Security Checklist[http://windows.stanford.edu/docs/IISsecchecklist.htm]
And some special recommendations for the developers and webmasters:
* The file types allowed to be uploaded should be restricted to only those that are necessary for business functionality.
* Never accept a filename and its extension directly without having a whitelist filter.
* The application should perform filtering and content checking on any files which are uploaded to the server. Files should be thoroughly scanned and validated before being made available to other users. If in doubt, the file should be discarded.
* It is necessary to have a list of only permitted extensions on the web application. And, file extension can be selected from the list. For instance, it can be a "select case" syntax (in case of having VBScript) to choose the file extension in regards to the real file extension.
* All the control characters and Unicode ones should be removed from the filenames and their extensions without any exception. Also, the special characters such as ";", ":", ">", "<", "/" ,"\", additional ".", "*", "%", "$", and so on should be discarded as well. If it is applicable and there is no need to have Unicode characters, it is highly recommended to only accept Alpha-Numeric characters and only 1 dot as an input for the file name and the extension; in which the file name and also the extension should not be empty at all (regular expression: [a-zA-Z0-9]{1,200}\.[a-zA-Z0-9]{1,10}).
* Limit the filename length. For instance, the maximum length of the name of a file plus its extension should be less than 255 characters (without any directory) in an NTFS partition.
* It is recommended to use an algorithm to determine the filenames. For instance, a filename can be a MD5 hash of the name of file plus the date of the day.
* Uploaded directory should not have any "execute" permission and all the script handlers should be removed from these directories.
* Limit the file size to a maximum value in order to prevent denial of service attacks (on file space or other web application’s functions such as the image resizer).
* Restrict small size files as they can lead to denial of service attacks. So, the minimum size of files should be considered.
* Use Cross Site Request Forgery protection methods.
* Prevent from overwriting a file in case of having the same hash for both.
* Use a virus scanner on the server (if it is applicable). Or, if the contents of files are not confidential, a free virus scanner website can be used. In this case, file should be stored with a random name and without any extension on the server first, and after the virus checking (uploading to a free virus scanner website and getting back the result), it can be renamed to its specific name and extension.
* Try to use POST method instead of PUT (or GET!)
* Log users’ activities. However, the logging mechanism should be secured against log forgery and code injection itself.
* In case of having compressed file extract functions, contents of the compressed file should be checked one by one as a new file.
* If it is possible, consider saving the files in a database rather than on the filesystem.
* If files should be saved in a filesystem, consider using an isolated server with a different domain to serve the uploaded files.
* File uploaders should be only accessible to authenticated and authorised users if possible.
* Write permission should be removed from files and folders other than the upload folders. The upload folders should not serve any
* Ensure that configuration files such as ".htaccess" or "web.config" cannot be replaced using file uploaders. Ensure that appropriate settings are available to ignore the ".htaccess" or "web.config" files if uploaded in the upload directories.
* Ensure that files with double extensions (e.g. "file.php.txt") cannot be executed especially in Apache.
* Ensure that uploaded files cannot be accessed by unauthorised users.
* Adding the "Content-Disposition: Attachment" and "X-Content-Type-Options: nosniff" headers to the response of static files will secure the website against Flash or PDF-based cross-site content-hijacking attacks. It is recommended that this practice be performed for all of the files that users need to download in all the modules that deal with a file download. Although this method does not fully secure the website against attacks using Silverlight or similar objects, it can mitigate the risk of using Adobe Flash and PDF objects, especially when uploading PDF files is permitted.
* Flash/PDF (crossdomain.xml) or Silverlight (clientaccesspolicy.xml) cross-domain policy files should be removed if they are not in use and there is no business requirement for Flash or Silverlight applications to communicate with the website.
* Browser caching should be disabled for the corssdomain.xml and clientaccesspolicy.xml files. This enables the website to easily update the file or restrict access to the Web services if necessary. Once the client access policy file is checked, it remains in effect for the browser session so the impact of non-caching to the end-user is minimal. This can be raised as a low or informational risk issue based on the content of the target website and security and complexity of the policy file(s).
* CORS headers should be reviewed to only be enabled for static or publicly accessible data. Otherwise, the "Access-Control-Allow-Origin" header should only contain authorised addresses. Other CORS headers such as "Access-Control-Allow-Credentials" should only be used when they are required. Items within the CORS headers such as "Access-Control-Allow-Methods" or "Access-Control-Allow-Headers" should be reviewed and removed if they are not required.

== Related [[Attacks]] ==

* [[Path Traversal]]
* [[Path Manipulation]]
* [[Relative Path Traversal]]
* [[Windows_::DATA_alternate_data_stream]]

==Related [[Vulnerabilities]]==

* [[:Category:Input Validation Vulnerability]]

== Related [[Controls]] ==

* [[:Category:Input Validation]]

== Related [[Threat Agent]] ==

* [[:Category:External Threat Agent]]
* [[:Category:Internal Threat Agent]]
* [[:Category:Internet attacker]]
* [[:Category:Intranet attacker]]

== Related [[Technical Impacts]] ==

* [[System Access]]
* [[Security Bypass]]
* [[Exposure of system information]]
* [[Exposure of sensitive information]]
* [[Client Side Threat]]

== References ==

* Improve File Uploaders’ Protections – Bypass Methods- Rev. 1.0 [http://soroush.secproject.com/blog/2010/03/improve-file-uploaders%e2%80%99-protections-rev-1-0/ ]
* 8 basic rules to implement secure file uploads - SANS - [http://software-security.sans.org/blog/2009/12/28/8-basic-rules-to-implement-secure-file-uploads]
* IIS6/ASP & file upload for fun and profit [http://blog.48bits.com/2010/09/28/iis6-asp-file-upload-for-fun-and-profit/]
* Secure file upload in PHP web applications [http://www.net-security.org/dl/articles/php-file-upload.pdf]
* Potentially Dangerous File Types [http://www.windowsitpro.com/Files/18/27072/Webtable_01.pdf]
* Image Upload XSS [http://ha.ckers.org/blog/20070603/image-upload-xss/]
* Code Execution Through Filenames in Uploads [http://ha.ckers.org/blog/20070620/code-execution-through-filenames-in-uploads/]
* Secure File Upload Check List With PHP [http://hungred.com/useful-information/secure-file-upload-check-list-php/]
* NTFS in WikiPedia [http://en.wikipedia.org/wiki/NTFS]
* NTFS Streams [http://msdn.microsoft.com/en-us/library/ff469210(v=PROT.10).aspx]
* NTFS - Glossary [http://inform.pucp.edu.pe/~inf232/Ntfs/ntfs_doc_v0.5/help/glossary.html]
* IIS 6.0 Security Best Practices [http://technet.microsoft.com/en-us/library/cc782762(WS.10).aspx]
* Securing Sites with Web Site Permissions [http://technet.microsoft.com/en-us/library/cc756133(WS.10).aspx]
* IIS 6.0 Operations Guide [http://technet.microsoft.com/en-us/library/cc785089(WS.10).aspx]
* Improving Web Application Security: Threats and Countermeasures [http://msdn.microsoft.com/en-us/library/ms994921.aspx]
* Understanding the Built-In User and Group Accounts in IIS 7.0 [http://learn.iis.net/page.aspx/140/understanding-the-built-in-user-and-group-accounts-in-iis-70/]
* IIS Security Checklist [http://windows.stanford.edu/docs/IISsecchecklist.htm]
* Microsoft IIS ASP Multiple Extensions Security Bypass [http://secunia.com/advisories/37831/]
* CVE-2009-4444 [http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-4444]
* CVE-2009-4445 [http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-4445]
* CVE-2009-1535 [http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1535]
* MSDN - Naming Files, Paths, and Namespaces [https://msdn.microsoft.com/en-gb/library/windows/desktop/aa365247(v=vs.85).aspx]
* Even uploading a JPG file can lead to Cross-Site Content Hijacking (client-side attack) [https://soroush.secproject.com/blog/2014/05/even-uploading-a-jpg-file-can-lead-to-cross-domain-data-hijacking-client-side-attack/]
* Cross-Site Content (Data) Hijacking (XSCH) PoC Project [https://github.com/nccgroup/CrossSiteContentHijacking]
* iPhone MobileSafari LibTIFF Buffer Overflow [https://www.exploit-db.com/exploits/16862/]
* ImageMagick Is On Fire-CVE-2016–3714 [https://imagetragick.com/]
* Symantec Antivirus multiple remote memory corruption unpacking RAR CVE-2016-2207 [https://bugs.chromium.org/p/project-zero/issues/detail?id=810]
* File in the hole - HackPra Nov. 2012 [https://www.nds.rub.de/media/attachments/files/2012/11/File-in-the-hole.pdf]
* Self contained web shells and other attacks via .htaccess files [https://github.com/wireghoul/htshells]
* Upload a web.config File for Fun & Profit [https://soroush.secproject.com/blog/2014/07/upload-a-web-config-file-for-fun-profit/]
* PHP filesystem attack vectors - Take Two [http://www.ush.it/2009/07/26/php-filesystem-attack-vectors-take-two/]
* File Upload and PHP on IIS: >=? and <=* and "=. [https://soroush.secproject.com/blog/2014/07/file-upload-and-php-on-iis-wildcards/]

== Authors ==
* [[User:Soroush Dalili|Soroush Dalili]]
* [[User:Dirk Wetter|Dirk Wetter]]
* [[User:Landon Mayo|Landon Mayo]]
* [[User:OWASP|OWASP]]

__NOTOC__

[[Category:OWASP ASDR Project]]
[[Category:File System]]
[[Category:Windows]]
[[Category:Unix]]
[[Category:Use of Dangerous API]]
[[Category:Vulnerability]]

OWASP Wordpress Security Implementation Guideline

2018-07-16T19:34:22Z

Svieg: Fix typo

= Considerations =
This project aims for a unified approach on WordPress security design and implementation. It is definitely more than a checklist, it's a guide for secure implementation and an invitation to consider and to analyze each individual case.

There is a long list of recommended resources for securing aspects of the WordPress implementation. The project is aimed to offer open source or free resources instead of commercial ones. Some plugins have a free version and a paid one that offers extra functionality. In such cases, the focus of the project was on the free version.

= General security =
This section is meant to be just a reminder that all the other hardening measures are useless if an attacker can gain access to WordPress users’ computers. We’re not going to spend the time and effort to go into details but rather enumerate the common good practices each security conscious user should have in mind. There are plenty of good resources to help anyone accomplish security basics.

== Device security ==
When we talk about devices capable of accessing the WordPress administration interface we don’t just talk about computers but mobile devices as well. The following is a list of items that needs to be taken into account when securing the devices that will be accessing the WordPress instances. Some of them may refer to PCs and mobile devices, others just to one of the devices.

* Password protect the device
* Use strong passwords
* Keep the OS updated
* Encrypt the storage
* Have an anti-virus installed and updated
* Have a malware/spyware scanner installed and perform regular scans and updates
* Have a firewall installed and configured
* [http://www.cert.org/historical/tech_tips/securing-web-browser-index.cfm Secure your browser]

= Infrastructure security =
Before hardening the core of WordPress an implementer must consider hardening the services on which the instance will be installed. Sometimes the underlying infrastructure is not under the control of the implementer. While there are things that can be hardened on WordPress to mitigate things that are supposed to be fixed on the infrastructure side, one should always consider defense in depth. The implementer can contact the infrastructure administrator and ask for specific hardening in order to further protect the applications that will be installed on top of that, in this case WordPress.

The foundation of infrastructure hardening is operating system hardening. This is a broad subject and highly dependent on the OS, the main concerns being around privileges, access control, authentication and logging. It’s a topic outside the coverage of the current project and these are things that must be covered by experienced System Administrators.

WordPress can be installed on a multitude of platforms but the main focus below is on the most common components, Apache and MySQL. The general rules though apply to all supported infrastructure components.

Following best design practices, the tiers of the WordPress instance should be separated. However the presentation and application layers of WordPress are bound together. Thus only one separation is possible, the one with the database. For small applications it’s not a common practice, but for larger sites this becomes a must from a security but also a performance perspective.

As was the case with general security, this is just a list of things that should be performed in order to harden the infrastructure and not the means to do it.

== Apache hardening ==
* Update regularly
* Disable directory listing
* Secure the communication with the server by generating and using SSL certificates
* Disable unnecessary modules
** Good candidates for this are: ''userdir'', ''suexec'', ''cgi/cgid'', ''include'', ''autoindex''
* Run the daemon as a separate user and group
* Use ''Allow'' and ''Deny'' to restrict access to directories
* Use ''mod_security'' module to secure Apache
* Disable following of ''symbolic links''
* Turn off server sides includes and CGI execution
* Limit request size
* Configure other settings like ''TimeOut'', ''MaxClients'', ''KeepAliveTimeout'', ''LimitRequestFields'', ''LimitRequestFieldSize'' in order to prevent DoS attacks
* Enable and configure proper logging
* Modify server banner

== PHP hardening ==
* Update regularly
* Don’t install PHP as a CGI binary
* Disable unnecessary PHP modules
* Disable unused potentially dangerous PHP functions (good examples: ''exec'',''passthru'',''shell_exec'',''system'', etc.)
* Log errors internally
* Disable verbose error reporting on the client side
* Turn off remote code execution (if it’s not needed; the core WordPress doesn’t need this functionality)
* Disable magic quotes
* Limit PHP access to file system
* Protect from DoS
** Control POST size
** Limit script time execution
** Limit memory usage
* Consider implementing the [http://www.suhosin.org/stories/index.html Suhoshin security extension]
* Hide the version of PHP in use
* Hide the .php extension

== MySQL hardening ==
There is an entire [https://www.owasp.org/index.php/OWASP_Backend_Security_Project_MySQL_Hardening OWASP project dedicated to MySQL hardening]. The main action items are:

* Update regularly
* Disable or restrict remote access
* Filesystem access restrictions and ACLs
* Designing a chroot-jail
* Encrypting network traffic (this is a must if the database layer is physically separated from the application layer)
* Encrypting raw databases on filesystem level
** Redundant if disk encryption is in place at the OS layer
** However, by using ''dmcrypt'', one can generate an extra layer of encryption
* Backup encryption
* Configuration
** Connectivity: maximum number of concurrent connections and related settings
** Logging
** Access control and privilege management
** Set up root password
** Rename root account
** Delete unused users and databases
** Remove installation history

A PHP security checker is available [https://github.com/sektioneins/pcc here]. This is a one-page php file designed to analyze PHP configuration and rank the findings based on severity.

== Remote access ==
* Don’t use FTP (use sFTP where possible)
* If SSH access is available, use [http://linux.die.net/man/1/scp scp] or [http://winscp.net/eng/index.php WinSCP] for file transfer
* Consider using VPN or [http://www.pentest.ro/ssh-tunnels-an-alternative-to-vpn/ SSH tunnels] to the server for accessing the WordPress administrative interface

= WordPress security =
There are three main components of WordPress that need to be considered from a security perspective when implementing the solution.

* Core – the basic default installation files that provide most of the functionality
* Plugins – special written code to improve and extend the basic functionality
* Theme – the presentation layer which may come with some limited extended functionality

== Updates ==
It is of vital importance to keep WordPress core, plugins and themes updated. Once an update is released, it needs to be applied as soon as possible to close any security holes.

Functional problems with updates must be considered. It is possible that an update will break some of the functionality so a backup is recommended before updating the core.

=== WordPress Core ===
The WordPress core has three different types of updates:

* Core development updates, known as the "bleeding edge"
* Minor core updates, such as maintenance and security releases
* Major core release updates

Starting with version 3.7, automatic background updates were introduced by default for minor core updates releases (generally security updates). This default behavior can be overridden by editing the wp-config.php file and adding or modifying the following statement

''define( 'WP_AUTO_UPDATE_CORE', true );''

When set to true all updates will be enabled. Translations are updated by default with the minor core updates.

=== Themes and Plugins ===
The themes and plugins can be updated automatically using filters. The best place to put a filter is in a [http://codex.wordpress.org/Must_Use_Plugins must-use plugin]. WordPress doesn’t recommend putting filters in the wp-config.php file because of conflicts with other parts of the code.

To enable automatic updates for themes and plugins, add the following code

''add_filter( 'auto_update_plugin', '__return_true' );''

''add_filter( 'auto_update_theme', '__return_true' );''

== Removal of unused plugins and themes ==
Depending on the server configuration, the files in the WordPress folder can be accessed from the Internet regardless of whether they are used or not. Even if a plugin is disabled, the files are still there and they are accessible from the Internet.

When a new vulnerability is discovered, the attackers write scripts to look for the vulnerable files. Knowing the location of vulnerable plugins increases their chances of infiltrating a vulnerable instance.

Any plugins and themes that are not actively used must be deleted.

== Plugins & Themes Security ==
Plugins and themes are a great addition to the functionality offered by the WordPress core. WordPress’ success is based on these elements. It’s easy to develop a new theme, add new functions with plugins. This ease of development comes with the security downside. In the rush for functionality, the developers often forget about security. Looking at the [https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=wordpress CVE list for WordPress] it’s worth noticing that in the past years most of the security defects are affecting the plugins and themes and not WordPress core.

Developing on top of WordPress should be regarded as a regular development job and follow a standard secure development lifecycle. Concrete action items for this chapter include source code review and penetration testing of plugins and themes.

When choosing to use an already developed plugin by a 3rd party, a security audit should be performed. Good differentiators for available plugins are:

* Publication in the official plugin store at https://wordpress.org/plugins/
* User ratings and comments
* Version number (is it a young plugin/theme or has it faced the challenges of time?)
* Last update
* Update frequency
* Compatibility with the current version of the WordPress core

In order to perform a source code audit, the following tools can be used:

* [http://rips-scanner.sourceforge.net/ RIPS]
* [http://www.program-transformation.org/PHP/PhpSat PHP-sat]
* [http://www.scovetta.com/yasca.html Yasca]
* [http://resources.infosecinstitute.com/finding-bugs-in-php-using-grep/ Manual analysis using grep], [https://grepbugs.com/ GrepBugs]

Things to pay extra attention during the source code audit:

* Obfuscated code
* BASE64 encode function
* System call functions (exec, passthru, system, shell_exec, etc.)
* PHP code execution (eval, assert, preg_replace, etc.)
* Information disclosure functions (phpinfo, getenv, getmygid/pid/uid, etc.)
* Filesystem functions (fopen, bz/gzopen, chgrp/own/mod, etc.)

== Backup ==
The backup process is essential. The configuration of the backup process can make the distinction between a clean and fast recovery or a loss of data and prolonged downtime.

What needs to be included in the backup?

* The WordPress Files
** WordPress Core Installation
** WordPress Plugins
** WordPress Themes
** Images and Files
** JavaScript and PHP scripts, and other code files
** Additional Files and Static Web Pages
* The Database

It’s easy to say that a full backup of the /public_html folder is needed. However there are situations in which this is not feasible nor enough. There are situations in which large quantities of data is generated in the public folder (statistics, temporary data, etc.) that is useless in the backup process. There’s also the situation in which configuration files are placed outside the public directory. They also need backup.

The plan is to identify the files and folders that must be part of the backup process and save these in a remote location.

For database backup, the mysql command line can be used or administrative interfaces like phpMyAdmin.

How often should the backup be performed? It all depends on how often the instance is updated from a content perspective. If there are multiple updates a day, it’s a good idea to have a daily backup. If there’s a new article every several days, than a weekly or monthly backup is the way to go.

It’s a good practice to keep multiple backups and have them time stamped. This is because a breach might not be noticed immediately and a clean recovery can only be performed from a backup which is several iterations old.

Verifying that the backup is functional is part of the process. A backup that does not allow quick and full recovery is useless. The idea is to have a clean server and perform a full recovery from the backup, then check all the functionality and make sure nothing is missing.

=== Automation ===
The steps above are manual and labor intensive. There is a full list of plugins that can help this process: https://wordpress.org/plugins/tags/backup

The one free alternative offering full backup capabilities that stands out of the list is [https://wordpress.org/plugins/backwpup/ BackWPup]. The free version can be used to save your complete installation including /wp-content/ and push it to an external Backup Service, like Dropbox, S3, FTP (not a good idea) and many more.

From a security perspective, it’s worth noticing that an attacker who compromised the installation may be able to retrieve credentials and access the remote location of the backups, thus being able to manipulate or delete them. As a good precaution, on the remote side where the backups are stored, an independent process should take the backups and move them to a location inaccessible from the WordPress installation.

== User roles and proper usage ==
Understanding the roles and properly assigning them to users is essential in the segregation of duties process.

The WordPress roles are:

* Super Admin – somebody with access to the site network administration features and all other features
* Administrator – somebody who has access to all the administration features within a single site
* Editor – somebody who can publish and manage posts including the posts of other users
* Author – somebody who can publish and manage their own posts
* Contributor – somebody who can write and manage their own posts but cannot publish them
* Subscriber – somebody who can only manage their profile

The least privilege principle must be considered when assigning roles.

A full list of privileges and a comparison between roles is available at http://codex.wordpress.org/Roles_and_Capabilities.

Supporting plugins:

* [https://wordpress.org/plugins/members/ Members Plugin]
* [https://wordpress.org/plugins/role-scoper/ Role Scoper Plugin]
* [http://wordpress.org/extend/plugins/user-access-manager/ User Access Manager]
* [http://wordpress.org/extend/plugins/advanced-access-manager/ Advanced Access Manager]
* [http://wordpress.org/extend/plugins/user-role-editor/ User Role Editor]

== Restrict the access to the admin interface ==
Restricting the access to the admin interface should be considered as no regular user is in need of access to this area. For a site with few users it makes sense to whitelist their IP addresses. Additionally, the access can be restricted only to the localhost and have the users VPN in or create a tunnel to the server (if SSH is enabled) and then access the admin interface.

To restrict the access to the wp-admin folder, a file called .htaccess needs to be created in that folder. The content of the file should be:

''Order Deny,Allow''

''Deny from all''

''Allow from 127.0.0.1''

Multiple IP addresses separated by whitespaces can be added and the use of wildcards (*) is permitted.

== Prevent brute-forcing ==
Brute-forcing is the easy way in for an attacker. As discussed in the General Security chapter, a prerequisite for preventing bruteforcing is to have [https://www.owasp.org/index.php/Authentication_Cheat_Sheet#Password_Complexity strong passwords]. Apart from that, an additional layer of protection can be added in the form of [http://en.wikipedia.org/wiki/CAPTCHA CAPTCHA].

One good plugin candidate is [https://wordpress.org/plugins/google-captcha/ Google Captcha (reCAPTCHA)]. The advantage of this plugin is that it can be used to add the extra layer of protection on other areas as well (like registration and comments).

CAPTCHA is not a perfect solution by any means. There are services offering real-time CAPTCHA solving for a few cents per challenge. However it takes seconds to solve a CAPTCHA even for a good service like this, thus this sort of attack becomes unfeasible.

Another preventive measure is to lock-out accounts after a series of failed attempts. There is no plugin at the moment that can lock a user after several failed attempts for a period of time, there are plugins blocking IP addresses that are brute-forcing the login mechanism. This approach is not the best when dealing with distributed attacks.

== Implement two factor authentication ==
To add another layer of security on the authentication mechanism, two factor authentication can be enabled. Two factor authentication is a method of securing accounts requiring that you not only know something (a password) to log in but also that you possess something (your mobile device). The benefit of this approach to security is that even if someone guesses your password, they need to have also stolen your possession in order to break into your account.

Supporting plugins:
* Clef (unfortunately the product was retired in April 2017)
* Google Authenticator
* MiniOrange and other 2FA plugins
https://en-gb.wordpress.org/plugins/tags/2fa/

== Remove or change the default administrator account ==
There are two main reasons for creating a new administrator or modifying the old one:

* After the installation the default username is “admin”; an attacker trying to brute-force his way in will try default usernames
* The default id of the admin account is 1; an attacker who discovers a SQL injection is will try to update the user with id = 1

Both tasks can be performed manually in the database without the need to delete the admin account or can be performed in the administration User Interface. Create a new administrator, log in with the new credentials and delete the default one.

== Disable user registration if not needed ==
If user management is performed manually or through integration with other user management systems, there is no need for this functionality to be enabled in WordPress.

To disable user registration, log in as an administrator, go to '''Settings -> General''' and make sure the '''“Anyone can register”''' box is unchecked.

== Change the database prefix ==
In case a 0-day SQL injection vulnerability is discovered, an attacker will try to exploit the known tables from a default WordPress installation. To prevent this from happening, the default prefix of the tables needs to be changed. This can be performed in several ways:

* During the installation process
* Manually via ''mysql'' command line or ''phpMyAdmin'' for all the tables; after this, the wp-config.php file must be configured to reflect the changes ($table_prefix = "ves1uaq3_";)
* With a plugin ([https://wordpress.org/plugins/db-prefix-change/ Change DB Prefix])

== Control comments ==
WordPress was initially a blogging platform so the ability to add comments was part of the success story. Things changed with the shift of WordPress towards a CMS so comments might not be necessary in all instances. There are several things that need to be considered when dealing with this topic:

* Are comments needed? If not, they should be disabled. Log in as administrator. For new posts go to '''Settings -> Discussion''' and uncheck "'''Allow people to post comments on new articles'''". For existing posts, go to '''Posts''', select all of them, '''Bulk Actions -> Edit''' and choose “'''do not allow'''” near '''Comments''' before hitting '''Update posts'''.
* If comments are required, who should be able to post them? If only registered users should be allowed to add comments, go to '''Settings -> Discussion''' and check the “'''Users must be registered and logged in to comment'''” box.
* Should comments be reviewed before publishing? If so, the “'''Comment must be manually approved'''” box must be checked.
* If comments are not reviewed before publishing, using an anti-spam plugin like the default [https://wordpress.org/plugins/akismet/ Akismet] is advised

As a general rule of thumb, all the options under '''Settings -> Discussion '''should be carefully reviewed.

== Check file permissions ==
Permissions on files and directories determine who is allowed to read, write and execute them. Permission settings will vary from situation to situation and between shared hosting and dedicated hosting.

Following is a list of desired permissions on sensitive items and fallback options:

* wp-config.php
** Desired: 400
** Fallback: 440, 600, 640
* uploads folder
** Desired: 755
** Fallback: 766, 777 (not recommended)
* .htaccess files
** Desired: 400
** Fallback: 440, 444, 600, 640

== Delete readme.html and install.php ==
The readme.html file may reveal sensitive information and is not needed from a functional perspective.

The install.php is a residue of the installation process and even though it does not allow it to be restarted it’s not needed and should be removed.

The license.txt reveals the year of last Wordpress update - a fact that attackers can use to scan for outdated WordPress installations.

Action item:

* Delete the /<WordPress_root>/readme.html /<WordPress_root>/license.txt and /<WordPress_root>/wp-admin/install.php files

== Add blank index.php files where needed ==
Especially in shared environments where the settings of the web server are outside the control of the WordPress implementer, directory listing might be enabled. To add an extra layer of security, blank index.php files should be added to the folders that don’t have indexes in order to prevent browsing of the resources. The main folders that need to be considered are:

* wp-includes
* wp-content
* wp-content/plugins
* wp-content/themes
* wp-content/uploads

== Move wp-config.php file outside the web root folder ==
The wp-config.php file is a very important configuration file. It contains a lot of sensitive information about your WordPress site, like your database information for example.

WordPress will automatically look for this file in the folder above the WordPress root folder if it does not exist in the root folder. Moving this file out of the public_html folder means the file will not be accessible from the Internet.

== Create secret keys ==
Starting with the release of WordPress 2.6, a new set of security features for passwords and password hashing and cookie security is included. This feature works without doing anything, but it's not particularly powerful without some extra steps. In order to greatly increase the security of the WordPress installation, secret keys must be set up. This should be part of the standard installation process. Whenever there’s suspicion that the secret keys have been compromised, the administrator must change them. Changing the secret keys will invalidate all sessions so users will need to re-authenticate.

Setting up or changing secret keys can be done by adding or editing the following lines to the wp-config.php file, right after the other define statements:

''define('AUTH_KEY', 'put your unique phrase here');''

''define('SECURE_AUTH_KEY', 'put your unique phrase here');''

''define('LOGGED_IN_KEY', 'put your unique phrase here');''

''define('NONCE_KEY', 'put your unique phrase here');''

You don't have to remember the keys, just make them long, random and complicated -- or better yet, use the [https://api.wordpress.org/secret-key/1.1/salt/ online generator].

== Enforce transport layer encryption for administrative tasks ==
It was discussed earlier that SSL should be configured and used to access the WordPress instance. Usually sites are available over port 80 and 443. This means that the users are free to choose if they use a clear text or an encrypted communication channel.

In order to force the usage of SSL (at least) for sensitive actions, the following lines must be added to the wp-config.php file:

''define('FORCE_SSL_LOGIN', true);''

''define('FORCE_SSL_ADMIN', true);''

== Use a Web Application Firewall (WAF) ==
A WAF should be in place at the web server layer. Because that is not always accessible to the implementer, a WAF plugin can be used to add this layer of protection.

A good plugin candidate is [https://wordpress.org/plugins/ninjafirewall/ NinjaFirewall].

== Security plugins ==
This section is a list of security plugins and a short description of their functionality. As previously mentioned, the focus is on free plugins.

* [https://wordpress.org/plugins/better-wp-security/ iThemes Security] – iThemes Security (formerly Better WP Security) gives you over 30+ ways to secure and protect your WordPress site. In its free version it can obscure, detect, protect and recover a WordPress installation
* [https://wordpress.org/plugins/bulletproof-security/ BulletProof Security] – the free version offers:
** .htaccess Website Security Protection (Firewalls)
** Login Security & Monitoring
** DB Backup
** DB Backup Logging
** DB Table Prefix Changer
** Security Logging
** HTTP Error Logging
** FrontEnd/BackEnd Maintenance Mode
* [https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/ All In One WP Security & Firewall]
** User Account/Login/Registration Security
** Database & File System Security
** htaccess and wp-config.php File Backup and Restore
** Blacklist Functionality
** Firewall Functionality
** Brute-force login attack prevention
** Security Scanner
* [https://wordpress.org/plugins/sucuri-scanner/ Sucuri Security - Auditing, Malware Scanner and Security Hardening]
** Security Activity Auditing
** File Integrity Monitoring
** Remote Malware Scanning
** Blacklist Monitoring
** Effective Security Hardening
** Post-Hack Security Actions
** Security Notifications
** Website Firewall (add on)
* [https://wordpress.org/plugins/wp-security-scan/ Acunetix WP Security] & [https://wordpress.org/plugins/secure-wordpress/faq/ Acunetix Secure WordPress] – these plugins check your WordPress website/blog for security vulnerabilities and suggests corrective actions such as:
** Passwords
** File permissions
** Database security
** x hiding
** WordPress admin protection/security
** Removes WP Generator META tag from core code
*[https://en-gb.wordpress.org/plugins/wordfence/ Wordfence Security Plugin]
**Web Application Firewall
**Threat Defence Feed
**Real-time blocking of known attackers
**Rate-limiting
**Login Security
**File integrity monitoring and scanning
**Real-time Monitoring

== Disable the Plugin and Theme Editor ==
Occasionally you may wish to disable the plugin or theme editor to prevent overzealous users from being able to edit sensitive files and potentially crash the site. Disabling these also provides an additional layer of security if a hacker gains access to a well-privileged user account.

Open your wp-config.php file and add the following constant:

''define('DISALLOW_FILE_EDIT',true);''

= Large-scale integration =
Implementing one WordPress site and maintaining it is a doable job for an administrator. In large corporate environments there may be hundreds of instances that need management, configuration and maintenance. This can easily become an unmanageable situation. When dealing with large number of instances, a centralized approach is needed.

== Creating a standard image ==
The first step is to create a standard WordPress installation with all the security configuration and plugins in place. This should be a blank installation with no data that can be easily replicated when a new instance needs to be created.

A process for new instances must be in place and approach at least the following subjects:

* General configuration
* Database connectivity
* Setting the administrator account

== LDAP integration & Single Sign On ==
User management for large WordPress sites can be a hassle. In corporate environments users are in general centrally managed and assigned to different groups. WordPress can make use of this already established situation. Whether it’s [http://en.wikipedia.org/wiki/Active_Directory Active Directory] or other LDAP compatible service, this establishment is already used in the organization trying to implement WordPress. It’s easy to set up groups based on WordPress roles and assign users to different groups, based on their required level of access. Once the integration is achieved, one can go further towards an elegant solution by implementing Single Sign On.

Supporting plugins:

* [https://wordpress.org/plugins/active-directory-integration/ Active Directory Integration]
* [https://wordpress.org/support/plugin/active-directory-sso Active Directory SSO]
* [https://wordpress.org/plugins/simple-ldap-login/ Simple LDAP Login]

== Multisites ==
A large environment requires multiple instances of WordPress. Managing each individual instance can become impossible for a single person or a small team. This is where a built-in feature of WordPress comes in handy, [http://codex.wordpress.org/Create_A_Network multisite or network of sites].

A multisite network can be very similar to a personal version of WordPress.com. End users can create their own sites on demand, just like end users of WordPress.com can create blogs on demand. If there’s no need to allow end users to create their own sites on demand, the administrator of the network can create a multisite network in which only he can add new sites.

A multisite network is a collection of sites that all share the same WordPress installation. They can also share plugins and themes. The individual sites in the network are virtual sites in the sense that they do not have their own directories on your server, although they do have separate directories for media uploads within the shared installation, and they do have separate tables in the database.

WordPress does a good job in providing the necessary documentation for:

* [http://codex.wordpress.org/Create_A_Network Installation]
* [http://codex.wordpress.org/Multisite_Network_Administration Administration]
* [http://codex.wordpress.org/Debugging_a_WordPress_Network Debugging]
* [http://codex.wordpress.org/Migrating_Multiple_Blogs_into_WordPress_3.0_Multisite Migration]

The benefit of the multisite feature is centralized management of security. Plugins can be checked once for security defects and when a stable and secure version is available it can be pushed to all the sites in the same time.

This built-in solution might not always be the best choice. For example, all the plugins are shared between different sites and the administrators of those sites choose which plugins to enable and which to disable.

== Unified management of multiple installations ==
If multiple separate instances of WordPress need to be managed centrally, there are several solutions (most of them have at least some form of commercial addons) that can accomplish the task:

* [http://infinitewp.com/ InfinteWP] is a free, self-hosted multiple WordPress management platform that simplifies WordPress management tasks into simple clicks. Features:
** One master login
** One click updates
** Instant backup & restore
** Plugins & themes management
* [https://managewp.com/ ManageWP]
* [https://wpremote.com/ WPRemote] lets administrators monitor an unlimited number of WordPress websites. Through the WP Remote dashboard they can update WordPress and update plugins and themes. A snapshot (backup) of the websites can be downloaded from the interface

= Resources =
The project started with a discussion between [https://www.linkedin.com/in/dancatalinvasile Dan Vasile] (the initiator) and [https://www.linkedin.com/in/andersvinther Anders Vinther] who has already published [http://www.wpsecuritychecklist.com/ a guide] about secure WordPress implementation. Based on the information there, a part of the skeleton and content of the current project was created.

== Browser security ==
* http://www.cert.org/historical/tech_tips/securing-web-browser-index.cfm

== Apache hardening ==
* http://httpd.apache.org/docs/current/misc/security_tips.html
* http://www.tecmint.com/apache-security-tips/
* https://wiki.debian.org/Apache/Hardening

== PHP hardening ==
* http://php.net/manual/en/security.php
* http://www.cyberciti.biz/tips/php-security-best-practices-tutorial.html
* http://www.suhosin.org/stories/index.html

== MySQL hardening ==
* https://www.owasp.org/index.php/OWASP_Backend_Security_Project_MySQL_Hardening
* http://www.greensql.com/content/mysql-security-best-practices-hardening-mysql-tips

== Wordpress ==
* http://codex.wordpress.org/Configuring_Automatic_Background_Updates
* http://stackoverflow.com/questions/3115559/exploitable-php-functions
* http://codex.wordpress.org/WordPress_Backups
* http://codex.wordpress.org/Roles_and_Capabilities
* http://en.support.wordpress.com/security/two-step-authentication/
* http://codex.wordpress.org/Create_A_Network
* http://codex.wordpress.org/Before_You_Create_A_Network
* http://codex.wordpress.org/Migrating_Multiple_Blogs_into_WordPress_3.0_Multisite
* http://codex.wordpress.org/Editing_wp-config.php

=Project About=
{{:Projects/OWASP_Wordpress_Security_Checklist_Project}}

[[Category:OWASP Project]]
[[Category:WordPress]]

Montréal

2018-06-17T20:52:48Z

Svieg: /* Insecurity in Information Technology */

== Welcome & Bienvenue to the OWASP Montréal chapter ==
 
[[Image:OWASP-Montreal-Logo.png|Logo OWASP Montréal]]

The OWASP Foundation was established in 2001 as an open community and software security resource. Since then, OWASP has grown to be globally recognized as a credible source for application security standards. 
OWASP is an open community dedicated to enabling organizations to conceive, develop, acquire, operate, and maintain applications that can be trusted. All of the OWASP tools, documents, forums, and chapters are free and open to anyone interested in improving application security. We advocate approaching application security as a people, process, and technology problem because the most effective approaches to application security include improvements in all of these areas. 
OWASP is open to anyone. Anyone can attend OWASP's vendor agnostic local chapter meetings, participate in regional and global conferences, and contribute to the many OWASP projects. And anyone can start a new project, form a new chapter, or lend their expertise to help an OWASP Global Committee. 
On parle français aussi ! Le chapitre de Montréal organise plusieurs activités gratuites afin de partager les connaissances en sécurité applicative avec la communauté de développeurs et gestionnaires. Suivez-nous sur les réseaux sociaux pour connaître les dates des conférences du midi et des workshops ! 

Top documentation from OWASP includes:

* [https://www.owasp.org/index.php/Top_10_2013-Top_10 OWASP TOP 10 : The Ten Most Critical Web Application Security Risks]

* [https://www.owasp.org/images/3/33/OWASP_Application_Security_Verification_Standard_3.0.1.pdf OWASP ASVS : Application Security Verification Standard]

* [https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf OWASP Testing Guide : Penetration Testing Framework]

* [https://www.owasp.org/images/7/78/OWASP_AlphaRelease_CodeReviewGuide2.0.pdf OWASP Code Review Guide : Source Code Analysis Framework]

* [https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series OWASP Cheat Sheet : Best practices guidelines for developers]

* [https://www.owasp.org OWASP Global]

=== Chapter Leaders / Responsables du chapitre ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique
 
 Volunteers / Volontaires OWASP Montréal: 
* Simon Lacasse, Web content / Site internet
* Julien Touche, Logistique
* Jean-François Gill

== Reach our chapter / Joindre le chapitre ==

Follow OWASP's Montreal chapter's activities through social medias, register to events, watch the previous presentations and more!

Suivez les activités du chapitre OWASP Montréal via les réseaux sociaux, inscrivez-vous aux activités, visualisez les anciennes présentations et plus encore!

 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Click here] to join the local chapter mailing list.
 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Inscrivez-vous ici] à la liste de courriels du chapitre afin de recevoir les dernières nouvelles!

Want to be part of the community ?
Devenez membre de notre communauté !
[https://www.owasp.org/index.php/Membership_Map Click here / Cliquer ici]

[[Image:Eb_press_little.gif‎|OWASP Montreal Eventbrite|link=http://owaspmontreal.eventbrite.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Yt-brand-standard-logo-630px.png‎|128px|YouTube OWASP Montreal Channel|link=http://www.youtube.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Speakerdecklogo.png‎|Slides of OWASP Montreal on SpeakerDeck |link=https://speakerdeck.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]

 
[[Image:Twitter-bird-cropped-onwhite.png|@owaspmontreal on Twitter|link=https://twitter.com/owaspmontreal]]
[[Image:FacebookSquareLogo.png|OWASP Montreal Facebook page|link=https://www.facebook.com/owasp.montreal]]
[[Image:LinkedinSquareLogo.png|OWASP Montreal on LinkedIn|link=https://www.linkedin.com/groups/1379007/profile]]

[[Image:Spacer-horiz.gif‎]]

== What we do / Nos activités ==

OWASP Montreal is a really active chapter. We organize monthly conferences and workshops. All our events are free and meant to improve the knowledge and awareness of the community's developers, managers and computer security specialists. To be aware of the next event and for additional information, follow us on social medias. 

OWASP Montréal est un des chapitres les plus actifs. Nous organisons mensuellement des ateliers et conférences. Tous nos événements sont gratuits et ont pour but d'améliorer les connaissances de la communauté. Ils s'adressent donc autant aux gestionnaires qu'aux développeurs et aux spécialistes en sécurité informatique. Pour plus d'informations sur nos activités et pour être au courant des prochaines dates d'événement, suivez nous sur les réseaux sociaux. 

We also contribute to the vast OWASP knowledge base / Nous contribuons aussi aux ressources d'OWASP

We list here the projects that were started by our members under OWASP's banner. 
Nous listons ici les projets commencé par nos membres sous la banière d'OWASP. 

* [https://www.owasp.org/index.php/Vulnerability_Disclosure_Cheat_Sheet Vulnerability Disclosure Cheat Sheet]

== Sponsorship & Membership / Commandite & Adhésion ==

[[Image:Btn_donate_SM.gif|link=http://www.regonline.com/donation_1044369]] to this chapter or become a local chapter supporter.

Or consider the value of [[Membership | Individual, Corporate, or Academic Supporter membership]]. Ready to become a member? [[Image:Join_Now_BlueIcon.JPG|75px|link=https://myowasp.force.com/]]

[http://www.regonline.com/donation_1044369 Donnez] au chapitre ou devenez commanditaire du chapitre local!

[https://myowasp.force.com/ Devenez membre !] Pour en savoir davantage sur les avantages d’une adhésion individuelle, corporative ou en tant qu’institution d’enseignement, [https://www.owasp.org/index.php/Membership cliquez ici].

[[Category:OWASP Chapter]]

== Chapter Supporters / Commanditaires du chapitre ==

[https://www.owasp.org/images/9/91/OWASP_Membership_Flyer_Montreal.png All details available here / Pour tous les détails] [[File:Chapter-supporter-owasp-montreal.png|200px|link=]]

=== Platinum / Platine ===

[[Image:Gosecure-2.png|GoSecure|link=http://www.gosecure.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[File:Desjardins2-400x400.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 
 

=== Gold / Or ===

[[Image:PM_SCADA_Logo_Gris_Cybersecurite_FR.png|PM SCADA|link=http://pmscada.ca/en/]]

 
 
 

= Lunch & Learn / Workshops 2018 =

== SecurityRAT - Handling of Security Requirements in SDLC ==

 
WHEN
Fri, 1 June 2018
WHERE
Espace Desjardins

OWASP dans le cadre des Midis conférence est heureux d'accueillir Daniel Kefer et Rene Reuter. Tous les deux viennent d'Allemagne et seront de passage à Montréal. 

Nos conférenciers viendront présenter SecurityRAT, un projet OWASP pour gérer les requis de sécurité pendant le cycle de vie des dévelopements applicatifs (SDLC).
 
Biographie : 
Daniel Kefer travaille en sécurité depuis 2007 et a commencé en tant que pentester. Il travaille depuis 2011 chez 1&1 où il mène l'équipe AppSec interne. 

René Reuter est ingénieur sécurité depuis 6 ans. Il travaille chez Robert Bosch GmbH en tant que consultant en charge d'identifier les vulnérabilités et problèmes de conception dans les applications internes.
 

== Insecurity in Information Technology ==
 
WHEN
Wed, 16 May 2018
WHERE
Marché Bonsecours, salle 1847

OWASP dans le cadre des Midis conférence est heureux d'accueillir Greg Castle. 

A lot is expected of software developers these days; they are expected to be experts in everything despite very little training. Throw in the IT security team (often with little-to-no knowledge of how to build software) telling developers what to do and how to do it, and the situation becomes strained. This silo-filled, tension-laced situation, coupled with short deadlines and pressure from management, often leads to stress, anxiety and less-than-ideal reactions from developers and security people alike. 
This talk will explain how job insecurities can be brought out by IT leadership decisions, and how this can lead to real-life vulnerabilities in software. This is not a talk about “feelings”, this is a talk about creating programs, governance and policies that ensure security throughout the entire SDLC. 

No more laying blame and pointing fingers, it’s time to put our egos aside and focus on building high-quality software that is secure. The cause and effect of insecurities and other behavioral influencers, as well as several detailed and specific solutions will be presented that can be implemented at your own place of work, immediately. No more ambiguity or uncertainty from now on, only crystal-clear expectations.
 
Biographie : 
Tanya Janca is a senior cloud advocate for Microsoft, specializing in application security; evangelizing software security and advocating for developers through public speaking, her open source project OWASP DevSlop, and various forms of teaching via workshops, blogs and community events. As an ethical hacker, OWASP Project and Chapter Leader, software developer, effective altruist and professional computer geek of 20+ years, she is a person who is truly fascinated by the ‘science’ of computer science.
 

== Shipping in Pirate-Infested Waters: Practical Attack and Defense in Kubernetes ==

[[Image:Owasp-avril-2018.JPG ]]
[[Image:Owasp-avril-2018-2.JPG ]]
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/ohTq0no0ZVU ]] [https://youtu.be/ohTq0no0ZVU Watch the conference / Regarder la conférence] 
WHEN
April 30 2018
WHERE
Espace Desjardins

OWASP dans le cadre des Midis conférence est heureux d'accueillir Greg Castle. 

L'événement contiendra une diffusion de "Shipping in Pirate-Infested Waters: Practical Attack and Defense in Kubernetes" présenté à Kubecon 2017, suivi de 20 min de questions/réponses avec Greg par vidéoconférence.
 
Biographie : 
Greg est Tech Lead pour l'équipe sécurité Kubernetes et Google Container Engine chez Google. Avant GKE, Greg a travaillé dans l'équipe de réponse aux incidents de sécurité de Google, dévelopant des outils opensource d'investigations et à l'amélioration de la sécurité de Macos. Avant google, il a occupé de nombreuses positions incluant pentester, incident responder et analyste forensics.
 

== Operate PCI DSS infrastructure using DevOps approach ==

[[Image:Owasp-montreal-pci-dss-r.jpg ]]
[[Image:Owasp-montreal-pci-dss-2-r.jpg ]]
 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/owasp-operate-pcidss-infrastructure-using-devops-approch-dot-pptx-1]] [https://speakerdeck.com/owaspmontreal/owasp-operate-pcidss-infrastructure-using-devops-approch-dot-pptx-1 See the slides / Voir la présentation] 
WHEN
March 5 2018
WHERE
Espace Desjardins

OWASP dans le cadre des Midis conférence est heureux d'accueillir, M. Gaëtan Trivino. 

Notre conférencier viendra présenter l'influence de la culture devops sur les opérations d'un hébergeur international en particulier pour supporter les réglementations comme PCI DSS.
 
Biographie : 
Gaëtan est DevOps technical leader orienté cloud et automatisation réseau. Il a traversé l'Atlantique avec sa famille pour explorer de nouvelles culture de travail et se lance dans la recherche du meilleur sirop d'érable!
 

= Lunch & Learn / Workshops 2015-2017 =

== Pourquoi un hacker peut-il contourner les mesures et solutions de sécurité... ==

[[Image:Hamilton-septembre-2017-1.JPG ]]
[[Image:Hamilton-septembre-2017-2.JPG ]]
 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/endpoint-bypass-charles-hamilton]] [https://speakerdeck.com/owaspmontreal/endpoint-bypass-charles-hamilton See the slides / Voir la présentation] 
WHEN
September 18th 2017
WHERE
Espace Desjardins

OWASP dans le cadre des Midis conférence est heureux de lancer la saison 2017-2018 en accueillant, M. Charles F. Hamilton.
 
Notre conférencier viendra brosser un tableau des différents éléments qui expliquent pourquoi les mesures et les solutions de sécurité en générales qui ont la fonction de protéger les données, les applications, les réseaux ou les équipements critiques sont si souvent contournées ou carrément inefficaces contre les attaques ciblées.
 
Biographie : 
Charles F. Hamilton est un consultant en sécurité et membre d’équipe « Red Team » de calibre international. Il se spécialise en test d’intrusion et la recherche de solution proactive de sécurité.
 

== Cas d'attaques vécus : Internet des objets (IOT) - Attaques DDoS ==

[[Image:Cas_dattaques_vecus-r.jpg ]]
 
WHEN
June 19th 2017
WHERE
Espace Desjardins

Pour clore la saison printanière 2017, OWASP Montréal est fier d'accueillir au Midi Conférence, M. Christian Shink qui fera un survol de cas d'attaques vécus, des techniques utilisées et des acteurs impliqués dans ces attaques. 
L'incorporation généralisée de dispositifs «intelligents» dans les objets de la vie de tous les jours modifie la façon dont les gens et les machines interagissent les uns avec les autres. Cette incorporation offre une promesse d'une meilleure qualité de vie, une meilleure efficacité. En contrepartie, leur déploiement introduit également des vulnérabilités à la fois dans l'infrastructure qu'ils soutiennent et sur lesquels ils comptent, ainsi que dans les processus qu'ils guident. Que ce soit au niveau applicatif ou des infrastructures, ces vulnérabilités sont exploitées par des acteurs malicieux pour générer des attaques de déni de service massives et sophistiquées. Nous tenterons également de tirer des leçons afin de tenter de minimiser ce type d'attaques dans le futur. 
Christian Shink possède plus d’une dizaine d’années d’expérience en développement et sécurité d’applications. Avant de se joindre à Radware, Christian était à l’emploi d'une firme conseil où il a conseillé de nombreuses entreprises, dont de grandes banques américaines et Casinos. Il détient une certification CSSLP et est membre de l'ordre des ingénieurs du Québec.
 

== HOW TO! Threat Modeling Toolkit ==

[[Image:OWASPMtl-JonathanMarcil-1.jpg]]
[[Image:OWASPMtl-JonathanMarcil-3.jpg]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit]] [https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit See the slides / Voir la présentation]
 
WHEN
May 23rd, 2017
WHERE
Shopify Montreal

Threat Modeling is a great way to analyze security early in software development by structuring possible attacks, bad actors and countermeasures over a broad view of the targeted system. This talk will describe basic components of a threat model and how to use them effectively.
Threat Intelligence is where you gather knowledge about the environment and business assets to determine what are the actual threats. But how do you reconcile that with the current architecture in a useful manner?
The toolkit presented in this talk will enable you to systematically structure related information using graphical notations such as flow diagram and attack tree. In case you are wondering where to start in your organization, a quick lightweight risk rating methodology will also be proposed.
And in the end, you’ll see how we can all tie those together and get threat modeling to a point where it’s an efficient application security activity for communication. Doing this will prevent security reviews from missing important things even when chaos prevails during the realization of a project.
Modeling concepts will be demonstrated with an actual IoT device used as example.
Presentation will be done in english.

Speaker Bio:
Jonathan Marcil is the former chapter leader of OWASP Montreal and is now Senior Application Security Engineer at Blizzard Entertainment in beautiful Orange County, California.
Jonathan has been involved with OWASP for many years and has been behind the Media Project which gathered and promoted AppSec conferences video content in the official OWASP YouTube channel. He was also part of NorthSec CTF event as a challenge designer specialized in Web and imaginative contraptions.
He is passionate about Application Security and enjoys architecture analysis, code review, threat modeling and debunking security tools. He holds a diploma in Software Engineering from ÉTS Montreal and has more than 15 years of experience in Information Technology and Security.

Merci à nos précieux commanditaires !

== Security Testing: Unlocking the Benefits of a Hybrid Approach ==
[[Image:Security testing hybrid approach-r 3.jpg ]]
[[Image:Security testing hybrid approach-r 4.jpg ]]
 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/hybrid-approach-to-security-testing]] [https://speakerdeck.com/owaspmontreal/hybrid-approach-to-security-testing See the slides / Voir la présentation]
 
WHEN
April 24th, 2017
WHERE
Espace Desjardins

As part of their defensive efforts, businesses commonly commission cybersecurity assessments of their web applications; with the aim of identifying any weaknesses in the security controls and ensuring a continually strong cybersecurity posture of their systems.

The classical approach of either secure code review (white box) or penetration testing (black box) assessment have proven to be effective in securing of web applications. The new trend, however, is moving towards the combination of these two approaches; expert consensus is rapidly recognizing the advantages of using a hybrid approach. When applied properly, a hybrid approach can build on the strengths of both white and black box testing, while compensating for their individual shortcomings.

In this presentation, we will examine the details of secure code review and penetration testing, and run demos to contrast their respective strengths and weaknesses. We will also examine why a hybrid approach can produce more complete and relevant assessment results. To conclude, we will cover proven approaches, and practical techniques, on how you can start leveraging a hybrid approach to web application assessments today.

Anne Gauthier is an application security analyst at GoSecure. Anne is also the president of the Montreal Chapter of OWASP – the industry standard for web application security. With a penetration testing background, she specializes in secure code reviews and in helping companies to improve their software development lifecycle (SDLC) according to industry best practices. Anne is CSSLP, GWAPT and GSSP-JAVA certified. She obtained a Software Engineering bachelor’s degree from Ecole de Technologie Supérieure in Montréal and is now pursuing a Master of Engineering (MEng) degree in Information Systems Security at Concordia University. She is the author of the Project 201 Security blog.

Merci à nos précieux commanditaires !

== "HOW-TO" NIGHT ! Tout sur les CTFs (Capture The Flag) ==

[[Image:Howto_ctf.jpg]]
 
[[Image:Presentation-link.png | Slides | link=https://docs.google.com/presentation/d/1zEsCcX-Nvq8Nz0k-B1zHejCDNT2oGZx8oUBgMbvvMM0/edit#slide=id.p ]] [https://docs.google.com/presentation/d/1zEsCcX-Nvq8Nz0k-B1zHejCDNT2oGZx8oUBgMbvvMM0/edit#slide=id.p See the slides / Voir la présentation (Laurent Desaulniers)]
[[Image:Presentation-link.png | Slides | link=https://docs.google.com/presentation/d/1c1P1d2mKe767j1Y0V9cK6De5cpnK4I7GI-ORiodbg1A/edit#slide=id.p ]] [https://docs.google.com/presentation/d/1c1P1d2mKe767j1Y0V9cK6De5cpnK4I7GI-ORiodbg1A/edit#slide=id.p See the slides / Voir la présentation (Charles Hamilton)]
[[Image:Presentation-link.png | Slides | link=http://obilodeau.github.io/slides/2017-04-04_how-not-to-suck-at-ctfs/ ]] [http://obilodeau.github.io/slides/2017-04-04_how-not-to-suck-at-ctfs/ See the slides / Voir la présentation (Olivier Bilodeau)]
 
WHEN
April 4th, 2017
WHERE
Shopify

Cette nouvelle soirée "How-To" Night d'OWASP Montréal vise à présenter les CTFs (une compétition Capture The Flag) et aider les équipes à démarrer et à continuer à évoluer dans leurs pratique de la cyber sécurité pratique. L'objectif est d'outiller les participants en leur fournissant des ressources techniques et des contacts afin de les aider à progresser.

Les éléments discutés seront:

- Composition optimale d’une équipe : Fonctionnement d’une équipe de CTF et les principaux rôles (chef d’équipe, cryptographie, application web, rétro ingénierie et les causes perdues).

- Pourquoi faire des CTFs? Discussion sur les différents styles (jeopardy, attack/defense, etc.), quels sont les problèmes fréquemments rencontrés + plusieurs anecdotes intéressantes (et drôles).

- Trucs de Mr. Unikoder : Le créateur du fameux site ringzer0team, soit un des plus gros sites pour apprendre la résolution de problèmes de CTF (https://ringzer0team.com/) Apprenez des trucs du meilleur, sur comment débuter et interpréter un challenge web, binaire et crypto avec des trucs réels du métier.

Matériel requis :

Votre légendaire enthousiasme

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement.

Présentateurs :

Charles Hamilton, Senior Consultant chez Mandiant, FireEye, Inc.

Olivier Bilodeau, Cybersecurity Research Lead at GoSecure

Laurent Desaulniers, Senior Security Solution Specialist at Bell Canada

== NorthSec - Applied Security Event ==
[[Image:Nsec_2017_midi_conf.jpg]] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/northsec-applied-security-event]] [https://speakerdeck.com/owaspmontreal/northsec-applied-security-event See the slides / Voir la présentation]
 
WHEN
April 4th, 2017
WHERE
Espace Desjardins

NorthSec: La plus grande compétition et conférence en cyber sécurité au Canada

NorthSec est un organisme sans but lucratif qui organise une conférence et une compétition de sécurité de type "Capture-The-Flag" (CTF) et des formations. Avec plus de 400 participants présents sur le site pour la compétition, c’est la plus grande compétition du genre au monde.

La conférence, dans sa 3e année, attire des présentateurs internationaux avec du contenu technique exclusif. L’ajout des séances de travail (workshops) devrait plaire aux plus chevronnés des binaires.

Des formations de 3 jours sont offertes avant la conférence: "Advanced Web Application Security" par Philippe Arteau et "Malware and Memory Forensics" par Michael Ligh, co-auteur des livres "Malware Analyst Cookbook" et "The Art of Memory Forensics".

NorthSec est situé au Marché Bonsecours dans le Vieux-Port de Montréal au printemps du 15 au 21 mai 2017.

La présentation couvrira:

- Le plan pour 2017 
- Ce qui différencie NorthSec 
- Comment équilibrer une compétition pour les débutants et les experts 
- Comment bâtir une infrastructure basée sur les conteneurs qui gère 50 équipes dans quelques serveurs sans qu’ils ne se partagent de machines virtuelles 
- Comment faire du pain au levain à grande échelle 
- Présentation de quelques défis et solutions 

Les présentateurs:

- Gabriel Tremblay, Président, Delve Labs 
- Olivier Bilodeau, VP Formations, Co-fondateur MontréHack, GoSecure 
- Pierre-David Oriol, VP Conférences, Delve Labs 
- Benoit Guérette, VP Partenaires, Desjardins 
- Laurent Desaulniers, Tisserand de drapeaux, Bell Canada 

Merci à nos précieux commanditaires !

== Sécurité des applications : Les fondements ==
[[Image:Tanya.jpeg]] 

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/securite-des-applications-les-fondements]] [https://speakerdeck.com/owaspmontreal/securite-des-applications-les-fondements See the slides / Voir la présentation]
 
WHEN
March 20th, 2017
WHERE
Espace Desjardins

OWASP Montréal est fier d’accueillir au Midi Conférence du mois de mars, Mme Tanya Janca, Co-Leader du chapitre OWASP Ottawa et spécialiste de la sécurité applicative au sein du Gouvernement fédéral.

La conférence « Les fondements de la sécurité des applications » sera présentée en anglais.

Session Description : Everyone has heard about the problem; everyone is “getting hacked”. But what is the answer? From scanning your code with a vulnerability scanner to red teaming exercises, developer education programs and bug bounties, this talk will take the audience through all the possibilities of an extensive application security program, with a detailed explanation of each part.

Bio : Tanya Janca is an application security evangelist, a web application penetration tester and vulnerability assessor, a secure code reviewer, an ethical hacker, the Co-Leader of the OWASP Ottawa chapter, and has been developing software since the late 90’s. She has worn many hats and done many things, including; Custom Apps, Ethical Hacking, COTS, Incident Response, Enterprise Architect, Project and People Management, and even Tech Support. She is currently helping the Government of Canada secure their web applications.

Merci à notre commanditaire principal de cet événement: Ubitrak!

== WORKSHOP ! Server Side Template Injection (SSTI) ==

[[Image:Workshop-okiok-SSTI-r.jpg | WORKSHOP ! Server Side Template Injection (SSTI) ]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti]] [https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti See the slides / Voir la présentation]

WHEN
22 Février 2017
WHERE
Shopify Montréal

OWASP Montreal vous invite à un atelier portant sur la sécurité des applications web supportant les moteurs de template (Template Engine). Le principe de séparation entre la présentation du site (code HTML statique) et de son contenu dynamique facilite la création de documents HTML et la capacité à modifier l'apparence du site sans mélanger le traitement et le rendu de la page. L'utilisation de moteurs de template amène de nouveaux enjeux de sécurité. Les vulnérabilités de type Server Side Template Injection (SSTI) sont exploitables à travers les données (non fiables) fournies par l'utilisateur et conduisent à l'exécution de code arbitraire (RCE) sur le serveur hébergeant l'application web. 

Ce workshop a pour but d'introduire cette classe de vulnérabilité à travers différents cas d'implémentation (php, java, python).
Nous verrons comment identifier et exploiter ces vulnérabilités et de quelle manière un attaquant peut
s'y prendre pour exécuter du code arbitraire sur le serveur afin d'en prendre le contrôle. 

Niveau : Intermédiaire 
Matériel requis :
* Votre portable
* Votre distribution Linux/Unix de votre choix
* Votre proxy Web de votre choix

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.
Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.
Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement. 

Présentateur : Gérôme Dieu 
Gérôme Dieu cumule plus de 7 années d’expérience en technologies de l’information et en sécurité.
Il œuvre à titre de conseiller senior en sécurité de l’information au sein de la firme OKIOK. Ces dernières années, il a acquis une expertise dans le domaine de la sécurité des applications web aussi bien d'un point de vue offensif que défensif. En plus de réaliser des tests d’intrusion pour des clients internationaux, Gérôme s’implique dans la recherche et développement afin de maintenir à la fine pointe de la technologie les tests d'intrusion et d'analyse de vulnérabilités. 

Merci à Shopify d'héberger l'événement ! 
[[Image:Shopify Logo-r.png| Shopify | link=https://www.shopify.com/]]
== Le courriel en 2017 – risques et menaces pour tous ==

[[Image:Zero spam 2.jpg|Le courriel en 2017 – risques et menaces pour tous]]

[[Image:Video-link.png | Link to video | link=https://www.youtube.com/watch?v=HX2vcijcCWw ]] [https://www.youtube.com/watch?v=HX2vcijcCWw Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

WHEN
Le 23 janvier 2017 à midi
WHERE
Espace Desjardins

Monsieur Poellhuber nous brossera un tableau du phénomène grandissant du rançongiciels et de l'hameçonnage, personnification. 

- Par les années passées, la menace courriel se résumait principalement en un fort volume de contenu simplement indésirable. Aujourd’hui la menace a passablement évolué. Quels sont les véritables risques actuels associés au courriel ? Rançongiciels, hameçonnage, personnification. Cette conférence présentera les nouveaux défis de sécurité pour les organisations qui doivent composer avec des attaques de plus en plus sophistiquées et de plus en plus ciblées tout en protégeant leur réputation. Des exemples biens réels, drôles et moins drôles seront disséqués pour bien dessiner l’ampleur de l’enjeu. 

M. David Poellhuber, Chef de l’exploitation, ZEROSPAM Sécurité Inc 

Note biographique : 
Monsieur David Poellhuber oeuvre dans l’industrie de la sécurité informatique depuis quinze ans. Il a été conférencier dans plusieurs forums de sécurité au Canada et est maintenant reconnu comme une autorité en matière de sécurité du courriel. Il a fondé ZEROSPAM Sécurité en 2003, le premier service Québécois externalisé de sécurité du courriel infonuagique qui se distingue par sa convivialité, son efficacité et ses technologies de détection proactives. 
Audience : Généralistes et spécialistes de la sécurité des TI
 
Merci à Ubitrack pour le repas et à Desjardins d'héberger l'événement!

[[Image:Ubitrak-r2.jpg|Ubitrak|link=http://www.ubitrak.com/fr/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]

== Effective XSS Mitigation ==

[[Image:XSS mitigation.jpg | Effective XSS Mitigation ]]

[[Image:Presentation-link.png | Slides| link=http://slides.com/olivierarteau/xss-mitigation ]] [http://slides.com/olivierarteau/xss-mitigation See the slides / Voir la présentation]

WHEN
18 Janvier 2017
WHERE
Google Montréal

FRANÇAIS/ENGLISH 
La mitigation de XSS a été un sujet important au cours des dernières années. Les navigateurs ont implémenté, en autre, deux fonctionnalités pour mitiger leur impact : l'entête "XSS-Protection" et l'entête "Content-Security-Policy". Par contre, obtenir une mitigation contre les XSS efficace est souvent plus complexe que l'on pense. Cet atelier couvrira les deux entêtes. Il expliquera comme il est possible de contourner ces protections et ce qu'il est possible de faire pour se protéger. Des exercices de type "offensif" et "défensif" seront proposés.
Mitigation for XSS as been an important topic in the last few years. Browsers have implemented two main functionalities to help mitigate the impact of XSS : the "XSS-Protection" header and the "Content-Security-Policy" header. But, getting an effective XSS mitigation of those headers is trickier than it may seem. This workshop will cover both of those headers. It will explain how bypass of those protection work and what you can do about it. It will have both "defensive" exercises and "offensive" exercises.
Niveau : débutant/intermédiaire
 
Matériel requis :

Votre portable 

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Google pour l'événement.
 
Présentateur : Olivier Arteau
 
Olivier Arteau est un professionnel en sécurité informatique depuis quelques années et fait partie de l’équipe de test d’intrusion de Desjardins. Il est aussi un amateur de CTF qui a gagné à plusieurs reprises le CTF du NorthSec avec l’équipe HackToute et participe fréquemment à d’autres CTF avec l’équipe DCIETS.
 

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

== WORKSHOP ! Top 10 OWASP - Unleash the threats ==

[[Image:Workshop-top10.jpg | WORKSHOP! Top 10 OWASP - Unleash the threats ]]

WHEN
30 novembre 2016 de 17h30 à 20h30
WHERE
Immunio @ WeWork

De nos jours, la sécurité applicative est essentielle dans l’écosystème des entreprises de toutes tailles. Les vecteurs d’attaques sont multiples, les vulnérabilités de sécurité dans les applications peuvent être désastreuses et les impacts d’un « Hack » peuvent être irréversibles pour l’entreprise; vols de données sensibles, perte de réputation, perte de $$$$$, etc.
L’objectif du workshop est de comprendre la base sur les vulnérabilités de sécurité dans les applications et les techniques d’exploitation utilisées par les pirates informatiques, en plus de connaître les bonnes pratiques de développement en matière de sécurité applicative.
Avec l'aide de WebGoat, Damn Vulnerable Web Application et de Kali Linux, vous pourrez participer
à l'exploitation des applications et découvrir les techniques utilisées par les attaquants.

Niveau : débutant

Matériel requis :
Votre portable
Kali Linux
La VM du workshop, envoyée aux participants

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places très limitées (nb = 10). Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Immunio & WeWork pour l'événement.

Présentateur : Christian Leclerc

Christian est spécialisé en conception et développement de solutions web sécuritaires. Tout au long de sa carrière, il a acquis une vaste expertise sur plusieurs types de technologies et méthodologies, intégré la sécurité dans le cycle de développement d’applications, effectué des revues de code sécurité, déployé des outils d’analyse des vulnérabilités et mis en place des systèmes d’authentification. De plus, il a participé à la conception et au développement de solutions sécuritaires de pointe comme la signature électronique à l’aide d’une infrastructure à clé publique (PKI), les authentifications fortes, le Registre des consentements au don d'organes et de tissus (RDOQ.org) et la migration de plusieurs applications web vers un environnement SOA (Service Oriented Architecture).
 Merci à Immunio & WeWork d'héberger l'événement! 

[[Image:Immunio-horizontal-r.png|Immunio|link=https://www.immun.io/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Wework-r.jpg|WeWork|link=https://www.wework.com/]]
 

== Histoire d'un Hack ==

[[Image:Histoire-dun-hack-r.jpg | Histoire d'un Hack ]]

WHEN
21 novembre 2016 à midi
WHERE
Espace Desjardins

Pour son activité du mois de novembre, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de faire l'autopsie d'une attaque de haute voltige sur un site web et des outils mis à la disposition par OWASP.

Bernard Bolduc cumule plus de 17 années d’expérience en technologies de l’information et en sécurité. Il œuvre à titre de conseiller senior en sécurité de l’information au niveau d’entreprise de classe nationale et internationale.

Bernard se spécialise en sécurité Unix, applicative et en gestion de la sécurité des télécommunications. Il combine ces expertises techniques afin d’obtenir des résultats probants et efficaces pour ces clients des secteurs bancaire, télécommunication et multimédias, de l’énergie ou des services publiques. Tout au long de sa carrière, Bernard s’est toujours maintenu à jour sur les dernières menaces de sécurité technologique et commerciale en assistant à des formations spécialisées et d'échanger avec un grand nombre de partenaires dans l'industrie de la sécurité.

La conférence débute à midi.

La conférence vous donne droit à 1 CPE et pour les 50 premières personnes, un lunch gratuit.

Merci à Desjardins d'héberger l'événement!

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite) ==

[[Image:Workshop-zap-mix.jpg | Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite)]]

WHEN
11 novembre 2016 de 18h à 21h

WHERE
Google Montréal

OWASP Zed Attack Proxy (ZAP) est un scanneur de vulnérabilités et un outil de débogage HTTP. Ce type d'outil est crucial dans un test d'intrusion web et contient un lot intéressant de fonctionnalités. Cela dit, il est possible d'étendre les fonctionnalités. Plusieurs types d'extension sont possibles : vue alternative pour les requêtes ou les réponses, scanneur passif des réponses, scanneur actif produisant des requêtes, etc.

Plusieurs options seront données, par exemple :

Détection automatique de flag dans les sources
Scanneur actif asynchrone DNS
Ou votre propre idée

Pour chacune des suggestions, des squelettes de code seront fournis pour les APIs de ZAP. Pour les utilisateurs de BurpSuite, des directives analogues seront également données.

Niveau : débutant / intermédiaire

Matériel requis

Votre portable
[https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project OWASP ZAP (gratuit)]
[https://portswigger.net/burp/download.html BurpSuite]
Éditeur de code pour Java, Python ou Ruby

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Présentateur : Philippe Arteau

Philippe est un chercheur en cybersécurité chez GoSecure. Il est l'auteur de l'outil d'analyse statique Java "Find Security Bugs". Il a découvert des vulnérabilités importantes dans les logiciels populaires tels que Google Chrome, Dropbox, Paypal, RunKeeper et Jira. Il a présenté dans différentes conférences incluant Black Hat USA, Black Hat Europe, ATL Sec Con, NorthSec, Hackfest (QC) et JavaOne. Il a développé de nombreux plug-ins pour les outils de proxy BurpSuite et OWASP ZAP (Retire.js, Reissue Request Script, PDF preview et Image Metadata). Il a fait également des contributions à d'autres plug-ins comme J2eeScan.

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

==Logiciel de rançon (Ransomware) s'attaque au domaine de la santé==

[[Image:HackingHealth-2.jpg | Logiciel de rançon (Ransomware) s'attaque au domaine de la santé ]]

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health ]] [https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health See the slides / Voir la présentation]

(Conférence en anglais)
Pour le lancement de la saison 2016 - 2017, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de la santé une incursion dans le monde du logiciel malveillant ciblant le domaine de la santé. 
Cette conférence s'intége dans le Coopérathon co-organisé par le Mouvement Desjardins et Hacking Health. 
Le domaine de la santé serait devenu une cible privilégiée des campagnes de ransomware parce que l'industrie a souvent payé la rançon demandée pour récupérer les données confidentielles et vitales de ses clients. Monsieur Ed Gershfang nous brossera un portrait du phénomène et des meilleures pratiques à mettre en place en matière de sécurité applicative.
Ed Gershfang possède une expérience solide dans l'infrastructure informatique et plus de 6 ans d'expérience dans les domaines de la sécurité de l'information, de la vulnérabilité, de la gouvernance et de la gestion des risques. Il était directeur de la sécurité pour la société PeriGen, un chef de file de développement de logiciels médicaux en Israël.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative vue par un pentesteur ==

[[Image:Juin2016-OWASPMtl.jpg | OWASP Montréal reçoit Mario Contestabile, Pentester de renom ]]
 
From Left to Right : Isabelle Lusseyran, Head of Development at Hacking Health. Eduard Gershfang Information Security Analyst at WSP | Parsons Brinckerhoff.

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile ]] [https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile See the slides / Voir la présentation]
 
Pour clore la saison 2015 – 2016, OWASP Montréal est fier d’accueillir au Midi Conférence un des architectes de renom du développement applicatif au Canada, monsieur Mario Contestabile.
En tant qu’auteur de plusieurs centaines de tests d’intrusion, il connait tous les rouages de ce qu’est véritablement une application Web «sécurisée». Mais avez-vous déjà remarqué que les rapports de tests d’intrusion mentionnent rarement, voir jamais : «Votre site est très difficile à pirater. Félicitations !» ?
Et qu’en est-il de ces rapports qui contiennent des dizaines de soi-disant vulnérabilités ? Est-ce que cela signifie d’emblée que l’application devrait être mise hors ligne ?
 
Lors de cette conférence, nous examinerons des rapports concrets (ambigus) de vulnérabilités et nous les analyserons afin de mieux comprendre si elles représentent une véritable menace, ou si elles ne servent qu’à «remplir» les rapports.
 
Avec son expertise en protection et en attaque d’applications Web, il abordera les points suivants :
Comment pouvez-vous sélectionner des systèmes de façon à mieux exécuter des protections de sécurité ?
Éviter certains pièges dans votre application Web qui rendent les attaques plus faciles et la protection plus difficile.
De nos jours, que peuvent faire les développeurs à l’intérieur de systèmes communs, qui puisse me rendre la tâche plus ardue en tant que « hacker »?
Pouvons-nous exiger de meilleurs rapports de la part des firmes de sécurité?
À quoi devrions-nous nous attendre de la part d’un « pentesters »?
Comment pouvons-nous savoir si le « pentester » a vérifié les failles de l’application et qu’il n’a pas simplement utilisé un scanneur?
Et enfin, comment pouvons-nous aider les « ethical hackers » à obtenir un meilleur rendement lors d’un test d’intrusion?
Il expliquera le sujet en détails, et ensemble, nous verrons de quelles façons les développeurs d’applications peuvent exploiter le savoir-faire des « pentesters », et comment nous pouvons faire en sorte qu’une application Web soit protégée.
Biographie :
Mario Contestabile est reconnu comme l’un des experts en sécurité les plus réputés au Canada. Son expertise, construire et protéger votre plateforme applicative. Ancien développeur C++ et Java, Mario partage ses nombreuses connaissances en « ethical hacking » et en développement de codes sécurisé.
 
WHEN
Tuesday, 14 June 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Comment protéger les applications mobiles? ==

[[Image:Avril2016-OWASPMtl.png | Comment protéger les applications mobiles? ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles ]] [https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles See the slides / Voir la présentation]
 
Dans le cadre des Midis Conférence à l'Espace Desjardins, l'équipe OWASP Montréal vous invite à assister à une présentation sur les vulnérabilités les plus communes associées aux appareils mobiles.
Marie-Claire Willig détaillera entre autres comment stocker de façon sécuritaire les données de l’application mobile ainsi que protéger l’application contre des attaques externes. Des outils simples vous seront dévoilés pour détecter ces vulnérabilités.
Marie-Claire est une professionnelle d'expérience en sécurité appliquée.
Une grande partie de son intérêt professionnel réside actuellement dans un domaine assez niche, soit la revue de code sécuritaire, un fondement important de tout cycle de développement sécuritaire en entreprise.
Au sein de l'équipe de sécurité technologique Desjardins, elle est, en autre, responsable de former les développeurs (Java et .NET principalement) afin de les sensibiliser aux meilleures pratiques de développement sécuritaire.
Également, elle est une professionnelle des tests d'intrusion sur les applications web, les applications mobiles ainsi que l'infrastructure réseau.
Bienvenue à tous
 
WHEN
Wednesday, 20 April 2016 from 12:15 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ==

[[Image:Mars2016-OWASPMtl.jpg | NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/YQtvltQYs7Y]] [https://youtu.be/YQtvltQYs7Y Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
OWASP Montréal est fier d’inviter au Midi Conférence de mars, NorthSec est le plus gros événement de sécurité appliquée au Canada qui comprend deux jours de formation, deux jours de conférences ainsi qu’une compétition du genre « capture the flag » (CTF) de trois jours.
Gabriel Tremblay, Benoit Guerette, Pierre-David Oriol et Laurent Desaulniers viendront vous parler de cet organisme sans but lucratif dynamique qui est géré par une équipe de bénévoles passionnés qui donnent à chaque année leur énergie et leur temps pour soutenir la communauté de la sécurité de l’information.
Le volet compétition, l’épreuve maîtresse, est présentée sous forme d’un scénario qui rend cohérent une centaine de défis techniques. Les équipes de participants attaquent l’infrastructure de compétition pour soutirer des drapeaux (flags) à travers un ensemble de vulnérabilités présentes comme de l’injection SQL, des XSS ou encore l’exploitation d’exécutables sur systèmes embarqués. Quelques exemples de défis des années passées seront également présentés.
Le volet conférence, qui est à sa 2ème année, met de l’avant plusieurs présentations techniques touchant la sécurité applicative mais aussi l’éthique et leurs impacts sociaux. Certaines présentations confirmées seront dévoilés.
Le tout nouveau volet formation propose deux formations en sécurité applicative de calibre international (anglais) : “Advanced Web Security Testing with Burp Pro” et “Modern Object-Oriented Malware Reverse Engineering”.
Venez aussi, découvrir comment l'équipe est partie d'une idée en 2012 pour se rendre à un évènement d'envergure, qui rassemblera plus de 600 professionnels, étudiants et autres passionnés de sécurité appliquée lors de la 4ème édition qui aura lieu du 17 au 22 mai 2016 au Marché Bonsecours.
Finalement, la mission, la vision ainsi que les activités sociales de la semaine de NorthSec sont aussi au menu de cette présentation qui sera suivie d’une période de questions.

Gabriel Tremblay, Delve Labs, Président
Benoit Guerette, Desjardins, VP Finances

Pierre-David Oriol, Delve Labs, VP Conférence
Laurent Desaulniers, Bell Canada, Artisant de drapeaux
 
WHEN
Wednesday, 23 March 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative et l'hameçonnage - February 24th ==

[[Image:Fevrier2016-OWASPMtl.jpg | La sécurité applicative et l'hameçonnage ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/1RYlOiIENjQ]] [https://youtu.be/1RYlOiIENjQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 

De nos jours, une des méthodes les plus efficaces pour contourner les périmètres de sécurité externes est l'hameçonnage conjointement avec l’abus de certaines technologies Web.

Dans le cadre ses activités, OWASP Montréal est heureux d'inviter d'accueillir, l'équipe OKIOK qui présentera les impacts liés à ce type d'attaque, tel que vu et expérimenté en entreprise ainsi que les plans d'action pour traiter ces risques. La présentation abordera aussi bien la sécurité web et applicatives, des systèmes informatiques ainsi que de la sécurité physique de centres de données.

Capture d'informations sensibles par imitations de portails Web ;
Authentification Web par 2-facteurs ;
Injection SMTP dans des formulaires Web ;
Attaque de type “Drive-by-download”;
Prise de contrôle à distance à travers des flux HTTP;
Attaque de CSRF à partir de courriels ;
Attaque d'hameçonnage basée sur des achats par Internet (ex : PayPal).
 
When
Wednesday, 24 February 2016 from 12:00 PM to 1:15 PM (EST) - Add to Calendar
Where
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest Montreal, Quebec CA

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Internet of {Things, Threats} - January 20th ==

[[Image:Janvier2016-OWASPMtl-R.png | Internet of {Things, Threats} ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html ]] [http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html See the slides / Voir la présentation]
 
De plus en plus de périphériques se retrouvent connectés sur Internet. Sous la bannière "Internet of Things" (IoT) ces équipements, que ce soit une pompe à insuline ou un système de caméra de sécurité, tournent généralement sous un système GNU/Linux embarqué d'architecture MIPS ou ARM. La difficulté de mettre à jour ces équipements ainsi que le peu d'effort mis dans la sécurité des systèmes ou la sécurité applicative en font des cibles de choix. Ces derniers mois, nous avons analysé plusieurs logiciels malveillants ciblant ces architectures. Que ce soit par l'exploitation d'une vulnérabilité (Shellshock) ou encore un défaut de configuration, ces systèmes exposés sur Internet peuvent être compromis.

Notre présentation couvrira quelques une de ces analyses:

* Linux/Moose, un malware se propageant automatiquement qui fraude les réseaux sociaux (par exemple Facebook, Twitter et YouTube)
* LizardSquad et acteurs étrangers qui utilisent des systèmes embarqués compromis pour réaliser des dénis de service distribué (DDoS)
* Win32/RBrute est un logiciel malveillant qui tente de changer les paramètres de routeurs dans le but de faire du "DNS poisoning". Il a été distribué par le populaire botnet Sality.
* Un kit d'exploits qui utilise seulement le navigateur de leur victime avec le même objectif, c'est-à-dire faire du "DNS poisoning".

Enfin, des conseils seront proposés à l'audience pour l'aider à se protéger de ces menaces.

'''Thomas Dupuy''' (twitter: @nyx__o)

Thomas est chercheur en logiciel malveillant chez ESET Canada Recherche. Bon vivant, Thomas déjeune en "reversant" des binaires, contribue à quelques projets open source durant le diner (yara, yara rules, pefile, APTnotes) et la nuit participe à des "Hacking Games" (Capture The Flag). Curieux de nature Thomas analyse des malware aux architectures "exotiques".

'''Olivier Bilodeau''' (twitter: @obilodeau)

Olivier Bilodeau is the head of Cybersecurity Research at GoSecure a consultancy firm specializing in cybersecurity services for the public and private sector. With more than 10 years of infosec experience, Olivier worked on Unix servers at Bell Canada, managed a portion of Air Canada's network, wrote open source network access control software at Inverse and worked as a Malware Researcher at ESET. He likes to reverse engineer everything that crosses his path, participate in information security capture-the-flag competitions, hack open source code and brew beer. He has spoken at various conferences (Defcon, Botconf, VirusBulletin, Derbycon, ...), used to lecture on information security at ETS University in Montreal, drives the NorthSec Hacker Jeopardy and co-organizes the MontreHack capture-the-flag training initiative. His primary research interests include reverse-engineering tools, Linux and/or embedded malware and honeypots.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Survivre aux attaques DDOS applicatives ==

[[Image:Decembre2015-OWASPMtl.jpg | Survivre aux attaques DDOS applicatives ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
Survivre aux attaques DDOS (Distributed Denial-Of-Service) applicatives.
Cette conférence s'adresse aux professionnels et gestionnaires des TI.
Conférencier : Christian Shink, ing., CSSLP, ingénieur système chez Radware, manufacturier spécialisé dans la prévention des attaques DDOS. Il fut également consultant en sécurité applicative chez In Fidem.
Objectifs de la conférence:
Présenter les tendances actuelles en matière d'attaques DDOS applicatives.
Renseigner les participants sur les techniques et stratégies pour contrer ces attaques illustrées à partir de cas vécus.
Démystifier certains mythes en ce qui concernent les façons efficaces de protéger les applications contre des attaques DDOS.
Date : 16 décembre 2015
Heure : 11h45
La conférence débute à 12h00 et se termine à 12:55.
Un lunch sera servi.
Réservez maintenant!
1 CPE
 
WHEN
Wednesday, 16 December 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Sécurité des applications - Systèmes de contrôles industriels ==

[[Image:Novembre2015-OWASPMtl-R.png | Sécurité des applications - Systèmes de contrôles industriels ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/0eAZpyiQQ9A]] [https://youtu.be/0eAZpyiQQ9A Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

La sécurité des applications et les systèmes de contrôles industriels.
Cette conférence s'adresse aux professionnels et gestionnaires des TI desinfrastructures critiques qui exploitent ou gèrent des systèmes de contrôles industriels(SCI) et SCADA (surveillance et d'acquisition de données). 
Conférenciers : Robert Nastas, CSSA. Gestionnaire de projet et Youssef Jad, Architecte Cyber sécurité, ICS-CERT 
 
Objectifs de la conférence:
* Démystifier le domaine d'affaires.
* Renseigner les participants sur les bonnes pratiques de sécurité desapplications liées au secteur industriel.
* Proposer aux professionnels et gestionnaires des TI responsables dessystèmes SCADA et SCI des pistes de solutions aux enjeux de sécurité.
 
L'équipe OWASP Montréal vous remercie d'avoir assisté en grand nombre à la conférence, 'La sécurité des applications et les systèmes de contrôles industriels'.
 
WHEN
Wednesday, 18 November 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ==

[[Image:Septembre2015-OWASPMtl.jpg | Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert ]] [https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert See the slides / Voir la présentation]
 
Pour le lancement des activités corporatives de la saison 2015 - 2016, le 8 septembre prochain à 12:00, l'équipe OWASP Montréal convie les gestionnaires et artisants de la sécurité des TIC à venir entendre monsieur Éric Hébert qui nous présentera son interprétation des préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative. L'événement se tiendra au complexe Desjardins à la salle "Espace Desjardins".

''' ÉRIC G. HÉBERT, CISM, CISSP ''' 
Après plus de 20 ans passés dans le domaine de la sécurité des technologies de l’information, Éric se spécialise dans la mise en œuvre et la gestion d'équipes performantes, capables de relever les plus hauts défis de la cybersécurité moderne. 
Capable de dialoguer avec les hauts dirigeants, il sait traduire et vulgariser les enjeux techniques complexes tout en respectant la nature et l'appétence au risque de ses clients. Dynamique et pourvu d'une expérience couvrant presque toutes les sphères de la SI, il fonce dans le respect de la culture établie tout en implantant des solutions pragmatiques et efficaces. 
Depuis plus de 10 ans, il gravite principalement autour des entreprises du domaine financier (BNC, Desjardins, Fonds de solidarité FTQ...) et les accompagne dans la mise en place de solutions efficaces tenant compte à la fois des risques et des budgets.
En plus d’avoir fondé de nombreuses associations telles que le RéseauSécurIT et le RPSI, il maintient une présence régulière auprès des milieux associatifs professionnels et partage régulièrement ses expériences lors de conférences et d'entrevues avec divers médias.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

= Events / Évènements =

== Owasp Montreal at [https://nsec.io/ NorthSec 2017] ==

[[Image:NorthSec2017-5.jpg]]
[[Image:NorthSec2017-6.jpg]]

From Left to Right: Anne Gauthier, OWASP Montréal Chapter Leader (President) and Application Security Analyst at GoSecure, Hugo Genesse, OWASP Montréal Chapter Leader and Research Intern at PNF Software, Julien, OWASP Montréal Chapter Leader

== OWASP Montreal at [https://2017.appsec.eu/ AppSec] ==

[[Image:OWASPAppSecBelfast2017-7.jpg]]

OWASP Montreal and Ottawa Chapter Leaders at OWASP AppSec Belfast, UK #WomenInAppSec

== OWASP Montreal at [https://hackfest.ca/ HackFest 2016] ==

[[Image:Hackfest2016-r.jpg| HackFest |link=https://hackfest.ca/]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Louis Nadeau, OWASP Québec Chapter Leader and Manager, Product Security at Bentley Systems and Patrick Leclerc, OWASP Québec Chapter Leader and Information Security Advisor at La Capitale.

== OWASP Montreal at OWASP [https://2016.appsecusa.org/ AppSec USA 2016, Washington] ==
 
 
[[Image:OWASPMtl-AppSecUSA2016-Washington.jpg | OWASP Montreal at AppSec USA 2016, Washington]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016, Alexandre Hamelin President at Synlabs Consulting Inc., Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [https://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

== OWASP Montréal at [https://www.gosec.net GoSec] 2016 ==

[[Image:OWASP-GoSec2016-1r.jpg|OWASP Montreal at GoSec 2016]] [[Image:OWASP-GoSec2016-2r.jpg|OWASP Montreal at GoSec 2016]]
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Simon Lacasse, student and volunteer, and Laurent Desaulniers, Security Analyst at Bell Canada.

== OWASP Montréal at [https://www.nsec.io/ NorthSec] 2016 – Annual Applied Security Event ==

[[Image:Hackfest2016-OWASPMtl.jpg|OWASP Montreal at NorthSec 2016]]

@Photo : Simon Veilleux
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Olivier Arteau OWASP Montréal Chapter Leader and Conseiller chez Groupe Technologie Desjardins, Hugo Genesse, OWASP Montréal Chapter Leader and Vulnerability Research Intern at Wurldtech Security Technologies.

== OWASP Montréal at [https://hackfest.ca/en/ Hackfest] 2015 ==

[[Image:Hackfest2015-OWASPMtl-R.JPG | OWASP Montreal at Hackfest 2015]]

@Photo : Hackfest
 
 
From left to right : Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [http://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

[[Image:Video-link.png | Link to video | link=https://youtu.be/8U0qkEuUFy8]] [https://youtu.be/8U0qkEuUFy8 Watch the video / Regarder la vidéo]

== OWASP Montréal at [https://www.gosec.net/ GoSec] 2015 – The Annual Cybersecurity Conference presented by GoSecure, EY and ISACA. ==

[[Image:GoSec2015-OWASPMtl.jpg|OWASP Montreal at GoSec 2015]]

@Photo : Marius Popescu
 
 
From left to right : Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016. Benoît Guérette, Application Security Team Leader at Desjardins, VP Finance at NorthSec and OWASP Montreal Chapter Founder and Former Chapter Leader.

== See also / Voir aussi ==

OWASP Montréal recommends Montréhack. Learn and share knowledge on IT security by solving technical challenges. Third Monday of every month.

OWASP Montréal recommende Montréhack. Apprends et partages des connaissances sur la sécurité informatique en travaillant des problèmes appliqués. Chaque troisième lundi du mois.

[[File:Montrehack.png|Montréhack|link=http://montrehack.ca/|alt=Montréhack]]

= Archives 2007-2015 =
{{:Montreal chapter past meetings}}

== OWASP Montreal - February 3rd - Getting to Know the Software Assurance Marketplace (SWAMP) ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/p4_vjufcB6Q]] [https://youtu.be/p4_vjufcB6Q Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer]] [https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Pat Beyer
*'''ADDITIONAL PRESENTER:''' Abe Megahed
*'''ABSTRACT:''' The Software Assurance Marketplace (SWAMP) is an open facility that is designed, built, and operated by four research institutions. The SWAMP provides no-cost access to an array of open-source and commercial software analysis tools. This presentation will provide an overview and demo of the SWAMP, including our goals, intended audience, current capabilities, and future plans. We will cover our relationship with OWASP, incorporation of open-source software assurance tools, and status as an open-source project and resource available to the software community. Visit https://continuousassurance.org/ to learn more about us.
*'''BIO:''' Pat Beyer serves as the Product Manager for the Software Assurance Marketplace (SWAMP). With over 25 years of experience successfully managing multi-million dollar global projects, Beyer’s expertise extends to the IT, construction, and operations sectors, with a specialization in managing government contracts and grants. A gifted communicator, Beyer is a sought after speaker due to his ability to deliver complex information about technology products and services in a way that is easily understood. He is a decorated combat veteran of the Global War on Terror, the international military campaign that started following the 9/11 terrorist attacks on the United States. In 2004, he constructed and rehabilitated over 20 schools, clinics, and water treatment plants for the Iraqi people using local contractors. Beyer also holds a Bachelor of Science, a Masters in Business Administration, a Ph.D. in Organization and Management, and a Project Management Professional (PMP) certification.
*'''BIO:''' Abe Megahed is a web developer for the Software Assurance Marketplace. In previous lifetimes, he has been a computer graphics researcher, a game programmer, a programming language and compiler nerd, a dot com company founder, a creator of helicopter simulations, and a developer of 3D simulations for NASA astronaut crew training.
*'''WHEN:''' Tuesday, February 3rd 2015
*'''WHERE:''' Room PK-1140 - UQAM Pavillon Président-Kennedy, 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' https://owaspmtlswamp2015.eventbrite.ca
*'''WEBCAST:''' https://www.youtube.com/watch?v=p4_vjufcB6Q
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer

*'''ACADEMIC PARTNER:''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session: Getting to Know the Software Assurance Marketplace
20:00-... End of the meeting

[[Image:SWAMP-Logo-Final-Med.png|300px|link=https://continuousassurance.org/]]
[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

== OWASP Montréal - 4 décembre - Malware côté serveur — évolution, méthodes d’opération et forensic Linux ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/lo8WDl-WQ3E]] [https://youtu.be/lo8WDl-WQ3E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille]] [https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Marc-Etienne M.Léveillé
*'''RÉSUMÉ:''' Les logiciels malveillants ciblant les serveurs ont évolué. Ils sont utilisés par des groupes de cybercriminels organisés dans le but de faire du profit via des redirections web et l’envoie de pourriels. La présentation portera sur Opération Windigo, une opération malveillante qui a affecté plus de 25 000 serveurs dans le monde. Après une brève description des composantes de Windigo, nous verrons comment les opérateurs déploient leurs logiciels malveillants et surveille leur réseau de serveurs infectés. Des trucs pratiques pour faire de la forensics sur des systèmes Linux seront donnés. Cette présentation est une suite à la présentation "Linux/Cdorked: Server side malware", donnée par Olivier Bilodeau à OWASP Montréal en 2013. La présentation sera en français avec des diapositives en anglais (aka Montreal-style).
*'''BIO:''' Marc-Etienne est un chercheur en logiciel malveillant chez ESET depuis 2012. Il se spécialise dans les logiciels malveillants qui s’attaquent à des plateformes inhabituelles comme aux produits fruités et aux oiseaux nordiques. Dernièrement, il passe beaucoup de son temps à faire la rétro-ingénierie de logiciels malveillants sur des serveurs Linux et s’intéresse à leurs méthodes d’opération. Il adore participer de façon collégiale aux CTFs avec ses amis les CISSP Groupies et jouer de la clarinette. Il tweet très peu à @marc_etienne_.
*'''QUAND:''' 4 décembre 2014 à 18h00
*'''OÙ:''' Local M-1510, Polytechnique Montréal, 2900 Boulevard Edouard-Montpetit
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-4-decembre-malware-cote-serveur-evolution-methodes-doperation-et-forensic-linux-tickets-14635313617
*'''ÉQUIPE ACADÉMIQUE:''' Polyhack - http://polyhack.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Malware côté serveur
19:30-20:00 Période de questions

[[Image:Polyhacklogonoirpetit.png|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]

== OWASP Montréal - October 23rd - XXE : À l’assaut des analyseurs XML ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/MZviLB9-42E]] [https://youtu.be/MZviLB9-42E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau]] [https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Philippe Arteau
*'''RÉSUMÉ:''' L'utilisation d’XML est fortement répandue. Le format est utilisé pour des fichiers de configuration, pour des métadonnées, pour des documents textes, et bien plus. La prise en charge de fichiers XML n’est pas sans risque. La plupart des analyseurs XML ne sont pas sécuritaires par défaut pour le traitement de fichier externe. Cette présentation fera un survol des vulnérabilités de type « Xml eXternal Entity » et de l’étendue des risques pour différents langages de programmation. Plusieurs démonstrations sont prévues.
*'''BIO:''' Philippe est conseiller en sécurité applicative pour le Groupe Technologies Desjardins. Au quotidien, il s’occupe d’effectuer des tests d’intrusions et des revues de code. Il a découvert des vulnérabilités importantes dans plusieurs logiciels populaires incluant Google Chrome, DropBox, ESAPI et Jira.
*'''QUAND:''' 23 Octobre 2014 à 18h00
*'''OÙ:''' École de Technologie Supérieure Local A-3230, 1100 Rue Notre-Dame Ouest, Montréal, QC H3C 1K3
*'''INSCRIPTION:''' http://www.eventbrite.ca/e/owasp-montreal-23-octobre-xxe-a-lassaut-des-analyseurs-xml-tickets-13426881163
*'''PARTENAIRE ACADÉMIQUE:''' ETS - DCI http://dciets.com/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:45 Mot de bienvenue
18:45-19:45 Présentation principale - "À l’assaut des analyseurs XML" Philippe Arteau
19:45-20:00 Période de questions

[[Image:Blason_dci.png‎‎‎|150px|link=http://dciets.com/]]
[[Image:ETS-rouge-devise-impr-fond_transparent.png|150px|link=http://www.etsmtl.ca/]]

== OWASP Montreal - July 24th - Web security for DevOps: the glory is in the headers ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/6bp1NCLT-YQ]] [https://youtu.be/6bp1NCLT-YQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil]] [https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Jonathan Marcil
*'''ABSTRACT:''' DevOps is a buzzword which can be easily demystified: in essence it is a process which aims to combine the development and system administration process into one; Operations. As developers become responsible for server setup, security counter measures are evolving as well. The line between server configuration and application behaviour has been blurred. In this talk we will cover some HTTP headers in regards to security such as CORS, CSP and HSTS. We will demonstrate several forms of attack, and how they can (should) be countered.
*'''BIO:''' Jonathan is devoted to security and specialized in Web application security. His main occupation is consulting in Web security, but deep down he is a developer with a agnostic vision of programming languages. He has a diploma in Software Engineering from Ecole de Technologie Superieure and more than 10 years of experience in Information Technology and Security.
*'''WHEN:''' At noon on July 24th 2014
*'''WHERE:''' 75 Queen Street, office 3100, Montreal, QC H3C 2N6
*'''REGISTRATION:''' You can join us on site for a pizza slice but this is mainly an online event. Contact jonathan.marcil@owasp.org.
*'''WEBCAST:''' https://www.youtube.com/watch?v=6bp1NCLT-YQ
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil
*'''EVENT SPONSOR:''' Pheromone http://www.pheromone.ca/
*'''PROGRAM:'''

12:00-12:10 Welcome and quick OWASP introduction
12:10-13:10 Main presentation - "Web security for DevOps: the glory is in the headers" Jonathan Marcil
13:10-... Open discussion and questions

[[Image:Logo-phero.gif‎|link=http://www.pheromone.ca/]]

== OWASP Montreal - June 18th - Gaps in the Clouds ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz]] [https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Robert Fritz
*'''ABSTRACT:''' Cloud technology offers agility and scaling, and a chance to break away from legacy IT choices. Unfortunately, skipping traditional IT activities often results in poorly patched systems, out of date firewalls, and overprovisioned entitlements wielded by admins whose “day job” is development. Boundaries of accountability and responsibility amongst cloud providers and consumers are confusing, vague, and shift, making security difficult to manage. In such an environment, a “BP-spill” event, where cost wins over safely safety, is likely. This talk will dive down into the cracks between the layers of cloud, and share some of the exciting dirt we have seen and expect to see in coming years.”
*'''BIO:''' Robert Fritz has been practicing security his entire career. Rob started as an Air Force lieutenant at Langley AFB and later at the Pentagon in Washington DC, building and managing classified networks. Finding he was getting too far from technology after a brief stint flying, he left the military to get back to the tech, and built security tools for HP in their HP-Unix lab. Over time he found himself in more and more security design discussions, so co-authored HP’s Commercial Application Threat Analysis Methodology, building an internal consulting practice at HP. This quantitative approach, led to two pending patents, an external-facing consulting practice, and his contributions to NIST IR-7502, the Common Configuration Scoring System (CVSS follow-on). He is the former lead editor for the Center for Internet Security’s HP-UX Benchmark, and current lead for the Android Benchmark. Robert now works for Morgan Stanley as global head of the Strategic Consulting team in the Security Architecture group, and leads the team’s cloud and social-media security practices.
*'''WHEN:''' June 18th 2014
*'''WHERE:''' 700 Rue Wellington, Floor 2, Montreal, QC H3C 3S4
*'''REGISTRATION:''' http://owaspmtl18junems.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz
*'''EVENT SPONSOR:''' Morgan Stanley http://www.morganstanley.com/
*'''PROGRAM:'''

18:00-18:30 Networking and Morgan Stanley Hosted Pizza and Soft Drinks
18:30-18:45 OWASP Chapter & Morgan Stanley Welcome
18:45-19:45 Main presentation - "Gaps in the Clouds" Robert Fritz
19:45-20:00 Open discussion and questions
20:00-... Optional, informal networking at Aziatic - 626 rue Marguerite-d'Youville, Montréal, QC H3C 1W7

[[Image:Morgan_Stanley_Historical_Logo.png|link=http://www.morganstanley.com/]]

== OWASP Montréal - May 26th - Récapitulatif des challenges NorthSec ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/P8_V3RI1Ru4]] [https://youtu.be/P8_V3RI1Ru4 Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''PRÉSENTATEUR PRINCIPAL:''' Laurent Desaulniers
*'''RÉSUMÉ:''' Solutions de la compétition en sécurité NorthSec 2014 sur les sujets de XXE + SSRF, WAF Bypass, Xpath Injection, DOM Injection, HTTP Only Flag bypass et contournement de captchas. Une bonne façon d'apprendre sur ces failles que vous étiez ou non un participant de la compétition.
*'''MESSAGE DU PRÉSENTATEUR:''' Vous voyez Rao dans votre soupe? Vous voulez une solution pour un XSS avec des cookies http only? Les captchas illisibles sont un problème? Assistez à la présentation de l'OWASP!
*'''BIO:''' Laurent Desaulniers est un passionné de sécurité informatique. Il a présenté au Hackfest, au colloque RSI, à OWASP et est challenge designer à NorthSec. M. Desaulniers détient les certifications CISSP, CISM, CISA et OSCP.
*'''QUAND:''' 26 mai à 18h00
*'''OÙ:''' Local PK-1140 - Pavillon Président-Kennedy 201, Avenue du Président-Kennedy, J2X 3Y7
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-26-mai-recapitulatif-des-challenges-northsec-tickets-11724413035
*'''WEBCAST:''' https://www.youtube.com/watch?v=P8_V3RI1Ru4
*'''ÉQUIPE ACADÉMIQUE''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Récapitulatif des challenges NorthSec
19:30-20:00 Période de questions

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== Networking with infosec communities - April 21st ==

[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''RÉSUMÉ:''' En collaboration avec Montréhack, mtlsec et NorthSec, nous organisons une soirée réseautage dans un pub du centre-ville. Du plaisir garanti avec les membres de plusieurs communautés infosec de Montréal!

*'''ABSTRACT:''' In collaboration with Montréhack, mtlsec and NorthSec, we are organizing a networking evening in a pub downtown. Fun guaranteed with the other security communities in Montreal!

*'''QUAND:''' 21 Avril 2014
*'''WHEN:''' April 21st 2014

*'''OÙ/WHERE:''' BENELUX - Brasserie Artisanale 245 Sherbrooke St W Montreal, QC H2X 1X7

*'''INSCRIPTION/REGISTRATION:''' https://www.eventbrite.ca/e/montrehack-avril-april-northsec-pre-party-tickets-11232307133

*'''PARTENAIRES/PARTNERS:''' Montréhack http://montrehack.ca/ - mtlsec http://blog.mtlsec.com/ - NorthSec https://www.nsec.io/
*'''PROGRAMME:'''
18:00-21:00 Networking
21:00-23:59 Remember to drink responsibly!

== OWASP Montréal - March 27th - Panel Compétition en sécurité NorthSec ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

'''Présentation sous forme de panel - venez poser vos questions!'''

*'''RÉSUMÉ:''' Les compétitions de type Capture the Flag (CTF) sont un moyen pour les professionnels et amateurs de sécurité informatique de mettre leurs talents à l'épreuve. NorthSec est une compétition Montréalaise annuelle en sécurité appliquée, qui aura lieu cette année au Marché Bonsecours de Montréal le 25, 26 et 27 avril prochain. Elle vise à augmenter le niveau technique des professionnels de la sécurité au Québec, ainsi que de permettre à ses acteurs les plus talentueux de se démarquer.
*'''DÉTAILS:''' Le panel de jeudi, sous la forme d'un échange convivial entre les organisateurs de l'évènement et de ses participants, abordera des thèmes variés comme l'écriture de bon défis, l'infrastructure, la logistique, les inattendus, un bilan de 2013 et tout ça en passant par de savoureuses annecdotes (on l'espère). Venez en grand nombre toucher à ces légendes de la scène infosec montréalaise!
*'''PANÉLISTES:''' Gabriel Tremblay, François Proulx, Laurent Desaulniers, Stéphane Graber
*'''ANIMATEUR:''' Olivier Bilodeau
*'''QUAND:''' 27 mars 2014
*'''OÙ:''' Salle M-1510, École Polytechnique de Montréal, 2500 chemin de Polytechnique, Montréal (Québec) H3T 1J4, pavillon Lassonde
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-27-mars-panel-competition-en-securite-northsec-tickets-10918436337
*'''ÉQUIPE ACADÉMIQUE:''' Polytechnique - Polyhack http://polyhack.org/
*'''PROGRAMME:'''
18:00-18:25 Networking
18:25-18:30 Mot de bienvenue par le leader du chapitre (Jonathan Marcil)
18:30-20:00 Présentation principale : Panel NorthSsec

[[Image:Polyhack.png‎‎|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== OWASP Montreal - February 25th - Proven Strategies for Web Application Security ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane]] [https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Justin C. Klein Keane
*'''ABSTRACT:''' The rising dominance of the web as an application delivery platform has focused attacker attention squarely on the security of dynamic web applications. Application security is a complex, and shifting, field. Learn about tested and successful techniques to build safer applications, find flaws before they become vulnerabilities, and deploy applications that can detect, and resist attack.
*'''BIO:''' Justin C. Klein Keane is a security engineer and chapter leaders of OWASP in Philadelphia. For over a decade Justin has worked as a trainer, coder, and exploit developer. Justin is currently writing a book for NoStarch Press on hacking, speaks regularly at conferences, holds a masters degree in information technology from the University of Pennsylvania and is credited with hundreds of application vulnerability discoveries.
*'''WHEN:''' February 25th 2014
*'''WHERE:''' Ecole de technologie superieure, 1100 Notre-Dame Street West, Montreal, Room: A-1150
*'''REGISTRATION:''' http://owaspmtljan2014.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane
*'''ACADEMIC PARTNER:''' ETS - DCI http://dciets.com/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session and open discussion: Proven Strategies for Web Application Security
20:00-... End of the meeting in a pub

[[Image:Dciets.png‎‎‎|100px|link=http://dciets.com/]]
[[Image:Logo_ets.png|link=http://www.etsmtl.ca/]]

== OWASP Montreal - January 28th - Latest trends in Mobile Security ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/8qPyKj4FKgY]] [https://youtu.be/8qPyKj4FKgY Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx]] [https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Francois Proulx
*'''ABSTRACT:''' Last AppSecUSA 2013 had a great line up of talks, especially regarding mobile applications. This session will be covering all the hottest presentations about mobile security by doing an overview from what see saw at AppSecUSA, all with some slides and snippets of presentations that was recorded at the event. Discussion will be encouraged within the audience as this will be more a dynamic event than a regular talk.
*'''BIO:''' François Proulx is a senior mobile application developer who has worked on dozens of iOS applications since the very beginning of the Apple iOS platform. Over the past few years he has switched his focus to security. He spends a lot of his free time participating in Capture the Flag events (CTFs) and organizing the NorthSec security competition.
*'''WHEN:''' January 28th 2014
*'''WHERE:''' UQAM Room PK-1705, Pavillon Président-Kennedy (the big boat at Place des Arts) - 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' http://owaspmtl-mobilesecurity.eventbrite.ca
*'''SLIDES/CONTENT:''' [http://www.youtube.com/playlist?list=PLQtB2ug5xmvaQ9jeRWV53-F_T555GQfhW YouTube playlist]
*'''SPONSOR:''' Academic partner AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan M.)
18:30-20:00 Main session and open discussion: Mobile Security
20:00-... End of the meeting in a pub

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

==== Presentations For Download ====

[http://www.owasp.org/images/0/0d/20100209mstechdaysowaspasvssgiv01-12657916463819-phpapp02.ppt OWASP ASVS] by Sebastien Gioria (09/03/2010)

[http://www.ph-il.ca/slides/afup__authetification_forte.pdf Authentification Forte] by Philippe Gamache (02/02/2010)

[http://www.opensamm.org/downloads/OpenSAMM-1.0.ppt Software Assurance Maturity Model (OpenSAMM)] by Pravir Chandra (03/11/2009)

[http://www.owasp.org/images/d/de/Owasp-montreal-sept-17h-2009-justin-foster.pdf Crossing the Border – Javascript Exploits] by Justin Foster (17/09/2009)

[http://www.owasp.org/images/c/c2/ALaughRIAt.pdf A Laugh RIAt] by Rafal Los (07/04/2009)

[https://www.owasp.org/images/e/eb/OWASP-Montreal-24022009-RobLabbe.pptx Microsoft Security Development Lifecycle for IT] by Rob Labbe (24/02/2009)

[https://www.owasp.org/images/3/39/OWASP-Montreal-24022009-EN.pdf OWASP Goal and Top Ten 2007 for Managers - French version] by Benoit Guerette (24/02/2009)

Newer presentations are available on [https://speakerdeck.com/owaspmontreal Speaker Deck]

[[Image:Circle_owasp_logo_nowhitebackground.png|200px]]

= OWASP Foundation / Mission OWASP =
OWASP Foundation ([https://docs.google.com/a/owasp.org/presentation/d/10wi1EWFCPZwCpkB6qZaBNN8mR2XfQs8sLxcj9SCsP6c/edit?usp=sharing Overview Slides]) is a professional association of [[Membership | global members]] and is open to anyone interested in learning more about software security. Local chapters are run independently and guided by the [[Chapter_Leader_Handbook]]. As a [[About_OWASP | 501(c)(3)]] non-profit professional association your support and sponsorship of any meeting venue and/or refreshments is tax-deductible. Financial contributions should only be made online using the authorized online chapter donation button. To be a SPEAKER at ANY OWASP Chapter in the world simply review the [[Speaker_Agreement | speaker agreement]] and then contact the local chapter leader with details of what OWASP PROJECT, independent research or related software security topic you would like to present on.

La fondation OWASP est une [https://www.owasp.org/index.php/Membership association de professionnels] et elle est ouverte à tout intervenant intéressé à en apprendre davantage sur la sécurité applicative. Les chapitres locaux (dont celui de Montréal) sont gérés de façon indépendante et selon un [https://www.owasp.org/index.php/Chapter_Leader_Handbook manuel de directives à respecter].
Toute contribution financière au chapitre peut être faite en ligne en utilisant l’icône prévu à cet effet. Pour être conférencier au sein de n’importe quel chapitre à l’échelle mondiale, vous n’avez qu’à prendre connaissance du document [https://www.owasp.org/index.php/Speaker_Agreement "entente avec les conférenciers – speaker agreement"] et à joindre le responsable du chapitre Montréal avec un descriptif du sujet que vous aimeriez aborder et s’il est relié à un projet OWASP, à de la recherche indépendante ou encore le sujet en particulier, concernant la sécurité applicative, que vous souhaitez aborder.

== [[Image:Circle_owasp_logo_nowhitebackground.png|128px]] Montreal OWASP Team ==

Scope of the team is to discuss and plan local activities and meetings

=== Chapter Leaders ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique

==== Chapter leader history ====
*2008-2010 - Benoit Guerette, founder and chapter leader
*2011-2012 - Philippe Gamache, chapter leader (vice chapter-leader since 2010)
*2013-2015 - Jonathan Marcil, chapter leader
*2016-... - Anne Gauthier, Michel Bourque, Marius Popescu, Hugo Genesse, Olivier Arteau

==== Old board members ====
*Philippe Pépos Petitclerc
*Michael Robillard
*Benoit Guerette (logistics 2015)
*Alexandre Rimthong
*Mathieu Binette
*Sean Coates
*Jean-Marc Robert
*Philippe Blondin
*Benoit Guerette (founder)
*Laurent Desaulniers
 

<headertabs></headertabs>
__NOTOC__
[[Category:Canada]]

Montréal

2018-06-17T20:52:24Z

Svieg: /* SecurityRAT - Handling of Security Requirements in SDLC */

== Welcome & Bienvenue to the OWASP Montréal chapter ==
 
[[Image:OWASP-Montreal-Logo.png|Logo OWASP Montréal]]

The OWASP Foundation was established in 2001 as an open community and software security resource. Since then, OWASP has grown to be globally recognized as a credible source for application security standards. 
OWASP is an open community dedicated to enabling organizations to conceive, develop, acquire, operate, and maintain applications that can be trusted. All of the OWASP tools, documents, forums, and chapters are free and open to anyone interested in improving application security. We advocate approaching application security as a people, process, and technology problem because the most effective approaches to application security include improvements in all of these areas. 
OWASP is open to anyone. Anyone can attend OWASP's vendor agnostic local chapter meetings, participate in regional and global conferences, and contribute to the many OWASP projects. And anyone can start a new project, form a new chapter, or lend their expertise to help an OWASP Global Committee. 
On parle français aussi ! Le chapitre de Montréal organise plusieurs activités gratuites afin de partager les connaissances en sécurité applicative avec la communauté de développeurs et gestionnaires. Suivez-nous sur les réseaux sociaux pour connaître les dates des conférences du midi et des workshops ! 

Top documentation from OWASP includes:

* [https://www.owasp.org/index.php/Top_10_2013-Top_10 OWASP TOP 10 : The Ten Most Critical Web Application Security Risks]

* [https://www.owasp.org/images/3/33/OWASP_Application_Security_Verification_Standard_3.0.1.pdf OWASP ASVS : Application Security Verification Standard]

* [https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf OWASP Testing Guide : Penetration Testing Framework]

* [https://www.owasp.org/images/7/78/OWASP_AlphaRelease_CodeReviewGuide2.0.pdf OWASP Code Review Guide : Source Code Analysis Framework]

* [https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series OWASP Cheat Sheet : Best practices guidelines for developers]

* [https://www.owasp.org OWASP Global]

=== Chapter Leaders / Responsables du chapitre ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique
 
 Volunteers / Volontaires OWASP Montréal: 
* Simon Lacasse, Web content / Site internet
* Julien Touche, Logistique
* Jean-François Gill

== Reach our chapter / Joindre le chapitre ==

Follow OWASP's Montreal chapter's activities through social medias, register to events, watch the previous presentations and more!

Suivez les activités du chapitre OWASP Montréal via les réseaux sociaux, inscrivez-vous aux activités, visualisez les anciennes présentations et plus encore!

 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Click here] to join the local chapter mailing list.
 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Inscrivez-vous ici] à la liste de courriels du chapitre afin de recevoir les dernières nouvelles!

Want to be part of the community ?
Devenez membre de notre communauté !
[https://www.owasp.org/index.php/Membership_Map Click here / Cliquer ici]

[[Image:Eb_press_little.gif‎|OWASP Montreal Eventbrite|link=http://owaspmontreal.eventbrite.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Yt-brand-standard-logo-630px.png‎|128px|YouTube OWASP Montreal Channel|link=http://www.youtube.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Speakerdecklogo.png‎|Slides of OWASP Montreal on SpeakerDeck |link=https://speakerdeck.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]

 
[[Image:Twitter-bird-cropped-onwhite.png|@owaspmontreal on Twitter|link=https://twitter.com/owaspmontreal]]
[[Image:FacebookSquareLogo.png|OWASP Montreal Facebook page|link=https://www.facebook.com/owasp.montreal]]
[[Image:LinkedinSquareLogo.png|OWASP Montreal on LinkedIn|link=https://www.linkedin.com/groups/1379007/profile]]

[[Image:Spacer-horiz.gif‎]]

== What we do / Nos activités ==

OWASP Montreal is a really active chapter. We organize monthly conferences and workshops. All our events are free and meant to improve the knowledge and awareness of the community's developers, managers and computer security specialists. To be aware of the next event and for additional information, follow us on social medias. 

OWASP Montréal est un des chapitres les plus actifs. Nous organisons mensuellement des ateliers et conférences. Tous nos événements sont gratuits et ont pour but d'améliorer les connaissances de la communauté. Ils s'adressent donc autant aux gestionnaires qu'aux développeurs et aux spécialistes en sécurité informatique. Pour plus d'informations sur nos activités et pour être au courant des prochaines dates d'événement, suivez nous sur les réseaux sociaux. 

We also contribute to the vast OWASP knowledge base / Nous contribuons aussi aux ressources d'OWASP

We list here the projects that were started by our members under OWASP's banner. 
Nous listons ici les projets commencé par nos membres sous la banière d'OWASP. 

* [https://www.owasp.org/index.php/Vulnerability_Disclosure_Cheat_Sheet Vulnerability Disclosure Cheat Sheet]

== Sponsorship & Membership / Commandite & Adhésion ==

[[Image:Btn_donate_SM.gif|link=http://www.regonline.com/donation_1044369]] to this chapter or become a local chapter supporter.

Or consider the value of [[Membership | Individual, Corporate, or Academic Supporter membership]]. Ready to become a member? [[Image:Join_Now_BlueIcon.JPG|75px|link=https://myowasp.force.com/]]

[http://www.regonline.com/donation_1044369 Donnez] au chapitre ou devenez commanditaire du chapitre local!

[https://myowasp.force.com/ Devenez membre !] Pour en savoir davantage sur les avantages d’une adhésion individuelle, corporative ou en tant qu’institution d’enseignement, [https://www.owasp.org/index.php/Membership cliquez ici].

[[Category:OWASP Chapter]]

== Chapter Supporters / Commanditaires du chapitre ==

[https://www.owasp.org/images/9/91/OWASP_Membership_Flyer_Montreal.png All details available here / Pour tous les détails] [[File:Chapter-supporter-owasp-montreal.png|200px|link=]]

=== Platinum / Platine ===

[[Image:Gosecure-2.png|GoSecure|link=http://www.gosecure.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[File:Desjardins2-400x400.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 
 

=== Gold / Or ===

[[Image:PM_SCADA_Logo_Gris_Cybersecurite_FR.png|PM SCADA|link=http://pmscada.ca/en/]]

 
 
 

= Lunch & Learn / Workshops 2018 =

== SecurityRAT - Handling of Security Requirements in SDLC ==

 
WHEN
Fri, 1 June 2018
WHERE
Espace Desjardins

OWASP dans le cadre des Midis conférence est heureux d'accueillir Daniel Kefer et Rene Reuter. Tous les deux viennent d'Allemagne et seront de passage à Montréal. 

Nos conférenciers viendront présenter SecurityRAT, un projet OWASP pour gérer les requis de sécurité pendant le cycle de vie des dévelopements applicatifs (SDLC).
 
Biographie : 
Daniel Kefer travaille en sécurité depuis 2007 et a commencé en tant que pentester. Il travaille depuis 2011 chez 1&1 où il mène l'équipe AppSec interne. 

René Reuter est ingénieur sécurité depuis 6 ans. Il travaille chez Robert Bosch GmbH en tant que consultant en charge d'identifier les vulnérabilités et problèmes de conception dans les applications internes.
 

== Insecurity in Information Technology ==
 
WHEN
Wed, 16 May 2018
WHERE
Marché Bonsecours, salle 1847

OWASP dans le cadre des Midis conférence est heureux d'accueillir Greg Castle. 

A lot is expected of software developers these days; they are expected to be experts in everything despite very little training. Throw in the IT security team (often with little-to-no knowledge of how to build software) telling developers what to do and how to do it, and the situation becomes strained. This silo-filled, tension-laced situation, coupled with short deadlines and pressure from management, often leads to stress, anxiety and less-than-ideal reactions from developers and security people alike.
This talk will explain how job insecurities can be brought out by IT leadership decisions, and how this can lead to real-life vulnerabilities in software. This is not a talk about “feelings”, this is a talk about creating programs, governance and policies that ensure security throughout the entire SDLC.

No more laying blame and pointing fingers, it’s time to put our egos aside and focus on building high-quality software that is secure. The cause and effect of insecurities and other behavioral influencers, as well as several detailed and specific solutions will be presented that can be implemented at your own place of work, immediately. No more ambiguity or uncertainty from now on, only crystal-clear expectations.
 
Biographie : 
Tanya Janca is a senior cloud advocate for Microsoft, specializing in application security; evangelizing software security and advocating for developers through public speaking, her open source project OWASP DevSlop, and various forms of teaching via workshops, blogs and community events. As an ethical hacker, OWASP Project and Chapter Leader, software developer, effective altruist and professional computer geek of 20+ years, she is a person who is truly fascinated by the ‘science’ of computer science.
 

== Shipping in Pirate-Infested Waters: Practical Attack and Defense in Kubernetes ==

[[Image:Owasp-avril-2018.JPG ]]
[[Image:Owasp-avril-2018-2.JPG ]]
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/ohTq0no0ZVU ]] [https://youtu.be/ohTq0no0ZVU Watch the conference / Regarder la conférence] 
WHEN
April 30 2018
WHERE
Espace Desjardins

OWASP dans le cadre des Midis conférence est heureux d'accueillir Greg Castle. 

L'événement contiendra une diffusion de "Shipping in Pirate-Infested Waters: Practical Attack and Defense in Kubernetes" présenté à Kubecon 2017, suivi de 20 min de questions/réponses avec Greg par vidéoconférence.
 
Biographie : 
Greg est Tech Lead pour l'équipe sécurité Kubernetes et Google Container Engine chez Google. Avant GKE, Greg a travaillé dans l'équipe de réponse aux incidents de sécurité de Google, dévelopant des outils opensource d'investigations et à l'amélioration de la sécurité de Macos. Avant google, il a occupé de nombreuses positions incluant pentester, incident responder et analyste forensics.
 

== Operate PCI DSS infrastructure using DevOps approach ==

[[Image:Owasp-montreal-pci-dss-r.jpg ]]
[[Image:Owasp-montreal-pci-dss-2-r.jpg ]]
 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/owasp-operate-pcidss-infrastructure-using-devops-approch-dot-pptx-1]] [https://speakerdeck.com/owaspmontreal/owasp-operate-pcidss-infrastructure-using-devops-approch-dot-pptx-1 See the slides / Voir la présentation] 
WHEN
March 5 2018
WHERE
Espace Desjardins

OWASP dans le cadre des Midis conférence est heureux d'accueillir, M. Gaëtan Trivino. 

Notre conférencier viendra présenter l'influence de la culture devops sur les opérations d'un hébergeur international en particulier pour supporter les réglementations comme PCI DSS.
 
Biographie : 
Gaëtan est DevOps technical leader orienté cloud et automatisation réseau. Il a traversé l'Atlantique avec sa famille pour explorer de nouvelles culture de travail et se lance dans la recherche du meilleur sirop d'érable!
 

= Lunch & Learn / Workshops 2015-2017 =

== Pourquoi un hacker peut-il contourner les mesures et solutions de sécurité... ==

[[Image:Hamilton-septembre-2017-1.JPG ]]
[[Image:Hamilton-septembre-2017-2.JPG ]]
 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/endpoint-bypass-charles-hamilton]] [https://speakerdeck.com/owaspmontreal/endpoint-bypass-charles-hamilton See the slides / Voir la présentation] 
WHEN
September 18th 2017
WHERE
Espace Desjardins

OWASP dans le cadre des Midis conférence est heureux de lancer la saison 2017-2018 en accueillant, M. Charles F. Hamilton.
 
Notre conférencier viendra brosser un tableau des différents éléments qui expliquent pourquoi les mesures et les solutions de sécurité en générales qui ont la fonction de protéger les données, les applications, les réseaux ou les équipements critiques sont si souvent contournées ou carrément inefficaces contre les attaques ciblées.
 
Biographie : 
Charles F. Hamilton est un consultant en sécurité et membre d’équipe « Red Team » de calibre international. Il se spécialise en test d’intrusion et la recherche de solution proactive de sécurité.
 

== Cas d'attaques vécus : Internet des objets (IOT) - Attaques DDoS ==

[[Image:Cas_dattaques_vecus-r.jpg ]]
 
WHEN
June 19th 2017
WHERE
Espace Desjardins

Pour clore la saison printanière 2017, OWASP Montréal est fier d'accueillir au Midi Conférence, M. Christian Shink qui fera un survol de cas d'attaques vécus, des techniques utilisées et des acteurs impliqués dans ces attaques. 
L'incorporation généralisée de dispositifs «intelligents» dans les objets de la vie de tous les jours modifie la façon dont les gens et les machines interagissent les uns avec les autres. Cette incorporation offre une promesse d'une meilleure qualité de vie, une meilleure efficacité. En contrepartie, leur déploiement introduit également des vulnérabilités à la fois dans l'infrastructure qu'ils soutiennent et sur lesquels ils comptent, ainsi que dans les processus qu'ils guident. Que ce soit au niveau applicatif ou des infrastructures, ces vulnérabilités sont exploitées par des acteurs malicieux pour générer des attaques de déni de service massives et sophistiquées. Nous tenterons également de tirer des leçons afin de tenter de minimiser ce type d'attaques dans le futur. 
Christian Shink possède plus d’une dizaine d’années d’expérience en développement et sécurité d’applications. Avant de se joindre à Radware, Christian était à l’emploi d'une firme conseil où il a conseillé de nombreuses entreprises, dont de grandes banques américaines et Casinos. Il détient une certification CSSLP et est membre de l'ordre des ingénieurs du Québec.
 

== HOW TO! Threat Modeling Toolkit ==

[[Image:OWASPMtl-JonathanMarcil-1.jpg]]
[[Image:OWASPMtl-JonathanMarcil-3.jpg]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit]] [https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit See the slides / Voir la présentation]
 
WHEN
May 23rd, 2017
WHERE
Shopify Montreal

Threat Modeling is a great way to analyze security early in software development by structuring possible attacks, bad actors and countermeasures over a broad view of the targeted system. This talk will describe basic components of a threat model and how to use them effectively.
Threat Intelligence is where you gather knowledge about the environment and business assets to determine what are the actual threats. But how do you reconcile that with the current architecture in a useful manner?
The toolkit presented in this talk will enable you to systematically structure related information using graphical notations such as flow diagram and attack tree. In case you are wondering where to start in your organization, a quick lightweight risk rating methodology will also be proposed.
And in the end, you’ll see how we can all tie those together and get threat modeling to a point where it’s an efficient application security activity for communication. Doing this will prevent security reviews from missing important things even when chaos prevails during the realization of a project.
Modeling concepts will be demonstrated with an actual IoT device used as example.
Presentation will be done in english.

Speaker Bio:
Jonathan Marcil is the former chapter leader of OWASP Montreal and is now Senior Application Security Engineer at Blizzard Entertainment in beautiful Orange County, California.
Jonathan has been involved with OWASP for many years and has been behind the Media Project which gathered and promoted AppSec conferences video content in the official OWASP YouTube channel. He was also part of NorthSec CTF event as a challenge designer specialized in Web and imaginative contraptions.
He is passionate about Application Security and enjoys architecture analysis, code review, threat modeling and debunking security tools. He holds a diploma in Software Engineering from ÉTS Montreal and has more than 15 years of experience in Information Technology and Security.

Merci à nos précieux commanditaires !

== Security Testing: Unlocking the Benefits of a Hybrid Approach ==
[[Image:Security testing hybrid approach-r 3.jpg ]]
[[Image:Security testing hybrid approach-r 4.jpg ]]
 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/hybrid-approach-to-security-testing]] [https://speakerdeck.com/owaspmontreal/hybrid-approach-to-security-testing See the slides / Voir la présentation]
 
WHEN
April 24th, 2017
WHERE
Espace Desjardins

As part of their defensive efforts, businesses commonly commission cybersecurity assessments of their web applications; with the aim of identifying any weaknesses in the security controls and ensuring a continually strong cybersecurity posture of their systems.

The classical approach of either secure code review (white box) or penetration testing (black box) assessment have proven to be effective in securing of web applications. The new trend, however, is moving towards the combination of these two approaches; expert consensus is rapidly recognizing the advantages of using a hybrid approach. When applied properly, a hybrid approach can build on the strengths of both white and black box testing, while compensating for their individual shortcomings.

In this presentation, we will examine the details of secure code review and penetration testing, and run demos to contrast their respective strengths and weaknesses. We will also examine why a hybrid approach can produce more complete and relevant assessment results. To conclude, we will cover proven approaches, and practical techniques, on how you can start leveraging a hybrid approach to web application assessments today.

Anne Gauthier is an application security analyst at GoSecure. Anne is also the president of the Montreal Chapter of OWASP – the industry standard for web application security. With a penetration testing background, she specializes in secure code reviews and in helping companies to improve their software development lifecycle (SDLC) according to industry best practices. Anne is CSSLP, GWAPT and GSSP-JAVA certified. She obtained a Software Engineering bachelor’s degree from Ecole de Technologie Supérieure in Montréal and is now pursuing a Master of Engineering (MEng) degree in Information Systems Security at Concordia University. She is the author of the Project 201 Security blog.

Merci à nos précieux commanditaires !

== "HOW-TO" NIGHT ! Tout sur les CTFs (Capture The Flag) ==

[[Image:Howto_ctf.jpg]]
 
[[Image:Presentation-link.png | Slides | link=https://docs.google.com/presentation/d/1zEsCcX-Nvq8Nz0k-B1zHejCDNT2oGZx8oUBgMbvvMM0/edit#slide=id.p ]] [https://docs.google.com/presentation/d/1zEsCcX-Nvq8Nz0k-B1zHejCDNT2oGZx8oUBgMbvvMM0/edit#slide=id.p See the slides / Voir la présentation (Laurent Desaulniers)]
[[Image:Presentation-link.png | Slides | link=https://docs.google.com/presentation/d/1c1P1d2mKe767j1Y0V9cK6De5cpnK4I7GI-ORiodbg1A/edit#slide=id.p ]] [https://docs.google.com/presentation/d/1c1P1d2mKe767j1Y0V9cK6De5cpnK4I7GI-ORiodbg1A/edit#slide=id.p See the slides / Voir la présentation (Charles Hamilton)]
[[Image:Presentation-link.png | Slides | link=http://obilodeau.github.io/slides/2017-04-04_how-not-to-suck-at-ctfs/ ]] [http://obilodeau.github.io/slides/2017-04-04_how-not-to-suck-at-ctfs/ See the slides / Voir la présentation (Olivier Bilodeau)]
 
WHEN
April 4th, 2017
WHERE
Shopify

Cette nouvelle soirée "How-To" Night d'OWASP Montréal vise à présenter les CTFs (une compétition Capture The Flag) et aider les équipes à démarrer et à continuer à évoluer dans leurs pratique de la cyber sécurité pratique. L'objectif est d'outiller les participants en leur fournissant des ressources techniques et des contacts afin de les aider à progresser.

Les éléments discutés seront:

- Composition optimale d’une équipe : Fonctionnement d’une équipe de CTF et les principaux rôles (chef d’équipe, cryptographie, application web, rétro ingénierie et les causes perdues).

- Pourquoi faire des CTFs? Discussion sur les différents styles (jeopardy, attack/defense, etc.), quels sont les problèmes fréquemments rencontrés + plusieurs anecdotes intéressantes (et drôles).

- Trucs de Mr. Unikoder : Le créateur du fameux site ringzer0team, soit un des plus gros sites pour apprendre la résolution de problèmes de CTF (https://ringzer0team.com/) Apprenez des trucs du meilleur, sur comment débuter et interpréter un challenge web, binaire et crypto avec des trucs réels du métier.

Matériel requis :

Votre légendaire enthousiasme

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement.

Présentateurs :

Charles Hamilton, Senior Consultant chez Mandiant, FireEye, Inc.

Olivier Bilodeau, Cybersecurity Research Lead at GoSecure

Laurent Desaulniers, Senior Security Solution Specialist at Bell Canada

== NorthSec - Applied Security Event ==
[[Image:Nsec_2017_midi_conf.jpg]] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/northsec-applied-security-event]] [https://speakerdeck.com/owaspmontreal/northsec-applied-security-event See the slides / Voir la présentation]
 
WHEN
April 4th, 2017
WHERE
Espace Desjardins

NorthSec: La plus grande compétition et conférence en cyber sécurité au Canada

NorthSec est un organisme sans but lucratif qui organise une conférence et une compétition de sécurité de type "Capture-The-Flag" (CTF) et des formations. Avec plus de 400 participants présents sur le site pour la compétition, c’est la plus grande compétition du genre au monde.

La conférence, dans sa 3e année, attire des présentateurs internationaux avec du contenu technique exclusif. L’ajout des séances de travail (workshops) devrait plaire aux plus chevronnés des binaires.

Des formations de 3 jours sont offertes avant la conférence: "Advanced Web Application Security" par Philippe Arteau et "Malware and Memory Forensics" par Michael Ligh, co-auteur des livres "Malware Analyst Cookbook" et "The Art of Memory Forensics".

NorthSec est situé au Marché Bonsecours dans le Vieux-Port de Montréal au printemps du 15 au 21 mai 2017.

La présentation couvrira:

- Le plan pour 2017 
- Ce qui différencie NorthSec 
- Comment équilibrer une compétition pour les débutants et les experts 
- Comment bâtir une infrastructure basée sur les conteneurs qui gère 50 équipes dans quelques serveurs sans qu’ils ne se partagent de machines virtuelles 
- Comment faire du pain au levain à grande échelle 
- Présentation de quelques défis et solutions 

Les présentateurs:

- Gabriel Tremblay, Président, Delve Labs 
- Olivier Bilodeau, VP Formations, Co-fondateur MontréHack, GoSecure 
- Pierre-David Oriol, VP Conférences, Delve Labs 
- Benoit Guérette, VP Partenaires, Desjardins 
- Laurent Desaulniers, Tisserand de drapeaux, Bell Canada 

Merci à nos précieux commanditaires !

== Sécurité des applications : Les fondements ==
[[Image:Tanya.jpeg]] 

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/securite-des-applications-les-fondements]] [https://speakerdeck.com/owaspmontreal/securite-des-applications-les-fondements See the slides / Voir la présentation]
 
WHEN
March 20th, 2017
WHERE
Espace Desjardins

OWASP Montréal est fier d’accueillir au Midi Conférence du mois de mars, Mme Tanya Janca, Co-Leader du chapitre OWASP Ottawa et spécialiste de la sécurité applicative au sein du Gouvernement fédéral.

La conférence « Les fondements de la sécurité des applications » sera présentée en anglais.

Session Description : Everyone has heard about the problem; everyone is “getting hacked”. But what is the answer? From scanning your code with a vulnerability scanner to red teaming exercises, developer education programs and bug bounties, this talk will take the audience through all the possibilities of an extensive application security program, with a detailed explanation of each part.

Bio : Tanya Janca is an application security evangelist, a web application penetration tester and vulnerability assessor, a secure code reviewer, an ethical hacker, the Co-Leader of the OWASP Ottawa chapter, and has been developing software since the late 90’s. She has worn many hats and done many things, including; Custom Apps, Ethical Hacking, COTS, Incident Response, Enterprise Architect, Project and People Management, and even Tech Support. She is currently helping the Government of Canada secure their web applications.

Merci à notre commanditaire principal de cet événement: Ubitrak!

== WORKSHOP ! Server Side Template Injection (SSTI) ==

[[Image:Workshop-okiok-SSTI-r.jpg | WORKSHOP ! Server Side Template Injection (SSTI) ]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti]] [https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti See the slides / Voir la présentation]

WHEN
22 Février 2017
WHERE
Shopify Montréal

OWASP Montreal vous invite à un atelier portant sur la sécurité des applications web supportant les moteurs de template (Template Engine). Le principe de séparation entre la présentation du site (code HTML statique) et de son contenu dynamique facilite la création de documents HTML et la capacité à modifier l'apparence du site sans mélanger le traitement et le rendu de la page. L'utilisation de moteurs de template amène de nouveaux enjeux de sécurité. Les vulnérabilités de type Server Side Template Injection (SSTI) sont exploitables à travers les données (non fiables) fournies par l'utilisateur et conduisent à l'exécution de code arbitraire (RCE) sur le serveur hébergeant l'application web. 

Ce workshop a pour but d'introduire cette classe de vulnérabilité à travers différents cas d'implémentation (php, java, python).
Nous verrons comment identifier et exploiter ces vulnérabilités et de quelle manière un attaquant peut
s'y prendre pour exécuter du code arbitraire sur le serveur afin d'en prendre le contrôle. 

Niveau : Intermédiaire 
Matériel requis :
* Votre portable
* Votre distribution Linux/Unix de votre choix
* Votre proxy Web de votre choix

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.
Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.
Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement. 

Présentateur : Gérôme Dieu 
Gérôme Dieu cumule plus de 7 années d’expérience en technologies de l’information et en sécurité.
Il œuvre à titre de conseiller senior en sécurité de l’information au sein de la firme OKIOK. Ces dernières années, il a acquis une expertise dans le domaine de la sécurité des applications web aussi bien d'un point de vue offensif que défensif. En plus de réaliser des tests d’intrusion pour des clients internationaux, Gérôme s’implique dans la recherche et développement afin de maintenir à la fine pointe de la technologie les tests d'intrusion et d'analyse de vulnérabilités. 

Merci à Shopify d'héberger l'événement ! 
[[Image:Shopify Logo-r.png| Shopify | link=https://www.shopify.com/]]
== Le courriel en 2017 – risques et menaces pour tous ==

[[Image:Zero spam 2.jpg|Le courriel en 2017 – risques et menaces pour tous]]

[[Image:Video-link.png | Link to video | link=https://www.youtube.com/watch?v=HX2vcijcCWw ]] [https://www.youtube.com/watch?v=HX2vcijcCWw Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

WHEN
Le 23 janvier 2017 à midi
WHERE
Espace Desjardins

Monsieur Poellhuber nous brossera un tableau du phénomène grandissant du rançongiciels et de l'hameçonnage, personnification. 

- Par les années passées, la menace courriel se résumait principalement en un fort volume de contenu simplement indésirable. Aujourd’hui la menace a passablement évolué. Quels sont les véritables risques actuels associés au courriel ? Rançongiciels, hameçonnage, personnification. Cette conférence présentera les nouveaux défis de sécurité pour les organisations qui doivent composer avec des attaques de plus en plus sophistiquées et de plus en plus ciblées tout en protégeant leur réputation. Des exemples biens réels, drôles et moins drôles seront disséqués pour bien dessiner l’ampleur de l’enjeu. 

M. David Poellhuber, Chef de l’exploitation, ZEROSPAM Sécurité Inc 

Note biographique : 
Monsieur David Poellhuber oeuvre dans l’industrie de la sécurité informatique depuis quinze ans. Il a été conférencier dans plusieurs forums de sécurité au Canada et est maintenant reconnu comme une autorité en matière de sécurité du courriel. Il a fondé ZEROSPAM Sécurité en 2003, le premier service Québécois externalisé de sécurité du courriel infonuagique qui se distingue par sa convivialité, son efficacité et ses technologies de détection proactives. 
Audience : Généralistes et spécialistes de la sécurité des TI
 
Merci à Ubitrack pour le repas et à Desjardins d'héberger l'événement!

[[Image:Ubitrak-r2.jpg|Ubitrak|link=http://www.ubitrak.com/fr/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]

== Effective XSS Mitigation ==

[[Image:XSS mitigation.jpg | Effective XSS Mitigation ]]

[[Image:Presentation-link.png | Slides| link=http://slides.com/olivierarteau/xss-mitigation ]] [http://slides.com/olivierarteau/xss-mitigation See the slides / Voir la présentation]

WHEN
18 Janvier 2017
WHERE
Google Montréal

FRANÇAIS/ENGLISH 
La mitigation de XSS a été un sujet important au cours des dernières années. Les navigateurs ont implémenté, en autre, deux fonctionnalités pour mitiger leur impact : l'entête "XSS-Protection" et l'entête "Content-Security-Policy". Par contre, obtenir une mitigation contre les XSS efficace est souvent plus complexe que l'on pense. Cet atelier couvrira les deux entêtes. Il expliquera comme il est possible de contourner ces protections et ce qu'il est possible de faire pour se protéger. Des exercices de type "offensif" et "défensif" seront proposés.
Mitigation for XSS as been an important topic in the last few years. Browsers have implemented two main functionalities to help mitigate the impact of XSS : the "XSS-Protection" header and the "Content-Security-Policy" header. But, getting an effective XSS mitigation of those headers is trickier than it may seem. This workshop will cover both of those headers. It will explain how bypass of those protection work and what you can do about it. It will have both "defensive" exercises and "offensive" exercises.
Niveau : débutant/intermédiaire
 
Matériel requis :

Votre portable 

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Google pour l'événement.
 
Présentateur : Olivier Arteau
 
Olivier Arteau est un professionnel en sécurité informatique depuis quelques années et fait partie de l’équipe de test d’intrusion de Desjardins. Il est aussi un amateur de CTF qui a gagné à plusieurs reprises le CTF du NorthSec avec l’équipe HackToute et participe fréquemment à d’autres CTF avec l’équipe DCIETS.
 

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

== WORKSHOP ! Top 10 OWASP - Unleash the threats ==

[[Image:Workshop-top10.jpg | WORKSHOP! Top 10 OWASP - Unleash the threats ]]

WHEN
30 novembre 2016 de 17h30 à 20h30
WHERE
Immunio @ WeWork

De nos jours, la sécurité applicative est essentielle dans l’écosystème des entreprises de toutes tailles. Les vecteurs d’attaques sont multiples, les vulnérabilités de sécurité dans les applications peuvent être désastreuses et les impacts d’un « Hack » peuvent être irréversibles pour l’entreprise; vols de données sensibles, perte de réputation, perte de $$$$$, etc.
L’objectif du workshop est de comprendre la base sur les vulnérabilités de sécurité dans les applications et les techniques d’exploitation utilisées par les pirates informatiques, en plus de connaître les bonnes pratiques de développement en matière de sécurité applicative.
Avec l'aide de WebGoat, Damn Vulnerable Web Application et de Kali Linux, vous pourrez participer
à l'exploitation des applications et découvrir les techniques utilisées par les attaquants.

Niveau : débutant

Matériel requis :
Votre portable
Kali Linux
La VM du workshop, envoyée aux participants

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places très limitées (nb = 10). Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Immunio & WeWork pour l'événement.

Présentateur : Christian Leclerc

Christian est spécialisé en conception et développement de solutions web sécuritaires. Tout au long de sa carrière, il a acquis une vaste expertise sur plusieurs types de technologies et méthodologies, intégré la sécurité dans le cycle de développement d’applications, effectué des revues de code sécurité, déployé des outils d’analyse des vulnérabilités et mis en place des systèmes d’authentification. De plus, il a participé à la conception et au développement de solutions sécuritaires de pointe comme la signature électronique à l’aide d’une infrastructure à clé publique (PKI), les authentifications fortes, le Registre des consentements au don d'organes et de tissus (RDOQ.org) et la migration de plusieurs applications web vers un environnement SOA (Service Oriented Architecture).
 Merci à Immunio & WeWork d'héberger l'événement! 

[[Image:Immunio-horizontal-r.png|Immunio|link=https://www.immun.io/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Wework-r.jpg|WeWork|link=https://www.wework.com/]]
 

== Histoire d'un Hack ==

[[Image:Histoire-dun-hack-r.jpg | Histoire d'un Hack ]]

WHEN
21 novembre 2016 à midi
WHERE
Espace Desjardins

Pour son activité du mois de novembre, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de faire l'autopsie d'une attaque de haute voltige sur un site web et des outils mis à la disposition par OWASP.

Bernard Bolduc cumule plus de 17 années d’expérience en technologies de l’information et en sécurité. Il œuvre à titre de conseiller senior en sécurité de l’information au niveau d’entreprise de classe nationale et internationale.

Bernard se spécialise en sécurité Unix, applicative et en gestion de la sécurité des télécommunications. Il combine ces expertises techniques afin d’obtenir des résultats probants et efficaces pour ces clients des secteurs bancaire, télécommunication et multimédias, de l’énergie ou des services publiques. Tout au long de sa carrière, Bernard s’est toujours maintenu à jour sur les dernières menaces de sécurité technologique et commerciale en assistant à des formations spécialisées et d'échanger avec un grand nombre de partenaires dans l'industrie de la sécurité.

La conférence débute à midi.

La conférence vous donne droit à 1 CPE et pour les 50 premières personnes, un lunch gratuit.

Merci à Desjardins d'héberger l'événement!

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite) ==

[[Image:Workshop-zap-mix.jpg | Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite)]]

WHEN
11 novembre 2016 de 18h à 21h

WHERE
Google Montréal

OWASP Zed Attack Proxy (ZAP) est un scanneur de vulnérabilités et un outil de débogage HTTP. Ce type d'outil est crucial dans un test d'intrusion web et contient un lot intéressant de fonctionnalités. Cela dit, il est possible d'étendre les fonctionnalités. Plusieurs types d'extension sont possibles : vue alternative pour les requêtes ou les réponses, scanneur passif des réponses, scanneur actif produisant des requêtes, etc.

Plusieurs options seront données, par exemple :

Détection automatique de flag dans les sources
Scanneur actif asynchrone DNS
Ou votre propre idée

Pour chacune des suggestions, des squelettes de code seront fournis pour les APIs de ZAP. Pour les utilisateurs de BurpSuite, des directives analogues seront également données.

Niveau : débutant / intermédiaire

Matériel requis

Votre portable
[https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project OWASP ZAP (gratuit)]
[https://portswigger.net/burp/download.html BurpSuite]
Éditeur de code pour Java, Python ou Ruby

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Présentateur : Philippe Arteau

Philippe est un chercheur en cybersécurité chez GoSecure. Il est l'auteur de l'outil d'analyse statique Java "Find Security Bugs". Il a découvert des vulnérabilités importantes dans les logiciels populaires tels que Google Chrome, Dropbox, Paypal, RunKeeper et Jira. Il a présenté dans différentes conférences incluant Black Hat USA, Black Hat Europe, ATL Sec Con, NorthSec, Hackfest (QC) et JavaOne. Il a développé de nombreux plug-ins pour les outils de proxy BurpSuite et OWASP ZAP (Retire.js, Reissue Request Script, PDF preview et Image Metadata). Il a fait également des contributions à d'autres plug-ins comme J2eeScan.

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

==Logiciel de rançon (Ransomware) s'attaque au domaine de la santé==

[[Image:HackingHealth-2.jpg | Logiciel de rançon (Ransomware) s'attaque au domaine de la santé ]]

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health ]] [https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health See the slides / Voir la présentation]

(Conférence en anglais)
Pour le lancement de la saison 2016 - 2017, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de la santé une incursion dans le monde du logiciel malveillant ciblant le domaine de la santé. 
Cette conférence s'intége dans le Coopérathon co-organisé par le Mouvement Desjardins et Hacking Health. 
Le domaine de la santé serait devenu une cible privilégiée des campagnes de ransomware parce que l'industrie a souvent payé la rançon demandée pour récupérer les données confidentielles et vitales de ses clients. Monsieur Ed Gershfang nous brossera un portrait du phénomène et des meilleures pratiques à mettre en place en matière de sécurité applicative.
Ed Gershfang possède une expérience solide dans l'infrastructure informatique et plus de 6 ans d'expérience dans les domaines de la sécurité de l'information, de la vulnérabilité, de la gouvernance et de la gestion des risques. Il était directeur de la sécurité pour la société PeriGen, un chef de file de développement de logiciels médicaux en Israël.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative vue par un pentesteur ==

[[Image:Juin2016-OWASPMtl.jpg | OWASP Montréal reçoit Mario Contestabile, Pentester de renom ]]
 
From Left to Right : Isabelle Lusseyran, Head of Development at Hacking Health. Eduard Gershfang Information Security Analyst at WSP | Parsons Brinckerhoff.

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile ]] [https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile See the slides / Voir la présentation]
 
Pour clore la saison 2015 – 2016, OWASP Montréal est fier d’accueillir au Midi Conférence un des architectes de renom du développement applicatif au Canada, monsieur Mario Contestabile.
En tant qu’auteur de plusieurs centaines de tests d’intrusion, il connait tous les rouages de ce qu’est véritablement une application Web «sécurisée». Mais avez-vous déjà remarqué que les rapports de tests d’intrusion mentionnent rarement, voir jamais : «Votre site est très difficile à pirater. Félicitations !» ?
Et qu’en est-il de ces rapports qui contiennent des dizaines de soi-disant vulnérabilités ? Est-ce que cela signifie d’emblée que l’application devrait être mise hors ligne ?
 
Lors de cette conférence, nous examinerons des rapports concrets (ambigus) de vulnérabilités et nous les analyserons afin de mieux comprendre si elles représentent une véritable menace, ou si elles ne servent qu’à «remplir» les rapports.
 
Avec son expertise en protection et en attaque d’applications Web, il abordera les points suivants :
Comment pouvez-vous sélectionner des systèmes de façon à mieux exécuter des protections de sécurité ?
Éviter certains pièges dans votre application Web qui rendent les attaques plus faciles et la protection plus difficile.
De nos jours, que peuvent faire les développeurs à l’intérieur de systèmes communs, qui puisse me rendre la tâche plus ardue en tant que « hacker »?
Pouvons-nous exiger de meilleurs rapports de la part des firmes de sécurité?
À quoi devrions-nous nous attendre de la part d’un « pentesters »?
Comment pouvons-nous savoir si le « pentester » a vérifié les failles de l’application et qu’il n’a pas simplement utilisé un scanneur?
Et enfin, comment pouvons-nous aider les « ethical hackers » à obtenir un meilleur rendement lors d’un test d’intrusion?
Il expliquera le sujet en détails, et ensemble, nous verrons de quelles façons les développeurs d’applications peuvent exploiter le savoir-faire des « pentesters », et comment nous pouvons faire en sorte qu’une application Web soit protégée.
Biographie :
Mario Contestabile est reconnu comme l’un des experts en sécurité les plus réputés au Canada. Son expertise, construire et protéger votre plateforme applicative. Ancien développeur C++ et Java, Mario partage ses nombreuses connaissances en « ethical hacking » et en développement de codes sécurisé.
 
WHEN
Tuesday, 14 June 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Comment protéger les applications mobiles? ==

[[Image:Avril2016-OWASPMtl.png | Comment protéger les applications mobiles? ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles ]] [https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles See the slides / Voir la présentation]
 
Dans le cadre des Midis Conférence à l'Espace Desjardins, l'équipe OWASP Montréal vous invite à assister à une présentation sur les vulnérabilités les plus communes associées aux appareils mobiles.
Marie-Claire Willig détaillera entre autres comment stocker de façon sécuritaire les données de l’application mobile ainsi que protéger l’application contre des attaques externes. Des outils simples vous seront dévoilés pour détecter ces vulnérabilités.
Marie-Claire est une professionnelle d'expérience en sécurité appliquée.
Une grande partie de son intérêt professionnel réside actuellement dans un domaine assez niche, soit la revue de code sécuritaire, un fondement important de tout cycle de développement sécuritaire en entreprise.
Au sein de l'équipe de sécurité technologique Desjardins, elle est, en autre, responsable de former les développeurs (Java et .NET principalement) afin de les sensibiliser aux meilleures pratiques de développement sécuritaire.
Également, elle est une professionnelle des tests d'intrusion sur les applications web, les applications mobiles ainsi que l'infrastructure réseau.
Bienvenue à tous
 
WHEN
Wednesday, 20 April 2016 from 12:15 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ==

[[Image:Mars2016-OWASPMtl.jpg | NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/YQtvltQYs7Y]] [https://youtu.be/YQtvltQYs7Y Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
OWASP Montréal est fier d’inviter au Midi Conférence de mars, NorthSec est le plus gros événement de sécurité appliquée au Canada qui comprend deux jours de formation, deux jours de conférences ainsi qu’une compétition du genre « capture the flag » (CTF) de trois jours.
Gabriel Tremblay, Benoit Guerette, Pierre-David Oriol et Laurent Desaulniers viendront vous parler de cet organisme sans but lucratif dynamique qui est géré par une équipe de bénévoles passionnés qui donnent à chaque année leur énergie et leur temps pour soutenir la communauté de la sécurité de l’information.
Le volet compétition, l’épreuve maîtresse, est présentée sous forme d’un scénario qui rend cohérent une centaine de défis techniques. Les équipes de participants attaquent l’infrastructure de compétition pour soutirer des drapeaux (flags) à travers un ensemble de vulnérabilités présentes comme de l’injection SQL, des XSS ou encore l’exploitation d’exécutables sur systèmes embarqués. Quelques exemples de défis des années passées seront également présentés.
Le volet conférence, qui est à sa 2ème année, met de l’avant plusieurs présentations techniques touchant la sécurité applicative mais aussi l’éthique et leurs impacts sociaux. Certaines présentations confirmées seront dévoilés.
Le tout nouveau volet formation propose deux formations en sécurité applicative de calibre international (anglais) : “Advanced Web Security Testing with Burp Pro” et “Modern Object-Oriented Malware Reverse Engineering”.
Venez aussi, découvrir comment l'équipe est partie d'une idée en 2012 pour se rendre à un évènement d'envergure, qui rassemblera plus de 600 professionnels, étudiants et autres passionnés de sécurité appliquée lors de la 4ème édition qui aura lieu du 17 au 22 mai 2016 au Marché Bonsecours.
Finalement, la mission, la vision ainsi que les activités sociales de la semaine de NorthSec sont aussi au menu de cette présentation qui sera suivie d’une période de questions.

Gabriel Tremblay, Delve Labs, Président
Benoit Guerette, Desjardins, VP Finances

Pierre-David Oriol, Delve Labs, VP Conférence
Laurent Desaulniers, Bell Canada, Artisant de drapeaux
 
WHEN
Wednesday, 23 March 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative et l'hameçonnage - February 24th ==

[[Image:Fevrier2016-OWASPMtl.jpg | La sécurité applicative et l'hameçonnage ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/1RYlOiIENjQ]] [https://youtu.be/1RYlOiIENjQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 

De nos jours, une des méthodes les plus efficaces pour contourner les périmètres de sécurité externes est l'hameçonnage conjointement avec l’abus de certaines technologies Web.

Dans le cadre ses activités, OWASP Montréal est heureux d'inviter d'accueillir, l'équipe OKIOK qui présentera les impacts liés à ce type d'attaque, tel que vu et expérimenté en entreprise ainsi que les plans d'action pour traiter ces risques. La présentation abordera aussi bien la sécurité web et applicatives, des systèmes informatiques ainsi que de la sécurité physique de centres de données.

Capture d'informations sensibles par imitations de portails Web ;
Authentification Web par 2-facteurs ;
Injection SMTP dans des formulaires Web ;
Attaque de type “Drive-by-download”;
Prise de contrôle à distance à travers des flux HTTP;
Attaque de CSRF à partir de courriels ;
Attaque d'hameçonnage basée sur des achats par Internet (ex : PayPal).
 
When
Wednesday, 24 February 2016 from 12:00 PM to 1:15 PM (EST) - Add to Calendar
Where
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest Montreal, Quebec CA

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Internet of {Things, Threats} - January 20th ==

[[Image:Janvier2016-OWASPMtl-R.png | Internet of {Things, Threats} ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html ]] [http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html See the slides / Voir la présentation]
 
De plus en plus de périphériques se retrouvent connectés sur Internet. Sous la bannière "Internet of Things" (IoT) ces équipements, que ce soit une pompe à insuline ou un système de caméra de sécurité, tournent généralement sous un système GNU/Linux embarqué d'architecture MIPS ou ARM. La difficulté de mettre à jour ces équipements ainsi que le peu d'effort mis dans la sécurité des systèmes ou la sécurité applicative en font des cibles de choix. Ces derniers mois, nous avons analysé plusieurs logiciels malveillants ciblant ces architectures. Que ce soit par l'exploitation d'une vulnérabilité (Shellshock) ou encore un défaut de configuration, ces systèmes exposés sur Internet peuvent être compromis.

Notre présentation couvrira quelques une de ces analyses:

* Linux/Moose, un malware se propageant automatiquement qui fraude les réseaux sociaux (par exemple Facebook, Twitter et YouTube)
* LizardSquad et acteurs étrangers qui utilisent des systèmes embarqués compromis pour réaliser des dénis de service distribué (DDoS)
* Win32/RBrute est un logiciel malveillant qui tente de changer les paramètres de routeurs dans le but de faire du "DNS poisoning". Il a été distribué par le populaire botnet Sality.
* Un kit d'exploits qui utilise seulement le navigateur de leur victime avec le même objectif, c'est-à-dire faire du "DNS poisoning".

Enfin, des conseils seront proposés à l'audience pour l'aider à se protéger de ces menaces.

'''Thomas Dupuy''' (twitter: @nyx__o)

Thomas est chercheur en logiciel malveillant chez ESET Canada Recherche. Bon vivant, Thomas déjeune en "reversant" des binaires, contribue à quelques projets open source durant le diner (yara, yara rules, pefile, APTnotes) et la nuit participe à des "Hacking Games" (Capture The Flag). Curieux de nature Thomas analyse des malware aux architectures "exotiques".

'''Olivier Bilodeau''' (twitter: @obilodeau)

Olivier Bilodeau is the head of Cybersecurity Research at GoSecure a consultancy firm specializing in cybersecurity services for the public and private sector. With more than 10 years of infosec experience, Olivier worked on Unix servers at Bell Canada, managed a portion of Air Canada's network, wrote open source network access control software at Inverse and worked as a Malware Researcher at ESET. He likes to reverse engineer everything that crosses his path, participate in information security capture-the-flag competitions, hack open source code and brew beer. He has spoken at various conferences (Defcon, Botconf, VirusBulletin, Derbycon, ...), used to lecture on information security at ETS University in Montreal, drives the NorthSec Hacker Jeopardy and co-organizes the MontreHack capture-the-flag training initiative. His primary research interests include reverse-engineering tools, Linux and/or embedded malware and honeypots.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Survivre aux attaques DDOS applicatives ==

[[Image:Decembre2015-OWASPMtl.jpg | Survivre aux attaques DDOS applicatives ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
Survivre aux attaques DDOS (Distributed Denial-Of-Service) applicatives.
Cette conférence s'adresse aux professionnels et gestionnaires des TI.
Conférencier : Christian Shink, ing., CSSLP, ingénieur système chez Radware, manufacturier spécialisé dans la prévention des attaques DDOS. Il fut également consultant en sécurité applicative chez In Fidem.
Objectifs de la conférence:
Présenter les tendances actuelles en matière d'attaques DDOS applicatives.
Renseigner les participants sur les techniques et stratégies pour contrer ces attaques illustrées à partir de cas vécus.
Démystifier certains mythes en ce qui concernent les façons efficaces de protéger les applications contre des attaques DDOS.
Date : 16 décembre 2015
Heure : 11h45
La conférence débute à 12h00 et se termine à 12:55.
Un lunch sera servi.
Réservez maintenant!
1 CPE
 
WHEN
Wednesday, 16 December 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Sécurité des applications - Systèmes de contrôles industriels ==

[[Image:Novembre2015-OWASPMtl-R.png | Sécurité des applications - Systèmes de contrôles industriels ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/0eAZpyiQQ9A]] [https://youtu.be/0eAZpyiQQ9A Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

La sécurité des applications et les systèmes de contrôles industriels.
Cette conférence s'adresse aux professionnels et gestionnaires des TI desinfrastructures critiques qui exploitent ou gèrent des systèmes de contrôles industriels(SCI) et SCADA (surveillance et d'acquisition de données). 
Conférenciers : Robert Nastas, CSSA. Gestionnaire de projet et Youssef Jad, Architecte Cyber sécurité, ICS-CERT 
 
Objectifs de la conférence:
* Démystifier le domaine d'affaires.
* Renseigner les participants sur les bonnes pratiques de sécurité desapplications liées au secteur industriel.
* Proposer aux professionnels et gestionnaires des TI responsables dessystèmes SCADA et SCI des pistes de solutions aux enjeux de sécurité.
 
L'équipe OWASP Montréal vous remercie d'avoir assisté en grand nombre à la conférence, 'La sécurité des applications et les systèmes de contrôles industriels'.
 
WHEN
Wednesday, 18 November 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ==

[[Image:Septembre2015-OWASPMtl.jpg | Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert ]] [https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert See the slides / Voir la présentation]
 
Pour le lancement des activités corporatives de la saison 2015 - 2016, le 8 septembre prochain à 12:00, l'équipe OWASP Montréal convie les gestionnaires et artisants de la sécurité des TIC à venir entendre monsieur Éric Hébert qui nous présentera son interprétation des préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative. L'événement se tiendra au complexe Desjardins à la salle "Espace Desjardins".

''' ÉRIC G. HÉBERT, CISM, CISSP ''' 
Après plus de 20 ans passés dans le domaine de la sécurité des technologies de l’information, Éric se spécialise dans la mise en œuvre et la gestion d'équipes performantes, capables de relever les plus hauts défis de la cybersécurité moderne. 
Capable de dialoguer avec les hauts dirigeants, il sait traduire et vulgariser les enjeux techniques complexes tout en respectant la nature et l'appétence au risque de ses clients. Dynamique et pourvu d'une expérience couvrant presque toutes les sphères de la SI, il fonce dans le respect de la culture établie tout en implantant des solutions pragmatiques et efficaces. 
Depuis plus de 10 ans, il gravite principalement autour des entreprises du domaine financier (BNC, Desjardins, Fonds de solidarité FTQ...) et les accompagne dans la mise en place de solutions efficaces tenant compte à la fois des risques et des budgets.
En plus d’avoir fondé de nombreuses associations telles que le RéseauSécurIT et le RPSI, il maintient une présence régulière auprès des milieux associatifs professionnels et partage régulièrement ses expériences lors de conférences et d'entrevues avec divers médias.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

= Events / Évènements =

== Owasp Montreal at [https://nsec.io/ NorthSec 2017] ==

[[Image:NorthSec2017-5.jpg]]
[[Image:NorthSec2017-6.jpg]]

From Left to Right: Anne Gauthier, OWASP Montréal Chapter Leader (President) and Application Security Analyst at GoSecure, Hugo Genesse, OWASP Montréal Chapter Leader and Research Intern at PNF Software, Julien, OWASP Montréal Chapter Leader

== OWASP Montreal at [https://2017.appsec.eu/ AppSec] ==

[[Image:OWASPAppSecBelfast2017-7.jpg]]

OWASP Montreal and Ottawa Chapter Leaders at OWASP AppSec Belfast, UK #WomenInAppSec

== OWASP Montreal at [https://hackfest.ca/ HackFest 2016] ==

[[Image:Hackfest2016-r.jpg| HackFest |link=https://hackfest.ca/]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Louis Nadeau, OWASP Québec Chapter Leader and Manager, Product Security at Bentley Systems and Patrick Leclerc, OWASP Québec Chapter Leader and Information Security Advisor at La Capitale.

== OWASP Montreal at OWASP [https://2016.appsecusa.org/ AppSec USA 2016, Washington] ==
 
 
[[Image:OWASPMtl-AppSecUSA2016-Washington.jpg | OWASP Montreal at AppSec USA 2016, Washington]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016, Alexandre Hamelin President at Synlabs Consulting Inc., Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [https://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

== OWASP Montréal at [https://www.gosec.net GoSec] 2016 ==

[[Image:OWASP-GoSec2016-1r.jpg|OWASP Montreal at GoSec 2016]] [[Image:OWASP-GoSec2016-2r.jpg|OWASP Montreal at GoSec 2016]]
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Simon Lacasse, student and volunteer, and Laurent Desaulniers, Security Analyst at Bell Canada.

== OWASP Montréal at [https://www.nsec.io/ NorthSec] 2016 – Annual Applied Security Event ==

[[Image:Hackfest2016-OWASPMtl.jpg|OWASP Montreal at NorthSec 2016]]

@Photo : Simon Veilleux
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Olivier Arteau OWASP Montréal Chapter Leader and Conseiller chez Groupe Technologie Desjardins, Hugo Genesse, OWASP Montréal Chapter Leader and Vulnerability Research Intern at Wurldtech Security Technologies.

== OWASP Montréal at [https://hackfest.ca/en/ Hackfest] 2015 ==

[[Image:Hackfest2015-OWASPMtl-R.JPG | OWASP Montreal at Hackfest 2015]]

@Photo : Hackfest
 
 
From left to right : Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [http://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

[[Image:Video-link.png | Link to video | link=https://youtu.be/8U0qkEuUFy8]] [https://youtu.be/8U0qkEuUFy8 Watch the video / Regarder la vidéo]

== OWASP Montréal at [https://www.gosec.net/ GoSec] 2015 – The Annual Cybersecurity Conference presented by GoSecure, EY and ISACA. ==

[[Image:GoSec2015-OWASPMtl.jpg|OWASP Montreal at GoSec 2015]]

@Photo : Marius Popescu
 
 
From left to right : Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016. Benoît Guérette, Application Security Team Leader at Desjardins, VP Finance at NorthSec and OWASP Montreal Chapter Founder and Former Chapter Leader.

== See also / Voir aussi ==

OWASP Montréal recommends Montréhack. Learn and share knowledge on IT security by solving technical challenges. Third Monday of every month.

OWASP Montréal recommende Montréhack. Apprends et partages des connaissances sur la sécurité informatique en travaillant des problèmes appliqués. Chaque troisième lundi du mois.

[[File:Montrehack.png|Montréhack|link=http://montrehack.ca/|alt=Montréhack]]

= Archives 2007-2015 =
{{:Montreal chapter past meetings}}

== OWASP Montreal - February 3rd - Getting to Know the Software Assurance Marketplace (SWAMP) ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/p4_vjufcB6Q]] [https://youtu.be/p4_vjufcB6Q Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer]] [https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Pat Beyer
*'''ADDITIONAL PRESENTER:''' Abe Megahed
*'''ABSTRACT:''' The Software Assurance Marketplace (SWAMP) is an open facility that is designed, built, and operated by four research institutions. The SWAMP provides no-cost access to an array of open-source and commercial software analysis tools. This presentation will provide an overview and demo of the SWAMP, including our goals, intended audience, current capabilities, and future plans. We will cover our relationship with OWASP, incorporation of open-source software assurance tools, and status as an open-source project and resource available to the software community. Visit https://continuousassurance.org/ to learn more about us.
*'''BIO:''' Pat Beyer serves as the Product Manager for the Software Assurance Marketplace (SWAMP). With over 25 years of experience successfully managing multi-million dollar global projects, Beyer’s expertise extends to the IT, construction, and operations sectors, with a specialization in managing government contracts and grants. A gifted communicator, Beyer is a sought after speaker due to his ability to deliver complex information about technology products and services in a way that is easily understood. He is a decorated combat veteran of the Global War on Terror, the international military campaign that started following the 9/11 terrorist attacks on the United States. In 2004, he constructed and rehabilitated over 20 schools, clinics, and water treatment plants for the Iraqi people using local contractors. Beyer also holds a Bachelor of Science, a Masters in Business Administration, a Ph.D. in Organization and Management, and a Project Management Professional (PMP) certification.
*'''BIO:''' Abe Megahed is a web developer for the Software Assurance Marketplace. In previous lifetimes, he has been a computer graphics researcher, a game programmer, a programming language and compiler nerd, a dot com company founder, a creator of helicopter simulations, and a developer of 3D simulations for NASA astronaut crew training.
*'''WHEN:''' Tuesday, February 3rd 2015
*'''WHERE:''' Room PK-1140 - UQAM Pavillon Président-Kennedy, 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' https://owaspmtlswamp2015.eventbrite.ca
*'''WEBCAST:''' https://www.youtube.com/watch?v=p4_vjufcB6Q
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer

*'''ACADEMIC PARTNER:''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session: Getting to Know the Software Assurance Marketplace
20:00-... End of the meeting

[[Image:SWAMP-Logo-Final-Med.png|300px|link=https://continuousassurance.org/]]
[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

== OWASP Montréal - 4 décembre - Malware côté serveur — évolution, méthodes d’opération et forensic Linux ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/lo8WDl-WQ3E]] [https://youtu.be/lo8WDl-WQ3E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille]] [https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Marc-Etienne M.Léveillé
*'''RÉSUMÉ:''' Les logiciels malveillants ciblant les serveurs ont évolué. Ils sont utilisés par des groupes de cybercriminels organisés dans le but de faire du profit via des redirections web et l’envoie de pourriels. La présentation portera sur Opération Windigo, une opération malveillante qui a affecté plus de 25 000 serveurs dans le monde. Après une brève description des composantes de Windigo, nous verrons comment les opérateurs déploient leurs logiciels malveillants et surveille leur réseau de serveurs infectés. Des trucs pratiques pour faire de la forensics sur des systèmes Linux seront donnés. Cette présentation est une suite à la présentation "Linux/Cdorked: Server side malware", donnée par Olivier Bilodeau à OWASP Montréal en 2013. La présentation sera en français avec des diapositives en anglais (aka Montreal-style).
*'''BIO:''' Marc-Etienne est un chercheur en logiciel malveillant chez ESET depuis 2012. Il se spécialise dans les logiciels malveillants qui s’attaquent à des plateformes inhabituelles comme aux produits fruités et aux oiseaux nordiques. Dernièrement, il passe beaucoup de son temps à faire la rétro-ingénierie de logiciels malveillants sur des serveurs Linux et s’intéresse à leurs méthodes d’opération. Il adore participer de façon collégiale aux CTFs avec ses amis les CISSP Groupies et jouer de la clarinette. Il tweet très peu à @marc_etienne_.
*'''QUAND:''' 4 décembre 2014 à 18h00
*'''OÙ:''' Local M-1510, Polytechnique Montréal, 2900 Boulevard Edouard-Montpetit
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-4-decembre-malware-cote-serveur-evolution-methodes-doperation-et-forensic-linux-tickets-14635313617
*'''ÉQUIPE ACADÉMIQUE:''' Polyhack - http://polyhack.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Malware côté serveur
19:30-20:00 Période de questions

[[Image:Polyhacklogonoirpetit.png|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]

== OWASP Montréal - October 23rd - XXE : À l’assaut des analyseurs XML ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/MZviLB9-42E]] [https://youtu.be/MZviLB9-42E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau]] [https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Philippe Arteau
*'''RÉSUMÉ:''' L'utilisation d’XML est fortement répandue. Le format est utilisé pour des fichiers de configuration, pour des métadonnées, pour des documents textes, et bien plus. La prise en charge de fichiers XML n’est pas sans risque. La plupart des analyseurs XML ne sont pas sécuritaires par défaut pour le traitement de fichier externe. Cette présentation fera un survol des vulnérabilités de type « Xml eXternal Entity » et de l’étendue des risques pour différents langages de programmation. Plusieurs démonstrations sont prévues.
*'''BIO:''' Philippe est conseiller en sécurité applicative pour le Groupe Technologies Desjardins. Au quotidien, il s’occupe d’effectuer des tests d’intrusions et des revues de code. Il a découvert des vulnérabilités importantes dans plusieurs logiciels populaires incluant Google Chrome, DropBox, ESAPI et Jira.
*'''QUAND:''' 23 Octobre 2014 à 18h00
*'''OÙ:''' École de Technologie Supérieure Local A-3230, 1100 Rue Notre-Dame Ouest, Montréal, QC H3C 1K3
*'''INSCRIPTION:''' http://www.eventbrite.ca/e/owasp-montreal-23-octobre-xxe-a-lassaut-des-analyseurs-xml-tickets-13426881163
*'''PARTENAIRE ACADÉMIQUE:''' ETS - DCI http://dciets.com/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:45 Mot de bienvenue
18:45-19:45 Présentation principale - "À l’assaut des analyseurs XML" Philippe Arteau
19:45-20:00 Période de questions

[[Image:Blason_dci.png‎‎‎|150px|link=http://dciets.com/]]
[[Image:ETS-rouge-devise-impr-fond_transparent.png|150px|link=http://www.etsmtl.ca/]]

== OWASP Montreal - July 24th - Web security for DevOps: the glory is in the headers ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/6bp1NCLT-YQ]] [https://youtu.be/6bp1NCLT-YQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil]] [https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Jonathan Marcil
*'''ABSTRACT:''' DevOps is a buzzword which can be easily demystified: in essence it is a process which aims to combine the development and system administration process into one; Operations. As developers become responsible for server setup, security counter measures are evolving as well. The line between server configuration and application behaviour has been blurred. In this talk we will cover some HTTP headers in regards to security such as CORS, CSP and HSTS. We will demonstrate several forms of attack, and how they can (should) be countered.
*'''BIO:''' Jonathan is devoted to security and specialized in Web application security. His main occupation is consulting in Web security, but deep down he is a developer with a agnostic vision of programming languages. He has a diploma in Software Engineering from Ecole de Technologie Superieure and more than 10 years of experience in Information Technology and Security.
*'''WHEN:''' At noon on July 24th 2014
*'''WHERE:''' 75 Queen Street, office 3100, Montreal, QC H3C 2N6
*'''REGISTRATION:''' You can join us on site for a pizza slice but this is mainly an online event. Contact jonathan.marcil@owasp.org.
*'''WEBCAST:''' https://www.youtube.com/watch?v=6bp1NCLT-YQ
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil
*'''EVENT SPONSOR:''' Pheromone http://www.pheromone.ca/
*'''PROGRAM:'''

12:00-12:10 Welcome and quick OWASP introduction
12:10-13:10 Main presentation - "Web security for DevOps: the glory is in the headers" Jonathan Marcil
13:10-... Open discussion and questions

[[Image:Logo-phero.gif‎|link=http://www.pheromone.ca/]]

== OWASP Montreal - June 18th - Gaps in the Clouds ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz]] [https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Robert Fritz
*'''ABSTRACT:''' Cloud technology offers agility and scaling, and a chance to break away from legacy IT choices. Unfortunately, skipping traditional IT activities often results in poorly patched systems, out of date firewalls, and overprovisioned entitlements wielded by admins whose “day job” is development. Boundaries of accountability and responsibility amongst cloud providers and consumers are confusing, vague, and shift, making security difficult to manage. In such an environment, a “BP-spill” event, where cost wins over safely safety, is likely. This talk will dive down into the cracks between the layers of cloud, and share some of the exciting dirt we have seen and expect to see in coming years.”
*'''BIO:''' Robert Fritz has been practicing security his entire career. Rob started as an Air Force lieutenant at Langley AFB and later at the Pentagon in Washington DC, building and managing classified networks. Finding he was getting too far from technology after a brief stint flying, he left the military to get back to the tech, and built security tools for HP in their HP-Unix lab. Over time he found himself in more and more security design discussions, so co-authored HP’s Commercial Application Threat Analysis Methodology, building an internal consulting practice at HP. This quantitative approach, led to two pending patents, an external-facing consulting practice, and his contributions to NIST IR-7502, the Common Configuration Scoring System (CVSS follow-on). He is the former lead editor for the Center for Internet Security’s HP-UX Benchmark, and current lead for the Android Benchmark. Robert now works for Morgan Stanley as global head of the Strategic Consulting team in the Security Architecture group, and leads the team’s cloud and social-media security practices.
*'''WHEN:''' June 18th 2014
*'''WHERE:''' 700 Rue Wellington, Floor 2, Montreal, QC H3C 3S4
*'''REGISTRATION:''' http://owaspmtl18junems.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz
*'''EVENT SPONSOR:''' Morgan Stanley http://www.morganstanley.com/
*'''PROGRAM:'''

18:00-18:30 Networking and Morgan Stanley Hosted Pizza and Soft Drinks
18:30-18:45 OWASP Chapter & Morgan Stanley Welcome
18:45-19:45 Main presentation - "Gaps in the Clouds" Robert Fritz
19:45-20:00 Open discussion and questions
20:00-... Optional, informal networking at Aziatic - 626 rue Marguerite-d'Youville, Montréal, QC H3C 1W7

[[Image:Morgan_Stanley_Historical_Logo.png|link=http://www.morganstanley.com/]]

== OWASP Montréal - May 26th - Récapitulatif des challenges NorthSec ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/P8_V3RI1Ru4]] [https://youtu.be/P8_V3RI1Ru4 Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''PRÉSENTATEUR PRINCIPAL:''' Laurent Desaulniers
*'''RÉSUMÉ:''' Solutions de la compétition en sécurité NorthSec 2014 sur les sujets de XXE + SSRF, WAF Bypass, Xpath Injection, DOM Injection, HTTP Only Flag bypass et contournement de captchas. Une bonne façon d'apprendre sur ces failles que vous étiez ou non un participant de la compétition.
*'''MESSAGE DU PRÉSENTATEUR:''' Vous voyez Rao dans votre soupe? Vous voulez une solution pour un XSS avec des cookies http only? Les captchas illisibles sont un problème? Assistez à la présentation de l'OWASP!
*'''BIO:''' Laurent Desaulniers est un passionné de sécurité informatique. Il a présenté au Hackfest, au colloque RSI, à OWASP et est challenge designer à NorthSec. M. Desaulniers détient les certifications CISSP, CISM, CISA et OSCP.
*'''QUAND:''' 26 mai à 18h00
*'''OÙ:''' Local PK-1140 - Pavillon Président-Kennedy 201, Avenue du Président-Kennedy, J2X 3Y7
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-26-mai-recapitulatif-des-challenges-northsec-tickets-11724413035
*'''WEBCAST:''' https://www.youtube.com/watch?v=P8_V3RI1Ru4
*'''ÉQUIPE ACADÉMIQUE''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Récapitulatif des challenges NorthSec
19:30-20:00 Période de questions

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== Networking with infosec communities - April 21st ==

[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''RÉSUMÉ:''' En collaboration avec Montréhack, mtlsec et NorthSec, nous organisons une soirée réseautage dans un pub du centre-ville. Du plaisir garanti avec les membres de plusieurs communautés infosec de Montréal!

*'''ABSTRACT:''' In collaboration with Montréhack, mtlsec and NorthSec, we are organizing a networking evening in a pub downtown. Fun guaranteed with the other security communities in Montreal!

*'''QUAND:''' 21 Avril 2014
*'''WHEN:''' April 21st 2014

*'''OÙ/WHERE:''' BENELUX - Brasserie Artisanale 245 Sherbrooke St W Montreal, QC H2X 1X7

*'''INSCRIPTION/REGISTRATION:''' https://www.eventbrite.ca/e/montrehack-avril-april-northsec-pre-party-tickets-11232307133

*'''PARTENAIRES/PARTNERS:''' Montréhack http://montrehack.ca/ - mtlsec http://blog.mtlsec.com/ - NorthSec https://www.nsec.io/
*'''PROGRAMME:'''
18:00-21:00 Networking
21:00-23:59 Remember to drink responsibly!

== OWASP Montréal - March 27th - Panel Compétition en sécurité NorthSec ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

'''Présentation sous forme de panel - venez poser vos questions!'''

*'''RÉSUMÉ:''' Les compétitions de type Capture the Flag (CTF) sont un moyen pour les professionnels et amateurs de sécurité informatique de mettre leurs talents à l'épreuve. NorthSec est une compétition Montréalaise annuelle en sécurité appliquée, qui aura lieu cette année au Marché Bonsecours de Montréal le 25, 26 et 27 avril prochain. Elle vise à augmenter le niveau technique des professionnels de la sécurité au Québec, ainsi que de permettre à ses acteurs les plus talentueux de se démarquer.
*'''DÉTAILS:''' Le panel de jeudi, sous la forme d'un échange convivial entre les organisateurs de l'évènement et de ses participants, abordera des thèmes variés comme l'écriture de bon défis, l'infrastructure, la logistique, les inattendus, un bilan de 2013 et tout ça en passant par de savoureuses annecdotes (on l'espère). Venez en grand nombre toucher à ces légendes de la scène infosec montréalaise!
*'''PANÉLISTES:''' Gabriel Tremblay, François Proulx, Laurent Desaulniers, Stéphane Graber
*'''ANIMATEUR:''' Olivier Bilodeau
*'''QUAND:''' 27 mars 2014
*'''OÙ:''' Salle M-1510, École Polytechnique de Montréal, 2500 chemin de Polytechnique, Montréal (Québec) H3T 1J4, pavillon Lassonde
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-27-mars-panel-competition-en-securite-northsec-tickets-10918436337
*'''ÉQUIPE ACADÉMIQUE:''' Polytechnique - Polyhack http://polyhack.org/
*'''PROGRAMME:'''
18:00-18:25 Networking
18:25-18:30 Mot de bienvenue par le leader du chapitre (Jonathan Marcil)
18:30-20:00 Présentation principale : Panel NorthSsec

[[Image:Polyhack.png‎‎|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== OWASP Montreal - February 25th - Proven Strategies for Web Application Security ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane]] [https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Justin C. Klein Keane
*'''ABSTRACT:''' The rising dominance of the web as an application delivery platform has focused attacker attention squarely on the security of dynamic web applications. Application security is a complex, and shifting, field. Learn about tested and successful techniques to build safer applications, find flaws before they become vulnerabilities, and deploy applications that can detect, and resist attack.
*'''BIO:''' Justin C. Klein Keane is a security engineer and chapter leaders of OWASP in Philadelphia. For over a decade Justin has worked as a trainer, coder, and exploit developer. Justin is currently writing a book for NoStarch Press on hacking, speaks regularly at conferences, holds a masters degree in information technology from the University of Pennsylvania and is credited with hundreds of application vulnerability discoveries.
*'''WHEN:''' February 25th 2014
*'''WHERE:''' Ecole de technologie superieure, 1100 Notre-Dame Street West, Montreal, Room: A-1150
*'''REGISTRATION:''' http://owaspmtljan2014.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane
*'''ACADEMIC PARTNER:''' ETS - DCI http://dciets.com/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session and open discussion: Proven Strategies for Web Application Security
20:00-... End of the meeting in a pub

[[Image:Dciets.png‎‎‎|100px|link=http://dciets.com/]]
[[Image:Logo_ets.png|link=http://www.etsmtl.ca/]]

== OWASP Montreal - January 28th - Latest trends in Mobile Security ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/8qPyKj4FKgY]] [https://youtu.be/8qPyKj4FKgY Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx]] [https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Francois Proulx
*'''ABSTRACT:''' Last AppSecUSA 2013 had a great line up of talks, especially regarding mobile applications. This session will be covering all the hottest presentations about mobile security by doing an overview from what see saw at AppSecUSA, all with some slides and snippets of presentations that was recorded at the event. Discussion will be encouraged within the audience as this will be more a dynamic event than a regular talk.
*'''BIO:''' François Proulx is a senior mobile application developer who has worked on dozens of iOS applications since the very beginning of the Apple iOS platform. Over the past few years he has switched his focus to security. He spends a lot of his free time participating in Capture the Flag events (CTFs) and organizing the NorthSec security competition.
*'''WHEN:''' January 28th 2014
*'''WHERE:''' UQAM Room PK-1705, Pavillon Président-Kennedy (the big boat at Place des Arts) - 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' http://owaspmtl-mobilesecurity.eventbrite.ca
*'''SLIDES/CONTENT:''' [http://www.youtube.com/playlist?list=PLQtB2ug5xmvaQ9jeRWV53-F_T555GQfhW YouTube playlist]
*'''SPONSOR:''' Academic partner AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan M.)
18:30-20:00 Main session and open discussion: Mobile Security
20:00-... End of the meeting in a pub

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

==== Presentations For Download ====

[http://www.owasp.org/images/0/0d/20100209mstechdaysowaspasvssgiv01-12657916463819-phpapp02.ppt OWASP ASVS] by Sebastien Gioria (09/03/2010)

[http://www.ph-il.ca/slides/afup__authetification_forte.pdf Authentification Forte] by Philippe Gamache (02/02/2010)

[http://www.opensamm.org/downloads/OpenSAMM-1.0.ppt Software Assurance Maturity Model (OpenSAMM)] by Pravir Chandra (03/11/2009)

[http://www.owasp.org/images/d/de/Owasp-montreal-sept-17h-2009-justin-foster.pdf Crossing the Border – Javascript Exploits] by Justin Foster (17/09/2009)

[http://www.owasp.org/images/c/c2/ALaughRIAt.pdf A Laugh RIAt] by Rafal Los (07/04/2009)

[https://www.owasp.org/images/e/eb/OWASP-Montreal-24022009-RobLabbe.pptx Microsoft Security Development Lifecycle for IT] by Rob Labbe (24/02/2009)

[https://www.owasp.org/images/3/39/OWASP-Montreal-24022009-EN.pdf OWASP Goal and Top Ten 2007 for Managers - French version] by Benoit Guerette (24/02/2009)

Newer presentations are available on [https://speakerdeck.com/owaspmontreal Speaker Deck]

[[Image:Circle_owasp_logo_nowhitebackground.png|200px]]

= OWASP Foundation / Mission OWASP =
OWASP Foundation ([https://docs.google.com/a/owasp.org/presentation/d/10wi1EWFCPZwCpkB6qZaBNN8mR2XfQs8sLxcj9SCsP6c/edit?usp=sharing Overview Slides]) is a professional association of [[Membership | global members]] and is open to anyone interested in learning more about software security. Local chapters are run independently and guided by the [[Chapter_Leader_Handbook]]. As a [[About_OWASP | 501(c)(3)]] non-profit professional association your support and sponsorship of any meeting venue and/or refreshments is tax-deductible. Financial contributions should only be made online using the authorized online chapter donation button. To be a SPEAKER at ANY OWASP Chapter in the world simply review the [[Speaker_Agreement | speaker agreement]] and then contact the local chapter leader with details of what OWASP PROJECT, independent research or related software security topic you would like to present on.

La fondation OWASP est une [https://www.owasp.org/index.php/Membership association de professionnels] et elle est ouverte à tout intervenant intéressé à en apprendre davantage sur la sécurité applicative. Les chapitres locaux (dont celui de Montréal) sont gérés de façon indépendante et selon un [https://www.owasp.org/index.php/Chapter_Leader_Handbook manuel de directives à respecter].
Toute contribution financière au chapitre peut être faite en ligne en utilisant l’icône prévu à cet effet. Pour être conférencier au sein de n’importe quel chapitre à l’échelle mondiale, vous n’avez qu’à prendre connaissance du document [https://www.owasp.org/index.php/Speaker_Agreement "entente avec les conférenciers – speaker agreement"] et à joindre le responsable du chapitre Montréal avec un descriptif du sujet que vous aimeriez aborder et s’il est relié à un projet OWASP, à de la recherche indépendante ou encore le sujet en particulier, concernant la sécurité applicative, que vous souhaitez aborder.

== [[Image:Circle_owasp_logo_nowhitebackground.png|128px]] Montreal OWASP Team ==

Scope of the team is to discuss and plan local activities and meetings

=== Chapter Leaders ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique

==== Chapter leader history ====
*2008-2010 - Benoit Guerette, founder and chapter leader
*2011-2012 - Philippe Gamache, chapter leader (vice chapter-leader since 2010)
*2013-2015 - Jonathan Marcil, chapter leader
*2016-... - Anne Gauthier, Michel Bourque, Marius Popescu, Hugo Genesse, Olivier Arteau

==== Old board members ====
*Philippe Pépos Petitclerc
*Michael Robillard
*Benoit Guerette (logistics 2015)
*Alexandre Rimthong
*Mathieu Binette
*Sean Coates
*Jean-Marc Robert
*Philippe Blondin
*Benoit Guerette (founder)
*Laurent Desaulniers
 

<headertabs></headertabs>
__NOTOC__
[[Category:Canada]]

Montréal

2018-06-17T20:50:44Z

Svieg: /* Insecurity in Information Technology */

== Welcome & Bienvenue to the OWASP Montréal chapter ==
 
[[Image:OWASP-Montreal-Logo.png|Logo OWASP Montréal]]

The OWASP Foundation was established in 2001 as an open community and software security resource. Since then, OWASP has grown to be globally recognized as a credible source for application security standards. 
OWASP is an open community dedicated to enabling organizations to conceive, develop, acquire, operate, and maintain applications that can be trusted. All of the OWASP tools, documents, forums, and chapters are free and open to anyone interested in improving application security. We advocate approaching application security as a people, process, and technology problem because the most effective approaches to application security include improvements in all of these areas. 
OWASP is open to anyone. Anyone can attend OWASP's vendor agnostic local chapter meetings, participate in regional and global conferences, and contribute to the many OWASP projects. And anyone can start a new project, form a new chapter, or lend their expertise to help an OWASP Global Committee. 
On parle français aussi ! Le chapitre de Montréal organise plusieurs activités gratuites afin de partager les connaissances en sécurité applicative avec la communauté de développeurs et gestionnaires. Suivez-nous sur les réseaux sociaux pour connaître les dates des conférences du midi et des workshops ! 

Top documentation from OWASP includes:

* [https://www.owasp.org/index.php/Top_10_2013-Top_10 OWASP TOP 10 : The Ten Most Critical Web Application Security Risks]

* [https://www.owasp.org/images/3/33/OWASP_Application_Security_Verification_Standard_3.0.1.pdf OWASP ASVS : Application Security Verification Standard]

* [https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf OWASP Testing Guide : Penetration Testing Framework]

* [https://www.owasp.org/images/7/78/OWASP_AlphaRelease_CodeReviewGuide2.0.pdf OWASP Code Review Guide : Source Code Analysis Framework]

* [https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series OWASP Cheat Sheet : Best practices guidelines for developers]

* [https://www.owasp.org OWASP Global]

=== Chapter Leaders / Responsables du chapitre ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique
 
 Volunteers / Volontaires OWASP Montréal: 
* Simon Lacasse, Web content / Site internet
* Julien Touche, Logistique
* Jean-François Gill

== Reach our chapter / Joindre le chapitre ==

Follow OWASP's Montreal chapter's activities through social medias, register to events, watch the previous presentations and more!

Suivez les activités du chapitre OWASP Montréal via les réseaux sociaux, inscrivez-vous aux activités, visualisez les anciennes présentations et plus encore!

 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Click here] to join the local chapter mailing list.
 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Inscrivez-vous ici] à la liste de courriels du chapitre afin de recevoir les dernières nouvelles!

Want to be part of the community ?
Devenez membre de notre communauté !
[https://www.owasp.org/index.php/Membership_Map Click here / Cliquer ici]

[[Image:Eb_press_little.gif‎|OWASP Montreal Eventbrite|link=http://owaspmontreal.eventbrite.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Yt-brand-standard-logo-630px.png‎|128px|YouTube OWASP Montreal Channel|link=http://www.youtube.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Speakerdecklogo.png‎|Slides of OWASP Montreal on SpeakerDeck |link=https://speakerdeck.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]

 
[[Image:Twitter-bird-cropped-onwhite.png|@owaspmontreal on Twitter|link=https://twitter.com/owaspmontreal]]
[[Image:FacebookSquareLogo.png|OWASP Montreal Facebook page|link=https://www.facebook.com/owasp.montreal]]
[[Image:LinkedinSquareLogo.png|OWASP Montreal on LinkedIn|link=https://www.linkedin.com/groups/1379007/profile]]

[[Image:Spacer-horiz.gif‎]]

== What we do / Nos activités ==

OWASP Montreal is a really active chapter. We organize monthly conferences and workshops. All our events are free and meant to improve the knowledge and awareness of the community's developers, managers and computer security specialists. To be aware of the next event and for additional information, follow us on social medias. 

OWASP Montréal est un des chapitres les plus actifs. Nous organisons mensuellement des ateliers et conférences. Tous nos événements sont gratuits et ont pour but d'améliorer les connaissances de la communauté. Ils s'adressent donc autant aux gestionnaires qu'aux développeurs et aux spécialistes en sécurité informatique. Pour plus d'informations sur nos activités et pour être au courant des prochaines dates d'événement, suivez nous sur les réseaux sociaux. 

We also contribute to the vast OWASP knowledge base / Nous contribuons aussi aux ressources d'OWASP

We list here the projects that were started by our members under OWASP's banner. 
Nous listons ici les projets commencé par nos membres sous la banière d'OWASP. 

* [https://www.owasp.org/index.php/Vulnerability_Disclosure_Cheat_Sheet Vulnerability Disclosure Cheat Sheet]

== Sponsorship & Membership / Commandite & Adhésion ==

[[Image:Btn_donate_SM.gif|link=http://www.regonline.com/donation_1044369]] to this chapter or become a local chapter supporter.

Or consider the value of [[Membership | Individual, Corporate, or Academic Supporter membership]]. Ready to become a member? [[Image:Join_Now_BlueIcon.JPG|75px|link=https://myowasp.force.com/]]

[http://www.regonline.com/donation_1044369 Donnez] au chapitre ou devenez commanditaire du chapitre local!

[https://myowasp.force.com/ Devenez membre !] Pour en savoir davantage sur les avantages d’une adhésion individuelle, corporative ou en tant qu’institution d’enseignement, [https://www.owasp.org/index.php/Membership cliquez ici].

[[Category:OWASP Chapter]]

== Chapter Supporters / Commanditaires du chapitre ==

[https://www.owasp.org/images/9/91/OWASP_Membership_Flyer_Montreal.png All details available here / Pour tous les détails] [[File:Chapter-supporter-owasp-montreal.png|200px|link=]]

=== Platinum / Platine ===

[[Image:Gosecure-2.png|GoSecure|link=http://www.gosecure.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[File:Desjardins2-400x400.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 
 

=== Gold / Or ===

[[Image:PM_SCADA_Logo_Gris_Cybersecurite_FR.png|PM SCADA|link=http://pmscada.ca/en/]]

 
 
 

= Lunch & Learn / Workshops 2018 =

== SecurityRAT - Handling of Security Requirements in SDLC ==

 
WHEN
Fri, 1 June 2018
WHERE
Espace Desjardins

OWASP dans le cadre des Midis conférence est heureux d'accueillir Daniel Kefer et Rene Reuter. Tous les deux viennent d'Allemagne et seront de passage à Montréal.<.br>

Nos conférenciers viendront présenter SecurityRAT, un projet OWASP pour gérer les requis de sécurité pendant le cycle de vie des dévelopements applicatifs (SDLC).
 
Biographie : 
Daniel Kefer travaille en sécurité depuis 2007 et a commencé en tant que pentester. Il travaille depuis 2011 chez 1&1 où il mène l'équipe AppSec interne.

René Reuter est ingénieur sécurité depuis 6 ans. Il travaille chez Robert Bosch GmbH en tant que consultant en charge d'identifier les vulnérabilités et problèmes de conception dans les applications internes.
 

== Insecurity in Information Technology ==
 
WHEN
Wed, 16 May 2018
WHERE
Marché Bonsecours, salle 1847

OWASP dans le cadre des Midis conférence est heureux d'accueillir Greg Castle. 

A lot is expected of software developers these days; they are expected to be experts in everything despite very little training. Throw in the IT security team (often with little-to-no knowledge of how to build software) telling developers what to do and how to do it, and the situation becomes strained. This silo-filled, tension-laced situation, coupled with short deadlines and pressure from management, often leads to stress, anxiety and less-than-ideal reactions from developers and security people alike.
This talk will explain how job insecurities can be brought out by IT leadership decisions, and how this can lead to real-life vulnerabilities in software. This is not a talk about “feelings”, this is a talk about creating programs, governance and policies that ensure security throughout the entire SDLC.

No more laying blame and pointing fingers, it’s time to put our egos aside and focus on building high-quality software that is secure. The cause and effect of insecurities and other behavioral influencers, as well as several detailed and specific solutions will be presented that can be implemented at your own place of work, immediately. No more ambiguity or uncertainty from now on, only crystal-clear expectations.
 
Biographie : 
Tanya Janca is a senior cloud advocate for Microsoft, specializing in application security; evangelizing software security and advocating for developers through public speaking, her open source project OWASP DevSlop, and various forms of teaching via workshops, blogs and community events. As an ethical hacker, OWASP Project and Chapter Leader, software developer, effective altruist and professional computer geek of 20+ years, she is a person who is truly fascinated by the ‘science’ of computer science.
 

== Shipping in Pirate-Infested Waters: Practical Attack and Defense in Kubernetes ==

[[Image:Owasp-avril-2018.JPG ]]
[[Image:Owasp-avril-2018-2.JPG ]]
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/ohTq0no0ZVU ]] [https://youtu.be/ohTq0no0ZVU Watch the conference / Regarder la conférence] 
WHEN
April 30 2018
WHERE
Espace Desjardins

OWASP dans le cadre des Midis conférence est heureux d'accueillir Greg Castle. 

L'événement contiendra une diffusion de "Shipping in Pirate-Infested Waters: Practical Attack and Defense in Kubernetes" présenté à Kubecon 2017, suivi de 20 min de questions/réponses avec Greg par vidéoconférence.
 
Biographie : 
Greg est Tech Lead pour l'équipe sécurité Kubernetes et Google Container Engine chez Google. Avant GKE, Greg a travaillé dans l'équipe de réponse aux incidents de sécurité de Google, dévelopant des outils opensource d'investigations et à l'amélioration de la sécurité de Macos. Avant google, il a occupé de nombreuses positions incluant pentester, incident responder et analyste forensics.
 

== Operate PCI DSS infrastructure using DevOps approach ==

[[Image:Owasp-montreal-pci-dss-r.jpg ]]
[[Image:Owasp-montreal-pci-dss-2-r.jpg ]]
 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/owasp-operate-pcidss-infrastructure-using-devops-approch-dot-pptx-1]] [https://speakerdeck.com/owaspmontreal/owasp-operate-pcidss-infrastructure-using-devops-approch-dot-pptx-1 See the slides / Voir la présentation] 
WHEN
March 5 2018
WHERE
Espace Desjardins

OWASP dans le cadre des Midis conférence est heureux d'accueillir, M. Gaëtan Trivino. 

Notre conférencier viendra présenter l'influence de la culture devops sur les opérations d'un hébergeur international en particulier pour supporter les réglementations comme PCI DSS.
 
Biographie : 
Gaëtan est DevOps technical leader orienté cloud et automatisation réseau. Il a traversé l'Atlantique avec sa famille pour explorer de nouvelles culture de travail et se lance dans la recherche du meilleur sirop d'érable!
 

= Lunch & Learn / Workshops 2015-2017 =

== Pourquoi un hacker peut-il contourner les mesures et solutions de sécurité... ==

[[Image:Hamilton-septembre-2017-1.JPG ]]
[[Image:Hamilton-septembre-2017-2.JPG ]]
 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/endpoint-bypass-charles-hamilton]] [https://speakerdeck.com/owaspmontreal/endpoint-bypass-charles-hamilton See the slides / Voir la présentation] 
WHEN
September 18th 2017
WHERE
Espace Desjardins

OWASP dans le cadre des Midis conférence est heureux de lancer la saison 2017-2018 en accueillant, M. Charles F. Hamilton.
 
Notre conférencier viendra brosser un tableau des différents éléments qui expliquent pourquoi les mesures et les solutions de sécurité en générales qui ont la fonction de protéger les données, les applications, les réseaux ou les équipements critiques sont si souvent contournées ou carrément inefficaces contre les attaques ciblées.
 
Biographie : 
Charles F. Hamilton est un consultant en sécurité et membre d’équipe « Red Team » de calibre international. Il se spécialise en test d’intrusion et la recherche de solution proactive de sécurité.
 

== Cas d'attaques vécus : Internet des objets (IOT) - Attaques DDoS ==

[[Image:Cas_dattaques_vecus-r.jpg ]]
 
WHEN
June 19th 2017
WHERE
Espace Desjardins

Pour clore la saison printanière 2017, OWASP Montréal est fier d'accueillir au Midi Conférence, M. Christian Shink qui fera un survol de cas d'attaques vécus, des techniques utilisées et des acteurs impliqués dans ces attaques. 
L'incorporation généralisée de dispositifs «intelligents» dans les objets de la vie de tous les jours modifie la façon dont les gens et les machines interagissent les uns avec les autres. Cette incorporation offre une promesse d'une meilleure qualité de vie, une meilleure efficacité. En contrepartie, leur déploiement introduit également des vulnérabilités à la fois dans l'infrastructure qu'ils soutiennent et sur lesquels ils comptent, ainsi que dans les processus qu'ils guident. Que ce soit au niveau applicatif ou des infrastructures, ces vulnérabilités sont exploitées par des acteurs malicieux pour générer des attaques de déni de service massives et sophistiquées. Nous tenterons également de tirer des leçons afin de tenter de minimiser ce type d'attaques dans le futur. 
Christian Shink possède plus d’une dizaine d’années d’expérience en développement et sécurité d’applications. Avant de se joindre à Radware, Christian était à l’emploi d'une firme conseil où il a conseillé de nombreuses entreprises, dont de grandes banques américaines et Casinos. Il détient une certification CSSLP et est membre de l'ordre des ingénieurs du Québec.
 

== HOW TO! Threat Modeling Toolkit ==

[[Image:OWASPMtl-JonathanMarcil-1.jpg]]
[[Image:OWASPMtl-JonathanMarcil-3.jpg]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit]] [https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit See the slides / Voir la présentation]
 
WHEN
May 23rd, 2017
WHERE
Shopify Montreal

Threat Modeling is a great way to analyze security early in software development by structuring possible attacks, bad actors and countermeasures over a broad view of the targeted system. This talk will describe basic components of a threat model and how to use them effectively.
Threat Intelligence is where you gather knowledge about the environment and business assets to determine what are the actual threats. But how do you reconcile that with the current architecture in a useful manner?
The toolkit presented in this talk will enable you to systematically structure related information using graphical notations such as flow diagram and attack tree. In case you are wondering where to start in your organization, a quick lightweight risk rating methodology will also be proposed.
And in the end, you’ll see how we can all tie those together and get threat modeling to a point where it’s an efficient application security activity for communication. Doing this will prevent security reviews from missing important things even when chaos prevails during the realization of a project.
Modeling concepts will be demonstrated with an actual IoT device used as example.
Presentation will be done in english.

Speaker Bio:
Jonathan Marcil is the former chapter leader of OWASP Montreal and is now Senior Application Security Engineer at Blizzard Entertainment in beautiful Orange County, California.
Jonathan has been involved with OWASP for many years and has been behind the Media Project which gathered and promoted AppSec conferences video content in the official OWASP YouTube channel. He was also part of NorthSec CTF event as a challenge designer specialized in Web and imaginative contraptions.
He is passionate about Application Security and enjoys architecture analysis, code review, threat modeling and debunking security tools. He holds a diploma in Software Engineering from ÉTS Montreal and has more than 15 years of experience in Information Technology and Security.

Merci à nos précieux commanditaires !

== Security Testing: Unlocking the Benefits of a Hybrid Approach ==
[[Image:Security testing hybrid approach-r 3.jpg ]]
[[Image:Security testing hybrid approach-r 4.jpg ]]
 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/hybrid-approach-to-security-testing]] [https://speakerdeck.com/owaspmontreal/hybrid-approach-to-security-testing See the slides / Voir la présentation]
 
WHEN
April 24th, 2017
WHERE
Espace Desjardins

As part of their defensive efforts, businesses commonly commission cybersecurity assessments of their web applications; with the aim of identifying any weaknesses in the security controls and ensuring a continually strong cybersecurity posture of their systems.

The classical approach of either secure code review (white box) or penetration testing (black box) assessment have proven to be effective in securing of web applications. The new trend, however, is moving towards the combination of these two approaches; expert consensus is rapidly recognizing the advantages of using a hybrid approach. When applied properly, a hybrid approach can build on the strengths of both white and black box testing, while compensating for their individual shortcomings.

In this presentation, we will examine the details of secure code review and penetration testing, and run demos to contrast their respective strengths and weaknesses. We will also examine why a hybrid approach can produce more complete and relevant assessment results. To conclude, we will cover proven approaches, and practical techniques, on how you can start leveraging a hybrid approach to web application assessments today.

Anne Gauthier is an application security analyst at GoSecure. Anne is also the president of the Montreal Chapter of OWASP – the industry standard for web application security. With a penetration testing background, she specializes in secure code reviews and in helping companies to improve their software development lifecycle (SDLC) according to industry best practices. Anne is CSSLP, GWAPT and GSSP-JAVA certified. She obtained a Software Engineering bachelor’s degree from Ecole de Technologie Supérieure in Montréal and is now pursuing a Master of Engineering (MEng) degree in Information Systems Security at Concordia University. She is the author of the Project 201 Security blog.

Merci à nos précieux commanditaires !

== "HOW-TO" NIGHT ! Tout sur les CTFs (Capture The Flag) ==

[[Image:Howto_ctf.jpg]]
 
[[Image:Presentation-link.png | Slides | link=https://docs.google.com/presentation/d/1zEsCcX-Nvq8Nz0k-B1zHejCDNT2oGZx8oUBgMbvvMM0/edit#slide=id.p ]] [https://docs.google.com/presentation/d/1zEsCcX-Nvq8Nz0k-B1zHejCDNT2oGZx8oUBgMbvvMM0/edit#slide=id.p See the slides / Voir la présentation (Laurent Desaulniers)]
[[Image:Presentation-link.png | Slides | link=https://docs.google.com/presentation/d/1c1P1d2mKe767j1Y0V9cK6De5cpnK4I7GI-ORiodbg1A/edit#slide=id.p ]] [https://docs.google.com/presentation/d/1c1P1d2mKe767j1Y0V9cK6De5cpnK4I7GI-ORiodbg1A/edit#slide=id.p See the slides / Voir la présentation (Charles Hamilton)]
[[Image:Presentation-link.png | Slides | link=http://obilodeau.github.io/slides/2017-04-04_how-not-to-suck-at-ctfs/ ]] [http://obilodeau.github.io/slides/2017-04-04_how-not-to-suck-at-ctfs/ See the slides / Voir la présentation (Olivier Bilodeau)]
 
WHEN
April 4th, 2017
WHERE
Shopify

Cette nouvelle soirée "How-To" Night d'OWASP Montréal vise à présenter les CTFs (une compétition Capture The Flag) et aider les équipes à démarrer et à continuer à évoluer dans leurs pratique de la cyber sécurité pratique. L'objectif est d'outiller les participants en leur fournissant des ressources techniques et des contacts afin de les aider à progresser.

Les éléments discutés seront:

- Composition optimale d’une équipe : Fonctionnement d’une équipe de CTF et les principaux rôles (chef d’équipe, cryptographie, application web, rétro ingénierie et les causes perdues).

- Pourquoi faire des CTFs? Discussion sur les différents styles (jeopardy, attack/defense, etc.), quels sont les problèmes fréquemments rencontrés + plusieurs anecdotes intéressantes (et drôles).

- Trucs de Mr. Unikoder : Le créateur du fameux site ringzer0team, soit un des plus gros sites pour apprendre la résolution de problèmes de CTF (https://ringzer0team.com/) Apprenez des trucs du meilleur, sur comment débuter et interpréter un challenge web, binaire et crypto avec des trucs réels du métier.

Matériel requis :

Votre légendaire enthousiasme

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement.

Présentateurs :

Charles Hamilton, Senior Consultant chez Mandiant, FireEye, Inc.

Olivier Bilodeau, Cybersecurity Research Lead at GoSecure

Laurent Desaulniers, Senior Security Solution Specialist at Bell Canada

== NorthSec - Applied Security Event ==
[[Image:Nsec_2017_midi_conf.jpg]] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/northsec-applied-security-event]] [https://speakerdeck.com/owaspmontreal/northsec-applied-security-event See the slides / Voir la présentation]
 
WHEN
April 4th, 2017
WHERE
Espace Desjardins

NorthSec: La plus grande compétition et conférence en cyber sécurité au Canada

NorthSec est un organisme sans but lucratif qui organise une conférence et une compétition de sécurité de type "Capture-The-Flag" (CTF) et des formations. Avec plus de 400 participants présents sur le site pour la compétition, c’est la plus grande compétition du genre au monde.

La conférence, dans sa 3e année, attire des présentateurs internationaux avec du contenu technique exclusif. L’ajout des séances de travail (workshops) devrait plaire aux plus chevronnés des binaires.

Des formations de 3 jours sont offertes avant la conférence: "Advanced Web Application Security" par Philippe Arteau et "Malware and Memory Forensics" par Michael Ligh, co-auteur des livres "Malware Analyst Cookbook" et "The Art of Memory Forensics".

NorthSec est situé au Marché Bonsecours dans le Vieux-Port de Montréal au printemps du 15 au 21 mai 2017.

La présentation couvrira:

- Le plan pour 2017 
- Ce qui différencie NorthSec 
- Comment équilibrer une compétition pour les débutants et les experts 
- Comment bâtir une infrastructure basée sur les conteneurs qui gère 50 équipes dans quelques serveurs sans qu’ils ne se partagent de machines virtuelles 
- Comment faire du pain au levain à grande échelle 
- Présentation de quelques défis et solutions 

Les présentateurs:

- Gabriel Tremblay, Président, Delve Labs 
- Olivier Bilodeau, VP Formations, Co-fondateur MontréHack, GoSecure 
- Pierre-David Oriol, VP Conférences, Delve Labs 
- Benoit Guérette, VP Partenaires, Desjardins 
- Laurent Desaulniers, Tisserand de drapeaux, Bell Canada 

Merci à nos précieux commanditaires !

== Sécurité des applications : Les fondements ==
[[Image:Tanya.jpeg]] 

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/securite-des-applications-les-fondements]] [https://speakerdeck.com/owaspmontreal/securite-des-applications-les-fondements See the slides / Voir la présentation]
 
WHEN
March 20th, 2017
WHERE
Espace Desjardins

OWASP Montréal est fier d’accueillir au Midi Conférence du mois de mars, Mme Tanya Janca, Co-Leader du chapitre OWASP Ottawa et spécialiste de la sécurité applicative au sein du Gouvernement fédéral.

La conférence « Les fondements de la sécurité des applications » sera présentée en anglais.

Session Description : Everyone has heard about the problem; everyone is “getting hacked”. But what is the answer? From scanning your code with a vulnerability scanner to red teaming exercises, developer education programs and bug bounties, this talk will take the audience through all the possibilities of an extensive application security program, with a detailed explanation of each part.

Bio : Tanya Janca is an application security evangelist, a web application penetration tester and vulnerability assessor, a secure code reviewer, an ethical hacker, the Co-Leader of the OWASP Ottawa chapter, and has been developing software since the late 90’s. She has worn many hats and done many things, including; Custom Apps, Ethical Hacking, COTS, Incident Response, Enterprise Architect, Project and People Management, and even Tech Support. She is currently helping the Government of Canada secure their web applications.

Merci à notre commanditaire principal de cet événement: Ubitrak!

== WORKSHOP ! Server Side Template Injection (SSTI) ==

[[Image:Workshop-okiok-SSTI-r.jpg | WORKSHOP ! Server Side Template Injection (SSTI) ]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti]] [https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti See the slides / Voir la présentation]

WHEN
22 Février 2017
WHERE
Shopify Montréal

OWASP Montreal vous invite à un atelier portant sur la sécurité des applications web supportant les moteurs de template (Template Engine). Le principe de séparation entre la présentation du site (code HTML statique) et de son contenu dynamique facilite la création de documents HTML et la capacité à modifier l'apparence du site sans mélanger le traitement et le rendu de la page. L'utilisation de moteurs de template amène de nouveaux enjeux de sécurité. Les vulnérabilités de type Server Side Template Injection (SSTI) sont exploitables à travers les données (non fiables) fournies par l'utilisateur et conduisent à l'exécution de code arbitraire (RCE) sur le serveur hébergeant l'application web. 

Ce workshop a pour but d'introduire cette classe de vulnérabilité à travers différents cas d'implémentation (php, java, python).
Nous verrons comment identifier et exploiter ces vulnérabilités et de quelle manière un attaquant peut
s'y prendre pour exécuter du code arbitraire sur le serveur afin d'en prendre le contrôle. 

Niveau : Intermédiaire 
Matériel requis :
* Votre portable
* Votre distribution Linux/Unix de votre choix
* Votre proxy Web de votre choix

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.
Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.
Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement. 

Présentateur : Gérôme Dieu 
Gérôme Dieu cumule plus de 7 années d’expérience en technologies de l’information et en sécurité.
Il œuvre à titre de conseiller senior en sécurité de l’information au sein de la firme OKIOK. Ces dernières années, il a acquis une expertise dans le domaine de la sécurité des applications web aussi bien d'un point de vue offensif que défensif. En plus de réaliser des tests d’intrusion pour des clients internationaux, Gérôme s’implique dans la recherche et développement afin de maintenir à la fine pointe de la technologie les tests d'intrusion et d'analyse de vulnérabilités. 

Merci à Shopify d'héberger l'événement ! 
[[Image:Shopify Logo-r.png| Shopify | link=https://www.shopify.com/]]
== Le courriel en 2017 – risques et menaces pour tous ==

[[Image:Zero spam 2.jpg|Le courriel en 2017 – risques et menaces pour tous]]

[[Image:Video-link.png | Link to video | link=https://www.youtube.com/watch?v=HX2vcijcCWw ]] [https://www.youtube.com/watch?v=HX2vcijcCWw Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

WHEN
Le 23 janvier 2017 à midi
WHERE
Espace Desjardins

Monsieur Poellhuber nous brossera un tableau du phénomène grandissant du rançongiciels et de l'hameçonnage, personnification. 

- Par les années passées, la menace courriel se résumait principalement en un fort volume de contenu simplement indésirable. Aujourd’hui la menace a passablement évolué. Quels sont les véritables risques actuels associés au courriel ? Rançongiciels, hameçonnage, personnification. Cette conférence présentera les nouveaux défis de sécurité pour les organisations qui doivent composer avec des attaques de plus en plus sophistiquées et de plus en plus ciblées tout en protégeant leur réputation. Des exemples biens réels, drôles et moins drôles seront disséqués pour bien dessiner l’ampleur de l’enjeu. 

M. David Poellhuber, Chef de l’exploitation, ZEROSPAM Sécurité Inc 

Note biographique : 
Monsieur David Poellhuber oeuvre dans l’industrie de la sécurité informatique depuis quinze ans. Il a été conférencier dans plusieurs forums de sécurité au Canada et est maintenant reconnu comme une autorité en matière de sécurité du courriel. Il a fondé ZEROSPAM Sécurité en 2003, le premier service Québécois externalisé de sécurité du courriel infonuagique qui se distingue par sa convivialité, son efficacité et ses technologies de détection proactives. 
Audience : Généralistes et spécialistes de la sécurité des TI
 
Merci à Ubitrack pour le repas et à Desjardins d'héberger l'événement!

[[Image:Ubitrak-r2.jpg|Ubitrak|link=http://www.ubitrak.com/fr/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]

== Effective XSS Mitigation ==

[[Image:XSS mitigation.jpg | Effective XSS Mitigation ]]

[[Image:Presentation-link.png | Slides| link=http://slides.com/olivierarteau/xss-mitigation ]] [http://slides.com/olivierarteau/xss-mitigation See the slides / Voir la présentation]

WHEN
18 Janvier 2017
WHERE
Google Montréal

FRANÇAIS/ENGLISH 
La mitigation de XSS a été un sujet important au cours des dernières années. Les navigateurs ont implémenté, en autre, deux fonctionnalités pour mitiger leur impact : l'entête "XSS-Protection" et l'entête "Content-Security-Policy". Par contre, obtenir une mitigation contre les XSS efficace est souvent plus complexe que l'on pense. Cet atelier couvrira les deux entêtes. Il expliquera comme il est possible de contourner ces protections et ce qu'il est possible de faire pour se protéger. Des exercices de type "offensif" et "défensif" seront proposés.
Mitigation for XSS as been an important topic in the last few years. Browsers have implemented two main functionalities to help mitigate the impact of XSS : the "XSS-Protection" header and the "Content-Security-Policy" header. But, getting an effective XSS mitigation of those headers is trickier than it may seem. This workshop will cover both of those headers. It will explain how bypass of those protection work and what you can do about it. It will have both "defensive" exercises and "offensive" exercises.
Niveau : débutant/intermédiaire
 
Matériel requis :

Votre portable 

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Google pour l'événement.
 
Présentateur : Olivier Arteau
 
Olivier Arteau est un professionnel en sécurité informatique depuis quelques années et fait partie de l’équipe de test d’intrusion de Desjardins. Il est aussi un amateur de CTF qui a gagné à plusieurs reprises le CTF du NorthSec avec l’équipe HackToute et participe fréquemment à d’autres CTF avec l’équipe DCIETS.
 

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

== WORKSHOP ! Top 10 OWASP - Unleash the threats ==

[[Image:Workshop-top10.jpg | WORKSHOP! Top 10 OWASP - Unleash the threats ]]

WHEN
30 novembre 2016 de 17h30 à 20h30
WHERE
Immunio @ WeWork

De nos jours, la sécurité applicative est essentielle dans l’écosystème des entreprises de toutes tailles. Les vecteurs d’attaques sont multiples, les vulnérabilités de sécurité dans les applications peuvent être désastreuses et les impacts d’un « Hack » peuvent être irréversibles pour l’entreprise; vols de données sensibles, perte de réputation, perte de $$$$$, etc.
L’objectif du workshop est de comprendre la base sur les vulnérabilités de sécurité dans les applications et les techniques d’exploitation utilisées par les pirates informatiques, en plus de connaître les bonnes pratiques de développement en matière de sécurité applicative.
Avec l'aide de WebGoat, Damn Vulnerable Web Application et de Kali Linux, vous pourrez participer
à l'exploitation des applications et découvrir les techniques utilisées par les attaquants.

Niveau : débutant

Matériel requis :
Votre portable
Kali Linux
La VM du workshop, envoyée aux participants

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places très limitées (nb = 10). Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Immunio & WeWork pour l'événement.

Présentateur : Christian Leclerc

Christian est spécialisé en conception et développement de solutions web sécuritaires. Tout au long de sa carrière, il a acquis une vaste expertise sur plusieurs types de technologies et méthodologies, intégré la sécurité dans le cycle de développement d’applications, effectué des revues de code sécurité, déployé des outils d’analyse des vulnérabilités et mis en place des systèmes d’authentification. De plus, il a participé à la conception et au développement de solutions sécuritaires de pointe comme la signature électronique à l’aide d’une infrastructure à clé publique (PKI), les authentifications fortes, le Registre des consentements au don d'organes et de tissus (RDOQ.org) et la migration de plusieurs applications web vers un environnement SOA (Service Oriented Architecture).
 Merci à Immunio & WeWork d'héberger l'événement! 

[[Image:Immunio-horizontal-r.png|Immunio|link=https://www.immun.io/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Wework-r.jpg|WeWork|link=https://www.wework.com/]]
 

== Histoire d'un Hack ==

[[Image:Histoire-dun-hack-r.jpg | Histoire d'un Hack ]]

WHEN
21 novembre 2016 à midi
WHERE
Espace Desjardins

Pour son activité du mois de novembre, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de faire l'autopsie d'une attaque de haute voltige sur un site web et des outils mis à la disposition par OWASP.

Bernard Bolduc cumule plus de 17 années d’expérience en technologies de l’information et en sécurité. Il œuvre à titre de conseiller senior en sécurité de l’information au niveau d’entreprise de classe nationale et internationale.

Bernard se spécialise en sécurité Unix, applicative et en gestion de la sécurité des télécommunications. Il combine ces expertises techniques afin d’obtenir des résultats probants et efficaces pour ces clients des secteurs bancaire, télécommunication et multimédias, de l’énergie ou des services publiques. Tout au long de sa carrière, Bernard s’est toujours maintenu à jour sur les dernières menaces de sécurité technologique et commerciale en assistant à des formations spécialisées et d'échanger avec un grand nombre de partenaires dans l'industrie de la sécurité.

La conférence débute à midi.

La conférence vous donne droit à 1 CPE et pour les 50 premières personnes, un lunch gratuit.

Merci à Desjardins d'héberger l'événement!

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite) ==

[[Image:Workshop-zap-mix.jpg | Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite)]]

WHEN
11 novembre 2016 de 18h à 21h

WHERE
Google Montréal

OWASP Zed Attack Proxy (ZAP) est un scanneur de vulnérabilités et un outil de débogage HTTP. Ce type d'outil est crucial dans un test d'intrusion web et contient un lot intéressant de fonctionnalités. Cela dit, il est possible d'étendre les fonctionnalités. Plusieurs types d'extension sont possibles : vue alternative pour les requêtes ou les réponses, scanneur passif des réponses, scanneur actif produisant des requêtes, etc.

Plusieurs options seront données, par exemple :

Détection automatique de flag dans les sources
Scanneur actif asynchrone DNS
Ou votre propre idée

Pour chacune des suggestions, des squelettes de code seront fournis pour les APIs de ZAP. Pour les utilisateurs de BurpSuite, des directives analogues seront également données.

Niveau : débutant / intermédiaire

Matériel requis

Votre portable
[https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project OWASP ZAP (gratuit)]
[https://portswigger.net/burp/download.html BurpSuite]
Éditeur de code pour Java, Python ou Ruby

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Présentateur : Philippe Arteau

Philippe est un chercheur en cybersécurité chez GoSecure. Il est l'auteur de l'outil d'analyse statique Java "Find Security Bugs". Il a découvert des vulnérabilités importantes dans les logiciels populaires tels que Google Chrome, Dropbox, Paypal, RunKeeper et Jira. Il a présenté dans différentes conférences incluant Black Hat USA, Black Hat Europe, ATL Sec Con, NorthSec, Hackfest (QC) et JavaOne. Il a développé de nombreux plug-ins pour les outils de proxy BurpSuite et OWASP ZAP (Retire.js, Reissue Request Script, PDF preview et Image Metadata). Il a fait également des contributions à d'autres plug-ins comme J2eeScan.

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

==Logiciel de rançon (Ransomware) s'attaque au domaine de la santé==

[[Image:HackingHealth-2.jpg | Logiciel de rançon (Ransomware) s'attaque au domaine de la santé ]]

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health ]] [https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health See the slides / Voir la présentation]

(Conférence en anglais)
Pour le lancement de la saison 2016 - 2017, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de la santé une incursion dans le monde du logiciel malveillant ciblant le domaine de la santé. 
Cette conférence s'intége dans le Coopérathon co-organisé par le Mouvement Desjardins et Hacking Health. 
Le domaine de la santé serait devenu une cible privilégiée des campagnes de ransomware parce que l'industrie a souvent payé la rançon demandée pour récupérer les données confidentielles et vitales de ses clients. Monsieur Ed Gershfang nous brossera un portrait du phénomène et des meilleures pratiques à mettre en place en matière de sécurité applicative.
Ed Gershfang possède une expérience solide dans l'infrastructure informatique et plus de 6 ans d'expérience dans les domaines de la sécurité de l'information, de la vulnérabilité, de la gouvernance et de la gestion des risques. Il était directeur de la sécurité pour la société PeriGen, un chef de file de développement de logiciels médicaux en Israël.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative vue par un pentesteur ==

[[Image:Juin2016-OWASPMtl.jpg | OWASP Montréal reçoit Mario Contestabile, Pentester de renom ]]
 
From Left to Right : Isabelle Lusseyran, Head of Development at Hacking Health. Eduard Gershfang Information Security Analyst at WSP | Parsons Brinckerhoff.

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile ]] [https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile See the slides / Voir la présentation]
 
Pour clore la saison 2015 – 2016, OWASP Montréal est fier d’accueillir au Midi Conférence un des architectes de renom du développement applicatif au Canada, monsieur Mario Contestabile.
En tant qu’auteur de plusieurs centaines de tests d’intrusion, il connait tous les rouages de ce qu’est véritablement une application Web «sécurisée». Mais avez-vous déjà remarqué que les rapports de tests d’intrusion mentionnent rarement, voir jamais : «Votre site est très difficile à pirater. Félicitations !» ?
Et qu’en est-il de ces rapports qui contiennent des dizaines de soi-disant vulnérabilités ? Est-ce que cela signifie d’emblée que l’application devrait être mise hors ligne ?
 
Lors de cette conférence, nous examinerons des rapports concrets (ambigus) de vulnérabilités et nous les analyserons afin de mieux comprendre si elles représentent une véritable menace, ou si elles ne servent qu’à «remplir» les rapports.
 
Avec son expertise en protection et en attaque d’applications Web, il abordera les points suivants :
Comment pouvez-vous sélectionner des systèmes de façon à mieux exécuter des protections de sécurité ?
Éviter certains pièges dans votre application Web qui rendent les attaques plus faciles et la protection plus difficile.
De nos jours, que peuvent faire les développeurs à l’intérieur de systèmes communs, qui puisse me rendre la tâche plus ardue en tant que « hacker »?
Pouvons-nous exiger de meilleurs rapports de la part des firmes de sécurité?
À quoi devrions-nous nous attendre de la part d’un « pentesters »?
Comment pouvons-nous savoir si le « pentester » a vérifié les failles de l’application et qu’il n’a pas simplement utilisé un scanneur?
Et enfin, comment pouvons-nous aider les « ethical hackers » à obtenir un meilleur rendement lors d’un test d’intrusion?
Il expliquera le sujet en détails, et ensemble, nous verrons de quelles façons les développeurs d’applications peuvent exploiter le savoir-faire des « pentesters », et comment nous pouvons faire en sorte qu’une application Web soit protégée.
Biographie :
Mario Contestabile est reconnu comme l’un des experts en sécurité les plus réputés au Canada. Son expertise, construire et protéger votre plateforme applicative. Ancien développeur C++ et Java, Mario partage ses nombreuses connaissances en « ethical hacking » et en développement de codes sécurisé.
 
WHEN
Tuesday, 14 June 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Comment protéger les applications mobiles? ==

[[Image:Avril2016-OWASPMtl.png | Comment protéger les applications mobiles? ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles ]] [https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles See the slides / Voir la présentation]
 
Dans le cadre des Midis Conférence à l'Espace Desjardins, l'équipe OWASP Montréal vous invite à assister à une présentation sur les vulnérabilités les plus communes associées aux appareils mobiles.
Marie-Claire Willig détaillera entre autres comment stocker de façon sécuritaire les données de l’application mobile ainsi que protéger l’application contre des attaques externes. Des outils simples vous seront dévoilés pour détecter ces vulnérabilités.
Marie-Claire est une professionnelle d'expérience en sécurité appliquée.
Une grande partie de son intérêt professionnel réside actuellement dans un domaine assez niche, soit la revue de code sécuritaire, un fondement important de tout cycle de développement sécuritaire en entreprise.
Au sein de l'équipe de sécurité technologique Desjardins, elle est, en autre, responsable de former les développeurs (Java et .NET principalement) afin de les sensibiliser aux meilleures pratiques de développement sécuritaire.
Également, elle est une professionnelle des tests d'intrusion sur les applications web, les applications mobiles ainsi que l'infrastructure réseau.
Bienvenue à tous
 
WHEN
Wednesday, 20 April 2016 from 12:15 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ==

[[Image:Mars2016-OWASPMtl.jpg | NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/YQtvltQYs7Y]] [https://youtu.be/YQtvltQYs7Y Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
OWASP Montréal est fier d’inviter au Midi Conférence de mars, NorthSec est le plus gros événement de sécurité appliquée au Canada qui comprend deux jours de formation, deux jours de conférences ainsi qu’une compétition du genre « capture the flag » (CTF) de trois jours.
Gabriel Tremblay, Benoit Guerette, Pierre-David Oriol et Laurent Desaulniers viendront vous parler de cet organisme sans but lucratif dynamique qui est géré par une équipe de bénévoles passionnés qui donnent à chaque année leur énergie et leur temps pour soutenir la communauté de la sécurité de l’information.
Le volet compétition, l’épreuve maîtresse, est présentée sous forme d’un scénario qui rend cohérent une centaine de défis techniques. Les équipes de participants attaquent l’infrastructure de compétition pour soutirer des drapeaux (flags) à travers un ensemble de vulnérabilités présentes comme de l’injection SQL, des XSS ou encore l’exploitation d’exécutables sur systèmes embarqués. Quelques exemples de défis des années passées seront également présentés.
Le volet conférence, qui est à sa 2ème année, met de l’avant plusieurs présentations techniques touchant la sécurité applicative mais aussi l’éthique et leurs impacts sociaux. Certaines présentations confirmées seront dévoilés.
Le tout nouveau volet formation propose deux formations en sécurité applicative de calibre international (anglais) : “Advanced Web Security Testing with Burp Pro” et “Modern Object-Oriented Malware Reverse Engineering”.
Venez aussi, découvrir comment l'équipe est partie d'une idée en 2012 pour se rendre à un évènement d'envergure, qui rassemblera plus de 600 professionnels, étudiants et autres passionnés de sécurité appliquée lors de la 4ème édition qui aura lieu du 17 au 22 mai 2016 au Marché Bonsecours.
Finalement, la mission, la vision ainsi que les activités sociales de la semaine de NorthSec sont aussi au menu de cette présentation qui sera suivie d’une période de questions.

Gabriel Tremblay, Delve Labs, Président
Benoit Guerette, Desjardins, VP Finances

Pierre-David Oriol, Delve Labs, VP Conférence
Laurent Desaulniers, Bell Canada, Artisant de drapeaux
 
WHEN
Wednesday, 23 March 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative et l'hameçonnage - February 24th ==

[[Image:Fevrier2016-OWASPMtl.jpg | La sécurité applicative et l'hameçonnage ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/1RYlOiIENjQ]] [https://youtu.be/1RYlOiIENjQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 

De nos jours, une des méthodes les plus efficaces pour contourner les périmètres de sécurité externes est l'hameçonnage conjointement avec l’abus de certaines technologies Web.

Dans le cadre ses activités, OWASP Montréal est heureux d'inviter d'accueillir, l'équipe OKIOK qui présentera les impacts liés à ce type d'attaque, tel que vu et expérimenté en entreprise ainsi que les plans d'action pour traiter ces risques. La présentation abordera aussi bien la sécurité web et applicatives, des systèmes informatiques ainsi que de la sécurité physique de centres de données.

Capture d'informations sensibles par imitations de portails Web ;
Authentification Web par 2-facteurs ;
Injection SMTP dans des formulaires Web ;
Attaque de type “Drive-by-download”;
Prise de contrôle à distance à travers des flux HTTP;
Attaque de CSRF à partir de courriels ;
Attaque d'hameçonnage basée sur des achats par Internet (ex : PayPal).
 
When
Wednesday, 24 February 2016 from 12:00 PM to 1:15 PM (EST) - Add to Calendar
Where
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest Montreal, Quebec CA

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Internet of {Things, Threats} - January 20th ==

[[Image:Janvier2016-OWASPMtl-R.png | Internet of {Things, Threats} ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html ]] [http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html See the slides / Voir la présentation]
 
De plus en plus de périphériques se retrouvent connectés sur Internet. Sous la bannière "Internet of Things" (IoT) ces équipements, que ce soit une pompe à insuline ou un système de caméra de sécurité, tournent généralement sous un système GNU/Linux embarqué d'architecture MIPS ou ARM. La difficulté de mettre à jour ces équipements ainsi que le peu d'effort mis dans la sécurité des systèmes ou la sécurité applicative en font des cibles de choix. Ces derniers mois, nous avons analysé plusieurs logiciels malveillants ciblant ces architectures. Que ce soit par l'exploitation d'une vulnérabilité (Shellshock) ou encore un défaut de configuration, ces systèmes exposés sur Internet peuvent être compromis.

Notre présentation couvrira quelques une de ces analyses:

* Linux/Moose, un malware se propageant automatiquement qui fraude les réseaux sociaux (par exemple Facebook, Twitter et YouTube)
* LizardSquad et acteurs étrangers qui utilisent des systèmes embarqués compromis pour réaliser des dénis de service distribué (DDoS)
* Win32/RBrute est un logiciel malveillant qui tente de changer les paramètres de routeurs dans le but de faire du "DNS poisoning". Il a été distribué par le populaire botnet Sality.
* Un kit d'exploits qui utilise seulement le navigateur de leur victime avec le même objectif, c'est-à-dire faire du "DNS poisoning".

Enfin, des conseils seront proposés à l'audience pour l'aider à se protéger de ces menaces.

'''Thomas Dupuy''' (twitter: @nyx__o)

Thomas est chercheur en logiciel malveillant chez ESET Canada Recherche. Bon vivant, Thomas déjeune en "reversant" des binaires, contribue à quelques projets open source durant le diner (yara, yara rules, pefile, APTnotes) et la nuit participe à des "Hacking Games" (Capture The Flag). Curieux de nature Thomas analyse des malware aux architectures "exotiques".

'''Olivier Bilodeau''' (twitter: @obilodeau)

Olivier Bilodeau is the head of Cybersecurity Research at GoSecure a consultancy firm specializing in cybersecurity services for the public and private sector. With more than 10 years of infosec experience, Olivier worked on Unix servers at Bell Canada, managed a portion of Air Canada's network, wrote open source network access control software at Inverse and worked as a Malware Researcher at ESET. He likes to reverse engineer everything that crosses his path, participate in information security capture-the-flag competitions, hack open source code and brew beer. He has spoken at various conferences (Defcon, Botconf, VirusBulletin, Derbycon, ...), used to lecture on information security at ETS University in Montreal, drives the NorthSec Hacker Jeopardy and co-organizes the MontreHack capture-the-flag training initiative. His primary research interests include reverse-engineering tools, Linux and/or embedded malware and honeypots.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Survivre aux attaques DDOS applicatives ==

[[Image:Decembre2015-OWASPMtl.jpg | Survivre aux attaques DDOS applicatives ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
Survivre aux attaques DDOS (Distributed Denial-Of-Service) applicatives.
Cette conférence s'adresse aux professionnels et gestionnaires des TI.
Conférencier : Christian Shink, ing., CSSLP, ingénieur système chez Radware, manufacturier spécialisé dans la prévention des attaques DDOS. Il fut également consultant en sécurité applicative chez In Fidem.
Objectifs de la conférence:
Présenter les tendances actuelles en matière d'attaques DDOS applicatives.
Renseigner les participants sur les techniques et stratégies pour contrer ces attaques illustrées à partir de cas vécus.
Démystifier certains mythes en ce qui concernent les façons efficaces de protéger les applications contre des attaques DDOS.
Date : 16 décembre 2015
Heure : 11h45
La conférence débute à 12h00 et se termine à 12:55.
Un lunch sera servi.
Réservez maintenant!
1 CPE
 
WHEN
Wednesday, 16 December 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Sécurité des applications - Systèmes de contrôles industriels ==

[[Image:Novembre2015-OWASPMtl-R.png | Sécurité des applications - Systèmes de contrôles industriels ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/0eAZpyiQQ9A]] [https://youtu.be/0eAZpyiQQ9A Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

La sécurité des applications et les systèmes de contrôles industriels.
Cette conférence s'adresse aux professionnels et gestionnaires des TI desinfrastructures critiques qui exploitent ou gèrent des systèmes de contrôles industriels(SCI) et SCADA (surveillance et d'acquisition de données). 
Conférenciers : Robert Nastas, CSSA. Gestionnaire de projet et Youssef Jad, Architecte Cyber sécurité, ICS-CERT 
 
Objectifs de la conférence:
* Démystifier le domaine d'affaires.
* Renseigner les participants sur les bonnes pratiques de sécurité desapplications liées au secteur industriel.
* Proposer aux professionnels et gestionnaires des TI responsables dessystèmes SCADA et SCI des pistes de solutions aux enjeux de sécurité.
 
L'équipe OWASP Montréal vous remercie d'avoir assisté en grand nombre à la conférence, 'La sécurité des applications et les systèmes de contrôles industriels'.
 
WHEN
Wednesday, 18 November 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ==

[[Image:Septembre2015-OWASPMtl.jpg | Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert ]] [https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert See the slides / Voir la présentation]
 
Pour le lancement des activités corporatives de la saison 2015 - 2016, le 8 septembre prochain à 12:00, l'équipe OWASP Montréal convie les gestionnaires et artisants de la sécurité des TIC à venir entendre monsieur Éric Hébert qui nous présentera son interprétation des préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative. L'événement se tiendra au complexe Desjardins à la salle "Espace Desjardins".

''' ÉRIC G. HÉBERT, CISM, CISSP ''' 
Après plus de 20 ans passés dans le domaine de la sécurité des technologies de l’information, Éric se spécialise dans la mise en œuvre et la gestion d'équipes performantes, capables de relever les plus hauts défis de la cybersécurité moderne. 
Capable de dialoguer avec les hauts dirigeants, il sait traduire et vulgariser les enjeux techniques complexes tout en respectant la nature et l'appétence au risque de ses clients. Dynamique et pourvu d'une expérience couvrant presque toutes les sphères de la SI, il fonce dans le respect de la culture établie tout en implantant des solutions pragmatiques et efficaces. 
Depuis plus de 10 ans, il gravite principalement autour des entreprises du domaine financier (BNC, Desjardins, Fonds de solidarité FTQ...) et les accompagne dans la mise en place de solutions efficaces tenant compte à la fois des risques et des budgets.
En plus d’avoir fondé de nombreuses associations telles que le RéseauSécurIT et le RPSI, il maintient une présence régulière auprès des milieux associatifs professionnels et partage régulièrement ses expériences lors de conférences et d'entrevues avec divers médias.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

= Events / Évènements =

== Owasp Montreal at [https://nsec.io/ NorthSec 2017] ==

[[Image:NorthSec2017-5.jpg]]
[[Image:NorthSec2017-6.jpg]]

From Left to Right: Anne Gauthier, OWASP Montréal Chapter Leader (President) and Application Security Analyst at GoSecure, Hugo Genesse, OWASP Montréal Chapter Leader and Research Intern at PNF Software, Julien, OWASP Montréal Chapter Leader

== OWASP Montreal at [https://2017.appsec.eu/ AppSec] ==

[[Image:OWASPAppSecBelfast2017-7.jpg]]

OWASP Montreal and Ottawa Chapter Leaders at OWASP AppSec Belfast, UK #WomenInAppSec

== OWASP Montreal at [https://hackfest.ca/ HackFest 2016] ==

[[Image:Hackfest2016-r.jpg| HackFest |link=https://hackfest.ca/]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Louis Nadeau, OWASP Québec Chapter Leader and Manager, Product Security at Bentley Systems and Patrick Leclerc, OWASP Québec Chapter Leader and Information Security Advisor at La Capitale.

== OWASP Montreal at OWASP [https://2016.appsecusa.org/ AppSec USA 2016, Washington] ==
 
 
[[Image:OWASPMtl-AppSecUSA2016-Washington.jpg | OWASP Montreal at AppSec USA 2016, Washington]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016, Alexandre Hamelin President at Synlabs Consulting Inc., Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [https://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

== OWASP Montréal at [https://www.gosec.net GoSec] 2016 ==

[[Image:OWASP-GoSec2016-1r.jpg|OWASP Montreal at GoSec 2016]] [[Image:OWASP-GoSec2016-2r.jpg|OWASP Montreal at GoSec 2016]]
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Simon Lacasse, student and volunteer, and Laurent Desaulniers, Security Analyst at Bell Canada.

== OWASP Montréal at [https://www.nsec.io/ NorthSec] 2016 – Annual Applied Security Event ==

[[Image:Hackfest2016-OWASPMtl.jpg|OWASP Montreal at NorthSec 2016]]

@Photo : Simon Veilleux
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Olivier Arteau OWASP Montréal Chapter Leader and Conseiller chez Groupe Technologie Desjardins, Hugo Genesse, OWASP Montréal Chapter Leader and Vulnerability Research Intern at Wurldtech Security Technologies.

== OWASP Montréal at [https://hackfest.ca/en/ Hackfest] 2015 ==

[[Image:Hackfest2015-OWASPMtl-R.JPG | OWASP Montreal at Hackfest 2015]]

@Photo : Hackfest
 
 
From left to right : Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [http://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

[[Image:Video-link.png | Link to video | link=https://youtu.be/8U0qkEuUFy8]] [https://youtu.be/8U0qkEuUFy8 Watch the video / Regarder la vidéo]

== OWASP Montréal at [https://www.gosec.net/ GoSec] 2015 – The Annual Cybersecurity Conference presented by GoSecure, EY and ISACA. ==

[[Image:GoSec2015-OWASPMtl.jpg|OWASP Montreal at GoSec 2015]]

@Photo : Marius Popescu
 
 
From left to right : Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016. Benoît Guérette, Application Security Team Leader at Desjardins, VP Finance at NorthSec and OWASP Montreal Chapter Founder and Former Chapter Leader.

== See also / Voir aussi ==

OWASP Montréal recommends Montréhack. Learn and share knowledge on IT security by solving technical challenges. Third Monday of every month.

OWASP Montréal recommende Montréhack. Apprends et partages des connaissances sur la sécurité informatique en travaillant des problèmes appliqués. Chaque troisième lundi du mois.

[[File:Montrehack.png|Montréhack|link=http://montrehack.ca/|alt=Montréhack]]

= Archives 2007-2015 =
{{:Montreal chapter past meetings}}

== OWASP Montreal - February 3rd - Getting to Know the Software Assurance Marketplace (SWAMP) ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/p4_vjufcB6Q]] [https://youtu.be/p4_vjufcB6Q Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer]] [https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Pat Beyer
*'''ADDITIONAL PRESENTER:''' Abe Megahed
*'''ABSTRACT:''' The Software Assurance Marketplace (SWAMP) is an open facility that is designed, built, and operated by four research institutions. The SWAMP provides no-cost access to an array of open-source and commercial software analysis tools. This presentation will provide an overview and demo of the SWAMP, including our goals, intended audience, current capabilities, and future plans. We will cover our relationship with OWASP, incorporation of open-source software assurance tools, and status as an open-source project and resource available to the software community. Visit https://continuousassurance.org/ to learn more about us.
*'''BIO:''' Pat Beyer serves as the Product Manager for the Software Assurance Marketplace (SWAMP). With over 25 years of experience successfully managing multi-million dollar global projects, Beyer’s expertise extends to the IT, construction, and operations sectors, with a specialization in managing government contracts and grants. A gifted communicator, Beyer is a sought after speaker due to his ability to deliver complex information about technology products and services in a way that is easily understood. He is a decorated combat veteran of the Global War on Terror, the international military campaign that started following the 9/11 terrorist attacks on the United States. In 2004, he constructed and rehabilitated over 20 schools, clinics, and water treatment plants for the Iraqi people using local contractors. Beyer also holds a Bachelor of Science, a Masters in Business Administration, a Ph.D. in Organization and Management, and a Project Management Professional (PMP) certification.
*'''BIO:''' Abe Megahed is a web developer for the Software Assurance Marketplace. In previous lifetimes, he has been a computer graphics researcher, a game programmer, a programming language and compiler nerd, a dot com company founder, a creator of helicopter simulations, and a developer of 3D simulations for NASA astronaut crew training.
*'''WHEN:''' Tuesday, February 3rd 2015
*'''WHERE:''' Room PK-1140 - UQAM Pavillon Président-Kennedy, 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' https://owaspmtlswamp2015.eventbrite.ca
*'''WEBCAST:''' https://www.youtube.com/watch?v=p4_vjufcB6Q
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer

*'''ACADEMIC PARTNER:''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session: Getting to Know the Software Assurance Marketplace
20:00-... End of the meeting

[[Image:SWAMP-Logo-Final-Med.png|300px|link=https://continuousassurance.org/]]
[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

== OWASP Montréal - 4 décembre - Malware côté serveur — évolution, méthodes d’opération et forensic Linux ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/lo8WDl-WQ3E]] [https://youtu.be/lo8WDl-WQ3E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille]] [https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Marc-Etienne M.Léveillé
*'''RÉSUMÉ:''' Les logiciels malveillants ciblant les serveurs ont évolué. Ils sont utilisés par des groupes de cybercriminels organisés dans le but de faire du profit via des redirections web et l’envoie de pourriels. La présentation portera sur Opération Windigo, une opération malveillante qui a affecté plus de 25 000 serveurs dans le monde. Après une brève description des composantes de Windigo, nous verrons comment les opérateurs déploient leurs logiciels malveillants et surveille leur réseau de serveurs infectés. Des trucs pratiques pour faire de la forensics sur des systèmes Linux seront donnés. Cette présentation est une suite à la présentation "Linux/Cdorked: Server side malware", donnée par Olivier Bilodeau à OWASP Montréal en 2013. La présentation sera en français avec des diapositives en anglais (aka Montreal-style).
*'''BIO:''' Marc-Etienne est un chercheur en logiciel malveillant chez ESET depuis 2012. Il se spécialise dans les logiciels malveillants qui s’attaquent à des plateformes inhabituelles comme aux produits fruités et aux oiseaux nordiques. Dernièrement, il passe beaucoup de son temps à faire la rétro-ingénierie de logiciels malveillants sur des serveurs Linux et s’intéresse à leurs méthodes d’opération. Il adore participer de façon collégiale aux CTFs avec ses amis les CISSP Groupies et jouer de la clarinette. Il tweet très peu à @marc_etienne_.
*'''QUAND:''' 4 décembre 2014 à 18h00
*'''OÙ:''' Local M-1510, Polytechnique Montréal, 2900 Boulevard Edouard-Montpetit
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-4-decembre-malware-cote-serveur-evolution-methodes-doperation-et-forensic-linux-tickets-14635313617
*'''ÉQUIPE ACADÉMIQUE:''' Polyhack - http://polyhack.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Malware côté serveur
19:30-20:00 Période de questions

[[Image:Polyhacklogonoirpetit.png|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]

== OWASP Montréal - October 23rd - XXE : À l’assaut des analyseurs XML ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/MZviLB9-42E]] [https://youtu.be/MZviLB9-42E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau]] [https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Philippe Arteau
*'''RÉSUMÉ:''' L'utilisation d’XML est fortement répandue. Le format est utilisé pour des fichiers de configuration, pour des métadonnées, pour des documents textes, et bien plus. La prise en charge de fichiers XML n’est pas sans risque. La plupart des analyseurs XML ne sont pas sécuritaires par défaut pour le traitement de fichier externe. Cette présentation fera un survol des vulnérabilités de type « Xml eXternal Entity » et de l’étendue des risques pour différents langages de programmation. Plusieurs démonstrations sont prévues.
*'''BIO:''' Philippe est conseiller en sécurité applicative pour le Groupe Technologies Desjardins. Au quotidien, il s’occupe d’effectuer des tests d’intrusions et des revues de code. Il a découvert des vulnérabilités importantes dans plusieurs logiciels populaires incluant Google Chrome, DropBox, ESAPI et Jira.
*'''QUAND:''' 23 Octobre 2014 à 18h00
*'''OÙ:''' École de Technologie Supérieure Local A-3230, 1100 Rue Notre-Dame Ouest, Montréal, QC H3C 1K3
*'''INSCRIPTION:''' http://www.eventbrite.ca/e/owasp-montreal-23-octobre-xxe-a-lassaut-des-analyseurs-xml-tickets-13426881163
*'''PARTENAIRE ACADÉMIQUE:''' ETS - DCI http://dciets.com/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:45 Mot de bienvenue
18:45-19:45 Présentation principale - "À l’assaut des analyseurs XML" Philippe Arteau
19:45-20:00 Période de questions

[[Image:Blason_dci.png‎‎‎|150px|link=http://dciets.com/]]
[[Image:ETS-rouge-devise-impr-fond_transparent.png|150px|link=http://www.etsmtl.ca/]]

== OWASP Montreal - July 24th - Web security for DevOps: the glory is in the headers ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/6bp1NCLT-YQ]] [https://youtu.be/6bp1NCLT-YQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil]] [https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Jonathan Marcil
*'''ABSTRACT:''' DevOps is a buzzword which can be easily demystified: in essence it is a process which aims to combine the development and system administration process into one; Operations. As developers become responsible for server setup, security counter measures are evolving as well. The line between server configuration and application behaviour has been blurred. In this talk we will cover some HTTP headers in regards to security such as CORS, CSP and HSTS. We will demonstrate several forms of attack, and how they can (should) be countered.
*'''BIO:''' Jonathan is devoted to security and specialized in Web application security. His main occupation is consulting in Web security, but deep down he is a developer with a agnostic vision of programming languages. He has a diploma in Software Engineering from Ecole de Technologie Superieure and more than 10 years of experience in Information Technology and Security.
*'''WHEN:''' At noon on July 24th 2014
*'''WHERE:''' 75 Queen Street, office 3100, Montreal, QC H3C 2N6
*'''REGISTRATION:''' You can join us on site for a pizza slice but this is mainly an online event. Contact jonathan.marcil@owasp.org.
*'''WEBCAST:''' https://www.youtube.com/watch?v=6bp1NCLT-YQ
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil
*'''EVENT SPONSOR:''' Pheromone http://www.pheromone.ca/
*'''PROGRAM:'''

12:00-12:10 Welcome and quick OWASP introduction
12:10-13:10 Main presentation - "Web security for DevOps: the glory is in the headers" Jonathan Marcil
13:10-... Open discussion and questions

[[Image:Logo-phero.gif‎|link=http://www.pheromone.ca/]]

== OWASP Montreal - June 18th - Gaps in the Clouds ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz]] [https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Robert Fritz
*'''ABSTRACT:''' Cloud technology offers agility and scaling, and a chance to break away from legacy IT choices. Unfortunately, skipping traditional IT activities often results in poorly patched systems, out of date firewalls, and overprovisioned entitlements wielded by admins whose “day job” is development. Boundaries of accountability and responsibility amongst cloud providers and consumers are confusing, vague, and shift, making security difficult to manage. In such an environment, a “BP-spill” event, where cost wins over safely safety, is likely. This talk will dive down into the cracks between the layers of cloud, and share some of the exciting dirt we have seen and expect to see in coming years.”
*'''BIO:''' Robert Fritz has been practicing security his entire career. Rob started as an Air Force lieutenant at Langley AFB and later at the Pentagon in Washington DC, building and managing classified networks. Finding he was getting too far from technology after a brief stint flying, he left the military to get back to the tech, and built security tools for HP in their HP-Unix lab. Over time he found himself in more and more security design discussions, so co-authored HP’s Commercial Application Threat Analysis Methodology, building an internal consulting practice at HP. This quantitative approach, led to two pending patents, an external-facing consulting practice, and his contributions to NIST IR-7502, the Common Configuration Scoring System (CVSS follow-on). He is the former lead editor for the Center for Internet Security’s HP-UX Benchmark, and current lead for the Android Benchmark. Robert now works for Morgan Stanley as global head of the Strategic Consulting team in the Security Architecture group, and leads the team’s cloud and social-media security practices.
*'''WHEN:''' June 18th 2014
*'''WHERE:''' 700 Rue Wellington, Floor 2, Montreal, QC H3C 3S4
*'''REGISTRATION:''' http://owaspmtl18junems.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz
*'''EVENT SPONSOR:''' Morgan Stanley http://www.morganstanley.com/
*'''PROGRAM:'''

18:00-18:30 Networking and Morgan Stanley Hosted Pizza and Soft Drinks
18:30-18:45 OWASP Chapter & Morgan Stanley Welcome
18:45-19:45 Main presentation - "Gaps in the Clouds" Robert Fritz
19:45-20:00 Open discussion and questions
20:00-... Optional, informal networking at Aziatic - 626 rue Marguerite-d'Youville, Montréal, QC H3C 1W7

[[Image:Morgan_Stanley_Historical_Logo.png|link=http://www.morganstanley.com/]]

== OWASP Montréal - May 26th - Récapitulatif des challenges NorthSec ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/P8_V3RI1Ru4]] [https://youtu.be/P8_V3RI1Ru4 Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''PRÉSENTATEUR PRINCIPAL:''' Laurent Desaulniers
*'''RÉSUMÉ:''' Solutions de la compétition en sécurité NorthSec 2014 sur les sujets de XXE + SSRF, WAF Bypass, Xpath Injection, DOM Injection, HTTP Only Flag bypass et contournement de captchas. Une bonne façon d'apprendre sur ces failles que vous étiez ou non un participant de la compétition.
*'''MESSAGE DU PRÉSENTATEUR:''' Vous voyez Rao dans votre soupe? Vous voulez une solution pour un XSS avec des cookies http only? Les captchas illisibles sont un problème? Assistez à la présentation de l'OWASP!
*'''BIO:''' Laurent Desaulniers est un passionné de sécurité informatique. Il a présenté au Hackfest, au colloque RSI, à OWASP et est challenge designer à NorthSec. M. Desaulniers détient les certifications CISSP, CISM, CISA et OSCP.
*'''QUAND:''' 26 mai à 18h00
*'''OÙ:''' Local PK-1140 - Pavillon Président-Kennedy 201, Avenue du Président-Kennedy, J2X 3Y7
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-26-mai-recapitulatif-des-challenges-northsec-tickets-11724413035
*'''WEBCAST:''' https://www.youtube.com/watch?v=P8_V3RI1Ru4
*'''ÉQUIPE ACADÉMIQUE''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Récapitulatif des challenges NorthSec
19:30-20:00 Période de questions

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== Networking with infosec communities - April 21st ==

[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''RÉSUMÉ:''' En collaboration avec Montréhack, mtlsec et NorthSec, nous organisons une soirée réseautage dans un pub du centre-ville. Du plaisir garanti avec les membres de plusieurs communautés infosec de Montréal!

*'''ABSTRACT:''' In collaboration with Montréhack, mtlsec and NorthSec, we are organizing a networking evening in a pub downtown. Fun guaranteed with the other security communities in Montreal!

*'''QUAND:''' 21 Avril 2014
*'''WHEN:''' April 21st 2014

*'''OÙ/WHERE:''' BENELUX - Brasserie Artisanale 245 Sherbrooke St W Montreal, QC H2X 1X7

*'''INSCRIPTION/REGISTRATION:''' https://www.eventbrite.ca/e/montrehack-avril-april-northsec-pre-party-tickets-11232307133

*'''PARTENAIRES/PARTNERS:''' Montréhack http://montrehack.ca/ - mtlsec http://blog.mtlsec.com/ - NorthSec https://www.nsec.io/
*'''PROGRAMME:'''
18:00-21:00 Networking
21:00-23:59 Remember to drink responsibly!

== OWASP Montréal - March 27th - Panel Compétition en sécurité NorthSec ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

'''Présentation sous forme de panel - venez poser vos questions!'''

*'''RÉSUMÉ:''' Les compétitions de type Capture the Flag (CTF) sont un moyen pour les professionnels et amateurs de sécurité informatique de mettre leurs talents à l'épreuve. NorthSec est une compétition Montréalaise annuelle en sécurité appliquée, qui aura lieu cette année au Marché Bonsecours de Montréal le 25, 26 et 27 avril prochain. Elle vise à augmenter le niveau technique des professionnels de la sécurité au Québec, ainsi que de permettre à ses acteurs les plus talentueux de se démarquer.
*'''DÉTAILS:''' Le panel de jeudi, sous la forme d'un échange convivial entre les organisateurs de l'évènement et de ses participants, abordera des thèmes variés comme l'écriture de bon défis, l'infrastructure, la logistique, les inattendus, un bilan de 2013 et tout ça en passant par de savoureuses annecdotes (on l'espère). Venez en grand nombre toucher à ces légendes de la scène infosec montréalaise!
*'''PANÉLISTES:''' Gabriel Tremblay, François Proulx, Laurent Desaulniers, Stéphane Graber
*'''ANIMATEUR:''' Olivier Bilodeau
*'''QUAND:''' 27 mars 2014
*'''OÙ:''' Salle M-1510, École Polytechnique de Montréal, 2500 chemin de Polytechnique, Montréal (Québec) H3T 1J4, pavillon Lassonde
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-27-mars-panel-competition-en-securite-northsec-tickets-10918436337
*'''ÉQUIPE ACADÉMIQUE:''' Polytechnique - Polyhack http://polyhack.org/
*'''PROGRAMME:'''
18:00-18:25 Networking
18:25-18:30 Mot de bienvenue par le leader du chapitre (Jonathan Marcil)
18:30-20:00 Présentation principale : Panel NorthSsec

[[Image:Polyhack.png‎‎|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== OWASP Montreal - February 25th - Proven Strategies for Web Application Security ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane]] [https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Justin C. Klein Keane
*'''ABSTRACT:''' The rising dominance of the web as an application delivery platform has focused attacker attention squarely on the security of dynamic web applications. Application security is a complex, and shifting, field. Learn about tested and successful techniques to build safer applications, find flaws before they become vulnerabilities, and deploy applications that can detect, and resist attack.
*'''BIO:''' Justin C. Klein Keane is a security engineer and chapter leaders of OWASP in Philadelphia. For over a decade Justin has worked as a trainer, coder, and exploit developer. Justin is currently writing a book for NoStarch Press on hacking, speaks regularly at conferences, holds a masters degree in information technology from the University of Pennsylvania and is credited with hundreds of application vulnerability discoveries.
*'''WHEN:''' February 25th 2014
*'''WHERE:''' Ecole de technologie superieure, 1100 Notre-Dame Street West, Montreal, Room: A-1150
*'''REGISTRATION:''' http://owaspmtljan2014.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane
*'''ACADEMIC PARTNER:''' ETS - DCI http://dciets.com/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session and open discussion: Proven Strategies for Web Application Security
20:00-... End of the meeting in a pub

[[Image:Dciets.png‎‎‎|100px|link=http://dciets.com/]]
[[Image:Logo_ets.png|link=http://www.etsmtl.ca/]]

== OWASP Montreal - January 28th - Latest trends in Mobile Security ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/8qPyKj4FKgY]] [https://youtu.be/8qPyKj4FKgY Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx]] [https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Francois Proulx
*'''ABSTRACT:''' Last AppSecUSA 2013 had a great line up of talks, especially regarding mobile applications. This session will be covering all the hottest presentations about mobile security by doing an overview from what see saw at AppSecUSA, all with some slides and snippets of presentations that was recorded at the event. Discussion will be encouraged within the audience as this will be more a dynamic event than a regular talk.
*'''BIO:''' François Proulx is a senior mobile application developer who has worked on dozens of iOS applications since the very beginning of the Apple iOS platform. Over the past few years he has switched his focus to security. He spends a lot of his free time participating in Capture the Flag events (CTFs) and organizing the NorthSec security competition.
*'''WHEN:''' January 28th 2014
*'''WHERE:''' UQAM Room PK-1705, Pavillon Président-Kennedy (the big boat at Place des Arts) - 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' http://owaspmtl-mobilesecurity.eventbrite.ca
*'''SLIDES/CONTENT:''' [http://www.youtube.com/playlist?list=PLQtB2ug5xmvaQ9jeRWV53-F_T555GQfhW YouTube playlist]
*'''SPONSOR:''' Academic partner AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan M.)
18:30-20:00 Main session and open discussion: Mobile Security
20:00-... End of the meeting in a pub

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

==== Presentations For Download ====

[http://www.owasp.org/images/0/0d/20100209mstechdaysowaspasvssgiv01-12657916463819-phpapp02.ppt OWASP ASVS] by Sebastien Gioria (09/03/2010)

[http://www.ph-il.ca/slides/afup__authetification_forte.pdf Authentification Forte] by Philippe Gamache (02/02/2010)

[http://www.opensamm.org/downloads/OpenSAMM-1.0.ppt Software Assurance Maturity Model (OpenSAMM)] by Pravir Chandra (03/11/2009)

[http://www.owasp.org/images/d/de/Owasp-montreal-sept-17h-2009-justin-foster.pdf Crossing the Border – Javascript Exploits] by Justin Foster (17/09/2009)

[http://www.owasp.org/images/c/c2/ALaughRIAt.pdf A Laugh RIAt] by Rafal Los (07/04/2009)

[https://www.owasp.org/images/e/eb/OWASP-Montreal-24022009-RobLabbe.pptx Microsoft Security Development Lifecycle for IT] by Rob Labbe (24/02/2009)

[https://www.owasp.org/images/3/39/OWASP-Montreal-24022009-EN.pdf OWASP Goal and Top Ten 2007 for Managers - French version] by Benoit Guerette (24/02/2009)

Newer presentations are available on [https://speakerdeck.com/owaspmontreal Speaker Deck]

[[Image:Circle_owasp_logo_nowhitebackground.png|200px]]

= OWASP Foundation / Mission OWASP =
OWASP Foundation ([https://docs.google.com/a/owasp.org/presentation/d/10wi1EWFCPZwCpkB6qZaBNN8mR2XfQs8sLxcj9SCsP6c/edit?usp=sharing Overview Slides]) is a professional association of [[Membership | global members]] and is open to anyone interested in learning more about software security. Local chapters are run independently and guided by the [[Chapter_Leader_Handbook]]. As a [[About_OWASP | 501(c)(3)]] non-profit professional association your support and sponsorship of any meeting venue and/or refreshments is tax-deductible. Financial contributions should only be made online using the authorized online chapter donation button. To be a SPEAKER at ANY OWASP Chapter in the world simply review the [[Speaker_Agreement | speaker agreement]] and then contact the local chapter leader with details of what OWASP PROJECT, independent research or related software security topic you would like to present on.

La fondation OWASP est une [https://www.owasp.org/index.php/Membership association de professionnels] et elle est ouverte à tout intervenant intéressé à en apprendre davantage sur la sécurité applicative. Les chapitres locaux (dont celui de Montréal) sont gérés de façon indépendante et selon un [https://www.owasp.org/index.php/Chapter_Leader_Handbook manuel de directives à respecter].
Toute contribution financière au chapitre peut être faite en ligne en utilisant l’icône prévu à cet effet. Pour être conférencier au sein de n’importe quel chapitre à l’échelle mondiale, vous n’avez qu’à prendre connaissance du document [https://www.owasp.org/index.php/Speaker_Agreement "entente avec les conférenciers – speaker agreement"] et à joindre le responsable du chapitre Montréal avec un descriptif du sujet que vous aimeriez aborder et s’il est relié à un projet OWASP, à de la recherche indépendante ou encore le sujet en particulier, concernant la sécurité applicative, que vous souhaitez aborder.

== [[Image:Circle_owasp_logo_nowhitebackground.png|128px]] Montreal OWASP Team ==

Scope of the team is to discuss and plan local activities and meetings

=== Chapter Leaders ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique

==== Chapter leader history ====
*2008-2010 - Benoit Guerette, founder and chapter leader
*2011-2012 - Philippe Gamache, chapter leader (vice chapter-leader since 2010)
*2013-2015 - Jonathan Marcil, chapter leader
*2016-... - Anne Gauthier, Michel Bourque, Marius Popescu, Hugo Genesse, Olivier Arteau

==== Old board members ====
*Philippe Pépos Petitclerc
*Michael Robillard
*Benoit Guerette (logistics 2015)
*Alexandre Rimthong
*Mathieu Binette
*Sean Coates
*Jean-Marc Robert
*Philippe Blondin
*Benoit Guerette (founder)
*Laurent Desaulniers
 

<headertabs></headertabs>
__NOTOC__
[[Category:Canada]]

Montréal

2018-06-17T20:25:09Z

Svieg: add two conferences

== Welcome & Bienvenue to the OWASP Montréal chapter ==
 
[[Image:OWASP-Montreal-Logo.png|Logo OWASP Montréal]]

The OWASP Foundation was established in 2001 as an open community and software security resource. Since then, OWASP has grown to be globally recognized as a credible source for application security standards. 
OWASP is an open community dedicated to enabling organizations to conceive, develop, acquire, operate, and maintain applications that can be trusted. All of the OWASP tools, documents, forums, and chapters are free and open to anyone interested in improving application security. We advocate approaching application security as a people, process, and technology problem because the most effective approaches to application security include improvements in all of these areas. 
OWASP is open to anyone. Anyone can attend OWASP's vendor agnostic local chapter meetings, participate in regional and global conferences, and contribute to the many OWASP projects. And anyone can start a new project, form a new chapter, or lend their expertise to help an OWASP Global Committee. 
On parle français aussi ! Le chapitre de Montréal organise plusieurs activités gratuites afin de partager les connaissances en sécurité applicative avec la communauté de développeurs et gestionnaires. Suivez-nous sur les réseaux sociaux pour connaître les dates des conférences du midi et des workshops ! 

Top documentation from OWASP includes:

* [https://www.owasp.org/index.php/Top_10_2013-Top_10 OWASP TOP 10 : The Ten Most Critical Web Application Security Risks]

* [https://www.owasp.org/images/3/33/OWASP_Application_Security_Verification_Standard_3.0.1.pdf OWASP ASVS : Application Security Verification Standard]

* [https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf OWASP Testing Guide : Penetration Testing Framework]

* [https://www.owasp.org/images/7/78/OWASP_AlphaRelease_CodeReviewGuide2.0.pdf OWASP Code Review Guide : Source Code Analysis Framework]

* [https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series OWASP Cheat Sheet : Best practices guidelines for developers]

* [https://www.owasp.org OWASP Global]

=== Chapter Leaders / Responsables du chapitre ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique
 
 Volunteers / Volontaires OWASP Montréal: 
* Simon Lacasse, Web content / Site internet
* Julien Touche, Logistique
* Jean-François Gill

== Reach our chapter / Joindre le chapitre ==

Follow OWASP's Montreal chapter's activities through social medias, register to events, watch the previous presentations and more!

Suivez les activités du chapitre OWASP Montréal via les réseaux sociaux, inscrivez-vous aux activités, visualisez les anciennes présentations et plus encore!

 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Click here] to join the local chapter mailing list.
 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Inscrivez-vous ici] à la liste de courriels du chapitre afin de recevoir les dernières nouvelles!

Want to be part of the community ?
Devenez membre de notre communauté !
[https://www.owasp.org/index.php/Membership_Map Click here / Cliquer ici]

[[Image:Eb_press_little.gif‎|OWASP Montreal Eventbrite|link=http://owaspmontreal.eventbrite.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Yt-brand-standard-logo-630px.png‎|128px|YouTube OWASP Montreal Channel|link=http://www.youtube.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Speakerdecklogo.png‎|Slides of OWASP Montreal on SpeakerDeck |link=https://speakerdeck.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]

 
[[Image:Twitter-bird-cropped-onwhite.png|@owaspmontreal on Twitter|link=https://twitter.com/owaspmontreal]]
[[Image:FacebookSquareLogo.png|OWASP Montreal Facebook page|link=https://www.facebook.com/owasp.montreal]]
[[Image:LinkedinSquareLogo.png|OWASP Montreal on LinkedIn|link=https://www.linkedin.com/groups/1379007/profile]]

[[Image:Spacer-horiz.gif‎]]

== What we do / Nos activités ==

OWASP Montreal is a really active chapter. We organize monthly conferences and workshops. All our events are free and meant to improve the knowledge and awareness of the community's developers, managers and computer security specialists. To be aware of the next event and for additional information, follow us on social medias. 

OWASP Montréal est un des chapitres les plus actifs. Nous organisons mensuellement des ateliers et conférences. Tous nos événements sont gratuits et ont pour but d'améliorer les connaissances de la communauté. Ils s'adressent donc autant aux gestionnaires qu'aux développeurs et aux spécialistes en sécurité informatique. Pour plus d'informations sur nos activités et pour être au courant des prochaines dates d'événement, suivez nous sur les réseaux sociaux. 

We also contribute to the vast OWASP knowledge base / Nous contribuons aussi aux ressources d'OWASP

We list here the projects that were started by our members under OWASP's banner. 
Nous listons ici les projets commencé par nos membres sous la banière d'OWASP. 

* [https://www.owasp.org/index.php/Vulnerability_Disclosure_Cheat_Sheet Vulnerability Disclosure Cheat Sheet]

== Sponsorship & Membership / Commandite & Adhésion ==

[[Image:Btn_donate_SM.gif|link=http://www.regonline.com/donation_1044369]] to this chapter or become a local chapter supporter.

Or consider the value of [[Membership | Individual, Corporate, or Academic Supporter membership]]. Ready to become a member? [[Image:Join_Now_BlueIcon.JPG|75px|link=https://myowasp.force.com/]]

[http://www.regonline.com/donation_1044369 Donnez] au chapitre ou devenez commanditaire du chapitre local!

[https://myowasp.force.com/ Devenez membre !] Pour en savoir davantage sur les avantages d’une adhésion individuelle, corporative ou en tant qu’institution d’enseignement, [https://www.owasp.org/index.php/Membership cliquez ici].

[[Category:OWASP Chapter]]

== Chapter Supporters / Commanditaires du chapitre ==

[https://www.owasp.org/images/9/91/OWASP_Membership_Flyer_Montreal.png All details available here / Pour tous les détails] [[File:Chapter-supporter-owasp-montreal.png|200px|link=]]

=== Platinum / Platine ===

[[Image:Gosecure-2.png|GoSecure|link=http://www.gosecure.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[File:Desjardins2-400x400.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 
 

=== Gold / Or ===

[[Image:PM_SCADA_Logo_Gris_Cybersecurite_FR.png|PM SCADA|link=http://pmscada.ca/en/]]

 
 
 

= Lunch & Learn / Workshops 2018 =

== SecurityRAT - Handling of Security Requirements in SDLC ==

 
WHEN
Fri, 1 June 2018
WHERE
Espace Desjardins

OWASP dans le cadre des Midis conférence est heureux d'accueillir Daniel Kefer et Rene Reuter. Tous les deux viennent d'Allemagne et seront de passage à Montréal.<.br>

Nos conférenciers viendront présenter SecurityRAT, un projet OWASP pour gérer les requis de sécurité pendant le cycle de vie des dévelopements applicatifs (SDLC).
 
Biographie : 
Daniel Kefer travaille en sécurité depuis 2007 et a commencé en tant que pentester. Il travaille depuis 2011 chez 1&1 où il mène l'équipe AppSec interne.

René Reuter est ingénieur sécurité depuis 6 ans. Il travaille chez Robert Bosch GmbH en tant que consultant en charge d'identifier les vulnérabilités et problèmes de conception dans les applications internes.
 

== Insecurity in Information Technology ==
 
WHEN
Fri, 1 June 2018
WHERE
Marché Bonsecours, salle 1847

OWASP dans le cadre des Midis conférence est heureux d'accueillir Greg Castle. 

A lot is expected of software developers these days; they are expected to be experts in everything despite very little training. Throw in the IT security team (often with little-to-no knowledge of how to build software) telling developers what to do and how to do it, and the situation becomes strained. This silo-filled, tension-laced situation, coupled with short deadlines and pressure from management, often leads to stress, anxiety and less-than-ideal reactions from developers and security people alike.
This talk will explain how job insecurities can be brought out by IT leadership decisions, and how this can lead to real-life vulnerabilities in software. This is not a talk about “feelings”, this is a talk about creating programs, governance and policies that ensure security throughout the entire SDLC.

No more laying blame and pointing fingers, it’s time to put our egos aside and focus on building high-quality software that is secure. The cause and effect of insecurities and other behavioral influencers, as well as several detailed and specific solutions will be presented that can be implemented at your own place of work, immediately. No more ambiguity or uncertainty from now on, only crystal-clear expectations.
 
Biographie : 
Tanya Janca is a senior cloud advocate for Microsoft, specializing in application security; evangelizing software security and advocating for developers through public speaking, her open source project OWASP DevSlop, and various forms of teaching via workshops, blogs and community events. As an ethical hacker, OWASP Project and Chapter Leader, software developer, effective altruist and professional computer geek of 20+ years, she is a person who is truly fascinated by the ‘science’ of computer science.
 

== Shipping in Pirate-Infested Waters: Practical Attack and Defense in Kubernetes ==

[[Image:Owasp-avril-2018.JPG ]]
[[Image:Owasp-avril-2018-2.JPG ]]
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/ohTq0no0ZVU ]] [https://youtu.be/ohTq0no0ZVU Watch the conference / Regarder la conférence] 
WHEN
April 30 2018
WHERE
Espace Desjardins

OWASP dans le cadre des Midis conférence est heureux d'accueillir Greg Castle. 

L'événement contiendra une diffusion de "Shipping in Pirate-Infested Waters: Practical Attack and Defense in Kubernetes" présenté à Kubecon 2017, suivi de 20 min de questions/réponses avec Greg par vidéoconférence.
 
Biographie : 
Greg est Tech Lead pour l'équipe sécurité Kubernetes et Google Container Engine chez Google. Avant GKE, Greg a travaillé dans l'équipe de réponse aux incidents de sécurité de Google, dévelopant des outils opensource d'investigations et à l'amélioration de la sécurité de Macos. Avant google, il a occupé de nombreuses positions incluant pentester, incident responder et analyste forensics.
 

== Operate PCI DSS infrastructure using DevOps approach ==

[[Image:Owasp-montreal-pci-dss-r.jpg ]]
[[Image:Owasp-montreal-pci-dss-2-r.jpg ]]
 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/owasp-operate-pcidss-infrastructure-using-devops-approch-dot-pptx-1]] [https://speakerdeck.com/owaspmontreal/owasp-operate-pcidss-infrastructure-using-devops-approch-dot-pptx-1 See the slides / Voir la présentation] 
WHEN
March 5 2018
WHERE
Espace Desjardins

OWASP dans le cadre des Midis conférence est heureux d'accueillir, M. Gaëtan Trivino. 

Notre conférencier viendra présenter l'influence de la culture devops sur les opérations d'un hébergeur international en particulier pour supporter les réglementations comme PCI DSS.
 
Biographie : 
Gaëtan est DevOps technical leader orienté cloud et automatisation réseau. Il a traversé l'Atlantique avec sa famille pour explorer de nouvelles culture de travail et se lance dans la recherche du meilleur sirop d'érable!
 

= Lunch & Learn / Workshops 2015-2017 =

== Pourquoi un hacker peut-il contourner les mesures et solutions de sécurité... ==

[[Image:Hamilton-septembre-2017-1.JPG ]]
[[Image:Hamilton-septembre-2017-2.JPG ]]
 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/endpoint-bypass-charles-hamilton]] [https://speakerdeck.com/owaspmontreal/endpoint-bypass-charles-hamilton See the slides / Voir la présentation] 
WHEN
September 18th 2017
WHERE
Espace Desjardins

OWASP dans le cadre des Midis conférence est heureux de lancer la saison 2017-2018 en accueillant, M. Charles F. Hamilton.
 
Notre conférencier viendra brosser un tableau des différents éléments qui expliquent pourquoi les mesures et les solutions de sécurité en générales qui ont la fonction de protéger les données, les applications, les réseaux ou les équipements critiques sont si souvent contournées ou carrément inefficaces contre les attaques ciblées.
 
Biographie : 
Charles F. Hamilton est un consultant en sécurité et membre d’équipe « Red Team » de calibre international. Il se spécialise en test d’intrusion et la recherche de solution proactive de sécurité.
 

== Cas d'attaques vécus : Internet des objets (IOT) - Attaques DDoS ==

[[Image:Cas_dattaques_vecus-r.jpg ]]
 
WHEN
June 19th 2017
WHERE
Espace Desjardins

Pour clore la saison printanière 2017, OWASP Montréal est fier d'accueillir au Midi Conférence, M. Christian Shink qui fera un survol de cas d'attaques vécus, des techniques utilisées et des acteurs impliqués dans ces attaques. 
L'incorporation généralisée de dispositifs «intelligents» dans les objets de la vie de tous les jours modifie la façon dont les gens et les machines interagissent les uns avec les autres. Cette incorporation offre une promesse d'une meilleure qualité de vie, une meilleure efficacité. En contrepartie, leur déploiement introduit également des vulnérabilités à la fois dans l'infrastructure qu'ils soutiennent et sur lesquels ils comptent, ainsi que dans les processus qu'ils guident. Que ce soit au niveau applicatif ou des infrastructures, ces vulnérabilités sont exploitées par des acteurs malicieux pour générer des attaques de déni de service massives et sophistiquées. Nous tenterons également de tirer des leçons afin de tenter de minimiser ce type d'attaques dans le futur. 
Christian Shink possède plus d’une dizaine d’années d’expérience en développement et sécurité d’applications. Avant de se joindre à Radware, Christian était à l’emploi d'une firme conseil où il a conseillé de nombreuses entreprises, dont de grandes banques américaines et Casinos. Il détient une certification CSSLP et est membre de l'ordre des ingénieurs du Québec.
 

== HOW TO! Threat Modeling Toolkit ==

[[Image:OWASPMtl-JonathanMarcil-1.jpg]]
[[Image:OWASPMtl-JonathanMarcil-3.jpg]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit]] [https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit See the slides / Voir la présentation]
 
WHEN
May 23rd, 2017
WHERE
Shopify Montreal

Threat Modeling is a great way to analyze security early in software development by structuring possible attacks, bad actors and countermeasures over a broad view of the targeted system. This talk will describe basic components of a threat model and how to use them effectively.
Threat Intelligence is where you gather knowledge about the environment and business assets to determine what are the actual threats. But how do you reconcile that with the current architecture in a useful manner?
The toolkit presented in this talk will enable you to systematically structure related information using graphical notations such as flow diagram and attack tree. In case you are wondering where to start in your organization, a quick lightweight risk rating methodology will also be proposed.
And in the end, you’ll see how we can all tie those together and get threat modeling to a point where it’s an efficient application security activity for communication. Doing this will prevent security reviews from missing important things even when chaos prevails during the realization of a project.
Modeling concepts will be demonstrated with an actual IoT device used as example.
Presentation will be done in english.

Speaker Bio:
Jonathan Marcil is the former chapter leader of OWASP Montreal and is now Senior Application Security Engineer at Blizzard Entertainment in beautiful Orange County, California.
Jonathan has been involved with OWASP for many years and has been behind the Media Project which gathered and promoted AppSec conferences video content in the official OWASP YouTube channel. He was also part of NorthSec CTF event as a challenge designer specialized in Web and imaginative contraptions.
He is passionate about Application Security and enjoys architecture analysis, code review, threat modeling and debunking security tools. He holds a diploma in Software Engineering from ÉTS Montreal and has more than 15 years of experience in Information Technology and Security.

Merci à nos précieux commanditaires !

== Security Testing: Unlocking the Benefits of a Hybrid Approach ==
[[Image:Security testing hybrid approach-r 3.jpg ]]
[[Image:Security testing hybrid approach-r 4.jpg ]]
 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/hybrid-approach-to-security-testing]] [https://speakerdeck.com/owaspmontreal/hybrid-approach-to-security-testing See the slides / Voir la présentation]
 
WHEN
April 24th, 2017
WHERE
Espace Desjardins

As part of their defensive efforts, businesses commonly commission cybersecurity assessments of their web applications; with the aim of identifying any weaknesses in the security controls and ensuring a continually strong cybersecurity posture of their systems.

The classical approach of either secure code review (white box) or penetration testing (black box) assessment have proven to be effective in securing of web applications. The new trend, however, is moving towards the combination of these two approaches; expert consensus is rapidly recognizing the advantages of using a hybrid approach. When applied properly, a hybrid approach can build on the strengths of both white and black box testing, while compensating for their individual shortcomings.

In this presentation, we will examine the details of secure code review and penetration testing, and run demos to contrast their respective strengths and weaknesses. We will also examine why a hybrid approach can produce more complete and relevant assessment results. To conclude, we will cover proven approaches, and practical techniques, on how you can start leveraging a hybrid approach to web application assessments today.

Anne Gauthier is an application security analyst at GoSecure. Anne is also the president of the Montreal Chapter of OWASP – the industry standard for web application security. With a penetration testing background, she specializes in secure code reviews and in helping companies to improve their software development lifecycle (SDLC) according to industry best practices. Anne is CSSLP, GWAPT and GSSP-JAVA certified. She obtained a Software Engineering bachelor’s degree from Ecole de Technologie Supérieure in Montréal and is now pursuing a Master of Engineering (MEng) degree in Information Systems Security at Concordia University. She is the author of the Project 201 Security blog.

Merci à nos précieux commanditaires !

== "HOW-TO" NIGHT ! Tout sur les CTFs (Capture The Flag) ==

[[Image:Howto_ctf.jpg]]
 
[[Image:Presentation-link.png | Slides | link=https://docs.google.com/presentation/d/1zEsCcX-Nvq8Nz0k-B1zHejCDNT2oGZx8oUBgMbvvMM0/edit#slide=id.p ]] [https://docs.google.com/presentation/d/1zEsCcX-Nvq8Nz0k-B1zHejCDNT2oGZx8oUBgMbvvMM0/edit#slide=id.p See the slides / Voir la présentation (Laurent Desaulniers)]
[[Image:Presentation-link.png | Slides | link=https://docs.google.com/presentation/d/1c1P1d2mKe767j1Y0V9cK6De5cpnK4I7GI-ORiodbg1A/edit#slide=id.p ]] [https://docs.google.com/presentation/d/1c1P1d2mKe767j1Y0V9cK6De5cpnK4I7GI-ORiodbg1A/edit#slide=id.p See the slides / Voir la présentation (Charles Hamilton)]
[[Image:Presentation-link.png | Slides | link=http://obilodeau.github.io/slides/2017-04-04_how-not-to-suck-at-ctfs/ ]] [http://obilodeau.github.io/slides/2017-04-04_how-not-to-suck-at-ctfs/ See the slides / Voir la présentation (Olivier Bilodeau)]
 
WHEN
April 4th, 2017
WHERE
Shopify

Cette nouvelle soirée "How-To" Night d'OWASP Montréal vise à présenter les CTFs (une compétition Capture The Flag) et aider les équipes à démarrer et à continuer à évoluer dans leurs pratique de la cyber sécurité pratique. L'objectif est d'outiller les participants en leur fournissant des ressources techniques et des contacts afin de les aider à progresser.

Les éléments discutés seront:

- Composition optimale d’une équipe : Fonctionnement d’une équipe de CTF et les principaux rôles (chef d’équipe, cryptographie, application web, rétro ingénierie et les causes perdues).

- Pourquoi faire des CTFs? Discussion sur les différents styles (jeopardy, attack/defense, etc.), quels sont les problèmes fréquemments rencontrés + plusieurs anecdotes intéressantes (et drôles).

- Trucs de Mr. Unikoder : Le créateur du fameux site ringzer0team, soit un des plus gros sites pour apprendre la résolution de problèmes de CTF (https://ringzer0team.com/) Apprenez des trucs du meilleur, sur comment débuter et interpréter un challenge web, binaire et crypto avec des trucs réels du métier.

Matériel requis :

Votre légendaire enthousiasme

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement.

Présentateurs :

Charles Hamilton, Senior Consultant chez Mandiant, FireEye, Inc.

Olivier Bilodeau, Cybersecurity Research Lead at GoSecure

Laurent Desaulniers, Senior Security Solution Specialist at Bell Canada

== NorthSec - Applied Security Event ==
[[Image:Nsec_2017_midi_conf.jpg]] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/northsec-applied-security-event]] [https://speakerdeck.com/owaspmontreal/northsec-applied-security-event See the slides / Voir la présentation]
 
WHEN
April 4th, 2017
WHERE
Espace Desjardins

NorthSec: La plus grande compétition et conférence en cyber sécurité au Canada

NorthSec est un organisme sans but lucratif qui organise une conférence et une compétition de sécurité de type "Capture-The-Flag" (CTF) et des formations. Avec plus de 400 participants présents sur le site pour la compétition, c’est la plus grande compétition du genre au monde.

La conférence, dans sa 3e année, attire des présentateurs internationaux avec du contenu technique exclusif. L’ajout des séances de travail (workshops) devrait plaire aux plus chevronnés des binaires.

Des formations de 3 jours sont offertes avant la conférence: "Advanced Web Application Security" par Philippe Arteau et "Malware and Memory Forensics" par Michael Ligh, co-auteur des livres "Malware Analyst Cookbook" et "The Art of Memory Forensics".

NorthSec est situé au Marché Bonsecours dans le Vieux-Port de Montréal au printemps du 15 au 21 mai 2017.

La présentation couvrira:

- Le plan pour 2017 
- Ce qui différencie NorthSec 
- Comment équilibrer une compétition pour les débutants et les experts 
- Comment bâtir une infrastructure basée sur les conteneurs qui gère 50 équipes dans quelques serveurs sans qu’ils ne se partagent de machines virtuelles 
- Comment faire du pain au levain à grande échelle 
- Présentation de quelques défis et solutions 

Les présentateurs:

- Gabriel Tremblay, Président, Delve Labs 
- Olivier Bilodeau, VP Formations, Co-fondateur MontréHack, GoSecure 
- Pierre-David Oriol, VP Conférences, Delve Labs 
- Benoit Guérette, VP Partenaires, Desjardins 
- Laurent Desaulniers, Tisserand de drapeaux, Bell Canada 

Merci à nos précieux commanditaires !

== Sécurité des applications : Les fondements ==
[[Image:Tanya.jpeg]] 

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/securite-des-applications-les-fondements]] [https://speakerdeck.com/owaspmontreal/securite-des-applications-les-fondements See the slides / Voir la présentation]
 
WHEN
March 20th, 2017
WHERE
Espace Desjardins

OWASP Montréal est fier d’accueillir au Midi Conférence du mois de mars, Mme Tanya Janca, Co-Leader du chapitre OWASP Ottawa et spécialiste de la sécurité applicative au sein du Gouvernement fédéral.

La conférence « Les fondements de la sécurité des applications » sera présentée en anglais.

Session Description : Everyone has heard about the problem; everyone is “getting hacked”. But what is the answer? From scanning your code with a vulnerability scanner to red teaming exercises, developer education programs and bug bounties, this talk will take the audience through all the possibilities of an extensive application security program, with a detailed explanation of each part.

Bio : Tanya Janca is an application security evangelist, a web application penetration tester and vulnerability assessor, a secure code reviewer, an ethical hacker, the Co-Leader of the OWASP Ottawa chapter, and has been developing software since the late 90’s. She has worn many hats and done many things, including; Custom Apps, Ethical Hacking, COTS, Incident Response, Enterprise Architect, Project and People Management, and even Tech Support. She is currently helping the Government of Canada secure their web applications.

Merci à notre commanditaire principal de cet événement: Ubitrak!

== WORKSHOP ! Server Side Template Injection (SSTI) ==

[[Image:Workshop-okiok-SSTI-r.jpg | WORKSHOP ! Server Side Template Injection (SSTI) ]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti]] [https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti See the slides / Voir la présentation]

WHEN
22 Février 2017
WHERE
Shopify Montréal

OWASP Montreal vous invite à un atelier portant sur la sécurité des applications web supportant les moteurs de template (Template Engine). Le principe de séparation entre la présentation du site (code HTML statique) et de son contenu dynamique facilite la création de documents HTML et la capacité à modifier l'apparence du site sans mélanger le traitement et le rendu de la page. L'utilisation de moteurs de template amène de nouveaux enjeux de sécurité. Les vulnérabilités de type Server Side Template Injection (SSTI) sont exploitables à travers les données (non fiables) fournies par l'utilisateur et conduisent à l'exécution de code arbitraire (RCE) sur le serveur hébergeant l'application web. 

Ce workshop a pour but d'introduire cette classe de vulnérabilité à travers différents cas d'implémentation (php, java, python).
Nous verrons comment identifier et exploiter ces vulnérabilités et de quelle manière un attaquant peut
s'y prendre pour exécuter du code arbitraire sur le serveur afin d'en prendre le contrôle. 

Niveau : Intermédiaire 
Matériel requis :
* Votre portable
* Votre distribution Linux/Unix de votre choix
* Votre proxy Web de votre choix

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.
Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.
Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement. 

Présentateur : Gérôme Dieu 
Gérôme Dieu cumule plus de 7 années d’expérience en technologies de l’information et en sécurité.
Il œuvre à titre de conseiller senior en sécurité de l’information au sein de la firme OKIOK. Ces dernières années, il a acquis une expertise dans le domaine de la sécurité des applications web aussi bien d'un point de vue offensif que défensif. En plus de réaliser des tests d’intrusion pour des clients internationaux, Gérôme s’implique dans la recherche et développement afin de maintenir à la fine pointe de la technologie les tests d'intrusion et d'analyse de vulnérabilités. 

Merci à Shopify d'héberger l'événement ! 
[[Image:Shopify Logo-r.png| Shopify | link=https://www.shopify.com/]]
== Le courriel en 2017 – risques et menaces pour tous ==

[[Image:Zero spam 2.jpg|Le courriel en 2017 – risques et menaces pour tous]]

[[Image:Video-link.png | Link to video | link=https://www.youtube.com/watch?v=HX2vcijcCWw ]] [https://www.youtube.com/watch?v=HX2vcijcCWw Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

WHEN
Le 23 janvier 2017 à midi
WHERE
Espace Desjardins

Monsieur Poellhuber nous brossera un tableau du phénomène grandissant du rançongiciels et de l'hameçonnage, personnification. 

- Par les années passées, la menace courriel se résumait principalement en un fort volume de contenu simplement indésirable. Aujourd’hui la menace a passablement évolué. Quels sont les véritables risques actuels associés au courriel ? Rançongiciels, hameçonnage, personnification. Cette conférence présentera les nouveaux défis de sécurité pour les organisations qui doivent composer avec des attaques de plus en plus sophistiquées et de plus en plus ciblées tout en protégeant leur réputation. Des exemples biens réels, drôles et moins drôles seront disséqués pour bien dessiner l’ampleur de l’enjeu. 

M. David Poellhuber, Chef de l’exploitation, ZEROSPAM Sécurité Inc 

Note biographique : 
Monsieur David Poellhuber oeuvre dans l’industrie de la sécurité informatique depuis quinze ans. Il a été conférencier dans plusieurs forums de sécurité au Canada et est maintenant reconnu comme une autorité en matière de sécurité du courriel. Il a fondé ZEROSPAM Sécurité en 2003, le premier service Québécois externalisé de sécurité du courriel infonuagique qui se distingue par sa convivialité, son efficacité et ses technologies de détection proactives. 
Audience : Généralistes et spécialistes de la sécurité des TI
 
Merci à Ubitrack pour le repas et à Desjardins d'héberger l'événement!

[[Image:Ubitrak-r2.jpg|Ubitrak|link=http://www.ubitrak.com/fr/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]

== Effective XSS Mitigation ==

[[Image:XSS mitigation.jpg | Effective XSS Mitigation ]]

[[Image:Presentation-link.png | Slides| link=http://slides.com/olivierarteau/xss-mitigation ]] [http://slides.com/olivierarteau/xss-mitigation See the slides / Voir la présentation]

WHEN
18 Janvier 2017
WHERE
Google Montréal

FRANÇAIS/ENGLISH 
La mitigation de XSS a été un sujet important au cours des dernières années. Les navigateurs ont implémenté, en autre, deux fonctionnalités pour mitiger leur impact : l'entête "XSS-Protection" et l'entête "Content-Security-Policy". Par contre, obtenir une mitigation contre les XSS efficace est souvent plus complexe que l'on pense. Cet atelier couvrira les deux entêtes. Il expliquera comme il est possible de contourner ces protections et ce qu'il est possible de faire pour se protéger. Des exercices de type "offensif" et "défensif" seront proposés.
Mitigation for XSS as been an important topic in the last few years. Browsers have implemented two main functionalities to help mitigate the impact of XSS : the "XSS-Protection" header and the "Content-Security-Policy" header. But, getting an effective XSS mitigation of those headers is trickier than it may seem. This workshop will cover both of those headers. It will explain how bypass of those protection work and what you can do about it. It will have both "defensive" exercises and "offensive" exercises.
Niveau : débutant/intermédiaire
 
Matériel requis :

Votre portable 

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Google pour l'événement.
 
Présentateur : Olivier Arteau
 
Olivier Arteau est un professionnel en sécurité informatique depuis quelques années et fait partie de l’équipe de test d’intrusion de Desjardins. Il est aussi un amateur de CTF qui a gagné à plusieurs reprises le CTF du NorthSec avec l’équipe HackToute et participe fréquemment à d’autres CTF avec l’équipe DCIETS.
 

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

== WORKSHOP ! Top 10 OWASP - Unleash the threats ==

[[Image:Workshop-top10.jpg | WORKSHOP! Top 10 OWASP - Unleash the threats ]]

WHEN
30 novembre 2016 de 17h30 à 20h30
WHERE
Immunio @ WeWork

De nos jours, la sécurité applicative est essentielle dans l’écosystème des entreprises de toutes tailles. Les vecteurs d’attaques sont multiples, les vulnérabilités de sécurité dans les applications peuvent être désastreuses et les impacts d’un « Hack » peuvent être irréversibles pour l’entreprise; vols de données sensibles, perte de réputation, perte de $$$$$, etc.
L’objectif du workshop est de comprendre la base sur les vulnérabilités de sécurité dans les applications et les techniques d’exploitation utilisées par les pirates informatiques, en plus de connaître les bonnes pratiques de développement en matière de sécurité applicative.
Avec l'aide de WebGoat, Damn Vulnerable Web Application et de Kali Linux, vous pourrez participer
à l'exploitation des applications et découvrir les techniques utilisées par les attaquants.

Niveau : débutant

Matériel requis :
Votre portable
Kali Linux
La VM du workshop, envoyée aux participants

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places très limitées (nb = 10). Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Immunio & WeWork pour l'événement.

Présentateur : Christian Leclerc

Christian est spécialisé en conception et développement de solutions web sécuritaires. Tout au long de sa carrière, il a acquis une vaste expertise sur plusieurs types de technologies et méthodologies, intégré la sécurité dans le cycle de développement d’applications, effectué des revues de code sécurité, déployé des outils d’analyse des vulnérabilités et mis en place des systèmes d’authentification. De plus, il a participé à la conception et au développement de solutions sécuritaires de pointe comme la signature électronique à l’aide d’une infrastructure à clé publique (PKI), les authentifications fortes, le Registre des consentements au don d'organes et de tissus (RDOQ.org) et la migration de plusieurs applications web vers un environnement SOA (Service Oriented Architecture).
 Merci à Immunio & WeWork d'héberger l'événement! 

[[Image:Immunio-horizontal-r.png|Immunio|link=https://www.immun.io/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Wework-r.jpg|WeWork|link=https://www.wework.com/]]
 

== Histoire d'un Hack ==

[[Image:Histoire-dun-hack-r.jpg | Histoire d'un Hack ]]

WHEN
21 novembre 2016 à midi
WHERE
Espace Desjardins

Pour son activité du mois de novembre, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de faire l'autopsie d'une attaque de haute voltige sur un site web et des outils mis à la disposition par OWASP.

Bernard Bolduc cumule plus de 17 années d’expérience en technologies de l’information et en sécurité. Il œuvre à titre de conseiller senior en sécurité de l’information au niveau d’entreprise de classe nationale et internationale.

Bernard se spécialise en sécurité Unix, applicative et en gestion de la sécurité des télécommunications. Il combine ces expertises techniques afin d’obtenir des résultats probants et efficaces pour ces clients des secteurs bancaire, télécommunication et multimédias, de l’énergie ou des services publiques. Tout au long de sa carrière, Bernard s’est toujours maintenu à jour sur les dernières menaces de sécurité technologique et commerciale en assistant à des formations spécialisées et d'échanger avec un grand nombre de partenaires dans l'industrie de la sécurité.

La conférence débute à midi.

La conférence vous donne droit à 1 CPE et pour les 50 premières personnes, un lunch gratuit.

Merci à Desjardins d'héberger l'événement!

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite) ==

[[Image:Workshop-zap-mix.jpg | Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite)]]

WHEN
11 novembre 2016 de 18h à 21h

WHERE
Google Montréal

OWASP Zed Attack Proxy (ZAP) est un scanneur de vulnérabilités et un outil de débogage HTTP. Ce type d'outil est crucial dans un test d'intrusion web et contient un lot intéressant de fonctionnalités. Cela dit, il est possible d'étendre les fonctionnalités. Plusieurs types d'extension sont possibles : vue alternative pour les requêtes ou les réponses, scanneur passif des réponses, scanneur actif produisant des requêtes, etc.

Plusieurs options seront données, par exemple :

Détection automatique de flag dans les sources
Scanneur actif asynchrone DNS
Ou votre propre idée

Pour chacune des suggestions, des squelettes de code seront fournis pour les APIs de ZAP. Pour les utilisateurs de BurpSuite, des directives analogues seront également données.

Niveau : débutant / intermédiaire

Matériel requis

Votre portable
[https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project OWASP ZAP (gratuit)]
[https://portswigger.net/burp/download.html BurpSuite]
Éditeur de code pour Java, Python ou Ruby

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Présentateur : Philippe Arteau

Philippe est un chercheur en cybersécurité chez GoSecure. Il est l'auteur de l'outil d'analyse statique Java "Find Security Bugs". Il a découvert des vulnérabilités importantes dans les logiciels populaires tels que Google Chrome, Dropbox, Paypal, RunKeeper et Jira. Il a présenté dans différentes conférences incluant Black Hat USA, Black Hat Europe, ATL Sec Con, NorthSec, Hackfest (QC) et JavaOne. Il a développé de nombreux plug-ins pour les outils de proxy BurpSuite et OWASP ZAP (Retire.js, Reissue Request Script, PDF preview et Image Metadata). Il a fait également des contributions à d'autres plug-ins comme J2eeScan.

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

==Logiciel de rançon (Ransomware) s'attaque au domaine de la santé==

[[Image:HackingHealth-2.jpg | Logiciel de rançon (Ransomware) s'attaque au domaine de la santé ]]

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health ]] [https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health See the slides / Voir la présentation]

(Conférence en anglais)
Pour le lancement de la saison 2016 - 2017, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de la santé une incursion dans le monde du logiciel malveillant ciblant le domaine de la santé. 
Cette conférence s'intége dans le Coopérathon co-organisé par le Mouvement Desjardins et Hacking Health. 
Le domaine de la santé serait devenu une cible privilégiée des campagnes de ransomware parce que l'industrie a souvent payé la rançon demandée pour récupérer les données confidentielles et vitales de ses clients. Monsieur Ed Gershfang nous brossera un portrait du phénomène et des meilleures pratiques à mettre en place en matière de sécurité applicative.
Ed Gershfang possède une expérience solide dans l'infrastructure informatique et plus de 6 ans d'expérience dans les domaines de la sécurité de l'information, de la vulnérabilité, de la gouvernance et de la gestion des risques. Il était directeur de la sécurité pour la société PeriGen, un chef de file de développement de logiciels médicaux en Israël.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative vue par un pentesteur ==

[[Image:Juin2016-OWASPMtl.jpg | OWASP Montréal reçoit Mario Contestabile, Pentester de renom ]]
 
From Left to Right : Isabelle Lusseyran, Head of Development at Hacking Health. Eduard Gershfang Information Security Analyst at WSP | Parsons Brinckerhoff.

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile ]] [https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile See the slides / Voir la présentation]
 
Pour clore la saison 2015 – 2016, OWASP Montréal est fier d’accueillir au Midi Conférence un des architectes de renom du développement applicatif au Canada, monsieur Mario Contestabile.
En tant qu’auteur de plusieurs centaines de tests d’intrusion, il connait tous les rouages de ce qu’est véritablement une application Web «sécurisée». Mais avez-vous déjà remarqué que les rapports de tests d’intrusion mentionnent rarement, voir jamais : «Votre site est très difficile à pirater. Félicitations !» ?
Et qu’en est-il de ces rapports qui contiennent des dizaines de soi-disant vulnérabilités ? Est-ce que cela signifie d’emblée que l’application devrait être mise hors ligne ?
 
Lors de cette conférence, nous examinerons des rapports concrets (ambigus) de vulnérabilités et nous les analyserons afin de mieux comprendre si elles représentent une véritable menace, ou si elles ne servent qu’à «remplir» les rapports.
 
Avec son expertise en protection et en attaque d’applications Web, il abordera les points suivants :
Comment pouvez-vous sélectionner des systèmes de façon à mieux exécuter des protections de sécurité ?
Éviter certains pièges dans votre application Web qui rendent les attaques plus faciles et la protection plus difficile.
De nos jours, que peuvent faire les développeurs à l’intérieur de systèmes communs, qui puisse me rendre la tâche plus ardue en tant que « hacker »?
Pouvons-nous exiger de meilleurs rapports de la part des firmes de sécurité?
À quoi devrions-nous nous attendre de la part d’un « pentesters »?
Comment pouvons-nous savoir si le « pentester » a vérifié les failles de l’application et qu’il n’a pas simplement utilisé un scanneur?
Et enfin, comment pouvons-nous aider les « ethical hackers » à obtenir un meilleur rendement lors d’un test d’intrusion?
Il expliquera le sujet en détails, et ensemble, nous verrons de quelles façons les développeurs d’applications peuvent exploiter le savoir-faire des « pentesters », et comment nous pouvons faire en sorte qu’une application Web soit protégée.
Biographie :
Mario Contestabile est reconnu comme l’un des experts en sécurité les plus réputés au Canada. Son expertise, construire et protéger votre plateforme applicative. Ancien développeur C++ et Java, Mario partage ses nombreuses connaissances en « ethical hacking » et en développement de codes sécurisé.
 
WHEN
Tuesday, 14 June 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Comment protéger les applications mobiles? ==

[[Image:Avril2016-OWASPMtl.png | Comment protéger les applications mobiles? ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles ]] [https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles See the slides / Voir la présentation]
 
Dans le cadre des Midis Conférence à l'Espace Desjardins, l'équipe OWASP Montréal vous invite à assister à une présentation sur les vulnérabilités les plus communes associées aux appareils mobiles.
Marie-Claire Willig détaillera entre autres comment stocker de façon sécuritaire les données de l’application mobile ainsi que protéger l’application contre des attaques externes. Des outils simples vous seront dévoilés pour détecter ces vulnérabilités.
Marie-Claire est une professionnelle d'expérience en sécurité appliquée.
Une grande partie de son intérêt professionnel réside actuellement dans un domaine assez niche, soit la revue de code sécuritaire, un fondement important de tout cycle de développement sécuritaire en entreprise.
Au sein de l'équipe de sécurité technologique Desjardins, elle est, en autre, responsable de former les développeurs (Java et .NET principalement) afin de les sensibiliser aux meilleures pratiques de développement sécuritaire.
Également, elle est une professionnelle des tests d'intrusion sur les applications web, les applications mobiles ainsi que l'infrastructure réseau.
Bienvenue à tous
 
WHEN
Wednesday, 20 April 2016 from 12:15 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ==

[[Image:Mars2016-OWASPMtl.jpg | NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/YQtvltQYs7Y]] [https://youtu.be/YQtvltQYs7Y Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
OWASP Montréal est fier d’inviter au Midi Conférence de mars, NorthSec est le plus gros événement de sécurité appliquée au Canada qui comprend deux jours de formation, deux jours de conférences ainsi qu’une compétition du genre « capture the flag » (CTF) de trois jours.
Gabriel Tremblay, Benoit Guerette, Pierre-David Oriol et Laurent Desaulniers viendront vous parler de cet organisme sans but lucratif dynamique qui est géré par une équipe de bénévoles passionnés qui donnent à chaque année leur énergie et leur temps pour soutenir la communauté de la sécurité de l’information.
Le volet compétition, l’épreuve maîtresse, est présentée sous forme d’un scénario qui rend cohérent une centaine de défis techniques. Les équipes de participants attaquent l’infrastructure de compétition pour soutirer des drapeaux (flags) à travers un ensemble de vulnérabilités présentes comme de l’injection SQL, des XSS ou encore l’exploitation d’exécutables sur systèmes embarqués. Quelques exemples de défis des années passées seront également présentés.
Le volet conférence, qui est à sa 2ème année, met de l’avant plusieurs présentations techniques touchant la sécurité applicative mais aussi l’éthique et leurs impacts sociaux. Certaines présentations confirmées seront dévoilés.
Le tout nouveau volet formation propose deux formations en sécurité applicative de calibre international (anglais) : “Advanced Web Security Testing with Burp Pro” et “Modern Object-Oriented Malware Reverse Engineering”.
Venez aussi, découvrir comment l'équipe est partie d'une idée en 2012 pour se rendre à un évènement d'envergure, qui rassemblera plus de 600 professionnels, étudiants et autres passionnés de sécurité appliquée lors de la 4ème édition qui aura lieu du 17 au 22 mai 2016 au Marché Bonsecours.
Finalement, la mission, la vision ainsi que les activités sociales de la semaine de NorthSec sont aussi au menu de cette présentation qui sera suivie d’une période de questions.

Gabriel Tremblay, Delve Labs, Président
Benoit Guerette, Desjardins, VP Finances

Pierre-David Oriol, Delve Labs, VP Conférence
Laurent Desaulniers, Bell Canada, Artisant de drapeaux
 
WHEN
Wednesday, 23 March 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative et l'hameçonnage - February 24th ==

[[Image:Fevrier2016-OWASPMtl.jpg | La sécurité applicative et l'hameçonnage ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/1RYlOiIENjQ]] [https://youtu.be/1RYlOiIENjQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 

De nos jours, une des méthodes les plus efficaces pour contourner les périmètres de sécurité externes est l'hameçonnage conjointement avec l’abus de certaines technologies Web.

Dans le cadre ses activités, OWASP Montréal est heureux d'inviter d'accueillir, l'équipe OKIOK qui présentera les impacts liés à ce type d'attaque, tel que vu et expérimenté en entreprise ainsi que les plans d'action pour traiter ces risques. La présentation abordera aussi bien la sécurité web et applicatives, des systèmes informatiques ainsi que de la sécurité physique de centres de données.

Capture d'informations sensibles par imitations de portails Web ;
Authentification Web par 2-facteurs ;
Injection SMTP dans des formulaires Web ;
Attaque de type “Drive-by-download”;
Prise de contrôle à distance à travers des flux HTTP;
Attaque de CSRF à partir de courriels ;
Attaque d'hameçonnage basée sur des achats par Internet (ex : PayPal).
 
When
Wednesday, 24 February 2016 from 12:00 PM to 1:15 PM (EST) - Add to Calendar
Where
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest Montreal, Quebec CA

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Internet of {Things, Threats} - January 20th ==

[[Image:Janvier2016-OWASPMtl-R.png | Internet of {Things, Threats} ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html ]] [http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html See the slides / Voir la présentation]
 
De plus en plus de périphériques se retrouvent connectés sur Internet. Sous la bannière "Internet of Things" (IoT) ces équipements, que ce soit une pompe à insuline ou un système de caméra de sécurité, tournent généralement sous un système GNU/Linux embarqué d'architecture MIPS ou ARM. La difficulté de mettre à jour ces équipements ainsi que le peu d'effort mis dans la sécurité des systèmes ou la sécurité applicative en font des cibles de choix. Ces derniers mois, nous avons analysé plusieurs logiciels malveillants ciblant ces architectures. Que ce soit par l'exploitation d'une vulnérabilité (Shellshock) ou encore un défaut de configuration, ces systèmes exposés sur Internet peuvent être compromis.

Notre présentation couvrira quelques une de ces analyses:

* Linux/Moose, un malware se propageant automatiquement qui fraude les réseaux sociaux (par exemple Facebook, Twitter et YouTube)
* LizardSquad et acteurs étrangers qui utilisent des systèmes embarqués compromis pour réaliser des dénis de service distribué (DDoS)
* Win32/RBrute est un logiciel malveillant qui tente de changer les paramètres de routeurs dans le but de faire du "DNS poisoning". Il a été distribué par le populaire botnet Sality.
* Un kit d'exploits qui utilise seulement le navigateur de leur victime avec le même objectif, c'est-à-dire faire du "DNS poisoning".

Enfin, des conseils seront proposés à l'audience pour l'aider à se protéger de ces menaces.

'''Thomas Dupuy''' (twitter: @nyx__o)

Thomas est chercheur en logiciel malveillant chez ESET Canada Recherche. Bon vivant, Thomas déjeune en "reversant" des binaires, contribue à quelques projets open source durant le diner (yara, yara rules, pefile, APTnotes) et la nuit participe à des "Hacking Games" (Capture The Flag). Curieux de nature Thomas analyse des malware aux architectures "exotiques".

'''Olivier Bilodeau''' (twitter: @obilodeau)

Olivier Bilodeau is the head of Cybersecurity Research at GoSecure a consultancy firm specializing in cybersecurity services for the public and private sector. With more than 10 years of infosec experience, Olivier worked on Unix servers at Bell Canada, managed a portion of Air Canada's network, wrote open source network access control software at Inverse and worked as a Malware Researcher at ESET. He likes to reverse engineer everything that crosses his path, participate in information security capture-the-flag competitions, hack open source code and brew beer. He has spoken at various conferences (Defcon, Botconf, VirusBulletin, Derbycon, ...), used to lecture on information security at ETS University in Montreal, drives the NorthSec Hacker Jeopardy and co-organizes the MontreHack capture-the-flag training initiative. His primary research interests include reverse-engineering tools, Linux and/or embedded malware and honeypots.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Survivre aux attaques DDOS applicatives ==

[[Image:Decembre2015-OWASPMtl.jpg | Survivre aux attaques DDOS applicatives ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
Survivre aux attaques DDOS (Distributed Denial-Of-Service) applicatives.
Cette conférence s'adresse aux professionnels et gestionnaires des TI.
Conférencier : Christian Shink, ing., CSSLP, ingénieur système chez Radware, manufacturier spécialisé dans la prévention des attaques DDOS. Il fut également consultant en sécurité applicative chez In Fidem.
Objectifs de la conférence:
Présenter les tendances actuelles en matière d'attaques DDOS applicatives.
Renseigner les participants sur les techniques et stratégies pour contrer ces attaques illustrées à partir de cas vécus.
Démystifier certains mythes en ce qui concernent les façons efficaces de protéger les applications contre des attaques DDOS.
Date : 16 décembre 2015
Heure : 11h45
La conférence débute à 12h00 et se termine à 12:55.
Un lunch sera servi.
Réservez maintenant!
1 CPE
 
WHEN
Wednesday, 16 December 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Sécurité des applications - Systèmes de contrôles industriels ==

[[Image:Novembre2015-OWASPMtl-R.png | Sécurité des applications - Systèmes de contrôles industriels ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/0eAZpyiQQ9A]] [https://youtu.be/0eAZpyiQQ9A Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

La sécurité des applications et les systèmes de contrôles industriels.
Cette conférence s'adresse aux professionnels et gestionnaires des TI desinfrastructures critiques qui exploitent ou gèrent des systèmes de contrôles industriels(SCI) et SCADA (surveillance et d'acquisition de données). 
Conférenciers : Robert Nastas, CSSA. Gestionnaire de projet et Youssef Jad, Architecte Cyber sécurité, ICS-CERT 
 
Objectifs de la conférence:
* Démystifier le domaine d'affaires.
* Renseigner les participants sur les bonnes pratiques de sécurité desapplications liées au secteur industriel.
* Proposer aux professionnels et gestionnaires des TI responsables dessystèmes SCADA et SCI des pistes de solutions aux enjeux de sécurité.
 
L'équipe OWASP Montréal vous remercie d'avoir assisté en grand nombre à la conférence, 'La sécurité des applications et les systèmes de contrôles industriels'.
 
WHEN
Wednesday, 18 November 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ==

[[Image:Septembre2015-OWASPMtl.jpg | Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert ]] [https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert See the slides / Voir la présentation]
 
Pour le lancement des activités corporatives de la saison 2015 - 2016, le 8 septembre prochain à 12:00, l'équipe OWASP Montréal convie les gestionnaires et artisants de la sécurité des TIC à venir entendre monsieur Éric Hébert qui nous présentera son interprétation des préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative. L'événement se tiendra au complexe Desjardins à la salle "Espace Desjardins".

''' ÉRIC G. HÉBERT, CISM, CISSP ''' 
Après plus de 20 ans passés dans le domaine de la sécurité des technologies de l’information, Éric se spécialise dans la mise en œuvre et la gestion d'équipes performantes, capables de relever les plus hauts défis de la cybersécurité moderne. 
Capable de dialoguer avec les hauts dirigeants, il sait traduire et vulgariser les enjeux techniques complexes tout en respectant la nature et l'appétence au risque de ses clients. Dynamique et pourvu d'une expérience couvrant presque toutes les sphères de la SI, il fonce dans le respect de la culture établie tout en implantant des solutions pragmatiques et efficaces. 
Depuis plus de 10 ans, il gravite principalement autour des entreprises du domaine financier (BNC, Desjardins, Fonds de solidarité FTQ...) et les accompagne dans la mise en place de solutions efficaces tenant compte à la fois des risques et des budgets.
En plus d’avoir fondé de nombreuses associations telles que le RéseauSécurIT et le RPSI, il maintient une présence régulière auprès des milieux associatifs professionnels et partage régulièrement ses expériences lors de conférences et d'entrevues avec divers médias.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

= Events / Évènements =

== Owasp Montreal at [https://nsec.io/ NorthSec 2017] ==

[[Image:NorthSec2017-5.jpg]]
[[Image:NorthSec2017-6.jpg]]

From Left to Right: Anne Gauthier, OWASP Montréal Chapter Leader (President) and Application Security Analyst at GoSecure, Hugo Genesse, OWASP Montréal Chapter Leader and Research Intern at PNF Software, Julien, OWASP Montréal Chapter Leader

== OWASP Montreal at [https://2017.appsec.eu/ AppSec] ==

[[Image:OWASPAppSecBelfast2017-7.jpg]]

OWASP Montreal and Ottawa Chapter Leaders at OWASP AppSec Belfast, UK #WomenInAppSec

== OWASP Montreal at [https://hackfest.ca/ HackFest 2016] ==

[[Image:Hackfest2016-r.jpg| HackFest |link=https://hackfest.ca/]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Louis Nadeau, OWASP Québec Chapter Leader and Manager, Product Security at Bentley Systems and Patrick Leclerc, OWASP Québec Chapter Leader and Information Security Advisor at La Capitale.

== OWASP Montreal at OWASP [https://2016.appsecusa.org/ AppSec USA 2016, Washington] ==
 
 
[[Image:OWASPMtl-AppSecUSA2016-Washington.jpg | OWASP Montreal at AppSec USA 2016, Washington]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016, Alexandre Hamelin President at Synlabs Consulting Inc., Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [https://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

== OWASP Montréal at [https://www.gosec.net GoSec] 2016 ==

[[Image:OWASP-GoSec2016-1r.jpg|OWASP Montreal at GoSec 2016]] [[Image:OWASP-GoSec2016-2r.jpg|OWASP Montreal at GoSec 2016]]
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Simon Lacasse, student and volunteer, and Laurent Desaulniers, Security Analyst at Bell Canada.

== OWASP Montréal at [https://www.nsec.io/ NorthSec] 2016 – Annual Applied Security Event ==

[[Image:Hackfest2016-OWASPMtl.jpg|OWASP Montreal at NorthSec 2016]]

@Photo : Simon Veilleux
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Olivier Arteau OWASP Montréal Chapter Leader and Conseiller chez Groupe Technologie Desjardins, Hugo Genesse, OWASP Montréal Chapter Leader and Vulnerability Research Intern at Wurldtech Security Technologies.

== OWASP Montréal at [https://hackfest.ca/en/ Hackfest] 2015 ==

[[Image:Hackfest2015-OWASPMtl-R.JPG | OWASP Montreal at Hackfest 2015]]

@Photo : Hackfest
 
 
From left to right : Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [http://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

[[Image:Video-link.png | Link to video | link=https://youtu.be/8U0qkEuUFy8]] [https://youtu.be/8U0qkEuUFy8 Watch the video / Regarder la vidéo]

== OWASP Montréal at [https://www.gosec.net/ GoSec] 2015 – The Annual Cybersecurity Conference presented by GoSecure, EY and ISACA. ==

[[Image:GoSec2015-OWASPMtl.jpg|OWASP Montreal at GoSec 2015]]

@Photo : Marius Popescu
 
 
From left to right : Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016. Benoît Guérette, Application Security Team Leader at Desjardins, VP Finance at NorthSec and OWASP Montreal Chapter Founder and Former Chapter Leader.

== See also / Voir aussi ==

OWASP Montréal recommends Montréhack. Learn and share knowledge on IT security by solving technical challenges. Third Monday of every month.

OWASP Montréal recommende Montréhack. Apprends et partages des connaissances sur la sécurité informatique en travaillant des problèmes appliqués. Chaque troisième lundi du mois.

[[File:Montrehack.png|Montréhack|link=http://montrehack.ca/|alt=Montréhack]]

= Archives 2007-2015 =
{{:Montreal chapter past meetings}}

== OWASP Montreal - February 3rd - Getting to Know the Software Assurance Marketplace (SWAMP) ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/p4_vjufcB6Q]] [https://youtu.be/p4_vjufcB6Q Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer]] [https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Pat Beyer
*'''ADDITIONAL PRESENTER:''' Abe Megahed
*'''ABSTRACT:''' The Software Assurance Marketplace (SWAMP) is an open facility that is designed, built, and operated by four research institutions. The SWAMP provides no-cost access to an array of open-source and commercial software analysis tools. This presentation will provide an overview and demo of the SWAMP, including our goals, intended audience, current capabilities, and future plans. We will cover our relationship with OWASP, incorporation of open-source software assurance tools, and status as an open-source project and resource available to the software community. Visit https://continuousassurance.org/ to learn more about us.
*'''BIO:''' Pat Beyer serves as the Product Manager for the Software Assurance Marketplace (SWAMP). With over 25 years of experience successfully managing multi-million dollar global projects, Beyer’s expertise extends to the IT, construction, and operations sectors, with a specialization in managing government contracts and grants. A gifted communicator, Beyer is a sought after speaker due to his ability to deliver complex information about technology products and services in a way that is easily understood. He is a decorated combat veteran of the Global War on Terror, the international military campaign that started following the 9/11 terrorist attacks on the United States. In 2004, he constructed and rehabilitated over 20 schools, clinics, and water treatment plants for the Iraqi people using local contractors. Beyer also holds a Bachelor of Science, a Masters in Business Administration, a Ph.D. in Organization and Management, and a Project Management Professional (PMP) certification.
*'''BIO:''' Abe Megahed is a web developer for the Software Assurance Marketplace. In previous lifetimes, he has been a computer graphics researcher, a game programmer, a programming language and compiler nerd, a dot com company founder, a creator of helicopter simulations, and a developer of 3D simulations for NASA astronaut crew training.
*'''WHEN:''' Tuesday, February 3rd 2015
*'''WHERE:''' Room PK-1140 - UQAM Pavillon Président-Kennedy, 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' https://owaspmtlswamp2015.eventbrite.ca
*'''WEBCAST:''' https://www.youtube.com/watch?v=p4_vjufcB6Q
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer

*'''ACADEMIC PARTNER:''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session: Getting to Know the Software Assurance Marketplace
20:00-... End of the meeting

[[Image:SWAMP-Logo-Final-Med.png|300px|link=https://continuousassurance.org/]]
[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

== OWASP Montréal - 4 décembre - Malware côté serveur — évolution, méthodes d’opération et forensic Linux ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/lo8WDl-WQ3E]] [https://youtu.be/lo8WDl-WQ3E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille]] [https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Marc-Etienne M.Léveillé
*'''RÉSUMÉ:''' Les logiciels malveillants ciblant les serveurs ont évolué. Ils sont utilisés par des groupes de cybercriminels organisés dans le but de faire du profit via des redirections web et l’envoie de pourriels. La présentation portera sur Opération Windigo, une opération malveillante qui a affecté plus de 25 000 serveurs dans le monde. Après une brève description des composantes de Windigo, nous verrons comment les opérateurs déploient leurs logiciels malveillants et surveille leur réseau de serveurs infectés. Des trucs pratiques pour faire de la forensics sur des systèmes Linux seront donnés. Cette présentation est une suite à la présentation "Linux/Cdorked: Server side malware", donnée par Olivier Bilodeau à OWASP Montréal en 2013. La présentation sera en français avec des diapositives en anglais (aka Montreal-style).
*'''BIO:''' Marc-Etienne est un chercheur en logiciel malveillant chez ESET depuis 2012. Il se spécialise dans les logiciels malveillants qui s’attaquent à des plateformes inhabituelles comme aux produits fruités et aux oiseaux nordiques. Dernièrement, il passe beaucoup de son temps à faire la rétro-ingénierie de logiciels malveillants sur des serveurs Linux et s’intéresse à leurs méthodes d’opération. Il adore participer de façon collégiale aux CTFs avec ses amis les CISSP Groupies et jouer de la clarinette. Il tweet très peu à @marc_etienne_.
*'''QUAND:''' 4 décembre 2014 à 18h00
*'''OÙ:''' Local M-1510, Polytechnique Montréal, 2900 Boulevard Edouard-Montpetit
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-4-decembre-malware-cote-serveur-evolution-methodes-doperation-et-forensic-linux-tickets-14635313617
*'''ÉQUIPE ACADÉMIQUE:''' Polyhack - http://polyhack.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Malware côté serveur
19:30-20:00 Période de questions

[[Image:Polyhacklogonoirpetit.png|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]

== OWASP Montréal - October 23rd - XXE : À l’assaut des analyseurs XML ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/MZviLB9-42E]] [https://youtu.be/MZviLB9-42E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau]] [https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Philippe Arteau
*'''RÉSUMÉ:''' L'utilisation d’XML est fortement répandue. Le format est utilisé pour des fichiers de configuration, pour des métadonnées, pour des documents textes, et bien plus. La prise en charge de fichiers XML n’est pas sans risque. La plupart des analyseurs XML ne sont pas sécuritaires par défaut pour le traitement de fichier externe. Cette présentation fera un survol des vulnérabilités de type « Xml eXternal Entity » et de l’étendue des risques pour différents langages de programmation. Plusieurs démonstrations sont prévues.
*'''BIO:''' Philippe est conseiller en sécurité applicative pour le Groupe Technologies Desjardins. Au quotidien, il s’occupe d’effectuer des tests d’intrusions et des revues de code. Il a découvert des vulnérabilités importantes dans plusieurs logiciels populaires incluant Google Chrome, DropBox, ESAPI et Jira.
*'''QUAND:''' 23 Octobre 2014 à 18h00
*'''OÙ:''' École de Technologie Supérieure Local A-3230, 1100 Rue Notre-Dame Ouest, Montréal, QC H3C 1K3
*'''INSCRIPTION:''' http://www.eventbrite.ca/e/owasp-montreal-23-octobre-xxe-a-lassaut-des-analyseurs-xml-tickets-13426881163
*'''PARTENAIRE ACADÉMIQUE:''' ETS - DCI http://dciets.com/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:45 Mot de bienvenue
18:45-19:45 Présentation principale - "À l’assaut des analyseurs XML" Philippe Arteau
19:45-20:00 Période de questions

[[Image:Blason_dci.png‎‎‎|150px|link=http://dciets.com/]]
[[Image:ETS-rouge-devise-impr-fond_transparent.png|150px|link=http://www.etsmtl.ca/]]

== OWASP Montreal - July 24th - Web security for DevOps: the glory is in the headers ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/6bp1NCLT-YQ]] [https://youtu.be/6bp1NCLT-YQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil]] [https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Jonathan Marcil
*'''ABSTRACT:''' DevOps is a buzzword which can be easily demystified: in essence it is a process which aims to combine the development and system administration process into one; Operations. As developers become responsible for server setup, security counter measures are evolving as well. The line between server configuration and application behaviour has been blurred. In this talk we will cover some HTTP headers in regards to security such as CORS, CSP and HSTS. We will demonstrate several forms of attack, and how they can (should) be countered.
*'''BIO:''' Jonathan is devoted to security and specialized in Web application security. His main occupation is consulting in Web security, but deep down he is a developer with a agnostic vision of programming languages. He has a diploma in Software Engineering from Ecole de Technologie Superieure and more than 10 years of experience in Information Technology and Security.
*'''WHEN:''' At noon on July 24th 2014
*'''WHERE:''' 75 Queen Street, office 3100, Montreal, QC H3C 2N6
*'''REGISTRATION:''' You can join us on site for a pizza slice but this is mainly an online event. Contact jonathan.marcil@owasp.org.
*'''WEBCAST:''' https://www.youtube.com/watch?v=6bp1NCLT-YQ
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil
*'''EVENT SPONSOR:''' Pheromone http://www.pheromone.ca/
*'''PROGRAM:'''

12:00-12:10 Welcome and quick OWASP introduction
12:10-13:10 Main presentation - "Web security for DevOps: the glory is in the headers" Jonathan Marcil
13:10-... Open discussion and questions

[[Image:Logo-phero.gif‎|link=http://www.pheromone.ca/]]

== OWASP Montreal - June 18th - Gaps in the Clouds ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz]] [https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Robert Fritz
*'''ABSTRACT:''' Cloud technology offers agility and scaling, and a chance to break away from legacy IT choices. Unfortunately, skipping traditional IT activities often results in poorly patched systems, out of date firewalls, and overprovisioned entitlements wielded by admins whose “day job” is development. Boundaries of accountability and responsibility amongst cloud providers and consumers are confusing, vague, and shift, making security difficult to manage. In such an environment, a “BP-spill” event, where cost wins over safely safety, is likely. This talk will dive down into the cracks between the layers of cloud, and share some of the exciting dirt we have seen and expect to see in coming years.”
*'''BIO:''' Robert Fritz has been practicing security his entire career. Rob started as an Air Force lieutenant at Langley AFB and later at the Pentagon in Washington DC, building and managing classified networks. Finding he was getting too far from technology after a brief stint flying, he left the military to get back to the tech, and built security tools for HP in their HP-Unix lab. Over time he found himself in more and more security design discussions, so co-authored HP’s Commercial Application Threat Analysis Methodology, building an internal consulting practice at HP. This quantitative approach, led to two pending patents, an external-facing consulting practice, and his contributions to NIST IR-7502, the Common Configuration Scoring System (CVSS follow-on). He is the former lead editor for the Center for Internet Security’s HP-UX Benchmark, and current lead for the Android Benchmark. Robert now works for Morgan Stanley as global head of the Strategic Consulting team in the Security Architecture group, and leads the team’s cloud and social-media security practices.
*'''WHEN:''' June 18th 2014
*'''WHERE:''' 700 Rue Wellington, Floor 2, Montreal, QC H3C 3S4
*'''REGISTRATION:''' http://owaspmtl18junems.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz
*'''EVENT SPONSOR:''' Morgan Stanley http://www.morganstanley.com/
*'''PROGRAM:'''

18:00-18:30 Networking and Morgan Stanley Hosted Pizza and Soft Drinks
18:30-18:45 OWASP Chapter & Morgan Stanley Welcome
18:45-19:45 Main presentation - "Gaps in the Clouds" Robert Fritz
19:45-20:00 Open discussion and questions
20:00-... Optional, informal networking at Aziatic - 626 rue Marguerite-d'Youville, Montréal, QC H3C 1W7

[[Image:Morgan_Stanley_Historical_Logo.png|link=http://www.morganstanley.com/]]

== OWASP Montréal - May 26th - Récapitulatif des challenges NorthSec ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/P8_V3RI1Ru4]] [https://youtu.be/P8_V3RI1Ru4 Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''PRÉSENTATEUR PRINCIPAL:''' Laurent Desaulniers
*'''RÉSUMÉ:''' Solutions de la compétition en sécurité NorthSec 2014 sur les sujets de XXE + SSRF, WAF Bypass, Xpath Injection, DOM Injection, HTTP Only Flag bypass et contournement de captchas. Une bonne façon d'apprendre sur ces failles que vous étiez ou non un participant de la compétition.
*'''MESSAGE DU PRÉSENTATEUR:''' Vous voyez Rao dans votre soupe? Vous voulez une solution pour un XSS avec des cookies http only? Les captchas illisibles sont un problème? Assistez à la présentation de l'OWASP!
*'''BIO:''' Laurent Desaulniers est un passionné de sécurité informatique. Il a présenté au Hackfest, au colloque RSI, à OWASP et est challenge designer à NorthSec. M. Desaulniers détient les certifications CISSP, CISM, CISA et OSCP.
*'''QUAND:''' 26 mai à 18h00
*'''OÙ:''' Local PK-1140 - Pavillon Président-Kennedy 201, Avenue du Président-Kennedy, J2X 3Y7
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-26-mai-recapitulatif-des-challenges-northsec-tickets-11724413035
*'''WEBCAST:''' https://www.youtube.com/watch?v=P8_V3RI1Ru4
*'''ÉQUIPE ACADÉMIQUE''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Récapitulatif des challenges NorthSec
19:30-20:00 Période de questions

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== Networking with infosec communities - April 21st ==

[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''RÉSUMÉ:''' En collaboration avec Montréhack, mtlsec et NorthSec, nous organisons une soirée réseautage dans un pub du centre-ville. Du plaisir garanti avec les membres de plusieurs communautés infosec de Montréal!

*'''ABSTRACT:''' In collaboration with Montréhack, mtlsec and NorthSec, we are organizing a networking evening in a pub downtown. Fun guaranteed with the other security communities in Montreal!

*'''QUAND:''' 21 Avril 2014
*'''WHEN:''' April 21st 2014

*'''OÙ/WHERE:''' BENELUX - Brasserie Artisanale 245 Sherbrooke St W Montreal, QC H2X 1X7

*'''INSCRIPTION/REGISTRATION:''' https://www.eventbrite.ca/e/montrehack-avril-april-northsec-pre-party-tickets-11232307133

*'''PARTENAIRES/PARTNERS:''' Montréhack http://montrehack.ca/ - mtlsec http://blog.mtlsec.com/ - NorthSec https://www.nsec.io/
*'''PROGRAMME:'''
18:00-21:00 Networking
21:00-23:59 Remember to drink responsibly!

== OWASP Montréal - March 27th - Panel Compétition en sécurité NorthSec ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

'''Présentation sous forme de panel - venez poser vos questions!'''

*'''RÉSUMÉ:''' Les compétitions de type Capture the Flag (CTF) sont un moyen pour les professionnels et amateurs de sécurité informatique de mettre leurs talents à l'épreuve. NorthSec est une compétition Montréalaise annuelle en sécurité appliquée, qui aura lieu cette année au Marché Bonsecours de Montréal le 25, 26 et 27 avril prochain. Elle vise à augmenter le niveau technique des professionnels de la sécurité au Québec, ainsi que de permettre à ses acteurs les plus talentueux de se démarquer.
*'''DÉTAILS:''' Le panel de jeudi, sous la forme d'un échange convivial entre les organisateurs de l'évènement et de ses participants, abordera des thèmes variés comme l'écriture de bon défis, l'infrastructure, la logistique, les inattendus, un bilan de 2013 et tout ça en passant par de savoureuses annecdotes (on l'espère). Venez en grand nombre toucher à ces légendes de la scène infosec montréalaise!
*'''PANÉLISTES:''' Gabriel Tremblay, François Proulx, Laurent Desaulniers, Stéphane Graber
*'''ANIMATEUR:''' Olivier Bilodeau
*'''QUAND:''' 27 mars 2014
*'''OÙ:''' Salle M-1510, École Polytechnique de Montréal, 2500 chemin de Polytechnique, Montréal (Québec) H3T 1J4, pavillon Lassonde
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-27-mars-panel-competition-en-securite-northsec-tickets-10918436337
*'''ÉQUIPE ACADÉMIQUE:''' Polytechnique - Polyhack http://polyhack.org/
*'''PROGRAMME:'''
18:00-18:25 Networking
18:25-18:30 Mot de bienvenue par le leader du chapitre (Jonathan Marcil)
18:30-20:00 Présentation principale : Panel NorthSsec

[[Image:Polyhack.png‎‎|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== OWASP Montreal - February 25th - Proven Strategies for Web Application Security ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane]] [https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Justin C. Klein Keane
*'''ABSTRACT:''' The rising dominance of the web as an application delivery platform has focused attacker attention squarely on the security of dynamic web applications. Application security is a complex, and shifting, field. Learn about tested and successful techniques to build safer applications, find flaws before they become vulnerabilities, and deploy applications that can detect, and resist attack.
*'''BIO:''' Justin C. Klein Keane is a security engineer and chapter leaders of OWASP in Philadelphia. For over a decade Justin has worked as a trainer, coder, and exploit developer. Justin is currently writing a book for NoStarch Press on hacking, speaks regularly at conferences, holds a masters degree in information technology from the University of Pennsylvania and is credited with hundreds of application vulnerability discoveries.
*'''WHEN:''' February 25th 2014
*'''WHERE:''' Ecole de technologie superieure, 1100 Notre-Dame Street West, Montreal, Room: A-1150
*'''REGISTRATION:''' http://owaspmtljan2014.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane
*'''ACADEMIC PARTNER:''' ETS - DCI http://dciets.com/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session and open discussion: Proven Strategies for Web Application Security
20:00-... End of the meeting in a pub

[[Image:Dciets.png‎‎‎|100px|link=http://dciets.com/]]
[[Image:Logo_ets.png|link=http://www.etsmtl.ca/]]

== OWASP Montreal - January 28th - Latest trends in Mobile Security ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/8qPyKj4FKgY]] [https://youtu.be/8qPyKj4FKgY Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx]] [https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Francois Proulx
*'''ABSTRACT:''' Last AppSecUSA 2013 had a great line up of talks, especially regarding mobile applications. This session will be covering all the hottest presentations about mobile security by doing an overview from what see saw at AppSecUSA, all with some slides and snippets of presentations that was recorded at the event. Discussion will be encouraged within the audience as this will be more a dynamic event than a regular talk.
*'''BIO:''' François Proulx is a senior mobile application developer who has worked on dozens of iOS applications since the very beginning of the Apple iOS platform. Over the past few years he has switched his focus to security. He spends a lot of his free time participating in Capture the Flag events (CTFs) and organizing the NorthSec security competition.
*'''WHEN:''' January 28th 2014
*'''WHERE:''' UQAM Room PK-1705, Pavillon Président-Kennedy (the big boat at Place des Arts) - 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' http://owaspmtl-mobilesecurity.eventbrite.ca
*'''SLIDES/CONTENT:''' [http://www.youtube.com/playlist?list=PLQtB2ug5xmvaQ9jeRWV53-F_T555GQfhW YouTube playlist]
*'''SPONSOR:''' Academic partner AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan M.)
18:30-20:00 Main session and open discussion: Mobile Security
20:00-... End of the meeting in a pub

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

==== Presentations For Download ====

[http://www.owasp.org/images/0/0d/20100209mstechdaysowaspasvssgiv01-12657916463819-phpapp02.ppt OWASP ASVS] by Sebastien Gioria (09/03/2010)

[http://www.ph-il.ca/slides/afup__authetification_forte.pdf Authentification Forte] by Philippe Gamache (02/02/2010)

[http://www.opensamm.org/downloads/OpenSAMM-1.0.ppt Software Assurance Maturity Model (OpenSAMM)] by Pravir Chandra (03/11/2009)

[http://www.owasp.org/images/d/de/Owasp-montreal-sept-17h-2009-justin-foster.pdf Crossing the Border – Javascript Exploits] by Justin Foster (17/09/2009)

[http://www.owasp.org/images/c/c2/ALaughRIAt.pdf A Laugh RIAt] by Rafal Los (07/04/2009)

[https://www.owasp.org/images/e/eb/OWASP-Montreal-24022009-RobLabbe.pptx Microsoft Security Development Lifecycle for IT] by Rob Labbe (24/02/2009)

[https://www.owasp.org/images/3/39/OWASP-Montreal-24022009-EN.pdf OWASP Goal and Top Ten 2007 for Managers - French version] by Benoit Guerette (24/02/2009)

Newer presentations are available on [https://speakerdeck.com/owaspmontreal Speaker Deck]

[[Image:Circle_owasp_logo_nowhitebackground.png|200px]]

= OWASP Foundation / Mission OWASP =
OWASP Foundation ([https://docs.google.com/a/owasp.org/presentation/d/10wi1EWFCPZwCpkB6qZaBNN8mR2XfQs8sLxcj9SCsP6c/edit?usp=sharing Overview Slides]) is a professional association of [[Membership | global members]] and is open to anyone interested in learning more about software security. Local chapters are run independently and guided by the [[Chapter_Leader_Handbook]]. As a [[About_OWASP | 501(c)(3)]] non-profit professional association your support and sponsorship of any meeting venue and/or refreshments is tax-deductible. Financial contributions should only be made online using the authorized online chapter donation button. To be a SPEAKER at ANY OWASP Chapter in the world simply review the [[Speaker_Agreement | speaker agreement]] and then contact the local chapter leader with details of what OWASP PROJECT, independent research or related software security topic you would like to present on.

La fondation OWASP est une [https://www.owasp.org/index.php/Membership association de professionnels] et elle est ouverte à tout intervenant intéressé à en apprendre davantage sur la sécurité applicative. Les chapitres locaux (dont celui de Montréal) sont gérés de façon indépendante et selon un [https://www.owasp.org/index.php/Chapter_Leader_Handbook manuel de directives à respecter].
Toute contribution financière au chapitre peut être faite en ligne en utilisant l’icône prévu à cet effet. Pour être conférencier au sein de n’importe quel chapitre à l’échelle mondiale, vous n’avez qu’à prendre connaissance du document [https://www.owasp.org/index.php/Speaker_Agreement "entente avec les conférenciers – speaker agreement"] et à joindre le responsable du chapitre Montréal avec un descriptif du sujet que vous aimeriez aborder et s’il est relié à un projet OWASP, à de la recherche indépendante ou encore le sujet en particulier, concernant la sécurité applicative, que vous souhaitez aborder.

== [[Image:Circle_owasp_logo_nowhitebackground.png|128px]] Montreal OWASP Team ==

Scope of the team is to discuss and plan local activities and meetings

=== Chapter Leaders ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique

==== Chapter leader history ====
*2008-2010 - Benoit Guerette, founder and chapter leader
*2011-2012 - Philippe Gamache, chapter leader (vice chapter-leader since 2010)
*2013-2015 - Jonathan Marcil, chapter leader
*2016-... - Anne Gauthier, Michel Bourque, Marius Popescu, Hugo Genesse, Olivier Arteau

==== Old board members ====
*Philippe Pépos Petitclerc
*Michael Robillard
*Benoit Guerette (logistics 2015)
*Alexandre Rimthong
*Mathieu Binette
*Sean Coates
*Jean-Marc Robert
*Philippe Blondin
*Benoit Guerette (founder)
*Laurent Desaulniers
 

<headertabs></headertabs>
__NOTOC__
[[Category:Canada]]

Montréal

2018-06-17T20:13:40Z

Svieg: /* Operate PCI DSS infrastructure using DevOps approach */

== Welcome & Bienvenue to the OWASP Montréal chapter ==
 
[[Image:OWASP-Montreal-Logo.png|Logo OWASP Montréal]]

The OWASP Foundation was established in 2001 as an open community and software security resource. Since then, OWASP has grown to be globally recognized as a credible source for application security standards. 
OWASP is an open community dedicated to enabling organizations to conceive, develop, acquire, operate, and maintain applications that can be trusted. All of the OWASP tools, documents, forums, and chapters are free and open to anyone interested in improving application security. We advocate approaching application security as a people, process, and technology problem because the most effective approaches to application security include improvements in all of these areas. 
OWASP is open to anyone. Anyone can attend OWASP's vendor agnostic local chapter meetings, participate in regional and global conferences, and contribute to the many OWASP projects. And anyone can start a new project, form a new chapter, or lend their expertise to help an OWASP Global Committee. 
On parle français aussi ! Le chapitre de Montréal organise plusieurs activités gratuites afin de partager les connaissances en sécurité applicative avec la communauté de développeurs et gestionnaires. Suivez-nous sur les réseaux sociaux pour connaître les dates des conférences du midi et des workshops ! 

Top documentation from OWASP includes:

* [https://www.owasp.org/index.php/Top_10_2013-Top_10 OWASP TOP 10 : The Ten Most Critical Web Application Security Risks]

* [https://www.owasp.org/images/3/33/OWASP_Application_Security_Verification_Standard_3.0.1.pdf OWASP ASVS : Application Security Verification Standard]

* [https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf OWASP Testing Guide : Penetration Testing Framework]

* [https://www.owasp.org/images/7/78/OWASP_AlphaRelease_CodeReviewGuide2.0.pdf OWASP Code Review Guide : Source Code Analysis Framework]

* [https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series OWASP Cheat Sheet : Best practices guidelines for developers]

* [https://www.owasp.org OWASP Global]

=== Chapter Leaders / Responsables du chapitre ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique
 
 Volunteers / Volontaires OWASP Montréal: 
* Simon Lacasse, Web content / Site internet
* Julien Touche, Logistique
* Jean-François Gill

== Reach our chapter / Joindre le chapitre ==

Follow OWASP's Montreal chapter's activities through social medias, register to events, watch the previous presentations and more!

Suivez les activités du chapitre OWASP Montréal via les réseaux sociaux, inscrivez-vous aux activités, visualisez les anciennes présentations et plus encore!

 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Click here] to join the local chapter mailing list.
 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Inscrivez-vous ici] à la liste de courriels du chapitre afin de recevoir les dernières nouvelles!

Want to be part of the community ?
Devenez membre de notre communauté !
[https://www.owasp.org/index.php/Membership_Map Click here / Cliquer ici]

[[Image:Eb_press_little.gif‎|OWASP Montreal Eventbrite|link=http://owaspmontreal.eventbrite.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Yt-brand-standard-logo-630px.png‎|128px|YouTube OWASP Montreal Channel|link=http://www.youtube.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Speakerdecklogo.png‎|Slides of OWASP Montreal on SpeakerDeck |link=https://speakerdeck.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]

 
[[Image:Twitter-bird-cropped-onwhite.png|@owaspmontreal on Twitter|link=https://twitter.com/owaspmontreal]]
[[Image:FacebookSquareLogo.png|OWASP Montreal Facebook page|link=https://www.facebook.com/owasp.montreal]]
[[Image:LinkedinSquareLogo.png|OWASP Montreal on LinkedIn|link=https://www.linkedin.com/groups/1379007/profile]]

[[Image:Spacer-horiz.gif‎]]

== What we do / Nos activités ==

OWASP Montreal is a really active chapter. We organize monthly conferences and workshops. All our events are free and meant to improve the knowledge and awareness of the community's developers, managers and computer security specialists. To be aware of the next event and for additional information, follow us on social medias. 

OWASP Montréal est un des chapitres les plus actifs. Nous organisons mensuellement des ateliers et conférences. Tous nos événements sont gratuits et ont pour but d'améliorer les connaissances de la communauté. Ils s'adressent donc autant aux gestionnaires qu'aux développeurs et aux spécialistes en sécurité informatique. Pour plus d'informations sur nos activités et pour être au courant des prochaines dates d'événement, suivez nous sur les réseaux sociaux. 

We also contribute to the vast OWASP knowledge base / Nous contribuons aussi aux ressources d'OWASP

We list here the projects that were started by our members under OWASP's banner. 
Nous listons ici les projets commencé par nos membres sous la banière d'OWASP. 

* [https://www.owasp.org/index.php/Vulnerability_Disclosure_Cheat_Sheet Vulnerability Disclosure Cheat Sheet]

== Sponsorship & Membership / Commandite & Adhésion ==

[[Image:Btn_donate_SM.gif|link=http://www.regonline.com/donation_1044369]] to this chapter or become a local chapter supporter.

Or consider the value of [[Membership | Individual, Corporate, or Academic Supporter membership]]. Ready to become a member? [[Image:Join_Now_BlueIcon.JPG|75px|link=https://myowasp.force.com/]]

[http://www.regonline.com/donation_1044369 Donnez] au chapitre ou devenez commanditaire du chapitre local!

[https://myowasp.force.com/ Devenez membre !] Pour en savoir davantage sur les avantages d’une adhésion individuelle, corporative ou en tant qu’institution d’enseignement, [https://www.owasp.org/index.php/Membership cliquez ici].

[[Category:OWASP Chapter]]

== Chapter Supporters / Commanditaires du chapitre ==

[https://www.owasp.org/images/9/91/OWASP_Membership_Flyer_Montreal.png All details available here / Pour tous les détails] [[File:Chapter-supporter-owasp-montreal.png|200px|link=]]

=== Platinum / Platine ===

[[Image:Gosecure-2.png|GoSecure|link=http://www.gosecure.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[File:Desjardins2-400x400.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 
 

=== Gold / Or ===

[[Image:PM_SCADA_Logo_Gris_Cybersecurite_FR.png|PM SCADA|link=http://pmscada.ca/en/]]

 
 
 

= Lunch & Learn / Workshops 2018 =

== Shipping in Pirate-Infested Waters: Practical Attack and Defense in Kubernetes ==

[[Image:Owasp-avril-2018.JPG ]]
[[Image:Owasp-avril-2018-2.JPG ]]
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/ohTq0no0ZVU ]] [https://youtu.be/ohTq0no0ZVU Watch the conference / Regarder la conférence] 
WHEN
April 30 2018
WHERE
Espace Desjardins

OWASP dans le cadre des Midis conférence est heureux d'accueillir Greg Castle. 

L'événement contiendra une diffusion de "Shipping in Pirate-Infested Waters: Practical Attack and Defense in Kubernetes" présenté à Kubecon 2017, suivi de 20 min de questions/réponses avec Greg par vidéoconférence.
 
Biographie : 
Greg est Tech Lead pour l'équipe sécurité Kubernetes et Google Container Engine chez Google. Avant GKE, Greg a travaillé dans l'équipe de réponse aux incidents de sécurité de Google, dévelopant des outils opensource d'investigations et à l'amélioration de la sécurité de Macos. Avant google, il a occupé de nombreuses positions incluant pentester, incident responder et analyste forensics.
 

== Operate PCI DSS infrastructure using DevOps approach ==

[[Image:Owasp-montreal-pci-dss-r.jpg ]]
[[Image:Owasp-montreal-pci-dss-2-r.jpg ]]
 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/owasp-operate-pcidss-infrastructure-using-devops-approch-dot-pptx-1]] [https://speakerdeck.com/owaspmontreal/owasp-operate-pcidss-infrastructure-using-devops-approch-dot-pptx-1 See the slides / Voir la présentation] 
WHEN
March 5 2018
WHERE
Espace Desjardins

OWASP dans le cadre des Midis conférence est heureux d'accueillir, M. Gaëtan Trivino. 

Notre conférencier viendra présenter l'influence de la culture devops sur les opérations d'un hébergeur international en particulier pour supporter les réglementations comme PCI DSS.
 
Biographie : 
Gaëtan est DevOps technical leader orienté cloud et automatisation réseau. Il a traversé l'Atlantique avec sa famille pour explorer de nouvelles culture de travail et se lance dans la recherche du meilleur sirop d'érable!
 

= Lunch & Learn / Workshops 2015-2017 =

== Pourquoi un hacker peut-il contourner les mesures et solutions de sécurité... ==

[[Image:Hamilton-septembre-2017-1.JPG ]]
[[Image:Hamilton-septembre-2017-2.JPG ]]
 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/endpoint-bypass-charles-hamilton]] [https://speakerdeck.com/owaspmontreal/endpoint-bypass-charles-hamilton See the slides / Voir la présentation] 
WHEN
September 18th 2017
WHERE
Espace Desjardins

OWASP dans le cadre des Midis conférence est heureux de lancer la saison 2017-2018 en accueillant, M. Charles F. Hamilton.
 
Notre conférencier viendra brosser un tableau des différents éléments qui expliquent pourquoi les mesures et les solutions de sécurité en générales qui ont la fonction de protéger les données, les applications, les réseaux ou les équipements critiques sont si souvent contournées ou carrément inefficaces contre les attaques ciblées.
 
Biographie : 
Charles F. Hamilton est un consultant en sécurité et membre d’équipe « Red Team » de calibre international. Il se spécialise en test d’intrusion et la recherche de solution proactive de sécurité.
 

== Cas d'attaques vécus : Internet des objets (IOT) - Attaques DDoS ==

[[Image:Cas_dattaques_vecus-r.jpg ]]
 
WHEN
June 19th 2017
WHERE
Espace Desjardins

Pour clore la saison printanière 2017, OWASP Montréal est fier d'accueillir au Midi Conférence, M. Christian Shink qui fera un survol de cas d'attaques vécus, des techniques utilisées et des acteurs impliqués dans ces attaques. 
L'incorporation généralisée de dispositifs «intelligents» dans les objets de la vie de tous les jours modifie la façon dont les gens et les machines interagissent les uns avec les autres. Cette incorporation offre une promesse d'une meilleure qualité de vie, une meilleure efficacité. En contrepartie, leur déploiement introduit également des vulnérabilités à la fois dans l'infrastructure qu'ils soutiennent et sur lesquels ils comptent, ainsi que dans les processus qu'ils guident. Que ce soit au niveau applicatif ou des infrastructures, ces vulnérabilités sont exploitées par des acteurs malicieux pour générer des attaques de déni de service massives et sophistiquées. Nous tenterons également de tirer des leçons afin de tenter de minimiser ce type d'attaques dans le futur. 
Christian Shink possède plus d’une dizaine d’années d’expérience en développement et sécurité d’applications. Avant de se joindre à Radware, Christian était à l’emploi d'une firme conseil où il a conseillé de nombreuses entreprises, dont de grandes banques américaines et Casinos. Il détient une certification CSSLP et est membre de l'ordre des ingénieurs du Québec.
 

== HOW TO! Threat Modeling Toolkit ==

[[Image:OWASPMtl-JonathanMarcil-1.jpg]]
[[Image:OWASPMtl-JonathanMarcil-3.jpg]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit]] [https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit See the slides / Voir la présentation]
 
WHEN
May 23rd, 2017
WHERE
Shopify Montreal

Threat Modeling is a great way to analyze security early in software development by structuring possible attacks, bad actors and countermeasures over a broad view of the targeted system. This talk will describe basic components of a threat model and how to use them effectively.
Threat Intelligence is where you gather knowledge about the environment and business assets to determine what are the actual threats. But how do you reconcile that with the current architecture in a useful manner?
The toolkit presented in this talk will enable you to systematically structure related information using graphical notations such as flow diagram and attack tree. In case you are wondering where to start in your organization, a quick lightweight risk rating methodology will also be proposed.
And in the end, you’ll see how we can all tie those together and get threat modeling to a point where it’s an efficient application security activity for communication. Doing this will prevent security reviews from missing important things even when chaos prevails during the realization of a project.
Modeling concepts will be demonstrated with an actual IoT device used as example.
Presentation will be done in english.

Speaker Bio:
Jonathan Marcil is the former chapter leader of OWASP Montreal and is now Senior Application Security Engineer at Blizzard Entertainment in beautiful Orange County, California.
Jonathan has been involved with OWASP for many years and has been behind the Media Project which gathered and promoted AppSec conferences video content in the official OWASP YouTube channel. He was also part of NorthSec CTF event as a challenge designer specialized in Web and imaginative contraptions.
He is passionate about Application Security and enjoys architecture analysis, code review, threat modeling and debunking security tools. He holds a diploma in Software Engineering from ÉTS Montreal and has more than 15 years of experience in Information Technology and Security.

Merci à nos précieux commanditaires !

== Security Testing: Unlocking the Benefits of a Hybrid Approach ==
[[Image:Security testing hybrid approach-r 3.jpg ]]
[[Image:Security testing hybrid approach-r 4.jpg ]]
 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/hybrid-approach-to-security-testing]] [https://speakerdeck.com/owaspmontreal/hybrid-approach-to-security-testing See the slides / Voir la présentation]
 
WHEN
April 24th, 2017
WHERE
Espace Desjardins

As part of their defensive efforts, businesses commonly commission cybersecurity assessments of their web applications; with the aim of identifying any weaknesses in the security controls and ensuring a continually strong cybersecurity posture of their systems.

The classical approach of either secure code review (white box) or penetration testing (black box) assessment have proven to be effective in securing of web applications. The new trend, however, is moving towards the combination of these two approaches; expert consensus is rapidly recognizing the advantages of using a hybrid approach. When applied properly, a hybrid approach can build on the strengths of both white and black box testing, while compensating for their individual shortcomings.

In this presentation, we will examine the details of secure code review and penetration testing, and run demos to contrast their respective strengths and weaknesses. We will also examine why a hybrid approach can produce more complete and relevant assessment results. To conclude, we will cover proven approaches, and practical techniques, on how you can start leveraging a hybrid approach to web application assessments today.

Anne Gauthier is an application security analyst at GoSecure. Anne is also the president of the Montreal Chapter of OWASP – the industry standard for web application security. With a penetration testing background, she specializes in secure code reviews and in helping companies to improve their software development lifecycle (SDLC) according to industry best practices. Anne is CSSLP, GWAPT and GSSP-JAVA certified. She obtained a Software Engineering bachelor’s degree from Ecole de Technologie Supérieure in Montréal and is now pursuing a Master of Engineering (MEng) degree in Information Systems Security at Concordia University. She is the author of the Project 201 Security blog.

Merci à nos précieux commanditaires !

== "HOW-TO" NIGHT ! Tout sur les CTFs (Capture The Flag) ==

[[Image:Howto_ctf.jpg]]
 
[[Image:Presentation-link.png | Slides | link=https://docs.google.com/presentation/d/1zEsCcX-Nvq8Nz0k-B1zHejCDNT2oGZx8oUBgMbvvMM0/edit#slide=id.p ]] [https://docs.google.com/presentation/d/1zEsCcX-Nvq8Nz0k-B1zHejCDNT2oGZx8oUBgMbvvMM0/edit#slide=id.p See the slides / Voir la présentation (Laurent Desaulniers)]
[[Image:Presentation-link.png | Slides | link=https://docs.google.com/presentation/d/1c1P1d2mKe767j1Y0V9cK6De5cpnK4I7GI-ORiodbg1A/edit#slide=id.p ]] [https://docs.google.com/presentation/d/1c1P1d2mKe767j1Y0V9cK6De5cpnK4I7GI-ORiodbg1A/edit#slide=id.p See the slides / Voir la présentation (Charles Hamilton)]
[[Image:Presentation-link.png | Slides | link=http://obilodeau.github.io/slides/2017-04-04_how-not-to-suck-at-ctfs/ ]] [http://obilodeau.github.io/slides/2017-04-04_how-not-to-suck-at-ctfs/ See the slides / Voir la présentation (Olivier Bilodeau)]
 
WHEN
April 4th, 2017
WHERE
Shopify

Cette nouvelle soirée "How-To" Night d'OWASP Montréal vise à présenter les CTFs (une compétition Capture The Flag) et aider les équipes à démarrer et à continuer à évoluer dans leurs pratique de la cyber sécurité pratique. L'objectif est d'outiller les participants en leur fournissant des ressources techniques et des contacts afin de les aider à progresser.

Les éléments discutés seront:

- Composition optimale d’une équipe : Fonctionnement d’une équipe de CTF et les principaux rôles (chef d’équipe, cryptographie, application web, rétro ingénierie et les causes perdues).

- Pourquoi faire des CTFs? Discussion sur les différents styles (jeopardy, attack/defense, etc.), quels sont les problèmes fréquemments rencontrés + plusieurs anecdotes intéressantes (et drôles).

- Trucs de Mr. Unikoder : Le créateur du fameux site ringzer0team, soit un des plus gros sites pour apprendre la résolution de problèmes de CTF (https://ringzer0team.com/) Apprenez des trucs du meilleur, sur comment débuter et interpréter un challenge web, binaire et crypto avec des trucs réels du métier.

Matériel requis :

Votre légendaire enthousiasme

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement.

Présentateurs :

Charles Hamilton, Senior Consultant chez Mandiant, FireEye, Inc.

Olivier Bilodeau, Cybersecurity Research Lead at GoSecure

Laurent Desaulniers, Senior Security Solution Specialist at Bell Canada

== NorthSec - Applied Security Event ==
[[Image:Nsec_2017_midi_conf.jpg]] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/northsec-applied-security-event]] [https://speakerdeck.com/owaspmontreal/northsec-applied-security-event See the slides / Voir la présentation]
 
WHEN
April 4th, 2017
WHERE
Espace Desjardins

NorthSec: La plus grande compétition et conférence en cyber sécurité au Canada

NorthSec est un organisme sans but lucratif qui organise une conférence et une compétition de sécurité de type "Capture-The-Flag" (CTF) et des formations. Avec plus de 400 participants présents sur le site pour la compétition, c’est la plus grande compétition du genre au monde.

La conférence, dans sa 3e année, attire des présentateurs internationaux avec du contenu technique exclusif. L’ajout des séances de travail (workshops) devrait plaire aux plus chevronnés des binaires.

Des formations de 3 jours sont offertes avant la conférence: "Advanced Web Application Security" par Philippe Arteau et "Malware and Memory Forensics" par Michael Ligh, co-auteur des livres "Malware Analyst Cookbook" et "The Art of Memory Forensics".

NorthSec est situé au Marché Bonsecours dans le Vieux-Port de Montréal au printemps du 15 au 21 mai 2017.

La présentation couvrira:

- Le plan pour 2017 
- Ce qui différencie NorthSec 
- Comment équilibrer une compétition pour les débutants et les experts 
- Comment bâtir une infrastructure basée sur les conteneurs qui gère 50 équipes dans quelques serveurs sans qu’ils ne se partagent de machines virtuelles 
- Comment faire du pain au levain à grande échelle 
- Présentation de quelques défis et solutions 

Les présentateurs:

- Gabriel Tremblay, Président, Delve Labs 
- Olivier Bilodeau, VP Formations, Co-fondateur MontréHack, GoSecure 
- Pierre-David Oriol, VP Conférences, Delve Labs 
- Benoit Guérette, VP Partenaires, Desjardins 
- Laurent Desaulniers, Tisserand de drapeaux, Bell Canada 

Merci à nos précieux commanditaires !

== Sécurité des applications : Les fondements ==
[[Image:Tanya.jpeg]] 

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/securite-des-applications-les-fondements]] [https://speakerdeck.com/owaspmontreal/securite-des-applications-les-fondements See the slides / Voir la présentation]
 
WHEN
March 20th, 2017
WHERE
Espace Desjardins

OWASP Montréal est fier d’accueillir au Midi Conférence du mois de mars, Mme Tanya Janca, Co-Leader du chapitre OWASP Ottawa et spécialiste de la sécurité applicative au sein du Gouvernement fédéral.

La conférence « Les fondements de la sécurité des applications » sera présentée en anglais.

Session Description : Everyone has heard about the problem; everyone is “getting hacked”. But what is the answer? From scanning your code with a vulnerability scanner to red teaming exercises, developer education programs and bug bounties, this talk will take the audience through all the possibilities of an extensive application security program, with a detailed explanation of each part.

Bio : Tanya Janca is an application security evangelist, a web application penetration tester and vulnerability assessor, a secure code reviewer, an ethical hacker, the Co-Leader of the OWASP Ottawa chapter, and has been developing software since the late 90’s. She has worn many hats and done many things, including; Custom Apps, Ethical Hacking, COTS, Incident Response, Enterprise Architect, Project and People Management, and even Tech Support. She is currently helping the Government of Canada secure their web applications.

Merci à notre commanditaire principal de cet événement: Ubitrak!

== WORKSHOP ! Server Side Template Injection (SSTI) ==

[[Image:Workshop-okiok-SSTI-r.jpg | WORKSHOP ! Server Side Template Injection (SSTI) ]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti]] [https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti See the slides / Voir la présentation]

WHEN
22 Février 2017
WHERE
Shopify Montréal

OWASP Montreal vous invite à un atelier portant sur la sécurité des applications web supportant les moteurs de template (Template Engine). Le principe de séparation entre la présentation du site (code HTML statique) et de son contenu dynamique facilite la création de documents HTML et la capacité à modifier l'apparence du site sans mélanger le traitement et le rendu de la page. L'utilisation de moteurs de template amène de nouveaux enjeux de sécurité. Les vulnérabilités de type Server Side Template Injection (SSTI) sont exploitables à travers les données (non fiables) fournies par l'utilisateur et conduisent à l'exécution de code arbitraire (RCE) sur le serveur hébergeant l'application web. 

Ce workshop a pour but d'introduire cette classe de vulnérabilité à travers différents cas d'implémentation (php, java, python).
Nous verrons comment identifier et exploiter ces vulnérabilités et de quelle manière un attaquant peut
s'y prendre pour exécuter du code arbitraire sur le serveur afin d'en prendre le contrôle. 

Niveau : Intermédiaire 
Matériel requis :
* Votre portable
* Votre distribution Linux/Unix de votre choix
* Votre proxy Web de votre choix

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.
Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.
Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement. 

Présentateur : Gérôme Dieu 
Gérôme Dieu cumule plus de 7 années d’expérience en technologies de l’information et en sécurité.
Il œuvre à titre de conseiller senior en sécurité de l’information au sein de la firme OKIOK. Ces dernières années, il a acquis une expertise dans le domaine de la sécurité des applications web aussi bien d'un point de vue offensif que défensif. En plus de réaliser des tests d’intrusion pour des clients internationaux, Gérôme s’implique dans la recherche et développement afin de maintenir à la fine pointe de la technologie les tests d'intrusion et d'analyse de vulnérabilités. 

Merci à Shopify d'héberger l'événement ! 
[[Image:Shopify Logo-r.png| Shopify | link=https://www.shopify.com/]]
== Le courriel en 2017 – risques et menaces pour tous ==

[[Image:Zero spam 2.jpg|Le courriel en 2017 – risques et menaces pour tous]]

[[Image:Video-link.png | Link to video | link=https://www.youtube.com/watch?v=HX2vcijcCWw ]] [https://www.youtube.com/watch?v=HX2vcijcCWw Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

WHEN
Le 23 janvier 2017 à midi
WHERE
Espace Desjardins

Monsieur Poellhuber nous brossera un tableau du phénomène grandissant du rançongiciels et de l'hameçonnage, personnification. 

- Par les années passées, la menace courriel se résumait principalement en un fort volume de contenu simplement indésirable. Aujourd’hui la menace a passablement évolué. Quels sont les véritables risques actuels associés au courriel ? Rançongiciels, hameçonnage, personnification. Cette conférence présentera les nouveaux défis de sécurité pour les organisations qui doivent composer avec des attaques de plus en plus sophistiquées et de plus en plus ciblées tout en protégeant leur réputation. Des exemples biens réels, drôles et moins drôles seront disséqués pour bien dessiner l’ampleur de l’enjeu. 

M. David Poellhuber, Chef de l’exploitation, ZEROSPAM Sécurité Inc 

Note biographique : 
Monsieur David Poellhuber oeuvre dans l’industrie de la sécurité informatique depuis quinze ans. Il a été conférencier dans plusieurs forums de sécurité au Canada et est maintenant reconnu comme une autorité en matière de sécurité du courriel. Il a fondé ZEROSPAM Sécurité en 2003, le premier service Québécois externalisé de sécurité du courriel infonuagique qui se distingue par sa convivialité, son efficacité et ses technologies de détection proactives. 
Audience : Généralistes et spécialistes de la sécurité des TI
 
Merci à Ubitrack pour le repas et à Desjardins d'héberger l'événement!

[[Image:Ubitrak-r2.jpg|Ubitrak|link=http://www.ubitrak.com/fr/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]

== Effective XSS Mitigation ==

[[Image:XSS mitigation.jpg | Effective XSS Mitigation ]]

[[Image:Presentation-link.png | Slides| link=http://slides.com/olivierarteau/xss-mitigation ]] [http://slides.com/olivierarteau/xss-mitigation See the slides / Voir la présentation]

WHEN
18 Janvier 2017
WHERE
Google Montréal

FRANÇAIS/ENGLISH 
La mitigation de XSS a été un sujet important au cours des dernières années. Les navigateurs ont implémenté, en autre, deux fonctionnalités pour mitiger leur impact : l'entête "XSS-Protection" et l'entête "Content-Security-Policy". Par contre, obtenir une mitigation contre les XSS efficace est souvent plus complexe que l'on pense. Cet atelier couvrira les deux entêtes. Il expliquera comme il est possible de contourner ces protections et ce qu'il est possible de faire pour se protéger. Des exercices de type "offensif" et "défensif" seront proposés.
Mitigation for XSS as been an important topic in the last few years. Browsers have implemented two main functionalities to help mitigate the impact of XSS : the "XSS-Protection" header and the "Content-Security-Policy" header. But, getting an effective XSS mitigation of those headers is trickier than it may seem. This workshop will cover both of those headers. It will explain how bypass of those protection work and what you can do about it. It will have both "defensive" exercises and "offensive" exercises.
Niveau : débutant/intermédiaire
 
Matériel requis :

Votre portable 

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Google pour l'événement.
 
Présentateur : Olivier Arteau
 
Olivier Arteau est un professionnel en sécurité informatique depuis quelques années et fait partie de l’équipe de test d’intrusion de Desjardins. Il est aussi un amateur de CTF qui a gagné à plusieurs reprises le CTF du NorthSec avec l’équipe HackToute et participe fréquemment à d’autres CTF avec l’équipe DCIETS.
 

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

== WORKSHOP ! Top 10 OWASP - Unleash the threats ==

[[Image:Workshop-top10.jpg | WORKSHOP! Top 10 OWASP - Unleash the threats ]]

WHEN
30 novembre 2016 de 17h30 à 20h30
WHERE
Immunio @ WeWork

De nos jours, la sécurité applicative est essentielle dans l’écosystème des entreprises de toutes tailles. Les vecteurs d’attaques sont multiples, les vulnérabilités de sécurité dans les applications peuvent être désastreuses et les impacts d’un « Hack » peuvent être irréversibles pour l’entreprise; vols de données sensibles, perte de réputation, perte de $$$$$, etc.
L’objectif du workshop est de comprendre la base sur les vulnérabilités de sécurité dans les applications et les techniques d’exploitation utilisées par les pirates informatiques, en plus de connaître les bonnes pratiques de développement en matière de sécurité applicative.
Avec l'aide de WebGoat, Damn Vulnerable Web Application et de Kali Linux, vous pourrez participer
à l'exploitation des applications et découvrir les techniques utilisées par les attaquants.

Niveau : débutant

Matériel requis :
Votre portable
Kali Linux
La VM du workshop, envoyée aux participants

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places très limitées (nb = 10). Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Immunio & WeWork pour l'événement.

Présentateur : Christian Leclerc

Christian est spécialisé en conception et développement de solutions web sécuritaires. Tout au long de sa carrière, il a acquis une vaste expertise sur plusieurs types de technologies et méthodologies, intégré la sécurité dans le cycle de développement d’applications, effectué des revues de code sécurité, déployé des outils d’analyse des vulnérabilités et mis en place des systèmes d’authentification. De plus, il a participé à la conception et au développement de solutions sécuritaires de pointe comme la signature électronique à l’aide d’une infrastructure à clé publique (PKI), les authentifications fortes, le Registre des consentements au don d'organes et de tissus (RDOQ.org) et la migration de plusieurs applications web vers un environnement SOA (Service Oriented Architecture).
 Merci à Immunio & WeWork d'héberger l'événement! 

[[Image:Immunio-horizontal-r.png|Immunio|link=https://www.immun.io/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Wework-r.jpg|WeWork|link=https://www.wework.com/]]
 

== Histoire d'un Hack ==

[[Image:Histoire-dun-hack-r.jpg | Histoire d'un Hack ]]

WHEN
21 novembre 2016 à midi
WHERE
Espace Desjardins

Pour son activité du mois de novembre, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de faire l'autopsie d'une attaque de haute voltige sur un site web et des outils mis à la disposition par OWASP.

Bernard Bolduc cumule plus de 17 années d’expérience en technologies de l’information et en sécurité. Il œuvre à titre de conseiller senior en sécurité de l’information au niveau d’entreprise de classe nationale et internationale.

Bernard se spécialise en sécurité Unix, applicative et en gestion de la sécurité des télécommunications. Il combine ces expertises techniques afin d’obtenir des résultats probants et efficaces pour ces clients des secteurs bancaire, télécommunication et multimédias, de l’énergie ou des services publiques. Tout au long de sa carrière, Bernard s’est toujours maintenu à jour sur les dernières menaces de sécurité technologique et commerciale en assistant à des formations spécialisées et d'échanger avec un grand nombre de partenaires dans l'industrie de la sécurité.

La conférence débute à midi.

La conférence vous donne droit à 1 CPE et pour les 50 premières personnes, un lunch gratuit.

Merci à Desjardins d'héberger l'événement!

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite) ==

[[Image:Workshop-zap-mix.jpg | Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite)]]

WHEN
11 novembre 2016 de 18h à 21h

WHERE
Google Montréal

OWASP Zed Attack Proxy (ZAP) est un scanneur de vulnérabilités et un outil de débogage HTTP. Ce type d'outil est crucial dans un test d'intrusion web et contient un lot intéressant de fonctionnalités. Cela dit, il est possible d'étendre les fonctionnalités. Plusieurs types d'extension sont possibles : vue alternative pour les requêtes ou les réponses, scanneur passif des réponses, scanneur actif produisant des requêtes, etc.

Plusieurs options seront données, par exemple :

Détection automatique de flag dans les sources
Scanneur actif asynchrone DNS
Ou votre propre idée

Pour chacune des suggestions, des squelettes de code seront fournis pour les APIs de ZAP. Pour les utilisateurs de BurpSuite, des directives analogues seront également données.

Niveau : débutant / intermédiaire

Matériel requis

Votre portable
[https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project OWASP ZAP (gratuit)]
[https://portswigger.net/burp/download.html BurpSuite]
Éditeur de code pour Java, Python ou Ruby

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Présentateur : Philippe Arteau

Philippe est un chercheur en cybersécurité chez GoSecure. Il est l'auteur de l'outil d'analyse statique Java "Find Security Bugs". Il a découvert des vulnérabilités importantes dans les logiciels populaires tels que Google Chrome, Dropbox, Paypal, RunKeeper et Jira. Il a présenté dans différentes conférences incluant Black Hat USA, Black Hat Europe, ATL Sec Con, NorthSec, Hackfest (QC) et JavaOne. Il a développé de nombreux plug-ins pour les outils de proxy BurpSuite et OWASP ZAP (Retire.js, Reissue Request Script, PDF preview et Image Metadata). Il a fait également des contributions à d'autres plug-ins comme J2eeScan.

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

==Logiciel de rançon (Ransomware) s'attaque au domaine de la santé==

[[Image:HackingHealth-2.jpg | Logiciel de rançon (Ransomware) s'attaque au domaine de la santé ]]

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health ]] [https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health See the slides / Voir la présentation]

(Conférence en anglais)
Pour le lancement de la saison 2016 - 2017, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de la santé une incursion dans le monde du logiciel malveillant ciblant le domaine de la santé. 
Cette conférence s'intége dans le Coopérathon co-organisé par le Mouvement Desjardins et Hacking Health. 
Le domaine de la santé serait devenu une cible privilégiée des campagnes de ransomware parce que l'industrie a souvent payé la rançon demandée pour récupérer les données confidentielles et vitales de ses clients. Monsieur Ed Gershfang nous brossera un portrait du phénomène et des meilleures pratiques à mettre en place en matière de sécurité applicative.
Ed Gershfang possède une expérience solide dans l'infrastructure informatique et plus de 6 ans d'expérience dans les domaines de la sécurité de l'information, de la vulnérabilité, de la gouvernance et de la gestion des risques. Il était directeur de la sécurité pour la société PeriGen, un chef de file de développement de logiciels médicaux en Israël.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative vue par un pentesteur ==

[[Image:Juin2016-OWASPMtl.jpg | OWASP Montréal reçoit Mario Contestabile, Pentester de renom ]]
 
From Left to Right : Isabelle Lusseyran, Head of Development at Hacking Health. Eduard Gershfang Information Security Analyst at WSP | Parsons Brinckerhoff.

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile ]] [https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile See the slides / Voir la présentation]
 
Pour clore la saison 2015 – 2016, OWASP Montréal est fier d’accueillir au Midi Conférence un des architectes de renom du développement applicatif au Canada, monsieur Mario Contestabile.
En tant qu’auteur de plusieurs centaines de tests d’intrusion, il connait tous les rouages de ce qu’est véritablement une application Web «sécurisée». Mais avez-vous déjà remarqué que les rapports de tests d’intrusion mentionnent rarement, voir jamais : «Votre site est très difficile à pirater. Félicitations !» ?
Et qu’en est-il de ces rapports qui contiennent des dizaines de soi-disant vulnérabilités ? Est-ce que cela signifie d’emblée que l’application devrait être mise hors ligne ?
 
Lors de cette conférence, nous examinerons des rapports concrets (ambigus) de vulnérabilités et nous les analyserons afin de mieux comprendre si elles représentent une véritable menace, ou si elles ne servent qu’à «remplir» les rapports.
 
Avec son expertise en protection et en attaque d’applications Web, il abordera les points suivants :
Comment pouvez-vous sélectionner des systèmes de façon à mieux exécuter des protections de sécurité ?
Éviter certains pièges dans votre application Web qui rendent les attaques plus faciles et la protection plus difficile.
De nos jours, que peuvent faire les développeurs à l’intérieur de systèmes communs, qui puisse me rendre la tâche plus ardue en tant que « hacker »?
Pouvons-nous exiger de meilleurs rapports de la part des firmes de sécurité?
À quoi devrions-nous nous attendre de la part d’un « pentesters »?
Comment pouvons-nous savoir si le « pentester » a vérifié les failles de l’application et qu’il n’a pas simplement utilisé un scanneur?
Et enfin, comment pouvons-nous aider les « ethical hackers » à obtenir un meilleur rendement lors d’un test d’intrusion?
Il expliquera le sujet en détails, et ensemble, nous verrons de quelles façons les développeurs d’applications peuvent exploiter le savoir-faire des « pentesters », et comment nous pouvons faire en sorte qu’une application Web soit protégée.
Biographie :
Mario Contestabile est reconnu comme l’un des experts en sécurité les plus réputés au Canada. Son expertise, construire et protéger votre plateforme applicative. Ancien développeur C++ et Java, Mario partage ses nombreuses connaissances en « ethical hacking » et en développement de codes sécurisé.
 
WHEN
Tuesday, 14 June 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Comment protéger les applications mobiles? ==

[[Image:Avril2016-OWASPMtl.png | Comment protéger les applications mobiles? ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles ]] [https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles See the slides / Voir la présentation]
 
Dans le cadre des Midis Conférence à l'Espace Desjardins, l'équipe OWASP Montréal vous invite à assister à une présentation sur les vulnérabilités les plus communes associées aux appareils mobiles.
Marie-Claire Willig détaillera entre autres comment stocker de façon sécuritaire les données de l’application mobile ainsi que protéger l’application contre des attaques externes. Des outils simples vous seront dévoilés pour détecter ces vulnérabilités.
Marie-Claire est une professionnelle d'expérience en sécurité appliquée.
Une grande partie de son intérêt professionnel réside actuellement dans un domaine assez niche, soit la revue de code sécuritaire, un fondement important de tout cycle de développement sécuritaire en entreprise.
Au sein de l'équipe de sécurité technologique Desjardins, elle est, en autre, responsable de former les développeurs (Java et .NET principalement) afin de les sensibiliser aux meilleures pratiques de développement sécuritaire.
Également, elle est une professionnelle des tests d'intrusion sur les applications web, les applications mobiles ainsi que l'infrastructure réseau.
Bienvenue à tous
 
WHEN
Wednesday, 20 April 2016 from 12:15 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ==

[[Image:Mars2016-OWASPMtl.jpg | NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/YQtvltQYs7Y]] [https://youtu.be/YQtvltQYs7Y Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
OWASP Montréal est fier d’inviter au Midi Conférence de mars, NorthSec est le plus gros événement de sécurité appliquée au Canada qui comprend deux jours de formation, deux jours de conférences ainsi qu’une compétition du genre « capture the flag » (CTF) de trois jours.
Gabriel Tremblay, Benoit Guerette, Pierre-David Oriol et Laurent Desaulniers viendront vous parler de cet organisme sans but lucratif dynamique qui est géré par une équipe de bénévoles passionnés qui donnent à chaque année leur énergie et leur temps pour soutenir la communauté de la sécurité de l’information.
Le volet compétition, l’épreuve maîtresse, est présentée sous forme d’un scénario qui rend cohérent une centaine de défis techniques. Les équipes de participants attaquent l’infrastructure de compétition pour soutirer des drapeaux (flags) à travers un ensemble de vulnérabilités présentes comme de l’injection SQL, des XSS ou encore l’exploitation d’exécutables sur systèmes embarqués. Quelques exemples de défis des années passées seront également présentés.
Le volet conférence, qui est à sa 2ème année, met de l’avant plusieurs présentations techniques touchant la sécurité applicative mais aussi l’éthique et leurs impacts sociaux. Certaines présentations confirmées seront dévoilés.
Le tout nouveau volet formation propose deux formations en sécurité applicative de calibre international (anglais) : “Advanced Web Security Testing with Burp Pro” et “Modern Object-Oriented Malware Reverse Engineering”.
Venez aussi, découvrir comment l'équipe est partie d'une idée en 2012 pour se rendre à un évènement d'envergure, qui rassemblera plus de 600 professionnels, étudiants et autres passionnés de sécurité appliquée lors de la 4ème édition qui aura lieu du 17 au 22 mai 2016 au Marché Bonsecours.
Finalement, la mission, la vision ainsi que les activités sociales de la semaine de NorthSec sont aussi au menu de cette présentation qui sera suivie d’une période de questions.

Gabriel Tremblay, Delve Labs, Président
Benoit Guerette, Desjardins, VP Finances

Pierre-David Oriol, Delve Labs, VP Conférence
Laurent Desaulniers, Bell Canada, Artisant de drapeaux
 
WHEN
Wednesday, 23 March 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative et l'hameçonnage - February 24th ==

[[Image:Fevrier2016-OWASPMtl.jpg | La sécurité applicative et l'hameçonnage ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/1RYlOiIENjQ]] [https://youtu.be/1RYlOiIENjQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 

De nos jours, une des méthodes les plus efficaces pour contourner les périmètres de sécurité externes est l'hameçonnage conjointement avec l’abus de certaines technologies Web.

Dans le cadre ses activités, OWASP Montréal est heureux d'inviter d'accueillir, l'équipe OKIOK qui présentera les impacts liés à ce type d'attaque, tel que vu et expérimenté en entreprise ainsi que les plans d'action pour traiter ces risques. La présentation abordera aussi bien la sécurité web et applicatives, des systèmes informatiques ainsi que de la sécurité physique de centres de données.

Capture d'informations sensibles par imitations de portails Web ;
Authentification Web par 2-facteurs ;
Injection SMTP dans des formulaires Web ;
Attaque de type “Drive-by-download”;
Prise de contrôle à distance à travers des flux HTTP;
Attaque de CSRF à partir de courriels ;
Attaque d'hameçonnage basée sur des achats par Internet (ex : PayPal).
 
When
Wednesday, 24 February 2016 from 12:00 PM to 1:15 PM (EST) - Add to Calendar
Where
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest Montreal, Quebec CA

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Internet of {Things, Threats} - January 20th ==

[[Image:Janvier2016-OWASPMtl-R.png | Internet of {Things, Threats} ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html ]] [http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html See the slides / Voir la présentation]
 
De plus en plus de périphériques se retrouvent connectés sur Internet. Sous la bannière "Internet of Things" (IoT) ces équipements, que ce soit une pompe à insuline ou un système de caméra de sécurité, tournent généralement sous un système GNU/Linux embarqué d'architecture MIPS ou ARM. La difficulté de mettre à jour ces équipements ainsi que le peu d'effort mis dans la sécurité des systèmes ou la sécurité applicative en font des cibles de choix. Ces derniers mois, nous avons analysé plusieurs logiciels malveillants ciblant ces architectures. Que ce soit par l'exploitation d'une vulnérabilité (Shellshock) ou encore un défaut de configuration, ces systèmes exposés sur Internet peuvent être compromis.

Notre présentation couvrira quelques une de ces analyses:

* Linux/Moose, un malware se propageant automatiquement qui fraude les réseaux sociaux (par exemple Facebook, Twitter et YouTube)
* LizardSquad et acteurs étrangers qui utilisent des systèmes embarqués compromis pour réaliser des dénis de service distribué (DDoS)
* Win32/RBrute est un logiciel malveillant qui tente de changer les paramètres de routeurs dans le but de faire du "DNS poisoning". Il a été distribué par le populaire botnet Sality.
* Un kit d'exploits qui utilise seulement le navigateur de leur victime avec le même objectif, c'est-à-dire faire du "DNS poisoning".

Enfin, des conseils seront proposés à l'audience pour l'aider à se protéger de ces menaces.

'''Thomas Dupuy''' (twitter: @nyx__o)

Thomas est chercheur en logiciel malveillant chez ESET Canada Recherche. Bon vivant, Thomas déjeune en "reversant" des binaires, contribue à quelques projets open source durant le diner (yara, yara rules, pefile, APTnotes) et la nuit participe à des "Hacking Games" (Capture The Flag). Curieux de nature Thomas analyse des malware aux architectures "exotiques".

'''Olivier Bilodeau''' (twitter: @obilodeau)

Olivier Bilodeau is the head of Cybersecurity Research at GoSecure a consultancy firm specializing in cybersecurity services for the public and private sector. With more than 10 years of infosec experience, Olivier worked on Unix servers at Bell Canada, managed a portion of Air Canada's network, wrote open source network access control software at Inverse and worked as a Malware Researcher at ESET. He likes to reverse engineer everything that crosses his path, participate in information security capture-the-flag competitions, hack open source code and brew beer. He has spoken at various conferences (Defcon, Botconf, VirusBulletin, Derbycon, ...), used to lecture on information security at ETS University in Montreal, drives the NorthSec Hacker Jeopardy and co-organizes the MontreHack capture-the-flag training initiative. His primary research interests include reverse-engineering tools, Linux and/or embedded malware and honeypots.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Survivre aux attaques DDOS applicatives ==

[[Image:Decembre2015-OWASPMtl.jpg | Survivre aux attaques DDOS applicatives ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
Survivre aux attaques DDOS (Distributed Denial-Of-Service) applicatives.
Cette conférence s'adresse aux professionnels et gestionnaires des TI.
Conférencier : Christian Shink, ing., CSSLP, ingénieur système chez Radware, manufacturier spécialisé dans la prévention des attaques DDOS. Il fut également consultant en sécurité applicative chez In Fidem.
Objectifs de la conférence:
Présenter les tendances actuelles en matière d'attaques DDOS applicatives.
Renseigner les participants sur les techniques et stratégies pour contrer ces attaques illustrées à partir de cas vécus.
Démystifier certains mythes en ce qui concernent les façons efficaces de protéger les applications contre des attaques DDOS.
Date : 16 décembre 2015
Heure : 11h45
La conférence débute à 12h00 et se termine à 12:55.
Un lunch sera servi.
Réservez maintenant!
1 CPE
 
WHEN
Wednesday, 16 December 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Sécurité des applications - Systèmes de contrôles industriels ==

[[Image:Novembre2015-OWASPMtl-R.png | Sécurité des applications - Systèmes de contrôles industriels ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/0eAZpyiQQ9A]] [https://youtu.be/0eAZpyiQQ9A Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

La sécurité des applications et les systèmes de contrôles industriels.
Cette conférence s'adresse aux professionnels et gestionnaires des TI desinfrastructures critiques qui exploitent ou gèrent des systèmes de contrôles industriels(SCI) et SCADA (surveillance et d'acquisition de données). 
Conférenciers : Robert Nastas, CSSA. Gestionnaire de projet et Youssef Jad, Architecte Cyber sécurité, ICS-CERT 
 
Objectifs de la conférence:
* Démystifier le domaine d'affaires.
* Renseigner les participants sur les bonnes pratiques de sécurité desapplications liées au secteur industriel.
* Proposer aux professionnels et gestionnaires des TI responsables dessystèmes SCADA et SCI des pistes de solutions aux enjeux de sécurité.
 
L'équipe OWASP Montréal vous remercie d'avoir assisté en grand nombre à la conférence, 'La sécurité des applications et les systèmes de contrôles industriels'.
 
WHEN
Wednesday, 18 November 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ==

[[Image:Septembre2015-OWASPMtl.jpg | Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert ]] [https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert See the slides / Voir la présentation]
 
Pour le lancement des activités corporatives de la saison 2015 - 2016, le 8 septembre prochain à 12:00, l'équipe OWASP Montréal convie les gestionnaires et artisants de la sécurité des TIC à venir entendre monsieur Éric Hébert qui nous présentera son interprétation des préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative. L'événement se tiendra au complexe Desjardins à la salle "Espace Desjardins".

''' ÉRIC G. HÉBERT, CISM, CISSP ''' 
Après plus de 20 ans passés dans le domaine de la sécurité des technologies de l’information, Éric se spécialise dans la mise en œuvre et la gestion d'équipes performantes, capables de relever les plus hauts défis de la cybersécurité moderne. 
Capable de dialoguer avec les hauts dirigeants, il sait traduire et vulgariser les enjeux techniques complexes tout en respectant la nature et l'appétence au risque de ses clients. Dynamique et pourvu d'une expérience couvrant presque toutes les sphères de la SI, il fonce dans le respect de la culture établie tout en implantant des solutions pragmatiques et efficaces. 
Depuis plus de 10 ans, il gravite principalement autour des entreprises du domaine financier (BNC, Desjardins, Fonds de solidarité FTQ...) et les accompagne dans la mise en place de solutions efficaces tenant compte à la fois des risques et des budgets.
En plus d’avoir fondé de nombreuses associations telles que le RéseauSécurIT et le RPSI, il maintient une présence régulière auprès des milieux associatifs professionnels et partage régulièrement ses expériences lors de conférences et d'entrevues avec divers médias.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

= Events / Évènements =

== Owasp Montreal at [https://nsec.io/ NorthSec 2017] ==

[[Image:NorthSec2017-5.jpg]]
[[Image:NorthSec2017-6.jpg]]

From Left to Right: Anne Gauthier, OWASP Montréal Chapter Leader (President) and Application Security Analyst at GoSecure, Hugo Genesse, OWASP Montréal Chapter Leader and Research Intern at PNF Software, Julien, OWASP Montréal Chapter Leader

== OWASP Montreal at [https://2017.appsec.eu/ AppSec] ==

[[Image:OWASPAppSecBelfast2017-7.jpg]]

OWASP Montreal and Ottawa Chapter Leaders at OWASP AppSec Belfast, UK #WomenInAppSec

== OWASP Montreal at [https://hackfest.ca/ HackFest 2016] ==

[[Image:Hackfest2016-r.jpg| HackFest |link=https://hackfest.ca/]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Louis Nadeau, OWASP Québec Chapter Leader and Manager, Product Security at Bentley Systems and Patrick Leclerc, OWASP Québec Chapter Leader and Information Security Advisor at La Capitale.

== OWASP Montreal at OWASP [https://2016.appsecusa.org/ AppSec USA 2016, Washington] ==
 
 
[[Image:OWASPMtl-AppSecUSA2016-Washington.jpg | OWASP Montreal at AppSec USA 2016, Washington]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016, Alexandre Hamelin President at Synlabs Consulting Inc., Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [https://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

== OWASP Montréal at [https://www.gosec.net GoSec] 2016 ==

[[Image:OWASP-GoSec2016-1r.jpg|OWASP Montreal at GoSec 2016]] [[Image:OWASP-GoSec2016-2r.jpg|OWASP Montreal at GoSec 2016]]
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Simon Lacasse, student and volunteer, and Laurent Desaulniers, Security Analyst at Bell Canada.

== OWASP Montréal at [https://www.nsec.io/ NorthSec] 2016 – Annual Applied Security Event ==

[[Image:Hackfest2016-OWASPMtl.jpg|OWASP Montreal at NorthSec 2016]]

@Photo : Simon Veilleux
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Olivier Arteau OWASP Montréal Chapter Leader and Conseiller chez Groupe Technologie Desjardins, Hugo Genesse, OWASP Montréal Chapter Leader and Vulnerability Research Intern at Wurldtech Security Technologies.

== OWASP Montréal at [https://hackfest.ca/en/ Hackfest] 2015 ==

[[Image:Hackfest2015-OWASPMtl-R.JPG | OWASP Montreal at Hackfest 2015]]

@Photo : Hackfest
 
 
From left to right : Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [http://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

[[Image:Video-link.png | Link to video | link=https://youtu.be/8U0qkEuUFy8]] [https://youtu.be/8U0qkEuUFy8 Watch the video / Regarder la vidéo]

== OWASP Montréal at [https://www.gosec.net/ GoSec] 2015 – The Annual Cybersecurity Conference presented by GoSecure, EY and ISACA. ==

[[Image:GoSec2015-OWASPMtl.jpg|OWASP Montreal at GoSec 2015]]

@Photo : Marius Popescu
 
 
From left to right : Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016. Benoît Guérette, Application Security Team Leader at Desjardins, VP Finance at NorthSec and OWASP Montreal Chapter Founder and Former Chapter Leader.

== See also / Voir aussi ==

OWASP Montréal recommends Montréhack. Learn and share knowledge on IT security by solving technical challenges. Third Monday of every month.

OWASP Montréal recommende Montréhack. Apprends et partages des connaissances sur la sécurité informatique en travaillant des problèmes appliqués. Chaque troisième lundi du mois.

[[File:Montrehack.png|Montréhack|link=http://montrehack.ca/|alt=Montréhack]]

= Archives 2007-2015 =
{{:Montreal chapter past meetings}}

== OWASP Montreal - February 3rd - Getting to Know the Software Assurance Marketplace (SWAMP) ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/p4_vjufcB6Q]] [https://youtu.be/p4_vjufcB6Q Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer]] [https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Pat Beyer
*'''ADDITIONAL PRESENTER:''' Abe Megahed
*'''ABSTRACT:''' The Software Assurance Marketplace (SWAMP) is an open facility that is designed, built, and operated by four research institutions. The SWAMP provides no-cost access to an array of open-source and commercial software analysis tools. This presentation will provide an overview and demo of the SWAMP, including our goals, intended audience, current capabilities, and future plans. We will cover our relationship with OWASP, incorporation of open-source software assurance tools, and status as an open-source project and resource available to the software community. Visit https://continuousassurance.org/ to learn more about us.
*'''BIO:''' Pat Beyer serves as the Product Manager for the Software Assurance Marketplace (SWAMP). With over 25 years of experience successfully managing multi-million dollar global projects, Beyer’s expertise extends to the IT, construction, and operations sectors, with a specialization in managing government contracts and grants. A gifted communicator, Beyer is a sought after speaker due to his ability to deliver complex information about technology products and services in a way that is easily understood. He is a decorated combat veteran of the Global War on Terror, the international military campaign that started following the 9/11 terrorist attacks on the United States. In 2004, he constructed and rehabilitated over 20 schools, clinics, and water treatment plants for the Iraqi people using local contractors. Beyer also holds a Bachelor of Science, a Masters in Business Administration, a Ph.D. in Organization and Management, and a Project Management Professional (PMP) certification.
*'''BIO:''' Abe Megahed is a web developer for the Software Assurance Marketplace. In previous lifetimes, he has been a computer graphics researcher, a game programmer, a programming language and compiler nerd, a dot com company founder, a creator of helicopter simulations, and a developer of 3D simulations for NASA astronaut crew training.
*'''WHEN:''' Tuesday, February 3rd 2015
*'''WHERE:''' Room PK-1140 - UQAM Pavillon Président-Kennedy, 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' https://owaspmtlswamp2015.eventbrite.ca
*'''WEBCAST:''' https://www.youtube.com/watch?v=p4_vjufcB6Q
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer

*'''ACADEMIC PARTNER:''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session: Getting to Know the Software Assurance Marketplace
20:00-... End of the meeting

[[Image:SWAMP-Logo-Final-Med.png|300px|link=https://continuousassurance.org/]]
[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

== OWASP Montréal - 4 décembre - Malware côté serveur — évolution, méthodes d’opération et forensic Linux ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/lo8WDl-WQ3E]] [https://youtu.be/lo8WDl-WQ3E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille]] [https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Marc-Etienne M.Léveillé
*'''RÉSUMÉ:''' Les logiciels malveillants ciblant les serveurs ont évolué. Ils sont utilisés par des groupes de cybercriminels organisés dans le but de faire du profit via des redirections web et l’envoie de pourriels. La présentation portera sur Opération Windigo, une opération malveillante qui a affecté plus de 25 000 serveurs dans le monde. Après une brève description des composantes de Windigo, nous verrons comment les opérateurs déploient leurs logiciels malveillants et surveille leur réseau de serveurs infectés. Des trucs pratiques pour faire de la forensics sur des systèmes Linux seront donnés. Cette présentation est une suite à la présentation "Linux/Cdorked: Server side malware", donnée par Olivier Bilodeau à OWASP Montréal en 2013. La présentation sera en français avec des diapositives en anglais (aka Montreal-style).
*'''BIO:''' Marc-Etienne est un chercheur en logiciel malveillant chez ESET depuis 2012. Il se spécialise dans les logiciels malveillants qui s’attaquent à des plateformes inhabituelles comme aux produits fruités et aux oiseaux nordiques. Dernièrement, il passe beaucoup de son temps à faire la rétro-ingénierie de logiciels malveillants sur des serveurs Linux et s’intéresse à leurs méthodes d’opération. Il adore participer de façon collégiale aux CTFs avec ses amis les CISSP Groupies et jouer de la clarinette. Il tweet très peu à @marc_etienne_.
*'''QUAND:''' 4 décembre 2014 à 18h00
*'''OÙ:''' Local M-1510, Polytechnique Montréal, 2900 Boulevard Edouard-Montpetit
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-4-decembre-malware-cote-serveur-evolution-methodes-doperation-et-forensic-linux-tickets-14635313617
*'''ÉQUIPE ACADÉMIQUE:''' Polyhack - http://polyhack.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Malware côté serveur
19:30-20:00 Période de questions

[[Image:Polyhacklogonoirpetit.png|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]

== OWASP Montréal - October 23rd - XXE : À l’assaut des analyseurs XML ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/MZviLB9-42E]] [https://youtu.be/MZviLB9-42E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau]] [https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Philippe Arteau
*'''RÉSUMÉ:''' L'utilisation d’XML est fortement répandue. Le format est utilisé pour des fichiers de configuration, pour des métadonnées, pour des documents textes, et bien plus. La prise en charge de fichiers XML n’est pas sans risque. La plupart des analyseurs XML ne sont pas sécuritaires par défaut pour le traitement de fichier externe. Cette présentation fera un survol des vulnérabilités de type « Xml eXternal Entity » et de l’étendue des risques pour différents langages de programmation. Plusieurs démonstrations sont prévues.
*'''BIO:''' Philippe est conseiller en sécurité applicative pour le Groupe Technologies Desjardins. Au quotidien, il s’occupe d’effectuer des tests d’intrusions et des revues de code. Il a découvert des vulnérabilités importantes dans plusieurs logiciels populaires incluant Google Chrome, DropBox, ESAPI et Jira.
*'''QUAND:''' 23 Octobre 2014 à 18h00
*'''OÙ:''' École de Technologie Supérieure Local A-3230, 1100 Rue Notre-Dame Ouest, Montréal, QC H3C 1K3
*'''INSCRIPTION:''' http://www.eventbrite.ca/e/owasp-montreal-23-octobre-xxe-a-lassaut-des-analyseurs-xml-tickets-13426881163
*'''PARTENAIRE ACADÉMIQUE:''' ETS - DCI http://dciets.com/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:45 Mot de bienvenue
18:45-19:45 Présentation principale - "À l’assaut des analyseurs XML" Philippe Arteau
19:45-20:00 Période de questions

[[Image:Blason_dci.png‎‎‎|150px|link=http://dciets.com/]]
[[Image:ETS-rouge-devise-impr-fond_transparent.png|150px|link=http://www.etsmtl.ca/]]

== OWASP Montreal - July 24th - Web security for DevOps: the glory is in the headers ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/6bp1NCLT-YQ]] [https://youtu.be/6bp1NCLT-YQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil]] [https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Jonathan Marcil
*'''ABSTRACT:''' DevOps is a buzzword which can be easily demystified: in essence it is a process which aims to combine the development and system administration process into one; Operations. As developers become responsible for server setup, security counter measures are evolving as well. The line between server configuration and application behaviour has been blurred. In this talk we will cover some HTTP headers in regards to security such as CORS, CSP and HSTS. We will demonstrate several forms of attack, and how they can (should) be countered.
*'''BIO:''' Jonathan is devoted to security and specialized in Web application security. His main occupation is consulting in Web security, but deep down he is a developer with a agnostic vision of programming languages. He has a diploma in Software Engineering from Ecole de Technologie Superieure and more than 10 years of experience in Information Technology and Security.
*'''WHEN:''' At noon on July 24th 2014
*'''WHERE:''' 75 Queen Street, office 3100, Montreal, QC H3C 2N6
*'''REGISTRATION:''' You can join us on site for a pizza slice but this is mainly an online event. Contact jonathan.marcil@owasp.org.
*'''WEBCAST:''' https://www.youtube.com/watch?v=6bp1NCLT-YQ
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil
*'''EVENT SPONSOR:''' Pheromone http://www.pheromone.ca/
*'''PROGRAM:'''

12:00-12:10 Welcome and quick OWASP introduction
12:10-13:10 Main presentation - "Web security for DevOps: the glory is in the headers" Jonathan Marcil
13:10-... Open discussion and questions

[[Image:Logo-phero.gif‎|link=http://www.pheromone.ca/]]

== OWASP Montreal - June 18th - Gaps in the Clouds ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz]] [https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Robert Fritz
*'''ABSTRACT:''' Cloud technology offers agility and scaling, and a chance to break away from legacy IT choices. Unfortunately, skipping traditional IT activities often results in poorly patched systems, out of date firewalls, and overprovisioned entitlements wielded by admins whose “day job” is development. Boundaries of accountability and responsibility amongst cloud providers and consumers are confusing, vague, and shift, making security difficult to manage. In such an environment, a “BP-spill” event, where cost wins over safely safety, is likely. This talk will dive down into the cracks between the layers of cloud, and share some of the exciting dirt we have seen and expect to see in coming years.”
*'''BIO:''' Robert Fritz has been practicing security his entire career. Rob started as an Air Force lieutenant at Langley AFB and later at the Pentagon in Washington DC, building and managing classified networks. Finding he was getting too far from technology after a brief stint flying, he left the military to get back to the tech, and built security tools for HP in their HP-Unix lab. Over time he found himself in more and more security design discussions, so co-authored HP’s Commercial Application Threat Analysis Methodology, building an internal consulting practice at HP. This quantitative approach, led to two pending patents, an external-facing consulting practice, and his contributions to NIST IR-7502, the Common Configuration Scoring System (CVSS follow-on). He is the former lead editor for the Center for Internet Security’s HP-UX Benchmark, and current lead for the Android Benchmark. Robert now works for Morgan Stanley as global head of the Strategic Consulting team in the Security Architecture group, and leads the team’s cloud and social-media security practices.
*'''WHEN:''' June 18th 2014
*'''WHERE:''' 700 Rue Wellington, Floor 2, Montreal, QC H3C 3S4
*'''REGISTRATION:''' http://owaspmtl18junems.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz
*'''EVENT SPONSOR:''' Morgan Stanley http://www.morganstanley.com/
*'''PROGRAM:'''

18:00-18:30 Networking and Morgan Stanley Hosted Pizza and Soft Drinks
18:30-18:45 OWASP Chapter & Morgan Stanley Welcome
18:45-19:45 Main presentation - "Gaps in the Clouds" Robert Fritz
19:45-20:00 Open discussion and questions
20:00-... Optional, informal networking at Aziatic - 626 rue Marguerite-d'Youville, Montréal, QC H3C 1W7

[[Image:Morgan_Stanley_Historical_Logo.png|link=http://www.morganstanley.com/]]

== OWASP Montréal - May 26th - Récapitulatif des challenges NorthSec ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/P8_V3RI1Ru4]] [https://youtu.be/P8_V3RI1Ru4 Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''PRÉSENTATEUR PRINCIPAL:''' Laurent Desaulniers
*'''RÉSUMÉ:''' Solutions de la compétition en sécurité NorthSec 2014 sur les sujets de XXE + SSRF, WAF Bypass, Xpath Injection, DOM Injection, HTTP Only Flag bypass et contournement de captchas. Une bonne façon d'apprendre sur ces failles que vous étiez ou non un participant de la compétition.
*'''MESSAGE DU PRÉSENTATEUR:''' Vous voyez Rao dans votre soupe? Vous voulez une solution pour un XSS avec des cookies http only? Les captchas illisibles sont un problème? Assistez à la présentation de l'OWASP!
*'''BIO:''' Laurent Desaulniers est un passionné de sécurité informatique. Il a présenté au Hackfest, au colloque RSI, à OWASP et est challenge designer à NorthSec. M. Desaulniers détient les certifications CISSP, CISM, CISA et OSCP.
*'''QUAND:''' 26 mai à 18h00
*'''OÙ:''' Local PK-1140 - Pavillon Président-Kennedy 201, Avenue du Président-Kennedy, J2X 3Y7
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-26-mai-recapitulatif-des-challenges-northsec-tickets-11724413035
*'''WEBCAST:''' https://www.youtube.com/watch?v=P8_V3RI1Ru4
*'''ÉQUIPE ACADÉMIQUE''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Récapitulatif des challenges NorthSec
19:30-20:00 Période de questions

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== Networking with infosec communities - April 21st ==

[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''RÉSUMÉ:''' En collaboration avec Montréhack, mtlsec et NorthSec, nous organisons une soirée réseautage dans un pub du centre-ville. Du plaisir garanti avec les membres de plusieurs communautés infosec de Montréal!

*'''ABSTRACT:''' In collaboration with Montréhack, mtlsec and NorthSec, we are organizing a networking evening in a pub downtown. Fun guaranteed with the other security communities in Montreal!

*'''QUAND:''' 21 Avril 2014
*'''WHEN:''' April 21st 2014

*'''OÙ/WHERE:''' BENELUX - Brasserie Artisanale 245 Sherbrooke St W Montreal, QC H2X 1X7

*'''INSCRIPTION/REGISTRATION:''' https://www.eventbrite.ca/e/montrehack-avril-april-northsec-pre-party-tickets-11232307133

*'''PARTENAIRES/PARTNERS:''' Montréhack http://montrehack.ca/ - mtlsec http://blog.mtlsec.com/ - NorthSec https://www.nsec.io/
*'''PROGRAMME:'''
18:00-21:00 Networking
21:00-23:59 Remember to drink responsibly!

== OWASP Montréal - March 27th - Panel Compétition en sécurité NorthSec ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

'''Présentation sous forme de panel - venez poser vos questions!'''

*'''RÉSUMÉ:''' Les compétitions de type Capture the Flag (CTF) sont un moyen pour les professionnels et amateurs de sécurité informatique de mettre leurs talents à l'épreuve. NorthSec est une compétition Montréalaise annuelle en sécurité appliquée, qui aura lieu cette année au Marché Bonsecours de Montréal le 25, 26 et 27 avril prochain. Elle vise à augmenter le niveau technique des professionnels de la sécurité au Québec, ainsi que de permettre à ses acteurs les plus talentueux de se démarquer.
*'''DÉTAILS:''' Le panel de jeudi, sous la forme d'un échange convivial entre les organisateurs de l'évènement et de ses participants, abordera des thèmes variés comme l'écriture de bon défis, l'infrastructure, la logistique, les inattendus, un bilan de 2013 et tout ça en passant par de savoureuses annecdotes (on l'espère). Venez en grand nombre toucher à ces légendes de la scène infosec montréalaise!
*'''PANÉLISTES:''' Gabriel Tremblay, François Proulx, Laurent Desaulniers, Stéphane Graber
*'''ANIMATEUR:''' Olivier Bilodeau
*'''QUAND:''' 27 mars 2014
*'''OÙ:''' Salle M-1510, École Polytechnique de Montréal, 2500 chemin de Polytechnique, Montréal (Québec) H3T 1J4, pavillon Lassonde
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-27-mars-panel-competition-en-securite-northsec-tickets-10918436337
*'''ÉQUIPE ACADÉMIQUE:''' Polytechnique - Polyhack http://polyhack.org/
*'''PROGRAMME:'''
18:00-18:25 Networking
18:25-18:30 Mot de bienvenue par le leader du chapitre (Jonathan Marcil)
18:30-20:00 Présentation principale : Panel NorthSsec

[[Image:Polyhack.png‎‎|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== OWASP Montreal - February 25th - Proven Strategies for Web Application Security ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane]] [https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Justin C. Klein Keane
*'''ABSTRACT:''' The rising dominance of the web as an application delivery platform has focused attacker attention squarely on the security of dynamic web applications. Application security is a complex, and shifting, field. Learn about tested and successful techniques to build safer applications, find flaws before they become vulnerabilities, and deploy applications that can detect, and resist attack.
*'''BIO:''' Justin C. Klein Keane is a security engineer and chapter leaders of OWASP in Philadelphia. For over a decade Justin has worked as a trainer, coder, and exploit developer. Justin is currently writing a book for NoStarch Press on hacking, speaks regularly at conferences, holds a masters degree in information technology from the University of Pennsylvania and is credited with hundreds of application vulnerability discoveries.
*'''WHEN:''' February 25th 2014
*'''WHERE:''' Ecole de technologie superieure, 1100 Notre-Dame Street West, Montreal, Room: A-1150
*'''REGISTRATION:''' http://owaspmtljan2014.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane
*'''ACADEMIC PARTNER:''' ETS - DCI http://dciets.com/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session and open discussion: Proven Strategies for Web Application Security
20:00-... End of the meeting in a pub

[[Image:Dciets.png‎‎‎|100px|link=http://dciets.com/]]
[[Image:Logo_ets.png|link=http://www.etsmtl.ca/]]

== OWASP Montreal - January 28th - Latest trends in Mobile Security ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/8qPyKj4FKgY]] [https://youtu.be/8qPyKj4FKgY Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx]] [https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Francois Proulx
*'''ABSTRACT:''' Last AppSecUSA 2013 had a great line up of talks, especially regarding mobile applications. This session will be covering all the hottest presentations about mobile security by doing an overview from what see saw at AppSecUSA, all with some slides and snippets of presentations that was recorded at the event. Discussion will be encouraged within the audience as this will be more a dynamic event than a regular talk.
*'''BIO:''' François Proulx is a senior mobile application developer who has worked on dozens of iOS applications since the very beginning of the Apple iOS platform. Over the past few years he has switched his focus to security. He spends a lot of his free time participating in Capture the Flag events (CTFs) and organizing the NorthSec security competition.
*'''WHEN:''' January 28th 2014
*'''WHERE:''' UQAM Room PK-1705, Pavillon Président-Kennedy (the big boat at Place des Arts) - 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' http://owaspmtl-mobilesecurity.eventbrite.ca
*'''SLIDES/CONTENT:''' [http://www.youtube.com/playlist?list=PLQtB2ug5xmvaQ9jeRWV53-F_T555GQfhW YouTube playlist]
*'''SPONSOR:''' Academic partner AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan M.)
18:30-20:00 Main session and open discussion: Mobile Security
20:00-... End of the meeting in a pub

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

==== Presentations For Download ====

[http://www.owasp.org/images/0/0d/20100209mstechdaysowaspasvssgiv01-12657916463819-phpapp02.ppt OWASP ASVS] by Sebastien Gioria (09/03/2010)

[http://www.ph-il.ca/slides/afup__authetification_forte.pdf Authentification Forte] by Philippe Gamache (02/02/2010)

[http://www.opensamm.org/downloads/OpenSAMM-1.0.ppt Software Assurance Maturity Model (OpenSAMM)] by Pravir Chandra (03/11/2009)

[http://www.owasp.org/images/d/de/Owasp-montreal-sept-17h-2009-justin-foster.pdf Crossing the Border – Javascript Exploits] by Justin Foster (17/09/2009)

[http://www.owasp.org/images/c/c2/ALaughRIAt.pdf A Laugh RIAt] by Rafal Los (07/04/2009)

[https://www.owasp.org/images/e/eb/OWASP-Montreal-24022009-RobLabbe.pptx Microsoft Security Development Lifecycle for IT] by Rob Labbe (24/02/2009)

[https://www.owasp.org/images/3/39/OWASP-Montreal-24022009-EN.pdf OWASP Goal and Top Ten 2007 for Managers - French version] by Benoit Guerette (24/02/2009)

Newer presentations are available on [https://speakerdeck.com/owaspmontreal Speaker Deck]

[[Image:Circle_owasp_logo_nowhitebackground.png|200px]]

= OWASP Foundation / Mission OWASP =
OWASP Foundation ([https://docs.google.com/a/owasp.org/presentation/d/10wi1EWFCPZwCpkB6qZaBNN8mR2XfQs8sLxcj9SCsP6c/edit?usp=sharing Overview Slides]) is a professional association of [[Membership | global members]] and is open to anyone interested in learning more about software security. Local chapters are run independently and guided by the [[Chapter_Leader_Handbook]]. As a [[About_OWASP | 501(c)(3)]] non-profit professional association your support and sponsorship of any meeting venue and/or refreshments is tax-deductible. Financial contributions should only be made online using the authorized online chapter donation button. To be a SPEAKER at ANY OWASP Chapter in the world simply review the [[Speaker_Agreement | speaker agreement]] and then contact the local chapter leader with details of what OWASP PROJECT, independent research or related software security topic you would like to present on.

La fondation OWASP est une [https://www.owasp.org/index.php/Membership association de professionnels] et elle est ouverte à tout intervenant intéressé à en apprendre davantage sur la sécurité applicative. Les chapitres locaux (dont celui de Montréal) sont gérés de façon indépendante et selon un [https://www.owasp.org/index.php/Chapter_Leader_Handbook manuel de directives à respecter].
Toute contribution financière au chapitre peut être faite en ligne en utilisant l’icône prévu à cet effet. Pour être conférencier au sein de n’importe quel chapitre à l’échelle mondiale, vous n’avez qu’à prendre connaissance du document [https://www.owasp.org/index.php/Speaker_Agreement "entente avec les conférenciers – speaker agreement"] et à joindre le responsable du chapitre Montréal avec un descriptif du sujet que vous aimeriez aborder et s’il est relié à un projet OWASP, à de la recherche indépendante ou encore le sujet en particulier, concernant la sécurité applicative, que vous souhaitez aborder.

== [[Image:Circle_owasp_logo_nowhitebackground.png|128px]] Montreal OWASP Team ==

Scope of the team is to discuss and plan local activities and meetings

=== Chapter Leaders ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique

==== Chapter leader history ====
*2008-2010 - Benoit Guerette, founder and chapter leader
*2011-2012 - Philippe Gamache, chapter leader (vice chapter-leader since 2010)
*2013-2015 - Jonathan Marcil, chapter leader
*2016-... - Anne Gauthier, Michel Bourque, Marius Popescu, Hugo Genesse, Olivier Arteau

==== Old board members ====
*Philippe Pépos Petitclerc
*Michael Robillard
*Benoit Guerette (logistics 2015)
*Alexandre Rimthong
*Mathieu Binette
*Sean Coates
*Jean-Marc Robert
*Philippe Blondin
*Benoit Guerette (founder)
*Laurent Desaulniers
 

<headertabs></headertabs>
__NOTOC__
[[Category:Canada]]

Montréal

2018-05-13T02:25:34Z

Svieg: /* Operate PCI DSS infrastructure using DevOps approach */

== Welcome & Bienvenue to the OWASP Montréal chapter ==
 
[[Image:OWASP-Montreal-Logo.png|Logo OWASP Montréal]]

The OWASP Foundation was established in 2001 as an open community and software security resource. Since then, OWASP has grown to be globally recognized as a credible source for application security standards. 
OWASP is an open community dedicated to enabling organizations to conceive, develop, acquire, operate, and maintain applications that can be trusted. All of the OWASP tools, documents, forums, and chapters are free and open to anyone interested in improving application security. We advocate approaching application security as a people, process, and technology problem because the most effective approaches to application security include improvements in all of these areas. 
OWASP is open to anyone. Anyone can attend OWASP's vendor agnostic local chapter meetings, participate in regional and global conferences, and contribute to the many OWASP projects. And anyone can start a new project, form a new chapter, or lend their expertise to help an OWASP Global Committee. 
On parle français aussi ! Le chapitre de Montréal organise plusieurs activités gratuites afin de partager les connaissances en sécurité applicative avec la communauté de développeurs et gestionnaires. Suivez-nous sur les réseaux sociaux pour connaître les dates des conférences du midi et des workshops ! 

Top documentation from OWASP includes:

* [https://www.owasp.org/index.php/Top_10_2013-Top_10 OWASP TOP 10 : The Ten Most Critical Web Application Security Risks]

* [https://www.owasp.org/images/3/33/OWASP_Application_Security_Verification_Standard_3.0.1.pdf OWASP ASVS : Application Security Verification Standard]

* [https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf OWASP Testing Guide : Penetration Testing Framework]

* [https://www.owasp.org/images/7/78/OWASP_AlphaRelease_CodeReviewGuide2.0.pdf OWASP Code Review Guide : Source Code Analysis Framework]

* [https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series OWASP Cheat Sheet : Best practices guidelines for developers]

* [https://www.owasp.org OWASP Global]

=== Chapter Leaders / Responsables du chapitre ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique
 
 Volunteers / Volontaires OWASP Montréal: 
* Simon Lacasse, Web content / Site internet
* Julien Touche, Logistique
* Jean-François Gill

== Reach our chapter / Joindre le chapitre ==

Follow OWASP's Montreal chapter's activities through social medias, register to events, watch the previous presentations and more!

Suivez les activités du chapitre OWASP Montréal via les réseaux sociaux, inscrivez-vous aux activités, visualisez les anciennes présentations et plus encore!

 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Click here] to join the local chapter mailing list.
 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Inscrivez-vous ici] à la liste de courriels du chapitre afin de recevoir les dernières nouvelles!

Want to be part of the community ?
Devenez membre de notre communauté !
[https://www.owasp.org/index.php/Membership_Map Click here / Cliquer ici]

[[Image:Eb_press_little.gif‎|OWASP Montreal Eventbrite|link=http://owaspmontreal.eventbrite.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Yt-brand-standard-logo-630px.png‎|128px|YouTube OWASP Montreal Channel|link=http://www.youtube.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Speakerdecklogo.png‎|Slides of OWASP Montreal on SpeakerDeck |link=https://speakerdeck.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]

 
[[Image:Twitter-bird-cropped-onwhite.png|@owaspmontreal on Twitter|link=https://twitter.com/owaspmontreal]]
[[Image:FacebookSquareLogo.png|OWASP Montreal Facebook page|link=https://www.facebook.com/owasp.montreal]]
[[Image:LinkedinSquareLogo.png|OWASP Montreal on LinkedIn|link=https://www.linkedin.com/groups/1379007/profile]]

[[Image:Spacer-horiz.gif‎]]

== What we do / Nos activités ==

OWASP Montreal is a really active chapter. We organize monthly conferences and workshops. All our events are free and meant to improve the knowledge and awareness of the community's developers, managers and computer security specialists. To be aware of the next event and for additional information, follow us on social medias. 

OWASP Montréal est un des chapitres les plus actifs. Nous organisons mensuellement des ateliers et conférences. Tous nos événements sont gratuits et ont pour but d'améliorer les connaissances de la communauté. Ils s'adressent donc autant aux gestionnaires qu'aux développeurs et aux spécialistes en sécurité informatique. Pour plus d'informations sur nos activités et pour être au courant des prochaines dates d'événement, suivez nous sur les réseaux sociaux. 

We also contribute to the vast OWASP knowledge base / Nous contribuons aussi aux ressources d'OWASP

We list here the projects that were started by our members under OWASP's banner. 
Nous listons ici les projets commencé par nos membres sous la banière d'OWASP. 

* [https://www.owasp.org/index.php/Vulnerability_Disclosure_Cheat_Sheet Vulnerability Disclosure Cheat Sheet]

== Sponsorship & Membership / Commandite & Adhésion ==

[[Image:Btn_donate_SM.gif|link=http://www.regonline.com/donation_1044369]] to this chapter or become a local chapter supporter.

Or consider the value of [[Membership | Individual, Corporate, or Academic Supporter membership]]. Ready to become a member? [[Image:Join_Now_BlueIcon.JPG|75px|link=https://myowasp.force.com/]]

[http://www.regonline.com/donation_1044369 Donnez] au chapitre ou devenez commanditaire du chapitre local!

[https://myowasp.force.com/ Devenez membre !] Pour en savoir davantage sur les avantages d’une adhésion individuelle, corporative ou en tant qu’institution d’enseignement, [https://www.owasp.org/index.php/Membership cliquez ici].

[[Category:OWASP Chapter]]

== Chapter Supporters / Commanditaires du chapitre ==

[https://www.owasp.org/images/9/91/OWASP_Membership_Flyer_Montreal.png All details available here / Pour tous les détails] [[File:Chapter-supporter-owasp-montreal.png|200px|link=]]

=== Platinum / Platine ===

[[Image:Gosecure-2.png|GoSecure|link=http://www.gosecure.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[File:Desjardins2-400x400.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 
 

=== Gold / Or ===

[[Image:PM_SCADA_Logo_Gris_Cybersecurite_FR.png|PM SCADA|link=http://pmscada.ca/en/]]

 
 
 

= Lunch & Learn / Workshops 2018 =

== Operate PCI DSS infrastructure using DevOps approach ==

[[Image:Owasp-avril-2018.JPG ]]
[[Image:Owasp-avril-2018-2.JPG ]]
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/ohTq0no0ZVU ]] [https://youtu.be/ohTq0no0ZVU Watch the conference / Regarder la conférence] 
WHEN
April 30 2018
WHERE
Espace Desjardins

OWASP dans le cadre des Midis conférence est heureux d'accueillir Greg Castle. 

L'événement contiendra une diffusion de "Shipping in Pirate-Infested Waters: Practical Attack and Defense in Kubernetes" présenté à Kubecon 2017, suivi de 20 min de questions/réponses avec Greg par vidéoconférence.
 
Biographie : 
Greg est Tech Lead pour l'équipe sécurité Kubernetes et Google Container Engine chez Google. Avant GKE, Greg a travaillé dans l'équipe de réponse aux incidents de sécurité de Google, dévelopant des outils opensource d'investigations et à l'amélioration de la sécurité de Macos. Avant google, il a occupé de nombreuses positions incluant pentester, incident responder et analyste forensics.
 

== Operate PCI DSS infrastructure using DevOps approach ==

[[Image:Owasp-montreal-pci-dss-r.jpg ]]
[[Image:Owasp-montreal-pci-dss-2-r.jpg ]]
 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/owasp-operate-pcidss-infrastructure-using-devops-approch-dot-pptx-1]] [https://speakerdeck.com/owaspmontreal/owasp-operate-pcidss-infrastructure-using-devops-approch-dot-pptx-1 See the slides / Voir la présentation] 
WHEN
March 5 2018
WHERE
Espace Desjardins

OWASP dans le cadre des Midis conférence est heureux d'accueillir, M. Gaëtan Trivino. 

Notre conférencier viendra présenter l'influence de la culture devops sur les opérations d'un hébergeur international en particulier pour supporter les réglementations comme PCI DSS.
 
Biographie : 
Gaëtan est DevOps technical leader orienté cloud et automatisation réseau. Il a traversé l'Atlantique avec sa famille pour explorer de nouvelles culture de travail et se lance dans la recherche du meilleur sirop d'érable!
 

= Lunch & Learn / Workshops 2015-2017 =

== Pourquoi un hacker peut-il contourner les mesures et solutions de sécurité... ==

[[Image:Hamilton-septembre-2017-1.JPG ]]
[[Image:Hamilton-septembre-2017-2.JPG ]]
 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/endpoint-bypass-charles-hamilton]] [https://speakerdeck.com/owaspmontreal/endpoint-bypass-charles-hamilton See the slides / Voir la présentation] 
WHEN
September 18th 2017
WHERE
Espace Desjardins

OWASP dans le cadre des Midis conférence est heureux de lancer la saison 2017-2018 en accueillant, M. Charles F. Hamilton.
 
Notre conférencier viendra brosser un tableau des différents éléments qui expliquent pourquoi les mesures et les solutions de sécurité en générales qui ont la fonction de protéger les données, les applications, les réseaux ou les équipements critiques sont si souvent contournées ou carrément inefficaces contre les attaques ciblées.
 
Biographie : 
Charles F. Hamilton est un consultant en sécurité et membre d’équipe « Red Team » de calibre international. Il se spécialise en test d’intrusion et la recherche de solution proactive de sécurité.
 

== Cas d'attaques vécus : Internet des objets (IOT) - Attaques DDoS ==

[[Image:Cas_dattaques_vecus-r.jpg ]]
 
WHEN
June 19th 2017
WHERE
Espace Desjardins

Pour clore la saison printanière 2017, OWASP Montréal est fier d'accueillir au Midi Conférence, M. Christian Shink qui fera un survol de cas d'attaques vécus, des techniques utilisées et des acteurs impliqués dans ces attaques. 
L'incorporation généralisée de dispositifs «intelligents» dans les objets de la vie de tous les jours modifie la façon dont les gens et les machines interagissent les uns avec les autres. Cette incorporation offre une promesse d'une meilleure qualité de vie, une meilleure efficacité. En contrepartie, leur déploiement introduit également des vulnérabilités à la fois dans l'infrastructure qu'ils soutiennent et sur lesquels ils comptent, ainsi que dans les processus qu'ils guident. Que ce soit au niveau applicatif ou des infrastructures, ces vulnérabilités sont exploitées par des acteurs malicieux pour générer des attaques de déni de service massives et sophistiquées. Nous tenterons également de tirer des leçons afin de tenter de minimiser ce type d'attaques dans le futur. 
Christian Shink possède plus d’une dizaine d’années d’expérience en développement et sécurité d’applications. Avant de se joindre à Radware, Christian était à l’emploi d'une firme conseil où il a conseillé de nombreuses entreprises, dont de grandes banques américaines et Casinos. Il détient une certification CSSLP et est membre de l'ordre des ingénieurs du Québec.
 

== HOW TO! Threat Modeling Toolkit ==

[[Image:OWASPMtl-JonathanMarcil-1.jpg]]
[[Image:OWASPMtl-JonathanMarcil-3.jpg]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit]] [https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit See the slides / Voir la présentation]
 
WHEN
May 23rd, 2017
WHERE
Shopify Montreal

Threat Modeling is a great way to analyze security early in software development by structuring possible attacks, bad actors and countermeasures over a broad view of the targeted system. This talk will describe basic components of a threat model and how to use them effectively.
Threat Intelligence is where you gather knowledge about the environment and business assets to determine what are the actual threats. But how do you reconcile that with the current architecture in a useful manner?
The toolkit presented in this talk will enable you to systematically structure related information using graphical notations such as flow diagram and attack tree. In case you are wondering where to start in your organization, a quick lightweight risk rating methodology will also be proposed.
And in the end, you’ll see how we can all tie those together and get threat modeling to a point where it’s an efficient application security activity for communication. Doing this will prevent security reviews from missing important things even when chaos prevails during the realization of a project.
Modeling concepts will be demonstrated with an actual IoT device used as example.
Presentation will be done in english.

Speaker Bio:
Jonathan Marcil is the former chapter leader of OWASP Montreal and is now Senior Application Security Engineer at Blizzard Entertainment in beautiful Orange County, California.
Jonathan has been involved with OWASP for many years and has been behind the Media Project which gathered and promoted AppSec conferences video content in the official OWASP YouTube channel. He was also part of NorthSec CTF event as a challenge designer specialized in Web and imaginative contraptions.
He is passionate about Application Security and enjoys architecture analysis, code review, threat modeling and debunking security tools. He holds a diploma in Software Engineering from ÉTS Montreal and has more than 15 years of experience in Information Technology and Security.

Merci à nos précieux commanditaires !

== Security Testing: Unlocking the Benefits of a Hybrid Approach ==
[[Image:Security testing hybrid approach-r 3.jpg ]]
[[Image:Security testing hybrid approach-r 4.jpg ]]
 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/hybrid-approach-to-security-testing]] [https://speakerdeck.com/owaspmontreal/hybrid-approach-to-security-testing See the slides / Voir la présentation]
 
WHEN
April 24th, 2017
WHERE
Espace Desjardins

As part of their defensive efforts, businesses commonly commission cybersecurity assessments of their web applications; with the aim of identifying any weaknesses in the security controls and ensuring a continually strong cybersecurity posture of their systems.

The classical approach of either secure code review (white box) or penetration testing (black box) assessment have proven to be effective in securing of web applications. The new trend, however, is moving towards the combination of these two approaches; expert consensus is rapidly recognizing the advantages of using a hybrid approach. When applied properly, a hybrid approach can build on the strengths of both white and black box testing, while compensating for their individual shortcomings.

In this presentation, we will examine the details of secure code review and penetration testing, and run demos to contrast their respective strengths and weaknesses. We will also examine why a hybrid approach can produce more complete and relevant assessment results. To conclude, we will cover proven approaches, and practical techniques, on how you can start leveraging a hybrid approach to web application assessments today.

Anne Gauthier is an application security analyst at GoSecure. Anne is also the president of the Montreal Chapter of OWASP – the industry standard for web application security. With a penetration testing background, she specializes in secure code reviews and in helping companies to improve their software development lifecycle (SDLC) according to industry best practices. Anne is CSSLP, GWAPT and GSSP-JAVA certified. She obtained a Software Engineering bachelor’s degree from Ecole de Technologie Supérieure in Montréal and is now pursuing a Master of Engineering (MEng) degree in Information Systems Security at Concordia University. She is the author of the Project 201 Security blog.

Merci à nos précieux commanditaires !

== "HOW-TO" NIGHT ! Tout sur les CTFs (Capture The Flag) ==

[[Image:Howto_ctf.jpg]]
 
[[Image:Presentation-link.png | Slides | link=https://docs.google.com/presentation/d/1zEsCcX-Nvq8Nz0k-B1zHejCDNT2oGZx8oUBgMbvvMM0/edit#slide=id.p ]] [https://docs.google.com/presentation/d/1zEsCcX-Nvq8Nz0k-B1zHejCDNT2oGZx8oUBgMbvvMM0/edit#slide=id.p See the slides / Voir la présentation (Laurent Desaulniers)]
[[Image:Presentation-link.png | Slides | link=https://docs.google.com/presentation/d/1c1P1d2mKe767j1Y0V9cK6De5cpnK4I7GI-ORiodbg1A/edit#slide=id.p ]] [https://docs.google.com/presentation/d/1c1P1d2mKe767j1Y0V9cK6De5cpnK4I7GI-ORiodbg1A/edit#slide=id.p See the slides / Voir la présentation (Charles Hamilton)]
[[Image:Presentation-link.png | Slides | link=http://obilodeau.github.io/slides/2017-04-04_how-not-to-suck-at-ctfs/ ]] [http://obilodeau.github.io/slides/2017-04-04_how-not-to-suck-at-ctfs/ See the slides / Voir la présentation (Olivier Bilodeau)]
 
WHEN
April 4th, 2017
WHERE
Shopify

Cette nouvelle soirée "How-To" Night d'OWASP Montréal vise à présenter les CTFs (une compétition Capture The Flag) et aider les équipes à démarrer et à continuer à évoluer dans leurs pratique de la cyber sécurité pratique. L'objectif est d'outiller les participants en leur fournissant des ressources techniques et des contacts afin de les aider à progresser.

Les éléments discutés seront:

- Composition optimale d’une équipe : Fonctionnement d’une équipe de CTF et les principaux rôles (chef d’équipe, cryptographie, application web, rétro ingénierie et les causes perdues).

- Pourquoi faire des CTFs? Discussion sur les différents styles (jeopardy, attack/defense, etc.), quels sont les problèmes fréquemments rencontrés + plusieurs anecdotes intéressantes (et drôles).

- Trucs de Mr. Unikoder : Le créateur du fameux site ringzer0team, soit un des plus gros sites pour apprendre la résolution de problèmes de CTF (https://ringzer0team.com/) Apprenez des trucs du meilleur, sur comment débuter et interpréter un challenge web, binaire et crypto avec des trucs réels du métier.

Matériel requis :

Votre légendaire enthousiasme

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement.

Présentateurs :

Charles Hamilton, Senior Consultant chez Mandiant, FireEye, Inc.

Olivier Bilodeau, Cybersecurity Research Lead at GoSecure

Laurent Desaulniers, Senior Security Solution Specialist at Bell Canada

== NorthSec - Applied Security Event ==
[[Image:Nsec_2017_midi_conf.jpg]] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/northsec-applied-security-event]] [https://speakerdeck.com/owaspmontreal/northsec-applied-security-event See the slides / Voir la présentation]
 
WHEN
April 4th, 2017
WHERE
Espace Desjardins

NorthSec: La plus grande compétition et conférence en cyber sécurité au Canada

NorthSec est un organisme sans but lucratif qui organise une conférence et une compétition de sécurité de type "Capture-The-Flag" (CTF) et des formations. Avec plus de 400 participants présents sur le site pour la compétition, c’est la plus grande compétition du genre au monde.

La conférence, dans sa 3e année, attire des présentateurs internationaux avec du contenu technique exclusif. L’ajout des séances de travail (workshops) devrait plaire aux plus chevronnés des binaires.

Des formations de 3 jours sont offertes avant la conférence: "Advanced Web Application Security" par Philippe Arteau et "Malware and Memory Forensics" par Michael Ligh, co-auteur des livres "Malware Analyst Cookbook" et "The Art of Memory Forensics".

NorthSec est situé au Marché Bonsecours dans le Vieux-Port de Montréal au printemps du 15 au 21 mai 2017.

La présentation couvrira:

- Le plan pour 2017 
- Ce qui différencie NorthSec 
- Comment équilibrer une compétition pour les débutants et les experts 
- Comment bâtir une infrastructure basée sur les conteneurs qui gère 50 équipes dans quelques serveurs sans qu’ils ne se partagent de machines virtuelles 
- Comment faire du pain au levain à grande échelle 
- Présentation de quelques défis et solutions 

Les présentateurs:

- Gabriel Tremblay, Président, Delve Labs 
- Olivier Bilodeau, VP Formations, Co-fondateur MontréHack, GoSecure 
- Pierre-David Oriol, VP Conférences, Delve Labs 
- Benoit Guérette, VP Partenaires, Desjardins 
- Laurent Desaulniers, Tisserand de drapeaux, Bell Canada 

Merci à nos précieux commanditaires !

== Sécurité des applications : Les fondements ==
[[Image:Tanya.jpeg]] 

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/securite-des-applications-les-fondements]] [https://speakerdeck.com/owaspmontreal/securite-des-applications-les-fondements See the slides / Voir la présentation]
 
WHEN
March 20th, 2017
WHERE
Espace Desjardins

OWASP Montréal est fier d’accueillir au Midi Conférence du mois de mars, Mme Tanya Janca, Co-Leader du chapitre OWASP Ottawa et spécialiste de la sécurité applicative au sein du Gouvernement fédéral.

La conférence « Les fondements de la sécurité des applications » sera présentée en anglais.

Session Description : Everyone has heard about the problem; everyone is “getting hacked”. But what is the answer? From scanning your code with a vulnerability scanner to red teaming exercises, developer education programs and bug bounties, this talk will take the audience through all the possibilities of an extensive application security program, with a detailed explanation of each part.

Bio : Tanya Janca is an application security evangelist, a web application penetration tester and vulnerability assessor, a secure code reviewer, an ethical hacker, the Co-Leader of the OWASP Ottawa chapter, and has been developing software since the late 90’s. She has worn many hats and done many things, including; Custom Apps, Ethical Hacking, COTS, Incident Response, Enterprise Architect, Project and People Management, and even Tech Support. She is currently helping the Government of Canada secure their web applications.

Merci à notre commanditaire principal de cet événement: Ubitrak!

== WORKSHOP ! Server Side Template Injection (SSTI) ==

[[Image:Workshop-okiok-SSTI-r.jpg | WORKSHOP ! Server Side Template Injection (SSTI) ]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti]] [https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti See the slides / Voir la présentation]

WHEN
22 Février 2017
WHERE
Shopify Montréal

OWASP Montreal vous invite à un atelier portant sur la sécurité des applications web supportant les moteurs de template (Template Engine). Le principe de séparation entre la présentation du site (code HTML statique) et de son contenu dynamique facilite la création de documents HTML et la capacité à modifier l'apparence du site sans mélanger le traitement et le rendu de la page. L'utilisation de moteurs de template amène de nouveaux enjeux de sécurité. Les vulnérabilités de type Server Side Template Injection (SSTI) sont exploitables à travers les données (non fiables) fournies par l'utilisateur et conduisent à l'exécution de code arbitraire (RCE) sur le serveur hébergeant l'application web. 

Ce workshop a pour but d'introduire cette classe de vulnérabilité à travers différents cas d'implémentation (php, java, python).
Nous verrons comment identifier et exploiter ces vulnérabilités et de quelle manière un attaquant peut
s'y prendre pour exécuter du code arbitraire sur le serveur afin d'en prendre le contrôle. 

Niveau : Intermédiaire 
Matériel requis :
* Votre portable
* Votre distribution Linux/Unix de votre choix
* Votre proxy Web de votre choix

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.
Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.
Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement. 

Présentateur : Gérôme Dieu 
Gérôme Dieu cumule plus de 7 années d’expérience en technologies de l’information et en sécurité.
Il œuvre à titre de conseiller senior en sécurité de l’information au sein de la firme OKIOK. Ces dernières années, il a acquis une expertise dans le domaine de la sécurité des applications web aussi bien d'un point de vue offensif que défensif. En plus de réaliser des tests d’intrusion pour des clients internationaux, Gérôme s’implique dans la recherche et développement afin de maintenir à la fine pointe de la technologie les tests d'intrusion et d'analyse de vulnérabilités. 

Merci à Shopify d'héberger l'événement ! 
[[Image:Shopify Logo-r.png| Shopify | link=https://www.shopify.com/]]
== Le courriel en 2017 – risques et menaces pour tous ==

[[Image:Zero spam 2.jpg|Le courriel en 2017 – risques et menaces pour tous]]

[[Image:Video-link.png | Link to video | link=https://www.youtube.com/watch?v=HX2vcijcCWw ]] [https://www.youtube.com/watch?v=HX2vcijcCWw Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

WHEN
Le 23 janvier 2017 à midi
WHERE
Espace Desjardins

Monsieur Poellhuber nous brossera un tableau du phénomène grandissant du rançongiciels et de l'hameçonnage, personnification. 

- Par les années passées, la menace courriel se résumait principalement en un fort volume de contenu simplement indésirable. Aujourd’hui la menace a passablement évolué. Quels sont les véritables risques actuels associés au courriel ? Rançongiciels, hameçonnage, personnification. Cette conférence présentera les nouveaux défis de sécurité pour les organisations qui doivent composer avec des attaques de plus en plus sophistiquées et de plus en plus ciblées tout en protégeant leur réputation. Des exemples biens réels, drôles et moins drôles seront disséqués pour bien dessiner l’ampleur de l’enjeu. 

M. David Poellhuber, Chef de l’exploitation, ZEROSPAM Sécurité Inc 

Note biographique : 
Monsieur David Poellhuber oeuvre dans l’industrie de la sécurité informatique depuis quinze ans. Il a été conférencier dans plusieurs forums de sécurité au Canada et est maintenant reconnu comme une autorité en matière de sécurité du courriel. Il a fondé ZEROSPAM Sécurité en 2003, le premier service Québécois externalisé de sécurité du courriel infonuagique qui se distingue par sa convivialité, son efficacité et ses technologies de détection proactives. 
Audience : Généralistes et spécialistes de la sécurité des TI
 
Merci à Ubitrack pour le repas et à Desjardins d'héberger l'événement!

[[Image:Ubitrak-r2.jpg|Ubitrak|link=http://www.ubitrak.com/fr/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]

== Effective XSS Mitigation ==

[[Image:XSS mitigation.jpg | Effective XSS Mitigation ]]

[[Image:Presentation-link.png | Slides| link=http://slides.com/olivierarteau/xss-mitigation ]] [http://slides.com/olivierarteau/xss-mitigation See the slides / Voir la présentation]

WHEN
18 Janvier 2017
WHERE
Google Montréal

FRANÇAIS/ENGLISH 
La mitigation de XSS a été un sujet important au cours des dernières années. Les navigateurs ont implémenté, en autre, deux fonctionnalités pour mitiger leur impact : l'entête "XSS-Protection" et l'entête "Content-Security-Policy". Par contre, obtenir une mitigation contre les XSS efficace est souvent plus complexe que l'on pense. Cet atelier couvrira les deux entêtes. Il expliquera comme il est possible de contourner ces protections et ce qu'il est possible de faire pour se protéger. Des exercices de type "offensif" et "défensif" seront proposés.
Mitigation for XSS as been an important topic in the last few years. Browsers have implemented two main functionalities to help mitigate the impact of XSS : the "XSS-Protection" header and the "Content-Security-Policy" header. But, getting an effective XSS mitigation of those headers is trickier than it may seem. This workshop will cover both of those headers. It will explain how bypass of those protection work and what you can do about it. It will have both "defensive" exercises and "offensive" exercises.
Niveau : débutant/intermédiaire
 
Matériel requis :

Votre portable 

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Google pour l'événement.
 
Présentateur : Olivier Arteau
 
Olivier Arteau est un professionnel en sécurité informatique depuis quelques années et fait partie de l’équipe de test d’intrusion de Desjardins. Il est aussi un amateur de CTF qui a gagné à plusieurs reprises le CTF du NorthSec avec l’équipe HackToute et participe fréquemment à d’autres CTF avec l’équipe DCIETS.
 

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

== WORKSHOP ! Top 10 OWASP - Unleash the threats ==

[[Image:Workshop-top10.jpg | WORKSHOP! Top 10 OWASP - Unleash the threats ]]

WHEN
30 novembre 2016 de 17h30 à 20h30
WHERE
Immunio @ WeWork

De nos jours, la sécurité applicative est essentielle dans l’écosystème des entreprises de toutes tailles. Les vecteurs d’attaques sont multiples, les vulnérabilités de sécurité dans les applications peuvent être désastreuses et les impacts d’un « Hack » peuvent être irréversibles pour l’entreprise; vols de données sensibles, perte de réputation, perte de $$$$$, etc.
L’objectif du workshop est de comprendre la base sur les vulnérabilités de sécurité dans les applications et les techniques d’exploitation utilisées par les pirates informatiques, en plus de connaître les bonnes pratiques de développement en matière de sécurité applicative.
Avec l'aide de WebGoat, Damn Vulnerable Web Application et de Kali Linux, vous pourrez participer
à l'exploitation des applications et découvrir les techniques utilisées par les attaquants.

Niveau : débutant

Matériel requis :
Votre portable
Kali Linux
La VM du workshop, envoyée aux participants

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places très limitées (nb = 10). Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Immunio & WeWork pour l'événement.

Présentateur : Christian Leclerc

Christian est spécialisé en conception et développement de solutions web sécuritaires. Tout au long de sa carrière, il a acquis une vaste expertise sur plusieurs types de technologies et méthodologies, intégré la sécurité dans le cycle de développement d’applications, effectué des revues de code sécurité, déployé des outils d’analyse des vulnérabilités et mis en place des systèmes d’authentification. De plus, il a participé à la conception et au développement de solutions sécuritaires de pointe comme la signature électronique à l’aide d’une infrastructure à clé publique (PKI), les authentifications fortes, le Registre des consentements au don d'organes et de tissus (RDOQ.org) et la migration de plusieurs applications web vers un environnement SOA (Service Oriented Architecture).
 Merci à Immunio & WeWork d'héberger l'événement! 

[[Image:Immunio-horizontal-r.png|Immunio|link=https://www.immun.io/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Wework-r.jpg|WeWork|link=https://www.wework.com/]]
 

== Histoire d'un Hack ==

[[Image:Histoire-dun-hack-r.jpg | Histoire d'un Hack ]]

WHEN
21 novembre 2016 à midi
WHERE
Espace Desjardins

Pour son activité du mois de novembre, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de faire l'autopsie d'une attaque de haute voltige sur un site web et des outils mis à la disposition par OWASP.

Bernard Bolduc cumule plus de 17 années d’expérience en technologies de l’information et en sécurité. Il œuvre à titre de conseiller senior en sécurité de l’information au niveau d’entreprise de classe nationale et internationale.

Bernard se spécialise en sécurité Unix, applicative et en gestion de la sécurité des télécommunications. Il combine ces expertises techniques afin d’obtenir des résultats probants et efficaces pour ces clients des secteurs bancaire, télécommunication et multimédias, de l’énergie ou des services publiques. Tout au long de sa carrière, Bernard s’est toujours maintenu à jour sur les dernières menaces de sécurité technologique et commerciale en assistant à des formations spécialisées et d'échanger avec un grand nombre de partenaires dans l'industrie de la sécurité.

La conférence débute à midi.

La conférence vous donne droit à 1 CPE et pour les 50 premières personnes, un lunch gratuit.

Merci à Desjardins d'héberger l'événement!

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite) ==

[[Image:Workshop-zap-mix.jpg | Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite)]]

WHEN
11 novembre 2016 de 18h à 21h

WHERE
Google Montréal

OWASP Zed Attack Proxy (ZAP) est un scanneur de vulnérabilités et un outil de débogage HTTP. Ce type d'outil est crucial dans un test d'intrusion web et contient un lot intéressant de fonctionnalités. Cela dit, il est possible d'étendre les fonctionnalités. Plusieurs types d'extension sont possibles : vue alternative pour les requêtes ou les réponses, scanneur passif des réponses, scanneur actif produisant des requêtes, etc.

Plusieurs options seront données, par exemple :

Détection automatique de flag dans les sources
Scanneur actif asynchrone DNS
Ou votre propre idée

Pour chacune des suggestions, des squelettes de code seront fournis pour les APIs de ZAP. Pour les utilisateurs de BurpSuite, des directives analogues seront également données.

Niveau : débutant / intermédiaire

Matériel requis

Votre portable
[https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project OWASP ZAP (gratuit)]
[https://portswigger.net/burp/download.html BurpSuite]
Éditeur de code pour Java, Python ou Ruby

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Présentateur : Philippe Arteau

Philippe est un chercheur en cybersécurité chez GoSecure. Il est l'auteur de l'outil d'analyse statique Java "Find Security Bugs". Il a découvert des vulnérabilités importantes dans les logiciels populaires tels que Google Chrome, Dropbox, Paypal, RunKeeper et Jira. Il a présenté dans différentes conférences incluant Black Hat USA, Black Hat Europe, ATL Sec Con, NorthSec, Hackfest (QC) et JavaOne. Il a développé de nombreux plug-ins pour les outils de proxy BurpSuite et OWASP ZAP (Retire.js, Reissue Request Script, PDF preview et Image Metadata). Il a fait également des contributions à d'autres plug-ins comme J2eeScan.

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

==Logiciel de rançon (Ransomware) s'attaque au domaine de la santé==

[[Image:HackingHealth-2.jpg | Logiciel de rançon (Ransomware) s'attaque au domaine de la santé ]]

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health ]] [https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health See the slides / Voir la présentation]

(Conférence en anglais)
Pour le lancement de la saison 2016 - 2017, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de la santé une incursion dans le monde du logiciel malveillant ciblant le domaine de la santé. 
Cette conférence s'intége dans le Coopérathon co-organisé par le Mouvement Desjardins et Hacking Health. 
Le domaine de la santé serait devenu une cible privilégiée des campagnes de ransomware parce que l'industrie a souvent payé la rançon demandée pour récupérer les données confidentielles et vitales de ses clients. Monsieur Ed Gershfang nous brossera un portrait du phénomène et des meilleures pratiques à mettre en place en matière de sécurité applicative.
Ed Gershfang possède une expérience solide dans l'infrastructure informatique et plus de 6 ans d'expérience dans les domaines de la sécurité de l'information, de la vulnérabilité, de la gouvernance et de la gestion des risques. Il était directeur de la sécurité pour la société PeriGen, un chef de file de développement de logiciels médicaux en Israël.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative vue par un pentesteur ==

[[Image:Juin2016-OWASPMtl.jpg | OWASP Montréal reçoit Mario Contestabile, Pentester de renom ]]
 
From Left to Right : Isabelle Lusseyran, Head of Development at Hacking Health. Eduard Gershfang Information Security Analyst at WSP | Parsons Brinckerhoff.

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile ]] [https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile See the slides / Voir la présentation]
 
Pour clore la saison 2015 – 2016, OWASP Montréal est fier d’accueillir au Midi Conférence un des architectes de renom du développement applicatif au Canada, monsieur Mario Contestabile.
En tant qu’auteur de plusieurs centaines de tests d’intrusion, il connait tous les rouages de ce qu’est véritablement une application Web «sécurisée». Mais avez-vous déjà remarqué que les rapports de tests d’intrusion mentionnent rarement, voir jamais : «Votre site est très difficile à pirater. Félicitations !» ?
Et qu’en est-il de ces rapports qui contiennent des dizaines de soi-disant vulnérabilités ? Est-ce que cela signifie d’emblée que l’application devrait être mise hors ligne ?
 
Lors de cette conférence, nous examinerons des rapports concrets (ambigus) de vulnérabilités et nous les analyserons afin de mieux comprendre si elles représentent une véritable menace, ou si elles ne servent qu’à «remplir» les rapports.
 
Avec son expertise en protection et en attaque d’applications Web, il abordera les points suivants :
Comment pouvez-vous sélectionner des systèmes de façon à mieux exécuter des protections de sécurité ?
Éviter certains pièges dans votre application Web qui rendent les attaques plus faciles et la protection plus difficile.
De nos jours, que peuvent faire les développeurs à l’intérieur de systèmes communs, qui puisse me rendre la tâche plus ardue en tant que « hacker »?
Pouvons-nous exiger de meilleurs rapports de la part des firmes de sécurité?
À quoi devrions-nous nous attendre de la part d’un « pentesters »?
Comment pouvons-nous savoir si le « pentester » a vérifié les failles de l’application et qu’il n’a pas simplement utilisé un scanneur?
Et enfin, comment pouvons-nous aider les « ethical hackers » à obtenir un meilleur rendement lors d’un test d’intrusion?
Il expliquera le sujet en détails, et ensemble, nous verrons de quelles façons les développeurs d’applications peuvent exploiter le savoir-faire des « pentesters », et comment nous pouvons faire en sorte qu’une application Web soit protégée.
Biographie :
Mario Contestabile est reconnu comme l’un des experts en sécurité les plus réputés au Canada. Son expertise, construire et protéger votre plateforme applicative. Ancien développeur C++ et Java, Mario partage ses nombreuses connaissances en « ethical hacking » et en développement de codes sécurisé.
 
WHEN
Tuesday, 14 June 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Comment protéger les applications mobiles? ==

[[Image:Avril2016-OWASPMtl.png | Comment protéger les applications mobiles? ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles ]] [https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles See the slides / Voir la présentation]
 
Dans le cadre des Midis Conférence à l'Espace Desjardins, l'équipe OWASP Montréal vous invite à assister à une présentation sur les vulnérabilités les plus communes associées aux appareils mobiles.
Marie-Claire Willig détaillera entre autres comment stocker de façon sécuritaire les données de l’application mobile ainsi que protéger l’application contre des attaques externes. Des outils simples vous seront dévoilés pour détecter ces vulnérabilités.
Marie-Claire est une professionnelle d'expérience en sécurité appliquée.
Une grande partie de son intérêt professionnel réside actuellement dans un domaine assez niche, soit la revue de code sécuritaire, un fondement important de tout cycle de développement sécuritaire en entreprise.
Au sein de l'équipe de sécurité technologique Desjardins, elle est, en autre, responsable de former les développeurs (Java et .NET principalement) afin de les sensibiliser aux meilleures pratiques de développement sécuritaire.
Également, elle est une professionnelle des tests d'intrusion sur les applications web, les applications mobiles ainsi que l'infrastructure réseau.
Bienvenue à tous
 
WHEN
Wednesday, 20 April 2016 from 12:15 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ==

[[Image:Mars2016-OWASPMtl.jpg | NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/YQtvltQYs7Y]] [https://youtu.be/YQtvltQYs7Y Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
OWASP Montréal est fier d’inviter au Midi Conférence de mars, NorthSec est le plus gros événement de sécurité appliquée au Canada qui comprend deux jours de formation, deux jours de conférences ainsi qu’une compétition du genre « capture the flag » (CTF) de trois jours.
Gabriel Tremblay, Benoit Guerette, Pierre-David Oriol et Laurent Desaulniers viendront vous parler de cet organisme sans but lucratif dynamique qui est géré par une équipe de bénévoles passionnés qui donnent à chaque année leur énergie et leur temps pour soutenir la communauté de la sécurité de l’information.
Le volet compétition, l’épreuve maîtresse, est présentée sous forme d’un scénario qui rend cohérent une centaine de défis techniques. Les équipes de participants attaquent l’infrastructure de compétition pour soutirer des drapeaux (flags) à travers un ensemble de vulnérabilités présentes comme de l’injection SQL, des XSS ou encore l’exploitation d’exécutables sur systèmes embarqués. Quelques exemples de défis des années passées seront également présentés.
Le volet conférence, qui est à sa 2ème année, met de l’avant plusieurs présentations techniques touchant la sécurité applicative mais aussi l’éthique et leurs impacts sociaux. Certaines présentations confirmées seront dévoilés.
Le tout nouveau volet formation propose deux formations en sécurité applicative de calibre international (anglais) : “Advanced Web Security Testing with Burp Pro” et “Modern Object-Oriented Malware Reverse Engineering”.
Venez aussi, découvrir comment l'équipe est partie d'une idée en 2012 pour se rendre à un évènement d'envergure, qui rassemblera plus de 600 professionnels, étudiants et autres passionnés de sécurité appliquée lors de la 4ème édition qui aura lieu du 17 au 22 mai 2016 au Marché Bonsecours.
Finalement, la mission, la vision ainsi que les activités sociales de la semaine de NorthSec sont aussi au menu de cette présentation qui sera suivie d’une période de questions.

Gabriel Tremblay, Delve Labs, Président
Benoit Guerette, Desjardins, VP Finances

Pierre-David Oriol, Delve Labs, VP Conférence
Laurent Desaulniers, Bell Canada, Artisant de drapeaux
 
WHEN
Wednesday, 23 March 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative et l'hameçonnage - February 24th ==

[[Image:Fevrier2016-OWASPMtl.jpg | La sécurité applicative et l'hameçonnage ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/1RYlOiIENjQ]] [https://youtu.be/1RYlOiIENjQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 

De nos jours, une des méthodes les plus efficaces pour contourner les périmètres de sécurité externes est l'hameçonnage conjointement avec l’abus de certaines technologies Web.

Dans le cadre ses activités, OWASP Montréal est heureux d'inviter d'accueillir, l'équipe OKIOK qui présentera les impacts liés à ce type d'attaque, tel que vu et expérimenté en entreprise ainsi que les plans d'action pour traiter ces risques. La présentation abordera aussi bien la sécurité web et applicatives, des systèmes informatiques ainsi que de la sécurité physique de centres de données.

Capture d'informations sensibles par imitations de portails Web ;
Authentification Web par 2-facteurs ;
Injection SMTP dans des formulaires Web ;
Attaque de type “Drive-by-download”;
Prise de contrôle à distance à travers des flux HTTP;
Attaque de CSRF à partir de courriels ;
Attaque d'hameçonnage basée sur des achats par Internet (ex : PayPal).
 
When
Wednesday, 24 February 2016 from 12:00 PM to 1:15 PM (EST) - Add to Calendar
Where
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest Montreal, Quebec CA

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Internet of {Things, Threats} - January 20th ==

[[Image:Janvier2016-OWASPMtl-R.png | Internet of {Things, Threats} ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html ]] [http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html See the slides / Voir la présentation]
 
De plus en plus de périphériques se retrouvent connectés sur Internet. Sous la bannière "Internet of Things" (IoT) ces équipements, que ce soit une pompe à insuline ou un système de caméra de sécurité, tournent généralement sous un système GNU/Linux embarqué d'architecture MIPS ou ARM. La difficulté de mettre à jour ces équipements ainsi que le peu d'effort mis dans la sécurité des systèmes ou la sécurité applicative en font des cibles de choix. Ces derniers mois, nous avons analysé plusieurs logiciels malveillants ciblant ces architectures. Que ce soit par l'exploitation d'une vulnérabilité (Shellshock) ou encore un défaut de configuration, ces systèmes exposés sur Internet peuvent être compromis.

Notre présentation couvrira quelques une de ces analyses:

* Linux/Moose, un malware se propageant automatiquement qui fraude les réseaux sociaux (par exemple Facebook, Twitter et YouTube)
* LizardSquad et acteurs étrangers qui utilisent des systèmes embarqués compromis pour réaliser des dénis de service distribué (DDoS)
* Win32/RBrute est un logiciel malveillant qui tente de changer les paramètres de routeurs dans le but de faire du "DNS poisoning". Il a été distribué par le populaire botnet Sality.
* Un kit d'exploits qui utilise seulement le navigateur de leur victime avec le même objectif, c'est-à-dire faire du "DNS poisoning".

Enfin, des conseils seront proposés à l'audience pour l'aider à se protéger de ces menaces.

'''Thomas Dupuy''' (twitter: @nyx__o)

Thomas est chercheur en logiciel malveillant chez ESET Canada Recherche. Bon vivant, Thomas déjeune en "reversant" des binaires, contribue à quelques projets open source durant le diner (yara, yara rules, pefile, APTnotes) et la nuit participe à des "Hacking Games" (Capture The Flag). Curieux de nature Thomas analyse des malware aux architectures "exotiques".

'''Olivier Bilodeau''' (twitter: @obilodeau)

Olivier Bilodeau is the head of Cybersecurity Research at GoSecure a consultancy firm specializing in cybersecurity services for the public and private sector. With more than 10 years of infosec experience, Olivier worked on Unix servers at Bell Canada, managed a portion of Air Canada's network, wrote open source network access control software at Inverse and worked as a Malware Researcher at ESET. He likes to reverse engineer everything that crosses his path, participate in information security capture-the-flag competitions, hack open source code and brew beer. He has spoken at various conferences (Defcon, Botconf, VirusBulletin, Derbycon, ...), used to lecture on information security at ETS University in Montreal, drives the NorthSec Hacker Jeopardy and co-organizes the MontreHack capture-the-flag training initiative. His primary research interests include reverse-engineering tools, Linux and/or embedded malware and honeypots.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Survivre aux attaques DDOS applicatives ==

[[Image:Decembre2015-OWASPMtl.jpg | Survivre aux attaques DDOS applicatives ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
Survivre aux attaques DDOS (Distributed Denial-Of-Service) applicatives.
Cette conférence s'adresse aux professionnels et gestionnaires des TI.
Conférencier : Christian Shink, ing., CSSLP, ingénieur système chez Radware, manufacturier spécialisé dans la prévention des attaques DDOS. Il fut également consultant en sécurité applicative chez In Fidem.
Objectifs de la conférence:
Présenter les tendances actuelles en matière d'attaques DDOS applicatives.
Renseigner les participants sur les techniques et stratégies pour contrer ces attaques illustrées à partir de cas vécus.
Démystifier certains mythes en ce qui concernent les façons efficaces de protéger les applications contre des attaques DDOS.
Date : 16 décembre 2015
Heure : 11h45
La conférence débute à 12h00 et se termine à 12:55.
Un lunch sera servi.
Réservez maintenant!
1 CPE
 
WHEN
Wednesday, 16 December 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Sécurité des applications - Systèmes de contrôles industriels ==

[[Image:Novembre2015-OWASPMtl-R.png | Sécurité des applications - Systèmes de contrôles industriels ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/0eAZpyiQQ9A]] [https://youtu.be/0eAZpyiQQ9A Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

La sécurité des applications et les systèmes de contrôles industriels.
Cette conférence s'adresse aux professionnels et gestionnaires des TI desinfrastructures critiques qui exploitent ou gèrent des systèmes de contrôles industriels(SCI) et SCADA (surveillance et d'acquisition de données). 
Conférenciers : Robert Nastas, CSSA. Gestionnaire de projet et Youssef Jad, Architecte Cyber sécurité, ICS-CERT 
 
Objectifs de la conférence:
* Démystifier le domaine d'affaires.
* Renseigner les participants sur les bonnes pratiques de sécurité desapplications liées au secteur industriel.
* Proposer aux professionnels et gestionnaires des TI responsables dessystèmes SCADA et SCI des pistes de solutions aux enjeux de sécurité.
 
L'équipe OWASP Montréal vous remercie d'avoir assisté en grand nombre à la conférence, 'La sécurité des applications et les systèmes de contrôles industriels'.
 
WHEN
Wednesday, 18 November 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ==

[[Image:Septembre2015-OWASPMtl.jpg | Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert ]] [https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert See the slides / Voir la présentation]
 
Pour le lancement des activités corporatives de la saison 2015 - 2016, le 8 septembre prochain à 12:00, l'équipe OWASP Montréal convie les gestionnaires et artisants de la sécurité des TIC à venir entendre monsieur Éric Hébert qui nous présentera son interprétation des préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative. L'événement se tiendra au complexe Desjardins à la salle "Espace Desjardins".

''' ÉRIC G. HÉBERT, CISM, CISSP ''' 
Après plus de 20 ans passés dans le domaine de la sécurité des technologies de l’information, Éric se spécialise dans la mise en œuvre et la gestion d'équipes performantes, capables de relever les plus hauts défis de la cybersécurité moderne. 
Capable de dialoguer avec les hauts dirigeants, il sait traduire et vulgariser les enjeux techniques complexes tout en respectant la nature et l'appétence au risque de ses clients. Dynamique et pourvu d'une expérience couvrant presque toutes les sphères de la SI, il fonce dans le respect de la culture établie tout en implantant des solutions pragmatiques et efficaces. 
Depuis plus de 10 ans, il gravite principalement autour des entreprises du domaine financier (BNC, Desjardins, Fonds de solidarité FTQ...) et les accompagne dans la mise en place de solutions efficaces tenant compte à la fois des risques et des budgets.
En plus d’avoir fondé de nombreuses associations telles que le RéseauSécurIT et le RPSI, il maintient une présence régulière auprès des milieux associatifs professionnels et partage régulièrement ses expériences lors de conférences et d'entrevues avec divers médias.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

= Events / Évènements =

== Owasp Montreal at [https://nsec.io/ NorthSec 2017] ==

[[Image:NorthSec2017-5.jpg]]
[[Image:NorthSec2017-6.jpg]]

From Left to Right: Anne Gauthier, OWASP Montréal Chapter Leader (President) and Application Security Analyst at GoSecure, Hugo Genesse, OWASP Montréal Chapter Leader and Research Intern at PNF Software, Julien, OWASP Montréal Chapter Leader

== OWASP Montreal at [https://2017.appsec.eu/ AppSec] ==

[[Image:OWASPAppSecBelfast2017-7.jpg]]

OWASP Montreal and Ottawa Chapter Leaders at OWASP AppSec Belfast, UK #WomenInAppSec

== OWASP Montreal at [https://hackfest.ca/ HackFest 2016] ==

[[Image:Hackfest2016-r.jpg| HackFest |link=https://hackfest.ca/]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Louis Nadeau, OWASP Québec Chapter Leader and Manager, Product Security at Bentley Systems and Patrick Leclerc, OWASP Québec Chapter Leader and Information Security Advisor at La Capitale.

== OWASP Montreal at OWASP [https://2016.appsecusa.org/ AppSec USA 2016, Washington] ==
 
 
[[Image:OWASPMtl-AppSecUSA2016-Washington.jpg | OWASP Montreal at AppSec USA 2016, Washington]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016, Alexandre Hamelin President at Synlabs Consulting Inc., Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [https://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

== OWASP Montréal at [https://www.gosec.net GoSec] 2016 ==

[[Image:OWASP-GoSec2016-1r.jpg|OWASP Montreal at GoSec 2016]] [[Image:OWASP-GoSec2016-2r.jpg|OWASP Montreal at GoSec 2016]]
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Simon Lacasse, student and volunteer, and Laurent Desaulniers, Security Analyst at Bell Canada.

== OWASP Montréal at [https://www.nsec.io/ NorthSec] 2016 – Annual Applied Security Event ==

[[Image:Hackfest2016-OWASPMtl.jpg|OWASP Montreal at NorthSec 2016]]

@Photo : Simon Veilleux
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Olivier Arteau OWASP Montréal Chapter Leader and Conseiller chez Groupe Technologie Desjardins, Hugo Genesse, OWASP Montréal Chapter Leader and Vulnerability Research Intern at Wurldtech Security Technologies.

== OWASP Montréal at [https://hackfest.ca/en/ Hackfest] 2015 ==

[[Image:Hackfest2015-OWASPMtl-R.JPG | OWASP Montreal at Hackfest 2015]]

@Photo : Hackfest
 
 
From left to right : Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [http://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

[[Image:Video-link.png | Link to video | link=https://youtu.be/8U0qkEuUFy8]] [https://youtu.be/8U0qkEuUFy8 Watch the video / Regarder la vidéo]

== OWASP Montréal at [https://www.gosec.net/ GoSec] 2015 – The Annual Cybersecurity Conference presented by GoSecure, EY and ISACA. ==

[[Image:GoSec2015-OWASPMtl.jpg|OWASP Montreal at GoSec 2015]]

@Photo : Marius Popescu
 
 
From left to right : Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016. Benoît Guérette, Application Security Team Leader at Desjardins, VP Finance at NorthSec and OWASP Montreal Chapter Founder and Former Chapter Leader.

== See also / Voir aussi ==

OWASP Montréal recommends Montréhack. Learn and share knowledge on IT security by solving technical challenges. Third Monday of every month.

OWASP Montréal recommende Montréhack. Apprends et partages des connaissances sur la sécurité informatique en travaillant des problèmes appliqués. Chaque troisième lundi du mois.

[[File:Montrehack.png|Montréhack|link=http://montrehack.ca/|alt=Montréhack]]

= Archives 2007-2015 =
{{:Montreal chapter past meetings}}

== OWASP Montreal - February 3rd - Getting to Know the Software Assurance Marketplace (SWAMP) ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/p4_vjufcB6Q]] [https://youtu.be/p4_vjufcB6Q Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer]] [https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Pat Beyer
*'''ADDITIONAL PRESENTER:''' Abe Megahed
*'''ABSTRACT:''' The Software Assurance Marketplace (SWAMP) is an open facility that is designed, built, and operated by four research institutions. The SWAMP provides no-cost access to an array of open-source and commercial software analysis tools. This presentation will provide an overview and demo of the SWAMP, including our goals, intended audience, current capabilities, and future plans. We will cover our relationship with OWASP, incorporation of open-source software assurance tools, and status as an open-source project and resource available to the software community. Visit https://continuousassurance.org/ to learn more about us.
*'''BIO:''' Pat Beyer serves as the Product Manager for the Software Assurance Marketplace (SWAMP). With over 25 years of experience successfully managing multi-million dollar global projects, Beyer’s expertise extends to the IT, construction, and operations sectors, with a specialization in managing government contracts and grants. A gifted communicator, Beyer is a sought after speaker due to his ability to deliver complex information about technology products and services in a way that is easily understood. He is a decorated combat veteran of the Global War on Terror, the international military campaign that started following the 9/11 terrorist attacks on the United States. In 2004, he constructed and rehabilitated over 20 schools, clinics, and water treatment plants for the Iraqi people using local contractors. Beyer also holds a Bachelor of Science, a Masters in Business Administration, a Ph.D. in Organization and Management, and a Project Management Professional (PMP) certification.
*'''BIO:''' Abe Megahed is a web developer for the Software Assurance Marketplace. In previous lifetimes, he has been a computer graphics researcher, a game programmer, a programming language and compiler nerd, a dot com company founder, a creator of helicopter simulations, and a developer of 3D simulations for NASA astronaut crew training.
*'''WHEN:''' Tuesday, February 3rd 2015
*'''WHERE:''' Room PK-1140 - UQAM Pavillon Président-Kennedy, 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' https://owaspmtlswamp2015.eventbrite.ca
*'''WEBCAST:''' https://www.youtube.com/watch?v=p4_vjufcB6Q
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer

*'''ACADEMIC PARTNER:''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session: Getting to Know the Software Assurance Marketplace
20:00-... End of the meeting

[[Image:SWAMP-Logo-Final-Med.png|300px|link=https://continuousassurance.org/]]
[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

== OWASP Montréal - 4 décembre - Malware côté serveur — évolution, méthodes d’opération et forensic Linux ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/lo8WDl-WQ3E]] [https://youtu.be/lo8WDl-WQ3E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille]] [https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Marc-Etienne M.Léveillé
*'''RÉSUMÉ:''' Les logiciels malveillants ciblant les serveurs ont évolué. Ils sont utilisés par des groupes de cybercriminels organisés dans le but de faire du profit via des redirections web et l’envoie de pourriels. La présentation portera sur Opération Windigo, une opération malveillante qui a affecté plus de 25 000 serveurs dans le monde. Après une brève description des composantes de Windigo, nous verrons comment les opérateurs déploient leurs logiciels malveillants et surveille leur réseau de serveurs infectés. Des trucs pratiques pour faire de la forensics sur des systèmes Linux seront donnés. Cette présentation est une suite à la présentation "Linux/Cdorked: Server side malware", donnée par Olivier Bilodeau à OWASP Montréal en 2013. La présentation sera en français avec des diapositives en anglais (aka Montreal-style).
*'''BIO:''' Marc-Etienne est un chercheur en logiciel malveillant chez ESET depuis 2012. Il se spécialise dans les logiciels malveillants qui s’attaquent à des plateformes inhabituelles comme aux produits fruités et aux oiseaux nordiques. Dernièrement, il passe beaucoup de son temps à faire la rétro-ingénierie de logiciels malveillants sur des serveurs Linux et s’intéresse à leurs méthodes d’opération. Il adore participer de façon collégiale aux CTFs avec ses amis les CISSP Groupies et jouer de la clarinette. Il tweet très peu à @marc_etienne_.
*'''QUAND:''' 4 décembre 2014 à 18h00
*'''OÙ:''' Local M-1510, Polytechnique Montréal, 2900 Boulevard Edouard-Montpetit
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-4-decembre-malware-cote-serveur-evolution-methodes-doperation-et-forensic-linux-tickets-14635313617
*'''ÉQUIPE ACADÉMIQUE:''' Polyhack - http://polyhack.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Malware côté serveur
19:30-20:00 Période de questions

[[Image:Polyhacklogonoirpetit.png|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]

== OWASP Montréal - October 23rd - XXE : À l’assaut des analyseurs XML ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/MZviLB9-42E]] [https://youtu.be/MZviLB9-42E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau]] [https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Philippe Arteau
*'''RÉSUMÉ:''' L'utilisation d’XML est fortement répandue. Le format est utilisé pour des fichiers de configuration, pour des métadonnées, pour des documents textes, et bien plus. La prise en charge de fichiers XML n’est pas sans risque. La plupart des analyseurs XML ne sont pas sécuritaires par défaut pour le traitement de fichier externe. Cette présentation fera un survol des vulnérabilités de type « Xml eXternal Entity » et de l’étendue des risques pour différents langages de programmation. Plusieurs démonstrations sont prévues.
*'''BIO:''' Philippe est conseiller en sécurité applicative pour le Groupe Technologies Desjardins. Au quotidien, il s’occupe d’effectuer des tests d’intrusions et des revues de code. Il a découvert des vulnérabilités importantes dans plusieurs logiciels populaires incluant Google Chrome, DropBox, ESAPI et Jira.
*'''QUAND:''' 23 Octobre 2014 à 18h00
*'''OÙ:''' École de Technologie Supérieure Local A-3230, 1100 Rue Notre-Dame Ouest, Montréal, QC H3C 1K3
*'''INSCRIPTION:''' http://www.eventbrite.ca/e/owasp-montreal-23-octobre-xxe-a-lassaut-des-analyseurs-xml-tickets-13426881163
*'''PARTENAIRE ACADÉMIQUE:''' ETS - DCI http://dciets.com/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:45 Mot de bienvenue
18:45-19:45 Présentation principale - "À l’assaut des analyseurs XML" Philippe Arteau
19:45-20:00 Période de questions

[[Image:Blason_dci.png‎‎‎|150px|link=http://dciets.com/]]
[[Image:ETS-rouge-devise-impr-fond_transparent.png|150px|link=http://www.etsmtl.ca/]]

== OWASP Montreal - July 24th - Web security for DevOps: the glory is in the headers ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/6bp1NCLT-YQ]] [https://youtu.be/6bp1NCLT-YQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil]] [https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Jonathan Marcil
*'''ABSTRACT:''' DevOps is a buzzword which can be easily demystified: in essence it is a process which aims to combine the development and system administration process into one; Operations. As developers become responsible for server setup, security counter measures are evolving as well. The line between server configuration and application behaviour has been blurred. In this talk we will cover some HTTP headers in regards to security such as CORS, CSP and HSTS. We will demonstrate several forms of attack, and how they can (should) be countered.
*'''BIO:''' Jonathan is devoted to security and specialized in Web application security. His main occupation is consulting in Web security, but deep down he is a developer with a agnostic vision of programming languages. He has a diploma in Software Engineering from Ecole de Technologie Superieure and more than 10 years of experience in Information Technology and Security.
*'''WHEN:''' At noon on July 24th 2014
*'''WHERE:''' 75 Queen Street, office 3100, Montreal, QC H3C 2N6
*'''REGISTRATION:''' You can join us on site for a pizza slice but this is mainly an online event. Contact jonathan.marcil@owasp.org.
*'''WEBCAST:''' https://www.youtube.com/watch?v=6bp1NCLT-YQ
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil
*'''EVENT SPONSOR:''' Pheromone http://www.pheromone.ca/
*'''PROGRAM:'''

12:00-12:10 Welcome and quick OWASP introduction
12:10-13:10 Main presentation - "Web security for DevOps: the glory is in the headers" Jonathan Marcil
13:10-... Open discussion and questions

[[Image:Logo-phero.gif‎|link=http://www.pheromone.ca/]]

== OWASP Montreal - June 18th - Gaps in the Clouds ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz]] [https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Robert Fritz
*'''ABSTRACT:''' Cloud technology offers agility and scaling, and a chance to break away from legacy IT choices. Unfortunately, skipping traditional IT activities often results in poorly patched systems, out of date firewalls, and overprovisioned entitlements wielded by admins whose “day job” is development. Boundaries of accountability and responsibility amongst cloud providers and consumers are confusing, vague, and shift, making security difficult to manage. In such an environment, a “BP-spill” event, where cost wins over safely safety, is likely. This talk will dive down into the cracks between the layers of cloud, and share some of the exciting dirt we have seen and expect to see in coming years.”
*'''BIO:''' Robert Fritz has been practicing security his entire career. Rob started as an Air Force lieutenant at Langley AFB and later at the Pentagon in Washington DC, building and managing classified networks. Finding he was getting too far from technology after a brief stint flying, he left the military to get back to the tech, and built security tools for HP in their HP-Unix lab. Over time he found himself in more and more security design discussions, so co-authored HP’s Commercial Application Threat Analysis Methodology, building an internal consulting practice at HP. This quantitative approach, led to two pending patents, an external-facing consulting practice, and his contributions to NIST IR-7502, the Common Configuration Scoring System (CVSS follow-on). He is the former lead editor for the Center for Internet Security’s HP-UX Benchmark, and current lead for the Android Benchmark. Robert now works for Morgan Stanley as global head of the Strategic Consulting team in the Security Architecture group, and leads the team’s cloud and social-media security practices.
*'''WHEN:''' June 18th 2014
*'''WHERE:''' 700 Rue Wellington, Floor 2, Montreal, QC H3C 3S4
*'''REGISTRATION:''' http://owaspmtl18junems.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz
*'''EVENT SPONSOR:''' Morgan Stanley http://www.morganstanley.com/
*'''PROGRAM:'''

18:00-18:30 Networking and Morgan Stanley Hosted Pizza and Soft Drinks
18:30-18:45 OWASP Chapter & Morgan Stanley Welcome
18:45-19:45 Main presentation - "Gaps in the Clouds" Robert Fritz
19:45-20:00 Open discussion and questions
20:00-... Optional, informal networking at Aziatic - 626 rue Marguerite-d'Youville, Montréal, QC H3C 1W7

[[Image:Morgan_Stanley_Historical_Logo.png|link=http://www.morganstanley.com/]]

== OWASP Montréal - May 26th - Récapitulatif des challenges NorthSec ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/P8_V3RI1Ru4]] [https://youtu.be/P8_V3RI1Ru4 Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''PRÉSENTATEUR PRINCIPAL:''' Laurent Desaulniers
*'''RÉSUMÉ:''' Solutions de la compétition en sécurité NorthSec 2014 sur les sujets de XXE + SSRF, WAF Bypass, Xpath Injection, DOM Injection, HTTP Only Flag bypass et contournement de captchas. Une bonne façon d'apprendre sur ces failles que vous étiez ou non un participant de la compétition.
*'''MESSAGE DU PRÉSENTATEUR:''' Vous voyez Rao dans votre soupe? Vous voulez une solution pour un XSS avec des cookies http only? Les captchas illisibles sont un problème? Assistez à la présentation de l'OWASP!
*'''BIO:''' Laurent Desaulniers est un passionné de sécurité informatique. Il a présenté au Hackfest, au colloque RSI, à OWASP et est challenge designer à NorthSec. M. Desaulniers détient les certifications CISSP, CISM, CISA et OSCP.
*'''QUAND:''' 26 mai à 18h00
*'''OÙ:''' Local PK-1140 - Pavillon Président-Kennedy 201, Avenue du Président-Kennedy, J2X 3Y7
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-26-mai-recapitulatif-des-challenges-northsec-tickets-11724413035
*'''WEBCAST:''' https://www.youtube.com/watch?v=P8_V3RI1Ru4
*'''ÉQUIPE ACADÉMIQUE''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Récapitulatif des challenges NorthSec
19:30-20:00 Période de questions

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== Networking with infosec communities - April 21st ==

[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''RÉSUMÉ:''' En collaboration avec Montréhack, mtlsec et NorthSec, nous organisons une soirée réseautage dans un pub du centre-ville. Du plaisir garanti avec les membres de plusieurs communautés infosec de Montréal!

*'''ABSTRACT:''' In collaboration with Montréhack, mtlsec and NorthSec, we are organizing a networking evening in a pub downtown. Fun guaranteed with the other security communities in Montreal!

*'''QUAND:''' 21 Avril 2014
*'''WHEN:''' April 21st 2014

*'''OÙ/WHERE:''' BENELUX - Brasserie Artisanale 245 Sherbrooke St W Montreal, QC H2X 1X7

*'''INSCRIPTION/REGISTRATION:''' https://www.eventbrite.ca/e/montrehack-avril-april-northsec-pre-party-tickets-11232307133

*'''PARTENAIRES/PARTNERS:''' Montréhack http://montrehack.ca/ - mtlsec http://blog.mtlsec.com/ - NorthSec https://www.nsec.io/
*'''PROGRAMME:'''
18:00-21:00 Networking
21:00-23:59 Remember to drink responsibly!

== OWASP Montréal - March 27th - Panel Compétition en sécurité NorthSec ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

'''Présentation sous forme de panel - venez poser vos questions!'''

*'''RÉSUMÉ:''' Les compétitions de type Capture the Flag (CTF) sont un moyen pour les professionnels et amateurs de sécurité informatique de mettre leurs talents à l'épreuve. NorthSec est une compétition Montréalaise annuelle en sécurité appliquée, qui aura lieu cette année au Marché Bonsecours de Montréal le 25, 26 et 27 avril prochain. Elle vise à augmenter le niveau technique des professionnels de la sécurité au Québec, ainsi que de permettre à ses acteurs les plus talentueux de se démarquer.
*'''DÉTAILS:''' Le panel de jeudi, sous la forme d'un échange convivial entre les organisateurs de l'évènement et de ses participants, abordera des thèmes variés comme l'écriture de bon défis, l'infrastructure, la logistique, les inattendus, un bilan de 2013 et tout ça en passant par de savoureuses annecdotes (on l'espère). Venez en grand nombre toucher à ces légendes de la scène infosec montréalaise!
*'''PANÉLISTES:''' Gabriel Tremblay, François Proulx, Laurent Desaulniers, Stéphane Graber
*'''ANIMATEUR:''' Olivier Bilodeau
*'''QUAND:''' 27 mars 2014
*'''OÙ:''' Salle M-1510, École Polytechnique de Montréal, 2500 chemin de Polytechnique, Montréal (Québec) H3T 1J4, pavillon Lassonde
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-27-mars-panel-competition-en-securite-northsec-tickets-10918436337
*'''ÉQUIPE ACADÉMIQUE:''' Polytechnique - Polyhack http://polyhack.org/
*'''PROGRAMME:'''
18:00-18:25 Networking
18:25-18:30 Mot de bienvenue par le leader du chapitre (Jonathan Marcil)
18:30-20:00 Présentation principale : Panel NorthSsec

[[Image:Polyhack.png‎‎|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== OWASP Montreal - February 25th - Proven Strategies for Web Application Security ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane]] [https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Justin C. Klein Keane
*'''ABSTRACT:''' The rising dominance of the web as an application delivery platform has focused attacker attention squarely on the security of dynamic web applications. Application security is a complex, and shifting, field. Learn about tested and successful techniques to build safer applications, find flaws before they become vulnerabilities, and deploy applications that can detect, and resist attack.
*'''BIO:''' Justin C. Klein Keane is a security engineer and chapter leaders of OWASP in Philadelphia. For over a decade Justin has worked as a trainer, coder, and exploit developer. Justin is currently writing a book for NoStarch Press on hacking, speaks regularly at conferences, holds a masters degree in information technology from the University of Pennsylvania and is credited with hundreds of application vulnerability discoveries.
*'''WHEN:''' February 25th 2014
*'''WHERE:''' Ecole de technologie superieure, 1100 Notre-Dame Street West, Montreal, Room: A-1150
*'''REGISTRATION:''' http://owaspmtljan2014.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane
*'''ACADEMIC PARTNER:''' ETS - DCI http://dciets.com/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session and open discussion: Proven Strategies for Web Application Security
20:00-... End of the meeting in a pub

[[Image:Dciets.png‎‎‎|100px|link=http://dciets.com/]]
[[Image:Logo_ets.png|link=http://www.etsmtl.ca/]]

== OWASP Montreal - January 28th - Latest trends in Mobile Security ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/8qPyKj4FKgY]] [https://youtu.be/8qPyKj4FKgY Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx]] [https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Francois Proulx
*'''ABSTRACT:''' Last AppSecUSA 2013 had a great line up of talks, especially regarding mobile applications. This session will be covering all the hottest presentations about mobile security by doing an overview from what see saw at AppSecUSA, all with some slides and snippets of presentations that was recorded at the event. Discussion will be encouraged within the audience as this will be more a dynamic event than a regular talk.
*'''BIO:''' François Proulx is a senior mobile application developer who has worked on dozens of iOS applications since the very beginning of the Apple iOS platform. Over the past few years he has switched his focus to security. He spends a lot of his free time participating in Capture the Flag events (CTFs) and organizing the NorthSec security competition.
*'''WHEN:''' January 28th 2014
*'''WHERE:''' UQAM Room PK-1705, Pavillon Président-Kennedy (the big boat at Place des Arts) - 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' http://owaspmtl-mobilesecurity.eventbrite.ca
*'''SLIDES/CONTENT:''' [http://www.youtube.com/playlist?list=PLQtB2ug5xmvaQ9jeRWV53-F_T555GQfhW YouTube playlist]
*'''SPONSOR:''' Academic partner AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan M.)
18:30-20:00 Main session and open discussion: Mobile Security
20:00-... End of the meeting in a pub

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

==== Presentations For Download ====

[http://www.owasp.org/images/0/0d/20100209mstechdaysowaspasvssgiv01-12657916463819-phpapp02.ppt OWASP ASVS] by Sebastien Gioria (09/03/2010)

[http://www.ph-il.ca/slides/afup__authetification_forte.pdf Authentification Forte] by Philippe Gamache (02/02/2010)

[http://www.opensamm.org/downloads/OpenSAMM-1.0.ppt Software Assurance Maturity Model (OpenSAMM)] by Pravir Chandra (03/11/2009)

[http://www.owasp.org/images/d/de/Owasp-montreal-sept-17h-2009-justin-foster.pdf Crossing the Border – Javascript Exploits] by Justin Foster (17/09/2009)

[http://www.owasp.org/images/c/c2/ALaughRIAt.pdf A Laugh RIAt] by Rafal Los (07/04/2009)

[https://www.owasp.org/images/e/eb/OWASP-Montreal-24022009-RobLabbe.pptx Microsoft Security Development Lifecycle for IT] by Rob Labbe (24/02/2009)

[https://www.owasp.org/images/3/39/OWASP-Montreal-24022009-EN.pdf OWASP Goal and Top Ten 2007 for Managers - French version] by Benoit Guerette (24/02/2009)

Newer presentations are available on [https://speakerdeck.com/owaspmontreal Speaker Deck]

[[Image:Circle_owasp_logo_nowhitebackground.png|200px]]

= OWASP Foundation / Mission OWASP =
OWASP Foundation ([https://docs.google.com/a/owasp.org/presentation/d/10wi1EWFCPZwCpkB6qZaBNN8mR2XfQs8sLxcj9SCsP6c/edit?usp=sharing Overview Slides]) is a professional association of [[Membership | global members]] and is open to anyone interested in learning more about software security. Local chapters are run independently and guided by the [[Chapter_Leader_Handbook]]. As a [[About_OWASP | 501(c)(3)]] non-profit professional association your support and sponsorship of any meeting venue and/or refreshments is tax-deductible. Financial contributions should only be made online using the authorized online chapter donation button. To be a SPEAKER at ANY OWASP Chapter in the world simply review the [[Speaker_Agreement | speaker agreement]] and then contact the local chapter leader with details of what OWASP PROJECT, independent research or related software security topic you would like to present on.

La fondation OWASP est une [https://www.owasp.org/index.php/Membership association de professionnels] et elle est ouverte à tout intervenant intéressé à en apprendre davantage sur la sécurité applicative. Les chapitres locaux (dont celui de Montréal) sont gérés de façon indépendante et selon un [https://www.owasp.org/index.php/Chapter_Leader_Handbook manuel de directives à respecter].
Toute contribution financière au chapitre peut être faite en ligne en utilisant l’icône prévu à cet effet. Pour être conférencier au sein de n’importe quel chapitre à l’échelle mondiale, vous n’avez qu’à prendre connaissance du document [https://www.owasp.org/index.php/Speaker_Agreement "entente avec les conférenciers – speaker agreement"] et à joindre le responsable du chapitre Montréal avec un descriptif du sujet que vous aimeriez aborder et s’il est relié à un projet OWASP, à de la recherche indépendante ou encore le sujet en particulier, concernant la sécurité applicative, que vous souhaitez aborder.

== [[Image:Circle_owasp_logo_nowhitebackground.png|128px]] Montreal OWASP Team ==

Scope of the team is to discuss and plan local activities and meetings

=== Chapter Leaders ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique

==== Chapter leader history ====
*2008-2010 - Benoit Guerette, founder and chapter leader
*2011-2012 - Philippe Gamache, chapter leader (vice chapter-leader since 2010)
*2013-2015 - Jonathan Marcil, chapter leader
*2016-... - Anne Gauthier, Michel Bourque, Marius Popescu, Hugo Genesse, Olivier Arteau

==== Old board members ====
*Philippe Pépos Petitclerc
*Michael Robillard
*Benoit Guerette (logistics 2015)
*Alexandre Rimthong
*Mathieu Binette
*Sean Coates
*Jean-Marc Robert
*Philippe Blondin
*Benoit Guerette (founder)
*Laurent Desaulniers
 

<headertabs></headertabs>
__NOTOC__
[[Category:Canada]]

File:Owasp-avril-2018-2.JPG

2018-05-13T02:24:47Z

Svieg:

File:Owasp-avril-2018.JPG

2018-05-13T02:24:08Z

Svieg:

Montréal

2018-03-05T18:33:45Z

Svieg: reorganise the folder and add presentation

== Welcome & Bienvenue to the OWASP Montréal chapter ==
 
[[Image:OWASP-Montreal-Logo.png|Logo OWASP Montréal]]

The OWASP Foundation was established in 2001 as an open community and software security resource. Since then, OWASP has grown to be globally recognized as a credible source for application security standards. 
OWASP is an open community dedicated to enabling organizations to conceive, develop, acquire, operate, and maintain applications that can be trusted. All of the OWASP tools, documents, forums, and chapters are free and open to anyone interested in improving application security. We advocate approaching application security as a people, process, and technology problem because the most effective approaches to application security include improvements in all of these areas. 
OWASP is open to anyone. Anyone can attend OWASP's vendor agnostic local chapter meetings, participate in regional and global conferences, and contribute to the many OWASP projects. And anyone can start a new project, form a new chapter, or lend their expertise to help an OWASP Global Committee. 
On parle français aussi ! Le chapitre de Montréal organise plusieurs activités gratuites afin de partager les connaissances en sécurité applicative avec la communauté de développeurs et gestionnaires. Suivez-nous sur les réseaux sociaux pour connaître les dates des conférences du midi et des workshops ! 

Top documentation from OWASP includes:

* [https://www.owasp.org/index.php/Top_10_2013-Top_10 OWASP TOP 10 : The Ten Most Critical Web Application Security Risks]

* [https://www.owasp.org/images/3/33/OWASP_Application_Security_Verification_Standard_3.0.1.pdf OWASP ASVS : Application Security Verification Standard]

* [https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf OWASP Testing Guide : Penetration Testing Framework]

* [https://www.owasp.org/images/7/78/OWASP_AlphaRelease_CodeReviewGuide2.0.pdf OWASP Code Review Guide : Source Code Analysis Framework]

* [https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series OWASP Cheat Sheet : Best practices guidelines for developers]

* [https://www.owasp.org OWASP Global]

=== Chapter Leaders / Responsables du chapitre ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique
 
 Volunteers / Volontaires OWASP Montréal: 
* Simon Lacasse, Web content / Site internet
* Julien Touche, Logistique
* Jean-François Gill

== Reach our chapter / Joindre le chapitre ==

Follow OWASP's Montreal chapter's activities through social medias, register to events, watch the previous presentations and more!

Suivez les activités du chapitre OWASP Montréal via les réseaux sociaux, inscrivez-vous aux activités, visualisez les anciennes présentations et plus encore!

 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Click here] to join the local chapter mailing list.
 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Inscrivez-vous ici] à la liste de courriels du chapitre afin de recevoir les dernières nouvelles!

Want to be part of the community ?
Devenez membre de notre communauté !
[https://www.owasp.org/index.php/Membership_Map Click here / Cliquer ici]

[[Image:Eb_press_little.gif‎|OWASP Montreal Eventbrite|link=http://owaspmontreal.eventbrite.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Yt-brand-standard-logo-630px.png‎|128px|YouTube OWASP Montreal Channel|link=http://www.youtube.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Speakerdecklogo.png‎|Slides of OWASP Montreal on SpeakerDeck |link=https://speakerdeck.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]

 
[[Image:Twitter-bird-cropped-onwhite.png|@owaspmontreal on Twitter|link=https://twitter.com/owaspmontreal]]
[[Image:FacebookSquareLogo.png|OWASP Montreal Facebook page|link=https://www.facebook.com/owasp.montreal]]
[[Image:LinkedinSquareLogo.png|OWASP Montreal on LinkedIn|link=https://www.linkedin.com/groups/1379007/profile]]

[[Image:Spacer-horiz.gif‎]]

== What we do / Nos activités ==

OWASP Montreal is a really active chapter. We organize monthly conferences and workshops. All our events are free and meant to improve the knowledge and awareness of the community's developers, managers and computer security specialists. To be aware of the next event and for additional information, follow us on social medias. 

OWASP Montréal est un des chapitres les plus actifs. Nous organisons mensuellement des ateliers et conférences. Tous nos événements sont gratuits et ont pour but d'améliorer les connaissances de la communauté. Ils s'adressent donc autant aux gestionnaires qu'aux développeurs et aux spécialistes en sécurité informatique. Pour plus d'informations sur nos activités et pour être au courant des prochaines dates d'événement, suivez nous sur les réseaux sociaux. 

We also contribute to the vast OWASP knowledge base / Nous contribuons aussi aux ressources d'OWASP

We list here the projects that were started by our members under OWASP's banner. 
Nous listons ici les projets commencé par nos membres sous la banière d'OWASP. 

* [https://www.owasp.org/index.php/Vulnerability_Disclosure_Cheat_Sheet Vulnerability Disclosure Cheat Sheet]

== Sponsorship & Membership / Commandite & Adhésion ==

[[Image:Btn_donate_SM.gif|link=http://www.regonline.com/donation_1044369]] to this chapter or become a local chapter supporter.

Or consider the value of [[Membership | Individual, Corporate, or Academic Supporter membership]]. Ready to become a member? [[Image:Join_Now_BlueIcon.JPG|75px|link=https://myowasp.force.com/]]

[http://www.regonline.com/donation_1044369 Donnez] au chapitre ou devenez commanditaire du chapitre local!

[https://myowasp.force.com/ Devenez membre !] Pour en savoir davantage sur les avantages d’une adhésion individuelle, corporative ou en tant qu’institution d’enseignement, [https://www.owasp.org/index.php/Membership cliquez ici].

[[Category:OWASP Chapter]]

== Chapter Supporters / Commanditaires du chapitre ==

[https://www.owasp.org/images/9/91/OWASP_Membership_Flyer_Montreal.png All details available here / Pour tous les détails] [[File:Chapter-supporter-owasp-montreal.png|200px|link=]]

=== Platinum / Platine ===

[[Image:Gosecure-2.png|GoSecure|link=http://www.gosecure.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[File:Desjardins2-400x400.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 
 

=== Gold / Or ===

[[Image:PM_SCADA_Logo_Gris_Cybersecurite_FR.png|PM SCADA|link=http://pmscada.ca/en/]]

 
 
 

= Lunch & Learn / Workshops 2018 =

== Operate PCI DSS infrastructure using DevOps approach ==

[[Image:Owasp-montreal-pci-dss-r.jpg ]]
[[Image:Owasp-montreal-pci-dss-2-r.jpg ]]
 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/owasp-operate-pcidss-infrastructure-using-devops-approch-dot-pptx-1]] [https://speakerdeck.com/owaspmontreal/owasp-operate-pcidss-infrastructure-using-devops-approch-dot-pptx-1 See the slides / Voir la présentation] 
WHEN
March 5 2018
WHERE
Espace Desjardins

OWASP dans le cadre des Midis conférence est heureux d'accueillir, M. Gaëtan Trivino. 

Notre conférencier viendra présenter l'influence de la culture devops sur les opérations d'un hébergeur international en particulier pour supporter les réglementations comme PCI DSS.
 
Biographie : 
Gaëtan est DevOps technical leader orienté cloud et automatisation réseau. Il a traversé l'Atlantique avec sa famille pour explorer de nouvelles culture de travail et se lance dans la recherche du meilleur sirop d'érable!
 

= Lunch & Learn / Workshops 2015-2017 =

== Pourquoi un hacker peut-il contourner les mesures et solutions de sécurité... ==

[[Image:Hamilton-septembre-2017-1.JPG ]]
[[Image:Hamilton-septembre-2017-2.JPG ]]
 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/endpoint-bypass-charles-hamilton]] [https://speakerdeck.com/owaspmontreal/endpoint-bypass-charles-hamilton See the slides / Voir la présentation] 
WHEN
September 18th 2017
WHERE
Espace Desjardins

OWASP dans le cadre des Midis conférence est heureux de lancer la saison 2017-2018 en accueillant, M. Charles F. Hamilton.
 
Notre conférencier viendra brosser un tableau des différents éléments qui expliquent pourquoi les mesures et les solutions de sécurité en générales qui ont la fonction de protéger les données, les applications, les réseaux ou les équipements critiques sont si souvent contournées ou carrément inefficaces contre les attaques ciblées.
 
Biographie : 
Charles F. Hamilton est un consultant en sécurité et membre d’équipe « Red Team » de calibre international. Il se spécialise en test d’intrusion et la recherche de solution proactive de sécurité.
 

== Cas d'attaques vécus : Internet des objets (IOT) - Attaques DDoS ==

[[Image:Cas_dattaques_vecus-r.jpg ]]
 
WHEN
June 19th 2017
WHERE
Espace Desjardins

Pour clore la saison printanière 2017, OWASP Montréal est fier d'accueillir au Midi Conférence, M. Christian Shink qui fera un survol de cas d'attaques vécus, des techniques utilisées et des acteurs impliqués dans ces attaques. 
L'incorporation généralisée de dispositifs «intelligents» dans les objets de la vie de tous les jours modifie la façon dont les gens et les machines interagissent les uns avec les autres. Cette incorporation offre une promesse d'une meilleure qualité de vie, une meilleure efficacité. En contrepartie, leur déploiement introduit également des vulnérabilités à la fois dans l'infrastructure qu'ils soutiennent et sur lesquels ils comptent, ainsi que dans les processus qu'ils guident. Que ce soit au niveau applicatif ou des infrastructures, ces vulnérabilités sont exploitées par des acteurs malicieux pour générer des attaques de déni de service massives et sophistiquées. Nous tenterons également de tirer des leçons afin de tenter de minimiser ce type d'attaques dans le futur. 
Christian Shink possède plus d’une dizaine d’années d’expérience en développement et sécurité d’applications. Avant de se joindre à Radware, Christian était à l’emploi d'une firme conseil où il a conseillé de nombreuses entreprises, dont de grandes banques américaines et Casinos. Il détient une certification CSSLP et est membre de l'ordre des ingénieurs du Québec.
 

== HOW TO! Threat Modeling Toolkit ==

[[Image:OWASPMtl-JonathanMarcil-1.jpg]]
[[Image:OWASPMtl-JonathanMarcil-3.jpg]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit]] [https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit See the slides / Voir la présentation]
 
WHEN
May 23rd, 2017
WHERE
Shopify Montreal

Threat Modeling is a great way to analyze security early in software development by structuring possible attacks, bad actors and countermeasures over a broad view of the targeted system. This talk will describe basic components of a threat model and how to use them effectively.
Threat Intelligence is where you gather knowledge about the environment and business assets to determine what are the actual threats. But how do you reconcile that with the current architecture in a useful manner?
The toolkit presented in this talk will enable you to systematically structure related information using graphical notations such as flow diagram and attack tree. In case you are wondering where to start in your organization, a quick lightweight risk rating methodology will also be proposed.
And in the end, you’ll see how we can all tie those together and get threat modeling to a point where it’s an efficient application security activity for communication. Doing this will prevent security reviews from missing important things even when chaos prevails during the realization of a project.
Modeling concepts will be demonstrated with an actual IoT device used as example.
Presentation will be done in english.

Speaker Bio:
Jonathan Marcil is the former chapter leader of OWASP Montreal and is now Senior Application Security Engineer at Blizzard Entertainment in beautiful Orange County, California.
Jonathan has been involved with OWASP for many years and has been behind the Media Project which gathered and promoted AppSec conferences video content in the official OWASP YouTube channel. He was also part of NorthSec CTF event as a challenge designer specialized in Web and imaginative contraptions.
He is passionate about Application Security and enjoys architecture analysis, code review, threat modeling and debunking security tools. He holds a diploma in Software Engineering from ÉTS Montreal and has more than 15 years of experience in Information Technology and Security.

Merci à nos précieux commanditaires !

== Security Testing: Unlocking the Benefits of a Hybrid Approach ==
[[Image:Security testing hybrid approach-r 3.jpg ]]
[[Image:Security testing hybrid approach-r 4.jpg ]]
 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/hybrid-approach-to-security-testing]] [https://speakerdeck.com/owaspmontreal/hybrid-approach-to-security-testing See the slides / Voir la présentation]
 
WHEN
April 24th, 2017
WHERE
Espace Desjardins

As part of their defensive efforts, businesses commonly commission cybersecurity assessments of their web applications; with the aim of identifying any weaknesses in the security controls and ensuring a continually strong cybersecurity posture of their systems.

The classical approach of either secure code review (white box) or penetration testing (black box) assessment have proven to be effective in securing of web applications. The new trend, however, is moving towards the combination of these two approaches; expert consensus is rapidly recognizing the advantages of using a hybrid approach. When applied properly, a hybrid approach can build on the strengths of both white and black box testing, while compensating for their individual shortcomings.

In this presentation, we will examine the details of secure code review and penetration testing, and run demos to contrast their respective strengths and weaknesses. We will also examine why a hybrid approach can produce more complete and relevant assessment results. To conclude, we will cover proven approaches, and practical techniques, on how you can start leveraging a hybrid approach to web application assessments today.

Anne Gauthier is an application security analyst at GoSecure. Anne is also the president of the Montreal Chapter of OWASP – the industry standard for web application security. With a penetration testing background, she specializes in secure code reviews and in helping companies to improve their software development lifecycle (SDLC) according to industry best practices. Anne is CSSLP, GWAPT and GSSP-JAVA certified. She obtained a Software Engineering bachelor’s degree from Ecole de Technologie Supérieure in Montréal and is now pursuing a Master of Engineering (MEng) degree in Information Systems Security at Concordia University. She is the author of the Project 201 Security blog.

Merci à nos précieux commanditaires !

== "HOW-TO" NIGHT ! Tout sur les CTFs (Capture The Flag) ==

[[Image:Howto_ctf.jpg]]
 
[[Image:Presentation-link.png | Slides | link=https://docs.google.com/presentation/d/1zEsCcX-Nvq8Nz0k-B1zHejCDNT2oGZx8oUBgMbvvMM0/edit#slide=id.p ]] [https://docs.google.com/presentation/d/1zEsCcX-Nvq8Nz0k-B1zHejCDNT2oGZx8oUBgMbvvMM0/edit#slide=id.p See the slides / Voir la présentation (Laurent Desaulniers)]
[[Image:Presentation-link.png | Slides | link=https://docs.google.com/presentation/d/1c1P1d2mKe767j1Y0V9cK6De5cpnK4I7GI-ORiodbg1A/edit#slide=id.p ]] [https://docs.google.com/presentation/d/1c1P1d2mKe767j1Y0V9cK6De5cpnK4I7GI-ORiodbg1A/edit#slide=id.p See the slides / Voir la présentation (Charles Hamilton)]
[[Image:Presentation-link.png | Slides | link=http://obilodeau.github.io/slides/2017-04-04_how-not-to-suck-at-ctfs/ ]] [http://obilodeau.github.io/slides/2017-04-04_how-not-to-suck-at-ctfs/ See the slides / Voir la présentation (Olivier Bilodeau)]
 
WHEN
April 4th, 2017
WHERE
Shopify

Cette nouvelle soirée "How-To" Night d'OWASP Montréal vise à présenter les CTFs (une compétition Capture The Flag) et aider les équipes à démarrer et à continuer à évoluer dans leurs pratique de la cyber sécurité pratique. L'objectif est d'outiller les participants en leur fournissant des ressources techniques et des contacts afin de les aider à progresser.

Les éléments discutés seront:

- Composition optimale d’une équipe : Fonctionnement d’une équipe de CTF et les principaux rôles (chef d’équipe, cryptographie, application web, rétro ingénierie et les causes perdues).

- Pourquoi faire des CTFs? Discussion sur les différents styles (jeopardy, attack/defense, etc.), quels sont les problèmes fréquemments rencontrés + plusieurs anecdotes intéressantes (et drôles).

- Trucs de Mr. Unikoder : Le créateur du fameux site ringzer0team, soit un des plus gros sites pour apprendre la résolution de problèmes de CTF (https://ringzer0team.com/) Apprenez des trucs du meilleur, sur comment débuter et interpréter un challenge web, binaire et crypto avec des trucs réels du métier.

Matériel requis :

Votre légendaire enthousiasme

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement.

Présentateurs :

Charles Hamilton, Senior Consultant chez Mandiant, FireEye, Inc.

Olivier Bilodeau, Cybersecurity Research Lead at GoSecure

Laurent Desaulniers, Senior Security Solution Specialist at Bell Canada

== NorthSec - Applied Security Event ==
[[Image:Nsec_2017_midi_conf.jpg]] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/northsec-applied-security-event]] [https://speakerdeck.com/owaspmontreal/northsec-applied-security-event See the slides / Voir la présentation]
 
WHEN
April 4th, 2017
WHERE
Espace Desjardins

NorthSec: La plus grande compétition et conférence en cyber sécurité au Canada

NorthSec est un organisme sans but lucratif qui organise une conférence et une compétition de sécurité de type "Capture-The-Flag" (CTF) et des formations. Avec plus de 400 participants présents sur le site pour la compétition, c’est la plus grande compétition du genre au monde.

La conférence, dans sa 3e année, attire des présentateurs internationaux avec du contenu technique exclusif. L’ajout des séances de travail (workshops) devrait plaire aux plus chevronnés des binaires.

Des formations de 3 jours sont offertes avant la conférence: "Advanced Web Application Security" par Philippe Arteau et "Malware and Memory Forensics" par Michael Ligh, co-auteur des livres "Malware Analyst Cookbook" et "The Art of Memory Forensics".

NorthSec est situé au Marché Bonsecours dans le Vieux-Port de Montréal au printemps du 15 au 21 mai 2017.

La présentation couvrira:

- Le plan pour 2017 
- Ce qui différencie NorthSec 
- Comment équilibrer une compétition pour les débutants et les experts 
- Comment bâtir une infrastructure basée sur les conteneurs qui gère 50 équipes dans quelques serveurs sans qu’ils ne se partagent de machines virtuelles 
- Comment faire du pain au levain à grande échelle 
- Présentation de quelques défis et solutions 

Les présentateurs:

- Gabriel Tremblay, Président, Delve Labs 
- Olivier Bilodeau, VP Formations, Co-fondateur MontréHack, GoSecure 
- Pierre-David Oriol, VP Conférences, Delve Labs 
- Benoit Guérette, VP Partenaires, Desjardins 
- Laurent Desaulniers, Tisserand de drapeaux, Bell Canada 

Merci à nos précieux commanditaires !

== Sécurité des applications : Les fondements ==
[[Image:Tanya.jpeg]] 

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/securite-des-applications-les-fondements]] [https://speakerdeck.com/owaspmontreal/securite-des-applications-les-fondements See the slides / Voir la présentation]
 
WHEN
March 20th, 2017
WHERE
Espace Desjardins

OWASP Montréal est fier d’accueillir au Midi Conférence du mois de mars, Mme Tanya Janca, Co-Leader du chapitre OWASP Ottawa et spécialiste de la sécurité applicative au sein du Gouvernement fédéral.

La conférence « Les fondements de la sécurité des applications » sera présentée en anglais.

Session Description : Everyone has heard about the problem; everyone is “getting hacked”. But what is the answer? From scanning your code with a vulnerability scanner to red teaming exercises, developer education programs and bug bounties, this talk will take the audience through all the possibilities of an extensive application security program, with a detailed explanation of each part.

Bio : Tanya Janca is an application security evangelist, a web application penetration tester and vulnerability assessor, a secure code reviewer, an ethical hacker, the Co-Leader of the OWASP Ottawa chapter, and has been developing software since the late 90’s. She has worn many hats and done many things, including; Custom Apps, Ethical Hacking, COTS, Incident Response, Enterprise Architect, Project and People Management, and even Tech Support. She is currently helping the Government of Canada secure their web applications.

Merci à notre commanditaire principal de cet événement: Ubitrak!

== WORKSHOP ! Server Side Template Injection (SSTI) ==

[[Image:Workshop-okiok-SSTI-r.jpg | WORKSHOP ! Server Side Template Injection (SSTI) ]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti]] [https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti See the slides / Voir la présentation]

WHEN
22 Février 2017
WHERE
Shopify Montréal

OWASP Montreal vous invite à un atelier portant sur la sécurité des applications web supportant les moteurs de template (Template Engine). Le principe de séparation entre la présentation du site (code HTML statique) et de son contenu dynamique facilite la création de documents HTML et la capacité à modifier l'apparence du site sans mélanger le traitement et le rendu de la page. L'utilisation de moteurs de template amène de nouveaux enjeux de sécurité. Les vulnérabilités de type Server Side Template Injection (SSTI) sont exploitables à travers les données (non fiables) fournies par l'utilisateur et conduisent à l'exécution de code arbitraire (RCE) sur le serveur hébergeant l'application web. 

Ce workshop a pour but d'introduire cette classe de vulnérabilité à travers différents cas d'implémentation (php, java, python).
Nous verrons comment identifier et exploiter ces vulnérabilités et de quelle manière un attaquant peut
s'y prendre pour exécuter du code arbitraire sur le serveur afin d'en prendre le contrôle. 

Niveau : Intermédiaire 
Matériel requis :
* Votre portable
* Votre distribution Linux/Unix de votre choix
* Votre proxy Web de votre choix

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.
Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.
Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement. 

Présentateur : Gérôme Dieu 
Gérôme Dieu cumule plus de 7 années d’expérience en technologies de l’information et en sécurité.
Il œuvre à titre de conseiller senior en sécurité de l’information au sein de la firme OKIOK. Ces dernières années, il a acquis une expertise dans le domaine de la sécurité des applications web aussi bien d'un point de vue offensif que défensif. En plus de réaliser des tests d’intrusion pour des clients internationaux, Gérôme s’implique dans la recherche et développement afin de maintenir à la fine pointe de la technologie les tests d'intrusion et d'analyse de vulnérabilités. 

Merci à Shopify d'héberger l'événement ! 
[[Image:Shopify Logo-r.png| Shopify | link=https://www.shopify.com/]]
== Le courriel en 2017 – risques et menaces pour tous ==

[[Image:Zero spam 2.jpg|Le courriel en 2017 – risques et menaces pour tous]]

[[Image:Video-link.png | Link to video | link=https://www.youtube.com/watch?v=HX2vcijcCWw ]] [https://www.youtube.com/watch?v=HX2vcijcCWw Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

WHEN
Le 23 janvier 2017 à midi
WHERE
Espace Desjardins

Monsieur Poellhuber nous brossera un tableau du phénomène grandissant du rançongiciels et de l'hameçonnage, personnification. 

- Par les années passées, la menace courriel se résumait principalement en un fort volume de contenu simplement indésirable. Aujourd’hui la menace a passablement évolué. Quels sont les véritables risques actuels associés au courriel ? Rançongiciels, hameçonnage, personnification. Cette conférence présentera les nouveaux défis de sécurité pour les organisations qui doivent composer avec des attaques de plus en plus sophistiquées et de plus en plus ciblées tout en protégeant leur réputation. Des exemples biens réels, drôles et moins drôles seront disséqués pour bien dessiner l’ampleur de l’enjeu. 

M. David Poellhuber, Chef de l’exploitation, ZEROSPAM Sécurité Inc 

Note biographique : 
Monsieur David Poellhuber oeuvre dans l’industrie de la sécurité informatique depuis quinze ans. Il a été conférencier dans plusieurs forums de sécurité au Canada et est maintenant reconnu comme une autorité en matière de sécurité du courriel. Il a fondé ZEROSPAM Sécurité en 2003, le premier service Québécois externalisé de sécurité du courriel infonuagique qui se distingue par sa convivialité, son efficacité et ses technologies de détection proactives. 
Audience : Généralistes et spécialistes de la sécurité des TI
 
Merci à Ubitrack pour le repas et à Desjardins d'héberger l'événement!

[[Image:Ubitrak-r2.jpg|Ubitrak|link=http://www.ubitrak.com/fr/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]

== Effective XSS Mitigation ==

[[Image:XSS mitigation.jpg | Effective XSS Mitigation ]]

[[Image:Presentation-link.png | Slides| link=http://slides.com/olivierarteau/xss-mitigation ]] [http://slides.com/olivierarteau/xss-mitigation See the slides / Voir la présentation]

WHEN
18 Janvier 2017
WHERE
Google Montréal

FRANÇAIS/ENGLISH 
La mitigation de XSS a été un sujet important au cours des dernières années. Les navigateurs ont implémenté, en autre, deux fonctionnalités pour mitiger leur impact : l'entête "XSS-Protection" et l'entête "Content-Security-Policy". Par contre, obtenir une mitigation contre les XSS efficace est souvent plus complexe que l'on pense. Cet atelier couvrira les deux entêtes. Il expliquera comme il est possible de contourner ces protections et ce qu'il est possible de faire pour se protéger. Des exercices de type "offensif" et "défensif" seront proposés.
Mitigation for XSS as been an important topic in the last few years. Browsers have implemented two main functionalities to help mitigate the impact of XSS : the "XSS-Protection" header and the "Content-Security-Policy" header. But, getting an effective XSS mitigation of those headers is trickier than it may seem. This workshop will cover both of those headers. It will explain how bypass of those protection work and what you can do about it. It will have both "defensive" exercises and "offensive" exercises.
Niveau : débutant/intermédiaire
 
Matériel requis :

Votre portable 

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Google pour l'événement.
 
Présentateur : Olivier Arteau
 
Olivier Arteau est un professionnel en sécurité informatique depuis quelques années et fait partie de l’équipe de test d’intrusion de Desjardins. Il est aussi un amateur de CTF qui a gagné à plusieurs reprises le CTF du NorthSec avec l’équipe HackToute et participe fréquemment à d’autres CTF avec l’équipe DCIETS.
 

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

== WORKSHOP ! Top 10 OWASP - Unleash the threats ==

[[Image:Workshop-top10.jpg | WORKSHOP! Top 10 OWASP - Unleash the threats ]]

WHEN
30 novembre 2016 de 17h30 à 20h30
WHERE
Immunio @ WeWork

De nos jours, la sécurité applicative est essentielle dans l’écosystème des entreprises de toutes tailles. Les vecteurs d’attaques sont multiples, les vulnérabilités de sécurité dans les applications peuvent être désastreuses et les impacts d’un « Hack » peuvent être irréversibles pour l’entreprise; vols de données sensibles, perte de réputation, perte de $$$$$, etc.
L’objectif du workshop est de comprendre la base sur les vulnérabilités de sécurité dans les applications et les techniques d’exploitation utilisées par les pirates informatiques, en plus de connaître les bonnes pratiques de développement en matière de sécurité applicative.
Avec l'aide de WebGoat, Damn Vulnerable Web Application et de Kali Linux, vous pourrez participer
à l'exploitation des applications et découvrir les techniques utilisées par les attaquants.

Niveau : débutant

Matériel requis :
Votre portable
Kali Linux
La VM du workshop, envoyée aux participants

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places très limitées (nb = 10). Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Immunio & WeWork pour l'événement.

Présentateur : Christian Leclerc

Christian est spécialisé en conception et développement de solutions web sécuritaires. Tout au long de sa carrière, il a acquis une vaste expertise sur plusieurs types de technologies et méthodologies, intégré la sécurité dans le cycle de développement d’applications, effectué des revues de code sécurité, déployé des outils d’analyse des vulnérabilités et mis en place des systèmes d’authentification. De plus, il a participé à la conception et au développement de solutions sécuritaires de pointe comme la signature électronique à l’aide d’une infrastructure à clé publique (PKI), les authentifications fortes, le Registre des consentements au don d'organes et de tissus (RDOQ.org) et la migration de plusieurs applications web vers un environnement SOA (Service Oriented Architecture).
 Merci à Immunio & WeWork d'héberger l'événement! 

[[Image:Immunio-horizontal-r.png|Immunio|link=https://www.immun.io/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Wework-r.jpg|WeWork|link=https://www.wework.com/]]
 

== Histoire d'un Hack ==

[[Image:Histoire-dun-hack-r.jpg | Histoire d'un Hack ]]

WHEN
21 novembre 2016 à midi
WHERE
Espace Desjardins

Pour son activité du mois de novembre, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de faire l'autopsie d'une attaque de haute voltige sur un site web et des outils mis à la disposition par OWASP.

Bernard Bolduc cumule plus de 17 années d’expérience en technologies de l’information et en sécurité. Il œuvre à titre de conseiller senior en sécurité de l’information au niveau d’entreprise de classe nationale et internationale.

Bernard se spécialise en sécurité Unix, applicative et en gestion de la sécurité des télécommunications. Il combine ces expertises techniques afin d’obtenir des résultats probants et efficaces pour ces clients des secteurs bancaire, télécommunication et multimédias, de l’énergie ou des services publiques. Tout au long de sa carrière, Bernard s’est toujours maintenu à jour sur les dernières menaces de sécurité technologique et commerciale en assistant à des formations spécialisées et d'échanger avec un grand nombre de partenaires dans l'industrie de la sécurité.

La conférence débute à midi.

La conférence vous donne droit à 1 CPE et pour les 50 premières personnes, un lunch gratuit.

Merci à Desjardins d'héberger l'événement!

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite) ==

[[Image:Workshop-zap-mix.jpg | Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite)]]

WHEN
11 novembre 2016 de 18h à 21h

WHERE
Google Montréal

OWASP Zed Attack Proxy (ZAP) est un scanneur de vulnérabilités et un outil de débogage HTTP. Ce type d'outil est crucial dans un test d'intrusion web et contient un lot intéressant de fonctionnalités. Cela dit, il est possible d'étendre les fonctionnalités. Plusieurs types d'extension sont possibles : vue alternative pour les requêtes ou les réponses, scanneur passif des réponses, scanneur actif produisant des requêtes, etc.

Plusieurs options seront données, par exemple :

Détection automatique de flag dans les sources
Scanneur actif asynchrone DNS
Ou votre propre idée

Pour chacune des suggestions, des squelettes de code seront fournis pour les APIs de ZAP. Pour les utilisateurs de BurpSuite, des directives analogues seront également données.

Niveau : débutant / intermédiaire

Matériel requis

Votre portable
[https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project OWASP ZAP (gratuit)]
[https://portswigger.net/burp/download.html BurpSuite]
Éditeur de code pour Java, Python ou Ruby

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Présentateur : Philippe Arteau

Philippe est un chercheur en cybersécurité chez GoSecure. Il est l'auteur de l'outil d'analyse statique Java "Find Security Bugs". Il a découvert des vulnérabilités importantes dans les logiciels populaires tels que Google Chrome, Dropbox, Paypal, RunKeeper et Jira. Il a présenté dans différentes conférences incluant Black Hat USA, Black Hat Europe, ATL Sec Con, NorthSec, Hackfest (QC) et JavaOne. Il a développé de nombreux plug-ins pour les outils de proxy BurpSuite et OWASP ZAP (Retire.js, Reissue Request Script, PDF preview et Image Metadata). Il a fait également des contributions à d'autres plug-ins comme J2eeScan.

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

==Logiciel de rançon (Ransomware) s'attaque au domaine de la santé==

[[Image:HackingHealth-2.jpg | Logiciel de rançon (Ransomware) s'attaque au domaine de la santé ]]

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health ]] [https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health See the slides / Voir la présentation]

(Conférence en anglais)
Pour le lancement de la saison 2016 - 2017, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de la santé une incursion dans le monde du logiciel malveillant ciblant le domaine de la santé. 
Cette conférence s'intége dans le Coopérathon co-organisé par le Mouvement Desjardins et Hacking Health. 
Le domaine de la santé serait devenu une cible privilégiée des campagnes de ransomware parce que l'industrie a souvent payé la rançon demandée pour récupérer les données confidentielles et vitales de ses clients. Monsieur Ed Gershfang nous brossera un portrait du phénomène et des meilleures pratiques à mettre en place en matière de sécurité applicative.
Ed Gershfang possède une expérience solide dans l'infrastructure informatique et plus de 6 ans d'expérience dans les domaines de la sécurité de l'information, de la vulnérabilité, de la gouvernance et de la gestion des risques. Il était directeur de la sécurité pour la société PeriGen, un chef de file de développement de logiciels médicaux en Israël.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative vue par un pentesteur ==

[[Image:Juin2016-OWASPMtl.jpg | OWASP Montréal reçoit Mario Contestabile, Pentester de renom ]]
 
From Left to Right : Isabelle Lusseyran, Head of Development at Hacking Health. Eduard Gershfang Information Security Analyst at WSP | Parsons Brinckerhoff.

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile ]] [https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile See the slides / Voir la présentation]
 
Pour clore la saison 2015 – 2016, OWASP Montréal est fier d’accueillir au Midi Conférence un des architectes de renom du développement applicatif au Canada, monsieur Mario Contestabile.
En tant qu’auteur de plusieurs centaines de tests d’intrusion, il connait tous les rouages de ce qu’est véritablement une application Web «sécurisée». Mais avez-vous déjà remarqué que les rapports de tests d’intrusion mentionnent rarement, voir jamais : «Votre site est très difficile à pirater. Félicitations !» ?
Et qu’en est-il de ces rapports qui contiennent des dizaines de soi-disant vulnérabilités ? Est-ce que cela signifie d’emblée que l’application devrait être mise hors ligne ?
 
Lors de cette conférence, nous examinerons des rapports concrets (ambigus) de vulnérabilités et nous les analyserons afin de mieux comprendre si elles représentent une véritable menace, ou si elles ne servent qu’à «remplir» les rapports.
 
Avec son expertise en protection et en attaque d’applications Web, il abordera les points suivants :
Comment pouvez-vous sélectionner des systèmes de façon à mieux exécuter des protections de sécurité ?
Éviter certains pièges dans votre application Web qui rendent les attaques plus faciles et la protection plus difficile.
De nos jours, que peuvent faire les développeurs à l’intérieur de systèmes communs, qui puisse me rendre la tâche plus ardue en tant que « hacker »?
Pouvons-nous exiger de meilleurs rapports de la part des firmes de sécurité?
À quoi devrions-nous nous attendre de la part d’un « pentesters »?
Comment pouvons-nous savoir si le « pentester » a vérifié les failles de l’application et qu’il n’a pas simplement utilisé un scanneur?
Et enfin, comment pouvons-nous aider les « ethical hackers » à obtenir un meilleur rendement lors d’un test d’intrusion?
Il expliquera le sujet en détails, et ensemble, nous verrons de quelles façons les développeurs d’applications peuvent exploiter le savoir-faire des « pentesters », et comment nous pouvons faire en sorte qu’une application Web soit protégée.
Biographie :
Mario Contestabile est reconnu comme l’un des experts en sécurité les plus réputés au Canada. Son expertise, construire et protéger votre plateforme applicative. Ancien développeur C++ et Java, Mario partage ses nombreuses connaissances en « ethical hacking » et en développement de codes sécurisé.
 
WHEN
Tuesday, 14 June 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Comment protéger les applications mobiles? ==

[[Image:Avril2016-OWASPMtl.png | Comment protéger les applications mobiles? ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles ]] [https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles See the slides / Voir la présentation]
 
Dans le cadre des Midis Conférence à l'Espace Desjardins, l'équipe OWASP Montréal vous invite à assister à une présentation sur les vulnérabilités les plus communes associées aux appareils mobiles.
Marie-Claire Willig détaillera entre autres comment stocker de façon sécuritaire les données de l’application mobile ainsi que protéger l’application contre des attaques externes. Des outils simples vous seront dévoilés pour détecter ces vulnérabilités.
Marie-Claire est une professionnelle d'expérience en sécurité appliquée.
Une grande partie de son intérêt professionnel réside actuellement dans un domaine assez niche, soit la revue de code sécuritaire, un fondement important de tout cycle de développement sécuritaire en entreprise.
Au sein de l'équipe de sécurité technologique Desjardins, elle est, en autre, responsable de former les développeurs (Java et .NET principalement) afin de les sensibiliser aux meilleures pratiques de développement sécuritaire.
Également, elle est une professionnelle des tests d'intrusion sur les applications web, les applications mobiles ainsi que l'infrastructure réseau.
Bienvenue à tous
 
WHEN
Wednesday, 20 April 2016 from 12:15 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ==

[[Image:Mars2016-OWASPMtl.jpg | NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/YQtvltQYs7Y]] [https://youtu.be/YQtvltQYs7Y Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
OWASP Montréal est fier d’inviter au Midi Conférence de mars, NorthSec est le plus gros événement de sécurité appliquée au Canada qui comprend deux jours de formation, deux jours de conférences ainsi qu’une compétition du genre « capture the flag » (CTF) de trois jours.
Gabriel Tremblay, Benoit Guerette, Pierre-David Oriol et Laurent Desaulniers viendront vous parler de cet organisme sans but lucratif dynamique qui est géré par une équipe de bénévoles passionnés qui donnent à chaque année leur énergie et leur temps pour soutenir la communauté de la sécurité de l’information.
Le volet compétition, l’épreuve maîtresse, est présentée sous forme d’un scénario qui rend cohérent une centaine de défis techniques. Les équipes de participants attaquent l’infrastructure de compétition pour soutirer des drapeaux (flags) à travers un ensemble de vulnérabilités présentes comme de l’injection SQL, des XSS ou encore l’exploitation d’exécutables sur systèmes embarqués. Quelques exemples de défis des années passées seront également présentés.
Le volet conférence, qui est à sa 2ème année, met de l’avant plusieurs présentations techniques touchant la sécurité applicative mais aussi l’éthique et leurs impacts sociaux. Certaines présentations confirmées seront dévoilés.
Le tout nouveau volet formation propose deux formations en sécurité applicative de calibre international (anglais) : “Advanced Web Security Testing with Burp Pro” et “Modern Object-Oriented Malware Reverse Engineering”.
Venez aussi, découvrir comment l'équipe est partie d'une idée en 2012 pour se rendre à un évènement d'envergure, qui rassemblera plus de 600 professionnels, étudiants et autres passionnés de sécurité appliquée lors de la 4ème édition qui aura lieu du 17 au 22 mai 2016 au Marché Bonsecours.
Finalement, la mission, la vision ainsi que les activités sociales de la semaine de NorthSec sont aussi au menu de cette présentation qui sera suivie d’une période de questions.

Gabriel Tremblay, Delve Labs, Président
Benoit Guerette, Desjardins, VP Finances

Pierre-David Oriol, Delve Labs, VP Conférence
Laurent Desaulniers, Bell Canada, Artisant de drapeaux
 
WHEN
Wednesday, 23 March 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative et l'hameçonnage - February 24th ==

[[Image:Fevrier2016-OWASPMtl.jpg | La sécurité applicative et l'hameçonnage ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/1RYlOiIENjQ]] [https://youtu.be/1RYlOiIENjQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 

De nos jours, une des méthodes les plus efficaces pour contourner les périmètres de sécurité externes est l'hameçonnage conjointement avec l’abus de certaines technologies Web.

Dans le cadre ses activités, OWASP Montréal est heureux d'inviter d'accueillir, l'équipe OKIOK qui présentera les impacts liés à ce type d'attaque, tel que vu et expérimenté en entreprise ainsi que les plans d'action pour traiter ces risques. La présentation abordera aussi bien la sécurité web et applicatives, des systèmes informatiques ainsi que de la sécurité physique de centres de données.

Capture d'informations sensibles par imitations de portails Web ;
Authentification Web par 2-facteurs ;
Injection SMTP dans des formulaires Web ;
Attaque de type “Drive-by-download”;
Prise de contrôle à distance à travers des flux HTTP;
Attaque de CSRF à partir de courriels ;
Attaque d'hameçonnage basée sur des achats par Internet (ex : PayPal).
 
When
Wednesday, 24 February 2016 from 12:00 PM to 1:15 PM (EST) - Add to Calendar
Where
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest Montreal, Quebec CA

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Internet of {Things, Threats} - January 20th ==

[[Image:Janvier2016-OWASPMtl-R.png | Internet of {Things, Threats} ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html ]] [http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html See the slides / Voir la présentation]
 
De plus en plus de périphériques se retrouvent connectés sur Internet. Sous la bannière "Internet of Things" (IoT) ces équipements, que ce soit une pompe à insuline ou un système de caméra de sécurité, tournent généralement sous un système GNU/Linux embarqué d'architecture MIPS ou ARM. La difficulté de mettre à jour ces équipements ainsi que le peu d'effort mis dans la sécurité des systèmes ou la sécurité applicative en font des cibles de choix. Ces derniers mois, nous avons analysé plusieurs logiciels malveillants ciblant ces architectures. Que ce soit par l'exploitation d'une vulnérabilité (Shellshock) ou encore un défaut de configuration, ces systèmes exposés sur Internet peuvent être compromis.

Notre présentation couvrira quelques une de ces analyses:

* Linux/Moose, un malware se propageant automatiquement qui fraude les réseaux sociaux (par exemple Facebook, Twitter et YouTube)
* LizardSquad et acteurs étrangers qui utilisent des systèmes embarqués compromis pour réaliser des dénis de service distribué (DDoS)
* Win32/RBrute est un logiciel malveillant qui tente de changer les paramètres de routeurs dans le but de faire du "DNS poisoning". Il a été distribué par le populaire botnet Sality.
* Un kit d'exploits qui utilise seulement le navigateur de leur victime avec le même objectif, c'est-à-dire faire du "DNS poisoning".

Enfin, des conseils seront proposés à l'audience pour l'aider à se protéger de ces menaces.

'''Thomas Dupuy''' (twitter: @nyx__o)

Thomas est chercheur en logiciel malveillant chez ESET Canada Recherche. Bon vivant, Thomas déjeune en "reversant" des binaires, contribue à quelques projets open source durant le diner (yara, yara rules, pefile, APTnotes) et la nuit participe à des "Hacking Games" (Capture The Flag). Curieux de nature Thomas analyse des malware aux architectures "exotiques".

'''Olivier Bilodeau''' (twitter: @obilodeau)

Olivier Bilodeau is the head of Cybersecurity Research at GoSecure a consultancy firm specializing in cybersecurity services for the public and private sector. With more than 10 years of infosec experience, Olivier worked on Unix servers at Bell Canada, managed a portion of Air Canada's network, wrote open source network access control software at Inverse and worked as a Malware Researcher at ESET. He likes to reverse engineer everything that crosses his path, participate in information security capture-the-flag competitions, hack open source code and brew beer. He has spoken at various conferences (Defcon, Botconf, VirusBulletin, Derbycon, ...), used to lecture on information security at ETS University in Montreal, drives the NorthSec Hacker Jeopardy and co-organizes the MontreHack capture-the-flag training initiative. His primary research interests include reverse-engineering tools, Linux and/or embedded malware and honeypots.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Survivre aux attaques DDOS applicatives ==

[[Image:Decembre2015-OWASPMtl.jpg | Survivre aux attaques DDOS applicatives ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
Survivre aux attaques DDOS (Distributed Denial-Of-Service) applicatives.
Cette conférence s'adresse aux professionnels et gestionnaires des TI.
Conférencier : Christian Shink, ing., CSSLP, ingénieur système chez Radware, manufacturier spécialisé dans la prévention des attaques DDOS. Il fut également consultant en sécurité applicative chez In Fidem.
Objectifs de la conférence:
Présenter les tendances actuelles en matière d'attaques DDOS applicatives.
Renseigner les participants sur les techniques et stratégies pour contrer ces attaques illustrées à partir de cas vécus.
Démystifier certains mythes en ce qui concernent les façons efficaces de protéger les applications contre des attaques DDOS.
Date : 16 décembre 2015
Heure : 11h45
La conférence débute à 12h00 et se termine à 12:55.
Un lunch sera servi.
Réservez maintenant!
1 CPE
 
WHEN
Wednesday, 16 December 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Sécurité des applications - Systèmes de contrôles industriels ==

[[Image:Novembre2015-OWASPMtl-R.png | Sécurité des applications - Systèmes de contrôles industriels ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/0eAZpyiQQ9A]] [https://youtu.be/0eAZpyiQQ9A Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

La sécurité des applications et les systèmes de contrôles industriels.
Cette conférence s'adresse aux professionnels et gestionnaires des TI desinfrastructures critiques qui exploitent ou gèrent des systèmes de contrôles industriels(SCI) et SCADA (surveillance et d'acquisition de données). 
Conférenciers : Robert Nastas, CSSA. Gestionnaire de projet et Youssef Jad, Architecte Cyber sécurité, ICS-CERT 
 
Objectifs de la conférence:
* Démystifier le domaine d'affaires.
* Renseigner les participants sur les bonnes pratiques de sécurité desapplications liées au secteur industriel.
* Proposer aux professionnels et gestionnaires des TI responsables dessystèmes SCADA et SCI des pistes de solutions aux enjeux de sécurité.
 
L'équipe OWASP Montréal vous remercie d'avoir assisté en grand nombre à la conférence, 'La sécurité des applications et les systèmes de contrôles industriels'.
 
WHEN
Wednesday, 18 November 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ==

[[Image:Septembre2015-OWASPMtl.jpg | Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert ]] [https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert See the slides / Voir la présentation]
 
Pour le lancement des activités corporatives de la saison 2015 - 2016, le 8 septembre prochain à 12:00, l'équipe OWASP Montréal convie les gestionnaires et artisants de la sécurité des TIC à venir entendre monsieur Éric Hébert qui nous présentera son interprétation des préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative. L'événement se tiendra au complexe Desjardins à la salle "Espace Desjardins".

''' ÉRIC G. HÉBERT, CISM, CISSP ''' 
Après plus de 20 ans passés dans le domaine de la sécurité des technologies de l’information, Éric se spécialise dans la mise en œuvre et la gestion d'équipes performantes, capables de relever les plus hauts défis de la cybersécurité moderne. 
Capable de dialoguer avec les hauts dirigeants, il sait traduire et vulgariser les enjeux techniques complexes tout en respectant la nature et l'appétence au risque de ses clients. Dynamique et pourvu d'une expérience couvrant presque toutes les sphères de la SI, il fonce dans le respect de la culture établie tout en implantant des solutions pragmatiques et efficaces. 
Depuis plus de 10 ans, il gravite principalement autour des entreprises du domaine financier (BNC, Desjardins, Fonds de solidarité FTQ...) et les accompagne dans la mise en place de solutions efficaces tenant compte à la fois des risques et des budgets.
En plus d’avoir fondé de nombreuses associations telles que le RéseauSécurIT et le RPSI, il maintient une présence régulière auprès des milieux associatifs professionnels et partage régulièrement ses expériences lors de conférences et d'entrevues avec divers médias.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

= Events / Évènements =

== Owasp Montreal at [https://nsec.io/ NorthSec 2017] ==

[[Image:NorthSec2017-5.jpg]]
[[Image:NorthSec2017-6.jpg]]

From Left to Right: Anne Gauthier, OWASP Montréal Chapter Leader (President) and Application Security Analyst at GoSecure, Hugo Genesse, OWASP Montréal Chapter Leader and Research Intern at PNF Software, Julien, OWASP Montréal Chapter Leader

== OWASP Montreal at [https://2017.appsec.eu/ AppSec] ==

[[Image:OWASPAppSecBelfast2017-7.jpg]]

OWASP Montreal and Ottawa Chapter Leaders at OWASP AppSec Belfast, UK #WomenInAppSec

== OWASP Montreal at [https://hackfest.ca/ HackFest 2016] ==

[[Image:Hackfest2016-r.jpg| HackFest |link=https://hackfest.ca/]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Louis Nadeau, OWASP Québec Chapter Leader and Manager, Product Security at Bentley Systems and Patrick Leclerc, OWASP Québec Chapter Leader and Information Security Advisor at La Capitale.

== OWASP Montreal at OWASP [https://2016.appsecusa.org/ AppSec USA 2016, Washington] ==
 
 
[[Image:OWASPMtl-AppSecUSA2016-Washington.jpg | OWASP Montreal at AppSec USA 2016, Washington]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016, Alexandre Hamelin President at Synlabs Consulting Inc., Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [https://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

== OWASP Montréal at [https://www.gosec.net GoSec] 2016 ==

[[Image:OWASP-GoSec2016-1r.jpg|OWASP Montreal at GoSec 2016]] [[Image:OWASP-GoSec2016-2r.jpg|OWASP Montreal at GoSec 2016]]
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Simon Lacasse, student and volunteer, and Laurent Desaulniers, Security Analyst at Bell Canada.

== OWASP Montréal at [https://www.nsec.io/ NorthSec] 2016 – Annual Applied Security Event ==

[[Image:Hackfest2016-OWASPMtl.jpg|OWASP Montreal at NorthSec 2016]]

@Photo : Simon Veilleux
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Olivier Arteau OWASP Montréal Chapter Leader and Conseiller chez Groupe Technologie Desjardins, Hugo Genesse, OWASP Montréal Chapter Leader and Vulnerability Research Intern at Wurldtech Security Technologies.

== OWASP Montréal at [https://hackfest.ca/en/ Hackfest] 2015 ==

[[Image:Hackfest2015-OWASPMtl-R.JPG | OWASP Montreal at Hackfest 2015]]

@Photo : Hackfest
 
 
From left to right : Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [http://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

[[Image:Video-link.png | Link to video | link=https://youtu.be/8U0qkEuUFy8]] [https://youtu.be/8U0qkEuUFy8 Watch the video / Regarder la vidéo]

== OWASP Montréal at [https://www.gosec.net/ GoSec] 2015 – The Annual Cybersecurity Conference presented by GoSecure, EY and ISACA. ==

[[Image:GoSec2015-OWASPMtl.jpg|OWASP Montreal at GoSec 2015]]

@Photo : Marius Popescu
 
 
From left to right : Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016. Benoît Guérette, Application Security Team Leader at Desjardins, VP Finance at NorthSec and OWASP Montreal Chapter Founder and Former Chapter Leader.

== See also / Voir aussi ==

OWASP Montréal recommends Montréhack. Learn and share knowledge on IT security by solving technical challenges. Third Monday of every month.

OWASP Montréal recommende Montréhack. Apprends et partages des connaissances sur la sécurité informatique en travaillant des problèmes appliqués. Chaque troisième lundi du mois.

[[File:Montrehack.png|Montréhack|link=http://montrehack.ca/|alt=Montréhack]]

= Archives 2007-2015 =
{{:Montreal chapter past meetings}}

== OWASP Montreal - February 3rd - Getting to Know the Software Assurance Marketplace (SWAMP) ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/p4_vjufcB6Q]] [https://youtu.be/p4_vjufcB6Q Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer]] [https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Pat Beyer
*'''ADDITIONAL PRESENTER:''' Abe Megahed
*'''ABSTRACT:''' The Software Assurance Marketplace (SWAMP) is an open facility that is designed, built, and operated by four research institutions. The SWAMP provides no-cost access to an array of open-source and commercial software analysis tools. This presentation will provide an overview and demo of the SWAMP, including our goals, intended audience, current capabilities, and future plans. We will cover our relationship with OWASP, incorporation of open-source software assurance tools, and status as an open-source project and resource available to the software community. Visit https://continuousassurance.org/ to learn more about us.
*'''BIO:''' Pat Beyer serves as the Product Manager for the Software Assurance Marketplace (SWAMP). With over 25 years of experience successfully managing multi-million dollar global projects, Beyer’s expertise extends to the IT, construction, and operations sectors, with a specialization in managing government contracts and grants. A gifted communicator, Beyer is a sought after speaker due to his ability to deliver complex information about technology products and services in a way that is easily understood. He is a decorated combat veteran of the Global War on Terror, the international military campaign that started following the 9/11 terrorist attacks on the United States. In 2004, he constructed and rehabilitated over 20 schools, clinics, and water treatment plants for the Iraqi people using local contractors. Beyer also holds a Bachelor of Science, a Masters in Business Administration, a Ph.D. in Organization and Management, and a Project Management Professional (PMP) certification.
*'''BIO:''' Abe Megahed is a web developer for the Software Assurance Marketplace. In previous lifetimes, he has been a computer graphics researcher, a game programmer, a programming language and compiler nerd, a dot com company founder, a creator of helicopter simulations, and a developer of 3D simulations for NASA astronaut crew training.
*'''WHEN:''' Tuesday, February 3rd 2015
*'''WHERE:''' Room PK-1140 - UQAM Pavillon Président-Kennedy, 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' https://owaspmtlswamp2015.eventbrite.ca
*'''WEBCAST:''' https://www.youtube.com/watch?v=p4_vjufcB6Q
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer

*'''ACADEMIC PARTNER:''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session: Getting to Know the Software Assurance Marketplace
20:00-... End of the meeting

[[Image:SWAMP-Logo-Final-Med.png|300px|link=https://continuousassurance.org/]]
[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

== OWASP Montréal - 4 décembre - Malware côté serveur — évolution, méthodes d’opération et forensic Linux ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/lo8WDl-WQ3E]] [https://youtu.be/lo8WDl-WQ3E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille]] [https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Marc-Etienne M.Léveillé
*'''RÉSUMÉ:''' Les logiciels malveillants ciblant les serveurs ont évolué. Ils sont utilisés par des groupes de cybercriminels organisés dans le but de faire du profit via des redirections web et l’envoie de pourriels. La présentation portera sur Opération Windigo, une opération malveillante qui a affecté plus de 25 000 serveurs dans le monde. Après une brève description des composantes de Windigo, nous verrons comment les opérateurs déploient leurs logiciels malveillants et surveille leur réseau de serveurs infectés. Des trucs pratiques pour faire de la forensics sur des systèmes Linux seront donnés. Cette présentation est une suite à la présentation "Linux/Cdorked: Server side malware", donnée par Olivier Bilodeau à OWASP Montréal en 2013. La présentation sera en français avec des diapositives en anglais (aka Montreal-style).
*'''BIO:''' Marc-Etienne est un chercheur en logiciel malveillant chez ESET depuis 2012. Il se spécialise dans les logiciels malveillants qui s’attaquent à des plateformes inhabituelles comme aux produits fruités et aux oiseaux nordiques. Dernièrement, il passe beaucoup de son temps à faire la rétro-ingénierie de logiciels malveillants sur des serveurs Linux et s’intéresse à leurs méthodes d’opération. Il adore participer de façon collégiale aux CTFs avec ses amis les CISSP Groupies et jouer de la clarinette. Il tweet très peu à @marc_etienne_.
*'''QUAND:''' 4 décembre 2014 à 18h00
*'''OÙ:''' Local M-1510, Polytechnique Montréal, 2900 Boulevard Edouard-Montpetit
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-4-decembre-malware-cote-serveur-evolution-methodes-doperation-et-forensic-linux-tickets-14635313617
*'''ÉQUIPE ACADÉMIQUE:''' Polyhack - http://polyhack.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Malware côté serveur
19:30-20:00 Période de questions

[[Image:Polyhacklogonoirpetit.png|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]

== OWASP Montréal - October 23rd - XXE : À l’assaut des analyseurs XML ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/MZviLB9-42E]] [https://youtu.be/MZviLB9-42E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau]] [https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Philippe Arteau
*'''RÉSUMÉ:''' L'utilisation d’XML est fortement répandue. Le format est utilisé pour des fichiers de configuration, pour des métadonnées, pour des documents textes, et bien plus. La prise en charge de fichiers XML n’est pas sans risque. La plupart des analyseurs XML ne sont pas sécuritaires par défaut pour le traitement de fichier externe. Cette présentation fera un survol des vulnérabilités de type « Xml eXternal Entity » et de l’étendue des risques pour différents langages de programmation. Plusieurs démonstrations sont prévues.
*'''BIO:''' Philippe est conseiller en sécurité applicative pour le Groupe Technologies Desjardins. Au quotidien, il s’occupe d’effectuer des tests d’intrusions et des revues de code. Il a découvert des vulnérabilités importantes dans plusieurs logiciels populaires incluant Google Chrome, DropBox, ESAPI et Jira.
*'''QUAND:''' 23 Octobre 2014 à 18h00
*'''OÙ:''' École de Technologie Supérieure Local A-3230, 1100 Rue Notre-Dame Ouest, Montréal, QC H3C 1K3
*'''INSCRIPTION:''' http://www.eventbrite.ca/e/owasp-montreal-23-octobre-xxe-a-lassaut-des-analyseurs-xml-tickets-13426881163
*'''PARTENAIRE ACADÉMIQUE:''' ETS - DCI http://dciets.com/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:45 Mot de bienvenue
18:45-19:45 Présentation principale - "À l’assaut des analyseurs XML" Philippe Arteau
19:45-20:00 Période de questions

[[Image:Blason_dci.png‎‎‎|150px|link=http://dciets.com/]]
[[Image:ETS-rouge-devise-impr-fond_transparent.png|150px|link=http://www.etsmtl.ca/]]

== OWASP Montreal - July 24th - Web security for DevOps: the glory is in the headers ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/6bp1NCLT-YQ]] [https://youtu.be/6bp1NCLT-YQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil]] [https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Jonathan Marcil
*'''ABSTRACT:''' DevOps is a buzzword which can be easily demystified: in essence it is a process which aims to combine the development and system administration process into one; Operations. As developers become responsible for server setup, security counter measures are evolving as well. The line between server configuration and application behaviour has been blurred. In this talk we will cover some HTTP headers in regards to security such as CORS, CSP and HSTS. We will demonstrate several forms of attack, and how they can (should) be countered.
*'''BIO:''' Jonathan is devoted to security and specialized in Web application security. His main occupation is consulting in Web security, but deep down he is a developer with a agnostic vision of programming languages. He has a diploma in Software Engineering from Ecole de Technologie Superieure and more than 10 years of experience in Information Technology and Security.
*'''WHEN:''' At noon on July 24th 2014
*'''WHERE:''' 75 Queen Street, office 3100, Montreal, QC H3C 2N6
*'''REGISTRATION:''' You can join us on site for a pizza slice but this is mainly an online event. Contact jonathan.marcil@owasp.org.
*'''WEBCAST:''' https://www.youtube.com/watch?v=6bp1NCLT-YQ
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil
*'''EVENT SPONSOR:''' Pheromone http://www.pheromone.ca/
*'''PROGRAM:'''

12:00-12:10 Welcome and quick OWASP introduction
12:10-13:10 Main presentation - "Web security for DevOps: the glory is in the headers" Jonathan Marcil
13:10-... Open discussion and questions

[[Image:Logo-phero.gif‎|link=http://www.pheromone.ca/]]

== OWASP Montreal - June 18th - Gaps in the Clouds ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz]] [https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Robert Fritz
*'''ABSTRACT:''' Cloud technology offers agility and scaling, and a chance to break away from legacy IT choices. Unfortunately, skipping traditional IT activities often results in poorly patched systems, out of date firewalls, and overprovisioned entitlements wielded by admins whose “day job” is development. Boundaries of accountability and responsibility amongst cloud providers and consumers are confusing, vague, and shift, making security difficult to manage. In such an environment, a “BP-spill” event, where cost wins over safely safety, is likely. This talk will dive down into the cracks between the layers of cloud, and share some of the exciting dirt we have seen and expect to see in coming years.”
*'''BIO:''' Robert Fritz has been practicing security his entire career. Rob started as an Air Force lieutenant at Langley AFB and later at the Pentagon in Washington DC, building and managing classified networks. Finding he was getting too far from technology after a brief stint flying, he left the military to get back to the tech, and built security tools for HP in their HP-Unix lab. Over time he found himself in more and more security design discussions, so co-authored HP’s Commercial Application Threat Analysis Methodology, building an internal consulting practice at HP. This quantitative approach, led to two pending patents, an external-facing consulting practice, and his contributions to NIST IR-7502, the Common Configuration Scoring System (CVSS follow-on). He is the former lead editor for the Center for Internet Security’s HP-UX Benchmark, and current lead for the Android Benchmark. Robert now works for Morgan Stanley as global head of the Strategic Consulting team in the Security Architecture group, and leads the team’s cloud and social-media security practices.
*'''WHEN:''' June 18th 2014
*'''WHERE:''' 700 Rue Wellington, Floor 2, Montreal, QC H3C 3S4
*'''REGISTRATION:''' http://owaspmtl18junems.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz
*'''EVENT SPONSOR:''' Morgan Stanley http://www.morganstanley.com/
*'''PROGRAM:'''

18:00-18:30 Networking and Morgan Stanley Hosted Pizza and Soft Drinks
18:30-18:45 OWASP Chapter & Morgan Stanley Welcome
18:45-19:45 Main presentation - "Gaps in the Clouds" Robert Fritz
19:45-20:00 Open discussion and questions
20:00-... Optional, informal networking at Aziatic - 626 rue Marguerite-d'Youville, Montréal, QC H3C 1W7

[[Image:Morgan_Stanley_Historical_Logo.png|link=http://www.morganstanley.com/]]

== OWASP Montréal - May 26th - Récapitulatif des challenges NorthSec ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/P8_V3RI1Ru4]] [https://youtu.be/P8_V3RI1Ru4 Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''PRÉSENTATEUR PRINCIPAL:''' Laurent Desaulniers
*'''RÉSUMÉ:''' Solutions de la compétition en sécurité NorthSec 2014 sur les sujets de XXE + SSRF, WAF Bypass, Xpath Injection, DOM Injection, HTTP Only Flag bypass et contournement de captchas. Une bonne façon d'apprendre sur ces failles que vous étiez ou non un participant de la compétition.
*'''MESSAGE DU PRÉSENTATEUR:''' Vous voyez Rao dans votre soupe? Vous voulez une solution pour un XSS avec des cookies http only? Les captchas illisibles sont un problème? Assistez à la présentation de l'OWASP!
*'''BIO:''' Laurent Desaulniers est un passionné de sécurité informatique. Il a présenté au Hackfest, au colloque RSI, à OWASP et est challenge designer à NorthSec. M. Desaulniers détient les certifications CISSP, CISM, CISA et OSCP.
*'''QUAND:''' 26 mai à 18h00
*'''OÙ:''' Local PK-1140 - Pavillon Président-Kennedy 201, Avenue du Président-Kennedy, J2X 3Y7
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-26-mai-recapitulatif-des-challenges-northsec-tickets-11724413035
*'''WEBCAST:''' https://www.youtube.com/watch?v=P8_V3RI1Ru4
*'''ÉQUIPE ACADÉMIQUE''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Récapitulatif des challenges NorthSec
19:30-20:00 Période de questions

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== Networking with infosec communities - April 21st ==

[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''RÉSUMÉ:''' En collaboration avec Montréhack, mtlsec et NorthSec, nous organisons une soirée réseautage dans un pub du centre-ville. Du plaisir garanti avec les membres de plusieurs communautés infosec de Montréal!

*'''ABSTRACT:''' In collaboration with Montréhack, mtlsec and NorthSec, we are organizing a networking evening in a pub downtown. Fun guaranteed with the other security communities in Montreal!

*'''QUAND:''' 21 Avril 2014
*'''WHEN:''' April 21st 2014

*'''OÙ/WHERE:''' BENELUX - Brasserie Artisanale 245 Sherbrooke St W Montreal, QC H2X 1X7

*'''INSCRIPTION/REGISTRATION:''' https://www.eventbrite.ca/e/montrehack-avril-april-northsec-pre-party-tickets-11232307133

*'''PARTENAIRES/PARTNERS:''' Montréhack http://montrehack.ca/ - mtlsec http://blog.mtlsec.com/ - NorthSec https://www.nsec.io/
*'''PROGRAMME:'''
18:00-21:00 Networking
21:00-23:59 Remember to drink responsibly!

== OWASP Montréal - March 27th - Panel Compétition en sécurité NorthSec ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

'''Présentation sous forme de panel - venez poser vos questions!'''

*'''RÉSUMÉ:''' Les compétitions de type Capture the Flag (CTF) sont un moyen pour les professionnels et amateurs de sécurité informatique de mettre leurs talents à l'épreuve. NorthSec est une compétition Montréalaise annuelle en sécurité appliquée, qui aura lieu cette année au Marché Bonsecours de Montréal le 25, 26 et 27 avril prochain. Elle vise à augmenter le niveau technique des professionnels de la sécurité au Québec, ainsi que de permettre à ses acteurs les plus talentueux de se démarquer.
*'''DÉTAILS:''' Le panel de jeudi, sous la forme d'un échange convivial entre les organisateurs de l'évènement et de ses participants, abordera des thèmes variés comme l'écriture de bon défis, l'infrastructure, la logistique, les inattendus, un bilan de 2013 et tout ça en passant par de savoureuses annecdotes (on l'espère). Venez en grand nombre toucher à ces légendes de la scène infosec montréalaise!
*'''PANÉLISTES:''' Gabriel Tremblay, François Proulx, Laurent Desaulniers, Stéphane Graber
*'''ANIMATEUR:''' Olivier Bilodeau
*'''QUAND:''' 27 mars 2014
*'''OÙ:''' Salle M-1510, École Polytechnique de Montréal, 2500 chemin de Polytechnique, Montréal (Québec) H3T 1J4, pavillon Lassonde
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-27-mars-panel-competition-en-securite-northsec-tickets-10918436337
*'''ÉQUIPE ACADÉMIQUE:''' Polytechnique - Polyhack http://polyhack.org/
*'''PROGRAMME:'''
18:00-18:25 Networking
18:25-18:30 Mot de bienvenue par le leader du chapitre (Jonathan Marcil)
18:30-20:00 Présentation principale : Panel NorthSsec

[[Image:Polyhack.png‎‎|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== OWASP Montreal - February 25th - Proven Strategies for Web Application Security ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane]] [https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Justin C. Klein Keane
*'''ABSTRACT:''' The rising dominance of the web as an application delivery platform has focused attacker attention squarely on the security of dynamic web applications. Application security is a complex, and shifting, field. Learn about tested and successful techniques to build safer applications, find flaws before they become vulnerabilities, and deploy applications that can detect, and resist attack.
*'''BIO:''' Justin C. Klein Keane is a security engineer and chapter leaders of OWASP in Philadelphia. For over a decade Justin has worked as a trainer, coder, and exploit developer. Justin is currently writing a book for NoStarch Press on hacking, speaks regularly at conferences, holds a masters degree in information technology from the University of Pennsylvania and is credited with hundreds of application vulnerability discoveries.
*'''WHEN:''' February 25th 2014
*'''WHERE:''' Ecole de technologie superieure, 1100 Notre-Dame Street West, Montreal, Room: A-1150
*'''REGISTRATION:''' http://owaspmtljan2014.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane
*'''ACADEMIC PARTNER:''' ETS - DCI http://dciets.com/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session and open discussion: Proven Strategies for Web Application Security
20:00-... End of the meeting in a pub

[[Image:Dciets.png‎‎‎|100px|link=http://dciets.com/]]
[[Image:Logo_ets.png|link=http://www.etsmtl.ca/]]

== OWASP Montreal - January 28th - Latest trends in Mobile Security ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/8qPyKj4FKgY]] [https://youtu.be/8qPyKj4FKgY Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx]] [https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Francois Proulx
*'''ABSTRACT:''' Last AppSecUSA 2013 had a great line up of talks, especially regarding mobile applications. This session will be covering all the hottest presentations about mobile security by doing an overview from what see saw at AppSecUSA, all with some slides and snippets of presentations that was recorded at the event. Discussion will be encouraged within the audience as this will be more a dynamic event than a regular talk.
*'''BIO:''' François Proulx is a senior mobile application developer who has worked on dozens of iOS applications since the very beginning of the Apple iOS platform. Over the past few years he has switched his focus to security. He spends a lot of his free time participating in Capture the Flag events (CTFs) and organizing the NorthSec security competition.
*'''WHEN:''' January 28th 2014
*'''WHERE:''' UQAM Room PK-1705, Pavillon Président-Kennedy (the big boat at Place des Arts) - 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' http://owaspmtl-mobilesecurity.eventbrite.ca
*'''SLIDES/CONTENT:''' [http://www.youtube.com/playlist?list=PLQtB2ug5xmvaQ9jeRWV53-F_T555GQfhW YouTube playlist]
*'''SPONSOR:''' Academic partner AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan M.)
18:30-20:00 Main session and open discussion: Mobile Security
20:00-... End of the meeting in a pub

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

==== Presentations For Download ====

[http://www.owasp.org/images/0/0d/20100209mstechdaysowaspasvssgiv01-12657916463819-phpapp02.ppt OWASP ASVS] by Sebastien Gioria (09/03/2010)

[http://www.ph-il.ca/slides/afup__authetification_forte.pdf Authentification Forte] by Philippe Gamache (02/02/2010)

[http://www.opensamm.org/downloads/OpenSAMM-1.0.ppt Software Assurance Maturity Model (OpenSAMM)] by Pravir Chandra (03/11/2009)

[http://www.owasp.org/images/d/de/Owasp-montreal-sept-17h-2009-justin-foster.pdf Crossing the Border – Javascript Exploits] by Justin Foster (17/09/2009)

[http://www.owasp.org/images/c/c2/ALaughRIAt.pdf A Laugh RIAt] by Rafal Los (07/04/2009)

[https://www.owasp.org/images/e/eb/OWASP-Montreal-24022009-RobLabbe.pptx Microsoft Security Development Lifecycle for IT] by Rob Labbe (24/02/2009)

[https://www.owasp.org/images/3/39/OWASP-Montreal-24022009-EN.pdf OWASP Goal and Top Ten 2007 for Managers - French version] by Benoit Guerette (24/02/2009)

Newer presentations are available on [https://speakerdeck.com/owaspmontreal Speaker Deck]

[[Image:Circle_owasp_logo_nowhitebackground.png|200px]]

= OWASP Foundation / Mission OWASP =
OWASP Foundation ([https://docs.google.com/a/owasp.org/presentation/d/10wi1EWFCPZwCpkB6qZaBNN8mR2XfQs8sLxcj9SCsP6c/edit?usp=sharing Overview Slides]) is a professional association of [[Membership | global members]] and is open to anyone interested in learning more about software security. Local chapters are run independently and guided by the [[Chapter_Leader_Handbook]]. As a [[About_OWASP | 501(c)(3)]] non-profit professional association your support and sponsorship of any meeting venue and/or refreshments is tax-deductible. Financial contributions should only be made online using the authorized online chapter donation button. To be a SPEAKER at ANY OWASP Chapter in the world simply review the [[Speaker_Agreement | speaker agreement]] and then contact the local chapter leader with details of what OWASP PROJECT, independent research or related software security topic you would like to present on.

La fondation OWASP est une [https://www.owasp.org/index.php/Membership association de professionnels] et elle est ouverte à tout intervenant intéressé à en apprendre davantage sur la sécurité applicative. Les chapitres locaux (dont celui de Montréal) sont gérés de façon indépendante et selon un [https://www.owasp.org/index.php/Chapter_Leader_Handbook manuel de directives à respecter].
Toute contribution financière au chapitre peut être faite en ligne en utilisant l’icône prévu à cet effet. Pour être conférencier au sein de n’importe quel chapitre à l’échelle mondiale, vous n’avez qu’à prendre connaissance du document [https://www.owasp.org/index.php/Speaker_Agreement "entente avec les conférenciers – speaker agreement"] et à joindre le responsable du chapitre Montréal avec un descriptif du sujet que vous aimeriez aborder et s’il est relié à un projet OWASP, à de la recherche indépendante ou encore le sujet en particulier, concernant la sécurité applicative, que vous souhaitez aborder.

== [[Image:Circle_owasp_logo_nowhitebackground.png|128px]] Montreal OWASP Team ==

Scope of the team is to discuss and plan local activities and meetings

=== Chapter Leaders ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique

==== Chapter leader history ====
*2008-2010 - Benoit Guerette, founder and chapter leader
*2011-2012 - Philippe Gamache, chapter leader (vice chapter-leader since 2010)
*2013-2015 - Jonathan Marcil, chapter leader
*2016-... - Anne Gauthier, Michel Bourque, Marius Popescu, Hugo Genesse, Olivier Arteau

==== Old board members ====
*Philippe Pépos Petitclerc
*Michael Robillard
*Benoit Guerette (logistics 2015)
*Alexandre Rimthong
*Mathieu Binette
*Sean Coates
*Jean-Marc Robert
*Philippe Blondin
*Benoit Guerette (founder)
*Laurent Desaulniers
 

<headertabs></headertabs>
__NOTOC__
[[Category:Canada]]

File:Owasp-montreal-pci-dss-2-r.jpg

2018-03-05T18:29:12Z

Svieg:

File:Owasp-montreal-pci-dss-r.jpg

2018-03-05T17:20:38Z

Svieg:

Montréal

2017-10-14T20:19:55Z

Svieg: /* Pourquoi un hacker peut-il contourner les mesures et solutions de sécurité... */

== Welcome & Bienvenue to the OWASP Montréal chapter ==
 
[[Image:OWASP-Montreal-Logo.png|Logo OWASP Montréal]]

The OWASP Foundation was established in 2001 as an open community and software security resource. Since then, OWASP has grown to be globally recognized as a credible source for application security standards. 
OWASP is an open community dedicated to enabling organizations to conceive, develop, acquire, operate, and maintain applications that can be trusted. All of the OWASP tools, documents, forums, and chapters are free and open to anyone interested in improving application security. We advocate approaching application security as a people, process, and technology problem because the most effective approaches to application security include improvements in all of these areas. 
OWASP is open to anyone. Anyone can attend OWASP's vendor agnostic local chapter meetings, participate in regional and global conferences, and contribute to the many OWASP projects. And anyone can start a new project, form a new chapter, or lend their expertise to help an OWASP Global Committee. 
On parle français aussi ! Le chapitre de Montréal organise plusieurs activités gratuites afin de partager les connaissances en sécurité applicative avec la communauté de développeurs et gestionnaires. Suivez-nous sur les réseaux sociaux pour connaître les dates des conférences du midi et des workshops ! 

Top documentation from OWASP includes:

* [https://www.owasp.org/index.php/Top_10_2013-Top_10 OWASP TOP 10 : The Ten Most Critical Web Application Security Risks]

* [https://www.owasp.org/images/3/33/OWASP_Application_Security_Verification_Standard_3.0.1.pdf OWASP ASVS : Application Security Verification Standard]

* [https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf OWASP Testing Guide : Penetration Testing Framework]

* [https://www.owasp.org/images/7/78/OWASP_AlphaRelease_CodeReviewGuide2.0.pdf OWASP Code Review Guide : Source Code Analysis Framework]

* [https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series OWASP Cheat Sheet : Best practices guidelines for developers]

* [https://www.owasp.org OWASP Global]

=== Chapter Leaders / Responsables du chapitre ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique
 
 Volunteers / Volontaires OWASP Montréal: 
* Simon Lacasse, Web content / Site internet
* Julien Touche, Logistique
* Jean-François Gill

== Reach our chapter / Joindre le chapitre ==

Follow OWASP's Montreal chapter's activities through social medias, register to events, watch the previous presentations and more!

Suivez les activités du chapitre OWASP Montréal via les réseaux sociaux, inscrivez-vous aux activités, visualisez les anciennes présentations et plus encore!

 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Click here] to join the local chapter mailing list.
 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Inscrivez-vous ici] à la liste de courriels du chapitre afin de recevoir les dernières nouvelles!

Want to be part of the community ?
Devenez membre de notre communauté !
[https://www.owasp.org/index.php/Membership_Map Click here / Cliquer ici]

[[Image:Eb_press_little.gif‎|OWASP Montreal Eventbrite|link=http://owaspmontreal.eventbrite.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Yt-brand-standard-logo-630px.png‎|128px|YouTube OWASP Montreal Channel|link=http://www.youtube.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Speakerdecklogo.png‎|Slides of OWASP Montreal on SpeakerDeck |link=https://speakerdeck.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]

 
[[Image:Twitter-bird-cropped-onwhite.png|@owaspmontreal on Twitter|link=https://twitter.com/owaspmontreal]]
[[Image:FacebookSquareLogo.png|OWASP Montreal Facebook page|link=https://www.facebook.com/owasp.montreal]]
[[Image:LinkedinSquareLogo.png|OWASP Montreal on LinkedIn|link=https://www.linkedin.com/groups/1379007/profile]]

[[Image:Spacer-horiz.gif‎]]

== What we do / Nos activités ==

OWASP Montreal is a really active chapter. We organize monthly conferences and workshops. All our events are free and meant to improve the knowledge and awareness of the community's developers, managers and computer security specialists. To be aware of the next event and for additional information, follow us on social medias. 

OWASP Montréal est un des chapitres les plus actifs. Nous organisons mensuellement des ateliers et conférences. Tous nos événements sont gratuits et ont pour but d'améliorer les connaissances de la communauté. Ils s'adressent donc autant aux gestionnaires qu'aux développeurs et aux spécialistes en sécurité informatique. Pour plus d'informations sur nos activités et pour être au courant des prochaines dates d'événement, suivez nous sur les réseaux sociaux. 

We also contribute to the vast OWASP knowledge base / Nous contribuons aussi aux ressources d'OWASP

We list here the projects that were started by our members under OWASP's banner. 
Nous listons ici les projets commencé par nos membres sous la banière d'OWASP. 

* [https://www.owasp.org/index.php/Vulnerability_Disclosure_Cheat_Sheet Vulnerability Disclosure Cheat Sheet]

== Sponsorship & Membership / Commandite & Adhésion ==

[[Image:Btn_donate_SM.gif|link=http://www.regonline.com/donation_1044369]] to this chapter or become a local chapter supporter.

Or consider the value of [[Membership | Individual, Corporate, or Academic Supporter membership]]. Ready to become a member? [[Image:Join_Now_BlueIcon.JPG|75px|link=https://myowasp.force.com/]]

[http://www.regonline.com/donation_1044369 Donnez] au chapitre ou devenez commanditaire du chapitre local!

[https://myowasp.force.com/ Devenez membre !] Pour en savoir davantage sur les avantages d’une adhésion individuelle, corporative ou en tant qu’institution d’enseignement, [https://www.owasp.org/index.php/Membership cliquez ici].

[[Category:OWASP Chapter]]

== Chapter Supporters / Commanditaires du chapitre ==

[https://www.owasp.org/images/9/91/OWASP_Membership_Flyer_Montreal.png All details available here / Pour tous les détails] [[File:Chapter-supporter-owasp-montreal.png|200px|link=]]

=== Platinum / Platine ===

[[Image:Gosecure-2.png|GoSecure|link=http://www.gosecure.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[File:Desjardins2-400x400.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 
 

=== Gold / Or ===

[[Image:PM_SCADA_Logo_Gris_Cybersecurite_FR.png|PM SCADA|link=http://pmscada.ca/en/]]

 
 
 

= Lunch & Learn / Workshops 2017 =

== Pourquoi un hacker peut-il contourner les mesures et solutions de sécurité... ==

[[Image:Hamilton-septembre-2017-1.JPG ]]
[[Image:Hamilton-septembre-2017-2.JPG ]]
 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/endpoint-bypass-charles-hamilton]] [https://speakerdeck.com/owaspmontreal/endpoint-bypass-charles-hamilton See the slides / Voir la présentation] 
WHEN
September 18th 2017
WHERE
Espace Desjardins

OWASP dans le cadre des Midis conférence est heureux de lancer la saison 2017-2018 en accueillant, M. Charles F. Hamilton.
 
Notre conférencier viendra brosser un tableau des différents éléments qui expliquent pourquoi les mesures et les solutions de sécurité en générales qui ont la fonction de protéger les données, les applications, les réseaux ou les équipements critiques sont si souvent contournées ou carrément inefficaces contre les attaques ciblées.
 
Biographie : 
Charles F. Hamilton est un consultant en sécurité et membre d’équipe « Red Team » de calibre international. Il se spécialise en test d’intrusion et la recherche de solution proactive de sécurité.
 

== Cas d'attaques vécus : Internet des objets (IOT) - Attaques DDoS ==

[[Image:Cas_dattaques_vecus-r.jpg ]]
 
WHEN
June 19th 2017
WHERE
Espace Desjardins

Pour clore la saison printanière 2017, OWASP Montréal est fier d'accueillir au Midi Conférence, M. Christian Shink qui fera un survol de cas d'attaques vécus, des techniques utilisées et des acteurs impliqués dans ces attaques. 
L'incorporation généralisée de dispositifs «intelligents» dans les objets de la vie de tous les jours modifie la façon dont les gens et les machines interagissent les uns avec les autres. Cette incorporation offre une promesse d'une meilleure qualité de vie, une meilleure efficacité. En contrepartie, leur déploiement introduit également des vulnérabilités à la fois dans l'infrastructure qu'ils soutiennent et sur lesquels ils comptent, ainsi que dans les processus qu'ils guident. Que ce soit au niveau applicatif ou des infrastructures, ces vulnérabilités sont exploitées par des acteurs malicieux pour générer des attaques de déni de service massives et sophistiquées. Nous tenterons également de tirer des leçons afin de tenter de minimiser ce type d'attaques dans le futur. 
Christian Shink possède plus d’une dizaine d’années d’expérience en développement et sécurité d’applications. Avant de se joindre à Radware, Christian était à l’emploi d'une firme conseil où il a conseillé de nombreuses entreprises, dont de grandes banques américaines et Casinos. Il détient une certification CSSLP et est membre de l'ordre des ingénieurs du Québec.
 

== HOW TO! Threat Modeling Toolkit ==

[[Image:OWASPMtl-JonathanMarcil-1.jpg]]
[[Image:OWASPMtl-JonathanMarcil-3.jpg]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit]] [https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit See the slides / Voir la présentation]
 
WHEN
May 23rd, 2017
WHERE
Shopify Montreal

Threat Modeling is a great way to analyze security early in software development by structuring possible attacks, bad actors and countermeasures over a broad view of the targeted system. This talk will describe basic components of a threat model and how to use them effectively.
Threat Intelligence is where you gather knowledge about the environment and business assets to determine what are the actual threats. But how do you reconcile that with the current architecture in a useful manner?
The toolkit presented in this talk will enable you to systematically structure related information using graphical notations such as flow diagram and attack tree. In case you are wondering where to start in your organization, a quick lightweight risk rating methodology will also be proposed.
And in the end, you’ll see how we can all tie those together and get threat modeling to a point where it’s an efficient application security activity for communication. Doing this will prevent security reviews from missing important things even when chaos prevails during the realization of a project.
Modeling concepts will be demonstrated with an actual IoT device used as example.
Presentation will be done in english.

Speaker Bio:
Jonathan Marcil is the former chapter leader of OWASP Montreal and is now Senior Application Security Engineer at Blizzard Entertainment in beautiful Orange County, California.
Jonathan has been involved with OWASP for many years and has been behind the Media Project which gathered and promoted AppSec conferences video content in the official OWASP YouTube channel. He was also part of NorthSec CTF event as a challenge designer specialized in Web and imaginative contraptions.
He is passionate about Application Security and enjoys architecture analysis, code review, threat modeling and debunking security tools. He holds a diploma in Software Engineering from ÉTS Montreal and has more than 15 years of experience in Information Technology and Security.

Merci à nos précieux commanditaires !

== Security Testing: Unlocking the Benefits of a Hybrid Approach ==
[[Image:Security testing hybrid approach-r 3.jpg ]]
[[Image:Security testing hybrid approach-r 4.jpg ]]
 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/hybrid-approach-to-security-testing]] [https://speakerdeck.com/owaspmontreal/hybrid-approach-to-security-testing See the slides / Voir la présentation]
 
WHEN
April 24th, 2017
WHERE
Espace Desjardins

As part of their defensive efforts, businesses commonly commission cybersecurity assessments of their web applications; with the aim of identifying any weaknesses in the security controls and ensuring a continually strong cybersecurity posture of their systems.

The classical approach of either secure code review (white box) or penetration testing (black box) assessment have proven to be effective in securing of web applications. The new trend, however, is moving towards the combination of these two approaches; expert consensus is rapidly recognizing the advantages of using a hybrid approach. When applied properly, a hybrid approach can build on the strengths of both white and black box testing, while compensating for their individual shortcomings.

In this presentation, we will examine the details of secure code review and penetration testing, and run demos to contrast their respective strengths and weaknesses. We will also examine why a hybrid approach can produce more complete and relevant assessment results. To conclude, we will cover proven approaches, and practical techniques, on how you can start leveraging a hybrid approach to web application assessments today.

Anne Gauthier is an application security analyst at GoSecure. Anne is also the president of the Montreal Chapter of OWASP – the industry standard for web application security. With a penetration testing background, she specializes in secure code reviews and in helping companies to improve their software development lifecycle (SDLC) according to industry best practices. Anne is CSSLP, GWAPT and GSSP-JAVA certified. She obtained a Software Engineering bachelor’s degree from Ecole de Technologie Supérieure in Montréal and is now pursuing a Master of Engineering (MEng) degree in Information Systems Security at Concordia University. She is the author of the Project 201 Security blog.

Merci à nos précieux commanditaires !

== "HOW-TO" NIGHT ! Tout sur les CTFs (Capture The Flag) ==

[[Image:Howto_ctf.jpg]]
 
[[Image:Presentation-link.png | Slides | link=https://docs.google.com/presentation/d/1zEsCcX-Nvq8Nz0k-B1zHejCDNT2oGZx8oUBgMbvvMM0/edit#slide=id.p ]] [https://docs.google.com/presentation/d/1zEsCcX-Nvq8Nz0k-B1zHejCDNT2oGZx8oUBgMbvvMM0/edit#slide=id.p See the slides / Voir la présentation (Laurent Desaulniers)]
[[Image:Presentation-link.png | Slides | link=https://docs.google.com/presentation/d/1c1P1d2mKe767j1Y0V9cK6De5cpnK4I7GI-ORiodbg1A/edit#slide=id.p ]] [https://docs.google.com/presentation/d/1c1P1d2mKe767j1Y0V9cK6De5cpnK4I7GI-ORiodbg1A/edit#slide=id.p See the slides / Voir la présentation (Charles Hamilton)]
[[Image:Presentation-link.png | Slides | link=http://obilodeau.github.io/slides/2017-04-04_how-not-to-suck-at-ctfs/ ]] [http://obilodeau.github.io/slides/2017-04-04_how-not-to-suck-at-ctfs/ See the slides / Voir la présentation (Olivier Bilodeau)]
 
WHEN
April 4th, 2017
WHERE
Shopify

Cette nouvelle soirée "How-To" Night d'OWASP Montréal vise à présenter les CTFs (une compétition Capture The Flag) et aider les équipes à démarrer et à continuer à évoluer dans leurs pratique de la cyber sécurité pratique. L'objectif est d'outiller les participants en leur fournissant des ressources techniques et des contacts afin de les aider à progresser.

Les éléments discutés seront:

- Composition optimale d’une équipe : Fonctionnement d’une équipe de CTF et les principaux rôles (chef d’équipe, cryptographie, application web, rétro ingénierie et les causes perdues).

- Pourquoi faire des CTFs? Discussion sur les différents styles (jeopardy, attack/defense, etc.), quels sont les problèmes fréquemments rencontrés + plusieurs anecdotes intéressantes (et drôles).

- Trucs de Mr. Unikoder : Le créateur du fameux site ringzer0team, soit un des plus gros sites pour apprendre la résolution de problèmes de CTF (https://ringzer0team.com/) Apprenez des trucs du meilleur, sur comment débuter et interpréter un challenge web, binaire et crypto avec des trucs réels du métier.

Matériel requis :

Votre légendaire enthousiasme

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement.

Présentateurs :

Charles Hamilton, Senior Consultant chez Mandiant, FireEye, Inc.

Olivier Bilodeau, Cybersecurity Research Lead at GoSecure

Laurent Desaulniers, Senior Security Solution Specialist at Bell Canada

== NorthSec - Applied Security Event ==
[[Image:Nsec_2017_midi_conf.jpg]] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/northsec-applied-security-event]] [https://speakerdeck.com/owaspmontreal/northsec-applied-security-event See the slides / Voir la présentation]
 
WHEN
April 4th, 2017
WHERE
Espace Desjardins

NorthSec: La plus grande compétition et conférence en cyber sécurité au Canada

NorthSec est un organisme sans but lucratif qui organise une conférence et une compétition de sécurité de type "Capture-The-Flag" (CTF) et des formations. Avec plus de 400 participants présents sur le site pour la compétition, c’est la plus grande compétition du genre au monde.

La conférence, dans sa 3e année, attire des présentateurs internationaux avec du contenu technique exclusif. L’ajout des séances de travail (workshops) devrait plaire aux plus chevronnés des binaires.

Des formations de 3 jours sont offertes avant la conférence: "Advanced Web Application Security" par Philippe Arteau et "Malware and Memory Forensics" par Michael Ligh, co-auteur des livres "Malware Analyst Cookbook" et "The Art of Memory Forensics".

NorthSec est situé au Marché Bonsecours dans le Vieux-Port de Montréal au printemps du 15 au 21 mai 2017.

La présentation couvrira:

- Le plan pour 2017 
- Ce qui différencie NorthSec 
- Comment équilibrer une compétition pour les débutants et les experts 
- Comment bâtir une infrastructure basée sur les conteneurs qui gère 50 équipes dans quelques serveurs sans qu’ils ne se partagent de machines virtuelles 
- Comment faire du pain au levain à grande échelle 
- Présentation de quelques défis et solutions 

Les présentateurs:

- Gabriel Tremblay, Président, Delve Labs 
- Olivier Bilodeau, VP Formations, Co-fondateur MontréHack, GoSecure 
- Pierre-David Oriol, VP Conférences, Delve Labs 
- Benoit Guérette, VP Partenaires, Desjardins 
- Laurent Desaulniers, Tisserand de drapeaux, Bell Canada 

Merci à nos précieux commanditaires !

== Sécurité des applications : Les fondements ==
[[Image:Tanya.jpeg]] 

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/securite-des-applications-les-fondements]] [https://speakerdeck.com/owaspmontreal/securite-des-applications-les-fondements See the slides / Voir la présentation]
 
WHEN
March 20th, 2017
WHERE
Espace Desjardins

OWASP Montréal est fier d’accueillir au Midi Conférence du mois de mars, Mme Tanya Janca, Co-Leader du chapitre OWASP Ottawa et spécialiste de la sécurité applicative au sein du Gouvernement fédéral.

La conférence « Les fondements de la sécurité des applications » sera présentée en anglais.

Session Description : Everyone has heard about the problem; everyone is “getting hacked”. But what is the answer? From scanning your code with a vulnerability scanner to red teaming exercises, developer education programs and bug bounties, this talk will take the audience through all the possibilities of an extensive application security program, with a detailed explanation of each part.

Bio : Tanya Janca is an application security evangelist, a web application penetration tester and vulnerability assessor, a secure code reviewer, an ethical hacker, the Co-Leader of the OWASP Ottawa chapter, and has been developing software since the late 90’s. She has worn many hats and done many things, including; Custom Apps, Ethical Hacking, COTS, Incident Response, Enterprise Architect, Project and People Management, and even Tech Support. She is currently helping the Government of Canada secure their web applications.

Merci à notre commanditaire principal de cet événement: Ubitrak!

== WORKSHOP ! Server Side Template Injection (SSTI) ==

[[Image:Workshop-okiok-SSTI-r.jpg | WORKSHOP ! Server Side Template Injection (SSTI) ]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti]] [https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti See the slides / Voir la présentation]

WHEN
22 Février 2017
WHERE
Shopify Montréal

OWASP Montreal vous invite à un atelier portant sur la sécurité des applications web supportant les moteurs de template (Template Engine). Le principe de séparation entre la présentation du site (code HTML statique) et de son contenu dynamique facilite la création de documents HTML et la capacité à modifier l'apparence du site sans mélanger le traitement et le rendu de la page. L'utilisation de moteurs de template amène de nouveaux enjeux de sécurité. Les vulnérabilités de type Server Side Template Injection (SSTI) sont exploitables à travers les données (non fiables) fournies par l'utilisateur et conduisent à l'exécution de code arbitraire (RCE) sur le serveur hébergeant l'application web. 

Ce workshop a pour but d'introduire cette classe de vulnérabilité à travers différents cas d'implémentation (php, java, python).
Nous verrons comment identifier et exploiter ces vulnérabilités et de quelle manière un attaquant peut
s'y prendre pour exécuter du code arbitraire sur le serveur afin d'en prendre le contrôle. 

Niveau : Intermédiaire 
Matériel requis :
* Votre portable
* Votre distribution Linux/Unix de votre choix
* Votre proxy Web de votre choix

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.
Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.
Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement. 

Présentateur : Gérôme Dieu 
Gérôme Dieu cumule plus de 7 années d’expérience en technologies de l’information et en sécurité.
Il œuvre à titre de conseiller senior en sécurité de l’information au sein de la firme OKIOK. Ces dernières années, il a acquis une expertise dans le domaine de la sécurité des applications web aussi bien d'un point de vue offensif que défensif. En plus de réaliser des tests d’intrusion pour des clients internationaux, Gérôme s’implique dans la recherche et développement afin de maintenir à la fine pointe de la technologie les tests d'intrusion et d'analyse de vulnérabilités. 

Merci à Shopify d'héberger l'événement ! 
[[Image:Shopify Logo-r.png| Shopify | link=https://www.shopify.com/]]
== Le courriel en 2017 – risques et menaces pour tous ==

[[Image:Zero spam 2.jpg|Le courriel en 2017 – risques et menaces pour tous]]

[[Image:Video-link.png | Link to video | link=https://www.youtube.com/watch?v=HX2vcijcCWw ]] [https://www.youtube.com/watch?v=HX2vcijcCWw Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

WHEN
Le 23 janvier 2017 à midi
WHERE
Espace Desjardins

Monsieur Poellhuber nous brossera un tableau du phénomène grandissant du rançongiciels et de l'hameçonnage, personnification. 

- Par les années passées, la menace courriel se résumait principalement en un fort volume de contenu simplement indésirable. Aujourd’hui la menace a passablement évolué. Quels sont les véritables risques actuels associés au courriel ? Rançongiciels, hameçonnage, personnification. Cette conférence présentera les nouveaux défis de sécurité pour les organisations qui doivent composer avec des attaques de plus en plus sophistiquées et de plus en plus ciblées tout en protégeant leur réputation. Des exemples biens réels, drôles et moins drôles seront disséqués pour bien dessiner l’ampleur de l’enjeu. 

M. David Poellhuber, Chef de l’exploitation, ZEROSPAM Sécurité Inc 

Note biographique : 
Monsieur David Poellhuber oeuvre dans l’industrie de la sécurité informatique depuis quinze ans. Il a été conférencier dans plusieurs forums de sécurité au Canada et est maintenant reconnu comme une autorité en matière de sécurité du courriel. Il a fondé ZEROSPAM Sécurité en 2003, le premier service Québécois externalisé de sécurité du courriel infonuagique qui se distingue par sa convivialité, son efficacité et ses technologies de détection proactives. 
Audience : Généralistes et spécialistes de la sécurité des TI
 
Merci à Ubitrack pour le repas et à Desjardins d'héberger l'événement!

[[Image:Ubitrak-r2.jpg|Ubitrak|link=http://www.ubitrak.com/fr/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]

== Effective XSS Mitigation ==

[[Image:XSS mitigation.jpg | Effective XSS Mitigation ]]

[[Image:Presentation-link.png | Slides| link=http://slides.com/olivierarteau/xss-mitigation ]] [http://slides.com/olivierarteau/xss-mitigation See the slides / Voir la présentation]

WHEN
18 Janvier 2017
WHERE
Google Montréal

FRANÇAIS/ENGLISH 
La mitigation de XSS a été un sujet important au cours des dernières années. Les navigateurs ont implémenté, en autre, deux fonctionnalités pour mitiger leur impact : l'entête "XSS-Protection" et l'entête "Content-Security-Policy". Par contre, obtenir une mitigation contre les XSS efficace est souvent plus complexe que l'on pense. Cet atelier couvrira les deux entêtes. Il expliquera comme il est possible de contourner ces protections et ce qu'il est possible de faire pour se protéger. Des exercices de type "offensif" et "défensif" seront proposés.
Mitigation for XSS as been an important topic in the last few years. Browsers have implemented two main functionalities to help mitigate the impact of XSS : the "XSS-Protection" header and the "Content-Security-Policy" header. But, getting an effective XSS mitigation of those headers is trickier than it may seem. This workshop will cover both of those headers. It will explain how bypass of those protection work and what you can do about it. It will have both "defensive" exercises and "offensive" exercises.
Niveau : débutant/intermédiaire
 
Matériel requis :

Votre portable 

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Google pour l'événement.
 
Présentateur : Olivier Arteau
 
Olivier Arteau est un professionnel en sécurité informatique depuis quelques années et fait partie de l’équipe de test d’intrusion de Desjardins. Il est aussi un amateur de CTF qui a gagné à plusieurs reprises le CTF du NorthSec avec l’équipe HackToute et participe fréquemment à d’autres CTF avec l’équipe DCIETS.
 

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

= Lunch & Learn / Workshops 2015-2016 =

== WORKSHOP ! Top 10 OWASP - Unleash the threats ==

[[Image:Workshop-top10.jpg | WORKSHOP! Top 10 OWASP - Unleash the threats ]]

WHEN
30 novembre 2016 de 17h30 à 20h30
WHERE
Immunio @ WeWork

De nos jours, la sécurité applicative est essentielle dans l’écosystème des entreprises de toutes tailles. Les vecteurs d’attaques sont multiples, les vulnérabilités de sécurité dans les applications peuvent être désastreuses et les impacts d’un « Hack » peuvent être irréversibles pour l’entreprise; vols de données sensibles, perte de réputation, perte de $$$$$, etc.
L’objectif du workshop est de comprendre la base sur les vulnérabilités de sécurité dans les applications et les techniques d’exploitation utilisées par les pirates informatiques, en plus de connaître les bonnes pratiques de développement en matière de sécurité applicative.
Avec l'aide de WebGoat, Damn Vulnerable Web Application et de Kali Linux, vous pourrez participer
à l'exploitation des applications et découvrir les techniques utilisées par les attaquants.

Niveau : débutant

Matériel requis :
Votre portable
Kali Linux
La VM du workshop, envoyée aux participants

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places très limitées (nb = 10). Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Immunio & WeWork pour l'événement.

Présentateur : Christian Leclerc

Christian est spécialisé en conception et développement de solutions web sécuritaires. Tout au long de sa carrière, il a acquis une vaste expertise sur plusieurs types de technologies et méthodologies, intégré la sécurité dans le cycle de développement d’applications, effectué des revues de code sécurité, déployé des outils d’analyse des vulnérabilités et mis en place des systèmes d’authentification. De plus, il a participé à la conception et au développement de solutions sécuritaires de pointe comme la signature électronique à l’aide d’une infrastructure à clé publique (PKI), les authentifications fortes, le Registre des consentements au don d'organes et de tissus (RDOQ.org) et la migration de plusieurs applications web vers un environnement SOA (Service Oriented Architecture).
 Merci à Immunio & WeWork d'héberger l'événement! 

[[Image:Immunio-horizontal-r.png|Immunio|link=https://www.immun.io/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Wework-r.jpg|WeWork|link=https://www.wework.com/]]
 

== Histoire d'un Hack ==

[[Image:Histoire-dun-hack-r.jpg | Histoire d'un Hack ]]

WHEN
21 novembre 2016 à midi
WHERE
Espace Desjardins

Pour son activité du mois de novembre, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de faire l'autopsie d'une attaque de haute voltige sur un site web et des outils mis à la disposition par OWASP.

Bernard Bolduc cumule plus de 17 années d’expérience en technologies de l’information et en sécurité. Il œuvre à titre de conseiller senior en sécurité de l’information au niveau d’entreprise de classe nationale et internationale.

Bernard se spécialise en sécurité Unix, applicative et en gestion de la sécurité des télécommunications. Il combine ces expertises techniques afin d’obtenir des résultats probants et efficaces pour ces clients des secteurs bancaire, télécommunication et multimédias, de l’énergie ou des services publiques. Tout au long de sa carrière, Bernard s’est toujours maintenu à jour sur les dernières menaces de sécurité technologique et commerciale en assistant à des formations spécialisées et d'échanger avec un grand nombre de partenaires dans l'industrie de la sécurité.

La conférence débute à midi.

La conférence vous donne droit à 1 CPE et pour les 50 premières personnes, un lunch gratuit.

Merci à Desjardins d'héberger l'événement!

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite) ==

[[Image:Workshop-zap-mix.jpg | Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite)]]

WHEN
11 novembre 2016 de 18h à 21h

WHERE
Google Montréal

OWASP Zed Attack Proxy (ZAP) est un scanneur de vulnérabilités et un outil de débogage HTTP. Ce type d'outil est crucial dans un test d'intrusion web et contient un lot intéressant de fonctionnalités. Cela dit, il est possible d'étendre les fonctionnalités. Plusieurs types d'extension sont possibles : vue alternative pour les requêtes ou les réponses, scanneur passif des réponses, scanneur actif produisant des requêtes, etc.

Plusieurs options seront données, par exemple :

Détection automatique de flag dans les sources
Scanneur actif asynchrone DNS
Ou votre propre idée

Pour chacune des suggestions, des squelettes de code seront fournis pour les APIs de ZAP. Pour les utilisateurs de BurpSuite, des directives analogues seront également données.

Niveau : débutant / intermédiaire

Matériel requis

Votre portable
[https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project OWASP ZAP (gratuit)]
[https://portswigger.net/burp/download.html BurpSuite]
Éditeur de code pour Java, Python ou Ruby

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Présentateur : Philippe Arteau

Philippe est un chercheur en cybersécurité chez GoSecure. Il est l'auteur de l'outil d'analyse statique Java "Find Security Bugs". Il a découvert des vulnérabilités importantes dans les logiciels populaires tels que Google Chrome, Dropbox, Paypal, RunKeeper et Jira. Il a présenté dans différentes conférences incluant Black Hat USA, Black Hat Europe, ATL Sec Con, NorthSec, Hackfest (QC) et JavaOne. Il a développé de nombreux plug-ins pour les outils de proxy BurpSuite et OWASP ZAP (Retire.js, Reissue Request Script, PDF preview et Image Metadata). Il a fait également des contributions à d'autres plug-ins comme J2eeScan.

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

==Logiciel de rançon (Ransomware) s'attaque au domaine de la santé==

[[Image:HackingHealth-2.jpg | Logiciel de rançon (Ransomware) s'attaque au domaine de la santé ]]

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health ]] [https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health See the slides / Voir la présentation]

(Conférence en anglais)
Pour le lancement de la saison 2016 - 2017, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de la santé une incursion dans le monde du logiciel malveillant ciblant le domaine de la santé. 
Cette conférence s'intége dans le Coopérathon co-organisé par le Mouvement Desjardins et Hacking Health. 
Le domaine de la santé serait devenu une cible privilégiée des campagnes de ransomware parce que l'industrie a souvent payé la rançon demandée pour récupérer les données confidentielles et vitales de ses clients. Monsieur Ed Gershfang nous brossera un portrait du phénomène et des meilleures pratiques à mettre en place en matière de sécurité applicative.
Ed Gershfang possède une expérience solide dans l'infrastructure informatique et plus de 6 ans d'expérience dans les domaines de la sécurité de l'information, de la vulnérabilité, de la gouvernance et de la gestion des risques. Il était directeur de la sécurité pour la société PeriGen, un chef de file de développement de logiciels médicaux en Israël.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative vue par un pentesteur ==

[[Image:Juin2016-OWASPMtl.jpg | OWASP Montréal reçoit Mario Contestabile, Pentester de renom ]]
 
From Left to Right : Isabelle Lusseyran, Head of Development at Hacking Health. Eduard Gershfang Information Security Analyst at WSP | Parsons Brinckerhoff.

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile ]] [https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile See the slides / Voir la présentation]
 
Pour clore la saison 2015 – 2016, OWASP Montréal est fier d’accueillir au Midi Conférence un des architectes de renom du développement applicatif au Canada, monsieur Mario Contestabile.
En tant qu’auteur de plusieurs centaines de tests d’intrusion, il connait tous les rouages de ce qu’est véritablement une application Web «sécurisée». Mais avez-vous déjà remarqué que les rapports de tests d’intrusion mentionnent rarement, voir jamais : «Votre site est très difficile à pirater. Félicitations !» ?
Et qu’en est-il de ces rapports qui contiennent des dizaines de soi-disant vulnérabilités ? Est-ce que cela signifie d’emblée que l’application devrait être mise hors ligne ?
 
Lors de cette conférence, nous examinerons des rapports concrets (ambigus) de vulnérabilités et nous les analyserons afin de mieux comprendre si elles représentent une véritable menace, ou si elles ne servent qu’à «remplir» les rapports.
 
Avec son expertise en protection et en attaque d’applications Web, il abordera les points suivants :
Comment pouvez-vous sélectionner des systèmes de façon à mieux exécuter des protections de sécurité ?
Éviter certains pièges dans votre application Web qui rendent les attaques plus faciles et la protection plus difficile.
De nos jours, que peuvent faire les développeurs à l’intérieur de systèmes communs, qui puisse me rendre la tâche plus ardue en tant que « hacker »?
Pouvons-nous exiger de meilleurs rapports de la part des firmes de sécurité?
À quoi devrions-nous nous attendre de la part d’un « pentesters »?
Comment pouvons-nous savoir si le « pentester » a vérifié les failles de l’application et qu’il n’a pas simplement utilisé un scanneur?
Et enfin, comment pouvons-nous aider les « ethical hackers » à obtenir un meilleur rendement lors d’un test d’intrusion?
Il expliquera le sujet en détails, et ensemble, nous verrons de quelles façons les développeurs d’applications peuvent exploiter le savoir-faire des « pentesters », et comment nous pouvons faire en sorte qu’une application Web soit protégée.
Biographie :
Mario Contestabile est reconnu comme l’un des experts en sécurité les plus réputés au Canada. Son expertise, construire et protéger votre plateforme applicative. Ancien développeur C++ et Java, Mario partage ses nombreuses connaissances en « ethical hacking » et en développement de codes sécurisé.
 
WHEN
Tuesday, 14 June 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Comment protéger les applications mobiles? ==

[[Image:Avril2016-OWASPMtl.png | Comment protéger les applications mobiles? ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles ]] [https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles See the slides / Voir la présentation]
 
Dans le cadre des Midis Conférence à l'Espace Desjardins, l'équipe OWASP Montréal vous invite à assister à une présentation sur les vulnérabilités les plus communes associées aux appareils mobiles.
Marie-Claire Willig détaillera entre autres comment stocker de façon sécuritaire les données de l’application mobile ainsi que protéger l’application contre des attaques externes. Des outils simples vous seront dévoilés pour détecter ces vulnérabilités.
Marie-Claire est une professionnelle d'expérience en sécurité appliquée.
Une grande partie de son intérêt professionnel réside actuellement dans un domaine assez niche, soit la revue de code sécuritaire, un fondement important de tout cycle de développement sécuritaire en entreprise.
Au sein de l'équipe de sécurité technologique Desjardins, elle est, en autre, responsable de former les développeurs (Java et .NET principalement) afin de les sensibiliser aux meilleures pratiques de développement sécuritaire.
Également, elle est une professionnelle des tests d'intrusion sur les applications web, les applications mobiles ainsi que l'infrastructure réseau.
Bienvenue à tous
 
WHEN
Wednesday, 20 April 2016 from 12:15 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ==

[[Image:Mars2016-OWASPMtl.jpg | NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/YQtvltQYs7Y]] [https://youtu.be/YQtvltQYs7Y Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
OWASP Montréal est fier d’inviter au Midi Conférence de mars, NorthSec est le plus gros événement de sécurité appliquée au Canada qui comprend deux jours de formation, deux jours de conférences ainsi qu’une compétition du genre « capture the flag » (CTF) de trois jours.
Gabriel Tremblay, Benoit Guerette, Pierre-David Oriol et Laurent Desaulniers viendront vous parler de cet organisme sans but lucratif dynamique qui est géré par une équipe de bénévoles passionnés qui donnent à chaque année leur énergie et leur temps pour soutenir la communauté de la sécurité de l’information.
Le volet compétition, l’épreuve maîtresse, est présentée sous forme d’un scénario qui rend cohérent une centaine de défis techniques. Les équipes de participants attaquent l’infrastructure de compétition pour soutirer des drapeaux (flags) à travers un ensemble de vulnérabilités présentes comme de l’injection SQL, des XSS ou encore l’exploitation d’exécutables sur systèmes embarqués. Quelques exemples de défis des années passées seront également présentés.
Le volet conférence, qui est à sa 2ème année, met de l’avant plusieurs présentations techniques touchant la sécurité applicative mais aussi l’éthique et leurs impacts sociaux. Certaines présentations confirmées seront dévoilés.
Le tout nouveau volet formation propose deux formations en sécurité applicative de calibre international (anglais) : “Advanced Web Security Testing with Burp Pro” et “Modern Object-Oriented Malware Reverse Engineering”.
Venez aussi, découvrir comment l'équipe est partie d'une idée en 2012 pour se rendre à un évènement d'envergure, qui rassemblera plus de 600 professionnels, étudiants et autres passionnés de sécurité appliquée lors de la 4ème édition qui aura lieu du 17 au 22 mai 2016 au Marché Bonsecours.
Finalement, la mission, la vision ainsi que les activités sociales de la semaine de NorthSec sont aussi au menu de cette présentation qui sera suivie d’une période de questions.

Gabriel Tremblay, Delve Labs, Président
Benoit Guerette, Desjardins, VP Finances

Pierre-David Oriol, Delve Labs, VP Conférence
Laurent Desaulniers, Bell Canada, Artisant de drapeaux
 
WHEN
Wednesday, 23 March 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative et l'hameçonnage - February 24th ==

[[Image:Fevrier2016-OWASPMtl.jpg | La sécurité applicative et l'hameçonnage ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/1RYlOiIENjQ]] [https://youtu.be/1RYlOiIENjQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 

De nos jours, une des méthodes les plus efficaces pour contourner les périmètres de sécurité externes est l'hameçonnage conjointement avec l’abus de certaines technologies Web.

Dans le cadre ses activités, OWASP Montréal est heureux d'inviter d'accueillir, l'équipe OKIOK qui présentera les impacts liés à ce type d'attaque, tel que vu et expérimenté en entreprise ainsi que les plans d'action pour traiter ces risques. La présentation abordera aussi bien la sécurité web et applicatives, des systèmes informatiques ainsi que de la sécurité physique de centres de données.

Capture d'informations sensibles par imitations de portails Web ;
Authentification Web par 2-facteurs ;
Injection SMTP dans des formulaires Web ;
Attaque de type “Drive-by-download”;
Prise de contrôle à distance à travers des flux HTTP;
Attaque de CSRF à partir de courriels ;
Attaque d'hameçonnage basée sur des achats par Internet (ex : PayPal).
 
When
Wednesday, 24 February 2016 from 12:00 PM to 1:15 PM (EST) - Add to Calendar
Where
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest Montreal, Quebec CA

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Internet of {Things, Threats} - January 20th ==

[[Image:Janvier2016-OWASPMtl-R.png | Internet of {Things, Threats} ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html ]] [http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html See the slides / Voir la présentation]
 
De plus en plus de périphériques se retrouvent connectés sur Internet. Sous la bannière "Internet of Things" (IoT) ces équipements, que ce soit une pompe à insuline ou un système de caméra de sécurité, tournent généralement sous un système GNU/Linux embarqué d'architecture MIPS ou ARM. La difficulté de mettre à jour ces équipements ainsi que le peu d'effort mis dans la sécurité des systèmes ou la sécurité applicative en font des cibles de choix. Ces derniers mois, nous avons analysé plusieurs logiciels malveillants ciblant ces architectures. Que ce soit par l'exploitation d'une vulnérabilité (Shellshock) ou encore un défaut de configuration, ces systèmes exposés sur Internet peuvent être compromis.

Notre présentation couvrira quelques une de ces analyses:

* Linux/Moose, un malware se propageant automatiquement qui fraude les réseaux sociaux (par exemple Facebook, Twitter et YouTube)
* LizardSquad et acteurs étrangers qui utilisent des systèmes embarqués compromis pour réaliser des dénis de service distribué (DDoS)
* Win32/RBrute est un logiciel malveillant qui tente de changer les paramètres de routeurs dans le but de faire du "DNS poisoning". Il a été distribué par le populaire botnet Sality.
* Un kit d'exploits qui utilise seulement le navigateur de leur victime avec le même objectif, c'est-à-dire faire du "DNS poisoning".

Enfin, des conseils seront proposés à l'audience pour l'aider à se protéger de ces menaces.

'''Thomas Dupuy''' (twitter: @nyx__o)

Thomas est chercheur en logiciel malveillant chez ESET Canada Recherche. Bon vivant, Thomas déjeune en "reversant" des binaires, contribue à quelques projets open source durant le diner (yara, yara rules, pefile, APTnotes) et la nuit participe à des "Hacking Games" (Capture The Flag). Curieux de nature Thomas analyse des malware aux architectures "exotiques".

'''Olivier Bilodeau''' (twitter: @obilodeau)

Olivier Bilodeau is the head of Cybersecurity Research at GoSecure a consultancy firm specializing in cybersecurity services for the public and private sector. With more than 10 years of infosec experience, Olivier worked on Unix servers at Bell Canada, managed a portion of Air Canada's network, wrote open source network access control software at Inverse and worked as a Malware Researcher at ESET. He likes to reverse engineer everything that crosses his path, participate in information security capture-the-flag competitions, hack open source code and brew beer. He has spoken at various conferences (Defcon, Botconf, VirusBulletin, Derbycon, ...), used to lecture on information security at ETS University in Montreal, drives the NorthSec Hacker Jeopardy and co-organizes the MontreHack capture-the-flag training initiative. His primary research interests include reverse-engineering tools, Linux and/or embedded malware and honeypots.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Survivre aux attaques DDOS applicatives ==

[[Image:Decembre2015-OWASPMtl.jpg | Survivre aux attaques DDOS applicatives ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
Survivre aux attaques DDOS (Distributed Denial-Of-Service) applicatives.
Cette conférence s'adresse aux professionnels et gestionnaires des TI.
Conférencier : Christian Shink, ing., CSSLP, ingénieur système chez Radware, manufacturier spécialisé dans la prévention des attaques DDOS. Il fut également consultant en sécurité applicative chez In Fidem.
Objectifs de la conférence:
Présenter les tendances actuelles en matière d'attaques DDOS applicatives.
Renseigner les participants sur les techniques et stratégies pour contrer ces attaques illustrées à partir de cas vécus.
Démystifier certains mythes en ce qui concernent les façons efficaces de protéger les applications contre des attaques DDOS.
Date : 16 décembre 2015
Heure : 11h45
La conférence débute à 12h00 et se termine à 12:55.
Un lunch sera servi.
Réservez maintenant!
1 CPE
 
WHEN
Wednesday, 16 December 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Sécurité des applications - Systèmes de contrôles industriels ==

[[Image:Novembre2015-OWASPMtl-R.png | Sécurité des applications - Systèmes de contrôles industriels ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/0eAZpyiQQ9A]] [https://youtu.be/0eAZpyiQQ9A Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

La sécurité des applications et les systèmes de contrôles industriels.
Cette conférence s'adresse aux professionnels et gestionnaires des TI desinfrastructures critiques qui exploitent ou gèrent des systèmes de contrôles industriels(SCI) et SCADA (surveillance et d'acquisition de données). 
Conférenciers : Robert Nastas, CSSA. Gestionnaire de projet et Youssef Jad, Architecte Cyber sécurité, ICS-CERT 
 
Objectifs de la conférence:
* Démystifier le domaine d'affaires.
* Renseigner les participants sur les bonnes pratiques de sécurité desapplications liées au secteur industriel.
* Proposer aux professionnels et gestionnaires des TI responsables dessystèmes SCADA et SCI des pistes de solutions aux enjeux de sécurité.
 
L'équipe OWASP Montréal vous remercie d'avoir assisté en grand nombre à la conférence, 'La sécurité des applications et les systèmes de contrôles industriels'.
 
WHEN
Wednesday, 18 November 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ==

[[Image:Septembre2015-OWASPMtl.jpg | Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert ]] [https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert See the slides / Voir la présentation]
 
Pour le lancement des activités corporatives de la saison 2015 - 2016, le 8 septembre prochain à 12:00, l'équipe OWASP Montréal convie les gestionnaires et artisants de la sécurité des TIC à venir entendre monsieur Éric Hébert qui nous présentera son interprétation des préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative. L'événement se tiendra au complexe Desjardins à la salle "Espace Desjardins".

''' ÉRIC G. HÉBERT, CISM, CISSP ''' 
Après plus de 20 ans passés dans le domaine de la sécurité des technologies de l’information, Éric se spécialise dans la mise en œuvre et la gestion d'équipes performantes, capables de relever les plus hauts défis de la cybersécurité moderne. 
Capable de dialoguer avec les hauts dirigeants, il sait traduire et vulgariser les enjeux techniques complexes tout en respectant la nature et l'appétence au risque de ses clients. Dynamique et pourvu d'une expérience couvrant presque toutes les sphères de la SI, il fonce dans le respect de la culture établie tout en implantant des solutions pragmatiques et efficaces. 
Depuis plus de 10 ans, il gravite principalement autour des entreprises du domaine financier (BNC, Desjardins, Fonds de solidarité FTQ...) et les accompagne dans la mise en place de solutions efficaces tenant compte à la fois des risques et des budgets.
En plus d’avoir fondé de nombreuses associations telles que le RéseauSécurIT et le RPSI, il maintient une présence régulière auprès des milieux associatifs professionnels et partage régulièrement ses expériences lors de conférences et d'entrevues avec divers médias.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

= Events / Évènements =

== Owasp Montreal at [https://nsec.io/ NorthSec 2017] ==

[[Image:NorthSec2017-5.jpg]]
[[Image:NorthSec2017-6.jpg]]

From Left to Right: Anne Gauthier, OWASP Montréal Chapter Leader (President) and Application Security Analyst at GoSecure, Hugo Genesse, OWASP Montréal Chapter Leader and Research Intern at PNF Software, Julien, OWASP Montréal Chapter Leader

== OWASP Montreal at [https://2017.appsec.eu/ AppSec] ==

[[Image:OWASPAppSecBelfast2017-7.jpg]]

OWASP Montreal and Ottawa Chapter Leaders at OWASP AppSec Belfast, UK #WomenInAppSec

== OWASP Montreal at [https://hackfest.ca/ HackFest 2016] ==

[[Image:Hackfest2016-r.jpg| HackFest |link=https://hackfest.ca/]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Louis Nadeau, OWASP Québec Chapter Leader and Manager, Product Security at Bentley Systems and Patrick Leclerc, OWASP Québec Chapter Leader and Information Security Advisor at La Capitale.

== OWASP Montreal at OWASP [https://2016.appsecusa.org/ AppSec USA 2016, Washington] ==
 
 
[[Image:OWASPMtl-AppSecUSA2016-Washington.jpg | OWASP Montreal at AppSec USA 2016, Washington]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016, Alexandre Hamelin President at Synlabs Consulting Inc., Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [https://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

== OWASP Montréal at [https://www.gosec.net GoSec] 2016 ==

[[Image:OWASP-GoSec2016-1r.jpg|OWASP Montreal at GoSec 2016]] [[Image:OWASP-GoSec2016-2r.jpg|OWASP Montreal at GoSec 2016]]
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Simon Lacasse, student and volunteer, and Laurent Desaulniers, Security Analyst at Bell Canada.

== OWASP Montréal at [https://www.nsec.io/ NorthSec] 2016 – Annual Applied Security Event ==

[[Image:Hackfest2016-OWASPMtl.jpg|OWASP Montreal at NorthSec 2016]]

@Photo : Simon Veilleux
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Olivier Arteau OWASP Montréal Chapter Leader and Conseiller chez Groupe Technologie Desjardins, Hugo Genesse, OWASP Montréal Chapter Leader and Vulnerability Research Intern at Wurldtech Security Technologies.

== OWASP Montréal at [https://hackfest.ca/en/ Hackfest] 2015 ==

[[Image:Hackfest2015-OWASPMtl-R.JPG | OWASP Montreal at Hackfest 2015]]

@Photo : Hackfest
 
 
From left to right : Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [http://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

[[Image:Video-link.png | Link to video | link=https://youtu.be/8U0qkEuUFy8]] [https://youtu.be/8U0qkEuUFy8 Watch the video / Regarder la vidéo]

== OWASP Montréal at [https://www.gosec.net/ GoSec] 2015 – The Annual Cybersecurity Conference presented by GoSecure, EY and ISACA. ==

[[Image:GoSec2015-OWASPMtl.jpg|OWASP Montreal at GoSec 2015]]

@Photo : Marius Popescu
 
 
From left to right : Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016. Benoît Guérette, Application Security Team Leader at Desjardins, VP Finance at NorthSec and OWASP Montreal Chapter Founder and Former Chapter Leader.

== See also / Voir aussi ==

OWASP Montréal recommends Montréhack. Learn and share knowledge on IT security by solving technical challenges. Third Monday of every month.

OWASP Montréal recommende Montréhack. Apprends et partages des connaissances sur la sécurité informatique en travaillant des problèmes appliqués. Chaque troisième lundi du mois.

[[File:Montrehack.png|Montréhack|link=http://montrehack.ca/|alt=Montréhack]]

= Archives 2007-2015 =
{{:Montreal chapter past meetings}}

== OWASP Montreal - February 3rd - Getting to Know the Software Assurance Marketplace (SWAMP) ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/p4_vjufcB6Q]] [https://youtu.be/p4_vjufcB6Q Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer]] [https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Pat Beyer
*'''ADDITIONAL PRESENTER:''' Abe Megahed
*'''ABSTRACT:''' The Software Assurance Marketplace (SWAMP) is an open facility that is designed, built, and operated by four research institutions. The SWAMP provides no-cost access to an array of open-source and commercial software analysis tools. This presentation will provide an overview and demo of the SWAMP, including our goals, intended audience, current capabilities, and future plans. We will cover our relationship with OWASP, incorporation of open-source software assurance tools, and status as an open-source project and resource available to the software community. Visit https://continuousassurance.org/ to learn more about us.
*'''BIO:''' Pat Beyer serves as the Product Manager for the Software Assurance Marketplace (SWAMP). With over 25 years of experience successfully managing multi-million dollar global projects, Beyer’s expertise extends to the IT, construction, and operations sectors, with a specialization in managing government contracts and grants. A gifted communicator, Beyer is a sought after speaker due to his ability to deliver complex information about technology products and services in a way that is easily understood. He is a decorated combat veteran of the Global War on Terror, the international military campaign that started following the 9/11 terrorist attacks on the United States. In 2004, he constructed and rehabilitated over 20 schools, clinics, and water treatment plants for the Iraqi people using local contractors. Beyer also holds a Bachelor of Science, a Masters in Business Administration, a Ph.D. in Organization and Management, and a Project Management Professional (PMP) certification.
*'''BIO:''' Abe Megahed is a web developer for the Software Assurance Marketplace. In previous lifetimes, he has been a computer graphics researcher, a game programmer, a programming language and compiler nerd, a dot com company founder, a creator of helicopter simulations, and a developer of 3D simulations for NASA astronaut crew training.
*'''WHEN:''' Tuesday, February 3rd 2015
*'''WHERE:''' Room PK-1140 - UQAM Pavillon Président-Kennedy, 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' https://owaspmtlswamp2015.eventbrite.ca
*'''WEBCAST:''' https://www.youtube.com/watch?v=p4_vjufcB6Q
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer

*'''ACADEMIC PARTNER:''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session: Getting to Know the Software Assurance Marketplace
20:00-... End of the meeting

[[Image:SWAMP-Logo-Final-Med.png|300px|link=https://continuousassurance.org/]]
[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

== OWASP Montréal - 4 décembre - Malware côté serveur — évolution, méthodes d’opération et forensic Linux ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/lo8WDl-WQ3E]] [https://youtu.be/lo8WDl-WQ3E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille]] [https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Marc-Etienne M.Léveillé
*'''RÉSUMÉ:''' Les logiciels malveillants ciblant les serveurs ont évolué. Ils sont utilisés par des groupes de cybercriminels organisés dans le but de faire du profit via des redirections web et l’envoie de pourriels. La présentation portera sur Opération Windigo, une opération malveillante qui a affecté plus de 25 000 serveurs dans le monde. Après une brève description des composantes de Windigo, nous verrons comment les opérateurs déploient leurs logiciels malveillants et surveille leur réseau de serveurs infectés. Des trucs pratiques pour faire de la forensics sur des systèmes Linux seront donnés. Cette présentation est une suite à la présentation "Linux/Cdorked: Server side malware", donnée par Olivier Bilodeau à OWASP Montréal en 2013. La présentation sera en français avec des diapositives en anglais (aka Montreal-style).
*'''BIO:''' Marc-Etienne est un chercheur en logiciel malveillant chez ESET depuis 2012. Il se spécialise dans les logiciels malveillants qui s’attaquent à des plateformes inhabituelles comme aux produits fruités et aux oiseaux nordiques. Dernièrement, il passe beaucoup de son temps à faire la rétro-ingénierie de logiciels malveillants sur des serveurs Linux et s’intéresse à leurs méthodes d’opération. Il adore participer de façon collégiale aux CTFs avec ses amis les CISSP Groupies et jouer de la clarinette. Il tweet très peu à @marc_etienne_.
*'''QUAND:''' 4 décembre 2014 à 18h00
*'''OÙ:''' Local M-1510, Polytechnique Montréal, 2900 Boulevard Edouard-Montpetit
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-4-decembre-malware-cote-serveur-evolution-methodes-doperation-et-forensic-linux-tickets-14635313617
*'''ÉQUIPE ACADÉMIQUE:''' Polyhack - http://polyhack.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Malware côté serveur
19:30-20:00 Période de questions

[[Image:Polyhacklogonoirpetit.png|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]

== OWASP Montréal - October 23rd - XXE : À l’assaut des analyseurs XML ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/MZviLB9-42E]] [https://youtu.be/MZviLB9-42E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau]] [https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Philippe Arteau
*'''RÉSUMÉ:''' L'utilisation d’XML est fortement répandue. Le format est utilisé pour des fichiers de configuration, pour des métadonnées, pour des documents textes, et bien plus. La prise en charge de fichiers XML n’est pas sans risque. La plupart des analyseurs XML ne sont pas sécuritaires par défaut pour le traitement de fichier externe. Cette présentation fera un survol des vulnérabilités de type « Xml eXternal Entity » et de l’étendue des risques pour différents langages de programmation. Plusieurs démonstrations sont prévues.
*'''BIO:''' Philippe est conseiller en sécurité applicative pour le Groupe Technologies Desjardins. Au quotidien, il s’occupe d’effectuer des tests d’intrusions et des revues de code. Il a découvert des vulnérabilités importantes dans plusieurs logiciels populaires incluant Google Chrome, DropBox, ESAPI et Jira.
*'''QUAND:''' 23 Octobre 2014 à 18h00
*'''OÙ:''' École de Technologie Supérieure Local A-3230, 1100 Rue Notre-Dame Ouest, Montréal, QC H3C 1K3
*'''INSCRIPTION:''' http://www.eventbrite.ca/e/owasp-montreal-23-octobre-xxe-a-lassaut-des-analyseurs-xml-tickets-13426881163
*'''PARTENAIRE ACADÉMIQUE:''' ETS - DCI http://dciets.com/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:45 Mot de bienvenue
18:45-19:45 Présentation principale - "À l’assaut des analyseurs XML" Philippe Arteau
19:45-20:00 Période de questions

[[Image:Blason_dci.png‎‎‎|150px|link=http://dciets.com/]]
[[Image:ETS-rouge-devise-impr-fond_transparent.png|150px|link=http://www.etsmtl.ca/]]

== OWASP Montreal - July 24th - Web security for DevOps: the glory is in the headers ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/6bp1NCLT-YQ]] [https://youtu.be/6bp1NCLT-YQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil]] [https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Jonathan Marcil
*'''ABSTRACT:''' DevOps is a buzzword which can be easily demystified: in essence it is a process which aims to combine the development and system administration process into one; Operations. As developers become responsible for server setup, security counter measures are evolving as well. The line between server configuration and application behaviour has been blurred. In this talk we will cover some HTTP headers in regards to security such as CORS, CSP and HSTS. We will demonstrate several forms of attack, and how they can (should) be countered.
*'''BIO:''' Jonathan is devoted to security and specialized in Web application security. His main occupation is consulting in Web security, but deep down he is a developer with a agnostic vision of programming languages. He has a diploma in Software Engineering from Ecole de Technologie Superieure and more than 10 years of experience in Information Technology and Security.
*'''WHEN:''' At noon on July 24th 2014
*'''WHERE:''' 75 Queen Street, office 3100, Montreal, QC H3C 2N6
*'''REGISTRATION:''' You can join us on site for a pizza slice but this is mainly an online event. Contact jonathan.marcil@owasp.org.
*'''WEBCAST:''' https://www.youtube.com/watch?v=6bp1NCLT-YQ
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil
*'''EVENT SPONSOR:''' Pheromone http://www.pheromone.ca/
*'''PROGRAM:'''

12:00-12:10 Welcome and quick OWASP introduction
12:10-13:10 Main presentation - "Web security for DevOps: the glory is in the headers" Jonathan Marcil
13:10-... Open discussion and questions

[[Image:Logo-phero.gif‎|link=http://www.pheromone.ca/]]

== OWASP Montreal - June 18th - Gaps in the Clouds ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz]] [https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Robert Fritz
*'''ABSTRACT:''' Cloud technology offers agility and scaling, and a chance to break away from legacy IT choices. Unfortunately, skipping traditional IT activities often results in poorly patched systems, out of date firewalls, and overprovisioned entitlements wielded by admins whose “day job” is development. Boundaries of accountability and responsibility amongst cloud providers and consumers are confusing, vague, and shift, making security difficult to manage. In such an environment, a “BP-spill” event, where cost wins over safely safety, is likely. This talk will dive down into the cracks between the layers of cloud, and share some of the exciting dirt we have seen and expect to see in coming years.”
*'''BIO:''' Robert Fritz has been practicing security his entire career. Rob started as an Air Force lieutenant at Langley AFB and later at the Pentagon in Washington DC, building and managing classified networks. Finding he was getting too far from technology after a brief stint flying, he left the military to get back to the tech, and built security tools for HP in their HP-Unix lab. Over time he found himself in more and more security design discussions, so co-authored HP’s Commercial Application Threat Analysis Methodology, building an internal consulting practice at HP. This quantitative approach, led to two pending patents, an external-facing consulting practice, and his contributions to NIST IR-7502, the Common Configuration Scoring System (CVSS follow-on). He is the former lead editor for the Center for Internet Security’s HP-UX Benchmark, and current lead for the Android Benchmark. Robert now works for Morgan Stanley as global head of the Strategic Consulting team in the Security Architecture group, and leads the team’s cloud and social-media security practices.
*'''WHEN:''' June 18th 2014
*'''WHERE:''' 700 Rue Wellington, Floor 2, Montreal, QC H3C 3S4
*'''REGISTRATION:''' http://owaspmtl18junems.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz
*'''EVENT SPONSOR:''' Morgan Stanley http://www.morganstanley.com/
*'''PROGRAM:'''

18:00-18:30 Networking and Morgan Stanley Hosted Pizza and Soft Drinks
18:30-18:45 OWASP Chapter & Morgan Stanley Welcome
18:45-19:45 Main presentation - "Gaps in the Clouds" Robert Fritz
19:45-20:00 Open discussion and questions
20:00-... Optional, informal networking at Aziatic - 626 rue Marguerite-d'Youville, Montréal, QC H3C 1W7

[[Image:Morgan_Stanley_Historical_Logo.png|link=http://www.morganstanley.com/]]

== OWASP Montréal - May 26th - Récapitulatif des challenges NorthSec ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/P8_V3RI1Ru4]] [https://youtu.be/P8_V3RI1Ru4 Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''PRÉSENTATEUR PRINCIPAL:''' Laurent Desaulniers
*'''RÉSUMÉ:''' Solutions de la compétition en sécurité NorthSec 2014 sur les sujets de XXE + SSRF, WAF Bypass, Xpath Injection, DOM Injection, HTTP Only Flag bypass et contournement de captchas. Une bonne façon d'apprendre sur ces failles que vous étiez ou non un participant de la compétition.
*'''MESSAGE DU PRÉSENTATEUR:''' Vous voyez Rao dans votre soupe? Vous voulez une solution pour un XSS avec des cookies http only? Les captchas illisibles sont un problème? Assistez à la présentation de l'OWASP!
*'''BIO:''' Laurent Desaulniers est un passionné de sécurité informatique. Il a présenté au Hackfest, au colloque RSI, à OWASP et est challenge designer à NorthSec. M. Desaulniers détient les certifications CISSP, CISM, CISA et OSCP.
*'''QUAND:''' 26 mai à 18h00
*'''OÙ:''' Local PK-1140 - Pavillon Président-Kennedy 201, Avenue du Président-Kennedy, J2X 3Y7
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-26-mai-recapitulatif-des-challenges-northsec-tickets-11724413035
*'''WEBCAST:''' https://www.youtube.com/watch?v=P8_V3RI1Ru4
*'''ÉQUIPE ACADÉMIQUE''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Récapitulatif des challenges NorthSec
19:30-20:00 Période de questions

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== Networking with infosec communities - April 21st ==

[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''RÉSUMÉ:''' En collaboration avec Montréhack, mtlsec et NorthSec, nous organisons une soirée réseautage dans un pub du centre-ville. Du plaisir garanti avec les membres de plusieurs communautés infosec de Montréal!

*'''ABSTRACT:''' In collaboration with Montréhack, mtlsec and NorthSec, we are organizing a networking evening in a pub downtown. Fun guaranteed with the other security communities in Montreal!

*'''QUAND:''' 21 Avril 2014
*'''WHEN:''' April 21st 2014

*'''OÙ/WHERE:''' BENELUX - Brasserie Artisanale 245 Sherbrooke St W Montreal, QC H2X 1X7

*'''INSCRIPTION/REGISTRATION:''' https://www.eventbrite.ca/e/montrehack-avril-april-northsec-pre-party-tickets-11232307133

*'''PARTENAIRES/PARTNERS:''' Montréhack http://montrehack.ca/ - mtlsec http://blog.mtlsec.com/ - NorthSec https://www.nsec.io/
*'''PROGRAMME:'''
18:00-21:00 Networking
21:00-23:59 Remember to drink responsibly!

== OWASP Montréal - March 27th - Panel Compétition en sécurité NorthSec ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

'''Présentation sous forme de panel - venez poser vos questions!'''

*'''RÉSUMÉ:''' Les compétitions de type Capture the Flag (CTF) sont un moyen pour les professionnels et amateurs de sécurité informatique de mettre leurs talents à l'épreuve. NorthSec est une compétition Montréalaise annuelle en sécurité appliquée, qui aura lieu cette année au Marché Bonsecours de Montréal le 25, 26 et 27 avril prochain. Elle vise à augmenter le niveau technique des professionnels de la sécurité au Québec, ainsi que de permettre à ses acteurs les plus talentueux de se démarquer.
*'''DÉTAILS:''' Le panel de jeudi, sous la forme d'un échange convivial entre les organisateurs de l'évènement et de ses participants, abordera des thèmes variés comme l'écriture de bon défis, l'infrastructure, la logistique, les inattendus, un bilan de 2013 et tout ça en passant par de savoureuses annecdotes (on l'espère). Venez en grand nombre toucher à ces légendes de la scène infosec montréalaise!
*'''PANÉLISTES:''' Gabriel Tremblay, François Proulx, Laurent Desaulniers, Stéphane Graber
*'''ANIMATEUR:''' Olivier Bilodeau
*'''QUAND:''' 27 mars 2014
*'''OÙ:''' Salle M-1510, École Polytechnique de Montréal, 2500 chemin de Polytechnique, Montréal (Québec) H3T 1J4, pavillon Lassonde
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-27-mars-panel-competition-en-securite-northsec-tickets-10918436337
*'''ÉQUIPE ACADÉMIQUE:''' Polytechnique - Polyhack http://polyhack.org/
*'''PROGRAMME:'''
18:00-18:25 Networking
18:25-18:30 Mot de bienvenue par le leader du chapitre (Jonathan Marcil)
18:30-20:00 Présentation principale : Panel NorthSsec

[[Image:Polyhack.png‎‎|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== OWASP Montreal - February 25th - Proven Strategies for Web Application Security ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane]] [https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Justin C. Klein Keane
*'''ABSTRACT:''' The rising dominance of the web as an application delivery platform has focused attacker attention squarely on the security of dynamic web applications. Application security is a complex, and shifting, field. Learn about tested and successful techniques to build safer applications, find flaws before they become vulnerabilities, and deploy applications that can detect, and resist attack.
*'''BIO:''' Justin C. Klein Keane is a security engineer and chapter leaders of OWASP in Philadelphia. For over a decade Justin has worked as a trainer, coder, and exploit developer. Justin is currently writing a book for NoStarch Press on hacking, speaks regularly at conferences, holds a masters degree in information technology from the University of Pennsylvania and is credited with hundreds of application vulnerability discoveries.
*'''WHEN:''' February 25th 2014
*'''WHERE:''' Ecole de technologie superieure, 1100 Notre-Dame Street West, Montreal, Room: A-1150
*'''REGISTRATION:''' http://owaspmtljan2014.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane
*'''ACADEMIC PARTNER:''' ETS - DCI http://dciets.com/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session and open discussion: Proven Strategies for Web Application Security
20:00-... End of the meeting in a pub

[[Image:Dciets.png‎‎‎|100px|link=http://dciets.com/]]
[[Image:Logo_ets.png|link=http://www.etsmtl.ca/]]

== OWASP Montreal - January 28th - Latest trends in Mobile Security ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/8qPyKj4FKgY]] [https://youtu.be/8qPyKj4FKgY Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx]] [https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Francois Proulx
*'''ABSTRACT:''' Last AppSecUSA 2013 had a great line up of talks, especially regarding mobile applications. This session will be covering all the hottest presentations about mobile security by doing an overview from what see saw at AppSecUSA, all with some slides and snippets of presentations that was recorded at the event. Discussion will be encouraged within the audience as this will be more a dynamic event than a regular talk.
*'''BIO:''' François Proulx is a senior mobile application developer who has worked on dozens of iOS applications since the very beginning of the Apple iOS platform. Over the past few years he has switched his focus to security. He spends a lot of his free time participating in Capture the Flag events (CTFs) and organizing the NorthSec security competition.
*'''WHEN:''' January 28th 2014
*'''WHERE:''' UQAM Room PK-1705, Pavillon Président-Kennedy (the big boat at Place des Arts) - 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' http://owaspmtl-mobilesecurity.eventbrite.ca
*'''SLIDES/CONTENT:''' [http://www.youtube.com/playlist?list=PLQtB2ug5xmvaQ9jeRWV53-F_T555GQfhW YouTube playlist]
*'''SPONSOR:''' Academic partner AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan M.)
18:30-20:00 Main session and open discussion: Mobile Security
20:00-... End of the meeting in a pub

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

==== Presentations For Download ====

[http://www.owasp.org/images/0/0d/20100209mstechdaysowaspasvssgiv01-12657916463819-phpapp02.ppt OWASP ASVS] by Sebastien Gioria (09/03/2010)

[http://www.ph-il.ca/slides/afup__authetification_forte.pdf Authentification Forte] by Philippe Gamache (02/02/2010)

[http://www.opensamm.org/downloads/OpenSAMM-1.0.ppt Software Assurance Maturity Model (OpenSAMM)] by Pravir Chandra (03/11/2009)

[http://www.owasp.org/images/d/de/Owasp-montreal-sept-17h-2009-justin-foster.pdf Crossing the Border – Javascript Exploits] by Justin Foster (17/09/2009)

[http://www.owasp.org/images/c/c2/ALaughRIAt.pdf A Laugh RIAt] by Rafal Los (07/04/2009)

[https://www.owasp.org/images/e/eb/OWASP-Montreal-24022009-RobLabbe.pptx Microsoft Security Development Lifecycle for IT] by Rob Labbe (24/02/2009)

[https://www.owasp.org/images/3/39/OWASP-Montreal-24022009-EN.pdf OWASP Goal and Top Ten 2007 for Managers - French version] by Benoit Guerette (24/02/2009)

Newer presentations are available on [https://speakerdeck.com/owaspmontreal Speaker Deck]

[[Image:Circle_owasp_logo_nowhitebackground.png|200px]]

= OWASP Foundation / Mission OWASP =
OWASP Foundation ([https://docs.google.com/a/owasp.org/presentation/d/10wi1EWFCPZwCpkB6qZaBNN8mR2XfQs8sLxcj9SCsP6c/edit?usp=sharing Overview Slides]) is a professional association of [[Membership | global members]] and is open to anyone interested in learning more about software security. Local chapters are run independently and guided by the [[Chapter_Leader_Handbook]]. As a [[About_OWASP | 501(c)(3)]] non-profit professional association your support and sponsorship of any meeting venue and/or refreshments is tax-deductible. Financial contributions should only be made online using the authorized online chapter donation button. To be a SPEAKER at ANY OWASP Chapter in the world simply review the [[Speaker_Agreement | speaker agreement]] and then contact the local chapter leader with details of what OWASP PROJECT, independent research or related software security topic you would like to present on.

La fondation OWASP est une [https://www.owasp.org/index.php/Membership association de professionnels] et elle est ouverte à tout intervenant intéressé à en apprendre davantage sur la sécurité applicative. Les chapitres locaux (dont celui de Montréal) sont gérés de façon indépendante et selon un [https://www.owasp.org/index.php/Chapter_Leader_Handbook manuel de directives à respecter].
Toute contribution financière au chapitre peut être faite en ligne en utilisant l’icône prévu à cet effet. Pour être conférencier au sein de n’importe quel chapitre à l’échelle mondiale, vous n’avez qu’à prendre connaissance du document [https://www.owasp.org/index.php/Speaker_Agreement "entente avec les conférenciers – speaker agreement"] et à joindre le responsable du chapitre Montréal avec un descriptif du sujet que vous aimeriez aborder et s’il est relié à un projet OWASP, à de la recherche indépendante ou encore le sujet en particulier, concernant la sécurité applicative, que vous souhaitez aborder.

== [[Image:Circle_owasp_logo_nowhitebackground.png|128px]] Montreal OWASP Team ==

Scope of the team is to discuss and plan local activities and meetings

=== Chapter Leaders ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique

==== Chapter leader history ====
*2008-2010 - Benoit Guerette, founder and chapter leader
*2011-2012 - Philippe Gamache, chapter leader (vice chapter-leader since 2010)
*2013-2015 - Jonathan Marcil, chapter leader
*2016-... - Anne Gauthier, Michel Bourque, Marius Popescu, Hugo Genesse, Olivier Arteau

==== Old board members ====
*Philippe Pépos Petitclerc
*Michael Robillard
*Benoit Guerette (logistics 2015)
*Alexandre Rimthong
*Mathieu Binette
*Sean Coates
*Jean-Marc Robert
*Philippe Blondin
*Benoit Guerette (founder)
*Laurent Desaulniers
 

<headertabs></headertabs>
__NOTOC__
[[Category:Canada]]

Montréal

2017-10-14T20:11:02Z

Svieg: /* Chapter Leaders / Responsables du chapitre */

== Welcome & Bienvenue to the OWASP Montréal chapter ==
 
[[Image:OWASP-Montreal-Logo.png|Logo OWASP Montréal]]

The OWASP Foundation was established in 2001 as an open community and software security resource. Since then, OWASP has grown to be globally recognized as a credible source for application security standards. 
OWASP is an open community dedicated to enabling organizations to conceive, develop, acquire, operate, and maintain applications that can be trusted. All of the OWASP tools, documents, forums, and chapters are free and open to anyone interested in improving application security. We advocate approaching application security as a people, process, and technology problem because the most effective approaches to application security include improvements in all of these areas. 
OWASP is open to anyone. Anyone can attend OWASP's vendor agnostic local chapter meetings, participate in regional and global conferences, and contribute to the many OWASP projects. And anyone can start a new project, form a new chapter, or lend their expertise to help an OWASP Global Committee. 
On parle français aussi ! Le chapitre de Montréal organise plusieurs activités gratuites afin de partager les connaissances en sécurité applicative avec la communauté de développeurs et gestionnaires. Suivez-nous sur les réseaux sociaux pour connaître les dates des conférences du midi et des workshops ! 

Top documentation from OWASP includes:

* [https://www.owasp.org/index.php/Top_10_2013-Top_10 OWASP TOP 10 : The Ten Most Critical Web Application Security Risks]

* [https://www.owasp.org/images/3/33/OWASP_Application_Security_Verification_Standard_3.0.1.pdf OWASP ASVS : Application Security Verification Standard]

* [https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf OWASP Testing Guide : Penetration Testing Framework]

* [https://www.owasp.org/images/7/78/OWASP_AlphaRelease_CodeReviewGuide2.0.pdf OWASP Code Review Guide : Source Code Analysis Framework]

* [https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series OWASP Cheat Sheet : Best practices guidelines for developers]

* [https://www.owasp.org OWASP Global]

=== Chapter Leaders / Responsables du chapitre ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique
 
 Volunteers / Volontaires OWASP Montréal: 
* Simon Lacasse, Web content / Site internet
* Julien Touche, Logistique
* Jean-François Gill

== Reach our chapter / Joindre le chapitre ==

Follow OWASP's Montreal chapter's activities through social medias, register to events, watch the previous presentations and more!

Suivez les activités du chapitre OWASP Montréal via les réseaux sociaux, inscrivez-vous aux activités, visualisez les anciennes présentations et plus encore!

 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Click here] to join the local chapter mailing list.
 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Inscrivez-vous ici] à la liste de courriels du chapitre afin de recevoir les dernières nouvelles!

Want to be part of the community ?
Devenez membre de notre communauté !
[https://www.owasp.org/index.php/Membership_Map Click here / Cliquer ici]

[[Image:Eb_press_little.gif‎|OWASP Montreal Eventbrite|link=http://owaspmontreal.eventbrite.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Yt-brand-standard-logo-630px.png‎|128px|YouTube OWASP Montreal Channel|link=http://www.youtube.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Speakerdecklogo.png‎|Slides of OWASP Montreal on SpeakerDeck |link=https://speakerdeck.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]

 
[[Image:Twitter-bird-cropped-onwhite.png|@owaspmontreal on Twitter|link=https://twitter.com/owaspmontreal]]
[[Image:FacebookSquareLogo.png|OWASP Montreal Facebook page|link=https://www.facebook.com/owasp.montreal]]
[[Image:LinkedinSquareLogo.png|OWASP Montreal on LinkedIn|link=https://www.linkedin.com/groups/1379007/profile]]

[[Image:Spacer-horiz.gif‎]]

== What we do / Nos activités ==

OWASP Montreal is a really active chapter. We organize monthly conferences and workshops. All our events are free and meant to improve the knowledge and awareness of the community's developers, managers and computer security specialists. To be aware of the next event and for additional information, follow us on social medias. 

OWASP Montréal est un des chapitres les plus actifs. Nous organisons mensuellement des ateliers et conférences. Tous nos événements sont gratuits et ont pour but d'améliorer les connaissances de la communauté. Ils s'adressent donc autant aux gestionnaires qu'aux développeurs et aux spécialistes en sécurité informatique. Pour plus d'informations sur nos activités et pour être au courant des prochaines dates d'événement, suivez nous sur les réseaux sociaux. 

We also contribute to the vast OWASP knowledge base / Nous contribuons aussi aux ressources d'OWASP

We list here the projects that were started by our members under OWASP's banner. 
Nous listons ici les projets commencé par nos membres sous la banière d'OWASP. 

* [https://www.owasp.org/index.php/Vulnerability_Disclosure_Cheat_Sheet Vulnerability Disclosure Cheat Sheet]

== Sponsorship & Membership / Commandite & Adhésion ==

[[Image:Btn_donate_SM.gif|link=http://www.regonline.com/donation_1044369]] to this chapter or become a local chapter supporter.

Or consider the value of [[Membership | Individual, Corporate, or Academic Supporter membership]]. Ready to become a member? [[Image:Join_Now_BlueIcon.JPG|75px|link=https://myowasp.force.com/]]

[http://www.regonline.com/donation_1044369 Donnez] au chapitre ou devenez commanditaire du chapitre local!

[https://myowasp.force.com/ Devenez membre !] Pour en savoir davantage sur les avantages d’une adhésion individuelle, corporative ou en tant qu’institution d’enseignement, [https://www.owasp.org/index.php/Membership cliquez ici].

[[Category:OWASP Chapter]]

== Chapter Supporters / Commanditaires du chapitre ==

[https://www.owasp.org/images/9/91/OWASP_Membership_Flyer_Montreal.png All details available here / Pour tous les détails] [[File:Chapter-supporter-owasp-montreal.png|200px|link=]]

=== Platinum / Platine ===

[[Image:Gosecure-2.png|GoSecure|link=http://www.gosecure.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[File:Desjardins2-400x400.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 
 

=== Gold / Or ===

[[Image:PM_SCADA_Logo_Gris_Cybersecurite_FR.png|PM SCADA|link=http://pmscada.ca/en/]]

 
 
 

= Lunch & Learn / Workshops 2017 =

== Pourquoi un hacker peut-il contourner les mesures et solutions de sécurité... ==

[[Image:Hamilton-septembre-2017-1.JPG ]]
[[Image:Hamilton-septembre-2017-2.JPG ]]
 
WHEN
September 18th 2017
WHERE
Espace Desjardins

OWASP dans le cadre des Midis conférence est heureux de lancer la saison 2017-2018 en accueillant, M. Charles F. Hamilton.
 
Notre conférencier viendra brosser un tableau des différents éléments qui expliquent pourquoi les mesures et les solutions de sécurité en générales qui ont la fonction de protéger les données, les applications, les réseaux ou les équipements critiques sont si souvent contournées ou carrément inefficaces contre les attaques ciblées.
 
Biographie : 
Charles F. Hamilton est un consultant en sécurité et membre d’équipe « Red Team » de calibre international. Il se spécialise en test d’intrusion et la recherche de solution proactive de sécurité.
 

== Cas d'attaques vécus : Internet des objets (IOT) - Attaques DDoS ==

[[Image:Cas_dattaques_vecus-r.jpg ]]
 
WHEN
June 19th 2017
WHERE
Espace Desjardins

Pour clore la saison printanière 2017, OWASP Montréal est fier d'accueillir au Midi Conférence, M. Christian Shink qui fera un survol de cas d'attaques vécus, des techniques utilisées et des acteurs impliqués dans ces attaques. 
L'incorporation généralisée de dispositifs «intelligents» dans les objets de la vie de tous les jours modifie la façon dont les gens et les machines interagissent les uns avec les autres. Cette incorporation offre une promesse d'une meilleure qualité de vie, une meilleure efficacité. En contrepartie, leur déploiement introduit également des vulnérabilités à la fois dans l'infrastructure qu'ils soutiennent et sur lesquels ils comptent, ainsi que dans les processus qu'ils guident. Que ce soit au niveau applicatif ou des infrastructures, ces vulnérabilités sont exploitées par des acteurs malicieux pour générer des attaques de déni de service massives et sophistiquées. Nous tenterons également de tirer des leçons afin de tenter de minimiser ce type d'attaques dans le futur. 
Christian Shink possède plus d’une dizaine d’années d’expérience en développement et sécurité d’applications. Avant de se joindre à Radware, Christian était à l’emploi d'une firme conseil où il a conseillé de nombreuses entreprises, dont de grandes banques américaines et Casinos. Il détient une certification CSSLP et est membre de l'ordre des ingénieurs du Québec.
 

== HOW TO! Threat Modeling Toolkit ==

[[Image:OWASPMtl-JonathanMarcil-1.jpg]]
[[Image:OWASPMtl-JonathanMarcil-3.jpg]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit]] [https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit See the slides / Voir la présentation]
 
WHEN
May 23rd, 2017
WHERE
Shopify Montreal

Threat Modeling is a great way to analyze security early in software development by structuring possible attacks, bad actors and countermeasures over a broad view of the targeted system. This talk will describe basic components of a threat model and how to use them effectively.
Threat Intelligence is where you gather knowledge about the environment and business assets to determine what are the actual threats. But how do you reconcile that with the current architecture in a useful manner?
The toolkit presented in this talk will enable you to systematically structure related information using graphical notations such as flow diagram and attack tree. In case you are wondering where to start in your organization, a quick lightweight risk rating methodology will also be proposed.
And in the end, you’ll see how we can all tie those together and get threat modeling to a point where it’s an efficient application security activity for communication. Doing this will prevent security reviews from missing important things even when chaos prevails during the realization of a project.
Modeling concepts will be demonstrated with an actual IoT device used as example.
Presentation will be done in english.

Speaker Bio:
Jonathan Marcil is the former chapter leader of OWASP Montreal and is now Senior Application Security Engineer at Blizzard Entertainment in beautiful Orange County, California.
Jonathan has been involved with OWASP for many years and has been behind the Media Project which gathered and promoted AppSec conferences video content in the official OWASP YouTube channel. He was also part of NorthSec CTF event as a challenge designer specialized in Web and imaginative contraptions.
He is passionate about Application Security and enjoys architecture analysis, code review, threat modeling and debunking security tools. He holds a diploma in Software Engineering from ÉTS Montreal and has more than 15 years of experience in Information Technology and Security.

Merci à nos précieux commanditaires !

== Security Testing: Unlocking the Benefits of a Hybrid Approach ==
[[Image:Security testing hybrid approach-r 3.jpg ]]
[[Image:Security testing hybrid approach-r 4.jpg ]]
 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/hybrid-approach-to-security-testing]] [https://speakerdeck.com/owaspmontreal/hybrid-approach-to-security-testing See the slides / Voir la présentation]
 
WHEN
April 24th, 2017
WHERE
Espace Desjardins

As part of their defensive efforts, businesses commonly commission cybersecurity assessments of their web applications; with the aim of identifying any weaknesses in the security controls and ensuring a continually strong cybersecurity posture of their systems.

The classical approach of either secure code review (white box) or penetration testing (black box) assessment have proven to be effective in securing of web applications. The new trend, however, is moving towards the combination of these two approaches; expert consensus is rapidly recognizing the advantages of using a hybrid approach. When applied properly, a hybrid approach can build on the strengths of both white and black box testing, while compensating for their individual shortcomings.

In this presentation, we will examine the details of secure code review and penetration testing, and run demos to contrast their respective strengths and weaknesses. We will also examine why a hybrid approach can produce more complete and relevant assessment results. To conclude, we will cover proven approaches, and practical techniques, on how you can start leveraging a hybrid approach to web application assessments today.

Anne Gauthier is an application security analyst at GoSecure. Anne is also the president of the Montreal Chapter of OWASP – the industry standard for web application security. With a penetration testing background, she specializes in secure code reviews and in helping companies to improve their software development lifecycle (SDLC) according to industry best practices. Anne is CSSLP, GWAPT and GSSP-JAVA certified. She obtained a Software Engineering bachelor’s degree from Ecole de Technologie Supérieure in Montréal and is now pursuing a Master of Engineering (MEng) degree in Information Systems Security at Concordia University. She is the author of the Project 201 Security blog.

Merci à nos précieux commanditaires !

== "HOW-TO" NIGHT ! Tout sur les CTFs (Capture The Flag) ==

[[Image:Howto_ctf.jpg]]
 
[[Image:Presentation-link.png | Slides | link=https://docs.google.com/presentation/d/1zEsCcX-Nvq8Nz0k-B1zHejCDNT2oGZx8oUBgMbvvMM0/edit#slide=id.p ]] [https://docs.google.com/presentation/d/1zEsCcX-Nvq8Nz0k-B1zHejCDNT2oGZx8oUBgMbvvMM0/edit#slide=id.p See the slides / Voir la présentation (Laurent Desaulniers)]
[[Image:Presentation-link.png | Slides | link=https://docs.google.com/presentation/d/1c1P1d2mKe767j1Y0V9cK6De5cpnK4I7GI-ORiodbg1A/edit#slide=id.p ]] [https://docs.google.com/presentation/d/1c1P1d2mKe767j1Y0V9cK6De5cpnK4I7GI-ORiodbg1A/edit#slide=id.p See the slides / Voir la présentation (Charles Hamilton)]
[[Image:Presentation-link.png | Slides | link=http://obilodeau.github.io/slides/2017-04-04_how-not-to-suck-at-ctfs/ ]] [http://obilodeau.github.io/slides/2017-04-04_how-not-to-suck-at-ctfs/ See the slides / Voir la présentation (Olivier Bilodeau)]
 
WHEN
April 4th, 2017
WHERE
Shopify

Cette nouvelle soirée "How-To" Night d'OWASP Montréal vise à présenter les CTFs (une compétition Capture The Flag) et aider les équipes à démarrer et à continuer à évoluer dans leurs pratique de la cyber sécurité pratique. L'objectif est d'outiller les participants en leur fournissant des ressources techniques et des contacts afin de les aider à progresser.

Les éléments discutés seront:

- Composition optimale d’une équipe : Fonctionnement d’une équipe de CTF et les principaux rôles (chef d’équipe, cryptographie, application web, rétro ingénierie et les causes perdues).

- Pourquoi faire des CTFs? Discussion sur les différents styles (jeopardy, attack/defense, etc.), quels sont les problèmes fréquemments rencontrés + plusieurs anecdotes intéressantes (et drôles).

- Trucs de Mr. Unikoder : Le créateur du fameux site ringzer0team, soit un des plus gros sites pour apprendre la résolution de problèmes de CTF (https://ringzer0team.com/) Apprenez des trucs du meilleur, sur comment débuter et interpréter un challenge web, binaire et crypto avec des trucs réels du métier.

Matériel requis :

Votre légendaire enthousiasme

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement.

Présentateurs :

Charles Hamilton, Senior Consultant chez Mandiant, FireEye, Inc.

Olivier Bilodeau, Cybersecurity Research Lead at GoSecure

Laurent Desaulniers, Senior Security Solution Specialist at Bell Canada

== NorthSec - Applied Security Event ==
[[Image:Nsec_2017_midi_conf.jpg]] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/northsec-applied-security-event]] [https://speakerdeck.com/owaspmontreal/northsec-applied-security-event See the slides / Voir la présentation]
 
WHEN
April 4th, 2017
WHERE
Espace Desjardins

NorthSec: La plus grande compétition et conférence en cyber sécurité au Canada

NorthSec est un organisme sans but lucratif qui organise une conférence et une compétition de sécurité de type "Capture-The-Flag" (CTF) et des formations. Avec plus de 400 participants présents sur le site pour la compétition, c’est la plus grande compétition du genre au monde.

La conférence, dans sa 3e année, attire des présentateurs internationaux avec du contenu technique exclusif. L’ajout des séances de travail (workshops) devrait plaire aux plus chevronnés des binaires.

Des formations de 3 jours sont offertes avant la conférence: "Advanced Web Application Security" par Philippe Arteau et "Malware and Memory Forensics" par Michael Ligh, co-auteur des livres "Malware Analyst Cookbook" et "The Art of Memory Forensics".

NorthSec est situé au Marché Bonsecours dans le Vieux-Port de Montréal au printemps du 15 au 21 mai 2017.

La présentation couvrira:

- Le plan pour 2017 
- Ce qui différencie NorthSec 
- Comment équilibrer une compétition pour les débutants et les experts 
- Comment bâtir une infrastructure basée sur les conteneurs qui gère 50 équipes dans quelques serveurs sans qu’ils ne se partagent de machines virtuelles 
- Comment faire du pain au levain à grande échelle 
- Présentation de quelques défis et solutions 

Les présentateurs:

- Gabriel Tremblay, Président, Delve Labs 
- Olivier Bilodeau, VP Formations, Co-fondateur MontréHack, GoSecure 
- Pierre-David Oriol, VP Conférences, Delve Labs 
- Benoit Guérette, VP Partenaires, Desjardins 
- Laurent Desaulniers, Tisserand de drapeaux, Bell Canada 

Merci à nos précieux commanditaires !

== Sécurité des applications : Les fondements ==
[[Image:Tanya.jpeg]] 

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/securite-des-applications-les-fondements]] [https://speakerdeck.com/owaspmontreal/securite-des-applications-les-fondements See the slides / Voir la présentation]
 
WHEN
March 20th, 2017
WHERE
Espace Desjardins

OWASP Montréal est fier d’accueillir au Midi Conférence du mois de mars, Mme Tanya Janca, Co-Leader du chapitre OWASP Ottawa et spécialiste de la sécurité applicative au sein du Gouvernement fédéral.

La conférence « Les fondements de la sécurité des applications » sera présentée en anglais.

Session Description : Everyone has heard about the problem; everyone is “getting hacked”. But what is the answer? From scanning your code with a vulnerability scanner to red teaming exercises, developer education programs and bug bounties, this talk will take the audience through all the possibilities of an extensive application security program, with a detailed explanation of each part.

Bio : Tanya Janca is an application security evangelist, a web application penetration tester and vulnerability assessor, a secure code reviewer, an ethical hacker, the Co-Leader of the OWASP Ottawa chapter, and has been developing software since the late 90’s. She has worn many hats and done many things, including; Custom Apps, Ethical Hacking, COTS, Incident Response, Enterprise Architect, Project and People Management, and even Tech Support. She is currently helping the Government of Canada secure their web applications.

Merci à notre commanditaire principal de cet événement: Ubitrak!

== WORKSHOP ! Server Side Template Injection (SSTI) ==

[[Image:Workshop-okiok-SSTI-r.jpg | WORKSHOP ! Server Side Template Injection (SSTI) ]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti]] [https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti See the slides / Voir la présentation]

WHEN
22 Février 2017
WHERE
Shopify Montréal

OWASP Montreal vous invite à un atelier portant sur la sécurité des applications web supportant les moteurs de template (Template Engine). Le principe de séparation entre la présentation du site (code HTML statique) et de son contenu dynamique facilite la création de documents HTML et la capacité à modifier l'apparence du site sans mélanger le traitement et le rendu de la page. L'utilisation de moteurs de template amène de nouveaux enjeux de sécurité. Les vulnérabilités de type Server Side Template Injection (SSTI) sont exploitables à travers les données (non fiables) fournies par l'utilisateur et conduisent à l'exécution de code arbitraire (RCE) sur le serveur hébergeant l'application web. 

Ce workshop a pour but d'introduire cette classe de vulnérabilité à travers différents cas d'implémentation (php, java, python).
Nous verrons comment identifier et exploiter ces vulnérabilités et de quelle manière un attaquant peut
s'y prendre pour exécuter du code arbitraire sur le serveur afin d'en prendre le contrôle. 

Niveau : Intermédiaire 
Matériel requis :
* Votre portable
* Votre distribution Linux/Unix de votre choix
* Votre proxy Web de votre choix

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.
Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.
Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement. 

Présentateur : Gérôme Dieu 
Gérôme Dieu cumule plus de 7 années d’expérience en technologies de l’information et en sécurité.
Il œuvre à titre de conseiller senior en sécurité de l’information au sein de la firme OKIOK. Ces dernières années, il a acquis une expertise dans le domaine de la sécurité des applications web aussi bien d'un point de vue offensif que défensif. En plus de réaliser des tests d’intrusion pour des clients internationaux, Gérôme s’implique dans la recherche et développement afin de maintenir à la fine pointe de la technologie les tests d'intrusion et d'analyse de vulnérabilités. 

Merci à Shopify d'héberger l'événement ! 
[[Image:Shopify Logo-r.png| Shopify | link=https://www.shopify.com/]]
== Le courriel en 2017 – risques et menaces pour tous ==

[[Image:Zero spam 2.jpg|Le courriel en 2017 – risques et menaces pour tous]]

[[Image:Video-link.png | Link to video | link=https://www.youtube.com/watch?v=HX2vcijcCWw ]] [https://www.youtube.com/watch?v=HX2vcijcCWw Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

WHEN
Le 23 janvier 2017 à midi
WHERE
Espace Desjardins

Monsieur Poellhuber nous brossera un tableau du phénomène grandissant du rançongiciels et de l'hameçonnage, personnification. 

- Par les années passées, la menace courriel se résumait principalement en un fort volume de contenu simplement indésirable. Aujourd’hui la menace a passablement évolué. Quels sont les véritables risques actuels associés au courriel ? Rançongiciels, hameçonnage, personnification. Cette conférence présentera les nouveaux défis de sécurité pour les organisations qui doivent composer avec des attaques de plus en plus sophistiquées et de plus en plus ciblées tout en protégeant leur réputation. Des exemples biens réels, drôles et moins drôles seront disséqués pour bien dessiner l’ampleur de l’enjeu. 

M. David Poellhuber, Chef de l’exploitation, ZEROSPAM Sécurité Inc 

Note biographique : 
Monsieur David Poellhuber oeuvre dans l’industrie de la sécurité informatique depuis quinze ans. Il a été conférencier dans plusieurs forums de sécurité au Canada et est maintenant reconnu comme une autorité en matière de sécurité du courriel. Il a fondé ZEROSPAM Sécurité en 2003, le premier service Québécois externalisé de sécurité du courriel infonuagique qui se distingue par sa convivialité, son efficacité et ses technologies de détection proactives. 
Audience : Généralistes et spécialistes de la sécurité des TI
 
Merci à Ubitrack pour le repas et à Desjardins d'héberger l'événement!

[[Image:Ubitrak-r2.jpg|Ubitrak|link=http://www.ubitrak.com/fr/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]

== Effective XSS Mitigation ==

[[Image:XSS mitigation.jpg | Effective XSS Mitigation ]]

[[Image:Presentation-link.png | Slides| link=http://slides.com/olivierarteau/xss-mitigation ]] [http://slides.com/olivierarteau/xss-mitigation See the slides / Voir la présentation]

WHEN
18 Janvier 2017
WHERE
Google Montréal

FRANÇAIS/ENGLISH 
La mitigation de XSS a été un sujet important au cours des dernières années. Les navigateurs ont implémenté, en autre, deux fonctionnalités pour mitiger leur impact : l'entête "XSS-Protection" et l'entête "Content-Security-Policy". Par contre, obtenir une mitigation contre les XSS efficace est souvent plus complexe que l'on pense. Cet atelier couvrira les deux entêtes. Il expliquera comme il est possible de contourner ces protections et ce qu'il est possible de faire pour se protéger. Des exercices de type "offensif" et "défensif" seront proposés.
Mitigation for XSS as been an important topic in the last few years. Browsers have implemented two main functionalities to help mitigate the impact of XSS : the "XSS-Protection" header and the "Content-Security-Policy" header. But, getting an effective XSS mitigation of those headers is trickier than it may seem. This workshop will cover both of those headers. It will explain how bypass of those protection work and what you can do about it. It will have both "defensive" exercises and "offensive" exercises.
Niveau : débutant/intermédiaire
 
Matériel requis :

Votre portable 

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Google pour l'événement.
 
Présentateur : Olivier Arteau
 
Olivier Arteau est un professionnel en sécurité informatique depuis quelques années et fait partie de l’équipe de test d’intrusion de Desjardins. Il est aussi un amateur de CTF qui a gagné à plusieurs reprises le CTF du NorthSec avec l’équipe HackToute et participe fréquemment à d’autres CTF avec l’équipe DCIETS.
 

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

= Lunch & Learn / Workshops 2015-2016 =

== WORKSHOP ! Top 10 OWASP - Unleash the threats ==

[[Image:Workshop-top10.jpg | WORKSHOP! Top 10 OWASP - Unleash the threats ]]

WHEN
30 novembre 2016 de 17h30 à 20h30
WHERE
Immunio @ WeWork

De nos jours, la sécurité applicative est essentielle dans l’écosystème des entreprises de toutes tailles. Les vecteurs d’attaques sont multiples, les vulnérabilités de sécurité dans les applications peuvent être désastreuses et les impacts d’un « Hack » peuvent être irréversibles pour l’entreprise; vols de données sensibles, perte de réputation, perte de $$$$$, etc.
L’objectif du workshop est de comprendre la base sur les vulnérabilités de sécurité dans les applications et les techniques d’exploitation utilisées par les pirates informatiques, en plus de connaître les bonnes pratiques de développement en matière de sécurité applicative.
Avec l'aide de WebGoat, Damn Vulnerable Web Application et de Kali Linux, vous pourrez participer
à l'exploitation des applications et découvrir les techniques utilisées par les attaquants.

Niveau : débutant

Matériel requis :
Votre portable
Kali Linux
La VM du workshop, envoyée aux participants

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places très limitées (nb = 10). Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Immunio & WeWork pour l'événement.

Présentateur : Christian Leclerc

Christian est spécialisé en conception et développement de solutions web sécuritaires. Tout au long de sa carrière, il a acquis une vaste expertise sur plusieurs types de technologies et méthodologies, intégré la sécurité dans le cycle de développement d’applications, effectué des revues de code sécurité, déployé des outils d’analyse des vulnérabilités et mis en place des systèmes d’authentification. De plus, il a participé à la conception et au développement de solutions sécuritaires de pointe comme la signature électronique à l’aide d’une infrastructure à clé publique (PKI), les authentifications fortes, le Registre des consentements au don d'organes et de tissus (RDOQ.org) et la migration de plusieurs applications web vers un environnement SOA (Service Oriented Architecture).
 Merci à Immunio & WeWork d'héberger l'événement! 

[[Image:Immunio-horizontal-r.png|Immunio|link=https://www.immun.io/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Wework-r.jpg|WeWork|link=https://www.wework.com/]]
 

== Histoire d'un Hack ==

[[Image:Histoire-dun-hack-r.jpg | Histoire d'un Hack ]]

WHEN
21 novembre 2016 à midi
WHERE
Espace Desjardins

Pour son activité du mois de novembre, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de faire l'autopsie d'une attaque de haute voltige sur un site web et des outils mis à la disposition par OWASP.

Bernard Bolduc cumule plus de 17 années d’expérience en technologies de l’information et en sécurité. Il œuvre à titre de conseiller senior en sécurité de l’information au niveau d’entreprise de classe nationale et internationale.

Bernard se spécialise en sécurité Unix, applicative et en gestion de la sécurité des télécommunications. Il combine ces expertises techniques afin d’obtenir des résultats probants et efficaces pour ces clients des secteurs bancaire, télécommunication et multimédias, de l’énergie ou des services publiques. Tout au long de sa carrière, Bernard s’est toujours maintenu à jour sur les dernières menaces de sécurité technologique et commerciale en assistant à des formations spécialisées et d'échanger avec un grand nombre de partenaires dans l'industrie de la sécurité.

La conférence débute à midi.

La conférence vous donne droit à 1 CPE et pour les 50 premières personnes, un lunch gratuit.

Merci à Desjardins d'héberger l'événement!

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite) ==

[[Image:Workshop-zap-mix.jpg | Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite)]]

WHEN
11 novembre 2016 de 18h à 21h

WHERE
Google Montréal

OWASP Zed Attack Proxy (ZAP) est un scanneur de vulnérabilités et un outil de débogage HTTP. Ce type d'outil est crucial dans un test d'intrusion web et contient un lot intéressant de fonctionnalités. Cela dit, il est possible d'étendre les fonctionnalités. Plusieurs types d'extension sont possibles : vue alternative pour les requêtes ou les réponses, scanneur passif des réponses, scanneur actif produisant des requêtes, etc.

Plusieurs options seront données, par exemple :

Détection automatique de flag dans les sources
Scanneur actif asynchrone DNS
Ou votre propre idée

Pour chacune des suggestions, des squelettes de code seront fournis pour les APIs de ZAP. Pour les utilisateurs de BurpSuite, des directives analogues seront également données.

Niveau : débutant / intermédiaire

Matériel requis

Votre portable
[https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project OWASP ZAP (gratuit)]
[https://portswigger.net/burp/download.html BurpSuite]
Éditeur de code pour Java, Python ou Ruby

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Présentateur : Philippe Arteau

Philippe est un chercheur en cybersécurité chez GoSecure. Il est l'auteur de l'outil d'analyse statique Java "Find Security Bugs". Il a découvert des vulnérabilités importantes dans les logiciels populaires tels que Google Chrome, Dropbox, Paypal, RunKeeper et Jira. Il a présenté dans différentes conférences incluant Black Hat USA, Black Hat Europe, ATL Sec Con, NorthSec, Hackfest (QC) et JavaOne. Il a développé de nombreux plug-ins pour les outils de proxy BurpSuite et OWASP ZAP (Retire.js, Reissue Request Script, PDF preview et Image Metadata). Il a fait également des contributions à d'autres plug-ins comme J2eeScan.

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

==Logiciel de rançon (Ransomware) s'attaque au domaine de la santé==

[[Image:HackingHealth-2.jpg | Logiciel de rançon (Ransomware) s'attaque au domaine de la santé ]]

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health ]] [https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health See the slides / Voir la présentation]

(Conférence en anglais)
Pour le lancement de la saison 2016 - 2017, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de la santé une incursion dans le monde du logiciel malveillant ciblant le domaine de la santé. 
Cette conférence s'intége dans le Coopérathon co-organisé par le Mouvement Desjardins et Hacking Health. 
Le domaine de la santé serait devenu une cible privilégiée des campagnes de ransomware parce que l'industrie a souvent payé la rançon demandée pour récupérer les données confidentielles et vitales de ses clients. Monsieur Ed Gershfang nous brossera un portrait du phénomène et des meilleures pratiques à mettre en place en matière de sécurité applicative.
Ed Gershfang possède une expérience solide dans l'infrastructure informatique et plus de 6 ans d'expérience dans les domaines de la sécurité de l'information, de la vulnérabilité, de la gouvernance et de la gestion des risques. Il était directeur de la sécurité pour la société PeriGen, un chef de file de développement de logiciels médicaux en Israël.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative vue par un pentesteur ==

[[Image:Juin2016-OWASPMtl.jpg | OWASP Montréal reçoit Mario Contestabile, Pentester de renom ]]
 
From Left to Right : Isabelle Lusseyran, Head of Development at Hacking Health. Eduard Gershfang Information Security Analyst at WSP | Parsons Brinckerhoff.

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile ]] [https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile See the slides / Voir la présentation]
 
Pour clore la saison 2015 – 2016, OWASP Montréal est fier d’accueillir au Midi Conférence un des architectes de renom du développement applicatif au Canada, monsieur Mario Contestabile.
En tant qu’auteur de plusieurs centaines de tests d’intrusion, il connait tous les rouages de ce qu’est véritablement une application Web «sécurisée». Mais avez-vous déjà remarqué que les rapports de tests d’intrusion mentionnent rarement, voir jamais : «Votre site est très difficile à pirater. Félicitations !» ?
Et qu’en est-il de ces rapports qui contiennent des dizaines de soi-disant vulnérabilités ? Est-ce que cela signifie d’emblée que l’application devrait être mise hors ligne ?
 
Lors de cette conférence, nous examinerons des rapports concrets (ambigus) de vulnérabilités et nous les analyserons afin de mieux comprendre si elles représentent une véritable menace, ou si elles ne servent qu’à «remplir» les rapports.
 
Avec son expertise en protection et en attaque d’applications Web, il abordera les points suivants :
Comment pouvez-vous sélectionner des systèmes de façon à mieux exécuter des protections de sécurité ?
Éviter certains pièges dans votre application Web qui rendent les attaques plus faciles et la protection plus difficile.
De nos jours, que peuvent faire les développeurs à l’intérieur de systèmes communs, qui puisse me rendre la tâche plus ardue en tant que « hacker »?
Pouvons-nous exiger de meilleurs rapports de la part des firmes de sécurité?
À quoi devrions-nous nous attendre de la part d’un « pentesters »?
Comment pouvons-nous savoir si le « pentester » a vérifié les failles de l’application et qu’il n’a pas simplement utilisé un scanneur?
Et enfin, comment pouvons-nous aider les « ethical hackers » à obtenir un meilleur rendement lors d’un test d’intrusion?
Il expliquera le sujet en détails, et ensemble, nous verrons de quelles façons les développeurs d’applications peuvent exploiter le savoir-faire des « pentesters », et comment nous pouvons faire en sorte qu’une application Web soit protégée.
Biographie :
Mario Contestabile est reconnu comme l’un des experts en sécurité les plus réputés au Canada. Son expertise, construire et protéger votre plateforme applicative. Ancien développeur C++ et Java, Mario partage ses nombreuses connaissances en « ethical hacking » et en développement de codes sécurisé.
 
WHEN
Tuesday, 14 June 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Comment protéger les applications mobiles? ==

[[Image:Avril2016-OWASPMtl.png | Comment protéger les applications mobiles? ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles ]] [https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles See the slides / Voir la présentation]
 
Dans le cadre des Midis Conférence à l'Espace Desjardins, l'équipe OWASP Montréal vous invite à assister à une présentation sur les vulnérabilités les plus communes associées aux appareils mobiles.
Marie-Claire Willig détaillera entre autres comment stocker de façon sécuritaire les données de l’application mobile ainsi que protéger l’application contre des attaques externes. Des outils simples vous seront dévoilés pour détecter ces vulnérabilités.
Marie-Claire est une professionnelle d'expérience en sécurité appliquée.
Une grande partie de son intérêt professionnel réside actuellement dans un domaine assez niche, soit la revue de code sécuritaire, un fondement important de tout cycle de développement sécuritaire en entreprise.
Au sein de l'équipe de sécurité technologique Desjardins, elle est, en autre, responsable de former les développeurs (Java et .NET principalement) afin de les sensibiliser aux meilleures pratiques de développement sécuritaire.
Également, elle est une professionnelle des tests d'intrusion sur les applications web, les applications mobiles ainsi que l'infrastructure réseau.
Bienvenue à tous
 
WHEN
Wednesday, 20 April 2016 from 12:15 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ==

[[Image:Mars2016-OWASPMtl.jpg | NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/YQtvltQYs7Y]] [https://youtu.be/YQtvltQYs7Y Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
OWASP Montréal est fier d’inviter au Midi Conférence de mars, NorthSec est le plus gros événement de sécurité appliquée au Canada qui comprend deux jours de formation, deux jours de conférences ainsi qu’une compétition du genre « capture the flag » (CTF) de trois jours.
Gabriel Tremblay, Benoit Guerette, Pierre-David Oriol et Laurent Desaulniers viendront vous parler de cet organisme sans but lucratif dynamique qui est géré par une équipe de bénévoles passionnés qui donnent à chaque année leur énergie et leur temps pour soutenir la communauté de la sécurité de l’information.
Le volet compétition, l’épreuve maîtresse, est présentée sous forme d’un scénario qui rend cohérent une centaine de défis techniques. Les équipes de participants attaquent l’infrastructure de compétition pour soutirer des drapeaux (flags) à travers un ensemble de vulnérabilités présentes comme de l’injection SQL, des XSS ou encore l’exploitation d’exécutables sur systèmes embarqués. Quelques exemples de défis des années passées seront également présentés.
Le volet conférence, qui est à sa 2ème année, met de l’avant plusieurs présentations techniques touchant la sécurité applicative mais aussi l’éthique et leurs impacts sociaux. Certaines présentations confirmées seront dévoilés.
Le tout nouveau volet formation propose deux formations en sécurité applicative de calibre international (anglais) : “Advanced Web Security Testing with Burp Pro” et “Modern Object-Oriented Malware Reverse Engineering”.
Venez aussi, découvrir comment l'équipe est partie d'une idée en 2012 pour se rendre à un évènement d'envergure, qui rassemblera plus de 600 professionnels, étudiants et autres passionnés de sécurité appliquée lors de la 4ème édition qui aura lieu du 17 au 22 mai 2016 au Marché Bonsecours.
Finalement, la mission, la vision ainsi que les activités sociales de la semaine de NorthSec sont aussi au menu de cette présentation qui sera suivie d’une période de questions.

Gabriel Tremblay, Delve Labs, Président
Benoit Guerette, Desjardins, VP Finances

Pierre-David Oriol, Delve Labs, VP Conférence
Laurent Desaulniers, Bell Canada, Artisant de drapeaux
 
WHEN
Wednesday, 23 March 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative et l'hameçonnage - February 24th ==

[[Image:Fevrier2016-OWASPMtl.jpg | La sécurité applicative et l'hameçonnage ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/1RYlOiIENjQ]] [https://youtu.be/1RYlOiIENjQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 

De nos jours, une des méthodes les plus efficaces pour contourner les périmètres de sécurité externes est l'hameçonnage conjointement avec l’abus de certaines technologies Web.

Dans le cadre ses activités, OWASP Montréal est heureux d'inviter d'accueillir, l'équipe OKIOK qui présentera les impacts liés à ce type d'attaque, tel que vu et expérimenté en entreprise ainsi que les plans d'action pour traiter ces risques. La présentation abordera aussi bien la sécurité web et applicatives, des systèmes informatiques ainsi que de la sécurité physique de centres de données.

Capture d'informations sensibles par imitations de portails Web ;
Authentification Web par 2-facteurs ;
Injection SMTP dans des formulaires Web ;
Attaque de type “Drive-by-download”;
Prise de contrôle à distance à travers des flux HTTP;
Attaque de CSRF à partir de courriels ;
Attaque d'hameçonnage basée sur des achats par Internet (ex : PayPal).
 
When
Wednesday, 24 February 2016 from 12:00 PM to 1:15 PM (EST) - Add to Calendar
Where
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest Montreal, Quebec CA

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Internet of {Things, Threats} - January 20th ==

[[Image:Janvier2016-OWASPMtl-R.png | Internet of {Things, Threats} ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html ]] [http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html See the slides / Voir la présentation]
 
De plus en plus de périphériques se retrouvent connectés sur Internet. Sous la bannière "Internet of Things" (IoT) ces équipements, que ce soit une pompe à insuline ou un système de caméra de sécurité, tournent généralement sous un système GNU/Linux embarqué d'architecture MIPS ou ARM. La difficulté de mettre à jour ces équipements ainsi que le peu d'effort mis dans la sécurité des systèmes ou la sécurité applicative en font des cibles de choix. Ces derniers mois, nous avons analysé plusieurs logiciels malveillants ciblant ces architectures. Que ce soit par l'exploitation d'une vulnérabilité (Shellshock) ou encore un défaut de configuration, ces systèmes exposés sur Internet peuvent être compromis.

Notre présentation couvrira quelques une de ces analyses:

* Linux/Moose, un malware se propageant automatiquement qui fraude les réseaux sociaux (par exemple Facebook, Twitter et YouTube)
* LizardSquad et acteurs étrangers qui utilisent des systèmes embarqués compromis pour réaliser des dénis de service distribué (DDoS)
* Win32/RBrute est un logiciel malveillant qui tente de changer les paramètres de routeurs dans le but de faire du "DNS poisoning". Il a été distribué par le populaire botnet Sality.
* Un kit d'exploits qui utilise seulement le navigateur de leur victime avec le même objectif, c'est-à-dire faire du "DNS poisoning".

Enfin, des conseils seront proposés à l'audience pour l'aider à se protéger de ces menaces.

'''Thomas Dupuy''' (twitter: @nyx__o)

Thomas est chercheur en logiciel malveillant chez ESET Canada Recherche. Bon vivant, Thomas déjeune en "reversant" des binaires, contribue à quelques projets open source durant le diner (yara, yara rules, pefile, APTnotes) et la nuit participe à des "Hacking Games" (Capture The Flag). Curieux de nature Thomas analyse des malware aux architectures "exotiques".

'''Olivier Bilodeau''' (twitter: @obilodeau)

Olivier Bilodeau is the head of Cybersecurity Research at GoSecure a consultancy firm specializing in cybersecurity services for the public and private sector. With more than 10 years of infosec experience, Olivier worked on Unix servers at Bell Canada, managed a portion of Air Canada's network, wrote open source network access control software at Inverse and worked as a Malware Researcher at ESET. He likes to reverse engineer everything that crosses his path, participate in information security capture-the-flag competitions, hack open source code and brew beer. He has spoken at various conferences (Defcon, Botconf, VirusBulletin, Derbycon, ...), used to lecture on information security at ETS University in Montreal, drives the NorthSec Hacker Jeopardy and co-organizes the MontreHack capture-the-flag training initiative. His primary research interests include reverse-engineering tools, Linux and/or embedded malware and honeypots.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Survivre aux attaques DDOS applicatives ==

[[Image:Decembre2015-OWASPMtl.jpg | Survivre aux attaques DDOS applicatives ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
Survivre aux attaques DDOS (Distributed Denial-Of-Service) applicatives.
Cette conférence s'adresse aux professionnels et gestionnaires des TI.
Conférencier : Christian Shink, ing., CSSLP, ingénieur système chez Radware, manufacturier spécialisé dans la prévention des attaques DDOS. Il fut également consultant en sécurité applicative chez In Fidem.
Objectifs de la conférence:
Présenter les tendances actuelles en matière d'attaques DDOS applicatives.
Renseigner les participants sur les techniques et stratégies pour contrer ces attaques illustrées à partir de cas vécus.
Démystifier certains mythes en ce qui concernent les façons efficaces de protéger les applications contre des attaques DDOS.
Date : 16 décembre 2015
Heure : 11h45
La conférence débute à 12h00 et se termine à 12:55.
Un lunch sera servi.
Réservez maintenant!
1 CPE
 
WHEN
Wednesday, 16 December 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Sécurité des applications - Systèmes de contrôles industriels ==

[[Image:Novembre2015-OWASPMtl-R.png | Sécurité des applications - Systèmes de contrôles industriels ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/0eAZpyiQQ9A]] [https://youtu.be/0eAZpyiQQ9A Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

La sécurité des applications et les systèmes de contrôles industriels.
Cette conférence s'adresse aux professionnels et gestionnaires des TI desinfrastructures critiques qui exploitent ou gèrent des systèmes de contrôles industriels(SCI) et SCADA (surveillance et d'acquisition de données). 
Conférenciers : Robert Nastas, CSSA. Gestionnaire de projet et Youssef Jad, Architecte Cyber sécurité, ICS-CERT 
 
Objectifs de la conférence:
* Démystifier le domaine d'affaires.
* Renseigner les participants sur les bonnes pratiques de sécurité desapplications liées au secteur industriel.
* Proposer aux professionnels et gestionnaires des TI responsables dessystèmes SCADA et SCI des pistes de solutions aux enjeux de sécurité.
 
L'équipe OWASP Montréal vous remercie d'avoir assisté en grand nombre à la conférence, 'La sécurité des applications et les systèmes de contrôles industriels'.
 
WHEN
Wednesday, 18 November 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ==

[[Image:Septembre2015-OWASPMtl.jpg | Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert ]] [https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert See the slides / Voir la présentation]
 
Pour le lancement des activités corporatives de la saison 2015 - 2016, le 8 septembre prochain à 12:00, l'équipe OWASP Montréal convie les gestionnaires et artisants de la sécurité des TIC à venir entendre monsieur Éric Hébert qui nous présentera son interprétation des préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative. L'événement se tiendra au complexe Desjardins à la salle "Espace Desjardins".

''' ÉRIC G. HÉBERT, CISM, CISSP ''' 
Après plus de 20 ans passés dans le domaine de la sécurité des technologies de l’information, Éric se spécialise dans la mise en œuvre et la gestion d'équipes performantes, capables de relever les plus hauts défis de la cybersécurité moderne. 
Capable de dialoguer avec les hauts dirigeants, il sait traduire et vulgariser les enjeux techniques complexes tout en respectant la nature et l'appétence au risque de ses clients. Dynamique et pourvu d'une expérience couvrant presque toutes les sphères de la SI, il fonce dans le respect de la culture établie tout en implantant des solutions pragmatiques et efficaces. 
Depuis plus de 10 ans, il gravite principalement autour des entreprises du domaine financier (BNC, Desjardins, Fonds de solidarité FTQ...) et les accompagne dans la mise en place de solutions efficaces tenant compte à la fois des risques et des budgets.
En plus d’avoir fondé de nombreuses associations telles que le RéseauSécurIT et le RPSI, il maintient une présence régulière auprès des milieux associatifs professionnels et partage régulièrement ses expériences lors de conférences et d'entrevues avec divers médias.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

= Events / Évènements =

== Owasp Montreal at [https://nsec.io/ NorthSec 2017] ==

[[Image:NorthSec2017-5.jpg]]
[[Image:NorthSec2017-6.jpg]]

From Left to Right: Anne Gauthier, OWASP Montréal Chapter Leader (President) and Application Security Analyst at GoSecure, Hugo Genesse, OWASP Montréal Chapter Leader and Research Intern at PNF Software, Julien, OWASP Montréal Chapter Leader

== OWASP Montreal at [https://2017.appsec.eu/ AppSec] ==

[[Image:OWASPAppSecBelfast2017-7.jpg]]

OWASP Montreal and Ottawa Chapter Leaders at OWASP AppSec Belfast, UK #WomenInAppSec

== OWASP Montreal at [https://hackfest.ca/ HackFest 2016] ==

[[Image:Hackfest2016-r.jpg| HackFest |link=https://hackfest.ca/]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Louis Nadeau, OWASP Québec Chapter Leader and Manager, Product Security at Bentley Systems and Patrick Leclerc, OWASP Québec Chapter Leader and Information Security Advisor at La Capitale.

== OWASP Montreal at OWASP [https://2016.appsecusa.org/ AppSec USA 2016, Washington] ==
 
 
[[Image:OWASPMtl-AppSecUSA2016-Washington.jpg | OWASP Montreal at AppSec USA 2016, Washington]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016, Alexandre Hamelin President at Synlabs Consulting Inc., Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [https://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

== OWASP Montréal at [https://www.gosec.net GoSec] 2016 ==

[[Image:OWASP-GoSec2016-1r.jpg|OWASP Montreal at GoSec 2016]] [[Image:OWASP-GoSec2016-2r.jpg|OWASP Montreal at GoSec 2016]]
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Simon Lacasse, student and volunteer, and Laurent Desaulniers, Security Analyst at Bell Canada.

== OWASP Montréal at [https://www.nsec.io/ NorthSec] 2016 – Annual Applied Security Event ==

[[Image:Hackfest2016-OWASPMtl.jpg|OWASP Montreal at NorthSec 2016]]

@Photo : Simon Veilleux
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Olivier Arteau OWASP Montréal Chapter Leader and Conseiller chez Groupe Technologie Desjardins, Hugo Genesse, OWASP Montréal Chapter Leader and Vulnerability Research Intern at Wurldtech Security Technologies.

== OWASP Montréal at [https://hackfest.ca/en/ Hackfest] 2015 ==

[[Image:Hackfest2015-OWASPMtl-R.JPG | OWASP Montreal at Hackfest 2015]]

@Photo : Hackfest
 
 
From left to right : Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [http://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

[[Image:Video-link.png | Link to video | link=https://youtu.be/8U0qkEuUFy8]] [https://youtu.be/8U0qkEuUFy8 Watch the video / Regarder la vidéo]

== OWASP Montréal at [https://www.gosec.net/ GoSec] 2015 – The Annual Cybersecurity Conference presented by GoSecure, EY and ISACA. ==

[[Image:GoSec2015-OWASPMtl.jpg|OWASP Montreal at GoSec 2015]]

@Photo : Marius Popescu
 
 
From left to right : Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016. Benoît Guérette, Application Security Team Leader at Desjardins, VP Finance at NorthSec and OWASP Montreal Chapter Founder and Former Chapter Leader.

== See also / Voir aussi ==

OWASP Montréal recommends Montréhack. Learn and share knowledge on IT security by solving technical challenges. Third Monday of every month.

OWASP Montréal recommende Montréhack. Apprends et partages des connaissances sur la sécurité informatique en travaillant des problèmes appliqués. Chaque troisième lundi du mois.

[[File:Montrehack.png|Montréhack|link=http://montrehack.ca/|alt=Montréhack]]

= Archives 2007-2015 =
{{:Montreal chapter past meetings}}

== OWASP Montreal - February 3rd - Getting to Know the Software Assurance Marketplace (SWAMP) ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/p4_vjufcB6Q]] [https://youtu.be/p4_vjufcB6Q Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer]] [https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Pat Beyer
*'''ADDITIONAL PRESENTER:''' Abe Megahed
*'''ABSTRACT:''' The Software Assurance Marketplace (SWAMP) is an open facility that is designed, built, and operated by four research institutions. The SWAMP provides no-cost access to an array of open-source and commercial software analysis tools. This presentation will provide an overview and demo of the SWAMP, including our goals, intended audience, current capabilities, and future plans. We will cover our relationship with OWASP, incorporation of open-source software assurance tools, and status as an open-source project and resource available to the software community. Visit https://continuousassurance.org/ to learn more about us.
*'''BIO:''' Pat Beyer serves as the Product Manager for the Software Assurance Marketplace (SWAMP). With over 25 years of experience successfully managing multi-million dollar global projects, Beyer’s expertise extends to the IT, construction, and operations sectors, with a specialization in managing government contracts and grants. A gifted communicator, Beyer is a sought after speaker due to his ability to deliver complex information about technology products and services in a way that is easily understood. He is a decorated combat veteran of the Global War on Terror, the international military campaign that started following the 9/11 terrorist attacks on the United States. In 2004, he constructed and rehabilitated over 20 schools, clinics, and water treatment plants for the Iraqi people using local contractors. Beyer also holds a Bachelor of Science, a Masters in Business Administration, a Ph.D. in Organization and Management, and a Project Management Professional (PMP) certification.
*'''BIO:''' Abe Megahed is a web developer for the Software Assurance Marketplace. In previous lifetimes, he has been a computer graphics researcher, a game programmer, a programming language and compiler nerd, a dot com company founder, a creator of helicopter simulations, and a developer of 3D simulations for NASA astronaut crew training.
*'''WHEN:''' Tuesday, February 3rd 2015
*'''WHERE:''' Room PK-1140 - UQAM Pavillon Président-Kennedy, 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' https://owaspmtlswamp2015.eventbrite.ca
*'''WEBCAST:''' https://www.youtube.com/watch?v=p4_vjufcB6Q
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer

*'''ACADEMIC PARTNER:''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session: Getting to Know the Software Assurance Marketplace
20:00-... End of the meeting

[[Image:SWAMP-Logo-Final-Med.png|300px|link=https://continuousassurance.org/]]
[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

== OWASP Montréal - 4 décembre - Malware côté serveur — évolution, méthodes d’opération et forensic Linux ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/lo8WDl-WQ3E]] [https://youtu.be/lo8WDl-WQ3E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille]] [https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Marc-Etienne M.Léveillé
*'''RÉSUMÉ:''' Les logiciels malveillants ciblant les serveurs ont évolué. Ils sont utilisés par des groupes de cybercriminels organisés dans le but de faire du profit via des redirections web et l’envoie de pourriels. La présentation portera sur Opération Windigo, une opération malveillante qui a affecté plus de 25 000 serveurs dans le monde. Après une brève description des composantes de Windigo, nous verrons comment les opérateurs déploient leurs logiciels malveillants et surveille leur réseau de serveurs infectés. Des trucs pratiques pour faire de la forensics sur des systèmes Linux seront donnés. Cette présentation est une suite à la présentation "Linux/Cdorked: Server side malware", donnée par Olivier Bilodeau à OWASP Montréal en 2013. La présentation sera en français avec des diapositives en anglais (aka Montreal-style).
*'''BIO:''' Marc-Etienne est un chercheur en logiciel malveillant chez ESET depuis 2012. Il se spécialise dans les logiciels malveillants qui s’attaquent à des plateformes inhabituelles comme aux produits fruités et aux oiseaux nordiques. Dernièrement, il passe beaucoup de son temps à faire la rétro-ingénierie de logiciels malveillants sur des serveurs Linux et s’intéresse à leurs méthodes d’opération. Il adore participer de façon collégiale aux CTFs avec ses amis les CISSP Groupies et jouer de la clarinette. Il tweet très peu à @marc_etienne_.
*'''QUAND:''' 4 décembre 2014 à 18h00
*'''OÙ:''' Local M-1510, Polytechnique Montréal, 2900 Boulevard Edouard-Montpetit
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-4-decembre-malware-cote-serveur-evolution-methodes-doperation-et-forensic-linux-tickets-14635313617
*'''ÉQUIPE ACADÉMIQUE:''' Polyhack - http://polyhack.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Malware côté serveur
19:30-20:00 Période de questions

[[Image:Polyhacklogonoirpetit.png|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]

== OWASP Montréal - October 23rd - XXE : À l’assaut des analyseurs XML ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/MZviLB9-42E]] [https://youtu.be/MZviLB9-42E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau]] [https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Philippe Arteau
*'''RÉSUMÉ:''' L'utilisation d’XML est fortement répandue. Le format est utilisé pour des fichiers de configuration, pour des métadonnées, pour des documents textes, et bien plus. La prise en charge de fichiers XML n’est pas sans risque. La plupart des analyseurs XML ne sont pas sécuritaires par défaut pour le traitement de fichier externe. Cette présentation fera un survol des vulnérabilités de type « Xml eXternal Entity » et de l’étendue des risques pour différents langages de programmation. Plusieurs démonstrations sont prévues.
*'''BIO:''' Philippe est conseiller en sécurité applicative pour le Groupe Technologies Desjardins. Au quotidien, il s’occupe d’effectuer des tests d’intrusions et des revues de code. Il a découvert des vulnérabilités importantes dans plusieurs logiciels populaires incluant Google Chrome, DropBox, ESAPI et Jira.
*'''QUAND:''' 23 Octobre 2014 à 18h00
*'''OÙ:''' École de Technologie Supérieure Local A-3230, 1100 Rue Notre-Dame Ouest, Montréal, QC H3C 1K3
*'''INSCRIPTION:''' http://www.eventbrite.ca/e/owasp-montreal-23-octobre-xxe-a-lassaut-des-analyseurs-xml-tickets-13426881163
*'''PARTENAIRE ACADÉMIQUE:''' ETS - DCI http://dciets.com/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:45 Mot de bienvenue
18:45-19:45 Présentation principale - "À l’assaut des analyseurs XML" Philippe Arteau
19:45-20:00 Période de questions

[[Image:Blason_dci.png‎‎‎|150px|link=http://dciets.com/]]
[[Image:ETS-rouge-devise-impr-fond_transparent.png|150px|link=http://www.etsmtl.ca/]]

== OWASP Montreal - July 24th - Web security for DevOps: the glory is in the headers ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/6bp1NCLT-YQ]] [https://youtu.be/6bp1NCLT-YQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil]] [https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Jonathan Marcil
*'''ABSTRACT:''' DevOps is a buzzword which can be easily demystified: in essence it is a process which aims to combine the development and system administration process into one; Operations. As developers become responsible for server setup, security counter measures are evolving as well. The line between server configuration and application behaviour has been blurred. In this talk we will cover some HTTP headers in regards to security such as CORS, CSP and HSTS. We will demonstrate several forms of attack, and how they can (should) be countered.
*'''BIO:''' Jonathan is devoted to security and specialized in Web application security. His main occupation is consulting in Web security, but deep down he is a developer with a agnostic vision of programming languages. He has a diploma in Software Engineering from Ecole de Technologie Superieure and more than 10 years of experience in Information Technology and Security.
*'''WHEN:''' At noon on July 24th 2014
*'''WHERE:''' 75 Queen Street, office 3100, Montreal, QC H3C 2N6
*'''REGISTRATION:''' You can join us on site for a pizza slice but this is mainly an online event. Contact jonathan.marcil@owasp.org.
*'''WEBCAST:''' https://www.youtube.com/watch?v=6bp1NCLT-YQ
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil
*'''EVENT SPONSOR:''' Pheromone http://www.pheromone.ca/
*'''PROGRAM:'''

12:00-12:10 Welcome and quick OWASP introduction
12:10-13:10 Main presentation - "Web security for DevOps: the glory is in the headers" Jonathan Marcil
13:10-... Open discussion and questions

[[Image:Logo-phero.gif‎|link=http://www.pheromone.ca/]]

== OWASP Montreal - June 18th - Gaps in the Clouds ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz]] [https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Robert Fritz
*'''ABSTRACT:''' Cloud technology offers agility and scaling, and a chance to break away from legacy IT choices. Unfortunately, skipping traditional IT activities often results in poorly patched systems, out of date firewalls, and overprovisioned entitlements wielded by admins whose “day job” is development. Boundaries of accountability and responsibility amongst cloud providers and consumers are confusing, vague, and shift, making security difficult to manage. In such an environment, a “BP-spill” event, where cost wins over safely safety, is likely. This talk will dive down into the cracks between the layers of cloud, and share some of the exciting dirt we have seen and expect to see in coming years.”
*'''BIO:''' Robert Fritz has been practicing security his entire career. Rob started as an Air Force lieutenant at Langley AFB and later at the Pentagon in Washington DC, building and managing classified networks. Finding he was getting too far from technology after a brief stint flying, he left the military to get back to the tech, and built security tools for HP in their HP-Unix lab. Over time he found himself in more and more security design discussions, so co-authored HP’s Commercial Application Threat Analysis Methodology, building an internal consulting practice at HP. This quantitative approach, led to two pending patents, an external-facing consulting practice, and his contributions to NIST IR-7502, the Common Configuration Scoring System (CVSS follow-on). He is the former lead editor for the Center for Internet Security’s HP-UX Benchmark, and current lead for the Android Benchmark. Robert now works for Morgan Stanley as global head of the Strategic Consulting team in the Security Architecture group, and leads the team’s cloud and social-media security practices.
*'''WHEN:''' June 18th 2014
*'''WHERE:''' 700 Rue Wellington, Floor 2, Montreal, QC H3C 3S4
*'''REGISTRATION:''' http://owaspmtl18junems.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz
*'''EVENT SPONSOR:''' Morgan Stanley http://www.morganstanley.com/
*'''PROGRAM:'''

18:00-18:30 Networking and Morgan Stanley Hosted Pizza and Soft Drinks
18:30-18:45 OWASP Chapter & Morgan Stanley Welcome
18:45-19:45 Main presentation - "Gaps in the Clouds" Robert Fritz
19:45-20:00 Open discussion and questions
20:00-... Optional, informal networking at Aziatic - 626 rue Marguerite-d'Youville, Montréal, QC H3C 1W7

[[Image:Morgan_Stanley_Historical_Logo.png|link=http://www.morganstanley.com/]]

== OWASP Montréal - May 26th - Récapitulatif des challenges NorthSec ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/P8_V3RI1Ru4]] [https://youtu.be/P8_V3RI1Ru4 Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''PRÉSENTATEUR PRINCIPAL:''' Laurent Desaulniers
*'''RÉSUMÉ:''' Solutions de la compétition en sécurité NorthSec 2014 sur les sujets de XXE + SSRF, WAF Bypass, Xpath Injection, DOM Injection, HTTP Only Flag bypass et contournement de captchas. Une bonne façon d'apprendre sur ces failles que vous étiez ou non un participant de la compétition.
*'''MESSAGE DU PRÉSENTATEUR:''' Vous voyez Rao dans votre soupe? Vous voulez une solution pour un XSS avec des cookies http only? Les captchas illisibles sont un problème? Assistez à la présentation de l'OWASP!
*'''BIO:''' Laurent Desaulniers est un passionné de sécurité informatique. Il a présenté au Hackfest, au colloque RSI, à OWASP et est challenge designer à NorthSec. M. Desaulniers détient les certifications CISSP, CISM, CISA et OSCP.
*'''QUAND:''' 26 mai à 18h00
*'''OÙ:''' Local PK-1140 - Pavillon Président-Kennedy 201, Avenue du Président-Kennedy, J2X 3Y7
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-26-mai-recapitulatif-des-challenges-northsec-tickets-11724413035
*'''WEBCAST:''' https://www.youtube.com/watch?v=P8_V3RI1Ru4
*'''ÉQUIPE ACADÉMIQUE''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Récapitulatif des challenges NorthSec
19:30-20:00 Période de questions

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== Networking with infosec communities - April 21st ==

[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''RÉSUMÉ:''' En collaboration avec Montréhack, mtlsec et NorthSec, nous organisons une soirée réseautage dans un pub du centre-ville. Du plaisir garanti avec les membres de plusieurs communautés infosec de Montréal!

*'''ABSTRACT:''' In collaboration with Montréhack, mtlsec and NorthSec, we are organizing a networking evening in a pub downtown. Fun guaranteed with the other security communities in Montreal!

*'''QUAND:''' 21 Avril 2014
*'''WHEN:''' April 21st 2014

*'''OÙ/WHERE:''' BENELUX - Brasserie Artisanale 245 Sherbrooke St W Montreal, QC H2X 1X7

*'''INSCRIPTION/REGISTRATION:''' https://www.eventbrite.ca/e/montrehack-avril-april-northsec-pre-party-tickets-11232307133

*'''PARTENAIRES/PARTNERS:''' Montréhack http://montrehack.ca/ - mtlsec http://blog.mtlsec.com/ - NorthSec https://www.nsec.io/
*'''PROGRAMME:'''
18:00-21:00 Networking
21:00-23:59 Remember to drink responsibly!

== OWASP Montréal - March 27th - Panel Compétition en sécurité NorthSec ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

'''Présentation sous forme de panel - venez poser vos questions!'''

*'''RÉSUMÉ:''' Les compétitions de type Capture the Flag (CTF) sont un moyen pour les professionnels et amateurs de sécurité informatique de mettre leurs talents à l'épreuve. NorthSec est une compétition Montréalaise annuelle en sécurité appliquée, qui aura lieu cette année au Marché Bonsecours de Montréal le 25, 26 et 27 avril prochain. Elle vise à augmenter le niveau technique des professionnels de la sécurité au Québec, ainsi que de permettre à ses acteurs les plus talentueux de se démarquer.
*'''DÉTAILS:''' Le panel de jeudi, sous la forme d'un échange convivial entre les organisateurs de l'évènement et de ses participants, abordera des thèmes variés comme l'écriture de bon défis, l'infrastructure, la logistique, les inattendus, un bilan de 2013 et tout ça en passant par de savoureuses annecdotes (on l'espère). Venez en grand nombre toucher à ces légendes de la scène infosec montréalaise!
*'''PANÉLISTES:''' Gabriel Tremblay, François Proulx, Laurent Desaulniers, Stéphane Graber
*'''ANIMATEUR:''' Olivier Bilodeau
*'''QUAND:''' 27 mars 2014
*'''OÙ:''' Salle M-1510, École Polytechnique de Montréal, 2500 chemin de Polytechnique, Montréal (Québec) H3T 1J4, pavillon Lassonde
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-27-mars-panel-competition-en-securite-northsec-tickets-10918436337
*'''ÉQUIPE ACADÉMIQUE:''' Polytechnique - Polyhack http://polyhack.org/
*'''PROGRAMME:'''
18:00-18:25 Networking
18:25-18:30 Mot de bienvenue par le leader du chapitre (Jonathan Marcil)
18:30-20:00 Présentation principale : Panel NorthSsec

[[Image:Polyhack.png‎‎|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== OWASP Montreal - February 25th - Proven Strategies for Web Application Security ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane]] [https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Justin C. Klein Keane
*'''ABSTRACT:''' The rising dominance of the web as an application delivery platform has focused attacker attention squarely on the security of dynamic web applications. Application security is a complex, and shifting, field. Learn about tested and successful techniques to build safer applications, find flaws before they become vulnerabilities, and deploy applications that can detect, and resist attack.
*'''BIO:''' Justin C. Klein Keane is a security engineer and chapter leaders of OWASP in Philadelphia. For over a decade Justin has worked as a trainer, coder, and exploit developer. Justin is currently writing a book for NoStarch Press on hacking, speaks regularly at conferences, holds a masters degree in information technology from the University of Pennsylvania and is credited with hundreds of application vulnerability discoveries.
*'''WHEN:''' February 25th 2014
*'''WHERE:''' Ecole de technologie superieure, 1100 Notre-Dame Street West, Montreal, Room: A-1150
*'''REGISTRATION:''' http://owaspmtljan2014.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane
*'''ACADEMIC PARTNER:''' ETS - DCI http://dciets.com/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session and open discussion: Proven Strategies for Web Application Security
20:00-... End of the meeting in a pub

[[Image:Dciets.png‎‎‎|100px|link=http://dciets.com/]]
[[Image:Logo_ets.png|link=http://www.etsmtl.ca/]]

== OWASP Montreal - January 28th - Latest trends in Mobile Security ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/8qPyKj4FKgY]] [https://youtu.be/8qPyKj4FKgY Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx]] [https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Francois Proulx
*'''ABSTRACT:''' Last AppSecUSA 2013 had a great line up of talks, especially regarding mobile applications. This session will be covering all the hottest presentations about mobile security by doing an overview from what see saw at AppSecUSA, all with some slides and snippets of presentations that was recorded at the event. Discussion will be encouraged within the audience as this will be more a dynamic event than a regular talk.
*'''BIO:''' François Proulx is a senior mobile application developer who has worked on dozens of iOS applications since the very beginning of the Apple iOS platform. Over the past few years he has switched his focus to security. He spends a lot of his free time participating in Capture the Flag events (CTFs) and organizing the NorthSec security competition.
*'''WHEN:''' January 28th 2014
*'''WHERE:''' UQAM Room PK-1705, Pavillon Président-Kennedy (the big boat at Place des Arts) - 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' http://owaspmtl-mobilesecurity.eventbrite.ca
*'''SLIDES/CONTENT:''' [http://www.youtube.com/playlist?list=PLQtB2ug5xmvaQ9jeRWV53-F_T555GQfhW YouTube playlist]
*'''SPONSOR:''' Academic partner AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan M.)
18:30-20:00 Main session and open discussion: Mobile Security
20:00-... End of the meeting in a pub

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

==== Presentations For Download ====

[http://www.owasp.org/images/0/0d/20100209mstechdaysowaspasvssgiv01-12657916463819-phpapp02.ppt OWASP ASVS] by Sebastien Gioria (09/03/2010)

[http://www.ph-il.ca/slides/afup__authetification_forte.pdf Authentification Forte] by Philippe Gamache (02/02/2010)

[http://www.opensamm.org/downloads/OpenSAMM-1.0.ppt Software Assurance Maturity Model (OpenSAMM)] by Pravir Chandra (03/11/2009)

[http://www.owasp.org/images/d/de/Owasp-montreal-sept-17h-2009-justin-foster.pdf Crossing the Border – Javascript Exploits] by Justin Foster (17/09/2009)

[http://www.owasp.org/images/c/c2/ALaughRIAt.pdf A Laugh RIAt] by Rafal Los (07/04/2009)

[https://www.owasp.org/images/e/eb/OWASP-Montreal-24022009-RobLabbe.pptx Microsoft Security Development Lifecycle for IT] by Rob Labbe (24/02/2009)

[https://www.owasp.org/images/3/39/OWASP-Montreal-24022009-EN.pdf OWASP Goal and Top Ten 2007 for Managers - French version] by Benoit Guerette (24/02/2009)

Newer presentations are available on [https://speakerdeck.com/owaspmontreal Speaker Deck]

[[Image:Circle_owasp_logo_nowhitebackground.png|200px]]

= OWASP Foundation / Mission OWASP =
OWASP Foundation ([https://docs.google.com/a/owasp.org/presentation/d/10wi1EWFCPZwCpkB6qZaBNN8mR2XfQs8sLxcj9SCsP6c/edit?usp=sharing Overview Slides]) is a professional association of [[Membership | global members]] and is open to anyone interested in learning more about software security. Local chapters are run independently and guided by the [[Chapter_Leader_Handbook]]. As a [[About_OWASP | 501(c)(3)]] non-profit professional association your support and sponsorship of any meeting venue and/or refreshments is tax-deductible. Financial contributions should only be made online using the authorized online chapter donation button. To be a SPEAKER at ANY OWASP Chapter in the world simply review the [[Speaker_Agreement | speaker agreement]] and then contact the local chapter leader with details of what OWASP PROJECT, independent research or related software security topic you would like to present on.

La fondation OWASP est une [https://www.owasp.org/index.php/Membership association de professionnels] et elle est ouverte à tout intervenant intéressé à en apprendre davantage sur la sécurité applicative. Les chapitres locaux (dont celui de Montréal) sont gérés de façon indépendante et selon un [https://www.owasp.org/index.php/Chapter_Leader_Handbook manuel de directives à respecter].
Toute contribution financière au chapitre peut être faite en ligne en utilisant l’icône prévu à cet effet. Pour être conférencier au sein de n’importe quel chapitre à l’échelle mondiale, vous n’avez qu’à prendre connaissance du document [https://www.owasp.org/index.php/Speaker_Agreement "entente avec les conférenciers – speaker agreement"] et à joindre le responsable du chapitre Montréal avec un descriptif du sujet que vous aimeriez aborder et s’il est relié à un projet OWASP, à de la recherche indépendante ou encore le sujet en particulier, concernant la sécurité applicative, que vous souhaitez aborder.

== [[Image:Circle_owasp_logo_nowhitebackground.png|128px]] Montreal OWASP Team ==

Scope of the team is to discuss and plan local activities and meetings

=== Chapter Leaders ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique

==== Chapter leader history ====
*2008-2010 - Benoit Guerette, founder and chapter leader
*2011-2012 - Philippe Gamache, chapter leader (vice chapter-leader since 2010)
*2013-2015 - Jonathan Marcil, chapter leader
*2016-... - Anne Gauthier, Michel Bourque, Marius Popescu, Hugo Genesse, Olivier Arteau

==== Old board members ====
*Philippe Pépos Petitclerc
*Michael Robillard
*Benoit Guerette (logistics 2015)
*Alexandre Rimthong
*Mathieu Binette
*Sean Coates
*Jean-Marc Robert
*Philippe Blondin
*Benoit Guerette (founder)
*Laurent Desaulniers
 

<headertabs></headertabs>
__NOTOC__
[[Category:Canada]]

Montréal

2017-10-13T02:35:13Z

Svieg: What we do / Nos activités

== Welcome & Bienvenue to the OWASP Montréal chapter ==
 
[[Image:OWASP-Montreal-Logo.png|Logo OWASP Montréal]]

The OWASP Foundation was established in 2001 as an open community and software security resource. Since then, OWASP has grown to be globally recognized as a credible source for application security standards. 
OWASP is an open community dedicated to enabling organizations to conceive, develop, acquire, operate, and maintain applications that can be trusted. All of the OWASP tools, documents, forums, and chapters are free and open to anyone interested in improving application security. We advocate approaching application security as a people, process, and technology problem because the most effective approaches to application security include improvements in all of these areas. 
OWASP is open to anyone. Anyone can attend OWASP's vendor agnostic local chapter meetings, participate in regional and global conferences, and contribute to the many OWASP projects. And anyone can start a new project, form a new chapter, or lend their expertise to help an OWASP Global Committee. 
On parle français aussi ! Le chapitre de Montréal organise plusieurs activités gratuites afin de partager les connaissances en sécurité applicative avec la communauté de développeurs et gestionnaires. Suivez-nous sur les réseaux sociaux pour connaître les dates des conférences du midi et des workshops ! 

Top documentation from OWASP includes:

* [https://www.owasp.org/index.php/Top_10_2013-Top_10 OWASP TOP 10 : The Ten Most Critical Web Application Security Risks]

* [https://www.owasp.org/images/3/33/OWASP_Application_Security_Verification_Standard_3.0.1.pdf OWASP ASVS : Application Security Verification Standard]

* [https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf OWASP Testing Guide : Penetration Testing Framework]

* [https://www.owasp.org/images/7/78/OWASP_AlphaRelease_CodeReviewGuide2.0.pdf OWASP Code Review Guide : Source Code Analysis Framework]

* [https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series OWASP Cheat Sheet : Best practices guidelines for developers]

* [https://www.owasp.org OWASP Global]

=== Chapter Leaders / Responsables du chapitre ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique
 
Special thanks to / Remerciements :
* Simon Lacasse, Web content / Site internet

== Reach our chapter / Joindre le chapitre ==

Follow OWASP's Montreal chapter's activities through social medias, register to events, watch the previous presentations and more!

Suivez les activités du chapitre OWASP Montréal via les réseaux sociaux, inscrivez-vous aux activités, visualisez les anciennes présentations et plus encore!

 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Click here] to join the local chapter mailing list.
 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Inscrivez-vous ici] à la liste de courriels du chapitre afin de recevoir les dernières nouvelles!

Want to be part of the community ?
Devenez membre de notre communauté !
[https://www.owasp.org/index.php/Membership_Map Click here / Cliquer ici]

[[Image:Eb_press_little.gif‎|OWASP Montreal Eventbrite|link=http://owaspmontreal.eventbrite.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Yt-brand-standard-logo-630px.png‎|128px|YouTube OWASP Montreal Channel|link=http://www.youtube.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Speakerdecklogo.png‎|Slides of OWASP Montreal on SpeakerDeck |link=https://speakerdeck.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]

 
[[Image:Twitter-bird-cropped-onwhite.png|@owaspmontreal on Twitter|link=https://twitter.com/owaspmontreal]]
[[Image:FacebookSquareLogo.png|OWASP Montreal Facebook page|link=https://www.facebook.com/owasp.montreal]]
[[Image:LinkedinSquareLogo.png|OWASP Montreal on LinkedIn|link=https://www.linkedin.com/groups/1379007/profile]]

[[Image:Spacer-horiz.gif‎]]

== What we do / Nos activités ==

OWASP Montreal is a really active chapter. We organize monthly conferences and workshops. All our events are free and meant to improve the knowledge and awareness of the community's developers, managers and computer security specialists. To be aware of the next event and for additional information, follow us on social medias. 

OWASP Montréal est un des chapitres les plus actifs. Nous organisons mensuellement des ateliers et conférences. Tous nos événements sont gratuits et ont pour but d'améliorer les connaissances de la communauté. Ils s'adressent donc autant aux gestionnaires qu'aux développeurs et aux spécialistes en sécurité informatique. Pour plus d'informations sur nos activités et pour être au courant des prochaines dates d'événement, suivez nous sur les réseaux sociaux. 

We also contribute to the vast OWASP knowledge base / Nous contribuons aussi aux ressources d'OWASP

We list here the projects that were started by our members under OWASP's banner. 
Nous listons ici les projets commencé par nos membres sous la banière d'OWASP. 

* [https://www.owasp.org/index.php/Vulnerability_Disclosure_Cheat_Sheet Vulnerability Disclosure Cheat Sheet]

== Sponsorship & Membership / Commandite & Adhésion ==

[[Image:Btn_donate_SM.gif|link=http://www.regonline.com/donation_1044369]] to this chapter or become a local chapter supporter.

Or consider the value of [[Membership | Individual, Corporate, or Academic Supporter membership]]. Ready to become a member? [[Image:Join_Now_BlueIcon.JPG|75px|link=https://myowasp.force.com/]]

[http://www.regonline.com/donation_1044369 Donnez] au chapitre ou devenez commanditaire du chapitre local!

[https://myowasp.force.com/ Devenez membre !] Pour en savoir davantage sur les avantages d’une adhésion individuelle, corporative ou en tant qu’institution d’enseignement, [https://www.owasp.org/index.php/Membership cliquez ici].

[[Category:OWASP Chapter]]

== Chapter Supporters / Commanditaires du chapitre ==

[https://www.owasp.org/images/9/91/OWASP_Membership_Flyer_Montreal.png All details available here / Pour tous les détails] [[File:Chapter-supporter-owasp-montreal.png|200px|link=]]

=== Platinum / Platine ===

[[Image:Gosecure-2.png|GoSecure|link=http://www.gosecure.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[File:Desjardins2-400x400.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 
 

=== Gold / Or ===

[[Image:PM_SCADA_Logo_Gris_Cybersecurite_FR.png|PM SCADA|link=http://pmscada.ca/en/]]

 
 
 

= Lunch & Learn / Workshops 2017 =

== Pourquoi un hacker peut-il contourner les mesures et solutions de sécurité... ==

[[Image:Hamilton-septembre-2017-1.JPG ]]
[[Image:Hamilton-septembre-2017-2.JPG ]]
 
WHEN
September 18th 2017
WHERE
Espace Desjardins

OWASP dans le cadre des Midis conférence est heureux de lancer la saison 2017-2018 en accueillant, M. Charles F. Hamilton.
 
Notre conférencier viendra brosser un tableau des différents éléments qui expliquent pourquoi les mesures et les solutions de sécurité en générales qui ont la fonction de protéger les données, les applications, les réseaux ou les équipements critiques sont si souvent contournées ou carrément inefficaces contre les attaques ciblées.
 
Biographie : 
Charles F. Hamilton est un consultant en sécurité et membre d’équipe « Red Team » de calibre international. Il se spécialise en test d’intrusion et la recherche de solution proactive de sécurité.
 

== Cas d'attaques vécus : Internet des objets (IOT) - Attaques DDoS ==

[[Image:Cas_dattaques_vecus-r.jpg ]]
 
WHEN
June 19th 2017
WHERE
Espace Desjardins

Pour clore la saison printanière 2017, OWASP Montréal est fier d'accueillir au Midi Conférence, M. Christian Shink qui fera un survol de cas d'attaques vécus, des techniques utilisées et des acteurs impliqués dans ces attaques. 
L'incorporation généralisée de dispositifs «intelligents» dans les objets de la vie de tous les jours modifie la façon dont les gens et les machines interagissent les uns avec les autres. Cette incorporation offre une promesse d'une meilleure qualité de vie, une meilleure efficacité. En contrepartie, leur déploiement introduit également des vulnérabilités à la fois dans l'infrastructure qu'ils soutiennent et sur lesquels ils comptent, ainsi que dans les processus qu'ils guident. Que ce soit au niveau applicatif ou des infrastructures, ces vulnérabilités sont exploitées par des acteurs malicieux pour générer des attaques de déni de service massives et sophistiquées. Nous tenterons également de tirer des leçons afin de tenter de minimiser ce type d'attaques dans le futur. 
Christian Shink possède plus d’une dizaine d’années d’expérience en développement et sécurité d’applications. Avant de se joindre à Radware, Christian était à l’emploi d'une firme conseil où il a conseillé de nombreuses entreprises, dont de grandes banques américaines et Casinos. Il détient une certification CSSLP et est membre de l'ordre des ingénieurs du Québec.
 

== HOW TO! Threat Modeling Toolkit ==

[[Image:OWASPMtl-JonathanMarcil-1.jpg]]
[[Image:OWASPMtl-JonathanMarcil-3.jpg]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit]] [https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit See the slides / Voir la présentation]
 
WHEN
May 23rd, 2017
WHERE
Shopify Montreal

Threat Modeling is a great way to analyze security early in software development by structuring possible attacks, bad actors and countermeasures over a broad view of the targeted system. This talk will describe basic components of a threat model and how to use them effectively.
Threat Intelligence is where you gather knowledge about the environment and business assets to determine what are the actual threats. But how do you reconcile that with the current architecture in a useful manner?
The toolkit presented in this talk will enable you to systematically structure related information using graphical notations such as flow diagram and attack tree. In case you are wondering where to start in your organization, a quick lightweight risk rating methodology will also be proposed.
And in the end, you’ll see how we can all tie those together and get threat modeling to a point where it’s an efficient application security activity for communication. Doing this will prevent security reviews from missing important things even when chaos prevails during the realization of a project.
Modeling concepts will be demonstrated with an actual IoT device used as example.
Presentation will be done in english.

Speaker Bio:
Jonathan Marcil is the former chapter leader of OWASP Montreal and is now Senior Application Security Engineer at Blizzard Entertainment in beautiful Orange County, California.
Jonathan has been involved with OWASP for many years and has been behind the Media Project which gathered and promoted AppSec conferences video content in the official OWASP YouTube channel. He was also part of NorthSec CTF event as a challenge designer specialized in Web and imaginative contraptions.
He is passionate about Application Security and enjoys architecture analysis, code review, threat modeling and debunking security tools. He holds a diploma in Software Engineering from ÉTS Montreal and has more than 15 years of experience in Information Technology and Security.

Merci à nos précieux commanditaires !

== Security Testing: Unlocking the Benefits of a Hybrid Approach ==
[[Image:Security testing hybrid approach-r 3.jpg ]]
[[Image:Security testing hybrid approach-r 4.jpg ]]
 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/hybrid-approach-to-security-testing]] [https://speakerdeck.com/owaspmontreal/hybrid-approach-to-security-testing See the slides / Voir la présentation]
 
WHEN
April 24th, 2017
WHERE
Espace Desjardins

As part of their defensive efforts, businesses commonly commission cybersecurity assessments of their web applications; with the aim of identifying any weaknesses in the security controls and ensuring a continually strong cybersecurity posture of their systems.

The classical approach of either secure code review (white box) or penetration testing (black box) assessment have proven to be effective in securing of web applications. The new trend, however, is moving towards the combination of these two approaches; expert consensus is rapidly recognizing the advantages of using a hybrid approach. When applied properly, a hybrid approach can build on the strengths of both white and black box testing, while compensating for their individual shortcomings.

In this presentation, we will examine the details of secure code review and penetration testing, and run demos to contrast their respective strengths and weaknesses. We will also examine why a hybrid approach can produce more complete and relevant assessment results. To conclude, we will cover proven approaches, and practical techniques, on how you can start leveraging a hybrid approach to web application assessments today.

Anne Gauthier is an application security analyst at GoSecure. Anne is also the president of the Montreal Chapter of OWASP – the industry standard for web application security. With a penetration testing background, she specializes in secure code reviews and in helping companies to improve their software development lifecycle (SDLC) according to industry best practices. Anne is CSSLP, GWAPT and GSSP-JAVA certified. She obtained a Software Engineering bachelor’s degree from Ecole de Technologie Supérieure in Montréal and is now pursuing a Master of Engineering (MEng) degree in Information Systems Security at Concordia University. She is the author of the Project 201 Security blog.

Merci à nos précieux commanditaires !

== "HOW-TO" NIGHT ! Tout sur les CTFs (Capture The Flag) ==

[[Image:Howto_ctf.jpg]]
 
[[Image:Presentation-link.png | Slides | link=https://docs.google.com/presentation/d/1zEsCcX-Nvq8Nz0k-B1zHejCDNT2oGZx8oUBgMbvvMM0/edit#slide=id.p ]] [https://docs.google.com/presentation/d/1zEsCcX-Nvq8Nz0k-B1zHejCDNT2oGZx8oUBgMbvvMM0/edit#slide=id.p See the slides / Voir la présentation (Laurent Desaulniers)]
[[Image:Presentation-link.png | Slides | link=https://docs.google.com/presentation/d/1c1P1d2mKe767j1Y0V9cK6De5cpnK4I7GI-ORiodbg1A/edit#slide=id.p ]] [https://docs.google.com/presentation/d/1c1P1d2mKe767j1Y0V9cK6De5cpnK4I7GI-ORiodbg1A/edit#slide=id.p See the slides / Voir la présentation (Charles Hamilton)]
[[Image:Presentation-link.png | Slides | link=http://obilodeau.github.io/slides/2017-04-04_how-not-to-suck-at-ctfs/ ]] [http://obilodeau.github.io/slides/2017-04-04_how-not-to-suck-at-ctfs/ See the slides / Voir la présentation (Olivier Bilodeau)]
 
WHEN
April 4th, 2017
WHERE
Shopify

Cette nouvelle soirée "How-To" Night d'OWASP Montréal vise à présenter les CTFs (une compétition Capture The Flag) et aider les équipes à démarrer et à continuer à évoluer dans leurs pratique de la cyber sécurité pratique. L'objectif est d'outiller les participants en leur fournissant des ressources techniques et des contacts afin de les aider à progresser.

Les éléments discutés seront:

- Composition optimale d’une équipe : Fonctionnement d’une équipe de CTF et les principaux rôles (chef d’équipe, cryptographie, application web, rétro ingénierie et les causes perdues).

- Pourquoi faire des CTFs? Discussion sur les différents styles (jeopardy, attack/defense, etc.), quels sont les problèmes fréquemments rencontrés + plusieurs anecdotes intéressantes (et drôles).

- Trucs de Mr. Unikoder : Le créateur du fameux site ringzer0team, soit un des plus gros sites pour apprendre la résolution de problèmes de CTF (https://ringzer0team.com/) Apprenez des trucs du meilleur, sur comment débuter et interpréter un challenge web, binaire et crypto avec des trucs réels du métier.

Matériel requis :

Votre légendaire enthousiasme

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement.

Présentateurs :

Charles Hamilton, Senior Consultant chez Mandiant, FireEye, Inc.

Olivier Bilodeau, Cybersecurity Research Lead at GoSecure

Laurent Desaulniers, Senior Security Solution Specialist at Bell Canada

== NorthSec - Applied Security Event ==
[[Image:Nsec_2017_midi_conf.jpg]] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/northsec-applied-security-event]] [https://speakerdeck.com/owaspmontreal/northsec-applied-security-event See the slides / Voir la présentation]
 
WHEN
April 4th, 2017
WHERE
Espace Desjardins

NorthSec: La plus grande compétition et conférence en cyber sécurité au Canada

NorthSec est un organisme sans but lucratif qui organise une conférence et une compétition de sécurité de type "Capture-The-Flag" (CTF) et des formations. Avec plus de 400 participants présents sur le site pour la compétition, c’est la plus grande compétition du genre au monde.

La conférence, dans sa 3e année, attire des présentateurs internationaux avec du contenu technique exclusif. L’ajout des séances de travail (workshops) devrait plaire aux plus chevronnés des binaires.

Des formations de 3 jours sont offertes avant la conférence: "Advanced Web Application Security" par Philippe Arteau et "Malware and Memory Forensics" par Michael Ligh, co-auteur des livres "Malware Analyst Cookbook" et "The Art of Memory Forensics".

NorthSec est situé au Marché Bonsecours dans le Vieux-Port de Montréal au printemps du 15 au 21 mai 2017.

La présentation couvrira:

- Le plan pour 2017 
- Ce qui différencie NorthSec 
- Comment équilibrer une compétition pour les débutants et les experts 
- Comment bâtir une infrastructure basée sur les conteneurs qui gère 50 équipes dans quelques serveurs sans qu’ils ne se partagent de machines virtuelles 
- Comment faire du pain au levain à grande échelle 
- Présentation de quelques défis et solutions 

Les présentateurs:

- Gabriel Tremblay, Président, Delve Labs 
- Olivier Bilodeau, VP Formations, Co-fondateur MontréHack, GoSecure 
- Pierre-David Oriol, VP Conférences, Delve Labs 
- Benoit Guérette, VP Partenaires, Desjardins 
- Laurent Desaulniers, Tisserand de drapeaux, Bell Canada 

Merci à nos précieux commanditaires !

== Sécurité des applications : Les fondements ==
[[Image:Tanya.jpeg]] 

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/securite-des-applications-les-fondements]] [https://speakerdeck.com/owaspmontreal/securite-des-applications-les-fondements See the slides / Voir la présentation]
 
WHEN
March 20th, 2017
WHERE
Espace Desjardins

OWASP Montréal est fier d’accueillir au Midi Conférence du mois de mars, Mme Tanya Janca, Co-Leader du chapitre OWASP Ottawa et spécialiste de la sécurité applicative au sein du Gouvernement fédéral.

La conférence « Les fondements de la sécurité des applications » sera présentée en anglais.

Session Description : Everyone has heard about the problem; everyone is “getting hacked”. But what is the answer? From scanning your code with a vulnerability scanner to red teaming exercises, developer education programs and bug bounties, this talk will take the audience through all the possibilities of an extensive application security program, with a detailed explanation of each part.

Bio : Tanya Janca is an application security evangelist, a web application penetration tester and vulnerability assessor, a secure code reviewer, an ethical hacker, the Co-Leader of the OWASP Ottawa chapter, and has been developing software since the late 90’s. She has worn many hats and done many things, including; Custom Apps, Ethical Hacking, COTS, Incident Response, Enterprise Architect, Project and People Management, and even Tech Support. She is currently helping the Government of Canada secure their web applications.

Merci à notre commanditaire principal de cet événement: Ubitrak!

== WORKSHOP ! Server Side Template Injection (SSTI) ==

[[Image:Workshop-okiok-SSTI-r.jpg | WORKSHOP ! Server Side Template Injection (SSTI) ]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti]] [https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti See the slides / Voir la présentation]

WHEN
22 Février 2017
WHERE
Shopify Montréal

OWASP Montreal vous invite à un atelier portant sur la sécurité des applications web supportant les moteurs de template (Template Engine). Le principe de séparation entre la présentation du site (code HTML statique) et de son contenu dynamique facilite la création de documents HTML et la capacité à modifier l'apparence du site sans mélanger le traitement et le rendu de la page. L'utilisation de moteurs de template amène de nouveaux enjeux de sécurité. Les vulnérabilités de type Server Side Template Injection (SSTI) sont exploitables à travers les données (non fiables) fournies par l'utilisateur et conduisent à l'exécution de code arbitraire (RCE) sur le serveur hébergeant l'application web. 

Ce workshop a pour but d'introduire cette classe de vulnérabilité à travers différents cas d'implémentation (php, java, python).
Nous verrons comment identifier et exploiter ces vulnérabilités et de quelle manière un attaquant peut
s'y prendre pour exécuter du code arbitraire sur le serveur afin d'en prendre le contrôle. 

Niveau : Intermédiaire 
Matériel requis :
* Votre portable
* Votre distribution Linux/Unix de votre choix
* Votre proxy Web de votre choix

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.
Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.
Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement. 

Présentateur : Gérôme Dieu 
Gérôme Dieu cumule plus de 7 années d’expérience en technologies de l’information et en sécurité.
Il œuvre à titre de conseiller senior en sécurité de l’information au sein de la firme OKIOK. Ces dernières années, il a acquis une expertise dans le domaine de la sécurité des applications web aussi bien d'un point de vue offensif que défensif. En plus de réaliser des tests d’intrusion pour des clients internationaux, Gérôme s’implique dans la recherche et développement afin de maintenir à la fine pointe de la technologie les tests d'intrusion et d'analyse de vulnérabilités. 

Merci à Shopify d'héberger l'événement ! 
[[Image:Shopify Logo-r.png| Shopify | link=https://www.shopify.com/]]
== Le courriel en 2017 – risques et menaces pour tous ==

[[Image:Zero spam 2.jpg|Le courriel en 2017 – risques et menaces pour tous]]

[[Image:Video-link.png | Link to video | link=https://www.youtube.com/watch?v=HX2vcijcCWw ]] [https://www.youtube.com/watch?v=HX2vcijcCWw Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

WHEN
Le 23 janvier 2017 à midi
WHERE
Espace Desjardins

Monsieur Poellhuber nous brossera un tableau du phénomène grandissant du rançongiciels et de l'hameçonnage, personnification. 

- Par les années passées, la menace courriel se résumait principalement en un fort volume de contenu simplement indésirable. Aujourd’hui la menace a passablement évolué. Quels sont les véritables risques actuels associés au courriel ? Rançongiciels, hameçonnage, personnification. Cette conférence présentera les nouveaux défis de sécurité pour les organisations qui doivent composer avec des attaques de plus en plus sophistiquées et de plus en plus ciblées tout en protégeant leur réputation. Des exemples biens réels, drôles et moins drôles seront disséqués pour bien dessiner l’ampleur de l’enjeu. 

M. David Poellhuber, Chef de l’exploitation, ZEROSPAM Sécurité Inc 

Note biographique : 
Monsieur David Poellhuber oeuvre dans l’industrie de la sécurité informatique depuis quinze ans. Il a été conférencier dans plusieurs forums de sécurité au Canada et est maintenant reconnu comme une autorité en matière de sécurité du courriel. Il a fondé ZEROSPAM Sécurité en 2003, le premier service Québécois externalisé de sécurité du courriel infonuagique qui se distingue par sa convivialité, son efficacité et ses technologies de détection proactives. 
Audience : Généralistes et spécialistes de la sécurité des TI
 
Merci à Ubitrack pour le repas et à Desjardins d'héberger l'événement!

[[Image:Ubitrak-r2.jpg|Ubitrak|link=http://www.ubitrak.com/fr/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]

== Effective XSS Mitigation ==

[[Image:XSS mitigation.jpg | Effective XSS Mitigation ]]

[[Image:Presentation-link.png | Slides| link=http://slides.com/olivierarteau/xss-mitigation ]] [http://slides.com/olivierarteau/xss-mitigation See the slides / Voir la présentation]

WHEN
18 Janvier 2017
WHERE
Google Montréal

FRANÇAIS/ENGLISH 
La mitigation de XSS a été un sujet important au cours des dernières années. Les navigateurs ont implémenté, en autre, deux fonctionnalités pour mitiger leur impact : l'entête "XSS-Protection" et l'entête "Content-Security-Policy". Par contre, obtenir une mitigation contre les XSS efficace est souvent plus complexe que l'on pense. Cet atelier couvrira les deux entêtes. Il expliquera comme il est possible de contourner ces protections et ce qu'il est possible de faire pour se protéger. Des exercices de type "offensif" et "défensif" seront proposés.
Mitigation for XSS as been an important topic in the last few years. Browsers have implemented two main functionalities to help mitigate the impact of XSS : the "XSS-Protection" header and the "Content-Security-Policy" header. But, getting an effective XSS mitigation of those headers is trickier than it may seem. This workshop will cover both of those headers. It will explain how bypass of those protection work and what you can do about it. It will have both "defensive" exercises and "offensive" exercises.
Niveau : débutant/intermédiaire
 
Matériel requis :

Votre portable 

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Google pour l'événement.
 
Présentateur : Olivier Arteau
 
Olivier Arteau est un professionnel en sécurité informatique depuis quelques années et fait partie de l’équipe de test d’intrusion de Desjardins. Il est aussi un amateur de CTF qui a gagné à plusieurs reprises le CTF du NorthSec avec l’équipe HackToute et participe fréquemment à d’autres CTF avec l’équipe DCIETS.
 

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

= Lunch & Learn / Workshops 2015-2016 =

== WORKSHOP ! Top 10 OWASP - Unleash the threats ==

[[Image:Workshop-top10.jpg | WORKSHOP! Top 10 OWASP - Unleash the threats ]]

WHEN
30 novembre 2016 de 17h30 à 20h30
WHERE
Immunio @ WeWork

De nos jours, la sécurité applicative est essentielle dans l’écosystème des entreprises de toutes tailles. Les vecteurs d’attaques sont multiples, les vulnérabilités de sécurité dans les applications peuvent être désastreuses et les impacts d’un « Hack » peuvent être irréversibles pour l’entreprise; vols de données sensibles, perte de réputation, perte de $$$$$, etc.
L’objectif du workshop est de comprendre la base sur les vulnérabilités de sécurité dans les applications et les techniques d’exploitation utilisées par les pirates informatiques, en plus de connaître les bonnes pratiques de développement en matière de sécurité applicative.
Avec l'aide de WebGoat, Damn Vulnerable Web Application et de Kali Linux, vous pourrez participer
à l'exploitation des applications et découvrir les techniques utilisées par les attaquants.

Niveau : débutant

Matériel requis :
Votre portable
Kali Linux
La VM du workshop, envoyée aux participants

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places très limitées (nb = 10). Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Immunio & WeWork pour l'événement.

Présentateur : Christian Leclerc

Christian est spécialisé en conception et développement de solutions web sécuritaires. Tout au long de sa carrière, il a acquis une vaste expertise sur plusieurs types de technologies et méthodologies, intégré la sécurité dans le cycle de développement d’applications, effectué des revues de code sécurité, déployé des outils d’analyse des vulnérabilités et mis en place des systèmes d’authentification. De plus, il a participé à la conception et au développement de solutions sécuritaires de pointe comme la signature électronique à l’aide d’une infrastructure à clé publique (PKI), les authentifications fortes, le Registre des consentements au don d'organes et de tissus (RDOQ.org) et la migration de plusieurs applications web vers un environnement SOA (Service Oriented Architecture).
 Merci à Immunio & WeWork d'héberger l'événement! 

[[Image:Immunio-horizontal-r.png|Immunio|link=https://www.immun.io/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Wework-r.jpg|WeWork|link=https://www.wework.com/]]
 

== Histoire d'un Hack ==

[[Image:Histoire-dun-hack-r.jpg | Histoire d'un Hack ]]

WHEN
21 novembre 2016 à midi
WHERE
Espace Desjardins

Pour son activité du mois de novembre, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de faire l'autopsie d'une attaque de haute voltige sur un site web et des outils mis à la disposition par OWASP.

Bernard Bolduc cumule plus de 17 années d’expérience en technologies de l’information et en sécurité. Il œuvre à titre de conseiller senior en sécurité de l’information au niveau d’entreprise de classe nationale et internationale.

Bernard se spécialise en sécurité Unix, applicative et en gestion de la sécurité des télécommunications. Il combine ces expertises techniques afin d’obtenir des résultats probants et efficaces pour ces clients des secteurs bancaire, télécommunication et multimédias, de l’énergie ou des services publiques. Tout au long de sa carrière, Bernard s’est toujours maintenu à jour sur les dernières menaces de sécurité technologique et commerciale en assistant à des formations spécialisées et d'échanger avec un grand nombre de partenaires dans l'industrie de la sécurité.

La conférence débute à midi.

La conférence vous donne droit à 1 CPE et pour les 50 premières personnes, un lunch gratuit.

Merci à Desjardins d'héberger l'événement!

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite) ==

[[Image:Workshop-zap-mix.jpg | Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite)]]

WHEN
11 novembre 2016 de 18h à 21h

WHERE
Google Montréal

OWASP Zed Attack Proxy (ZAP) est un scanneur de vulnérabilités et un outil de débogage HTTP. Ce type d'outil est crucial dans un test d'intrusion web et contient un lot intéressant de fonctionnalités. Cela dit, il est possible d'étendre les fonctionnalités. Plusieurs types d'extension sont possibles : vue alternative pour les requêtes ou les réponses, scanneur passif des réponses, scanneur actif produisant des requêtes, etc.

Plusieurs options seront données, par exemple :

Détection automatique de flag dans les sources
Scanneur actif asynchrone DNS
Ou votre propre idée

Pour chacune des suggestions, des squelettes de code seront fournis pour les APIs de ZAP. Pour les utilisateurs de BurpSuite, des directives analogues seront également données.

Niveau : débutant / intermédiaire

Matériel requis

Votre portable
[https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project OWASP ZAP (gratuit)]
[https://portswigger.net/burp/download.html BurpSuite]
Éditeur de code pour Java, Python ou Ruby

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Présentateur : Philippe Arteau

Philippe est un chercheur en cybersécurité chez GoSecure. Il est l'auteur de l'outil d'analyse statique Java "Find Security Bugs". Il a découvert des vulnérabilités importantes dans les logiciels populaires tels que Google Chrome, Dropbox, Paypal, RunKeeper et Jira. Il a présenté dans différentes conférences incluant Black Hat USA, Black Hat Europe, ATL Sec Con, NorthSec, Hackfest (QC) et JavaOne. Il a développé de nombreux plug-ins pour les outils de proxy BurpSuite et OWASP ZAP (Retire.js, Reissue Request Script, PDF preview et Image Metadata). Il a fait également des contributions à d'autres plug-ins comme J2eeScan.

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

==Logiciel de rançon (Ransomware) s'attaque au domaine de la santé==

[[Image:HackingHealth-2.jpg | Logiciel de rançon (Ransomware) s'attaque au domaine de la santé ]]

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health ]] [https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health See the slides / Voir la présentation]

(Conférence en anglais)
Pour le lancement de la saison 2016 - 2017, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de la santé une incursion dans le monde du logiciel malveillant ciblant le domaine de la santé. 
Cette conférence s'intége dans le Coopérathon co-organisé par le Mouvement Desjardins et Hacking Health. 
Le domaine de la santé serait devenu une cible privilégiée des campagnes de ransomware parce que l'industrie a souvent payé la rançon demandée pour récupérer les données confidentielles et vitales de ses clients. Monsieur Ed Gershfang nous brossera un portrait du phénomène et des meilleures pratiques à mettre en place en matière de sécurité applicative.
Ed Gershfang possède une expérience solide dans l'infrastructure informatique et plus de 6 ans d'expérience dans les domaines de la sécurité de l'information, de la vulnérabilité, de la gouvernance et de la gestion des risques. Il était directeur de la sécurité pour la société PeriGen, un chef de file de développement de logiciels médicaux en Israël.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative vue par un pentesteur ==

[[Image:Juin2016-OWASPMtl.jpg | OWASP Montréal reçoit Mario Contestabile, Pentester de renom ]]
 
From Left to Right : Isabelle Lusseyran, Head of Development at Hacking Health. Eduard Gershfang Information Security Analyst at WSP | Parsons Brinckerhoff.

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile ]] [https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile See the slides / Voir la présentation]
 
Pour clore la saison 2015 – 2016, OWASP Montréal est fier d’accueillir au Midi Conférence un des architectes de renom du développement applicatif au Canada, monsieur Mario Contestabile.
En tant qu’auteur de plusieurs centaines de tests d’intrusion, il connait tous les rouages de ce qu’est véritablement une application Web «sécurisée». Mais avez-vous déjà remarqué que les rapports de tests d’intrusion mentionnent rarement, voir jamais : «Votre site est très difficile à pirater. Félicitations !» ?
Et qu’en est-il de ces rapports qui contiennent des dizaines de soi-disant vulnérabilités ? Est-ce que cela signifie d’emblée que l’application devrait être mise hors ligne ?
 
Lors de cette conférence, nous examinerons des rapports concrets (ambigus) de vulnérabilités et nous les analyserons afin de mieux comprendre si elles représentent une véritable menace, ou si elles ne servent qu’à «remplir» les rapports.
 
Avec son expertise en protection et en attaque d’applications Web, il abordera les points suivants :
Comment pouvez-vous sélectionner des systèmes de façon à mieux exécuter des protections de sécurité ?
Éviter certains pièges dans votre application Web qui rendent les attaques plus faciles et la protection plus difficile.
De nos jours, que peuvent faire les développeurs à l’intérieur de systèmes communs, qui puisse me rendre la tâche plus ardue en tant que « hacker »?
Pouvons-nous exiger de meilleurs rapports de la part des firmes de sécurité?
À quoi devrions-nous nous attendre de la part d’un « pentesters »?
Comment pouvons-nous savoir si le « pentester » a vérifié les failles de l’application et qu’il n’a pas simplement utilisé un scanneur?
Et enfin, comment pouvons-nous aider les « ethical hackers » à obtenir un meilleur rendement lors d’un test d’intrusion?
Il expliquera le sujet en détails, et ensemble, nous verrons de quelles façons les développeurs d’applications peuvent exploiter le savoir-faire des « pentesters », et comment nous pouvons faire en sorte qu’une application Web soit protégée.
Biographie :
Mario Contestabile est reconnu comme l’un des experts en sécurité les plus réputés au Canada. Son expertise, construire et protéger votre plateforme applicative. Ancien développeur C++ et Java, Mario partage ses nombreuses connaissances en « ethical hacking » et en développement de codes sécurisé.
 
WHEN
Tuesday, 14 June 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Comment protéger les applications mobiles? ==

[[Image:Avril2016-OWASPMtl.png | Comment protéger les applications mobiles? ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles ]] [https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles See the slides / Voir la présentation]
 
Dans le cadre des Midis Conférence à l'Espace Desjardins, l'équipe OWASP Montréal vous invite à assister à une présentation sur les vulnérabilités les plus communes associées aux appareils mobiles.
Marie-Claire Willig détaillera entre autres comment stocker de façon sécuritaire les données de l’application mobile ainsi que protéger l’application contre des attaques externes. Des outils simples vous seront dévoilés pour détecter ces vulnérabilités.
Marie-Claire est une professionnelle d'expérience en sécurité appliquée.
Une grande partie de son intérêt professionnel réside actuellement dans un domaine assez niche, soit la revue de code sécuritaire, un fondement important de tout cycle de développement sécuritaire en entreprise.
Au sein de l'équipe de sécurité technologique Desjardins, elle est, en autre, responsable de former les développeurs (Java et .NET principalement) afin de les sensibiliser aux meilleures pratiques de développement sécuritaire.
Également, elle est une professionnelle des tests d'intrusion sur les applications web, les applications mobiles ainsi que l'infrastructure réseau.
Bienvenue à tous
 
WHEN
Wednesday, 20 April 2016 from 12:15 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ==

[[Image:Mars2016-OWASPMtl.jpg | NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/YQtvltQYs7Y]] [https://youtu.be/YQtvltQYs7Y Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
OWASP Montréal est fier d’inviter au Midi Conférence de mars, NorthSec est le plus gros événement de sécurité appliquée au Canada qui comprend deux jours de formation, deux jours de conférences ainsi qu’une compétition du genre « capture the flag » (CTF) de trois jours.
Gabriel Tremblay, Benoit Guerette, Pierre-David Oriol et Laurent Desaulniers viendront vous parler de cet organisme sans but lucratif dynamique qui est géré par une équipe de bénévoles passionnés qui donnent à chaque année leur énergie et leur temps pour soutenir la communauté de la sécurité de l’information.
Le volet compétition, l’épreuve maîtresse, est présentée sous forme d’un scénario qui rend cohérent une centaine de défis techniques. Les équipes de participants attaquent l’infrastructure de compétition pour soutirer des drapeaux (flags) à travers un ensemble de vulnérabilités présentes comme de l’injection SQL, des XSS ou encore l’exploitation d’exécutables sur systèmes embarqués. Quelques exemples de défis des années passées seront également présentés.
Le volet conférence, qui est à sa 2ème année, met de l’avant plusieurs présentations techniques touchant la sécurité applicative mais aussi l’éthique et leurs impacts sociaux. Certaines présentations confirmées seront dévoilés.
Le tout nouveau volet formation propose deux formations en sécurité applicative de calibre international (anglais) : “Advanced Web Security Testing with Burp Pro” et “Modern Object-Oriented Malware Reverse Engineering”.
Venez aussi, découvrir comment l'équipe est partie d'une idée en 2012 pour se rendre à un évènement d'envergure, qui rassemblera plus de 600 professionnels, étudiants et autres passionnés de sécurité appliquée lors de la 4ème édition qui aura lieu du 17 au 22 mai 2016 au Marché Bonsecours.
Finalement, la mission, la vision ainsi que les activités sociales de la semaine de NorthSec sont aussi au menu de cette présentation qui sera suivie d’une période de questions.

Gabriel Tremblay, Delve Labs, Président
Benoit Guerette, Desjardins, VP Finances

Pierre-David Oriol, Delve Labs, VP Conférence
Laurent Desaulniers, Bell Canada, Artisant de drapeaux
 
WHEN
Wednesday, 23 March 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative et l'hameçonnage - February 24th ==

[[Image:Fevrier2016-OWASPMtl.jpg | La sécurité applicative et l'hameçonnage ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/1RYlOiIENjQ]] [https://youtu.be/1RYlOiIENjQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 

De nos jours, une des méthodes les plus efficaces pour contourner les périmètres de sécurité externes est l'hameçonnage conjointement avec l’abus de certaines technologies Web.

Dans le cadre ses activités, OWASP Montréal est heureux d'inviter d'accueillir, l'équipe OKIOK qui présentera les impacts liés à ce type d'attaque, tel que vu et expérimenté en entreprise ainsi que les plans d'action pour traiter ces risques. La présentation abordera aussi bien la sécurité web et applicatives, des systèmes informatiques ainsi que de la sécurité physique de centres de données.

Capture d'informations sensibles par imitations de portails Web ;
Authentification Web par 2-facteurs ;
Injection SMTP dans des formulaires Web ;
Attaque de type “Drive-by-download”;
Prise de contrôle à distance à travers des flux HTTP;
Attaque de CSRF à partir de courriels ;
Attaque d'hameçonnage basée sur des achats par Internet (ex : PayPal).
 
When
Wednesday, 24 February 2016 from 12:00 PM to 1:15 PM (EST) - Add to Calendar
Where
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest Montreal, Quebec CA

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Internet of {Things, Threats} - January 20th ==

[[Image:Janvier2016-OWASPMtl-R.png | Internet of {Things, Threats} ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html ]] [http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html See the slides / Voir la présentation]
 
De plus en plus de périphériques se retrouvent connectés sur Internet. Sous la bannière "Internet of Things" (IoT) ces équipements, que ce soit une pompe à insuline ou un système de caméra de sécurité, tournent généralement sous un système GNU/Linux embarqué d'architecture MIPS ou ARM. La difficulté de mettre à jour ces équipements ainsi que le peu d'effort mis dans la sécurité des systèmes ou la sécurité applicative en font des cibles de choix. Ces derniers mois, nous avons analysé plusieurs logiciels malveillants ciblant ces architectures. Que ce soit par l'exploitation d'une vulnérabilité (Shellshock) ou encore un défaut de configuration, ces systèmes exposés sur Internet peuvent être compromis.

Notre présentation couvrira quelques une de ces analyses:

* Linux/Moose, un malware se propageant automatiquement qui fraude les réseaux sociaux (par exemple Facebook, Twitter et YouTube)
* LizardSquad et acteurs étrangers qui utilisent des systèmes embarqués compromis pour réaliser des dénis de service distribué (DDoS)
* Win32/RBrute est un logiciel malveillant qui tente de changer les paramètres de routeurs dans le but de faire du "DNS poisoning". Il a été distribué par le populaire botnet Sality.
* Un kit d'exploits qui utilise seulement le navigateur de leur victime avec le même objectif, c'est-à-dire faire du "DNS poisoning".

Enfin, des conseils seront proposés à l'audience pour l'aider à se protéger de ces menaces.

'''Thomas Dupuy''' (twitter: @nyx__o)

Thomas est chercheur en logiciel malveillant chez ESET Canada Recherche. Bon vivant, Thomas déjeune en "reversant" des binaires, contribue à quelques projets open source durant le diner (yara, yara rules, pefile, APTnotes) et la nuit participe à des "Hacking Games" (Capture The Flag). Curieux de nature Thomas analyse des malware aux architectures "exotiques".

'''Olivier Bilodeau''' (twitter: @obilodeau)

Olivier Bilodeau is the head of Cybersecurity Research at GoSecure a consultancy firm specializing in cybersecurity services for the public and private sector. With more than 10 years of infosec experience, Olivier worked on Unix servers at Bell Canada, managed a portion of Air Canada's network, wrote open source network access control software at Inverse and worked as a Malware Researcher at ESET. He likes to reverse engineer everything that crosses his path, participate in information security capture-the-flag competitions, hack open source code and brew beer. He has spoken at various conferences (Defcon, Botconf, VirusBulletin, Derbycon, ...), used to lecture on information security at ETS University in Montreal, drives the NorthSec Hacker Jeopardy and co-organizes the MontreHack capture-the-flag training initiative. His primary research interests include reverse-engineering tools, Linux and/or embedded malware and honeypots.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Survivre aux attaques DDOS applicatives ==

[[Image:Decembre2015-OWASPMtl.jpg | Survivre aux attaques DDOS applicatives ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
Survivre aux attaques DDOS (Distributed Denial-Of-Service) applicatives.
Cette conférence s'adresse aux professionnels et gestionnaires des TI.
Conférencier : Christian Shink, ing., CSSLP, ingénieur système chez Radware, manufacturier spécialisé dans la prévention des attaques DDOS. Il fut également consultant en sécurité applicative chez In Fidem.
Objectifs de la conférence:
Présenter les tendances actuelles en matière d'attaques DDOS applicatives.
Renseigner les participants sur les techniques et stratégies pour contrer ces attaques illustrées à partir de cas vécus.
Démystifier certains mythes en ce qui concernent les façons efficaces de protéger les applications contre des attaques DDOS.
Date : 16 décembre 2015
Heure : 11h45
La conférence débute à 12h00 et se termine à 12:55.
Un lunch sera servi.
Réservez maintenant!
1 CPE
 
WHEN
Wednesday, 16 December 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Sécurité des applications - Systèmes de contrôles industriels ==

[[Image:Novembre2015-OWASPMtl-R.png | Sécurité des applications - Systèmes de contrôles industriels ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/0eAZpyiQQ9A]] [https://youtu.be/0eAZpyiQQ9A Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

La sécurité des applications et les systèmes de contrôles industriels.
Cette conférence s'adresse aux professionnels et gestionnaires des TI desinfrastructures critiques qui exploitent ou gèrent des systèmes de contrôles industriels(SCI) et SCADA (surveillance et d'acquisition de données). 
Conférenciers : Robert Nastas, CSSA. Gestionnaire de projet et Youssef Jad, Architecte Cyber sécurité, ICS-CERT 
 
Objectifs de la conférence:
* Démystifier le domaine d'affaires.
* Renseigner les participants sur les bonnes pratiques de sécurité desapplications liées au secteur industriel.
* Proposer aux professionnels et gestionnaires des TI responsables dessystèmes SCADA et SCI des pistes de solutions aux enjeux de sécurité.
 
L'équipe OWASP Montréal vous remercie d'avoir assisté en grand nombre à la conférence, 'La sécurité des applications et les systèmes de contrôles industriels'.
 
WHEN
Wednesday, 18 November 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ==

[[Image:Septembre2015-OWASPMtl.jpg | Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert ]] [https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert See the slides / Voir la présentation]
 
Pour le lancement des activités corporatives de la saison 2015 - 2016, le 8 septembre prochain à 12:00, l'équipe OWASP Montréal convie les gestionnaires et artisants de la sécurité des TIC à venir entendre monsieur Éric Hébert qui nous présentera son interprétation des préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative. L'événement se tiendra au complexe Desjardins à la salle "Espace Desjardins".

''' ÉRIC G. HÉBERT, CISM, CISSP ''' 
Après plus de 20 ans passés dans le domaine de la sécurité des technologies de l’information, Éric se spécialise dans la mise en œuvre et la gestion d'équipes performantes, capables de relever les plus hauts défis de la cybersécurité moderne. 
Capable de dialoguer avec les hauts dirigeants, il sait traduire et vulgariser les enjeux techniques complexes tout en respectant la nature et l'appétence au risque de ses clients. Dynamique et pourvu d'une expérience couvrant presque toutes les sphères de la SI, il fonce dans le respect de la culture établie tout en implantant des solutions pragmatiques et efficaces. 
Depuis plus de 10 ans, il gravite principalement autour des entreprises du domaine financier (BNC, Desjardins, Fonds de solidarité FTQ...) et les accompagne dans la mise en place de solutions efficaces tenant compte à la fois des risques et des budgets.
En plus d’avoir fondé de nombreuses associations telles que le RéseauSécurIT et le RPSI, il maintient une présence régulière auprès des milieux associatifs professionnels et partage régulièrement ses expériences lors de conférences et d'entrevues avec divers médias.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

= Events / Évènements =

== Owasp Montreal at [https://nsec.io/ NorthSec 2017] ==

[[Image:NorthSec2017-5.jpg]]
[[Image:NorthSec2017-6.jpg]]

From Left to Right: Anne Gauthier, OWASP Montréal Chapter Leader (President) and Application Security Analyst at GoSecure, Hugo Genesse, OWASP Montréal Chapter Leader and Research Intern at PNF Software, Julien, OWASP Montréal Chapter Leader

== OWASP Montreal at [https://2017.appsec.eu/ AppSec] ==

[[Image:OWASPAppSecBelfast2017-7.jpg]]

OWASP Montreal and Ottawa Chapter Leaders at OWASP AppSec Belfast, UK #WomenInAppSec

== OWASP Montreal at [https://hackfest.ca/ HackFest 2016] ==

[[Image:Hackfest2016-r.jpg| HackFest |link=https://hackfest.ca/]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Louis Nadeau, OWASP Québec Chapter Leader and Manager, Product Security at Bentley Systems and Patrick Leclerc, OWASP Québec Chapter Leader and Information Security Advisor at La Capitale.

== OWASP Montreal at OWASP [https://2016.appsecusa.org/ AppSec USA 2016, Washington] ==
 
 
[[Image:OWASPMtl-AppSecUSA2016-Washington.jpg | OWASP Montreal at AppSec USA 2016, Washington]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016, Alexandre Hamelin President at Synlabs Consulting Inc., Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [https://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

== OWASP Montréal at [https://www.gosec.net GoSec] 2016 ==

[[Image:OWASP-GoSec2016-1r.jpg|OWASP Montreal at GoSec 2016]] [[Image:OWASP-GoSec2016-2r.jpg|OWASP Montreal at GoSec 2016]]
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Simon Lacasse, student and volunteer, and Laurent Desaulniers, Security Analyst at Bell Canada.

== OWASP Montréal at [https://www.nsec.io/ NorthSec] 2016 – Annual Applied Security Event ==

[[Image:Hackfest2016-OWASPMtl.jpg|OWASP Montreal at NorthSec 2016]]

@Photo : Simon Veilleux
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Olivier Arteau OWASP Montréal Chapter Leader and Conseiller chez Groupe Technologie Desjardins, Hugo Genesse, OWASP Montréal Chapter Leader and Vulnerability Research Intern at Wurldtech Security Technologies.

== OWASP Montréal at [https://hackfest.ca/en/ Hackfest] 2015 ==

[[Image:Hackfest2015-OWASPMtl-R.JPG | OWASP Montreal at Hackfest 2015]]

@Photo : Hackfest
 
 
From left to right : Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [http://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

[[Image:Video-link.png | Link to video | link=https://youtu.be/8U0qkEuUFy8]] [https://youtu.be/8U0qkEuUFy8 Watch the video / Regarder la vidéo]

== OWASP Montréal at [https://www.gosec.net/ GoSec] 2015 – The Annual Cybersecurity Conference presented by GoSecure, EY and ISACA. ==

[[Image:GoSec2015-OWASPMtl.jpg|OWASP Montreal at GoSec 2015]]

@Photo : Marius Popescu
 
 
From left to right : Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016. Benoît Guérette, Application Security Team Leader at Desjardins, VP Finance at NorthSec and OWASP Montreal Chapter Founder and Former Chapter Leader.

== See also / Voir aussi ==

OWASP Montréal recommends Montréhack. Learn and share knowledge on IT security by solving technical challenges. Third Monday of every month.

OWASP Montréal recommende Montréhack. Apprends et partages des connaissances sur la sécurité informatique en travaillant des problèmes appliqués. Chaque troisième lundi du mois.

[[File:Montrehack.png|Montréhack|link=http://montrehack.ca/|alt=Montréhack]]

= Archives 2007-2015 =
{{:Montreal chapter past meetings}}

== OWASP Montreal - February 3rd - Getting to Know the Software Assurance Marketplace (SWAMP) ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/p4_vjufcB6Q]] [https://youtu.be/p4_vjufcB6Q Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer]] [https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Pat Beyer
*'''ADDITIONAL PRESENTER:''' Abe Megahed
*'''ABSTRACT:''' The Software Assurance Marketplace (SWAMP) is an open facility that is designed, built, and operated by four research institutions. The SWAMP provides no-cost access to an array of open-source and commercial software analysis tools. This presentation will provide an overview and demo of the SWAMP, including our goals, intended audience, current capabilities, and future plans. We will cover our relationship with OWASP, incorporation of open-source software assurance tools, and status as an open-source project and resource available to the software community. Visit https://continuousassurance.org/ to learn more about us.
*'''BIO:''' Pat Beyer serves as the Product Manager for the Software Assurance Marketplace (SWAMP). With over 25 years of experience successfully managing multi-million dollar global projects, Beyer’s expertise extends to the IT, construction, and operations sectors, with a specialization in managing government contracts and grants. A gifted communicator, Beyer is a sought after speaker due to his ability to deliver complex information about technology products and services in a way that is easily understood. He is a decorated combat veteran of the Global War on Terror, the international military campaign that started following the 9/11 terrorist attacks on the United States. In 2004, he constructed and rehabilitated over 20 schools, clinics, and water treatment plants for the Iraqi people using local contractors. Beyer also holds a Bachelor of Science, a Masters in Business Administration, a Ph.D. in Organization and Management, and a Project Management Professional (PMP) certification.
*'''BIO:''' Abe Megahed is a web developer for the Software Assurance Marketplace. In previous lifetimes, he has been a computer graphics researcher, a game programmer, a programming language and compiler nerd, a dot com company founder, a creator of helicopter simulations, and a developer of 3D simulations for NASA astronaut crew training.
*'''WHEN:''' Tuesday, February 3rd 2015
*'''WHERE:''' Room PK-1140 - UQAM Pavillon Président-Kennedy, 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' https://owaspmtlswamp2015.eventbrite.ca
*'''WEBCAST:''' https://www.youtube.com/watch?v=p4_vjufcB6Q
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer

*'''ACADEMIC PARTNER:''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session: Getting to Know the Software Assurance Marketplace
20:00-... End of the meeting

[[Image:SWAMP-Logo-Final-Med.png|300px|link=https://continuousassurance.org/]]
[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

== OWASP Montréal - 4 décembre - Malware côté serveur — évolution, méthodes d’opération et forensic Linux ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/lo8WDl-WQ3E]] [https://youtu.be/lo8WDl-WQ3E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille]] [https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Marc-Etienne M.Léveillé
*'''RÉSUMÉ:''' Les logiciels malveillants ciblant les serveurs ont évolué. Ils sont utilisés par des groupes de cybercriminels organisés dans le but de faire du profit via des redirections web et l’envoie de pourriels. La présentation portera sur Opération Windigo, une opération malveillante qui a affecté plus de 25 000 serveurs dans le monde. Après une brève description des composantes de Windigo, nous verrons comment les opérateurs déploient leurs logiciels malveillants et surveille leur réseau de serveurs infectés. Des trucs pratiques pour faire de la forensics sur des systèmes Linux seront donnés. Cette présentation est une suite à la présentation "Linux/Cdorked: Server side malware", donnée par Olivier Bilodeau à OWASP Montréal en 2013. La présentation sera en français avec des diapositives en anglais (aka Montreal-style).
*'''BIO:''' Marc-Etienne est un chercheur en logiciel malveillant chez ESET depuis 2012. Il se spécialise dans les logiciels malveillants qui s’attaquent à des plateformes inhabituelles comme aux produits fruités et aux oiseaux nordiques. Dernièrement, il passe beaucoup de son temps à faire la rétro-ingénierie de logiciels malveillants sur des serveurs Linux et s’intéresse à leurs méthodes d’opération. Il adore participer de façon collégiale aux CTFs avec ses amis les CISSP Groupies et jouer de la clarinette. Il tweet très peu à @marc_etienne_.
*'''QUAND:''' 4 décembre 2014 à 18h00
*'''OÙ:''' Local M-1510, Polytechnique Montréal, 2900 Boulevard Edouard-Montpetit
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-4-decembre-malware-cote-serveur-evolution-methodes-doperation-et-forensic-linux-tickets-14635313617
*'''ÉQUIPE ACADÉMIQUE:''' Polyhack - http://polyhack.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Malware côté serveur
19:30-20:00 Période de questions

[[Image:Polyhacklogonoirpetit.png|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]

== OWASP Montréal - October 23rd - XXE : À l’assaut des analyseurs XML ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/MZviLB9-42E]] [https://youtu.be/MZviLB9-42E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau]] [https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Philippe Arteau
*'''RÉSUMÉ:''' L'utilisation d’XML est fortement répandue. Le format est utilisé pour des fichiers de configuration, pour des métadonnées, pour des documents textes, et bien plus. La prise en charge de fichiers XML n’est pas sans risque. La plupart des analyseurs XML ne sont pas sécuritaires par défaut pour le traitement de fichier externe. Cette présentation fera un survol des vulnérabilités de type « Xml eXternal Entity » et de l’étendue des risques pour différents langages de programmation. Plusieurs démonstrations sont prévues.
*'''BIO:''' Philippe est conseiller en sécurité applicative pour le Groupe Technologies Desjardins. Au quotidien, il s’occupe d’effectuer des tests d’intrusions et des revues de code. Il a découvert des vulnérabilités importantes dans plusieurs logiciels populaires incluant Google Chrome, DropBox, ESAPI et Jira.
*'''QUAND:''' 23 Octobre 2014 à 18h00
*'''OÙ:''' École de Technologie Supérieure Local A-3230, 1100 Rue Notre-Dame Ouest, Montréal, QC H3C 1K3
*'''INSCRIPTION:''' http://www.eventbrite.ca/e/owasp-montreal-23-octobre-xxe-a-lassaut-des-analyseurs-xml-tickets-13426881163
*'''PARTENAIRE ACADÉMIQUE:''' ETS - DCI http://dciets.com/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:45 Mot de bienvenue
18:45-19:45 Présentation principale - "À l’assaut des analyseurs XML" Philippe Arteau
19:45-20:00 Période de questions

[[Image:Blason_dci.png‎‎‎|150px|link=http://dciets.com/]]
[[Image:ETS-rouge-devise-impr-fond_transparent.png|150px|link=http://www.etsmtl.ca/]]

== OWASP Montreal - July 24th - Web security for DevOps: the glory is in the headers ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/6bp1NCLT-YQ]] [https://youtu.be/6bp1NCLT-YQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil]] [https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Jonathan Marcil
*'''ABSTRACT:''' DevOps is a buzzword which can be easily demystified: in essence it is a process which aims to combine the development and system administration process into one; Operations. As developers become responsible for server setup, security counter measures are evolving as well. The line between server configuration and application behaviour has been blurred. In this talk we will cover some HTTP headers in regards to security such as CORS, CSP and HSTS. We will demonstrate several forms of attack, and how they can (should) be countered.
*'''BIO:''' Jonathan is devoted to security and specialized in Web application security. His main occupation is consulting in Web security, but deep down he is a developer with a agnostic vision of programming languages. He has a diploma in Software Engineering from Ecole de Technologie Superieure and more than 10 years of experience in Information Technology and Security.
*'''WHEN:''' At noon on July 24th 2014
*'''WHERE:''' 75 Queen Street, office 3100, Montreal, QC H3C 2N6
*'''REGISTRATION:''' You can join us on site for a pizza slice but this is mainly an online event. Contact jonathan.marcil@owasp.org.
*'''WEBCAST:''' https://www.youtube.com/watch?v=6bp1NCLT-YQ
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil
*'''EVENT SPONSOR:''' Pheromone http://www.pheromone.ca/
*'''PROGRAM:'''

12:00-12:10 Welcome and quick OWASP introduction
12:10-13:10 Main presentation - "Web security for DevOps: the glory is in the headers" Jonathan Marcil
13:10-... Open discussion and questions

[[Image:Logo-phero.gif‎|link=http://www.pheromone.ca/]]

== OWASP Montreal - June 18th - Gaps in the Clouds ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz]] [https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Robert Fritz
*'''ABSTRACT:''' Cloud technology offers agility and scaling, and a chance to break away from legacy IT choices. Unfortunately, skipping traditional IT activities often results in poorly patched systems, out of date firewalls, and overprovisioned entitlements wielded by admins whose “day job” is development. Boundaries of accountability and responsibility amongst cloud providers and consumers are confusing, vague, and shift, making security difficult to manage. In such an environment, a “BP-spill” event, where cost wins over safely safety, is likely. This talk will dive down into the cracks between the layers of cloud, and share some of the exciting dirt we have seen and expect to see in coming years.”
*'''BIO:''' Robert Fritz has been practicing security his entire career. Rob started as an Air Force lieutenant at Langley AFB and later at the Pentagon in Washington DC, building and managing classified networks. Finding he was getting too far from technology after a brief stint flying, he left the military to get back to the tech, and built security tools for HP in their HP-Unix lab. Over time he found himself in more and more security design discussions, so co-authored HP’s Commercial Application Threat Analysis Methodology, building an internal consulting practice at HP. This quantitative approach, led to two pending patents, an external-facing consulting practice, and his contributions to NIST IR-7502, the Common Configuration Scoring System (CVSS follow-on). He is the former lead editor for the Center for Internet Security’s HP-UX Benchmark, and current lead for the Android Benchmark. Robert now works for Morgan Stanley as global head of the Strategic Consulting team in the Security Architecture group, and leads the team’s cloud and social-media security practices.
*'''WHEN:''' June 18th 2014
*'''WHERE:''' 700 Rue Wellington, Floor 2, Montreal, QC H3C 3S4
*'''REGISTRATION:''' http://owaspmtl18junems.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz
*'''EVENT SPONSOR:''' Morgan Stanley http://www.morganstanley.com/
*'''PROGRAM:'''

18:00-18:30 Networking and Morgan Stanley Hosted Pizza and Soft Drinks
18:30-18:45 OWASP Chapter & Morgan Stanley Welcome
18:45-19:45 Main presentation - "Gaps in the Clouds" Robert Fritz
19:45-20:00 Open discussion and questions
20:00-... Optional, informal networking at Aziatic - 626 rue Marguerite-d'Youville, Montréal, QC H3C 1W7

[[Image:Morgan_Stanley_Historical_Logo.png|link=http://www.morganstanley.com/]]

== OWASP Montréal - May 26th - Récapitulatif des challenges NorthSec ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/P8_V3RI1Ru4]] [https://youtu.be/P8_V3RI1Ru4 Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''PRÉSENTATEUR PRINCIPAL:''' Laurent Desaulniers
*'''RÉSUMÉ:''' Solutions de la compétition en sécurité NorthSec 2014 sur les sujets de XXE + SSRF, WAF Bypass, Xpath Injection, DOM Injection, HTTP Only Flag bypass et contournement de captchas. Une bonne façon d'apprendre sur ces failles que vous étiez ou non un participant de la compétition.
*'''MESSAGE DU PRÉSENTATEUR:''' Vous voyez Rao dans votre soupe? Vous voulez une solution pour un XSS avec des cookies http only? Les captchas illisibles sont un problème? Assistez à la présentation de l'OWASP!
*'''BIO:''' Laurent Desaulniers est un passionné de sécurité informatique. Il a présenté au Hackfest, au colloque RSI, à OWASP et est challenge designer à NorthSec. M. Desaulniers détient les certifications CISSP, CISM, CISA et OSCP.
*'''QUAND:''' 26 mai à 18h00
*'''OÙ:''' Local PK-1140 - Pavillon Président-Kennedy 201, Avenue du Président-Kennedy, J2X 3Y7
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-26-mai-recapitulatif-des-challenges-northsec-tickets-11724413035
*'''WEBCAST:''' https://www.youtube.com/watch?v=P8_V3RI1Ru4
*'''ÉQUIPE ACADÉMIQUE''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Récapitulatif des challenges NorthSec
19:30-20:00 Période de questions

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== Networking with infosec communities - April 21st ==

[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''RÉSUMÉ:''' En collaboration avec Montréhack, mtlsec et NorthSec, nous organisons une soirée réseautage dans un pub du centre-ville. Du plaisir garanti avec les membres de plusieurs communautés infosec de Montréal!

*'''ABSTRACT:''' In collaboration with Montréhack, mtlsec and NorthSec, we are organizing a networking evening in a pub downtown. Fun guaranteed with the other security communities in Montreal!

*'''QUAND:''' 21 Avril 2014
*'''WHEN:''' April 21st 2014

*'''OÙ/WHERE:''' BENELUX - Brasserie Artisanale 245 Sherbrooke St W Montreal, QC H2X 1X7

*'''INSCRIPTION/REGISTRATION:''' https://www.eventbrite.ca/e/montrehack-avril-april-northsec-pre-party-tickets-11232307133

*'''PARTENAIRES/PARTNERS:''' Montréhack http://montrehack.ca/ - mtlsec http://blog.mtlsec.com/ - NorthSec https://www.nsec.io/
*'''PROGRAMME:'''
18:00-21:00 Networking
21:00-23:59 Remember to drink responsibly!

== OWASP Montréal - March 27th - Panel Compétition en sécurité NorthSec ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

'''Présentation sous forme de panel - venez poser vos questions!'''

*'''RÉSUMÉ:''' Les compétitions de type Capture the Flag (CTF) sont un moyen pour les professionnels et amateurs de sécurité informatique de mettre leurs talents à l'épreuve. NorthSec est une compétition Montréalaise annuelle en sécurité appliquée, qui aura lieu cette année au Marché Bonsecours de Montréal le 25, 26 et 27 avril prochain. Elle vise à augmenter le niveau technique des professionnels de la sécurité au Québec, ainsi que de permettre à ses acteurs les plus talentueux de se démarquer.
*'''DÉTAILS:''' Le panel de jeudi, sous la forme d'un échange convivial entre les organisateurs de l'évènement et de ses participants, abordera des thèmes variés comme l'écriture de bon défis, l'infrastructure, la logistique, les inattendus, un bilan de 2013 et tout ça en passant par de savoureuses annecdotes (on l'espère). Venez en grand nombre toucher à ces légendes de la scène infosec montréalaise!
*'''PANÉLISTES:''' Gabriel Tremblay, François Proulx, Laurent Desaulniers, Stéphane Graber
*'''ANIMATEUR:''' Olivier Bilodeau
*'''QUAND:''' 27 mars 2014
*'''OÙ:''' Salle M-1510, École Polytechnique de Montréal, 2500 chemin de Polytechnique, Montréal (Québec) H3T 1J4, pavillon Lassonde
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-27-mars-panel-competition-en-securite-northsec-tickets-10918436337
*'''ÉQUIPE ACADÉMIQUE:''' Polytechnique - Polyhack http://polyhack.org/
*'''PROGRAMME:'''
18:00-18:25 Networking
18:25-18:30 Mot de bienvenue par le leader du chapitre (Jonathan Marcil)
18:30-20:00 Présentation principale : Panel NorthSsec

[[Image:Polyhack.png‎‎|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== OWASP Montreal - February 25th - Proven Strategies for Web Application Security ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane]] [https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Justin C. Klein Keane
*'''ABSTRACT:''' The rising dominance of the web as an application delivery platform has focused attacker attention squarely on the security of dynamic web applications. Application security is a complex, and shifting, field. Learn about tested and successful techniques to build safer applications, find flaws before they become vulnerabilities, and deploy applications that can detect, and resist attack.
*'''BIO:''' Justin C. Klein Keane is a security engineer and chapter leaders of OWASP in Philadelphia. For over a decade Justin has worked as a trainer, coder, and exploit developer. Justin is currently writing a book for NoStarch Press on hacking, speaks regularly at conferences, holds a masters degree in information technology from the University of Pennsylvania and is credited with hundreds of application vulnerability discoveries.
*'''WHEN:''' February 25th 2014
*'''WHERE:''' Ecole de technologie superieure, 1100 Notre-Dame Street West, Montreal, Room: A-1150
*'''REGISTRATION:''' http://owaspmtljan2014.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane
*'''ACADEMIC PARTNER:''' ETS - DCI http://dciets.com/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session and open discussion: Proven Strategies for Web Application Security
20:00-... End of the meeting in a pub

[[Image:Dciets.png‎‎‎|100px|link=http://dciets.com/]]
[[Image:Logo_ets.png|link=http://www.etsmtl.ca/]]

== OWASP Montreal - January 28th - Latest trends in Mobile Security ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/8qPyKj4FKgY]] [https://youtu.be/8qPyKj4FKgY Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx]] [https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Francois Proulx
*'''ABSTRACT:''' Last AppSecUSA 2013 had a great line up of talks, especially regarding mobile applications. This session will be covering all the hottest presentations about mobile security by doing an overview from what see saw at AppSecUSA, all with some slides and snippets of presentations that was recorded at the event. Discussion will be encouraged within the audience as this will be more a dynamic event than a regular talk.
*'''BIO:''' François Proulx is a senior mobile application developer who has worked on dozens of iOS applications since the very beginning of the Apple iOS platform. Over the past few years he has switched his focus to security. He spends a lot of his free time participating in Capture the Flag events (CTFs) and organizing the NorthSec security competition.
*'''WHEN:''' January 28th 2014
*'''WHERE:''' UQAM Room PK-1705, Pavillon Président-Kennedy (the big boat at Place des Arts) - 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' http://owaspmtl-mobilesecurity.eventbrite.ca
*'''SLIDES/CONTENT:''' [http://www.youtube.com/playlist?list=PLQtB2ug5xmvaQ9jeRWV53-F_T555GQfhW YouTube playlist]
*'''SPONSOR:''' Academic partner AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan M.)
18:30-20:00 Main session and open discussion: Mobile Security
20:00-... End of the meeting in a pub

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

==== Presentations For Download ====

[http://www.owasp.org/images/0/0d/20100209mstechdaysowaspasvssgiv01-12657916463819-phpapp02.ppt OWASP ASVS] by Sebastien Gioria (09/03/2010)

[http://www.ph-il.ca/slides/afup__authetification_forte.pdf Authentification Forte] by Philippe Gamache (02/02/2010)

[http://www.opensamm.org/downloads/OpenSAMM-1.0.ppt Software Assurance Maturity Model (OpenSAMM)] by Pravir Chandra (03/11/2009)

[http://www.owasp.org/images/d/de/Owasp-montreal-sept-17h-2009-justin-foster.pdf Crossing the Border – Javascript Exploits] by Justin Foster (17/09/2009)

[http://www.owasp.org/images/c/c2/ALaughRIAt.pdf A Laugh RIAt] by Rafal Los (07/04/2009)

[https://www.owasp.org/images/e/eb/OWASP-Montreal-24022009-RobLabbe.pptx Microsoft Security Development Lifecycle for IT] by Rob Labbe (24/02/2009)

[https://www.owasp.org/images/3/39/OWASP-Montreal-24022009-EN.pdf OWASP Goal and Top Ten 2007 for Managers - French version] by Benoit Guerette (24/02/2009)

Newer presentations are available on [https://speakerdeck.com/owaspmontreal Speaker Deck]

[[Image:Circle_owasp_logo_nowhitebackground.png|200px]]

= OWASP Foundation / Mission OWASP =
OWASP Foundation ([https://docs.google.com/a/owasp.org/presentation/d/10wi1EWFCPZwCpkB6qZaBNN8mR2XfQs8sLxcj9SCsP6c/edit?usp=sharing Overview Slides]) is a professional association of [[Membership | global members]] and is open to anyone interested in learning more about software security. Local chapters are run independently and guided by the [[Chapter_Leader_Handbook]]. As a [[About_OWASP | 501(c)(3)]] non-profit professional association your support and sponsorship of any meeting venue and/or refreshments is tax-deductible. Financial contributions should only be made online using the authorized online chapter donation button. To be a SPEAKER at ANY OWASP Chapter in the world simply review the [[Speaker_Agreement | speaker agreement]] and then contact the local chapter leader with details of what OWASP PROJECT, independent research or related software security topic you would like to present on.

La fondation OWASP est une [https://www.owasp.org/index.php/Membership association de professionnels] et elle est ouverte à tout intervenant intéressé à en apprendre davantage sur la sécurité applicative. Les chapitres locaux (dont celui de Montréal) sont gérés de façon indépendante et selon un [https://www.owasp.org/index.php/Chapter_Leader_Handbook manuel de directives à respecter].
Toute contribution financière au chapitre peut être faite en ligne en utilisant l’icône prévu à cet effet. Pour être conférencier au sein de n’importe quel chapitre à l’échelle mondiale, vous n’avez qu’à prendre connaissance du document [https://www.owasp.org/index.php/Speaker_Agreement "entente avec les conférenciers – speaker agreement"] et à joindre le responsable du chapitre Montréal avec un descriptif du sujet que vous aimeriez aborder et s’il est relié à un projet OWASP, à de la recherche indépendante ou encore le sujet en particulier, concernant la sécurité applicative, que vous souhaitez aborder.

== [[Image:Circle_owasp_logo_nowhitebackground.png|128px]] Montreal OWASP Team ==

Scope of the team is to discuss and plan local activities and meetings

=== Chapter Leaders ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique

==== Chapter leader history ====
*2008-2010 - Benoit Guerette, founder and chapter leader
*2011-2012 - Philippe Gamache, chapter leader (vice chapter-leader since 2010)
*2013-2015 - Jonathan Marcil, chapter leader
*2016-... - Anne Gauthier, Michel Bourque, Marius Popescu, Hugo Genesse, Olivier Arteau

==== Old board members ====
*Philippe Pépos Petitclerc
*Michael Robillard
*Benoit Guerette (logistics 2015)
*Alexandre Rimthong
*Mathieu Binette
*Sean Coates
*Jean-Marc Robert
*Philippe Blondin
*Benoit Guerette (founder)
*Laurent Desaulniers
 

<headertabs></headertabs>
__NOTOC__
[[Category:Canada]]

Montréal

2017-10-10T19:24:10Z

Svieg: /* Cas d'attaques vécus : Internet des objets (IOT) - Attaques DDoS */

== Welcome & Bienvenue to the OWASP Montréal chapter ==
 
[[Image:OWASP-Montreal-Logo.png|Logo OWASP Montréal]]

The OWASP Foundation was established in 2001 as an open community and software security resource. Since then, OWASP has grown to be globally recognized as a credible source for application security standards. 
OWASP is an open community dedicated to enabling organizations to conceive, develop, acquire, operate, and maintain applications that can be trusted. All of the OWASP tools, documents, forums, and chapters are free and open to anyone interested in improving application security. We advocate approaching application security as a people, process, and technology problem because the most effective approaches to application security include improvements in all of these areas. 
OWASP is open to anyone. Anyone can attend OWASP's vendor agnostic local chapter meetings, participate in regional and global conferences, and contribute to the many OWASP projects. And anyone can start a new project, form a new chapter, or lend their expertise to help an OWASP Global Committee. 
On parle français aussi ! Le chapitre de Montréal organise plusieurs activités gratuites afin de partager les connaissances en sécurité applicative avec la communauté de développeurs et gestionnaires. Suivez-nous sur les réseaux sociaux pour connaître les dates des conférences du midi et des workshops ! 

Top documentation from OWASP includes:

* [https://www.owasp.org/index.php/Top_10_2013-Top_10 OWASP TOP 10 : The Ten Most Critical Web Application Security Risks]

* [https://www.owasp.org/images/3/33/OWASP_Application_Security_Verification_Standard_3.0.1.pdf OWASP ASVS : Application Security Verification Standard]

* [https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf OWASP Testing Guide : Penetration Testing Framework]

* [https://www.owasp.org/images/7/78/OWASP_AlphaRelease_CodeReviewGuide2.0.pdf OWASP Code Review Guide : Source Code Analysis Framework]

* [https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series OWASP Cheat Sheet : Best practices guidelines for developers]

* [https://www.owasp.org OWASP Global]

=== Chapter Leaders / Responsables du chapitre ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique
 
Special thanks to / Remerciements :
* Simon Lacasse, Web content / Site internet

== Reach our chapter / Joindre le chapitre ==

Follow OWASP's Montreal chapter's activities through social medias, register to events, watch the previous presentations and more!

Suivez les activités du chapitre OWASP Montréal via les réseaux sociaux, inscrivez-vous aux activités, visualisez les anciennes présentations et plus encore!

 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Click here] to join the local chapter mailing list.
 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Inscrivez-vous ici] à la liste de courriels du chapitre afin de recevoir les dernières nouvelles!

Want to be part of the community ?
Devenez membre de notre communauté !
[https://www.owasp.org/index.php/Membership_Map Click here / Cliquer ici]

[[Image:Eb_press_little.gif‎|OWASP Montreal Eventbrite|link=http://owaspmontreal.eventbrite.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Yt-brand-standard-logo-630px.png‎|128px|YouTube OWASP Montreal Channel|link=http://www.youtube.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Speakerdecklogo.png‎|Slides of OWASP Montreal on SpeakerDeck |link=https://speakerdeck.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]

 
[[Image:Twitter-bird-cropped-onwhite.png|@owaspmontreal on Twitter|link=https://twitter.com/owaspmontreal]]
[[Image:FacebookSquareLogo.png|OWASP Montreal Facebook page|link=https://www.facebook.com/owasp.montreal]]
[[Image:LinkedinSquareLogo.png|OWASP Montreal on LinkedIn|link=https://www.linkedin.com/groups/1379007/profile]]

[[Image:Spacer-horiz.gif‎]]

== Sponsorship & Membership / Commandite & Adhésion ==

[[Image:Btn_donate_SM.gif|link=http://www.regonline.com/donation_1044369]] to this chapter or become a local chapter supporter.

Or consider the value of [[Membership | Individual, Corporate, or Academic Supporter membership]]. Ready to become a member? [[Image:Join_Now_BlueIcon.JPG|75px|link=https://myowasp.force.com/]]

[http://www.regonline.com/donation_1044369 Donnez] au chapitre ou devenez commanditaire du chapitre local!

[https://myowasp.force.com/ Devenez membre !] Pour en savoir davantage sur les avantages d’une adhésion individuelle, corporative ou en tant qu’institution d’enseignement, [https://www.owasp.org/index.php/Membership cliquez ici].

[[Category:OWASP Chapter]]

== Chapter Supporters / Commanditaires du chapitre ==

[https://www.owasp.org/images/9/91/OWASP_Membership_Flyer_Montreal.png All details available here / Pour tous les détails] [[File:Chapter-supporter-owasp-montreal.png|200px|link=]]

=== Platinum / Platine ===

[[Image:Gosecure-2.png|GoSecure|link=http://www.gosecure.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[File:Desjardins2-400x400.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 
 

=== Gold / Or ===

[[Image:PM_SCADA_Logo_Gris_Cybersecurite_FR.png|PM SCADA|link=http://pmscada.ca/en/]]

 
 
 

= Lunch & Learn / Workshops 2017 =

== Pourquoi un hacker peut-il contourner les mesures et solutions de sécurité... ==

[[Image:Hamilton-septembre-2017-1.JPG ]]
[[Image:Hamilton-septembre-2017-2.JPG ]]
 
WHEN
September 18th 2017
WHERE
Espace Desjardins

OWASP dans le cadre des Midis conférence est heureux de lancer la saison 2017-2018 en accueillant, M. Charles F. Hamilton.
 
Notre conférencier viendra brosser un tableau des différents éléments qui expliquent pourquoi les mesures et les solutions de sécurité en générales qui ont la fonction de protéger les données, les applications, les réseaux ou les équipements critiques sont si souvent contournées ou carrément inefficaces contre les attaques ciblées.
 
Biographie : 
Charles F. Hamilton est un consultant en sécurité et membre d’équipe « Red Team » de calibre international. Il se spécialise en test d’intrusion et la recherche de solution proactive de sécurité.
 

== Cas d'attaques vécus : Internet des objets (IOT) - Attaques DDoS ==

[[Image:Cas_dattaques_vecus-r.jpg ]]
 
WHEN
June 19th 2017
WHERE
Espace Desjardins

Pour clore la saison printanière 2017, OWASP Montréal est fier d'accueillir au Midi Conférence, M. Christian Shink qui fera un survol de cas d'attaques vécus, des techniques utilisées et des acteurs impliqués dans ces attaques. 
L'incorporation généralisée de dispositifs «intelligents» dans les objets de la vie de tous les jours modifie la façon dont les gens et les machines interagissent les uns avec les autres. Cette incorporation offre une promesse d'une meilleure qualité de vie, une meilleure efficacité. En contrepartie, leur déploiement introduit également des vulnérabilités à la fois dans l'infrastructure qu'ils soutiennent et sur lesquels ils comptent, ainsi que dans les processus qu'ils guident. Que ce soit au niveau applicatif ou des infrastructures, ces vulnérabilités sont exploitées par des acteurs malicieux pour générer des attaques de déni de service massives et sophistiquées. Nous tenterons également de tirer des leçons afin de tenter de minimiser ce type d'attaques dans le futur. 
Christian Shink possède plus d’une dizaine d’années d’expérience en développement et sécurité d’applications. Avant de se joindre à Radware, Christian était à l’emploi d'une firme conseil où il a conseillé de nombreuses entreprises, dont de grandes banques américaines et Casinos. Il détient une certification CSSLP et est membre de l'ordre des ingénieurs du Québec.
 

== HOW TO! Threat Modeling Toolkit ==

[[Image:OWASPMtl-JonathanMarcil-1.jpg]]
[[Image:OWASPMtl-JonathanMarcil-3.jpg]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit]] [https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit See the slides / Voir la présentation]
 
WHEN
May 23rd, 2017
WHERE
Shopify Montreal

Threat Modeling is a great way to analyze security early in software development by structuring possible attacks, bad actors and countermeasures over a broad view of the targeted system. This talk will describe basic components of a threat model and how to use them effectively.
Threat Intelligence is where you gather knowledge about the environment and business assets to determine what are the actual threats. But how do you reconcile that with the current architecture in a useful manner?
The toolkit presented in this talk will enable you to systematically structure related information using graphical notations such as flow diagram and attack tree. In case you are wondering where to start in your organization, a quick lightweight risk rating methodology will also be proposed.
And in the end, you’ll see how we can all tie those together and get threat modeling to a point where it’s an efficient application security activity for communication. Doing this will prevent security reviews from missing important things even when chaos prevails during the realization of a project.
Modeling concepts will be demonstrated with an actual IoT device used as example.
Presentation will be done in english.

Speaker Bio:
Jonathan Marcil is the former chapter leader of OWASP Montreal and is now Senior Application Security Engineer at Blizzard Entertainment in beautiful Orange County, California.
Jonathan has been involved with OWASP for many years and has been behind the Media Project which gathered and promoted AppSec conferences video content in the official OWASP YouTube channel. He was also part of NorthSec CTF event as a challenge designer specialized in Web and imaginative contraptions.
He is passionate about Application Security and enjoys architecture analysis, code review, threat modeling and debunking security tools. He holds a diploma in Software Engineering from ÉTS Montreal and has more than 15 years of experience in Information Technology and Security.

Merci à nos précieux commanditaires !

== Security Testing: Unlocking the Benefits of a Hybrid Approach ==
[[Image:Security testing hybrid approach-r 3.jpg ]]
[[Image:Security testing hybrid approach-r 4.jpg ]]
 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/hybrid-approach-to-security-testing]] [https://speakerdeck.com/owaspmontreal/hybrid-approach-to-security-testing See the slides / Voir la présentation]
 
WHEN
April 24th, 2017
WHERE
Espace Desjardins

As part of their defensive efforts, businesses commonly commission cybersecurity assessments of their web applications; with the aim of identifying any weaknesses in the security controls and ensuring a continually strong cybersecurity posture of their systems.

The classical approach of either secure code review (white box) or penetration testing (black box) assessment have proven to be effective in securing of web applications. The new trend, however, is moving towards the combination of these two approaches; expert consensus is rapidly recognizing the advantages of using a hybrid approach. When applied properly, a hybrid approach can build on the strengths of both white and black box testing, while compensating for their individual shortcomings.

In this presentation, we will examine the details of secure code review and penetration testing, and run demos to contrast their respective strengths and weaknesses. We will also examine why a hybrid approach can produce more complete and relevant assessment results. To conclude, we will cover proven approaches, and practical techniques, on how you can start leveraging a hybrid approach to web application assessments today.

Anne Gauthier is an application security analyst at GoSecure. Anne is also the president of the Montreal Chapter of OWASP – the industry standard for web application security. With a penetration testing background, she specializes in secure code reviews and in helping companies to improve their software development lifecycle (SDLC) according to industry best practices. Anne is CSSLP, GWAPT and GSSP-JAVA certified. She obtained a Software Engineering bachelor’s degree from Ecole de Technologie Supérieure in Montréal and is now pursuing a Master of Engineering (MEng) degree in Information Systems Security at Concordia University. She is the author of the Project 201 Security blog.

Merci à nos précieux commanditaires !

== "HOW-TO" NIGHT ! Tout sur les CTFs (Capture The Flag) ==

[[Image:Howto_ctf.jpg]]
 
[[Image:Presentation-link.png | Slides | link=https://docs.google.com/presentation/d/1zEsCcX-Nvq8Nz0k-B1zHejCDNT2oGZx8oUBgMbvvMM0/edit#slide=id.p ]] [https://docs.google.com/presentation/d/1zEsCcX-Nvq8Nz0k-B1zHejCDNT2oGZx8oUBgMbvvMM0/edit#slide=id.p See the slides / Voir la présentation (Laurent Desaulniers)]
[[Image:Presentation-link.png | Slides | link=https://docs.google.com/presentation/d/1c1P1d2mKe767j1Y0V9cK6De5cpnK4I7GI-ORiodbg1A/edit#slide=id.p ]] [https://docs.google.com/presentation/d/1c1P1d2mKe767j1Y0V9cK6De5cpnK4I7GI-ORiodbg1A/edit#slide=id.p See the slides / Voir la présentation (Charles Hamilton)]
[[Image:Presentation-link.png | Slides | link=http://obilodeau.github.io/slides/2017-04-04_how-not-to-suck-at-ctfs/ ]] [http://obilodeau.github.io/slides/2017-04-04_how-not-to-suck-at-ctfs/ See the slides / Voir la présentation (Olivier Bilodeau)]
 
WHEN
April 4th, 2017
WHERE
Shopify

Cette nouvelle soirée "How-To" Night d'OWASP Montréal vise à présenter les CTFs (une compétition Capture The Flag) et aider les équipes à démarrer et à continuer à évoluer dans leurs pratique de la cyber sécurité pratique. L'objectif est d'outiller les participants en leur fournissant des ressources techniques et des contacts afin de les aider à progresser.

Les éléments discutés seront:

- Composition optimale d’une équipe : Fonctionnement d’une équipe de CTF et les principaux rôles (chef d’équipe, cryptographie, application web, rétro ingénierie et les causes perdues).

- Pourquoi faire des CTFs? Discussion sur les différents styles (jeopardy, attack/defense, etc.), quels sont les problèmes fréquemments rencontrés + plusieurs anecdotes intéressantes (et drôles).

- Trucs de Mr. Unikoder : Le créateur du fameux site ringzer0team, soit un des plus gros sites pour apprendre la résolution de problèmes de CTF (https://ringzer0team.com/) Apprenez des trucs du meilleur, sur comment débuter et interpréter un challenge web, binaire et crypto avec des trucs réels du métier.

Matériel requis :

Votre légendaire enthousiasme

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement.

Présentateurs :

Charles Hamilton, Senior Consultant chez Mandiant, FireEye, Inc.

Olivier Bilodeau, Cybersecurity Research Lead at GoSecure

Laurent Desaulniers, Senior Security Solution Specialist at Bell Canada

== NorthSec - Applied Security Event ==
[[Image:Nsec_2017_midi_conf.jpg]] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/northsec-applied-security-event]] [https://speakerdeck.com/owaspmontreal/northsec-applied-security-event See the slides / Voir la présentation]
 
WHEN
April 4th, 2017
WHERE
Espace Desjardins

NorthSec: La plus grande compétition et conférence en cyber sécurité au Canada

NorthSec est un organisme sans but lucratif qui organise une conférence et une compétition de sécurité de type "Capture-The-Flag" (CTF) et des formations. Avec plus de 400 participants présents sur le site pour la compétition, c’est la plus grande compétition du genre au monde.

La conférence, dans sa 3e année, attire des présentateurs internationaux avec du contenu technique exclusif. L’ajout des séances de travail (workshops) devrait plaire aux plus chevronnés des binaires.

Des formations de 3 jours sont offertes avant la conférence: "Advanced Web Application Security" par Philippe Arteau et "Malware and Memory Forensics" par Michael Ligh, co-auteur des livres "Malware Analyst Cookbook" et "The Art of Memory Forensics".

NorthSec est situé au Marché Bonsecours dans le Vieux-Port de Montréal au printemps du 15 au 21 mai 2017.

La présentation couvrira:

- Le plan pour 2017 
- Ce qui différencie NorthSec 
- Comment équilibrer une compétition pour les débutants et les experts 
- Comment bâtir une infrastructure basée sur les conteneurs qui gère 50 équipes dans quelques serveurs sans qu’ils ne se partagent de machines virtuelles 
- Comment faire du pain au levain à grande échelle 
- Présentation de quelques défis et solutions 

Les présentateurs:

- Gabriel Tremblay, Président, Delve Labs 
- Olivier Bilodeau, VP Formations, Co-fondateur MontréHack, GoSecure 
- Pierre-David Oriol, VP Conférences, Delve Labs 
- Benoit Guérette, VP Partenaires, Desjardins 
- Laurent Desaulniers, Tisserand de drapeaux, Bell Canada 

Merci à nos précieux commanditaires !

== Sécurité des applications : Les fondements ==
[[Image:Tanya.jpeg]] 

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/securite-des-applications-les-fondements]] [https://speakerdeck.com/owaspmontreal/securite-des-applications-les-fondements See the slides / Voir la présentation]
 
WHEN
March 20th, 2017
WHERE
Espace Desjardins

OWASP Montréal est fier d’accueillir au Midi Conférence du mois de mars, Mme Tanya Janca, Co-Leader du chapitre OWASP Ottawa et spécialiste de la sécurité applicative au sein du Gouvernement fédéral.

La conférence « Les fondements de la sécurité des applications » sera présentée en anglais.

Session Description : Everyone has heard about the problem; everyone is “getting hacked”. But what is the answer? From scanning your code with a vulnerability scanner to red teaming exercises, developer education programs and bug bounties, this talk will take the audience through all the possibilities of an extensive application security program, with a detailed explanation of each part.

Bio : Tanya Janca is an application security evangelist, a web application penetration tester and vulnerability assessor, a secure code reviewer, an ethical hacker, the Co-Leader of the OWASP Ottawa chapter, and has been developing software since the late 90’s. She has worn many hats and done many things, including; Custom Apps, Ethical Hacking, COTS, Incident Response, Enterprise Architect, Project and People Management, and even Tech Support. She is currently helping the Government of Canada secure their web applications.

Merci à notre commanditaire principal de cet événement: Ubitrak!

== WORKSHOP ! Server Side Template Injection (SSTI) ==

[[Image:Workshop-okiok-SSTI-r.jpg | WORKSHOP ! Server Side Template Injection (SSTI) ]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti]] [https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti See the slides / Voir la présentation]

WHEN
22 Février 2017
WHERE
Shopify Montréal

OWASP Montreal vous invite à un atelier portant sur la sécurité des applications web supportant les moteurs de template (Template Engine). Le principe de séparation entre la présentation du site (code HTML statique) et de son contenu dynamique facilite la création de documents HTML et la capacité à modifier l'apparence du site sans mélanger le traitement et le rendu de la page. L'utilisation de moteurs de template amène de nouveaux enjeux de sécurité. Les vulnérabilités de type Server Side Template Injection (SSTI) sont exploitables à travers les données (non fiables) fournies par l'utilisateur et conduisent à l'exécution de code arbitraire (RCE) sur le serveur hébergeant l'application web. 

Ce workshop a pour but d'introduire cette classe de vulnérabilité à travers différents cas d'implémentation (php, java, python).
Nous verrons comment identifier et exploiter ces vulnérabilités et de quelle manière un attaquant peut
s'y prendre pour exécuter du code arbitraire sur le serveur afin d'en prendre le contrôle. 

Niveau : Intermédiaire 
Matériel requis :
* Votre portable
* Votre distribution Linux/Unix de votre choix
* Votre proxy Web de votre choix

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.
Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.
Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement. 

Présentateur : Gérôme Dieu 
Gérôme Dieu cumule plus de 7 années d’expérience en technologies de l’information et en sécurité.
Il œuvre à titre de conseiller senior en sécurité de l’information au sein de la firme OKIOK. Ces dernières années, il a acquis une expertise dans le domaine de la sécurité des applications web aussi bien d'un point de vue offensif que défensif. En plus de réaliser des tests d’intrusion pour des clients internationaux, Gérôme s’implique dans la recherche et développement afin de maintenir à la fine pointe de la technologie les tests d'intrusion et d'analyse de vulnérabilités. 

Merci à Shopify d'héberger l'événement ! 
[[Image:Shopify Logo-r.png| Shopify | link=https://www.shopify.com/]]
== Le courriel en 2017 – risques et menaces pour tous ==

[[Image:Zero spam 2.jpg|Le courriel en 2017 – risques et menaces pour tous]]

[[Image:Video-link.png | Link to video | link=https://www.youtube.com/watch?v=HX2vcijcCWw ]] [https://www.youtube.com/watch?v=HX2vcijcCWw Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

WHEN
Le 23 janvier 2017 à midi
WHERE
Espace Desjardins

Monsieur Poellhuber nous brossera un tableau du phénomène grandissant du rançongiciels et de l'hameçonnage, personnification. 

- Par les années passées, la menace courriel se résumait principalement en un fort volume de contenu simplement indésirable. Aujourd’hui la menace a passablement évolué. Quels sont les véritables risques actuels associés au courriel ? Rançongiciels, hameçonnage, personnification. Cette conférence présentera les nouveaux défis de sécurité pour les organisations qui doivent composer avec des attaques de plus en plus sophistiquées et de plus en plus ciblées tout en protégeant leur réputation. Des exemples biens réels, drôles et moins drôles seront disséqués pour bien dessiner l’ampleur de l’enjeu. 

M. David Poellhuber, Chef de l’exploitation, ZEROSPAM Sécurité Inc 

Note biographique : 
Monsieur David Poellhuber oeuvre dans l’industrie de la sécurité informatique depuis quinze ans. Il a été conférencier dans plusieurs forums de sécurité au Canada et est maintenant reconnu comme une autorité en matière de sécurité du courriel. Il a fondé ZEROSPAM Sécurité en 2003, le premier service Québécois externalisé de sécurité du courriel infonuagique qui se distingue par sa convivialité, son efficacité et ses technologies de détection proactives. 
Audience : Généralistes et spécialistes de la sécurité des TI
 
Merci à Ubitrack pour le repas et à Desjardins d'héberger l'événement!

[[Image:Ubitrak-r2.jpg|Ubitrak|link=http://www.ubitrak.com/fr/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]

== Effective XSS Mitigation ==

[[Image:XSS mitigation.jpg | Effective XSS Mitigation ]]

[[Image:Presentation-link.png | Slides| link=http://slides.com/olivierarteau/xss-mitigation ]] [http://slides.com/olivierarteau/xss-mitigation See the slides / Voir la présentation]

WHEN
18 Janvier 2017
WHERE
Google Montréal

FRANÇAIS/ENGLISH 
La mitigation de XSS a été un sujet important au cours des dernières années. Les navigateurs ont implémenté, en autre, deux fonctionnalités pour mitiger leur impact : l'entête "XSS-Protection" et l'entête "Content-Security-Policy". Par contre, obtenir une mitigation contre les XSS efficace est souvent plus complexe que l'on pense. Cet atelier couvrira les deux entêtes. Il expliquera comme il est possible de contourner ces protections et ce qu'il est possible de faire pour se protéger. Des exercices de type "offensif" et "défensif" seront proposés.
Mitigation for XSS as been an important topic in the last few years. Browsers have implemented two main functionalities to help mitigate the impact of XSS : the "XSS-Protection" header and the "Content-Security-Policy" header. But, getting an effective XSS mitigation of those headers is trickier than it may seem. This workshop will cover both of those headers. It will explain how bypass of those protection work and what you can do about it. It will have both "defensive" exercises and "offensive" exercises.
Niveau : débutant/intermédiaire
 
Matériel requis :

Votre portable 

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Google pour l'événement.
 
Présentateur : Olivier Arteau
 
Olivier Arteau est un professionnel en sécurité informatique depuis quelques années et fait partie de l’équipe de test d’intrusion de Desjardins. Il est aussi un amateur de CTF qui a gagné à plusieurs reprises le CTF du NorthSec avec l’équipe HackToute et participe fréquemment à d’autres CTF avec l’équipe DCIETS.
 

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

= Lunch & Learn / Workshops 2015-2016 =

== WORKSHOP ! Top 10 OWASP - Unleash the threats ==

[[Image:Workshop-top10.jpg | WORKSHOP! Top 10 OWASP - Unleash the threats ]]

WHEN
30 novembre 2016 de 17h30 à 20h30
WHERE
Immunio @ WeWork

De nos jours, la sécurité applicative est essentielle dans l’écosystème des entreprises de toutes tailles. Les vecteurs d’attaques sont multiples, les vulnérabilités de sécurité dans les applications peuvent être désastreuses et les impacts d’un « Hack » peuvent être irréversibles pour l’entreprise; vols de données sensibles, perte de réputation, perte de $$$$$, etc.
L’objectif du workshop est de comprendre la base sur les vulnérabilités de sécurité dans les applications et les techniques d’exploitation utilisées par les pirates informatiques, en plus de connaître les bonnes pratiques de développement en matière de sécurité applicative.
Avec l'aide de WebGoat, Damn Vulnerable Web Application et de Kali Linux, vous pourrez participer
à l'exploitation des applications et découvrir les techniques utilisées par les attaquants.

Niveau : débutant

Matériel requis :
Votre portable
Kali Linux
La VM du workshop, envoyée aux participants

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places très limitées (nb = 10). Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Immunio & WeWork pour l'événement.

Présentateur : Christian Leclerc

Christian est spécialisé en conception et développement de solutions web sécuritaires. Tout au long de sa carrière, il a acquis une vaste expertise sur plusieurs types de technologies et méthodologies, intégré la sécurité dans le cycle de développement d’applications, effectué des revues de code sécurité, déployé des outils d’analyse des vulnérabilités et mis en place des systèmes d’authentification. De plus, il a participé à la conception et au développement de solutions sécuritaires de pointe comme la signature électronique à l’aide d’une infrastructure à clé publique (PKI), les authentifications fortes, le Registre des consentements au don d'organes et de tissus (RDOQ.org) et la migration de plusieurs applications web vers un environnement SOA (Service Oriented Architecture).
 Merci à Immunio & WeWork d'héberger l'événement! 

[[Image:Immunio-horizontal-r.png|Immunio|link=https://www.immun.io/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Wework-r.jpg|WeWork|link=https://www.wework.com/]]
 

== Histoire d'un Hack ==

[[Image:Histoire-dun-hack-r.jpg | Histoire d'un Hack ]]

WHEN
21 novembre 2016 à midi
WHERE
Espace Desjardins

Pour son activité du mois de novembre, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de faire l'autopsie d'une attaque de haute voltige sur un site web et des outils mis à la disposition par OWASP.

Bernard Bolduc cumule plus de 17 années d’expérience en technologies de l’information et en sécurité. Il œuvre à titre de conseiller senior en sécurité de l’information au niveau d’entreprise de classe nationale et internationale.

Bernard se spécialise en sécurité Unix, applicative et en gestion de la sécurité des télécommunications. Il combine ces expertises techniques afin d’obtenir des résultats probants et efficaces pour ces clients des secteurs bancaire, télécommunication et multimédias, de l’énergie ou des services publiques. Tout au long de sa carrière, Bernard s’est toujours maintenu à jour sur les dernières menaces de sécurité technologique et commerciale en assistant à des formations spécialisées et d'échanger avec un grand nombre de partenaires dans l'industrie de la sécurité.

La conférence débute à midi.

La conférence vous donne droit à 1 CPE et pour les 50 premières personnes, un lunch gratuit.

Merci à Desjardins d'héberger l'événement!

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite) ==

[[Image:Workshop-zap-mix.jpg | Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite)]]

WHEN
11 novembre 2016 de 18h à 21h

WHERE
Google Montréal

OWASP Zed Attack Proxy (ZAP) est un scanneur de vulnérabilités et un outil de débogage HTTP. Ce type d'outil est crucial dans un test d'intrusion web et contient un lot intéressant de fonctionnalités. Cela dit, il est possible d'étendre les fonctionnalités. Plusieurs types d'extension sont possibles : vue alternative pour les requêtes ou les réponses, scanneur passif des réponses, scanneur actif produisant des requêtes, etc.

Plusieurs options seront données, par exemple :

Détection automatique de flag dans les sources
Scanneur actif asynchrone DNS
Ou votre propre idée

Pour chacune des suggestions, des squelettes de code seront fournis pour les APIs de ZAP. Pour les utilisateurs de BurpSuite, des directives analogues seront également données.

Niveau : débutant / intermédiaire

Matériel requis

Votre portable
[https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project OWASP ZAP (gratuit)]
[https://portswigger.net/burp/download.html BurpSuite]
Éditeur de code pour Java, Python ou Ruby

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Présentateur : Philippe Arteau

Philippe est un chercheur en cybersécurité chez GoSecure. Il est l'auteur de l'outil d'analyse statique Java "Find Security Bugs". Il a découvert des vulnérabilités importantes dans les logiciels populaires tels que Google Chrome, Dropbox, Paypal, RunKeeper et Jira. Il a présenté dans différentes conférences incluant Black Hat USA, Black Hat Europe, ATL Sec Con, NorthSec, Hackfest (QC) et JavaOne. Il a développé de nombreux plug-ins pour les outils de proxy BurpSuite et OWASP ZAP (Retire.js, Reissue Request Script, PDF preview et Image Metadata). Il a fait également des contributions à d'autres plug-ins comme J2eeScan.

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

==Logiciel de rançon (Ransomware) s'attaque au domaine de la santé==

[[Image:HackingHealth-2.jpg | Logiciel de rançon (Ransomware) s'attaque au domaine de la santé ]]

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health ]] [https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health See the slides / Voir la présentation]

(Conférence en anglais)
Pour le lancement de la saison 2016 - 2017, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de la santé une incursion dans le monde du logiciel malveillant ciblant le domaine de la santé. 
Cette conférence s'intége dans le Coopérathon co-organisé par le Mouvement Desjardins et Hacking Health. 
Le domaine de la santé serait devenu une cible privilégiée des campagnes de ransomware parce que l'industrie a souvent payé la rançon demandée pour récupérer les données confidentielles et vitales de ses clients. Monsieur Ed Gershfang nous brossera un portrait du phénomène et des meilleures pratiques à mettre en place en matière de sécurité applicative.
Ed Gershfang possède une expérience solide dans l'infrastructure informatique et plus de 6 ans d'expérience dans les domaines de la sécurité de l'information, de la vulnérabilité, de la gouvernance et de la gestion des risques. Il était directeur de la sécurité pour la société PeriGen, un chef de file de développement de logiciels médicaux en Israël.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative vue par un pentesteur ==

[[Image:Juin2016-OWASPMtl.jpg | OWASP Montréal reçoit Mario Contestabile, Pentester de renom ]]
 
From Left to Right : Isabelle Lusseyran, Head of Development at Hacking Health. Eduard Gershfang Information Security Analyst at WSP | Parsons Brinckerhoff.

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile ]] [https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile See the slides / Voir la présentation]
 
Pour clore la saison 2015 – 2016, OWASP Montréal est fier d’accueillir au Midi Conférence un des architectes de renom du développement applicatif au Canada, monsieur Mario Contestabile.
En tant qu’auteur de plusieurs centaines de tests d’intrusion, il connait tous les rouages de ce qu’est véritablement une application Web «sécurisée». Mais avez-vous déjà remarqué que les rapports de tests d’intrusion mentionnent rarement, voir jamais : «Votre site est très difficile à pirater. Félicitations !» ?
Et qu’en est-il de ces rapports qui contiennent des dizaines de soi-disant vulnérabilités ? Est-ce que cela signifie d’emblée que l’application devrait être mise hors ligne ?
 
Lors de cette conférence, nous examinerons des rapports concrets (ambigus) de vulnérabilités et nous les analyserons afin de mieux comprendre si elles représentent une véritable menace, ou si elles ne servent qu’à «remplir» les rapports.
 
Avec son expertise en protection et en attaque d’applications Web, il abordera les points suivants :
Comment pouvez-vous sélectionner des systèmes de façon à mieux exécuter des protections de sécurité ?
Éviter certains pièges dans votre application Web qui rendent les attaques plus faciles et la protection plus difficile.
De nos jours, que peuvent faire les développeurs à l’intérieur de systèmes communs, qui puisse me rendre la tâche plus ardue en tant que « hacker »?
Pouvons-nous exiger de meilleurs rapports de la part des firmes de sécurité?
À quoi devrions-nous nous attendre de la part d’un « pentesters »?
Comment pouvons-nous savoir si le « pentester » a vérifié les failles de l’application et qu’il n’a pas simplement utilisé un scanneur?
Et enfin, comment pouvons-nous aider les « ethical hackers » à obtenir un meilleur rendement lors d’un test d’intrusion?
Il expliquera le sujet en détails, et ensemble, nous verrons de quelles façons les développeurs d’applications peuvent exploiter le savoir-faire des « pentesters », et comment nous pouvons faire en sorte qu’une application Web soit protégée.
Biographie :
Mario Contestabile est reconnu comme l’un des experts en sécurité les plus réputés au Canada. Son expertise, construire et protéger votre plateforme applicative. Ancien développeur C++ et Java, Mario partage ses nombreuses connaissances en « ethical hacking » et en développement de codes sécurisé.
 
WHEN
Tuesday, 14 June 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Comment protéger les applications mobiles? ==

[[Image:Avril2016-OWASPMtl.png | Comment protéger les applications mobiles? ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles ]] [https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles See the slides / Voir la présentation]
 
Dans le cadre des Midis Conférence à l'Espace Desjardins, l'équipe OWASP Montréal vous invite à assister à une présentation sur les vulnérabilités les plus communes associées aux appareils mobiles.
Marie-Claire Willig détaillera entre autres comment stocker de façon sécuritaire les données de l’application mobile ainsi que protéger l’application contre des attaques externes. Des outils simples vous seront dévoilés pour détecter ces vulnérabilités.
Marie-Claire est une professionnelle d'expérience en sécurité appliquée.
Une grande partie de son intérêt professionnel réside actuellement dans un domaine assez niche, soit la revue de code sécuritaire, un fondement important de tout cycle de développement sécuritaire en entreprise.
Au sein de l'équipe de sécurité technologique Desjardins, elle est, en autre, responsable de former les développeurs (Java et .NET principalement) afin de les sensibiliser aux meilleures pratiques de développement sécuritaire.
Également, elle est une professionnelle des tests d'intrusion sur les applications web, les applications mobiles ainsi que l'infrastructure réseau.
Bienvenue à tous
 
WHEN
Wednesday, 20 April 2016 from 12:15 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ==

[[Image:Mars2016-OWASPMtl.jpg | NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/YQtvltQYs7Y]] [https://youtu.be/YQtvltQYs7Y Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
OWASP Montréal est fier d’inviter au Midi Conférence de mars, NorthSec est le plus gros événement de sécurité appliquée au Canada qui comprend deux jours de formation, deux jours de conférences ainsi qu’une compétition du genre « capture the flag » (CTF) de trois jours.
Gabriel Tremblay, Benoit Guerette, Pierre-David Oriol et Laurent Desaulniers viendront vous parler de cet organisme sans but lucratif dynamique qui est géré par une équipe de bénévoles passionnés qui donnent à chaque année leur énergie et leur temps pour soutenir la communauté de la sécurité de l’information.
Le volet compétition, l’épreuve maîtresse, est présentée sous forme d’un scénario qui rend cohérent une centaine de défis techniques. Les équipes de participants attaquent l’infrastructure de compétition pour soutirer des drapeaux (flags) à travers un ensemble de vulnérabilités présentes comme de l’injection SQL, des XSS ou encore l’exploitation d’exécutables sur systèmes embarqués. Quelques exemples de défis des années passées seront également présentés.
Le volet conférence, qui est à sa 2ème année, met de l’avant plusieurs présentations techniques touchant la sécurité applicative mais aussi l’éthique et leurs impacts sociaux. Certaines présentations confirmées seront dévoilés.
Le tout nouveau volet formation propose deux formations en sécurité applicative de calibre international (anglais) : “Advanced Web Security Testing with Burp Pro” et “Modern Object-Oriented Malware Reverse Engineering”.
Venez aussi, découvrir comment l'équipe est partie d'une idée en 2012 pour se rendre à un évènement d'envergure, qui rassemblera plus de 600 professionnels, étudiants et autres passionnés de sécurité appliquée lors de la 4ème édition qui aura lieu du 17 au 22 mai 2016 au Marché Bonsecours.
Finalement, la mission, la vision ainsi que les activités sociales de la semaine de NorthSec sont aussi au menu de cette présentation qui sera suivie d’une période de questions.

Gabriel Tremblay, Delve Labs, Président
Benoit Guerette, Desjardins, VP Finances

Pierre-David Oriol, Delve Labs, VP Conférence
Laurent Desaulniers, Bell Canada, Artisant de drapeaux
 
WHEN
Wednesday, 23 March 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative et l'hameçonnage - February 24th ==

[[Image:Fevrier2016-OWASPMtl.jpg | La sécurité applicative et l'hameçonnage ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/1RYlOiIENjQ]] [https://youtu.be/1RYlOiIENjQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 

De nos jours, une des méthodes les plus efficaces pour contourner les périmètres de sécurité externes est l'hameçonnage conjointement avec l’abus de certaines technologies Web.

Dans le cadre ses activités, OWASP Montréal est heureux d'inviter d'accueillir, l'équipe OKIOK qui présentera les impacts liés à ce type d'attaque, tel que vu et expérimenté en entreprise ainsi que les plans d'action pour traiter ces risques. La présentation abordera aussi bien la sécurité web et applicatives, des systèmes informatiques ainsi que de la sécurité physique de centres de données.

Capture d'informations sensibles par imitations de portails Web ;
Authentification Web par 2-facteurs ;
Injection SMTP dans des formulaires Web ;
Attaque de type “Drive-by-download”;
Prise de contrôle à distance à travers des flux HTTP;
Attaque de CSRF à partir de courriels ;
Attaque d'hameçonnage basée sur des achats par Internet (ex : PayPal).
 
When
Wednesday, 24 February 2016 from 12:00 PM to 1:15 PM (EST) - Add to Calendar
Where
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest Montreal, Quebec CA

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Internet of {Things, Threats} - January 20th ==

[[Image:Janvier2016-OWASPMtl-R.png | Internet of {Things, Threats} ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html ]] [http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html See the slides / Voir la présentation]
 
De plus en plus de périphériques se retrouvent connectés sur Internet. Sous la bannière "Internet of Things" (IoT) ces équipements, que ce soit une pompe à insuline ou un système de caméra de sécurité, tournent généralement sous un système GNU/Linux embarqué d'architecture MIPS ou ARM. La difficulté de mettre à jour ces équipements ainsi que le peu d'effort mis dans la sécurité des systèmes ou la sécurité applicative en font des cibles de choix. Ces derniers mois, nous avons analysé plusieurs logiciels malveillants ciblant ces architectures. Que ce soit par l'exploitation d'une vulnérabilité (Shellshock) ou encore un défaut de configuration, ces systèmes exposés sur Internet peuvent être compromis.

Notre présentation couvrira quelques une de ces analyses:

* Linux/Moose, un malware se propageant automatiquement qui fraude les réseaux sociaux (par exemple Facebook, Twitter et YouTube)
* LizardSquad et acteurs étrangers qui utilisent des systèmes embarqués compromis pour réaliser des dénis de service distribué (DDoS)
* Win32/RBrute est un logiciel malveillant qui tente de changer les paramètres de routeurs dans le but de faire du "DNS poisoning". Il a été distribué par le populaire botnet Sality.
* Un kit d'exploits qui utilise seulement le navigateur de leur victime avec le même objectif, c'est-à-dire faire du "DNS poisoning".

Enfin, des conseils seront proposés à l'audience pour l'aider à se protéger de ces menaces.

'''Thomas Dupuy''' (twitter: @nyx__o)

Thomas est chercheur en logiciel malveillant chez ESET Canada Recherche. Bon vivant, Thomas déjeune en "reversant" des binaires, contribue à quelques projets open source durant le diner (yara, yara rules, pefile, APTnotes) et la nuit participe à des "Hacking Games" (Capture The Flag). Curieux de nature Thomas analyse des malware aux architectures "exotiques".

'''Olivier Bilodeau''' (twitter: @obilodeau)

Olivier Bilodeau is the head of Cybersecurity Research at GoSecure a consultancy firm specializing in cybersecurity services for the public and private sector. With more than 10 years of infosec experience, Olivier worked on Unix servers at Bell Canada, managed a portion of Air Canada's network, wrote open source network access control software at Inverse and worked as a Malware Researcher at ESET. He likes to reverse engineer everything that crosses his path, participate in information security capture-the-flag competitions, hack open source code and brew beer. He has spoken at various conferences (Defcon, Botconf, VirusBulletin, Derbycon, ...), used to lecture on information security at ETS University in Montreal, drives the NorthSec Hacker Jeopardy and co-organizes the MontreHack capture-the-flag training initiative. His primary research interests include reverse-engineering tools, Linux and/or embedded malware and honeypots.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Survivre aux attaques DDOS applicatives ==

[[Image:Decembre2015-OWASPMtl.jpg | Survivre aux attaques DDOS applicatives ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
Survivre aux attaques DDOS (Distributed Denial-Of-Service) applicatives.
Cette conférence s'adresse aux professionnels et gestionnaires des TI.
Conférencier : Christian Shink, ing., CSSLP, ingénieur système chez Radware, manufacturier spécialisé dans la prévention des attaques DDOS. Il fut également consultant en sécurité applicative chez In Fidem.
Objectifs de la conférence:
Présenter les tendances actuelles en matière d'attaques DDOS applicatives.
Renseigner les participants sur les techniques et stratégies pour contrer ces attaques illustrées à partir de cas vécus.
Démystifier certains mythes en ce qui concernent les façons efficaces de protéger les applications contre des attaques DDOS.
Date : 16 décembre 2015
Heure : 11h45
La conférence débute à 12h00 et se termine à 12:55.
Un lunch sera servi.
Réservez maintenant!
1 CPE
 
WHEN
Wednesday, 16 December 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Sécurité des applications - Systèmes de contrôles industriels ==

[[Image:Novembre2015-OWASPMtl-R.png | Sécurité des applications - Systèmes de contrôles industriels ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/0eAZpyiQQ9A]] [https://youtu.be/0eAZpyiQQ9A Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

La sécurité des applications et les systèmes de contrôles industriels.
Cette conférence s'adresse aux professionnels et gestionnaires des TI desinfrastructures critiques qui exploitent ou gèrent des systèmes de contrôles industriels(SCI) et SCADA (surveillance et d'acquisition de données). 
Conférenciers : Robert Nastas, CSSA. Gestionnaire de projet et Youssef Jad, Architecte Cyber sécurité, ICS-CERT 
 
Objectifs de la conférence:
* Démystifier le domaine d'affaires.
* Renseigner les participants sur les bonnes pratiques de sécurité desapplications liées au secteur industriel.
* Proposer aux professionnels et gestionnaires des TI responsables dessystèmes SCADA et SCI des pistes de solutions aux enjeux de sécurité.
 
L'équipe OWASP Montréal vous remercie d'avoir assisté en grand nombre à la conférence, 'La sécurité des applications et les systèmes de contrôles industriels'.
 
WHEN
Wednesday, 18 November 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ==

[[Image:Septembre2015-OWASPMtl.jpg | Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert ]] [https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert See the slides / Voir la présentation]
 
Pour le lancement des activités corporatives de la saison 2015 - 2016, le 8 septembre prochain à 12:00, l'équipe OWASP Montréal convie les gestionnaires et artisants de la sécurité des TIC à venir entendre monsieur Éric Hébert qui nous présentera son interprétation des préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative. L'événement se tiendra au complexe Desjardins à la salle "Espace Desjardins".

''' ÉRIC G. HÉBERT, CISM, CISSP ''' 
Après plus de 20 ans passés dans le domaine de la sécurité des technologies de l’information, Éric se spécialise dans la mise en œuvre et la gestion d'équipes performantes, capables de relever les plus hauts défis de la cybersécurité moderne. 
Capable de dialoguer avec les hauts dirigeants, il sait traduire et vulgariser les enjeux techniques complexes tout en respectant la nature et l'appétence au risque de ses clients. Dynamique et pourvu d'une expérience couvrant presque toutes les sphères de la SI, il fonce dans le respect de la culture établie tout en implantant des solutions pragmatiques et efficaces. 
Depuis plus de 10 ans, il gravite principalement autour des entreprises du domaine financier (BNC, Desjardins, Fonds de solidarité FTQ...) et les accompagne dans la mise en place de solutions efficaces tenant compte à la fois des risques et des budgets.
En plus d’avoir fondé de nombreuses associations telles que le RéseauSécurIT et le RPSI, il maintient une présence régulière auprès des milieux associatifs professionnels et partage régulièrement ses expériences lors de conférences et d'entrevues avec divers médias.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

= Events / Évènements =

== Owasp Montreal at [https://nsec.io/ NorthSec 2017] ==

[[Image:NorthSec2017-5.jpg]]
[[Image:NorthSec2017-6.jpg]]

From Left to Right: Anne Gauthier, OWASP Montréal Chapter Leader (President) and Application Security Analyst at GoSecure, Hugo Genesse, OWASP Montréal Chapter Leader and Research Intern at PNF Software, Julien, OWASP Montréal Chapter Leader

== OWASP Montreal at [https://2017.appsec.eu/ AppSec] ==

[[Image:OWASPAppSecBelfast2017-7.jpg]]

OWASP Montreal and Ottawa Chapter Leaders at OWASP AppSec Belfast, UK #WomenInAppSec

== OWASP Montreal at [https://hackfest.ca/ HackFest 2016] ==

[[Image:Hackfest2016-r.jpg| HackFest |link=https://hackfest.ca/]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Louis Nadeau, OWASP Québec Chapter Leader and Manager, Product Security at Bentley Systems and Patrick Leclerc, OWASP Québec Chapter Leader and Information Security Advisor at La Capitale.

== OWASP Montreal at OWASP [https://2016.appsecusa.org/ AppSec USA 2016, Washington] ==
 
 
[[Image:OWASPMtl-AppSecUSA2016-Washington.jpg | OWASP Montreal at AppSec USA 2016, Washington]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016, Alexandre Hamelin President at Synlabs Consulting Inc., Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [https://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

== OWASP Montréal at [https://www.gosec.net GoSec] 2016 ==

[[Image:OWASP-GoSec2016-1r.jpg|OWASP Montreal at GoSec 2016]] [[Image:OWASP-GoSec2016-2r.jpg|OWASP Montreal at GoSec 2016]]
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Simon Lacasse, student and volunteer, and Laurent Desaulniers, Security Analyst at Bell Canada.

== OWASP Montréal at [https://www.nsec.io/ NorthSec] 2016 – Annual Applied Security Event ==

[[Image:Hackfest2016-OWASPMtl.jpg|OWASP Montreal at NorthSec 2016]]

@Photo : Simon Veilleux
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Olivier Arteau OWASP Montréal Chapter Leader and Conseiller chez Groupe Technologie Desjardins, Hugo Genesse, OWASP Montréal Chapter Leader and Vulnerability Research Intern at Wurldtech Security Technologies.

== OWASP Montréal at [https://hackfest.ca/en/ Hackfest] 2015 ==

[[Image:Hackfest2015-OWASPMtl-R.JPG | OWASP Montreal at Hackfest 2015]]

@Photo : Hackfest
 
 
From left to right : Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [http://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

[[Image:Video-link.png | Link to video | link=https://youtu.be/8U0qkEuUFy8]] [https://youtu.be/8U0qkEuUFy8 Watch the video / Regarder la vidéo]

== OWASP Montréal at [https://www.gosec.net/ GoSec] 2015 – The Annual Cybersecurity Conference presented by GoSecure, EY and ISACA. ==

[[Image:GoSec2015-OWASPMtl.jpg|OWASP Montreal at GoSec 2015]]

@Photo : Marius Popescu
 
 
From left to right : Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016. Benoît Guérette, Application Security Team Leader at Desjardins, VP Finance at NorthSec and OWASP Montreal Chapter Founder and Former Chapter Leader.

== See also / Voir aussi ==

OWASP Montréal recommends Montréhack. Learn and share knowledge on IT security by solving technical challenges. Third Monday of every month.

OWASP Montréal recommende Montréhack. Apprends et partages des connaissances sur la sécurité informatique en travaillant des problèmes appliqués. Chaque troisième lundi du mois.

[[File:Montrehack.png|Montréhack|link=http://montrehack.ca/|alt=Montréhack]]

= Archives 2007-2015 =
{{:Montreal chapter past meetings}}

== OWASP Montreal - February 3rd - Getting to Know the Software Assurance Marketplace (SWAMP) ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/p4_vjufcB6Q]] [https://youtu.be/p4_vjufcB6Q Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer]] [https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Pat Beyer
*'''ADDITIONAL PRESENTER:''' Abe Megahed
*'''ABSTRACT:''' The Software Assurance Marketplace (SWAMP) is an open facility that is designed, built, and operated by four research institutions. The SWAMP provides no-cost access to an array of open-source and commercial software analysis tools. This presentation will provide an overview and demo of the SWAMP, including our goals, intended audience, current capabilities, and future plans. We will cover our relationship with OWASP, incorporation of open-source software assurance tools, and status as an open-source project and resource available to the software community. Visit https://continuousassurance.org/ to learn more about us.
*'''BIO:''' Pat Beyer serves as the Product Manager for the Software Assurance Marketplace (SWAMP). With over 25 years of experience successfully managing multi-million dollar global projects, Beyer’s expertise extends to the IT, construction, and operations sectors, with a specialization in managing government contracts and grants. A gifted communicator, Beyer is a sought after speaker due to his ability to deliver complex information about technology products and services in a way that is easily understood. He is a decorated combat veteran of the Global War on Terror, the international military campaign that started following the 9/11 terrorist attacks on the United States. In 2004, he constructed and rehabilitated over 20 schools, clinics, and water treatment plants for the Iraqi people using local contractors. Beyer also holds a Bachelor of Science, a Masters in Business Administration, a Ph.D. in Organization and Management, and a Project Management Professional (PMP) certification.
*'''BIO:''' Abe Megahed is a web developer for the Software Assurance Marketplace. In previous lifetimes, he has been a computer graphics researcher, a game programmer, a programming language and compiler nerd, a dot com company founder, a creator of helicopter simulations, and a developer of 3D simulations for NASA astronaut crew training.
*'''WHEN:''' Tuesday, February 3rd 2015
*'''WHERE:''' Room PK-1140 - UQAM Pavillon Président-Kennedy, 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' https://owaspmtlswamp2015.eventbrite.ca
*'''WEBCAST:''' https://www.youtube.com/watch?v=p4_vjufcB6Q
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer

*'''ACADEMIC PARTNER:''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session: Getting to Know the Software Assurance Marketplace
20:00-... End of the meeting

[[Image:SWAMP-Logo-Final-Med.png|300px|link=https://continuousassurance.org/]]
[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

== OWASP Montréal - 4 décembre - Malware côté serveur — évolution, méthodes d’opération et forensic Linux ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/lo8WDl-WQ3E]] [https://youtu.be/lo8WDl-WQ3E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille]] [https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Marc-Etienne M.Léveillé
*'''RÉSUMÉ:''' Les logiciels malveillants ciblant les serveurs ont évolué. Ils sont utilisés par des groupes de cybercriminels organisés dans le but de faire du profit via des redirections web et l’envoie de pourriels. La présentation portera sur Opération Windigo, une opération malveillante qui a affecté plus de 25 000 serveurs dans le monde. Après une brève description des composantes de Windigo, nous verrons comment les opérateurs déploient leurs logiciels malveillants et surveille leur réseau de serveurs infectés. Des trucs pratiques pour faire de la forensics sur des systèmes Linux seront donnés. Cette présentation est une suite à la présentation "Linux/Cdorked: Server side malware", donnée par Olivier Bilodeau à OWASP Montréal en 2013. La présentation sera en français avec des diapositives en anglais (aka Montreal-style).
*'''BIO:''' Marc-Etienne est un chercheur en logiciel malveillant chez ESET depuis 2012. Il se spécialise dans les logiciels malveillants qui s’attaquent à des plateformes inhabituelles comme aux produits fruités et aux oiseaux nordiques. Dernièrement, il passe beaucoup de son temps à faire la rétro-ingénierie de logiciels malveillants sur des serveurs Linux et s’intéresse à leurs méthodes d’opération. Il adore participer de façon collégiale aux CTFs avec ses amis les CISSP Groupies et jouer de la clarinette. Il tweet très peu à @marc_etienne_.
*'''QUAND:''' 4 décembre 2014 à 18h00
*'''OÙ:''' Local M-1510, Polytechnique Montréal, 2900 Boulevard Edouard-Montpetit
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-4-decembre-malware-cote-serveur-evolution-methodes-doperation-et-forensic-linux-tickets-14635313617
*'''ÉQUIPE ACADÉMIQUE:''' Polyhack - http://polyhack.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Malware côté serveur
19:30-20:00 Période de questions

[[Image:Polyhacklogonoirpetit.png|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]

== OWASP Montréal - October 23rd - XXE : À l’assaut des analyseurs XML ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/MZviLB9-42E]] [https://youtu.be/MZviLB9-42E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau]] [https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Philippe Arteau
*'''RÉSUMÉ:''' L'utilisation d’XML est fortement répandue. Le format est utilisé pour des fichiers de configuration, pour des métadonnées, pour des documents textes, et bien plus. La prise en charge de fichiers XML n’est pas sans risque. La plupart des analyseurs XML ne sont pas sécuritaires par défaut pour le traitement de fichier externe. Cette présentation fera un survol des vulnérabilités de type « Xml eXternal Entity » et de l’étendue des risques pour différents langages de programmation. Plusieurs démonstrations sont prévues.
*'''BIO:''' Philippe est conseiller en sécurité applicative pour le Groupe Technologies Desjardins. Au quotidien, il s’occupe d’effectuer des tests d’intrusions et des revues de code. Il a découvert des vulnérabilités importantes dans plusieurs logiciels populaires incluant Google Chrome, DropBox, ESAPI et Jira.
*'''QUAND:''' 23 Octobre 2014 à 18h00
*'''OÙ:''' École de Technologie Supérieure Local A-3230, 1100 Rue Notre-Dame Ouest, Montréal, QC H3C 1K3
*'''INSCRIPTION:''' http://www.eventbrite.ca/e/owasp-montreal-23-octobre-xxe-a-lassaut-des-analyseurs-xml-tickets-13426881163
*'''PARTENAIRE ACADÉMIQUE:''' ETS - DCI http://dciets.com/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:45 Mot de bienvenue
18:45-19:45 Présentation principale - "À l’assaut des analyseurs XML" Philippe Arteau
19:45-20:00 Période de questions

[[Image:Blason_dci.png‎‎‎|150px|link=http://dciets.com/]]
[[Image:ETS-rouge-devise-impr-fond_transparent.png|150px|link=http://www.etsmtl.ca/]]

== OWASP Montreal - July 24th - Web security for DevOps: the glory is in the headers ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/6bp1NCLT-YQ]] [https://youtu.be/6bp1NCLT-YQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil]] [https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Jonathan Marcil
*'''ABSTRACT:''' DevOps is a buzzword which can be easily demystified: in essence it is a process which aims to combine the development and system administration process into one; Operations. As developers become responsible for server setup, security counter measures are evolving as well. The line between server configuration and application behaviour has been blurred. In this talk we will cover some HTTP headers in regards to security such as CORS, CSP and HSTS. We will demonstrate several forms of attack, and how they can (should) be countered.
*'''BIO:''' Jonathan is devoted to security and specialized in Web application security. His main occupation is consulting in Web security, but deep down he is a developer with a agnostic vision of programming languages. He has a diploma in Software Engineering from Ecole de Technologie Superieure and more than 10 years of experience in Information Technology and Security.
*'''WHEN:''' At noon on July 24th 2014
*'''WHERE:''' 75 Queen Street, office 3100, Montreal, QC H3C 2N6
*'''REGISTRATION:''' You can join us on site for a pizza slice but this is mainly an online event. Contact jonathan.marcil@owasp.org.
*'''WEBCAST:''' https://www.youtube.com/watch?v=6bp1NCLT-YQ
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil
*'''EVENT SPONSOR:''' Pheromone http://www.pheromone.ca/
*'''PROGRAM:'''

12:00-12:10 Welcome and quick OWASP introduction
12:10-13:10 Main presentation - "Web security for DevOps: the glory is in the headers" Jonathan Marcil
13:10-... Open discussion and questions

[[Image:Logo-phero.gif‎|link=http://www.pheromone.ca/]]

== OWASP Montreal - June 18th - Gaps in the Clouds ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz]] [https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Robert Fritz
*'''ABSTRACT:''' Cloud technology offers agility and scaling, and a chance to break away from legacy IT choices. Unfortunately, skipping traditional IT activities often results in poorly patched systems, out of date firewalls, and overprovisioned entitlements wielded by admins whose “day job” is development. Boundaries of accountability and responsibility amongst cloud providers and consumers are confusing, vague, and shift, making security difficult to manage. In such an environment, a “BP-spill” event, where cost wins over safely safety, is likely. This talk will dive down into the cracks between the layers of cloud, and share some of the exciting dirt we have seen and expect to see in coming years.”
*'''BIO:''' Robert Fritz has been practicing security his entire career. Rob started as an Air Force lieutenant at Langley AFB and later at the Pentagon in Washington DC, building and managing classified networks. Finding he was getting too far from technology after a brief stint flying, he left the military to get back to the tech, and built security tools for HP in their HP-Unix lab. Over time he found himself in more and more security design discussions, so co-authored HP’s Commercial Application Threat Analysis Methodology, building an internal consulting practice at HP. This quantitative approach, led to two pending patents, an external-facing consulting practice, and his contributions to NIST IR-7502, the Common Configuration Scoring System (CVSS follow-on). He is the former lead editor for the Center for Internet Security’s HP-UX Benchmark, and current lead for the Android Benchmark. Robert now works for Morgan Stanley as global head of the Strategic Consulting team in the Security Architecture group, and leads the team’s cloud and social-media security practices.
*'''WHEN:''' June 18th 2014
*'''WHERE:''' 700 Rue Wellington, Floor 2, Montreal, QC H3C 3S4
*'''REGISTRATION:''' http://owaspmtl18junems.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz
*'''EVENT SPONSOR:''' Morgan Stanley http://www.morganstanley.com/
*'''PROGRAM:'''

18:00-18:30 Networking and Morgan Stanley Hosted Pizza and Soft Drinks
18:30-18:45 OWASP Chapter & Morgan Stanley Welcome
18:45-19:45 Main presentation - "Gaps in the Clouds" Robert Fritz
19:45-20:00 Open discussion and questions
20:00-... Optional, informal networking at Aziatic - 626 rue Marguerite-d'Youville, Montréal, QC H3C 1W7

[[Image:Morgan_Stanley_Historical_Logo.png|link=http://www.morganstanley.com/]]

== OWASP Montréal - May 26th - Récapitulatif des challenges NorthSec ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/P8_V3RI1Ru4]] [https://youtu.be/P8_V3RI1Ru4 Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''PRÉSENTATEUR PRINCIPAL:''' Laurent Desaulniers
*'''RÉSUMÉ:''' Solutions de la compétition en sécurité NorthSec 2014 sur les sujets de XXE + SSRF, WAF Bypass, Xpath Injection, DOM Injection, HTTP Only Flag bypass et contournement de captchas. Une bonne façon d'apprendre sur ces failles que vous étiez ou non un participant de la compétition.
*'''MESSAGE DU PRÉSENTATEUR:''' Vous voyez Rao dans votre soupe? Vous voulez une solution pour un XSS avec des cookies http only? Les captchas illisibles sont un problème? Assistez à la présentation de l'OWASP!
*'''BIO:''' Laurent Desaulniers est un passionné de sécurité informatique. Il a présenté au Hackfest, au colloque RSI, à OWASP et est challenge designer à NorthSec. M. Desaulniers détient les certifications CISSP, CISM, CISA et OSCP.
*'''QUAND:''' 26 mai à 18h00
*'''OÙ:''' Local PK-1140 - Pavillon Président-Kennedy 201, Avenue du Président-Kennedy, J2X 3Y7
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-26-mai-recapitulatif-des-challenges-northsec-tickets-11724413035
*'''WEBCAST:''' https://www.youtube.com/watch?v=P8_V3RI1Ru4
*'''ÉQUIPE ACADÉMIQUE''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Récapitulatif des challenges NorthSec
19:30-20:00 Période de questions

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== Networking with infosec communities - April 21st ==

[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''RÉSUMÉ:''' En collaboration avec Montréhack, mtlsec et NorthSec, nous organisons une soirée réseautage dans un pub du centre-ville. Du plaisir garanti avec les membres de plusieurs communautés infosec de Montréal!

*'''ABSTRACT:''' In collaboration with Montréhack, mtlsec and NorthSec, we are organizing a networking evening in a pub downtown. Fun guaranteed with the other security communities in Montreal!

*'''QUAND:''' 21 Avril 2014
*'''WHEN:''' April 21st 2014

*'''OÙ/WHERE:''' BENELUX - Brasserie Artisanale 245 Sherbrooke St W Montreal, QC H2X 1X7

*'''INSCRIPTION/REGISTRATION:''' https://www.eventbrite.ca/e/montrehack-avril-april-northsec-pre-party-tickets-11232307133

*'''PARTENAIRES/PARTNERS:''' Montréhack http://montrehack.ca/ - mtlsec http://blog.mtlsec.com/ - NorthSec https://www.nsec.io/
*'''PROGRAMME:'''
18:00-21:00 Networking
21:00-23:59 Remember to drink responsibly!

== OWASP Montréal - March 27th - Panel Compétition en sécurité NorthSec ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

'''Présentation sous forme de panel - venez poser vos questions!'''

*'''RÉSUMÉ:''' Les compétitions de type Capture the Flag (CTF) sont un moyen pour les professionnels et amateurs de sécurité informatique de mettre leurs talents à l'épreuve. NorthSec est une compétition Montréalaise annuelle en sécurité appliquée, qui aura lieu cette année au Marché Bonsecours de Montréal le 25, 26 et 27 avril prochain. Elle vise à augmenter le niveau technique des professionnels de la sécurité au Québec, ainsi que de permettre à ses acteurs les plus talentueux de se démarquer.
*'''DÉTAILS:''' Le panel de jeudi, sous la forme d'un échange convivial entre les organisateurs de l'évènement et de ses participants, abordera des thèmes variés comme l'écriture de bon défis, l'infrastructure, la logistique, les inattendus, un bilan de 2013 et tout ça en passant par de savoureuses annecdotes (on l'espère). Venez en grand nombre toucher à ces légendes de la scène infosec montréalaise!
*'''PANÉLISTES:''' Gabriel Tremblay, François Proulx, Laurent Desaulniers, Stéphane Graber
*'''ANIMATEUR:''' Olivier Bilodeau
*'''QUAND:''' 27 mars 2014
*'''OÙ:''' Salle M-1510, École Polytechnique de Montréal, 2500 chemin de Polytechnique, Montréal (Québec) H3T 1J4, pavillon Lassonde
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-27-mars-panel-competition-en-securite-northsec-tickets-10918436337
*'''ÉQUIPE ACADÉMIQUE:''' Polytechnique - Polyhack http://polyhack.org/
*'''PROGRAMME:'''
18:00-18:25 Networking
18:25-18:30 Mot de bienvenue par le leader du chapitre (Jonathan Marcil)
18:30-20:00 Présentation principale : Panel NorthSsec

[[Image:Polyhack.png‎‎|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== OWASP Montreal - February 25th - Proven Strategies for Web Application Security ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane]] [https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Justin C. Klein Keane
*'''ABSTRACT:''' The rising dominance of the web as an application delivery platform has focused attacker attention squarely on the security of dynamic web applications. Application security is a complex, and shifting, field. Learn about tested and successful techniques to build safer applications, find flaws before they become vulnerabilities, and deploy applications that can detect, and resist attack.
*'''BIO:''' Justin C. Klein Keane is a security engineer and chapter leaders of OWASP in Philadelphia. For over a decade Justin has worked as a trainer, coder, and exploit developer. Justin is currently writing a book for NoStarch Press on hacking, speaks regularly at conferences, holds a masters degree in information technology from the University of Pennsylvania and is credited with hundreds of application vulnerability discoveries.
*'''WHEN:''' February 25th 2014
*'''WHERE:''' Ecole de technologie superieure, 1100 Notre-Dame Street West, Montreal, Room: A-1150
*'''REGISTRATION:''' http://owaspmtljan2014.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane
*'''ACADEMIC PARTNER:''' ETS - DCI http://dciets.com/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session and open discussion: Proven Strategies for Web Application Security
20:00-... End of the meeting in a pub

[[Image:Dciets.png‎‎‎|100px|link=http://dciets.com/]]
[[Image:Logo_ets.png|link=http://www.etsmtl.ca/]]

== OWASP Montreal - January 28th - Latest trends in Mobile Security ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/8qPyKj4FKgY]] [https://youtu.be/8qPyKj4FKgY Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx]] [https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Francois Proulx
*'''ABSTRACT:''' Last AppSecUSA 2013 had a great line up of talks, especially regarding mobile applications. This session will be covering all the hottest presentations about mobile security by doing an overview from what see saw at AppSecUSA, all with some slides and snippets of presentations that was recorded at the event. Discussion will be encouraged within the audience as this will be more a dynamic event than a regular talk.
*'''BIO:''' François Proulx is a senior mobile application developer who has worked on dozens of iOS applications since the very beginning of the Apple iOS platform. Over the past few years he has switched his focus to security. He spends a lot of his free time participating in Capture the Flag events (CTFs) and organizing the NorthSec security competition.
*'''WHEN:''' January 28th 2014
*'''WHERE:''' UQAM Room PK-1705, Pavillon Président-Kennedy (the big boat at Place des Arts) - 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' http://owaspmtl-mobilesecurity.eventbrite.ca
*'''SLIDES/CONTENT:''' [http://www.youtube.com/playlist?list=PLQtB2ug5xmvaQ9jeRWV53-F_T555GQfhW YouTube playlist]
*'''SPONSOR:''' Academic partner AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan M.)
18:30-20:00 Main session and open discussion: Mobile Security
20:00-... End of the meeting in a pub

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

==== Presentations For Download ====

[http://www.owasp.org/images/0/0d/20100209mstechdaysowaspasvssgiv01-12657916463819-phpapp02.ppt OWASP ASVS] by Sebastien Gioria (09/03/2010)

[http://www.ph-il.ca/slides/afup__authetification_forte.pdf Authentification Forte] by Philippe Gamache (02/02/2010)

[http://www.opensamm.org/downloads/OpenSAMM-1.0.ppt Software Assurance Maturity Model (OpenSAMM)] by Pravir Chandra (03/11/2009)

[http://www.owasp.org/images/d/de/Owasp-montreal-sept-17h-2009-justin-foster.pdf Crossing the Border – Javascript Exploits] by Justin Foster (17/09/2009)

[http://www.owasp.org/images/c/c2/ALaughRIAt.pdf A Laugh RIAt] by Rafal Los (07/04/2009)

[https://www.owasp.org/images/e/eb/OWASP-Montreal-24022009-RobLabbe.pptx Microsoft Security Development Lifecycle for IT] by Rob Labbe (24/02/2009)

[https://www.owasp.org/images/3/39/OWASP-Montreal-24022009-EN.pdf OWASP Goal and Top Ten 2007 for Managers - French version] by Benoit Guerette (24/02/2009)

Newer presentations are available on [https://speakerdeck.com/owaspmontreal Speaker Deck]

[[Image:Circle_owasp_logo_nowhitebackground.png|200px]]

= OWASP Foundation / Mission OWASP =
OWASP Foundation ([https://docs.google.com/a/owasp.org/presentation/d/10wi1EWFCPZwCpkB6qZaBNN8mR2XfQs8sLxcj9SCsP6c/edit?usp=sharing Overview Slides]) is a professional association of [[Membership | global members]] and is open to anyone interested in learning more about software security. Local chapters are run independently and guided by the [[Chapter_Leader_Handbook]]. As a [[About_OWASP | 501(c)(3)]] non-profit professional association your support and sponsorship of any meeting venue and/or refreshments is tax-deductible. Financial contributions should only be made online using the authorized online chapter donation button. To be a SPEAKER at ANY OWASP Chapter in the world simply review the [[Speaker_Agreement | speaker agreement]] and then contact the local chapter leader with details of what OWASP PROJECT, independent research or related software security topic you would like to present on.

La fondation OWASP est une [https://www.owasp.org/index.php/Membership association de professionnels] et elle est ouverte à tout intervenant intéressé à en apprendre davantage sur la sécurité applicative. Les chapitres locaux (dont celui de Montréal) sont gérés de façon indépendante et selon un [https://www.owasp.org/index.php/Chapter_Leader_Handbook manuel de directives à respecter].
Toute contribution financière au chapitre peut être faite en ligne en utilisant l’icône prévu à cet effet. Pour être conférencier au sein de n’importe quel chapitre à l’échelle mondiale, vous n’avez qu’à prendre connaissance du document [https://www.owasp.org/index.php/Speaker_Agreement "entente avec les conférenciers – speaker agreement"] et à joindre le responsable du chapitre Montréal avec un descriptif du sujet que vous aimeriez aborder et s’il est relié à un projet OWASP, à de la recherche indépendante ou encore le sujet en particulier, concernant la sécurité applicative, que vous souhaitez aborder.

== [[Image:Circle_owasp_logo_nowhitebackground.png|128px]] Montreal OWASP Team ==

Scope of the team is to discuss and plan local activities and meetings

=== Chapter Leaders ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique

==== Chapter leader history ====
*2008-2010 - Benoit Guerette, founder and chapter leader
*2011-2012 - Philippe Gamache, chapter leader (vice chapter-leader since 2010)
*2013-2015 - Jonathan Marcil, chapter leader
*2016-... - Anne Gauthier, Michel Bourque, Marius Popescu, Hugo Genesse, Olivier Arteau

==== Old board members ====
*Philippe Pépos Petitclerc
*Michael Robillard
*Benoit Guerette (logistics 2015)
*Alexandre Rimthong
*Mathieu Binette
*Sean Coates
*Jean-Marc Robert
*Philippe Blondin
*Benoit Guerette (founder)
*Laurent Desaulniers
 

<headertabs></headertabs>
__NOTOC__
[[Category:Canada]]

File:Hamilton-septembre-2017-2.JPG

2017-10-10T19:20:10Z

Svieg:

File:Hamilton-septembre-2017-1.JPG

2017-10-10T19:19:58Z

Svieg:

Montréal

2017-10-10T19:13:27Z

Svieg:

== Welcome & Bienvenue to the OWASP Montréal chapter ==
 
[[Image:OWASP-Montreal-Logo.png|Logo OWASP Montréal]]

The OWASP Foundation was established in 2001 as an open community and software security resource. Since then, OWASP has grown to be globally recognized as a credible source for application security standards. 
OWASP is an open community dedicated to enabling organizations to conceive, develop, acquire, operate, and maintain applications that can be trusted. All of the OWASP tools, documents, forums, and chapters are free and open to anyone interested in improving application security. We advocate approaching application security as a people, process, and technology problem because the most effective approaches to application security include improvements in all of these areas. 
OWASP is open to anyone. Anyone can attend OWASP's vendor agnostic local chapter meetings, participate in regional and global conferences, and contribute to the many OWASP projects. And anyone can start a new project, form a new chapter, or lend their expertise to help an OWASP Global Committee. 
On parle français aussi ! Le chapitre de Montréal organise plusieurs activités gratuites afin de partager les connaissances en sécurité applicative avec la communauté de développeurs et gestionnaires. Suivez-nous sur les réseaux sociaux pour connaître les dates des conférences du midi et des workshops ! 

Top documentation from OWASP includes:

* [https://www.owasp.org/index.php/Top_10_2013-Top_10 OWASP TOP 10 : The Ten Most Critical Web Application Security Risks]

* [https://www.owasp.org/images/3/33/OWASP_Application_Security_Verification_Standard_3.0.1.pdf OWASP ASVS : Application Security Verification Standard]

* [https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf OWASP Testing Guide : Penetration Testing Framework]

* [https://www.owasp.org/images/7/78/OWASP_AlphaRelease_CodeReviewGuide2.0.pdf OWASP Code Review Guide : Source Code Analysis Framework]

* [https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series OWASP Cheat Sheet : Best practices guidelines for developers]

* [https://www.owasp.org OWASP Global]

=== Chapter Leaders / Responsables du chapitre ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique
 
Special thanks to / Remerciements :
* Simon Lacasse, Web content / Site internet

== Reach our chapter / Joindre le chapitre ==

Follow OWASP's Montreal chapter's activities through social medias, register to events, watch the previous presentations and more!

Suivez les activités du chapitre OWASP Montréal via les réseaux sociaux, inscrivez-vous aux activités, visualisez les anciennes présentations et plus encore!

 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Click here] to join the local chapter mailing list.
 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Inscrivez-vous ici] à la liste de courriels du chapitre afin de recevoir les dernières nouvelles!

Want to be part of the community ?
Devenez membre de notre communauté !
[https://www.owasp.org/index.php/Membership_Map Click here / Cliquer ici]

[[Image:Eb_press_little.gif‎|OWASP Montreal Eventbrite|link=http://owaspmontreal.eventbrite.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Yt-brand-standard-logo-630px.png‎|128px|YouTube OWASP Montreal Channel|link=http://www.youtube.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Speakerdecklogo.png‎|Slides of OWASP Montreal on SpeakerDeck |link=https://speakerdeck.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]

 
[[Image:Twitter-bird-cropped-onwhite.png|@owaspmontreal on Twitter|link=https://twitter.com/owaspmontreal]]
[[Image:FacebookSquareLogo.png|OWASP Montreal Facebook page|link=https://www.facebook.com/owasp.montreal]]
[[Image:LinkedinSquareLogo.png|OWASP Montreal on LinkedIn|link=https://www.linkedin.com/groups/1379007/profile]]

[[Image:Spacer-horiz.gif‎]]

== Sponsorship & Membership / Commandite & Adhésion ==

[[Image:Btn_donate_SM.gif|link=http://www.regonline.com/donation_1044369]] to this chapter or become a local chapter supporter.

Or consider the value of [[Membership | Individual, Corporate, or Academic Supporter membership]]. Ready to become a member? [[Image:Join_Now_BlueIcon.JPG|75px|link=https://myowasp.force.com/]]

[http://www.regonline.com/donation_1044369 Donnez] au chapitre ou devenez commanditaire du chapitre local!

[https://myowasp.force.com/ Devenez membre !] Pour en savoir davantage sur les avantages d’une adhésion individuelle, corporative ou en tant qu’institution d’enseignement, [https://www.owasp.org/index.php/Membership cliquez ici].

[[Category:OWASP Chapter]]

== Chapter Supporters / Commanditaires du chapitre ==

[https://www.owasp.org/images/9/91/OWASP_Membership_Flyer_Montreal.png All details available here / Pour tous les détails] [[File:Chapter-supporter-owasp-montreal.png|200px|link=]]

=== Platinum / Platine ===

[[Image:Gosecure-2.png|GoSecure|link=http://www.gosecure.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[File:Desjardins2-400x400.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 
 

=== Gold / Or ===

[[Image:PM_SCADA_Logo_Gris_Cybersecurite_FR.png|PM SCADA|link=http://pmscada.ca/en/]]

 
 
 

= Lunch & Learn / Workshops 2017 =

== Cas d'attaques vécus : Internet des objets (IOT) - Attaques DDoS ==

[[Image:Cas_dattaques_vecus-r.jpg ]]
 
WHEN
June 19th 2017
WHERE
Espace Desjardins

Pour clore la saison printanière 2017, OWASP Montréal est fier d'accueillir au Midi Conférence, M. Christian Shink qui fera un survol de cas d'attaques vécus, des techniques utilisées et des acteurs impliqués dans ces attaques. 
L'incorporation généralisée de dispositifs «intelligents» dans les objets de la vie de tous les jours modifie la façon dont les gens et les machines interagissent les uns avec les autres. Cette incorporation offre une promesse d'une meilleure qualité de vie, une meilleure efficacité. En contrepartie, leur déploiement introduit également des vulnérabilités à la fois dans l'infrastructure qu'ils soutiennent et sur lesquels ils comptent, ainsi que dans les processus qu'ils guident. Que ce soit au niveau applicatif ou des infrastructures, ces vulnérabilités sont exploitées par des acteurs malicieux pour générer des attaques de déni de service massives et sophistiquées. Nous tenterons également de tirer des leçons afin de tenter de minimiser ce type d'attaques dans le futur. 
Christian Shink possède plus d’une dizaine d’années d’expérience en développement et sécurité d’applications. Avant de se joindre à Radware, Christian était à l’emploi d'une firme conseil où il a conseillé de nombreuses entreprises, dont de grandes banques américaines et Casinos. Il détient une certification CSSLP et est membre de l'ordre des ingénieurs du Québec.
 

== HOW TO! Threat Modeling Toolkit ==

[[Image:OWASPMtl-JonathanMarcil-1.jpg]]
[[Image:OWASPMtl-JonathanMarcil-3.jpg]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit]] [https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit See the slides / Voir la présentation]
 
WHEN
May 23rd, 2017
WHERE
Shopify Montreal

Threat Modeling is a great way to analyze security early in software development by structuring possible attacks, bad actors and countermeasures over a broad view of the targeted system. This talk will describe basic components of a threat model and how to use them effectively.
Threat Intelligence is where you gather knowledge about the environment and business assets to determine what are the actual threats. But how do you reconcile that with the current architecture in a useful manner?
The toolkit presented in this talk will enable you to systematically structure related information using graphical notations such as flow diagram and attack tree. In case you are wondering where to start in your organization, a quick lightweight risk rating methodology will also be proposed.
And in the end, you’ll see how we can all tie those together and get threat modeling to a point where it’s an efficient application security activity for communication. Doing this will prevent security reviews from missing important things even when chaos prevails during the realization of a project.
Modeling concepts will be demonstrated with an actual IoT device used as example.
Presentation will be done in english.

Speaker Bio:
Jonathan Marcil is the former chapter leader of OWASP Montreal and is now Senior Application Security Engineer at Blizzard Entertainment in beautiful Orange County, California.
Jonathan has been involved with OWASP for many years and has been behind the Media Project which gathered and promoted AppSec conferences video content in the official OWASP YouTube channel. He was also part of NorthSec CTF event as a challenge designer specialized in Web and imaginative contraptions.
He is passionate about Application Security and enjoys architecture analysis, code review, threat modeling and debunking security tools. He holds a diploma in Software Engineering from ÉTS Montreal and has more than 15 years of experience in Information Technology and Security.

Merci à nos précieux commanditaires !

== Security Testing: Unlocking the Benefits of a Hybrid Approach ==
[[Image:Security testing hybrid approach-r 3.jpg ]]
[[Image:Security testing hybrid approach-r 4.jpg ]]
 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/hybrid-approach-to-security-testing]] [https://speakerdeck.com/owaspmontreal/hybrid-approach-to-security-testing See the slides / Voir la présentation]
 
WHEN
April 24th, 2017
WHERE
Espace Desjardins

As part of their defensive efforts, businesses commonly commission cybersecurity assessments of their web applications; with the aim of identifying any weaknesses in the security controls and ensuring a continually strong cybersecurity posture of their systems.

The classical approach of either secure code review (white box) or penetration testing (black box) assessment have proven to be effective in securing of web applications. The new trend, however, is moving towards the combination of these two approaches; expert consensus is rapidly recognizing the advantages of using a hybrid approach. When applied properly, a hybrid approach can build on the strengths of both white and black box testing, while compensating for their individual shortcomings.

In this presentation, we will examine the details of secure code review and penetration testing, and run demos to contrast their respective strengths and weaknesses. We will also examine why a hybrid approach can produce more complete and relevant assessment results. To conclude, we will cover proven approaches, and practical techniques, on how you can start leveraging a hybrid approach to web application assessments today.

Anne Gauthier is an application security analyst at GoSecure. Anne is also the president of the Montreal Chapter of OWASP – the industry standard for web application security. With a penetration testing background, she specializes in secure code reviews and in helping companies to improve their software development lifecycle (SDLC) according to industry best practices. Anne is CSSLP, GWAPT and GSSP-JAVA certified. She obtained a Software Engineering bachelor’s degree from Ecole de Technologie Supérieure in Montréal and is now pursuing a Master of Engineering (MEng) degree in Information Systems Security at Concordia University. She is the author of the Project 201 Security blog.

Merci à nos précieux commanditaires !

== "HOW-TO" NIGHT ! Tout sur les CTFs (Capture The Flag) ==

[[Image:Howto_ctf.jpg]]
 
[[Image:Presentation-link.png | Slides | link=https://docs.google.com/presentation/d/1zEsCcX-Nvq8Nz0k-B1zHejCDNT2oGZx8oUBgMbvvMM0/edit#slide=id.p ]] [https://docs.google.com/presentation/d/1zEsCcX-Nvq8Nz0k-B1zHejCDNT2oGZx8oUBgMbvvMM0/edit#slide=id.p See the slides / Voir la présentation (Laurent Desaulniers)]
[[Image:Presentation-link.png | Slides | link=https://docs.google.com/presentation/d/1c1P1d2mKe767j1Y0V9cK6De5cpnK4I7GI-ORiodbg1A/edit#slide=id.p ]] [https://docs.google.com/presentation/d/1c1P1d2mKe767j1Y0V9cK6De5cpnK4I7GI-ORiodbg1A/edit#slide=id.p See the slides / Voir la présentation (Charles Hamilton)]
[[Image:Presentation-link.png | Slides | link=http://obilodeau.github.io/slides/2017-04-04_how-not-to-suck-at-ctfs/ ]] [http://obilodeau.github.io/slides/2017-04-04_how-not-to-suck-at-ctfs/ See the slides / Voir la présentation (Olivier Bilodeau)]
 
WHEN
April 4th, 2017
WHERE
Shopify

Cette nouvelle soirée "How-To" Night d'OWASP Montréal vise à présenter les CTFs (une compétition Capture The Flag) et aider les équipes à démarrer et à continuer à évoluer dans leurs pratique de la cyber sécurité pratique. L'objectif est d'outiller les participants en leur fournissant des ressources techniques et des contacts afin de les aider à progresser.

Les éléments discutés seront:

- Composition optimale d’une équipe : Fonctionnement d’une équipe de CTF et les principaux rôles (chef d’équipe, cryptographie, application web, rétro ingénierie et les causes perdues).

- Pourquoi faire des CTFs? Discussion sur les différents styles (jeopardy, attack/defense, etc.), quels sont les problèmes fréquemments rencontrés + plusieurs anecdotes intéressantes (et drôles).

- Trucs de Mr. Unikoder : Le créateur du fameux site ringzer0team, soit un des plus gros sites pour apprendre la résolution de problèmes de CTF (https://ringzer0team.com/) Apprenez des trucs du meilleur, sur comment débuter et interpréter un challenge web, binaire et crypto avec des trucs réels du métier.

Matériel requis :

Votre légendaire enthousiasme

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement.

Présentateurs :

Charles Hamilton, Senior Consultant chez Mandiant, FireEye, Inc.

Olivier Bilodeau, Cybersecurity Research Lead at GoSecure

Laurent Desaulniers, Senior Security Solution Specialist at Bell Canada

== NorthSec - Applied Security Event ==
[[Image:Nsec_2017_midi_conf.jpg]] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/northsec-applied-security-event]] [https://speakerdeck.com/owaspmontreal/northsec-applied-security-event See the slides / Voir la présentation]
 
WHEN
April 4th, 2017
WHERE
Espace Desjardins

NorthSec: La plus grande compétition et conférence en cyber sécurité au Canada

NorthSec est un organisme sans but lucratif qui organise une conférence et une compétition de sécurité de type "Capture-The-Flag" (CTF) et des formations. Avec plus de 400 participants présents sur le site pour la compétition, c’est la plus grande compétition du genre au monde.

La conférence, dans sa 3e année, attire des présentateurs internationaux avec du contenu technique exclusif. L’ajout des séances de travail (workshops) devrait plaire aux plus chevronnés des binaires.

Des formations de 3 jours sont offertes avant la conférence: "Advanced Web Application Security" par Philippe Arteau et "Malware and Memory Forensics" par Michael Ligh, co-auteur des livres "Malware Analyst Cookbook" et "The Art of Memory Forensics".

NorthSec est situé au Marché Bonsecours dans le Vieux-Port de Montréal au printemps du 15 au 21 mai 2017.

La présentation couvrira:

- Le plan pour 2017 
- Ce qui différencie NorthSec 
- Comment équilibrer une compétition pour les débutants et les experts 
- Comment bâtir une infrastructure basée sur les conteneurs qui gère 50 équipes dans quelques serveurs sans qu’ils ne se partagent de machines virtuelles 
- Comment faire du pain au levain à grande échelle 
- Présentation de quelques défis et solutions 

Les présentateurs:

- Gabriel Tremblay, Président, Delve Labs 
- Olivier Bilodeau, VP Formations, Co-fondateur MontréHack, GoSecure 
- Pierre-David Oriol, VP Conférences, Delve Labs 
- Benoit Guérette, VP Partenaires, Desjardins 
- Laurent Desaulniers, Tisserand de drapeaux, Bell Canada 

Merci à nos précieux commanditaires !

== Sécurité des applications : Les fondements ==
[[Image:Tanya.jpeg]] 

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/securite-des-applications-les-fondements]] [https://speakerdeck.com/owaspmontreal/securite-des-applications-les-fondements See the slides / Voir la présentation]
 
WHEN
March 20th, 2017
WHERE
Espace Desjardins

OWASP Montréal est fier d’accueillir au Midi Conférence du mois de mars, Mme Tanya Janca, Co-Leader du chapitre OWASP Ottawa et spécialiste de la sécurité applicative au sein du Gouvernement fédéral.

La conférence « Les fondements de la sécurité des applications » sera présentée en anglais.

Session Description : Everyone has heard about the problem; everyone is “getting hacked”. But what is the answer? From scanning your code with a vulnerability scanner to red teaming exercises, developer education programs and bug bounties, this talk will take the audience through all the possibilities of an extensive application security program, with a detailed explanation of each part.

Bio : Tanya Janca is an application security evangelist, a web application penetration tester and vulnerability assessor, a secure code reviewer, an ethical hacker, the Co-Leader of the OWASP Ottawa chapter, and has been developing software since the late 90’s. She has worn many hats and done many things, including; Custom Apps, Ethical Hacking, COTS, Incident Response, Enterprise Architect, Project and People Management, and even Tech Support. She is currently helping the Government of Canada secure their web applications.

Merci à notre commanditaire principal de cet événement: Ubitrak!

== WORKSHOP ! Server Side Template Injection (SSTI) ==

[[Image:Workshop-okiok-SSTI-r.jpg | WORKSHOP ! Server Side Template Injection (SSTI) ]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti]] [https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti See the slides / Voir la présentation]

WHEN
22 Février 2017
WHERE
Shopify Montréal

OWASP Montreal vous invite à un atelier portant sur la sécurité des applications web supportant les moteurs de template (Template Engine). Le principe de séparation entre la présentation du site (code HTML statique) et de son contenu dynamique facilite la création de documents HTML et la capacité à modifier l'apparence du site sans mélanger le traitement et le rendu de la page. L'utilisation de moteurs de template amène de nouveaux enjeux de sécurité. Les vulnérabilités de type Server Side Template Injection (SSTI) sont exploitables à travers les données (non fiables) fournies par l'utilisateur et conduisent à l'exécution de code arbitraire (RCE) sur le serveur hébergeant l'application web. 

Ce workshop a pour but d'introduire cette classe de vulnérabilité à travers différents cas d'implémentation (php, java, python).
Nous verrons comment identifier et exploiter ces vulnérabilités et de quelle manière un attaquant peut
s'y prendre pour exécuter du code arbitraire sur le serveur afin d'en prendre le contrôle. 

Niveau : Intermédiaire 
Matériel requis :
* Votre portable
* Votre distribution Linux/Unix de votre choix
* Votre proxy Web de votre choix

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.
Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.
Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement. 

Présentateur : Gérôme Dieu 
Gérôme Dieu cumule plus de 7 années d’expérience en technologies de l’information et en sécurité.
Il œuvre à titre de conseiller senior en sécurité de l’information au sein de la firme OKIOK. Ces dernières années, il a acquis une expertise dans le domaine de la sécurité des applications web aussi bien d'un point de vue offensif que défensif. En plus de réaliser des tests d’intrusion pour des clients internationaux, Gérôme s’implique dans la recherche et développement afin de maintenir à la fine pointe de la technologie les tests d'intrusion et d'analyse de vulnérabilités. 

Merci à Shopify d'héberger l'événement ! 
[[Image:Shopify Logo-r.png| Shopify | link=https://www.shopify.com/]]
== Le courriel en 2017 – risques et menaces pour tous ==

[[Image:Zero spam 2.jpg|Le courriel en 2017 – risques et menaces pour tous]]

[[Image:Video-link.png | Link to video | link=https://www.youtube.com/watch?v=HX2vcijcCWw ]] [https://www.youtube.com/watch?v=HX2vcijcCWw Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

WHEN
Le 23 janvier 2017 à midi
WHERE
Espace Desjardins

Monsieur Poellhuber nous brossera un tableau du phénomène grandissant du rançongiciels et de l'hameçonnage, personnification. 

- Par les années passées, la menace courriel se résumait principalement en un fort volume de contenu simplement indésirable. Aujourd’hui la menace a passablement évolué. Quels sont les véritables risques actuels associés au courriel ? Rançongiciels, hameçonnage, personnification. Cette conférence présentera les nouveaux défis de sécurité pour les organisations qui doivent composer avec des attaques de plus en plus sophistiquées et de plus en plus ciblées tout en protégeant leur réputation. Des exemples biens réels, drôles et moins drôles seront disséqués pour bien dessiner l’ampleur de l’enjeu. 

M. David Poellhuber, Chef de l’exploitation, ZEROSPAM Sécurité Inc 

Note biographique : 
Monsieur David Poellhuber oeuvre dans l’industrie de la sécurité informatique depuis quinze ans. Il a été conférencier dans plusieurs forums de sécurité au Canada et est maintenant reconnu comme une autorité en matière de sécurité du courriel. Il a fondé ZEROSPAM Sécurité en 2003, le premier service Québécois externalisé de sécurité du courriel infonuagique qui se distingue par sa convivialité, son efficacité et ses technologies de détection proactives. 
Audience : Généralistes et spécialistes de la sécurité des TI
 
Merci à Ubitrack pour le repas et à Desjardins d'héberger l'événement!

[[Image:Ubitrak-r2.jpg|Ubitrak|link=http://www.ubitrak.com/fr/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]

== Effective XSS Mitigation ==

[[Image:XSS mitigation.jpg | Effective XSS Mitigation ]]

[[Image:Presentation-link.png | Slides| link=http://slides.com/olivierarteau/xss-mitigation ]] [http://slides.com/olivierarteau/xss-mitigation See the slides / Voir la présentation]

WHEN
18 Janvier 2017
WHERE
Google Montréal

FRANÇAIS/ENGLISH 
La mitigation de XSS a été un sujet important au cours des dernières années. Les navigateurs ont implémenté, en autre, deux fonctionnalités pour mitiger leur impact : l'entête "XSS-Protection" et l'entête "Content-Security-Policy". Par contre, obtenir une mitigation contre les XSS efficace est souvent plus complexe que l'on pense. Cet atelier couvrira les deux entêtes. Il expliquera comme il est possible de contourner ces protections et ce qu'il est possible de faire pour se protéger. Des exercices de type "offensif" et "défensif" seront proposés.
Mitigation for XSS as been an important topic in the last few years. Browsers have implemented two main functionalities to help mitigate the impact of XSS : the "XSS-Protection" header and the "Content-Security-Policy" header. But, getting an effective XSS mitigation of those headers is trickier than it may seem. This workshop will cover both of those headers. It will explain how bypass of those protection work and what you can do about it. It will have both "defensive" exercises and "offensive" exercises.
Niveau : débutant/intermédiaire
 
Matériel requis :

Votre portable 

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Google pour l'événement.
 
Présentateur : Olivier Arteau
 
Olivier Arteau est un professionnel en sécurité informatique depuis quelques années et fait partie de l’équipe de test d’intrusion de Desjardins. Il est aussi un amateur de CTF qui a gagné à plusieurs reprises le CTF du NorthSec avec l’équipe HackToute et participe fréquemment à d’autres CTF avec l’équipe DCIETS.
 

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

= Lunch & Learn / Workshops 2015-2016 =

== WORKSHOP ! Top 10 OWASP - Unleash the threats ==

[[Image:Workshop-top10.jpg | WORKSHOP! Top 10 OWASP - Unleash the threats ]]

WHEN
30 novembre 2016 de 17h30 à 20h30
WHERE
Immunio @ WeWork

De nos jours, la sécurité applicative est essentielle dans l’écosystème des entreprises de toutes tailles. Les vecteurs d’attaques sont multiples, les vulnérabilités de sécurité dans les applications peuvent être désastreuses et les impacts d’un « Hack » peuvent être irréversibles pour l’entreprise; vols de données sensibles, perte de réputation, perte de $$$$$, etc.
L’objectif du workshop est de comprendre la base sur les vulnérabilités de sécurité dans les applications et les techniques d’exploitation utilisées par les pirates informatiques, en plus de connaître les bonnes pratiques de développement en matière de sécurité applicative.
Avec l'aide de WebGoat, Damn Vulnerable Web Application et de Kali Linux, vous pourrez participer
à l'exploitation des applications et découvrir les techniques utilisées par les attaquants.

Niveau : débutant

Matériel requis :
Votre portable
Kali Linux
La VM du workshop, envoyée aux participants

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places très limitées (nb = 10). Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Immunio & WeWork pour l'événement.

Présentateur : Christian Leclerc

Christian est spécialisé en conception et développement de solutions web sécuritaires. Tout au long de sa carrière, il a acquis une vaste expertise sur plusieurs types de technologies et méthodologies, intégré la sécurité dans le cycle de développement d’applications, effectué des revues de code sécurité, déployé des outils d’analyse des vulnérabilités et mis en place des systèmes d’authentification. De plus, il a participé à la conception et au développement de solutions sécuritaires de pointe comme la signature électronique à l’aide d’une infrastructure à clé publique (PKI), les authentifications fortes, le Registre des consentements au don d'organes et de tissus (RDOQ.org) et la migration de plusieurs applications web vers un environnement SOA (Service Oriented Architecture).
 Merci à Immunio & WeWork d'héberger l'événement! 

[[Image:Immunio-horizontal-r.png|Immunio|link=https://www.immun.io/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Wework-r.jpg|WeWork|link=https://www.wework.com/]]
 

== Histoire d'un Hack ==

[[Image:Histoire-dun-hack-r.jpg | Histoire d'un Hack ]]

WHEN
21 novembre 2016 à midi
WHERE
Espace Desjardins

Pour son activité du mois de novembre, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de faire l'autopsie d'une attaque de haute voltige sur un site web et des outils mis à la disposition par OWASP.

Bernard Bolduc cumule plus de 17 années d’expérience en technologies de l’information et en sécurité. Il œuvre à titre de conseiller senior en sécurité de l’information au niveau d’entreprise de classe nationale et internationale.

Bernard se spécialise en sécurité Unix, applicative et en gestion de la sécurité des télécommunications. Il combine ces expertises techniques afin d’obtenir des résultats probants et efficaces pour ces clients des secteurs bancaire, télécommunication et multimédias, de l’énergie ou des services publiques. Tout au long de sa carrière, Bernard s’est toujours maintenu à jour sur les dernières menaces de sécurité technologique et commerciale en assistant à des formations spécialisées et d'échanger avec un grand nombre de partenaires dans l'industrie de la sécurité.

La conférence débute à midi.

La conférence vous donne droit à 1 CPE et pour les 50 premières personnes, un lunch gratuit.

Merci à Desjardins d'héberger l'événement!

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite) ==

[[Image:Workshop-zap-mix.jpg | Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite)]]

WHEN
11 novembre 2016 de 18h à 21h

WHERE
Google Montréal

OWASP Zed Attack Proxy (ZAP) est un scanneur de vulnérabilités et un outil de débogage HTTP. Ce type d'outil est crucial dans un test d'intrusion web et contient un lot intéressant de fonctionnalités. Cela dit, il est possible d'étendre les fonctionnalités. Plusieurs types d'extension sont possibles : vue alternative pour les requêtes ou les réponses, scanneur passif des réponses, scanneur actif produisant des requêtes, etc.

Plusieurs options seront données, par exemple :

Détection automatique de flag dans les sources
Scanneur actif asynchrone DNS
Ou votre propre idée

Pour chacune des suggestions, des squelettes de code seront fournis pour les APIs de ZAP. Pour les utilisateurs de BurpSuite, des directives analogues seront également données.

Niveau : débutant / intermédiaire

Matériel requis

Votre portable
[https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project OWASP ZAP (gratuit)]
[https://portswigger.net/burp/download.html BurpSuite]
Éditeur de code pour Java, Python ou Ruby

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Présentateur : Philippe Arteau

Philippe est un chercheur en cybersécurité chez GoSecure. Il est l'auteur de l'outil d'analyse statique Java "Find Security Bugs". Il a découvert des vulnérabilités importantes dans les logiciels populaires tels que Google Chrome, Dropbox, Paypal, RunKeeper et Jira. Il a présenté dans différentes conférences incluant Black Hat USA, Black Hat Europe, ATL Sec Con, NorthSec, Hackfest (QC) et JavaOne. Il a développé de nombreux plug-ins pour les outils de proxy BurpSuite et OWASP ZAP (Retire.js, Reissue Request Script, PDF preview et Image Metadata). Il a fait également des contributions à d'autres plug-ins comme J2eeScan.

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

==Logiciel de rançon (Ransomware) s'attaque au domaine de la santé==

[[Image:HackingHealth-2.jpg | Logiciel de rançon (Ransomware) s'attaque au domaine de la santé ]]

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health ]] [https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health See the slides / Voir la présentation]

(Conférence en anglais)
Pour le lancement de la saison 2016 - 2017, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de la santé une incursion dans le monde du logiciel malveillant ciblant le domaine de la santé. 
Cette conférence s'intége dans le Coopérathon co-organisé par le Mouvement Desjardins et Hacking Health. 
Le domaine de la santé serait devenu une cible privilégiée des campagnes de ransomware parce que l'industrie a souvent payé la rançon demandée pour récupérer les données confidentielles et vitales de ses clients. Monsieur Ed Gershfang nous brossera un portrait du phénomène et des meilleures pratiques à mettre en place en matière de sécurité applicative.
Ed Gershfang possède une expérience solide dans l'infrastructure informatique et plus de 6 ans d'expérience dans les domaines de la sécurité de l'information, de la vulnérabilité, de la gouvernance et de la gestion des risques. Il était directeur de la sécurité pour la société PeriGen, un chef de file de développement de logiciels médicaux en Israël.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative vue par un pentesteur ==

[[Image:Juin2016-OWASPMtl.jpg | OWASP Montréal reçoit Mario Contestabile, Pentester de renom ]]
 
From Left to Right : Isabelle Lusseyran, Head of Development at Hacking Health. Eduard Gershfang Information Security Analyst at WSP | Parsons Brinckerhoff.

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile ]] [https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile See the slides / Voir la présentation]
 
Pour clore la saison 2015 – 2016, OWASP Montréal est fier d’accueillir au Midi Conférence un des architectes de renom du développement applicatif au Canada, monsieur Mario Contestabile.
En tant qu’auteur de plusieurs centaines de tests d’intrusion, il connait tous les rouages de ce qu’est véritablement une application Web «sécurisée». Mais avez-vous déjà remarqué que les rapports de tests d’intrusion mentionnent rarement, voir jamais : «Votre site est très difficile à pirater. Félicitations !» ?
Et qu’en est-il de ces rapports qui contiennent des dizaines de soi-disant vulnérabilités ? Est-ce que cela signifie d’emblée que l’application devrait être mise hors ligne ?
 
Lors de cette conférence, nous examinerons des rapports concrets (ambigus) de vulnérabilités et nous les analyserons afin de mieux comprendre si elles représentent une véritable menace, ou si elles ne servent qu’à «remplir» les rapports.
 
Avec son expertise en protection et en attaque d’applications Web, il abordera les points suivants :
Comment pouvez-vous sélectionner des systèmes de façon à mieux exécuter des protections de sécurité ?
Éviter certains pièges dans votre application Web qui rendent les attaques plus faciles et la protection plus difficile.
De nos jours, que peuvent faire les développeurs à l’intérieur de systèmes communs, qui puisse me rendre la tâche plus ardue en tant que « hacker »?
Pouvons-nous exiger de meilleurs rapports de la part des firmes de sécurité?
À quoi devrions-nous nous attendre de la part d’un « pentesters »?
Comment pouvons-nous savoir si le « pentester » a vérifié les failles de l’application et qu’il n’a pas simplement utilisé un scanneur?
Et enfin, comment pouvons-nous aider les « ethical hackers » à obtenir un meilleur rendement lors d’un test d’intrusion?
Il expliquera le sujet en détails, et ensemble, nous verrons de quelles façons les développeurs d’applications peuvent exploiter le savoir-faire des « pentesters », et comment nous pouvons faire en sorte qu’une application Web soit protégée.
Biographie :
Mario Contestabile est reconnu comme l’un des experts en sécurité les plus réputés au Canada. Son expertise, construire et protéger votre plateforme applicative. Ancien développeur C++ et Java, Mario partage ses nombreuses connaissances en « ethical hacking » et en développement de codes sécurisé.
 
WHEN
Tuesday, 14 June 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Comment protéger les applications mobiles? ==

[[Image:Avril2016-OWASPMtl.png | Comment protéger les applications mobiles? ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles ]] [https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles See the slides / Voir la présentation]
 
Dans le cadre des Midis Conférence à l'Espace Desjardins, l'équipe OWASP Montréal vous invite à assister à une présentation sur les vulnérabilités les plus communes associées aux appareils mobiles.
Marie-Claire Willig détaillera entre autres comment stocker de façon sécuritaire les données de l’application mobile ainsi que protéger l’application contre des attaques externes. Des outils simples vous seront dévoilés pour détecter ces vulnérabilités.
Marie-Claire est une professionnelle d'expérience en sécurité appliquée.
Une grande partie de son intérêt professionnel réside actuellement dans un domaine assez niche, soit la revue de code sécuritaire, un fondement important de tout cycle de développement sécuritaire en entreprise.
Au sein de l'équipe de sécurité technologique Desjardins, elle est, en autre, responsable de former les développeurs (Java et .NET principalement) afin de les sensibiliser aux meilleures pratiques de développement sécuritaire.
Également, elle est une professionnelle des tests d'intrusion sur les applications web, les applications mobiles ainsi que l'infrastructure réseau.
Bienvenue à tous
 
WHEN
Wednesday, 20 April 2016 from 12:15 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ==

[[Image:Mars2016-OWASPMtl.jpg | NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/YQtvltQYs7Y]] [https://youtu.be/YQtvltQYs7Y Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
OWASP Montréal est fier d’inviter au Midi Conférence de mars, NorthSec est le plus gros événement de sécurité appliquée au Canada qui comprend deux jours de formation, deux jours de conférences ainsi qu’une compétition du genre « capture the flag » (CTF) de trois jours.
Gabriel Tremblay, Benoit Guerette, Pierre-David Oriol et Laurent Desaulniers viendront vous parler de cet organisme sans but lucratif dynamique qui est géré par une équipe de bénévoles passionnés qui donnent à chaque année leur énergie et leur temps pour soutenir la communauté de la sécurité de l’information.
Le volet compétition, l’épreuve maîtresse, est présentée sous forme d’un scénario qui rend cohérent une centaine de défis techniques. Les équipes de participants attaquent l’infrastructure de compétition pour soutirer des drapeaux (flags) à travers un ensemble de vulnérabilités présentes comme de l’injection SQL, des XSS ou encore l’exploitation d’exécutables sur systèmes embarqués. Quelques exemples de défis des années passées seront également présentés.
Le volet conférence, qui est à sa 2ème année, met de l’avant plusieurs présentations techniques touchant la sécurité applicative mais aussi l’éthique et leurs impacts sociaux. Certaines présentations confirmées seront dévoilés.
Le tout nouveau volet formation propose deux formations en sécurité applicative de calibre international (anglais) : “Advanced Web Security Testing with Burp Pro” et “Modern Object-Oriented Malware Reverse Engineering”.
Venez aussi, découvrir comment l'équipe est partie d'une idée en 2012 pour se rendre à un évènement d'envergure, qui rassemblera plus de 600 professionnels, étudiants et autres passionnés de sécurité appliquée lors de la 4ème édition qui aura lieu du 17 au 22 mai 2016 au Marché Bonsecours.
Finalement, la mission, la vision ainsi que les activités sociales de la semaine de NorthSec sont aussi au menu de cette présentation qui sera suivie d’une période de questions.

Gabriel Tremblay, Delve Labs, Président
Benoit Guerette, Desjardins, VP Finances

Pierre-David Oriol, Delve Labs, VP Conférence
Laurent Desaulniers, Bell Canada, Artisant de drapeaux
 
WHEN
Wednesday, 23 March 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative et l'hameçonnage - February 24th ==

[[Image:Fevrier2016-OWASPMtl.jpg | La sécurité applicative et l'hameçonnage ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/1RYlOiIENjQ]] [https://youtu.be/1RYlOiIENjQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 

De nos jours, une des méthodes les plus efficaces pour contourner les périmètres de sécurité externes est l'hameçonnage conjointement avec l’abus de certaines technologies Web.

Dans le cadre ses activités, OWASP Montréal est heureux d'inviter d'accueillir, l'équipe OKIOK qui présentera les impacts liés à ce type d'attaque, tel que vu et expérimenté en entreprise ainsi que les plans d'action pour traiter ces risques. La présentation abordera aussi bien la sécurité web et applicatives, des systèmes informatiques ainsi que de la sécurité physique de centres de données.

Capture d'informations sensibles par imitations de portails Web ;
Authentification Web par 2-facteurs ;
Injection SMTP dans des formulaires Web ;
Attaque de type “Drive-by-download”;
Prise de contrôle à distance à travers des flux HTTP;
Attaque de CSRF à partir de courriels ;
Attaque d'hameçonnage basée sur des achats par Internet (ex : PayPal).
 
When
Wednesday, 24 February 2016 from 12:00 PM to 1:15 PM (EST) - Add to Calendar
Where
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest Montreal, Quebec CA

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Internet of {Things, Threats} - January 20th ==

[[Image:Janvier2016-OWASPMtl-R.png | Internet of {Things, Threats} ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html ]] [http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html See the slides / Voir la présentation]
 
De plus en plus de périphériques se retrouvent connectés sur Internet. Sous la bannière "Internet of Things" (IoT) ces équipements, que ce soit une pompe à insuline ou un système de caméra de sécurité, tournent généralement sous un système GNU/Linux embarqué d'architecture MIPS ou ARM. La difficulté de mettre à jour ces équipements ainsi que le peu d'effort mis dans la sécurité des systèmes ou la sécurité applicative en font des cibles de choix. Ces derniers mois, nous avons analysé plusieurs logiciels malveillants ciblant ces architectures. Que ce soit par l'exploitation d'une vulnérabilité (Shellshock) ou encore un défaut de configuration, ces systèmes exposés sur Internet peuvent être compromis.

Notre présentation couvrira quelques une de ces analyses:

* Linux/Moose, un malware se propageant automatiquement qui fraude les réseaux sociaux (par exemple Facebook, Twitter et YouTube)
* LizardSquad et acteurs étrangers qui utilisent des systèmes embarqués compromis pour réaliser des dénis de service distribué (DDoS)
* Win32/RBrute est un logiciel malveillant qui tente de changer les paramètres de routeurs dans le but de faire du "DNS poisoning". Il a été distribué par le populaire botnet Sality.
* Un kit d'exploits qui utilise seulement le navigateur de leur victime avec le même objectif, c'est-à-dire faire du "DNS poisoning".

Enfin, des conseils seront proposés à l'audience pour l'aider à se protéger de ces menaces.

'''Thomas Dupuy''' (twitter: @nyx__o)

Thomas est chercheur en logiciel malveillant chez ESET Canada Recherche. Bon vivant, Thomas déjeune en "reversant" des binaires, contribue à quelques projets open source durant le diner (yara, yara rules, pefile, APTnotes) et la nuit participe à des "Hacking Games" (Capture The Flag). Curieux de nature Thomas analyse des malware aux architectures "exotiques".

'''Olivier Bilodeau''' (twitter: @obilodeau)

Olivier Bilodeau is the head of Cybersecurity Research at GoSecure a consultancy firm specializing in cybersecurity services for the public and private sector. With more than 10 years of infosec experience, Olivier worked on Unix servers at Bell Canada, managed a portion of Air Canada's network, wrote open source network access control software at Inverse and worked as a Malware Researcher at ESET. He likes to reverse engineer everything that crosses his path, participate in information security capture-the-flag competitions, hack open source code and brew beer. He has spoken at various conferences (Defcon, Botconf, VirusBulletin, Derbycon, ...), used to lecture on information security at ETS University in Montreal, drives the NorthSec Hacker Jeopardy and co-organizes the MontreHack capture-the-flag training initiative. His primary research interests include reverse-engineering tools, Linux and/or embedded malware and honeypots.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Survivre aux attaques DDOS applicatives ==

[[Image:Decembre2015-OWASPMtl.jpg | Survivre aux attaques DDOS applicatives ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
Survivre aux attaques DDOS (Distributed Denial-Of-Service) applicatives.
Cette conférence s'adresse aux professionnels et gestionnaires des TI.
Conférencier : Christian Shink, ing., CSSLP, ingénieur système chez Radware, manufacturier spécialisé dans la prévention des attaques DDOS. Il fut également consultant en sécurité applicative chez In Fidem.
Objectifs de la conférence:
Présenter les tendances actuelles en matière d'attaques DDOS applicatives.
Renseigner les participants sur les techniques et stratégies pour contrer ces attaques illustrées à partir de cas vécus.
Démystifier certains mythes en ce qui concernent les façons efficaces de protéger les applications contre des attaques DDOS.
Date : 16 décembre 2015
Heure : 11h45
La conférence débute à 12h00 et se termine à 12:55.
Un lunch sera servi.
Réservez maintenant!
1 CPE
 
WHEN
Wednesday, 16 December 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Sécurité des applications - Systèmes de contrôles industriels ==

[[Image:Novembre2015-OWASPMtl-R.png | Sécurité des applications - Systèmes de contrôles industriels ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/0eAZpyiQQ9A]] [https://youtu.be/0eAZpyiQQ9A Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

La sécurité des applications et les systèmes de contrôles industriels.
Cette conférence s'adresse aux professionnels et gestionnaires des TI desinfrastructures critiques qui exploitent ou gèrent des systèmes de contrôles industriels(SCI) et SCADA (surveillance et d'acquisition de données). 
Conférenciers : Robert Nastas, CSSA. Gestionnaire de projet et Youssef Jad, Architecte Cyber sécurité, ICS-CERT 
 
Objectifs de la conférence:
* Démystifier le domaine d'affaires.
* Renseigner les participants sur les bonnes pratiques de sécurité desapplications liées au secteur industriel.
* Proposer aux professionnels et gestionnaires des TI responsables dessystèmes SCADA et SCI des pistes de solutions aux enjeux de sécurité.
 
L'équipe OWASP Montréal vous remercie d'avoir assisté en grand nombre à la conférence, 'La sécurité des applications et les systèmes de contrôles industriels'.
 
WHEN
Wednesday, 18 November 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ==

[[Image:Septembre2015-OWASPMtl.jpg | Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert ]] [https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert See the slides / Voir la présentation]
 
Pour le lancement des activités corporatives de la saison 2015 - 2016, le 8 septembre prochain à 12:00, l'équipe OWASP Montréal convie les gestionnaires et artisants de la sécurité des TIC à venir entendre monsieur Éric Hébert qui nous présentera son interprétation des préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative. L'événement se tiendra au complexe Desjardins à la salle "Espace Desjardins".

''' ÉRIC G. HÉBERT, CISM, CISSP ''' 
Après plus de 20 ans passés dans le domaine de la sécurité des technologies de l’information, Éric se spécialise dans la mise en œuvre et la gestion d'équipes performantes, capables de relever les plus hauts défis de la cybersécurité moderne. 
Capable de dialoguer avec les hauts dirigeants, il sait traduire et vulgariser les enjeux techniques complexes tout en respectant la nature et l'appétence au risque de ses clients. Dynamique et pourvu d'une expérience couvrant presque toutes les sphères de la SI, il fonce dans le respect de la culture établie tout en implantant des solutions pragmatiques et efficaces. 
Depuis plus de 10 ans, il gravite principalement autour des entreprises du domaine financier (BNC, Desjardins, Fonds de solidarité FTQ...) et les accompagne dans la mise en place de solutions efficaces tenant compte à la fois des risques et des budgets.
En plus d’avoir fondé de nombreuses associations telles que le RéseauSécurIT et le RPSI, il maintient une présence régulière auprès des milieux associatifs professionnels et partage régulièrement ses expériences lors de conférences et d'entrevues avec divers médias.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

= Events / Évènements =

== Owasp Montreal at [https://nsec.io/ NorthSec 2017] ==

[[Image:NorthSec2017-5.jpg]]
[[Image:NorthSec2017-6.jpg]]

From Left to Right: Anne Gauthier, OWASP Montréal Chapter Leader (President) and Application Security Analyst at GoSecure, Hugo Genesse, OWASP Montréal Chapter Leader and Research Intern at PNF Software, Julien, OWASP Montréal Chapter Leader

== OWASP Montreal at [https://2017.appsec.eu/ AppSec] ==

[[Image:OWASPAppSecBelfast2017-7.jpg]]

OWASP Montreal and Ottawa Chapter Leaders at OWASP AppSec Belfast, UK #WomenInAppSec

== OWASP Montreal at [https://hackfest.ca/ HackFest 2016] ==

[[Image:Hackfest2016-r.jpg| HackFest |link=https://hackfest.ca/]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Louis Nadeau, OWASP Québec Chapter Leader and Manager, Product Security at Bentley Systems and Patrick Leclerc, OWASP Québec Chapter Leader and Information Security Advisor at La Capitale.

== OWASP Montreal at OWASP [https://2016.appsecusa.org/ AppSec USA 2016, Washington] ==
 
 
[[Image:OWASPMtl-AppSecUSA2016-Washington.jpg | OWASP Montreal at AppSec USA 2016, Washington]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016, Alexandre Hamelin President at Synlabs Consulting Inc., Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [https://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

== OWASP Montréal at [https://www.gosec.net GoSec] 2016 ==

[[Image:OWASP-GoSec2016-1r.jpg|OWASP Montreal at GoSec 2016]] [[Image:OWASP-GoSec2016-2r.jpg|OWASP Montreal at GoSec 2016]]
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Simon Lacasse, student and volunteer, and Laurent Desaulniers, Security Analyst at Bell Canada.

== OWASP Montréal at [https://www.nsec.io/ NorthSec] 2016 – Annual Applied Security Event ==

[[Image:Hackfest2016-OWASPMtl.jpg|OWASP Montreal at NorthSec 2016]]

@Photo : Simon Veilleux
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Olivier Arteau OWASP Montréal Chapter Leader and Conseiller chez Groupe Technologie Desjardins, Hugo Genesse, OWASP Montréal Chapter Leader and Vulnerability Research Intern at Wurldtech Security Technologies.

== OWASP Montréal at [https://hackfest.ca/en/ Hackfest] 2015 ==

[[Image:Hackfest2015-OWASPMtl-R.JPG | OWASP Montreal at Hackfest 2015]]

@Photo : Hackfest
 
 
From left to right : Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [http://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

[[Image:Video-link.png | Link to video | link=https://youtu.be/8U0qkEuUFy8]] [https://youtu.be/8U0qkEuUFy8 Watch the video / Regarder la vidéo]

== OWASP Montréal at [https://www.gosec.net/ GoSec] 2015 – The Annual Cybersecurity Conference presented by GoSecure, EY and ISACA. ==

[[Image:GoSec2015-OWASPMtl.jpg|OWASP Montreal at GoSec 2015]]

@Photo : Marius Popescu
 
 
From left to right : Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016. Benoît Guérette, Application Security Team Leader at Desjardins, VP Finance at NorthSec and OWASP Montreal Chapter Founder and Former Chapter Leader.

== See also / Voir aussi ==

OWASP Montréal recommends Montréhack. Learn and share knowledge on IT security by solving technical challenges. Third Monday of every month.

OWASP Montréal recommende Montréhack. Apprends et partages des connaissances sur la sécurité informatique en travaillant des problèmes appliqués. Chaque troisième lundi du mois.

[[File:Montrehack.png|Montréhack|link=http://montrehack.ca/|alt=Montréhack]]

= Archives 2007-2015 =
{{:Montreal chapter past meetings}}

== OWASP Montreal - February 3rd - Getting to Know the Software Assurance Marketplace (SWAMP) ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/p4_vjufcB6Q]] [https://youtu.be/p4_vjufcB6Q Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer]] [https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Pat Beyer
*'''ADDITIONAL PRESENTER:''' Abe Megahed
*'''ABSTRACT:''' The Software Assurance Marketplace (SWAMP) is an open facility that is designed, built, and operated by four research institutions. The SWAMP provides no-cost access to an array of open-source and commercial software analysis tools. This presentation will provide an overview and demo of the SWAMP, including our goals, intended audience, current capabilities, and future plans. We will cover our relationship with OWASP, incorporation of open-source software assurance tools, and status as an open-source project and resource available to the software community. Visit https://continuousassurance.org/ to learn more about us.
*'''BIO:''' Pat Beyer serves as the Product Manager for the Software Assurance Marketplace (SWAMP). With over 25 years of experience successfully managing multi-million dollar global projects, Beyer’s expertise extends to the IT, construction, and operations sectors, with a specialization in managing government contracts and grants. A gifted communicator, Beyer is a sought after speaker due to his ability to deliver complex information about technology products and services in a way that is easily understood. He is a decorated combat veteran of the Global War on Terror, the international military campaign that started following the 9/11 terrorist attacks on the United States. In 2004, he constructed and rehabilitated over 20 schools, clinics, and water treatment plants for the Iraqi people using local contractors. Beyer also holds a Bachelor of Science, a Masters in Business Administration, a Ph.D. in Organization and Management, and a Project Management Professional (PMP) certification.
*'''BIO:''' Abe Megahed is a web developer for the Software Assurance Marketplace. In previous lifetimes, he has been a computer graphics researcher, a game programmer, a programming language and compiler nerd, a dot com company founder, a creator of helicopter simulations, and a developer of 3D simulations for NASA astronaut crew training.
*'''WHEN:''' Tuesday, February 3rd 2015
*'''WHERE:''' Room PK-1140 - UQAM Pavillon Président-Kennedy, 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' https://owaspmtlswamp2015.eventbrite.ca
*'''WEBCAST:''' https://www.youtube.com/watch?v=p4_vjufcB6Q
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer

*'''ACADEMIC PARTNER:''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session: Getting to Know the Software Assurance Marketplace
20:00-... End of the meeting

[[Image:SWAMP-Logo-Final-Med.png|300px|link=https://continuousassurance.org/]]
[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

== OWASP Montréal - 4 décembre - Malware côté serveur — évolution, méthodes d’opération et forensic Linux ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/lo8WDl-WQ3E]] [https://youtu.be/lo8WDl-WQ3E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille]] [https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Marc-Etienne M.Léveillé
*'''RÉSUMÉ:''' Les logiciels malveillants ciblant les serveurs ont évolué. Ils sont utilisés par des groupes de cybercriminels organisés dans le but de faire du profit via des redirections web et l’envoie de pourriels. La présentation portera sur Opération Windigo, une opération malveillante qui a affecté plus de 25 000 serveurs dans le monde. Après une brève description des composantes de Windigo, nous verrons comment les opérateurs déploient leurs logiciels malveillants et surveille leur réseau de serveurs infectés. Des trucs pratiques pour faire de la forensics sur des systèmes Linux seront donnés. Cette présentation est une suite à la présentation "Linux/Cdorked: Server side malware", donnée par Olivier Bilodeau à OWASP Montréal en 2013. La présentation sera en français avec des diapositives en anglais (aka Montreal-style).
*'''BIO:''' Marc-Etienne est un chercheur en logiciel malveillant chez ESET depuis 2012. Il se spécialise dans les logiciels malveillants qui s’attaquent à des plateformes inhabituelles comme aux produits fruités et aux oiseaux nordiques. Dernièrement, il passe beaucoup de son temps à faire la rétro-ingénierie de logiciels malveillants sur des serveurs Linux et s’intéresse à leurs méthodes d’opération. Il adore participer de façon collégiale aux CTFs avec ses amis les CISSP Groupies et jouer de la clarinette. Il tweet très peu à @marc_etienne_.
*'''QUAND:''' 4 décembre 2014 à 18h00
*'''OÙ:''' Local M-1510, Polytechnique Montréal, 2900 Boulevard Edouard-Montpetit
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-4-decembre-malware-cote-serveur-evolution-methodes-doperation-et-forensic-linux-tickets-14635313617
*'''ÉQUIPE ACADÉMIQUE:''' Polyhack - http://polyhack.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Malware côté serveur
19:30-20:00 Période de questions

[[Image:Polyhacklogonoirpetit.png|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]

== OWASP Montréal - October 23rd - XXE : À l’assaut des analyseurs XML ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/MZviLB9-42E]] [https://youtu.be/MZviLB9-42E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau]] [https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Philippe Arteau
*'''RÉSUMÉ:''' L'utilisation d’XML est fortement répandue. Le format est utilisé pour des fichiers de configuration, pour des métadonnées, pour des documents textes, et bien plus. La prise en charge de fichiers XML n’est pas sans risque. La plupart des analyseurs XML ne sont pas sécuritaires par défaut pour le traitement de fichier externe. Cette présentation fera un survol des vulnérabilités de type « Xml eXternal Entity » et de l’étendue des risques pour différents langages de programmation. Plusieurs démonstrations sont prévues.
*'''BIO:''' Philippe est conseiller en sécurité applicative pour le Groupe Technologies Desjardins. Au quotidien, il s’occupe d’effectuer des tests d’intrusions et des revues de code. Il a découvert des vulnérabilités importantes dans plusieurs logiciels populaires incluant Google Chrome, DropBox, ESAPI et Jira.
*'''QUAND:''' 23 Octobre 2014 à 18h00
*'''OÙ:''' École de Technologie Supérieure Local A-3230, 1100 Rue Notre-Dame Ouest, Montréal, QC H3C 1K3
*'''INSCRIPTION:''' http://www.eventbrite.ca/e/owasp-montreal-23-octobre-xxe-a-lassaut-des-analyseurs-xml-tickets-13426881163
*'''PARTENAIRE ACADÉMIQUE:''' ETS - DCI http://dciets.com/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:45 Mot de bienvenue
18:45-19:45 Présentation principale - "À l’assaut des analyseurs XML" Philippe Arteau
19:45-20:00 Période de questions

[[Image:Blason_dci.png‎‎‎|150px|link=http://dciets.com/]]
[[Image:ETS-rouge-devise-impr-fond_transparent.png|150px|link=http://www.etsmtl.ca/]]

== OWASP Montreal - July 24th - Web security for DevOps: the glory is in the headers ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/6bp1NCLT-YQ]] [https://youtu.be/6bp1NCLT-YQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil]] [https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Jonathan Marcil
*'''ABSTRACT:''' DevOps is a buzzword which can be easily demystified: in essence it is a process which aims to combine the development and system administration process into one; Operations. As developers become responsible for server setup, security counter measures are evolving as well. The line between server configuration and application behaviour has been blurred. In this talk we will cover some HTTP headers in regards to security such as CORS, CSP and HSTS. We will demonstrate several forms of attack, and how they can (should) be countered.
*'''BIO:''' Jonathan is devoted to security and specialized in Web application security. His main occupation is consulting in Web security, but deep down he is a developer with a agnostic vision of programming languages. He has a diploma in Software Engineering from Ecole de Technologie Superieure and more than 10 years of experience in Information Technology and Security.
*'''WHEN:''' At noon on July 24th 2014
*'''WHERE:''' 75 Queen Street, office 3100, Montreal, QC H3C 2N6
*'''REGISTRATION:''' You can join us on site for a pizza slice but this is mainly an online event. Contact jonathan.marcil@owasp.org.
*'''WEBCAST:''' https://www.youtube.com/watch?v=6bp1NCLT-YQ
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil
*'''EVENT SPONSOR:''' Pheromone http://www.pheromone.ca/
*'''PROGRAM:'''

12:00-12:10 Welcome and quick OWASP introduction
12:10-13:10 Main presentation - "Web security for DevOps: the glory is in the headers" Jonathan Marcil
13:10-... Open discussion and questions

[[Image:Logo-phero.gif‎|link=http://www.pheromone.ca/]]

== OWASP Montreal - June 18th - Gaps in the Clouds ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz]] [https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Robert Fritz
*'''ABSTRACT:''' Cloud technology offers agility and scaling, and a chance to break away from legacy IT choices. Unfortunately, skipping traditional IT activities often results in poorly patched systems, out of date firewalls, and overprovisioned entitlements wielded by admins whose “day job” is development. Boundaries of accountability and responsibility amongst cloud providers and consumers are confusing, vague, and shift, making security difficult to manage. In such an environment, a “BP-spill” event, where cost wins over safely safety, is likely. This talk will dive down into the cracks between the layers of cloud, and share some of the exciting dirt we have seen and expect to see in coming years.”
*'''BIO:''' Robert Fritz has been practicing security his entire career. Rob started as an Air Force lieutenant at Langley AFB and later at the Pentagon in Washington DC, building and managing classified networks. Finding he was getting too far from technology after a brief stint flying, he left the military to get back to the tech, and built security tools for HP in their HP-Unix lab. Over time he found himself in more and more security design discussions, so co-authored HP’s Commercial Application Threat Analysis Methodology, building an internal consulting practice at HP. This quantitative approach, led to two pending patents, an external-facing consulting practice, and his contributions to NIST IR-7502, the Common Configuration Scoring System (CVSS follow-on). He is the former lead editor for the Center for Internet Security’s HP-UX Benchmark, and current lead for the Android Benchmark. Robert now works for Morgan Stanley as global head of the Strategic Consulting team in the Security Architecture group, and leads the team’s cloud and social-media security practices.
*'''WHEN:''' June 18th 2014
*'''WHERE:''' 700 Rue Wellington, Floor 2, Montreal, QC H3C 3S4
*'''REGISTRATION:''' http://owaspmtl18junems.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz
*'''EVENT SPONSOR:''' Morgan Stanley http://www.morganstanley.com/
*'''PROGRAM:'''

18:00-18:30 Networking and Morgan Stanley Hosted Pizza and Soft Drinks
18:30-18:45 OWASP Chapter & Morgan Stanley Welcome
18:45-19:45 Main presentation - "Gaps in the Clouds" Robert Fritz
19:45-20:00 Open discussion and questions
20:00-... Optional, informal networking at Aziatic - 626 rue Marguerite-d'Youville, Montréal, QC H3C 1W7

[[Image:Morgan_Stanley_Historical_Logo.png|link=http://www.morganstanley.com/]]

== OWASP Montréal - May 26th - Récapitulatif des challenges NorthSec ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/P8_V3RI1Ru4]] [https://youtu.be/P8_V3RI1Ru4 Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''PRÉSENTATEUR PRINCIPAL:''' Laurent Desaulniers
*'''RÉSUMÉ:''' Solutions de la compétition en sécurité NorthSec 2014 sur les sujets de XXE + SSRF, WAF Bypass, Xpath Injection, DOM Injection, HTTP Only Flag bypass et contournement de captchas. Une bonne façon d'apprendre sur ces failles que vous étiez ou non un participant de la compétition.
*'''MESSAGE DU PRÉSENTATEUR:''' Vous voyez Rao dans votre soupe? Vous voulez une solution pour un XSS avec des cookies http only? Les captchas illisibles sont un problème? Assistez à la présentation de l'OWASP!
*'''BIO:''' Laurent Desaulniers est un passionné de sécurité informatique. Il a présenté au Hackfest, au colloque RSI, à OWASP et est challenge designer à NorthSec. M. Desaulniers détient les certifications CISSP, CISM, CISA et OSCP.
*'''QUAND:''' 26 mai à 18h00
*'''OÙ:''' Local PK-1140 - Pavillon Président-Kennedy 201, Avenue du Président-Kennedy, J2X 3Y7
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-26-mai-recapitulatif-des-challenges-northsec-tickets-11724413035
*'''WEBCAST:''' https://www.youtube.com/watch?v=P8_V3RI1Ru4
*'''ÉQUIPE ACADÉMIQUE''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Récapitulatif des challenges NorthSec
19:30-20:00 Période de questions

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== Networking with infosec communities - April 21st ==

[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''RÉSUMÉ:''' En collaboration avec Montréhack, mtlsec et NorthSec, nous organisons une soirée réseautage dans un pub du centre-ville. Du plaisir garanti avec les membres de plusieurs communautés infosec de Montréal!

*'''ABSTRACT:''' In collaboration with Montréhack, mtlsec and NorthSec, we are organizing a networking evening in a pub downtown. Fun guaranteed with the other security communities in Montreal!

*'''QUAND:''' 21 Avril 2014
*'''WHEN:''' April 21st 2014

*'''OÙ/WHERE:''' BENELUX - Brasserie Artisanale 245 Sherbrooke St W Montreal, QC H2X 1X7

*'''INSCRIPTION/REGISTRATION:''' https://www.eventbrite.ca/e/montrehack-avril-april-northsec-pre-party-tickets-11232307133

*'''PARTENAIRES/PARTNERS:''' Montréhack http://montrehack.ca/ - mtlsec http://blog.mtlsec.com/ - NorthSec https://www.nsec.io/
*'''PROGRAMME:'''
18:00-21:00 Networking
21:00-23:59 Remember to drink responsibly!

== OWASP Montréal - March 27th - Panel Compétition en sécurité NorthSec ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

'''Présentation sous forme de panel - venez poser vos questions!'''

*'''RÉSUMÉ:''' Les compétitions de type Capture the Flag (CTF) sont un moyen pour les professionnels et amateurs de sécurité informatique de mettre leurs talents à l'épreuve. NorthSec est une compétition Montréalaise annuelle en sécurité appliquée, qui aura lieu cette année au Marché Bonsecours de Montréal le 25, 26 et 27 avril prochain. Elle vise à augmenter le niveau technique des professionnels de la sécurité au Québec, ainsi que de permettre à ses acteurs les plus talentueux de se démarquer.
*'''DÉTAILS:''' Le panel de jeudi, sous la forme d'un échange convivial entre les organisateurs de l'évènement et de ses participants, abordera des thèmes variés comme l'écriture de bon défis, l'infrastructure, la logistique, les inattendus, un bilan de 2013 et tout ça en passant par de savoureuses annecdotes (on l'espère). Venez en grand nombre toucher à ces légendes de la scène infosec montréalaise!
*'''PANÉLISTES:''' Gabriel Tremblay, François Proulx, Laurent Desaulniers, Stéphane Graber
*'''ANIMATEUR:''' Olivier Bilodeau
*'''QUAND:''' 27 mars 2014
*'''OÙ:''' Salle M-1510, École Polytechnique de Montréal, 2500 chemin de Polytechnique, Montréal (Québec) H3T 1J4, pavillon Lassonde
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-27-mars-panel-competition-en-securite-northsec-tickets-10918436337
*'''ÉQUIPE ACADÉMIQUE:''' Polytechnique - Polyhack http://polyhack.org/
*'''PROGRAMME:'''
18:00-18:25 Networking
18:25-18:30 Mot de bienvenue par le leader du chapitre (Jonathan Marcil)
18:30-20:00 Présentation principale : Panel NorthSsec

[[Image:Polyhack.png‎‎|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== OWASP Montreal - February 25th - Proven Strategies for Web Application Security ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane]] [https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Justin C. Klein Keane
*'''ABSTRACT:''' The rising dominance of the web as an application delivery platform has focused attacker attention squarely on the security of dynamic web applications. Application security is a complex, and shifting, field. Learn about tested and successful techniques to build safer applications, find flaws before they become vulnerabilities, and deploy applications that can detect, and resist attack.
*'''BIO:''' Justin C. Klein Keane is a security engineer and chapter leaders of OWASP in Philadelphia. For over a decade Justin has worked as a trainer, coder, and exploit developer. Justin is currently writing a book for NoStarch Press on hacking, speaks regularly at conferences, holds a masters degree in information technology from the University of Pennsylvania and is credited with hundreds of application vulnerability discoveries.
*'''WHEN:''' February 25th 2014
*'''WHERE:''' Ecole de technologie superieure, 1100 Notre-Dame Street West, Montreal, Room: A-1150
*'''REGISTRATION:''' http://owaspmtljan2014.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane
*'''ACADEMIC PARTNER:''' ETS - DCI http://dciets.com/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session and open discussion: Proven Strategies for Web Application Security
20:00-... End of the meeting in a pub

[[Image:Dciets.png‎‎‎|100px|link=http://dciets.com/]]
[[Image:Logo_ets.png|link=http://www.etsmtl.ca/]]

== OWASP Montreal - January 28th - Latest trends in Mobile Security ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/8qPyKj4FKgY]] [https://youtu.be/8qPyKj4FKgY Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx]] [https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Francois Proulx
*'''ABSTRACT:''' Last AppSecUSA 2013 had a great line up of talks, especially regarding mobile applications. This session will be covering all the hottest presentations about mobile security by doing an overview from what see saw at AppSecUSA, all with some slides and snippets of presentations that was recorded at the event. Discussion will be encouraged within the audience as this will be more a dynamic event than a regular talk.
*'''BIO:''' François Proulx is a senior mobile application developer who has worked on dozens of iOS applications since the very beginning of the Apple iOS platform. Over the past few years he has switched his focus to security. He spends a lot of his free time participating in Capture the Flag events (CTFs) and organizing the NorthSec security competition.
*'''WHEN:''' January 28th 2014
*'''WHERE:''' UQAM Room PK-1705, Pavillon Président-Kennedy (the big boat at Place des Arts) - 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' http://owaspmtl-mobilesecurity.eventbrite.ca
*'''SLIDES/CONTENT:''' [http://www.youtube.com/playlist?list=PLQtB2ug5xmvaQ9jeRWV53-F_T555GQfhW YouTube playlist]
*'''SPONSOR:''' Academic partner AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan M.)
18:30-20:00 Main session and open discussion: Mobile Security
20:00-... End of the meeting in a pub

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

==== Presentations For Download ====

[http://www.owasp.org/images/0/0d/20100209mstechdaysowaspasvssgiv01-12657916463819-phpapp02.ppt OWASP ASVS] by Sebastien Gioria (09/03/2010)

[http://www.ph-il.ca/slides/afup__authetification_forte.pdf Authentification Forte] by Philippe Gamache (02/02/2010)

[http://www.opensamm.org/downloads/OpenSAMM-1.0.ppt Software Assurance Maturity Model (OpenSAMM)] by Pravir Chandra (03/11/2009)

[http://www.owasp.org/images/d/de/Owasp-montreal-sept-17h-2009-justin-foster.pdf Crossing the Border – Javascript Exploits] by Justin Foster (17/09/2009)

[http://www.owasp.org/images/c/c2/ALaughRIAt.pdf A Laugh RIAt] by Rafal Los (07/04/2009)

[https://www.owasp.org/images/e/eb/OWASP-Montreal-24022009-RobLabbe.pptx Microsoft Security Development Lifecycle for IT] by Rob Labbe (24/02/2009)

[https://www.owasp.org/images/3/39/OWASP-Montreal-24022009-EN.pdf OWASP Goal and Top Ten 2007 for Managers - French version] by Benoit Guerette (24/02/2009)

Newer presentations are available on [https://speakerdeck.com/owaspmontreal Speaker Deck]

[[Image:Circle_owasp_logo_nowhitebackground.png|200px]]

= OWASP Foundation / Mission OWASP =
OWASP Foundation ([https://docs.google.com/a/owasp.org/presentation/d/10wi1EWFCPZwCpkB6qZaBNN8mR2XfQs8sLxcj9SCsP6c/edit?usp=sharing Overview Slides]) is a professional association of [[Membership | global members]] and is open to anyone interested in learning more about software security. Local chapters are run independently and guided by the [[Chapter_Leader_Handbook]]. As a [[About_OWASP | 501(c)(3)]] non-profit professional association your support and sponsorship of any meeting venue and/or refreshments is tax-deductible. Financial contributions should only be made online using the authorized online chapter donation button. To be a SPEAKER at ANY OWASP Chapter in the world simply review the [[Speaker_Agreement | speaker agreement]] and then contact the local chapter leader with details of what OWASP PROJECT, independent research or related software security topic you would like to present on.

La fondation OWASP est une [https://www.owasp.org/index.php/Membership association de professionnels] et elle est ouverte à tout intervenant intéressé à en apprendre davantage sur la sécurité applicative. Les chapitres locaux (dont celui de Montréal) sont gérés de façon indépendante et selon un [https://www.owasp.org/index.php/Chapter_Leader_Handbook manuel de directives à respecter].
Toute contribution financière au chapitre peut être faite en ligne en utilisant l’icône prévu à cet effet. Pour être conférencier au sein de n’importe quel chapitre à l’échelle mondiale, vous n’avez qu’à prendre connaissance du document [https://www.owasp.org/index.php/Speaker_Agreement "entente avec les conférenciers – speaker agreement"] et à joindre le responsable du chapitre Montréal avec un descriptif du sujet que vous aimeriez aborder et s’il est relié à un projet OWASP, à de la recherche indépendante ou encore le sujet en particulier, concernant la sécurité applicative, que vous souhaitez aborder.

== [[Image:Circle_owasp_logo_nowhitebackground.png|128px]] Montreal OWASP Team ==

Scope of the team is to discuss and plan local activities and meetings

=== Chapter Leaders ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique

==== Chapter leader history ====
*2008-2010 - Benoit Guerette, founder and chapter leader
*2011-2012 - Philippe Gamache, chapter leader (vice chapter-leader since 2010)
*2013-2015 - Jonathan Marcil, chapter leader
*2016-... - Anne Gauthier, Michel Bourque, Marius Popescu, Hugo Genesse, Olivier Arteau

==== Old board members ====
*Philippe Pépos Petitclerc
*Michael Robillard
*Benoit Guerette (logistics 2015)
*Alexandre Rimthong
*Mathieu Binette
*Sean Coates
*Jean-Marc Robert
*Philippe Blondin
*Benoit Guerette (founder)
*Laurent Desaulniers
 

<headertabs></headertabs>
__NOTOC__
[[Category:Canada]]

File:PM SCADA Logo Gris Cybersecurite FR.png

2017-10-10T19:04:54Z

Svieg:

Montréal

2017-09-24T19:51:43Z

Svieg: Enlever nom julien

== Welcome & Bienvenue to the OWASP Montréal chapter ==
 
[[Image:OWASP-Montreal-Logo.png|Logo OWASP Montréal]]

The OWASP Foundation was established in 2001 as an open community and software security resource. Since then, OWASP has grown to be globally recognized as a credible source for application security standards. 
OWASP is an open community dedicated to enabling organizations to conceive, develop, acquire, operate, and maintain applications that can be trusted. All of the OWASP tools, documents, forums, and chapters are free and open to anyone interested in improving application security. We advocate approaching application security as a people, process, and technology problem because the most effective approaches to application security include improvements in all of these areas. 
OWASP is open to anyone. Anyone can attend OWASP's vendor agnostic local chapter meetings, participate in regional and global conferences, and contribute to the many OWASP projects. And anyone can start a new project, form a new chapter, or lend their expertise to help an OWASP Global Committee. 
On parle français aussi ! Le chapitre de Montréal organise plusieurs activités gratuites afin de partager les connaissances en sécurité applicative avec la communauté de développeurs et gestionnaires. Suivez-nous sur les réseaux sociaux pour connaître les dates des conférences du midi et des workshops ! 

Top documentation from OWASP includes:

* [https://www.owasp.org/index.php/Top_10_2013-Top_10 OWASP TOP 10 : The Ten Most Critical Web Application Security Risks]

* [https://www.owasp.org/images/3/33/OWASP_Application_Security_Verification_Standard_3.0.1.pdf OWASP ASVS : Application Security Verification Standard]

* [https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf OWASP Testing Guide : Penetration Testing Framework]

* [https://www.owasp.org/images/7/78/OWASP_AlphaRelease_CodeReviewGuide2.0.pdf OWASP Code Review Guide : Source Code Analysis Framework]

* [https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series OWASP Cheat Sheet : Best practices guidelines for developers]

* [https://www.owasp.org OWASP Global]

=== Chapter Leaders / Responsables du chapitre ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique
 
Special thanks to / Remerciements :
* Simon Lacasse, Web content / Site internet

== Reach our chapter / Joindre le chapitre ==

Follow OWASP's Montreal chapter's activities through social medias, register to events, watch the previous presentations and more!

Suivez les activités du chapitre OWASP Montréal via les réseaux sociaux, inscrivez-vous aux activités, visualisez les anciennes présentations et plus encore!

 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Click here] to join the local chapter mailing list.
 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Inscrivez-vous ici] à la liste de courriels du chapitre afin de recevoir les dernières nouvelles!

Want to be part of the community ?
Devenez membre de notre communauté !
[https://www.owasp.org/index.php/Membership_Map Click here / Cliquer ici]

[[Image:Eb_press_little.gif‎|OWASP Montreal Eventbrite|link=http://owaspmontreal.eventbrite.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Yt-brand-standard-logo-630px.png‎|128px|YouTube OWASP Montreal Channel|link=http://www.youtube.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Speakerdecklogo.png‎|Slides of OWASP Montreal on SpeakerDeck |link=https://speakerdeck.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]

 
[[Image:Twitter-bird-cropped-onwhite.png|@owaspmontreal on Twitter|link=https://twitter.com/owaspmontreal]]
[[Image:FacebookSquareLogo.png|OWASP Montreal Facebook page|link=https://www.facebook.com/owasp.montreal]]
[[Image:LinkedinSquareLogo.png|OWASP Montreal on LinkedIn|link=https://www.linkedin.com/groups/1379007/profile]]

[[Image:Spacer-horiz.gif‎]]

== Sponsorship & Membership / Commandite & Adhésion ==

[[Image:Btn_donate_SM.gif|link=http://www.regonline.com/donation_1044369]] to this chapter or become a local chapter supporter.

Or consider the value of [[Membership | Individual, Corporate, or Academic Supporter membership]]. Ready to become a member? [[Image:Join_Now_BlueIcon.JPG|75px|link=https://myowasp.force.com/]]

[http://www.regonline.com/donation_1044369 Donnez] au chapitre ou devenez commanditaire du chapitre local!

[https://myowasp.force.com/ Devenez membre !] Pour en savoir davantage sur les avantages d’une adhésion individuelle, corporative ou en tant qu’institution d’enseignement, [https://www.owasp.org/index.php/Membership cliquez ici].

[[Category:OWASP Chapter]]

== Chapter Supporters / Commanditaires du chapitre ==

[https://www.owasp.org/images/9/91/OWASP_Membership_Flyer_Montreal.png All details available here / Pour tous les détails] [[File:Chapter-supporter-owasp-montreal.png|200px|link=]]

=== Platinum / Platine ===

[[Image:Gosecure-2.png|GoSecure|link=http://www.gosecure.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[File:Desjardins2-400x400.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 
 

=== Gold / Or ===

[[Image:ImmunioLogo.jpg|Immunio|link=https://www.immun.io/]]

 
 
 

= Lunch & Learn / Workshops 2017 =

== Cas d'attaques vécus : Internet des objets (IOT) - Attaques DDoS ==

[[Image:Cas_dattaques_vecus-r.jpg ]]
 
WHEN
June 19th 2017
WHERE
Espace Desjardins

Pour clore la saison printanière 2017, OWASP Montréal est fier d'accueillir au Midi Conférence, M. Christian Shink qui fera un survol de cas d'attaques vécus, des techniques utilisées et des acteurs impliqués dans ces attaques. 
L'incorporation généralisée de dispositifs «intelligents» dans les objets de la vie de tous les jours modifie la façon dont les gens et les machines interagissent les uns avec les autres. Cette incorporation offre une promesse d'une meilleure qualité de vie, une meilleure efficacité. En contrepartie, leur déploiement introduit également des vulnérabilités à la fois dans l'infrastructure qu'ils soutiennent et sur lesquels ils comptent, ainsi que dans les processus qu'ils guident. Que ce soit au niveau applicatif ou des infrastructures, ces vulnérabilités sont exploitées par des acteurs malicieux pour générer des attaques de déni de service massives et sophistiquées. Nous tenterons également de tirer des leçons afin de tenter de minimiser ce type d'attaques dans le futur. 
Christian Shink possède plus d’une dizaine d’années d’expérience en développement et sécurité d’applications. Avant de se joindre à Radware, Christian était à l’emploi d'une firme conseil où il a conseillé de nombreuses entreprises, dont de grandes banques américaines et Casinos. Il détient une certification CSSLP et est membre de l'ordre des ingénieurs du Québec.
 

== HOW TO! Threat Modeling Toolkit ==

[[Image:OWASPMtl-JonathanMarcil-1.jpg]]
[[Image:OWASPMtl-JonathanMarcil-3.jpg]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit]] [https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit See the slides / Voir la présentation]
 
WHEN
May 23rd, 2017
WHERE
Shopify Montreal

Threat Modeling is a great way to analyze security early in software development by structuring possible attacks, bad actors and countermeasures over a broad view of the targeted system. This talk will describe basic components of a threat model and how to use them effectively.
Threat Intelligence is where you gather knowledge about the environment and business assets to determine what are the actual threats. But how do you reconcile that with the current architecture in a useful manner?
The toolkit presented in this talk will enable you to systematically structure related information using graphical notations such as flow diagram and attack tree. In case you are wondering where to start in your organization, a quick lightweight risk rating methodology will also be proposed.
And in the end, you’ll see how we can all tie those together and get threat modeling to a point where it’s an efficient application security activity for communication. Doing this will prevent security reviews from missing important things even when chaos prevails during the realization of a project.
Modeling concepts will be demonstrated with an actual IoT device used as example.
Presentation will be done in english.

Speaker Bio:
Jonathan Marcil is the former chapter leader of OWASP Montreal and is now Senior Application Security Engineer at Blizzard Entertainment in beautiful Orange County, California.
Jonathan has been involved with OWASP for many years and has been behind the Media Project which gathered and promoted AppSec conferences video content in the official OWASP YouTube channel. He was also part of NorthSec CTF event as a challenge designer specialized in Web and imaginative contraptions.
He is passionate about Application Security and enjoys architecture analysis, code review, threat modeling and debunking security tools. He holds a diploma in Software Engineering from ÉTS Montreal and has more than 15 years of experience in Information Technology and Security.

Merci à nos précieux commanditaires !

== Security Testing: Unlocking the Benefits of a Hybrid Approach ==
[[Image:Security testing hybrid approach-r 3.jpg ]]
[[Image:Security testing hybrid approach-r 4.jpg ]]
 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/hybrid-approach-to-security-testing]] [https://speakerdeck.com/owaspmontreal/hybrid-approach-to-security-testing See the slides / Voir la présentation]
 
WHEN
April 24th, 2017
WHERE
Espace Desjardins

As part of their defensive efforts, businesses commonly commission cybersecurity assessments of their web applications; with the aim of identifying any weaknesses in the security controls and ensuring a continually strong cybersecurity posture of their systems.

The classical approach of either secure code review (white box) or penetration testing (black box) assessment have proven to be effective in securing of web applications. The new trend, however, is moving towards the combination of these two approaches; expert consensus is rapidly recognizing the advantages of using a hybrid approach. When applied properly, a hybrid approach can build on the strengths of both white and black box testing, while compensating for their individual shortcomings.

In this presentation, we will examine the details of secure code review and penetration testing, and run demos to contrast their respective strengths and weaknesses. We will also examine why a hybrid approach can produce more complete and relevant assessment results. To conclude, we will cover proven approaches, and practical techniques, on how you can start leveraging a hybrid approach to web application assessments today.

Anne Gauthier is an application security analyst at GoSecure. Anne is also the president of the Montreal Chapter of OWASP – the industry standard for web application security. With a penetration testing background, she specializes in secure code reviews and in helping companies to improve their software development lifecycle (SDLC) according to industry best practices. Anne is CSSLP, GWAPT and GSSP-JAVA certified. She obtained a Software Engineering bachelor’s degree from Ecole de Technologie Supérieure in Montréal and is now pursuing a Master of Engineering (MEng) degree in Information Systems Security at Concordia University. She is the author of the Project 201 Security blog.

Merci à nos précieux commanditaires !

== "HOW-TO" NIGHT ! Tout sur les CTFs (Capture The Flag) ==

[[Image:Howto_ctf.jpg]]
 
[[Image:Presentation-link.png | Slides | link=https://docs.google.com/presentation/d/1zEsCcX-Nvq8Nz0k-B1zHejCDNT2oGZx8oUBgMbvvMM0/edit#slide=id.p ]] [https://docs.google.com/presentation/d/1zEsCcX-Nvq8Nz0k-B1zHejCDNT2oGZx8oUBgMbvvMM0/edit#slide=id.p See the slides / Voir la présentation (Laurent Desaulniers)]
[[Image:Presentation-link.png | Slides | link=https://docs.google.com/presentation/d/1c1P1d2mKe767j1Y0V9cK6De5cpnK4I7GI-ORiodbg1A/edit#slide=id.p ]] [https://docs.google.com/presentation/d/1c1P1d2mKe767j1Y0V9cK6De5cpnK4I7GI-ORiodbg1A/edit#slide=id.p See the slides / Voir la présentation (Charles Hamilton)]
[[Image:Presentation-link.png | Slides | link=http://obilodeau.github.io/slides/2017-04-04_how-not-to-suck-at-ctfs/ ]] [http://obilodeau.github.io/slides/2017-04-04_how-not-to-suck-at-ctfs/ See the slides / Voir la présentation (Olivier Bilodeau)]
 
WHEN
April 4th, 2017
WHERE
Shopify

Cette nouvelle soirée "How-To" Night d'OWASP Montréal vise à présenter les CTFs (une compétition Capture The Flag) et aider les équipes à démarrer et à continuer à évoluer dans leurs pratique de la cyber sécurité pratique. L'objectif est d'outiller les participants en leur fournissant des ressources techniques et des contacts afin de les aider à progresser.

Les éléments discutés seront:

- Composition optimale d’une équipe : Fonctionnement d’une équipe de CTF et les principaux rôles (chef d’équipe, cryptographie, application web, rétro ingénierie et les causes perdues).

- Pourquoi faire des CTFs? Discussion sur les différents styles (jeopardy, attack/defense, etc.), quels sont les problèmes fréquemments rencontrés + plusieurs anecdotes intéressantes (et drôles).

- Trucs de Mr. Unikoder : Le créateur du fameux site ringzer0team, soit un des plus gros sites pour apprendre la résolution de problèmes de CTF (https://ringzer0team.com/) Apprenez des trucs du meilleur, sur comment débuter et interpréter un challenge web, binaire et crypto avec des trucs réels du métier.

Matériel requis :

Votre légendaire enthousiasme

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement.

Présentateurs :

Charles Hamilton, Senior Consultant chez Mandiant, FireEye, Inc.

Olivier Bilodeau, Cybersecurity Research Lead at GoSecure

Laurent Desaulniers, Senior Security Solution Specialist at Bell Canada

== NorthSec - Applied Security Event ==
[[Image:Nsec_2017_midi_conf.jpg]] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/northsec-applied-security-event]] [https://speakerdeck.com/owaspmontreal/northsec-applied-security-event See the slides / Voir la présentation]
 
WHEN
April 4th, 2017
WHERE
Espace Desjardins

NorthSec: La plus grande compétition et conférence en cyber sécurité au Canada

NorthSec est un organisme sans but lucratif qui organise une conférence et une compétition de sécurité de type "Capture-The-Flag" (CTF) et des formations. Avec plus de 400 participants présents sur le site pour la compétition, c’est la plus grande compétition du genre au monde.

La conférence, dans sa 3e année, attire des présentateurs internationaux avec du contenu technique exclusif. L’ajout des séances de travail (workshops) devrait plaire aux plus chevronnés des binaires.

Des formations de 3 jours sont offertes avant la conférence: "Advanced Web Application Security" par Philippe Arteau et "Malware and Memory Forensics" par Michael Ligh, co-auteur des livres "Malware Analyst Cookbook" et "The Art of Memory Forensics".

NorthSec est situé au Marché Bonsecours dans le Vieux-Port de Montréal au printemps du 15 au 21 mai 2017.

La présentation couvrira:

- Le plan pour 2017 
- Ce qui différencie NorthSec 
- Comment équilibrer une compétition pour les débutants et les experts 
- Comment bâtir une infrastructure basée sur les conteneurs qui gère 50 équipes dans quelques serveurs sans qu’ils ne se partagent de machines virtuelles 
- Comment faire du pain au levain à grande échelle 
- Présentation de quelques défis et solutions 

Les présentateurs:

- Gabriel Tremblay, Président, Delve Labs 
- Olivier Bilodeau, VP Formations, Co-fondateur MontréHack, GoSecure 
- Pierre-David Oriol, VP Conférences, Delve Labs 
- Benoit Guérette, VP Partenaires, Desjardins 
- Laurent Desaulniers, Tisserand de drapeaux, Bell Canada 

Merci à nos précieux commanditaires !

== Sécurité des applications : Les fondements ==
[[Image:Tanya.jpeg]] 

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/securite-des-applications-les-fondements]] [https://speakerdeck.com/owaspmontreal/securite-des-applications-les-fondements See the slides / Voir la présentation]
 
WHEN
March 20th, 2017
WHERE
Espace Desjardins

OWASP Montréal est fier d’accueillir au Midi Conférence du mois de mars, Mme Tanya Janca, Co-Leader du chapitre OWASP Ottawa et spécialiste de la sécurité applicative au sein du Gouvernement fédéral.

La conférence « Les fondements de la sécurité des applications » sera présentée en anglais.

Session Description : Everyone has heard about the problem; everyone is “getting hacked”. But what is the answer? From scanning your code with a vulnerability scanner to red teaming exercises, developer education programs and bug bounties, this talk will take the audience through all the possibilities of an extensive application security program, with a detailed explanation of each part.

Bio : Tanya Janca is an application security evangelist, a web application penetration tester and vulnerability assessor, a secure code reviewer, an ethical hacker, the Co-Leader of the OWASP Ottawa chapter, and has been developing software since the late 90’s. She has worn many hats and done many things, including; Custom Apps, Ethical Hacking, COTS, Incident Response, Enterprise Architect, Project and People Management, and even Tech Support. She is currently helping the Government of Canada secure their web applications.

Merci à notre commanditaire principal de cet événement: Ubitrak!

== WORKSHOP ! Server Side Template Injection (SSTI) ==

[[Image:Workshop-okiok-SSTI-r.jpg | WORKSHOP ! Server Side Template Injection (SSTI) ]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti]] [https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti See the slides / Voir la présentation]

WHEN
22 Février 2017
WHERE
Shopify Montréal

OWASP Montreal vous invite à un atelier portant sur la sécurité des applications web supportant les moteurs de template (Template Engine). Le principe de séparation entre la présentation du site (code HTML statique) et de son contenu dynamique facilite la création de documents HTML et la capacité à modifier l'apparence du site sans mélanger le traitement et le rendu de la page. L'utilisation de moteurs de template amène de nouveaux enjeux de sécurité. Les vulnérabilités de type Server Side Template Injection (SSTI) sont exploitables à travers les données (non fiables) fournies par l'utilisateur et conduisent à l'exécution de code arbitraire (RCE) sur le serveur hébergeant l'application web. 

Ce workshop a pour but d'introduire cette classe de vulnérabilité à travers différents cas d'implémentation (php, java, python).
Nous verrons comment identifier et exploiter ces vulnérabilités et de quelle manière un attaquant peut
s'y prendre pour exécuter du code arbitraire sur le serveur afin d'en prendre le contrôle. 

Niveau : Intermédiaire 
Matériel requis :
* Votre portable
* Votre distribution Linux/Unix de votre choix
* Votre proxy Web de votre choix

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.
Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.
Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement. 

Présentateur : Gérôme Dieu 
Gérôme Dieu cumule plus de 7 années d’expérience en technologies de l’information et en sécurité.
Il œuvre à titre de conseiller senior en sécurité de l’information au sein de la firme OKIOK. Ces dernières années, il a acquis une expertise dans le domaine de la sécurité des applications web aussi bien d'un point de vue offensif que défensif. En plus de réaliser des tests d’intrusion pour des clients internationaux, Gérôme s’implique dans la recherche et développement afin de maintenir à la fine pointe de la technologie les tests d'intrusion et d'analyse de vulnérabilités. 

Merci à Shopify d'héberger l'événement ! 
[[Image:Shopify Logo-r.png| Shopify | link=https://www.shopify.com/]]
== Le courriel en 2017 – risques et menaces pour tous ==

[[Image:Zero spam 2.jpg|Le courriel en 2017 – risques et menaces pour tous]]

[[Image:Video-link.png | Link to video | link=https://www.youtube.com/watch?v=HX2vcijcCWw ]] [https://www.youtube.com/watch?v=HX2vcijcCWw Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

WHEN
Le 23 janvier 2017 à midi
WHERE
Espace Desjardins

Monsieur Poellhuber nous brossera un tableau du phénomène grandissant du rançongiciels et de l'hameçonnage, personnification. 

- Par les années passées, la menace courriel se résumait principalement en un fort volume de contenu simplement indésirable. Aujourd’hui la menace a passablement évolué. Quels sont les véritables risques actuels associés au courriel ? Rançongiciels, hameçonnage, personnification. Cette conférence présentera les nouveaux défis de sécurité pour les organisations qui doivent composer avec des attaques de plus en plus sophistiquées et de plus en plus ciblées tout en protégeant leur réputation. Des exemples biens réels, drôles et moins drôles seront disséqués pour bien dessiner l’ampleur de l’enjeu. 

M. David Poellhuber, Chef de l’exploitation, ZEROSPAM Sécurité Inc 

Note biographique : 
Monsieur David Poellhuber oeuvre dans l’industrie de la sécurité informatique depuis quinze ans. Il a été conférencier dans plusieurs forums de sécurité au Canada et est maintenant reconnu comme une autorité en matière de sécurité du courriel. Il a fondé ZEROSPAM Sécurité en 2003, le premier service Québécois externalisé de sécurité du courriel infonuagique qui se distingue par sa convivialité, son efficacité et ses technologies de détection proactives. 
Audience : Généralistes et spécialistes de la sécurité des TI
 
Merci à Ubitrack pour le repas et à Desjardins d'héberger l'événement!

[[Image:Ubitrak-r2.jpg|Ubitrak|link=http://www.ubitrak.com/fr/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]

== Effective XSS Mitigation ==

[[Image:XSS mitigation.jpg | Effective XSS Mitigation ]]

[[Image:Presentation-link.png | Slides| link=http://slides.com/olivierarteau/xss-mitigation ]] [http://slides.com/olivierarteau/xss-mitigation See the slides / Voir la présentation]

WHEN
18 Janvier 2017
WHERE
Google Montréal

FRANÇAIS/ENGLISH 
La mitigation de XSS a été un sujet important au cours des dernières années. Les navigateurs ont implémenté, en autre, deux fonctionnalités pour mitiger leur impact : l'entête "XSS-Protection" et l'entête "Content-Security-Policy". Par contre, obtenir une mitigation contre les XSS efficace est souvent plus complexe que l'on pense. Cet atelier couvrira les deux entêtes. Il expliquera comme il est possible de contourner ces protections et ce qu'il est possible de faire pour se protéger. Des exercices de type "offensif" et "défensif" seront proposés.
Mitigation for XSS as been an important topic in the last few years. Browsers have implemented two main functionalities to help mitigate the impact of XSS : the "XSS-Protection" header and the "Content-Security-Policy" header. But, getting an effective XSS mitigation of those headers is trickier than it may seem. This workshop will cover both of those headers. It will explain how bypass of those protection work and what you can do about it. It will have both "defensive" exercises and "offensive" exercises.
Niveau : débutant/intermédiaire
 
Matériel requis :

Votre portable 

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Google pour l'événement.
 
Présentateur : Olivier Arteau
 
Olivier Arteau est un professionnel en sécurité informatique depuis quelques années et fait partie de l’équipe de test d’intrusion de Desjardins. Il est aussi un amateur de CTF qui a gagné à plusieurs reprises le CTF du NorthSec avec l’équipe HackToute et participe fréquemment à d’autres CTF avec l’équipe DCIETS.
 

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

= Lunch & Learn / Workshops 2015-2016 =

== WORKSHOP ! Top 10 OWASP - Unleash the threats ==

[[Image:Workshop-top10.jpg | WORKSHOP! Top 10 OWASP - Unleash the threats ]]

WHEN
30 novembre 2016 de 17h30 à 20h30
WHERE
Immunio @ WeWork

De nos jours, la sécurité applicative est essentielle dans l’écosystème des entreprises de toutes tailles. Les vecteurs d’attaques sont multiples, les vulnérabilités de sécurité dans les applications peuvent être désastreuses et les impacts d’un « Hack » peuvent être irréversibles pour l’entreprise; vols de données sensibles, perte de réputation, perte de $$$$$, etc.
L’objectif du workshop est de comprendre la base sur les vulnérabilités de sécurité dans les applications et les techniques d’exploitation utilisées par les pirates informatiques, en plus de connaître les bonnes pratiques de développement en matière de sécurité applicative.
Avec l'aide de WebGoat, Damn Vulnerable Web Application et de Kali Linux, vous pourrez participer
à l'exploitation des applications et découvrir les techniques utilisées par les attaquants.

Niveau : débutant

Matériel requis :
Votre portable
Kali Linux
La VM du workshop, envoyée aux participants

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places très limitées (nb = 10). Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Immunio & WeWork pour l'événement.

Présentateur : Christian Leclerc

Christian est spécialisé en conception et développement de solutions web sécuritaires. Tout au long de sa carrière, il a acquis une vaste expertise sur plusieurs types de technologies et méthodologies, intégré la sécurité dans le cycle de développement d’applications, effectué des revues de code sécurité, déployé des outils d’analyse des vulnérabilités et mis en place des systèmes d’authentification. De plus, il a participé à la conception et au développement de solutions sécuritaires de pointe comme la signature électronique à l’aide d’une infrastructure à clé publique (PKI), les authentifications fortes, le Registre des consentements au don d'organes et de tissus (RDOQ.org) et la migration de plusieurs applications web vers un environnement SOA (Service Oriented Architecture).
 Merci à Immunio & WeWork d'héberger l'événement! 

[[Image:Immunio-horizontal-r.png|Immunio|link=https://www.immun.io/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Wework-r.jpg|WeWork|link=https://www.wework.com/]]
 

== Histoire d'un Hack ==

[[Image:Histoire-dun-hack-r.jpg | Histoire d'un Hack ]]

WHEN
21 novembre 2016 à midi
WHERE
Espace Desjardins

Pour son activité du mois de novembre, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de faire l'autopsie d'une attaque de haute voltige sur un site web et des outils mis à la disposition par OWASP.

Bernard Bolduc cumule plus de 17 années d’expérience en technologies de l’information et en sécurité. Il œuvre à titre de conseiller senior en sécurité de l’information au niveau d’entreprise de classe nationale et internationale.

Bernard se spécialise en sécurité Unix, applicative et en gestion de la sécurité des télécommunications. Il combine ces expertises techniques afin d’obtenir des résultats probants et efficaces pour ces clients des secteurs bancaire, télécommunication et multimédias, de l’énergie ou des services publiques. Tout au long de sa carrière, Bernard s’est toujours maintenu à jour sur les dernières menaces de sécurité technologique et commerciale en assistant à des formations spécialisées et d'échanger avec un grand nombre de partenaires dans l'industrie de la sécurité.

La conférence débute à midi.

La conférence vous donne droit à 1 CPE et pour les 50 premières personnes, un lunch gratuit.

Merci à Desjardins d'héberger l'événement!

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite) ==

[[Image:Workshop-zap-mix.jpg | Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite)]]

WHEN
11 novembre 2016 de 18h à 21h

WHERE
Google Montréal

OWASP Zed Attack Proxy (ZAP) est un scanneur de vulnérabilités et un outil de débogage HTTP. Ce type d'outil est crucial dans un test d'intrusion web et contient un lot intéressant de fonctionnalités. Cela dit, il est possible d'étendre les fonctionnalités. Plusieurs types d'extension sont possibles : vue alternative pour les requêtes ou les réponses, scanneur passif des réponses, scanneur actif produisant des requêtes, etc.

Plusieurs options seront données, par exemple :

Détection automatique de flag dans les sources
Scanneur actif asynchrone DNS
Ou votre propre idée

Pour chacune des suggestions, des squelettes de code seront fournis pour les APIs de ZAP. Pour les utilisateurs de BurpSuite, des directives analogues seront également données.

Niveau : débutant / intermédiaire

Matériel requis

Votre portable
[https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project OWASP ZAP (gratuit)]
[https://portswigger.net/burp/download.html BurpSuite]
Éditeur de code pour Java, Python ou Ruby

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Présentateur : Philippe Arteau

Philippe est un chercheur en cybersécurité chez GoSecure. Il est l'auteur de l'outil d'analyse statique Java "Find Security Bugs". Il a découvert des vulnérabilités importantes dans les logiciels populaires tels que Google Chrome, Dropbox, Paypal, RunKeeper et Jira. Il a présenté dans différentes conférences incluant Black Hat USA, Black Hat Europe, ATL Sec Con, NorthSec, Hackfest (QC) et JavaOne. Il a développé de nombreux plug-ins pour les outils de proxy BurpSuite et OWASP ZAP (Retire.js, Reissue Request Script, PDF preview et Image Metadata). Il a fait également des contributions à d'autres plug-ins comme J2eeScan.

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

==Logiciel de rançon (Ransomware) s'attaque au domaine de la santé==

[[Image:HackingHealth-2.jpg | Logiciel de rançon (Ransomware) s'attaque au domaine de la santé ]]

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health ]] [https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health See the slides / Voir la présentation]

(Conférence en anglais)
Pour le lancement de la saison 2016 - 2017, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de la santé une incursion dans le monde du logiciel malveillant ciblant le domaine de la santé. 
Cette conférence s'intége dans le Coopérathon co-organisé par le Mouvement Desjardins et Hacking Health. 
Le domaine de la santé serait devenu une cible privilégiée des campagnes de ransomware parce que l'industrie a souvent payé la rançon demandée pour récupérer les données confidentielles et vitales de ses clients. Monsieur Ed Gershfang nous brossera un portrait du phénomène et des meilleures pratiques à mettre en place en matière de sécurité applicative.
Ed Gershfang possède une expérience solide dans l'infrastructure informatique et plus de 6 ans d'expérience dans les domaines de la sécurité de l'information, de la vulnérabilité, de la gouvernance et de la gestion des risques. Il était directeur de la sécurité pour la société PeriGen, un chef de file de développement de logiciels médicaux en Israël.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative vue par un pentesteur ==

[[Image:Juin2016-OWASPMtl.jpg | OWASP Montréal reçoit Mario Contestabile, Pentester de renom ]]
 
From Left to Right : Isabelle Lusseyran, Head of Development at Hacking Health. Eduard Gershfang Information Security Analyst at WSP | Parsons Brinckerhoff.

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile ]] [https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile See the slides / Voir la présentation]
 
Pour clore la saison 2015 – 2016, OWASP Montréal est fier d’accueillir au Midi Conférence un des architectes de renom du développement applicatif au Canada, monsieur Mario Contestabile.
En tant qu’auteur de plusieurs centaines de tests d’intrusion, il connait tous les rouages de ce qu’est véritablement une application Web «sécurisée». Mais avez-vous déjà remarqué que les rapports de tests d’intrusion mentionnent rarement, voir jamais : «Votre site est très difficile à pirater. Félicitations !» ?
Et qu’en est-il de ces rapports qui contiennent des dizaines de soi-disant vulnérabilités ? Est-ce que cela signifie d’emblée que l’application devrait être mise hors ligne ?
 
Lors de cette conférence, nous examinerons des rapports concrets (ambigus) de vulnérabilités et nous les analyserons afin de mieux comprendre si elles représentent une véritable menace, ou si elles ne servent qu’à «remplir» les rapports.
 
Avec son expertise en protection et en attaque d’applications Web, il abordera les points suivants :
Comment pouvez-vous sélectionner des systèmes de façon à mieux exécuter des protections de sécurité ?
Éviter certains pièges dans votre application Web qui rendent les attaques plus faciles et la protection plus difficile.
De nos jours, que peuvent faire les développeurs à l’intérieur de systèmes communs, qui puisse me rendre la tâche plus ardue en tant que « hacker »?
Pouvons-nous exiger de meilleurs rapports de la part des firmes de sécurité?
À quoi devrions-nous nous attendre de la part d’un « pentesters »?
Comment pouvons-nous savoir si le « pentester » a vérifié les failles de l’application et qu’il n’a pas simplement utilisé un scanneur?
Et enfin, comment pouvons-nous aider les « ethical hackers » à obtenir un meilleur rendement lors d’un test d’intrusion?
Il expliquera le sujet en détails, et ensemble, nous verrons de quelles façons les développeurs d’applications peuvent exploiter le savoir-faire des « pentesters », et comment nous pouvons faire en sorte qu’une application Web soit protégée.
Biographie :
Mario Contestabile est reconnu comme l’un des experts en sécurité les plus réputés au Canada. Son expertise, construire et protéger votre plateforme applicative. Ancien développeur C++ et Java, Mario partage ses nombreuses connaissances en « ethical hacking » et en développement de codes sécurisé.
 
WHEN
Tuesday, 14 June 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Comment protéger les applications mobiles? ==

[[Image:Avril2016-OWASPMtl.png | Comment protéger les applications mobiles? ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles ]] [https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles See the slides / Voir la présentation]
 
Dans le cadre des Midis Conférence à l'Espace Desjardins, l'équipe OWASP Montréal vous invite à assister à une présentation sur les vulnérabilités les plus communes associées aux appareils mobiles.
Marie-Claire Willig détaillera entre autres comment stocker de façon sécuritaire les données de l’application mobile ainsi que protéger l’application contre des attaques externes. Des outils simples vous seront dévoilés pour détecter ces vulnérabilités.
Marie-Claire est une professionnelle d'expérience en sécurité appliquée.
Une grande partie de son intérêt professionnel réside actuellement dans un domaine assez niche, soit la revue de code sécuritaire, un fondement important de tout cycle de développement sécuritaire en entreprise.
Au sein de l'équipe de sécurité technologique Desjardins, elle est, en autre, responsable de former les développeurs (Java et .NET principalement) afin de les sensibiliser aux meilleures pratiques de développement sécuritaire.
Également, elle est une professionnelle des tests d'intrusion sur les applications web, les applications mobiles ainsi que l'infrastructure réseau.
Bienvenue à tous
 
WHEN
Wednesday, 20 April 2016 from 12:15 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ==

[[Image:Mars2016-OWASPMtl.jpg | NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/YQtvltQYs7Y]] [https://youtu.be/YQtvltQYs7Y Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
OWASP Montréal est fier d’inviter au Midi Conférence de mars, NorthSec est le plus gros événement de sécurité appliquée au Canada qui comprend deux jours de formation, deux jours de conférences ainsi qu’une compétition du genre « capture the flag » (CTF) de trois jours.
Gabriel Tremblay, Benoit Guerette, Pierre-David Oriol et Laurent Desaulniers viendront vous parler de cet organisme sans but lucratif dynamique qui est géré par une équipe de bénévoles passionnés qui donnent à chaque année leur énergie et leur temps pour soutenir la communauté de la sécurité de l’information.
Le volet compétition, l’épreuve maîtresse, est présentée sous forme d’un scénario qui rend cohérent une centaine de défis techniques. Les équipes de participants attaquent l’infrastructure de compétition pour soutirer des drapeaux (flags) à travers un ensemble de vulnérabilités présentes comme de l’injection SQL, des XSS ou encore l’exploitation d’exécutables sur systèmes embarqués. Quelques exemples de défis des années passées seront également présentés.
Le volet conférence, qui est à sa 2ème année, met de l’avant plusieurs présentations techniques touchant la sécurité applicative mais aussi l’éthique et leurs impacts sociaux. Certaines présentations confirmées seront dévoilés.
Le tout nouveau volet formation propose deux formations en sécurité applicative de calibre international (anglais) : “Advanced Web Security Testing with Burp Pro” et “Modern Object-Oriented Malware Reverse Engineering”.
Venez aussi, découvrir comment l'équipe est partie d'une idée en 2012 pour se rendre à un évènement d'envergure, qui rassemblera plus de 600 professionnels, étudiants et autres passionnés de sécurité appliquée lors de la 4ème édition qui aura lieu du 17 au 22 mai 2016 au Marché Bonsecours.
Finalement, la mission, la vision ainsi que les activités sociales de la semaine de NorthSec sont aussi au menu de cette présentation qui sera suivie d’une période de questions.

Gabriel Tremblay, Delve Labs, Président
Benoit Guerette, Desjardins, VP Finances

Pierre-David Oriol, Delve Labs, VP Conférence
Laurent Desaulniers, Bell Canada, Artisant de drapeaux
 
WHEN
Wednesday, 23 March 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative et l'hameçonnage - February 24th ==

[[Image:Fevrier2016-OWASPMtl.jpg | La sécurité applicative et l'hameçonnage ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/1RYlOiIENjQ]] [https://youtu.be/1RYlOiIENjQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 

De nos jours, une des méthodes les plus efficaces pour contourner les périmètres de sécurité externes est l'hameçonnage conjointement avec l’abus de certaines technologies Web.

Dans le cadre ses activités, OWASP Montréal est heureux d'inviter d'accueillir, l'équipe OKIOK qui présentera les impacts liés à ce type d'attaque, tel que vu et expérimenté en entreprise ainsi que les plans d'action pour traiter ces risques. La présentation abordera aussi bien la sécurité web et applicatives, des systèmes informatiques ainsi que de la sécurité physique de centres de données.

Capture d'informations sensibles par imitations de portails Web ;
Authentification Web par 2-facteurs ;
Injection SMTP dans des formulaires Web ;
Attaque de type “Drive-by-download”;
Prise de contrôle à distance à travers des flux HTTP;
Attaque de CSRF à partir de courriels ;
Attaque d'hameçonnage basée sur des achats par Internet (ex : PayPal).
 
When
Wednesday, 24 February 2016 from 12:00 PM to 1:15 PM (EST) - Add to Calendar
Where
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest Montreal, Quebec CA

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Internet of {Things, Threats} - January 20th ==

[[Image:Janvier2016-OWASPMtl-R.png | Internet of {Things, Threats} ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html ]] [http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html See the slides / Voir la présentation]
 
De plus en plus de périphériques se retrouvent connectés sur Internet. Sous la bannière "Internet of Things" (IoT) ces équipements, que ce soit une pompe à insuline ou un système de caméra de sécurité, tournent généralement sous un système GNU/Linux embarqué d'architecture MIPS ou ARM. La difficulté de mettre à jour ces équipements ainsi que le peu d'effort mis dans la sécurité des systèmes ou la sécurité applicative en font des cibles de choix. Ces derniers mois, nous avons analysé plusieurs logiciels malveillants ciblant ces architectures. Que ce soit par l'exploitation d'une vulnérabilité (Shellshock) ou encore un défaut de configuration, ces systèmes exposés sur Internet peuvent être compromis.

Notre présentation couvrira quelques une de ces analyses:

* Linux/Moose, un malware se propageant automatiquement qui fraude les réseaux sociaux (par exemple Facebook, Twitter et YouTube)
* LizardSquad et acteurs étrangers qui utilisent des systèmes embarqués compromis pour réaliser des dénis de service distribué (DDoS)
* Win32/RBrute est un logiciel malveillant qui tente de changer les paramètres de routeurs dans le but de faire du "DNS poisoning". Il a été distribué par le populaire botnet Sality.
* Un kit d'exploits qui utilise seulement le navigateur de leur victime avec le même objectif, c'est-à-dire faire du "DNS poisoning".

Enfin, des conseils seront proposés à l'audience pour l'aider à se protéger de ces menaces.

'''Thomas Dupuy''' (twitter: @nyx__o)

Thomas est chercheur en logiciel malveillant chez ESET Canada Recherche. Bon vivant, Thomas déjeune en "reversant" des binaires, contribue à quelques projets open source durant le diner (yara, yara rules, pefile, APTnotes) et la nuit participe à des "Hacking Games" (Capture The Flag). Curieux de nature Thomas analyse des malware aux architectures "exotiques".

'''Olivier Bilodeau''' (twitter: @obilodeau)

Olivier Bilodeau is the head of Cybersecurity Research at GoSecure a consultancy firm specializing in cybersecurity services for the public and private sector. With more than 10 years of infosec experience, Olivier worked on Unix servers at Bell Canada, managed a portion of Air Canada's network, wrote open source network access control software at Inverse and worked as a Malware Researcher at ESET. He likes to reverse engineer everything that crosses his path, participate in information security capture-the-flag competitions, hack open source code and brew beer. He has spoken at various conferences (Defcon, Botconf, VirusBulletin, Derbycon, ...), used to lecture on information security at ETS University in Montreal, drives the NorthSec Hacker Jeopardy and co-organizes the MontreHack capture-the-flag training initiative. His primary research interests include reverse-engineering tools, Linux and/or embedded malware and honeypots.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Survivre aux attaques DDOS applicatives ==

[[Image:Decembre2015-OWASPMtl.jpg | Survivre aux attaques DDOS applicatives ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
Survivre aux attaques DDOS (Distributed Denial-Of-Service) applicatives.
Cette conférence s'adresse aux professionnels et gestionnaires des TI.
Conférencier : Christian Shink, ing., CSSLP, ingénieur système chez Radware, manufacturier spécialisé dans la prévention des attaques DDOS. Il fut également consultant en sécurité applicative chez In Fidem.
Objectifs de la conférence:
Présenter les tendances actuelles en matière d'attaques DDOS applicatives.
Renseigner les participants sur les techniques et stratégies pour contrer ces attaques illustrées à partir de cas vécus.
Démystifier certains mythes en ce qui concernent les façons efficaces de protéger les applications contre des attaques DDOS.
Date : 16 décembre 2015
Heure : 11h45
La conférence débute à 12h00 et se termine à 12:55.
Un lunch sera servi.
Réservez maintenant!
1 CPE
 
WHEN
Wednesday, 16 December 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Sécurité des applications - Systèmes de contrôles industriels ==

[[Image:Novembre2015-OWASPMtl-R.png | Sécurité des applications - Systèmes de contrôles industriels ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/0eAZpyiQQ9A]] [https://youtu.be/0eAZpyiQQ9A Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

La sécurité des applications et les systèmes de contrôles industriels.
Cette conférence s'adresse aux professionnels et gestionnaires des TI desinfrastructures critiques qui exploitent ou gèrent des systèmes de contrôles industriels(SCI) et SCADA (surveillance et d'acquisition de données). 
Conférenciers : Robert Nastas, CSSA. Gestionnaire de projet et Youssef Jad, Architecte Cyber sécurité, ICS-CERT 
 
Objectifs de la conférence:
* Démystifier le domaine d'affaires.
* Renseigner les participants sur les bonnes pratiques de sécurité desapplications liées au secteur industriel.
* Proposer aux professionnels et gestionnaires des TI responsables dessystèmes SCADA et SCI des pistes de solutions aux enjeux de sécurité.
 
L'équipe OWASP Montréal vous remercie d'avoir assisté en grand nombre à la conférence, 'La sécurité des applications et les systèmes de contrôles industriels'.
 
WHEN
Wednesday, 18 November 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ==

[[Image:Septembre2015-OWASPMtl.jpg | Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert ]] [https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert See the slides / Voir la présentation]
 
Pour le lancement des activités corporatives de la saison 2015 - 2016, le 8 septembre prochain à 12:00, l'équipe OWASP Montréal convie les gestionnaires et artisants de la sécurité des TIC à venir entendre monsieur Éric Hébert qui nous présentera son interprétation des préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative. L'événement se tiendra au complexe Desjardins à la salle "Espace Desjardins".

''' ÉRIC G. HÉBERT, CISM, CISSP ''' 
Après plus de 20 ans passés dans le domaine de la sécurité des technologies de l’information, Éric se spécialise dans la mise en œuvre et la gestion d'équipes performantes, capables de relever les plus hauts défis de la cybersécurité moderne. 
Capable de dialoguer avec les hauts dirigeants, il sait traduire et vulgariser les enjeux techniques complexes tout en respectant la nature et l'appétence au risque de ses clients. Dynamique et pourvu d'une expérience couvrant presque toutes les sphères de la SI, il fonce dans le respect de la culture établie tout en implantant des solutions pragmatiques et efficaces. 
Depuis plus de 10 ans, il gravite principalement autour des entreprises du domaine financier (BNC, Desjardins, Fonds de solidarité FTQ...) et les accompagne dans la mise en place de solutions efficaces tenant compte à la fois des risques et des budgets.
En plus d’avoir fondé de nombreuses associations telles que le RéseauSécurIT et le RPSI, il maintient une présence régulière auprès des milieux associatifs professionnels et partage régulièrement ses expériences lors de conférences et d'entrevues avec divers médias.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

= Events / Évènements =

== Owasp Montreal at [https://nsec.io/ NorthSec 2017] ==

[[Image:NorthSec2017-5.jpg]]
[[Image:NorthSec2017-6.jpg]]

From Left to Right: Anne Gauthier, OWASP Montréal Chapter Leader (President) and Application Security Analyst at GoSecure, Hugo Genesse, OWASP Montréal Chapter Leader and Research Intern at PNF Software, Julien, OWASP Montréal Chapter Leader

== OWASP Montreal at [https://2017.appsec.eu/ AppSec] ==

[[Image:OWASPAppSecBelfast2017-7.jpg]]

OWASP Montreal and Ottawa Chapter Leaders at OWASP AppSec Belfast, UK #WomenInAppSec

== OWASP Montreal at [https://hackfest.ca/ HackFest 2016] ==

[[Image:Hackfest2016-r.jpg| HackFest |link=https://hackfest.ca/]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Louis Nadeau, OWASP Québec Chapter Leader and Manager, Product Security at Bentley Systems and Patrick Leclerc, OWASP Québec Chapter Leader and Information Security Advisor at La Capitale.

== OWASP Montreal at OWASP [https://2016.appsecusa.org/ AppSec USA 2016, Washington] ==
 
 
[[Image:OWASPMtl-AppSecUSA2016-Washington.jpg | OWASP Montreal at AppSec USA 2016, Washington]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016, Alexandre Hamelin President at Synlabs Consulting Inc., Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [https://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

== OWASP Montréal at [https://www.gosec.net GoSec] 2016 ==

[[Image:OWASP-GoSec2016-1r.jpg|OWASP Montreal at GoSec 2016]] [[Image:OWASP-GoSec2016-2r.jpg|OWASP Montreal at GoSec 2016]]
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Simon Lacasse, student and volunteer, and Laurent Desaulniers, Security Analyst at Bell Canada.

== OWASP Montréal at [https://www.nsec.io/ NorthSec] 2016 – Annual Applied Security Event ==

[[Image:Hackfest2016-OWASPMtl.jpg|OWASP Montreal at NorthSec 2016]]

@Photo : Simon Veilleux
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Olivier Arteau OWASP Montréal Chapter Leader and Conseiller chez Groupe Technologie Desjardins, Hugo Genesse, OWASP Montréal Chapter Leader and Vulnerability Research Intern at Wurldtech Security Technologies.

== OWASP Montréal at [https://hackfest.ca/en/ Hackfest] 2015 ==

[[Image:Hackfest2015-OWASPMtl-R.JPG | OWASP Montreal at Hackfest 2015]]

@Photo : Hackfest
 
 
From left to right : Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [http://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

[[Image:Video-link.png | Link to video | link=https://youtu.be/8U0qkEuUFy8]] [https://youtu.be/8U0qkEuUFy8 Watch the video / Regarder la vidéo]

== OWASP Montréal at [https://www.gosec.net/ GoSec] 2015 – The Annual Cybersecurity Conference presented by GoSecure, EY and ISACA. ==

[[Image:GoSec2015-OWASPMtl.jpg|OWASP Montreal at GoSec 2015]]

@Photo : Marius Popescu
 
 
From left to right : Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016. Benoît Guérette, Application Security Team Leader at Desjardins, VP Finance at NorthSec and OWASP Montreal Chapter Founder and Former Chapter Leader.

== See also / Voir aussi ==

OWASP Montréal recommends Montréhack. Learn and share knowledge on IT security by solving technical challenges. Third Monday of every month.

OWASP Montréal recommende Montréhack. Apprends et partages des connaissances sur la sécurité informatique en travaillant des problèmes appliqués. Chaque troisième lundi du mois.

[[File:Montrehack.png|Montréhack|link=http://montrehack.ca/|alt=Montréhack]]

= Archives 2007-2015 =
{{:Montreal chapter past meetings}}

== OWASP Montreal - February 3rd - Getting to Know the Software Assurance Marketplace (SWAMP) ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/p4_vjufcB6Q]] [https://youtu.be/p4_vjufcB6Q Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer]] [https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Pat Beyer
*'''ADDITIONAL PRESENTER:''' Abe Megahed
*'''ABSTRACT:''' The Software Assurance Marketplace (SWAMP) is an open facility that is designed, built, and operated by four research institutions. The SWAMP provides no-cost access to an array of open-source and commercial software analysis tools. This presentation will provide an overview and demo of the SWAMP, including our goals, intended audience, current capabilities, and future plans. We will cover our relationship with OWASP, incorporation of open-source software assurance tools, and status as an open-source project and resource available to the software community. Visit https://continuousassurance.org/ to learn more about us.
*'''BIO:''' Pat Beyer serves as the Product Manager for the Software Assurance Marketplace (SWAMP). With over 25 years of experience successfully managing multi-million dollar global projects, Beyer’s expertise extends to the IT, construction, and operations sectors, with a specialization in managing government contracts and grants. A gifted communicator, Beyer is a sought after speaker due to his ability to deliver complex information about technology products and services in a way that is easily understood. He is a decorated combat veteran of the Global War on Terror, the international military campaign that started following the 9/11 terrorist attacks on the United States. In 2004, he constructed and rehabilitated over 20 schools, clinics, and water treatment plants for the Iraqi people using local contractors. Beyer also holds a Bachelor of Science, a Masters in Business Administration, a Ph.D. in Organization and Management, and a Project Management Professional (PMP) certification.
*'''BIO:''' Abe Megahed is a web developer for the Software Assurance Marketplace. In previous lifetimes, he has been a computer graphics researcher, a game programmer, a programming language and compiler nerd, a dot com company founder, a creator of helicopter simulations, and a developer of 3D simulations for NASA astronaut crew training.
*'''WHEN:''' Tuesday, February 3rd 2015
*'''WHERE:''' Room PK-1140 - UQAM Pavillon Président-Kennedy, 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' https://owaspmtlswamp2015.eventbrite.ca
*'''WEBCAST:''' https://www.youtube.com/watch?v=p4_vjufcB6Q
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer

*'''ACADEMIC PARTNER:''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session: Getting to Know the Software Assurance Marketplace
20:00-... End of the meeting

[[Image:SWAMP-Logo-Final-Med.png|300px|link=https://continuousassurance.org/]]
[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

== OWASP Montréal - 4 décembre - Malware côté serveur — évolution, méthodes d’opération et forensic Linux ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/lo8WDl-WQ3E]] [https://youtu.be/lo8WDl-WQ3E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille]] [https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Marc-Etienne M.Léveillé
*'''RÉSUMÉ:''' Les logiciels malveillants ciblant les serveurs ont évolué. Ils sont utilisés par des groupes de cybercriminels organisés dans le but de faire du profit via des redirections web et l’envoie de pourriels. La présentation portera sur Opération Windigo, une opération malveillante qui a affecté plus de 25 000 serveurs dans le monde. Après une brève description des composantes de Windigo, nous verrons comment les opérateurs déploient leurs logiciels malveillants et surveille leur réseau de serveurs infectés. Des trucs pratiques pour faire de la forensics sur des systèmes Linux seront donnés. Cette présentation est une suite à la présentation "Linux/Cdorked: Server side malware", donnée par Olivier Bilodeau à OWASP Montréal en 2013. La présentation sera en français avec des diapositives en anglais (aka Montreal-style).
*'''BIO:''' Marc-Etienne est un chercheur en logiciel malveillant chez ESET depuis 2012. Il se spécialise dans les logiciels malveillants qui s’attaquent à des plateformes inhabituelles comme aux produits fruités et aux oiseaux nordiques. Dernièrement, il passe beaucoup de son temps à faire la rétro-ingénierie de logiciels malveillants sur des serveurs Linux et s’intéresse à leurs méthodes d’opération. Il adore participer de façon collégiale aux CTFs avec ses amis les CISSP Groupies et jouer de la clarinette. Il tweet très peu à @marc_etienne_.
*'''QUAND:''' 4 décembre 2014 à 18h00
*'''OÙ:''' Local M-1510, Polytechnique Montréal, 2900 Boulevard Edouard-Montpetit
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-4-decembre-malware-cote-serveur-evolution-methodes-doperation-et-forensic-linux-tickets-14635313617
*'''ÉQUIPE ACADÉMIQUE:''' Polyhack - http://polyhack.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Malware côté serveur
19:30-20:00 Période de questions

[[Image:Polyhacklogonoirpetit.png|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]

== OWASP Montréal - October 23rd - XXE : À l’assaut des analyseurs XML ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/MZviLB9-42E]] [https://youtu.be/MZviLB9-42E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau]] [https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Philippe Arteau
*'''RÉSUMÉ:''' L'utilisation d’XML est fortement répandue. Le format est utilisé pour des fichiers de configuration, pour des métadonnées, pour des documents textes, et bien plus. La prise en charge de fichiers XML n’est pas sans risque. La plupart des analyseurs XML ne sont pas sécuritaires par défaut pour le traitement de fichier externe. Cette présentation fera un survol des vulnérabilités de type « Xml eXternal Entity » et de l’étendue des risques pour différents langages de programmation. Plusieurs démonstrations sont prévues.
*'''BIO:''' Philippe est conseiller en sécurité applicative pour le Groupe Technologies Desjardins. Au quotidien, il s’occupe d’effectuer des tests d’intrusions et des revues de code. Il a découvert des vulnérabilités importantes dans plusieurs logiciels populaires incluant Google Chrome, DropBox, ESAPI et Jira.
*'''QUAND:''' 23 Octobre 2014 à 18h00
*'''OÙ:''' École de Technologie Supérieure Local A-3230, 1100 Rue Notre-Dame Ouest, Montréal, QC H3C 1K3
*'''INSCRIPTION:''' http://www.eventbrite.ca/e/owasp-montreal-23-octobre-xxe-a-lassaut-des-analyseurs-xml-tickets-13426881163
*'''PARTENAIRE ACADÉMIQUE:''' ETS - DCI http://dciets.com/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:45 Mot de bienvenue
18:45-19:45 Présentation principale - "À l’assaut des analyseurs XML" Philippe Arteau
19:45-20:00 Période de questions

[[Image:Blason_dci.png‎‎‎|150px|link=http://dciets.com/]]
[[Image:ETS-rouge-devise-impr-fond_transparent.png|150px|link=http://www.etsmtl.ca/]]

== OWASP Montreal - July 24th - Web security for DevOps: the glory is in the headers ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/6bp1NCLT-YQ]] [https://youtu.be/6bp1NCLT-YQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil]] [https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Jonathan Marcil
*'''ABSTRACT:''' DevOps is a buzzword which can be easily demystified: in essence it is a process which aims to combine the development and system administration process into one; Operations. As developers become responsible for server setup, security counter measures are evolving as well. The line between server configuration and application behaviour has been blurred. In this talk we will cover some HTTP headers in regards to security such as CORS, CSP and HSTS. We will demonstrate several forms of attack, and how they can (should) be countered.
*'''BIO:''' Jonathan is devoted to security and specialized in Web application security. His main occupation is consulting in Web security, but deep down he is a developer with a agnostic vision of programming languages. He has a diploma in Software Engineering from Ecole de Technologie Superieure and more than 10 years of experience in Information Technology and Security.
*'''WHEN:''' At noon on July 24th 2014
*'''WHERE:''' 75 Queen Street, office 3100, Montreal, QC H3C 2N6
*'''REGISTRATION:''' You can join us on site for a pizza slice but this is mainly an online event. Contact jonathan.marcil@owasp.org.
*'''WEBCAST:''' https://www.youtube.com/watch?v=6bp1NCLT-YQ
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil
*'''EVENT SPONSOR:''' Pheromone http://www.pheromone.ca/
*'''PROGRAM:'''

12:00-12:10 Welcome and quick OWASP introduction
12:10-13:10 Main presentation - "Web security for DevOps: the glory is in the headers" Jonathan Marcil
13:10-... Open discussion and questions

[[Image:Logo-phero.gif‎|link=http://www.pheromone.ca/]]

== OWASP Montreal - June 18th - Gaps in the Clouds ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz]] [https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Robert Fritz
*'''ABSTRACT:''' Cloud technology offers agility and scaling, and a chance to break away from legacy IT choices. Unfortunately, skipping traditional IT activities often results in poorly patched systems, out of date firewalls, and overprovisioned entitlements wielded by admins whose “day job” is development. Boundaries of accountability and responsibility amongst cloud providers and consumers are confusing, vague, and shift, making security difficult to manage. In such an environment, a “BP-spill” event, where cost wins over safely safety, is likely. This talk will dive down into the cracks between the layers of cloud, and share some of the exciting dirt we have seen and expect to see in coming years.”
*'''BIO:''' Robert Fritz has been practicing security his entire career. Rob started as an Air Force lieutenant at Langley AFB and later at the Pentagon in Washington DC, building and managing classified networks. Finding he was getting too far from technology after a brief stint flying, he left the military to get back to the tech, and built security tools for HP in their HP-Unix lab. Over time he found himself in more and more security design discussions, so co-authored HP’s Commercial Application Threat Analysis Methodology, building an internal consulting practice at HP. This quantitative approach, led to two pending patents, an external-facing consulting practice, and his contributions to NIST IR-7502, the Common Configuration Scoring System (CVSS follow-on). He is the former lead editor for the Center for Internet Security’s HP-UX Benchmark, and current lead for the Android Benchmark. Robert now works for Morgan Stanley as global head of the Strategic Consulting team in the Security Architecture group, and leads the team’s cloud and social-media security practices.
*'''WHEN:''' June 18th 2014
*'''WHERE:''' 700 Rue Wellington, Floor 2, Montreal, QC H3C 3S4
*'''REGISTRATION:''' http://owaspmtl18junems.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz
*'''EVENT SPONSOR:''' Morgan Stanley http://www.morganstanley.com/
*'''PROGRAM:'''

18:00-18:30 Networking and Morgan Stanley Hosted Pizza and Soft Drinks
18:30-18:45 OWASP Chapter & Morgan Stanley Welcome
18:45-19:45 Main presentation - "Gaps in the Clouds" Robert Fritz
19:45-20:00 Open discussion and questions
20:00-... Optional, informal networking at Aziatic - 626 rue Marguerite-d'Youville, Montréal, QC H3C 1W7

[[Image:Morgan_Stanley_Historical_Logo.png|link=http://www.morganstanley.com/]]

== OWASP Montréal - May 26th - Récapitulatif des challenges NorthSec ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/P8_V3RI1Ru4]] [https://youtu.be/P8_V3RI1Ru4 Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''PRÉSENTATEUR PRINCIPAL:''' Laurent Desaulniers
*'''RÉSUMÉ:''' Solutions de la compétition en sécurité NorthSec 2014 sur les sujets de XXE + SSRF, WAF Bypass, Xpath Injection, DOM Injection, HTTP Only Flag bypass et contournement de captchas. Une bonne façon d'apprendre sur ces failles que vous étiez ou non un participant de la compétition.
*'''MESSAGE DU PRÉSENTATEUR:''' Vous voyez Rao dans votre soupe? Vous voulez une solution pour un XSS avec des cookies http only? Les captchas illisibles sont un problème? Assistez à la présentation de l'OWASP!
*'''BIO:''' Laurent Desaulniers est un passionné de sécurité informatique. Il a présenté au Hackfest, au colloque RSI, à OWASP et est challenge designer à NorthSec. M. Desaulniers détient les certifications CISSP, CISM, CISA et OSCP.
*'''QUAND:''' 26 mai à 18h00
*'''OÙ:''' Local PK-1140 - Pavillon Président-Kennedy 201, Avenue du Président-Kennedy, J2X 3Y7
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-26-mai-recapitulatif-des-challenges-northsec-tickets-11724413035
*'''WEBCAST:''' https://www.youtube.com/watch?v=P8_V3RI1Ru4
*'''ÉQUIPE ACADÉMIQUE''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Récapitulatif des challenges NorthSec
19:30-20:00 Période de questions

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== Networking with infosec communities - April 21st ==

[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''RÉSUMÉ:''' En collaboration avec Montréhack, mtlsec et NorthSec, nous organisons une soirée réseautage dans un pub du centre-ville. Du plaisir garanti avec les membres de plusieurs communautés infosec de Montréal!

*'''ABSTRACT:''' In collaboration with Montréhack, mtlsec and NorthSec, we are organizing a networking evening in a pub downtown. Fun guaranteed with the other security communities in Montreal!

*'''QUAND:''' 21 Avril 2014
*'''WHEN:''' April 21st 2014

*'''OÙ/WHERE:''' BENELUX - Brasserie Artisanale 245 Sherbrooke St W Montreal, QC H2X 1X7

*'''INSCRIPTION/REGISTRATION:''' https://www.eventbrite.ca/e/montrehack-avril-april-northsec-pre-party-tickets-11232307133

*'''PARTENAIRES/PARTNERS:''' Montréhack http://montrehack.ca/ - mtlsec http://blog.mtlsec.com/ - NorthSec https://www.nsec.io/
*'''PROGRAMME:'''
18:00-21:00 Networking
21:00-23:59 Remember to drink responsibly!

== OWASP Montréal - March 27th - Panel Compétition en sécurité NorthSec ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

'''Présentation sous forme de panel - venez poser vos questions!'''

*'''RÉSUMÉ:''' Les compétitions de type Capture the Flag (CTF) sont un moyen pour les professionnels et amateurs de sécurité informatique de mettre leurs talents à l'épreuve. NorthSec est une compétition Montréalaise annuelle en sécurité appliquée, qui aura lieu cette année au Marché Bonsecours de Montréal le 25, 26 et 27 avril prochain. Elle vise à augmenter le niveau technique des professionnels de la sécurité au Québec, ainsi que de permettre à ses acteurs les plus talentueux de se démarquer.
*'''DÉTAILS:''' Le panel de jeudi, sous la forme d'un échange convivial entre les organisateurs de l'évènement et de ses participants, abordera des thèmes variés comme l'écriture de bon défis, l'infrastructure, la logistique, les inattendus, un bilan de 2013 et tout ça en passant par de savoureuses annecdotes (on l'espère). Venez en grand nombre toucher à ces légendes de la scène infosec montréalaise!
*'''PANÉLISTES:''' Gabriel Tremblay, François Proulx, Laurent Desaulniers, Stéphane Graber
*'''ANIMATEUR:''' Olivier Bilodeau
*'''QUAND:''' 27 mars 2014
*'''OÙ:''' Salle M-1510, École Polytechnique de Montréal, 2500 chemin de Polytechnique, Montréal (Québec) H3T 1J4, pavillon Lassonde
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-27-mars-panel-competition-en-securite-northsec-tickets-10918436337
*'''ÉQUIPE ACADÉMIQUE:''' Polytechnique - Polyhack http://polyhack.org/
*'''PROGRAMME:'''
18:00-18:25 Networking
18:25-18:30 Mot de bienvenue par le leader du chapitre (Jonathan Marcil)
18:30-20:00 Présentation principale : Panel NorthSsec

[[Image:Polyhack.png‎‎|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== OWASP Montreal - February 25th - Proven Strategies for Web Application Security ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane]] [https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Justin C. Klein Keane
*'''ABSTRACT:''' The rising dominance of the web as an application delivery platform has focused attacker attention squarely on the security of dynamic web applications. Application security is a complex, and shifting, field. Learn about tested and successful techniques to build safer applications, find flaws before they become vulnerabilities, and deploy applications that can detect, and resist attack.
*'''BIO:''' Justin C. Klein Keane is a security engineer and chapter leaders of OWASP in Philadelphia. For over a decade Justin has worked as a trainer, coder, and exploit developer. Justin is currently writing a book for NoStarch Press on hacking, speaks regularly at conferences, holds a masters degree in information technology from the University of Pennsylvania and is credited with hundreds of application vulnerability discoveries.
*'''WHEN:''' February 25th 2014
*'''WHERE:''' Ecole de technologie superieure, 1100 Notre-Dame Street West, Montreal, Room: A-1150
*'''REGISTRATION:''' http://owaspmtljan2014.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane
*'''ACADEMIC PARTNER:''' ETS - DCI http://dciets.com/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session and open discussion: Proven Strategies for Web Application Security
20:00-... End of the meeting in a pub

[[Image:Dciets.png‎‎‎|100px|link=http://dciets.com/]]
[[Image:Logo_ets.png|link=http://www.etsmtl.ca/]]

== OWASP Montreal - January 28th - Latest trends in Mobile Security ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/8qPyKj4FKgY]] [https://youtu.be/8qPyKj4FKgY Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx]] [https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Francois Proulx
*'''ABSTRACT:''' Last AppSecUSA 2013 had a great line up of talks, especially regarding mobile applications. This session will be covering all the hottest presentations about mobile security by doing an overview from what see saw at AppSecUSA, all with some slides and snippets of presentations that was recorded at the event. Discussion will be encouraged within the audience as this will be more a dynamic event than a regular talk.
*'''BIO:''' François Proulx is a senior mobile application developer who has worked on dozens of iOS applications since the very beginning of the Apple iOS platform. Over the past few years he has switched his focus to security. He spends a lot of his free time participating in Capture the Flag events (CTFs) and organizing the NorthSec security competition.
*'''WHEN:''' January 28th 2014
*'''WHERE:''' UQAM Room PK-1705, Pavillon Président-Kennedy (the big boat at Place des Arts) - 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' http://owaspmtl-mobilesecurity.eventbrite.ca
*'''SLIDES/CONTENT:''' [http://www.youtube.com/playlist?list=PLQtB2ug5xmvaQ9jeRWV53-F_T555GQfhW YouTube playlist]
*'''SPONSOR:''' Academic partner AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan M.)
18:30-20:00 Main session and open discussion: Mobile Security
20:00-... End of the meeting in a pub

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

==== Presentations For Download ====

[http://www.owasp.org/images/0/0d/20100209mstechdaysowaspasvssgiv01-12657916463819-phpapp02.ppt OWASP ASVS] by Sebastien Gioria (09/03/2010)

[http://www.ph-il.ca/slides/afup__authetification_forte.pdf Authentification Forte] by Philippe Gamache (02/02/2010)

[http://www.opensamm.org/downloads/OpenSAMM-1.0.ppt Software Assurance Maturity Model (OpenSAMM)] by Pravir Chandra (03/11/2009)

[http://www.owasp.org/images/d/de/Owasp-montreal-sept-17h-2009-justin-foster.pdf Crossing the Border – Javascript Exploits] by Justin Foster (17/09/2009)

[http://www.owasp.org/images/c/c2/ALaughRIAt.pdf A Laugh RIAt] by Rafal Los (07/04/2009)

[https://www.owasp.org/images/e/eb/OWASP-Montreal-24022009-RobLabbe.pptx Microsoft Security Development Lifecycle for IT] by Rob Labbe (24/02/2009)

[https://www.owasp.org/images/3/39/OWASP-Montreal-24022009-EN.pdf OWASP Goal and Top Ten 2007 for Managers - French version] by Benoit Guerette (24/02/2009)

Newer presentations are available on [https://speakerdeck.com/owaspmontreal Speaker Deck]

[[Image:Circle_owasp_logo_nowhitebackground.png|200px]]

= OWASP Foundation / Mission OWASP =
OWASP Foundation ([https://docs.google.com/a/owasp.org/presentation/d/10wi1EWFCPZwCpkB6qZaBNN8mR2XfQs8sLxcj9SCsP6c/edit?usp=sharing Overview Slides]) is a professional association of [[Membership | global members]] and is open to anyone interested in learning more about software security. Local chapters are run independently and guided by the [[Chapter_Leader_Handbook]]. As a [[About_OWASP | 501(c)(3)]] non-profit professional association your support and sponsorship of any meeting venue and/or refreshments is tax-deductible. Financial contributions should only be made online using the authorized online chapter donation button. To be a SPEAKER at ANY OWASP Chapter in the world simply review the [[Speaker_Agreement | speaker agreement]] and then contact the local chapter leader with details of what OWASP PROJECT, independent research or related software security topic you would like to present on.

La fondation OWASP est une [https://www.owasp.org/index.php/Membership association de professionnels] et elle est ouverte à tout intervenant intéressé à en apprendre davantage sur la sécurité applicative. Les chapitres locaux (dont celui de Montréal) sont gérés de façon indépendante et selon un [https://www.owasp.org/index.php/Chapter_Leader_Handbook manuel de directives à respecter].
Toute contribution financière au chapitre peut être faite en ligne en utilisant l’icône prévu à cet effet. Pour être conférencier au sein de n’importe quel chapitre à l’échelle mondiale, vous n’avez qu’à prendre connaissance du document [https://www.owasp.org/index.php/Speaker_Agreement "entente avec les conférenciers – speaker agreement"] et à joindre le responsable du chapitre Montréal avec un descriptif du sujet que vous aimeriez aborder et s’il est relié à un projet OWASP, à de la recherche indépendante ou encore le sujet en particulier, concernant la sécurité applicative, que vous souhaitez aborder.

== [[Image:Circle_owasp_logo_nowhitebackground.png|128px]] Montreal OWASP Team ==

Scope of the team is to discuss and plan local activities and meetings

=== Chapter Leaders ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique

==== Chapter leader history ====
*2008-2010 - Benoit Guerette, founder and chapter leader
*2011-2012 - Philippe Gamache, chapter leader (vice chapter-leader since 2010)
*2013-2015 - Jonathan Marcil, chapter leader
*2016-... - Anne Gauthier, Michel Bourque, Marius Popescu, Hugo Genesse, Olivier Arteau

==== Old board members ====
*Philippe Pépos Petitclerc
*Michael Robillard
*Benoit Guerette (logistics 2015)
*Alexandre Rimthong
*Mathieu Binette
*Sean Coates
*Jean-Marc Robert
*Philippe Blondin
*Benoit Guerette (founder)
*Laurent Desaulniers
 

<headertabs></headertabs>
__NOTOC__
[[Category:Canada]]

Montréal

2017-08-18T16:13:39Z

Svieg:

== Welcome & Bienvenue to the OWASP Montréal chapter ==
 
[[Image:OWASP-Montreal-Logo.png|Logo OWASP Montréal]]

The OWASP Foundation was established in 2001 as an open community and software security resource. Since then, OWASP has grown to be globally recognized as a credible source for application security standards. 
OWASP is an open community dedicated to enabling organizations to conceive, develop, acquire, operate, and maintain applications that can be trusted. All of the OWASP tools, documents, forums, and chapters are free and open to anyone interested in improving application security. We advocate approaching application security as a people, process, and technology problem because the most effective approaches to application security include improvements in all of these areas. 
OWASP is open to anyone. Anyone can attend OWASP's vendor agnostic local chapter meetings, participate in regional and global conferences, and contribute to the many OWASP projects. And anyone can start a new project, form a new chapter, or lend their expertise to help an OWASP Global Committee. 
On parle français aussi ! Le chapitre de Montréal organise plusieurs activités gratuites afin de partager les connaissances en sécurité applicative avec la communauté de développeurs et gestionnaires. Suivez-nous sur les réseaux sociaux pour connaître les dates des conférences du midi et des workshops ! 

Top documentation from OWASP includes:

* [https://www.owasp.org/index.php/Top_10_2013-Top_10 OWASP TOP 10 : The Ten Most Critical Web Application Security Risks]

* [https://www.owasp.org/images/3/33/OWASP_Application_Security_Verification_Standard_3.0.1.pdf OWASP ASVS : Application Security Verification Standard]

* [https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf OWASP Testing Guide : Penetration Testing Framework ]

* [https://www.owasp.org/images/7/78/OWASP_AlphaRelease_CodeReviewGuide2.0.pdf OWASP Code Review Guide : Source Code Analysis Framework ]

* [https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series OWASP Cheat Sheet : Best practices guidelines for developers ]

* [https://www.owasp.org OWASP Global ]

=== Chapter Leaders / Responsables du chapitre ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique
 
Special thanks to / Remerciements :
* Simon Lacasse, Web content / Site internet

== Reach our chapter / Joindre le chapitre ==

Follow OWASP's Montreal chapter's activities through social medias, register to events, watch the previous presentations and more!

Suivez les activités du chapitre OWASP Montréal via les réseaux sociaux, inscrivez-vous aux activités, visualisez les anciennes présentations et plus encore!

 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Click here] to join the local chapter mailing list.
 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Inscrivez-vous ici] à la liste de courriels du chapitre afin de recevoir les dernières nouvelles!

Want to be part of the community ?
Devenez membre de notre communauté !
[https://www.owasp.org/index.php/Membership_Map Click here / Cliquer ici]

[[Image:Eb_press_little.gif‎|OWASP Montreal Eventbrite|link=http://owaspmontreal.eventbrite.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Yt-brand-standard-logo-630px.png‎|128px|YouTube OWASP Montreal Channel|link=http://www.youtube.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Speakerdecklogo.png‎|Slides of OWASP Montreal on SpeakerDeck |link=https://speakerdeck.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]

 
[[Image:Twitter-bird-cropped-onwhite.png|@owaspmontreal on Twitter|link=https://twitter.com/owaspmontreal]]
[[Image:FacebookSquareLogo.png|OWASP Montreal Facebook page|link=https://www.facebook.com/owasp.montreal]]
[[Image:LinkedinSquareLogo.png|OWASP Montreal on LinkedIn|link=https://www.linkedin.com/groups/1379007/profile]]

[[Image:Spacer-horiz.gif‎]]

== Sponsorship & Membership / Commandite & Adhésion ==

[[Image:Btn_donate_SM.gif|link=http://www.regonline.com/donation_1044369]] to this chapter or become a local chapter supporter.

Or consider the value of [[Membership | Individual, Corporate, or Academic Supporter membership]]. Ready to become a member? [[Image:Join_Now_BlueIcon.JPG|75px|link=https://myowasp.force.com/]]

[http://www.regonline.com/donation_1044369 Donnez] au chapitre ou devenez commanditaire du chapitre local!

[https://myowasp.force.com/ Devenez membre !] Pour en savoir davantage sur les avantages d’une adhésion individuelle, corporative ou en tant qu’institution d’enseignement, [https://www.owasp.org/index.php/Membership cliquez ici].

[[Category:OWASP Chapter]]

== Chapter Supporters / Commanditaires du chapitre ==

[https://www.owasp.org/images/9/91/OWASP_Membership_Flyer_Montreal.png All details available here / Pour tous les détails ] [[File:Chapter-supporter-owasp-montreal.png|200px|link=https://www.owasp.org/images/9/91/OWASP_Membership_Flyer_Montreal.png]]

=== Platinum / Platine ===

[[Image:Gosecure-2.png|GoSecure|link=http://www.gosecure.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[File:Desjardins2-400x400.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 
 

=== Gold / Or ===

[[Image:ImmunioLogo.jpg|Immunio|link=https://www.immun.io/]]

 
 
 

= Lunch & Learn / Workshops 2017 =

== Cas d'attaques vécus : Internet des objets (IOT) - Attaques DDoS ==

[[Image:Cas_dattaques_vecus-r.jpg ]]
 
WHEN
June 19th 2017
WHERE
Espace Desjardins

Pour clore la saison printanière 2017, OWASP Montréal est fier d'accueillir au Midi Conférence, M. Christian Shink qui fera un survol de cas d'attaques vécus, des techniques utilisées et des acteurs impliqués dans ces attaques. 
L'incorporation généralisée de dispositifs «intelligents» dans les objets de la vie de tous les jours modifie la façon dont les gens et les machines interagissent les uns avec les autres. Cette incorporation offre une promesse d'une meilleure qualité de vie, une meilleure efficacité. En contrepartie, leur déploiement introduit également des vulnérabilités à la fois dans l'infrastructure qu'ils soutiennent et sur lesquels ils comptent, ainsi que dans les processus qu'ils guident. Que ce soit au niveau applicatif ou des infrastructures, ces vulnérabilités sont exploitées par des acteurs malicieux pour générer des attaques de déni de service massives et sophistiquées. Nous tenterons également de tirer des leçons afin de tenter de minimiser ce type d'attaques dans le futur. 
Christian Shink possède plus d’une dizaine d’années d’expérience en développement et sécurité d’applications. Avant de se joindre à Radware, Christian était à l’emploi d'une firme conseil où il a conseillé de nombreuses entreprises, dont de grandes banques américaines et Casinos. Il détient une certification CSSLP et est membre de l'ordre des ingénieurs du Québec.
 

== HOW TO! Threat Modeling Toolkit ==

[[Image:OWASPMtl-JonathanMarcil-1.jpg]]
[[Image:OWASPMtl-JonathanMarcil-3.jpg]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit]] [https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit See the slides / Voir la présentation]
 
WHEN
May 23rd, 2017
WHERE
Shopify Montreal

Threat Modeling is a great way to analyze security early in software development by structuring possible attacks, bad actors and countermeasures over a broad view of the targeted system. This talk will describe basic components of a threat model and how to use them effectively.
Threat Intelligence is where you gather knowledge about the environment and business assets to determine what are the actual threats. But how do you reconcile that with the current architecture in a useful manner?
The toolkit presented in this talk will enable you to systematically structure related information using graphical notations such as flow diagram and attack tree. In case you are wondering where to start in your organization, a quick lightweight risk rating methodology will also be proposed.
And in the end, you’ll see how we can all tie those together and get threat modeling to a point where it’s an efficient application security activity for communication. Doing this will prevent security reviews from missing important things even when chaos prevails during the realization of a project.
Modeling concepts will be demonstrated with an actual IoT device used as example.
Presentation will be done in english.

Speaker Bio:
Jonathan Marcil is the former chapter leader of OWASP Montreal and is now Senior Application Security Engineer at Blizzard Entertainment in beautiful Orange County, California.
Jonathan has been involved with OWASP for many years and has been behind the Media Project which gathered and promoted AppSec conferences video content in the official OWASP YouTube channel. He was also part of NorthSec CTF event as a challenge designer specialized in Web and imaginative contraptions.
He is passionate about Application Security and enjoys architecture analysis, code review, threat modeling and debunking security tools. He holds a diploma in Software Engineering from ÉTS Montreal and has more than 15 years of experience in Information Technology and Security.

Merci à nos précieux commanditaires !

== Security Testing: Unlocking the Benefits of a Hybrid Approach ==
[[Image:Security testing hybrid approach-r 3.jpg ]]
[[Image:Security testing hybrid approach-r 4.jpg ]]
 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/hybrid-approach-to-security-testing]] [https://speakerdeck.com/owaspmontreal/hybrid-approach-to-security-testing See the slides / Voir la présentation]
 
WHEN
April 24th, 2017
WHERE
Espace Desjardins

As part of their defensive efforts, businesses commonly commission cybersecurity assessments of their web applications; with the aim of identifying any weaknesses in the security controls and ensuring a continually strong cybersecurity posture of their systems.

The classical approach of either secure code review (white box) or penetration testing (black box) assessment have proven to be effective in securing of web applications. The new trend, however, is moving towards the combination of these two approaches; expert consensus is rapidly recognizing the advantages of using a hybrid approach. When applied properly, a hybrid approach can build on the strengths of both white and black box testing, while compensating for their individual shortcomings.

In this presentation, we will examine the details of secure code review and penetration testing, and run demos to contrast their respective strengths and weaknesses. We will also examine why a hybrid approach can produce more complete and relevant assessment results. To conclude, we will cover proven approaches, and practical techniques, on how you can start leveraging a hybrid approach to web application assessments today.

Anne Gauthier is an application security analyst at GoSecure. Anne is also the president of the Montreal Chapter of OWASP – the industry standard for web application security. With a penetration testing background, she specializes in secure code reviews and in helping companies to improve their software development lifecycle (SDLC) according to industry best practices. Anne is CSSLP, GWAPT and GSSP-JAVA certified. She obtained a Software Engineering bachelor’s degree from Ecole de Technologie Supérieure in Montréal and is now pursuing a Master of Engineering (MEng) degree in Information Systems Security at Concordia University. She is the author of the Project 201 Security blog.

Merci à nos précieux commanditaires !

== "HOW-TO" NIGHT ! Tout sur les CTFs (Capture The Flag) ==

[[Image:Howto_ctf.jpg]]
 
[[Image:Presentation-link.png | Slides | link=https://docs.google.com/presentation/d/1zEsCcX-Nvq8Nz0k-B1zHejCDNT2oGZx8oUBgMbvvMM0/edit#slide=id.p ]] [https://docs.google.com/presentation/d/1zEsCcX-Nvq8Nz0k-B1zHejCDNT2oGZx8oUBgMbvvMM0/edit#slide=id.p See the slides / Voir la présentation (Laurent Desaulniers)]
[[Image:Presentation-link.png | Slides | link=https://docs.google.com/presentation/d/1c1P1d2mKe767j1Y0V9cK6De5cpnK4I7GI-ORiodbg1A/edit#slide=id.p ]] [https://docs.google.com/presentation/d/1c1P1d2mKe767j1Y0V9cK6De5cpnK4I7GI-ORiodbg1A/edit#slide=id.p See the slides / Voir la présentation (Charles Hamilton)]
[[Image:Presentation-link.png | Slides | link=http://obilodeau.github.io/slides/2017-04-04_how-not-to-suck-at-ctfs/ ]] [http://obilodeau.github.io/slides/2017-04-04_how-not-to-suck-at-ctfs/ See the slides / Voir la présentation (Olivier Bilodeau)]
 
WHEN
April 4th, 2017
WHERE
Shopify

Cette nouvelle soirée "How-To" Night d'OWASP Montréal vise à présenter les CTFs (une compétition Capture The Flag) et aider les équipes à démarrer et à continuer à évoluer dans leurs pratique de la cyber sécurité pratique. L'objectif est d'outiller les participants en leur fournissant des ressources techniques et des contacts afin de les aider à progresser.

Les éléments discutés seront:

- Composition optimale d’une équipe : Fonctionnement d’une équipe de CTF et les principaux rôles (chef d’équipe, cryptographie, application web, rétro ingénierie et les causes perdues).

- Pourquoi faire des CTFs? Discussion sur les différents styles (jeopardy, attack/defense, etc.), quels sont les problèmes fréquemments rencontrés + plusieurs anecdotes intéressantes (et drôles).

- Trucs de Mr. Unikoder : Le créateur du fameux site ringzer0team, soit un des plus gros sites pour apprendre la résolution de problèmes de CTF (https://ringzer0team.com/) Apprenez des trucs du meilleur, sur comment débuter et interpréter un challenge web, binaire et crypto avec des trucs réels du métier.

Matériel requis :

Votre légendaire enthousiasme

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement.

Présentateurs :

Charles Hamilton, Senior Consultant chez Mandiant, FireEye, Inc.

Olivier Bilodeau, Cybersecurity Research Lead at GoSecure

Laurent Desaulniers, Senior Security Solution Specialist at Bell Canada

== NorthSec - Applied Security Event ==
[[Image:Nsec_2017_midi_conf.jpg]] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/northsec-applied-security-event]] [https://speakerdeck.com/owaspmontreal/northsec-applied-security-event See the slides / Voir la présentation]
 
WHEN
April 4th, 2017
WHERE
Espace Desjardins

NorthSec: La plus grande compétition et conférence en cyber sécurité au Canada

NorthSec est un organisme sans but lucratif qui organise une conférence et une compétition de sécurité de type "Capture-The-Flag" (CTF) et des formations. Avec plus de 400 participants présents sur le site pour la compétition, c’est la plus grande compétition du genre au monde.

La conférence, dans sa 3e année, attire des présentateurs internationaux avec du contenu technique exclusif. L’ajout des séances de travail (workshops) devrait plaire aux plus chevronnés des binaires.

Des formations de 3 jours sont offertes avant la conférence: "Advanced Web Application Security" par Philippe Arteau et "Malware and Memory Forensics" par Michael Ligh, co-auteur des livres "Malware Analyst Cookbook" et "The Art of Memory Forensics".

NorthSec est situé au Marché Bonsecours dans le Vieux-Port de Montréal au printemps du 15 au 21 mai 2017.

La présentation couvrira:

- Le plan pour 2017 
- Ce qui différencie NorthSec 
- Comment équilibrer une compétition pour les débutants et les experts 
- Comment bâtir une infrastructure basée sur les conteneurs qui gère 50 équipes dans quelques serveurs sans qu’ils ne se partagent de machines virtuelles 
- Comment faire du pain au levain à grande échelle 
- Présentation de quelques défis et solutions 

Les présentateurs:

- Gabriel Tremblay, Président, Delve Labs 
- Olivier Bilodeau, VP Formations, Co-fondateur MontréHack, GoSecure 
- Pierre-David Oriol, VP Conférences, Delve Labs 
- Benoit Guérette, VP Partenaires, Desjardins 
- Laurent Desaulniers, Tisserand de drapeaux, Bell Canada 

Merci à nos précieux commanditaires !

== Sécurité des applications : Les fondements ==
[[Image:Tanya.jpeg]] 

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/securite-des-applications-les-fondements]] [https://speakerdeck.com/owaspmontreal/securite-des-applications-les-fondements See the slides / Voir la présentation]
 
WHEN
March 20th, 2017
WHERE
Espace Desjardins

OWASP Montréal est fier d’accueillir au Midi Conférence du mois de mars, Mme Tanya Janca, Co-Leader du chapitre OWASP Ottawa et spécialiste de la sécurité applicative au sein du Gouvernement fédéral.

La conférence « Les fondements de la sécurité des applications » sera présentée en anglais.

Session Description : Everyone has heard about the problem; everyone is “getting hacked”. But what is the answer? From scanning your code with a vulnerability scanner to red teaming exercises, developer education programs and bug bounties, this talk will take the audience through all the possibilities of an extensive application security program, with a detailed explanation of each part.

Bio : Tanya Janca is an application security evangelist, a web application penetration tester and vulnerability assessor, a secure code reviewer, an ethical hacker, the Co-Leader of the OWASP Ottawa chapter, and has been developing software since the late 90’s. She has worn many hats and done many things, including; Custom Apps, Ethical Hacking, COTS, Incident Response, Enterprise Architect, Project and People Management, and even Tech Support. She is currently helping the Government of Canada secure their web applications.

Merci à notre commanditaire principal de cet événement: Ubitrak!

== WORKSHOP ! Server Side Template Injection (SSTI) ==

[[Image:Workshop-okiok-SSTI-r.jpg | WORKSHOP ! Server Side Template Injection (SSTI) ]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti]] [https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti See the slides / Voir la présentation]

WHEN
22 Février 2017
WHERE
Shopify Montréal

OWASP Montreal vous invite à un atelier portant sur la sécurité des applications web supportant les moteurs de template (Template Engine). Le principe de séparation entre la présentation du site (code HTML statique) et de son contenu dynamique facilite la création de documents HTML et la capacité à modifier l'apparence du site sans mélanger le traitement et le rendu de la page. L'utilisation de moteurs de template amène de nouveaux enjeux de sécurité. Les vulnérabilités de type Server Side Template Injection (SSTI) sont exploitables à travers les données (non fiables) fournies par l'utilisateur et conduisent à l'exécution de code arbitraire (RCE) sur le serveur hébergeant l'application web. 

Ce workshop a pour but d'introduire cette classe de vulnérabilité à travers différents cas d'implémentation (php, java, python).
Nous verrons comment identifier et exploiter ces vulnérabilités et de quelle manière un attaquant peut
s'y prendre pour exécuter du code arbitraire sur le serveur afin d'en prendre le contrôle. 

Niveau : Intermédiaire 
Matériel requis :
* Votre portable
* Votre distribution Linux/Unix de votre choix
* Votre proxy Web de votre choix

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.
Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.
Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement. 

Présentateur : Gérôme Dieu 
Gérôme Dieu cumule plus de 7 années d’expérience en technologies de l’information et en sécurité.
Il œuvre à titre de conseiller senior en sécurité de l’information au sein de la firme OKIOK. Ces dernières années, il a acquis une expertise dans le domaine de la sécurité des applications web aussi bien d'un point de vue offensif que défensif. En plus de réaliser des tests d’intrusion pour des clients internationaux, Gérôme s’implique dans la recherche et développement afin de maintenir à la fine pointe de la technologie les tests d'intrusion et d'analyse de vulnérabilités. 

Merci à Shopify d'héberger l'événement ! 
[[Image:Shopify Logo-r.png| Shopify | link=https://www.shopify.com/]]
== Le courriel en 2017 – risques et menaces pour tous ==

[[Image:Zero spam 2.jpg|Le courriel en 2017 – risques et menaces pour tous]]

[[Image:Video-link.png | Link to video | link=https://www.youtube.com/watch?v=HX2vcijcCWw ]] [https://www.youtube.com/watch?v=HX2vcijcCWw Watch the conference / Regarder la conférence ] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

WHEN
Le 23 janvier 2017 à midi
WHERE
Espace Desjardins

Monsieur Poellhuber nous brossera un tableau du phénomène grandissant du rançongiciels et de l'hameçonnage, personnification. 

- Par les années passées, la menace courriel se résumait principalement en un fort volume de contenu simplement indésirable. Aujourd’hui la menace a passablement évolué. Quels sont les véritables risques actuels associés au courriel ? Rançongiciels, hameçonnage, personnification. Cette conférence présentera les nouveaux défis de sécurité pour les organisations qui doivent composer avec des attaques de plus en plus sophistiquées et de plus en plus ciblées tout en protégeant leur réputation. Des exemples biens réels, drôles et moins drôles seront disséqués pour bien dessiner l’ampleur de l’enjeu. 

M. David Poellhuber, Chef de l’exploitation, ZEROSPAM Sécurité Inc 

Note biographique : 
Monsieur David Poellhuber oeuvre dans l’industrie de la sécurité informatique depuis quinze ans. Il a été conférencier dans plusieurs forums de sécurité au Canada et est maintenant reconnu comme une autorité en matière de sécurité du courriel. Il a fondé ZEROSPAM Sécurité en 2003, le premier service Québécois externalisé de sécurité du courriel infonuagique qui se distingue par sa convivialité, son efficacité et ses technologies de détection proactives. 
Audience : Généralistes et spécialistes de la sécurité des TI
 
Merci à Ubitrack pour le repas et à Desjardins d'héberger l'événement!

[[Image:Ubitrak-r2.jpg|Ubitrak|link=http://www.ubitrak.com/fr/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]

== Effective XSS Mitigation ==

[[Image:XSS mitigation.jpg | Effective XSS Mitigation ]]

[[Image:Presentation-link.png | Slides| link=http://slides.com/olivierarteau/xss-mitigation ]] [http://slides.com/olivierarteau/xss-mitigation See the slides / Voir la présentation]

WHEN
18 Janvier 2017
WHERE
Google Montréal

FRANÇAIS/ENGLISH 
La mitigation de XSS a été un sujet important au cours des dernières années. Les navigateurs ont implémenté, en autre, deux fonctionnalités pour mitiger leur impact : l'entête "XSS-Protection" et l'entête "Content-Security-Policy". Par contre, obtenir une mitigation contre les XSS efficace est souvent plus complexe que l'on pense. Cet atelier couvrira les deux entêtes. Il expliquera comme il est possible de contourner ces protections et ce qu'il est possible de faire pour se protéger. Des exercices de type "offensif" et "défensif" seront proposés.
Mitigation for XSS as been an important topic in the last few years. Browsers have implemented two main functionalities to help mitigate the impact of XSS : the "XSS-Protection" header and the "Content-Security-Policy" header. But, getting an effective XSS mitigation of those headers is trickier than it may seem. This workshop will cover both of those headers. It will explain how bypass of those protection work and what you can do about it. It will have both "defensive" exercises and "offensive" exercises.
Niveau : débutant/intermédiaire
 
Matériel requis :

Votre portable 

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Google pour l'événement.
 
Présentateur : Olivier Arteau
 
Olivier Arteau est un professionnel en sécurité informatique depuis quelques années et fait partie de l’équipe de test d’intrusion de Desjardins. Il est aussi un amateur de CTF qui a gagné à plusieurs reprises le CTF du NorthSec avec l’équipe HackToute et participe fréquemment à d’autres CTF avec l’équipe DCIETS.
 

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

= Lunch & Learn / Workshops 2015-2016 =

== WORKSHOP ! Top 10 OWASP - Unleash the threats ==

[[Image:Workshop-top10.jpg | WORKSHOP! Top 10 OWASP - Unleash the threats ]]

WHEN
30 novembre 2016 de 17h30 à 20h30
WHERE
Immunio @ WeWork

De nos jours, la sécurité applicative est essentielle dans l’écosystème des entreprises de toutes tailles. Les vecteurs d’attaques sont multiples, les vulnérabilités de sécurité dans les applications peuvent être désastreuses et les impacts d’un « Hack » peuvent être irréversibles pour l’entreprise; vols de données sensibles, perte de réputation, perte de $$$$$, etc.
L’objectif du workshop est de comprendre la base sur les vulnérabilités de sécurité dans les applications et les techniques d’exploitation utilisées par les pirates informatiques, en plus de connaître les bonnes pratiques de développement en matière de sécurité applicative.
Avec l'aide de WebGoat, Damn Vulnerable Web Application et de Kali Linux, vous pourrez participer
à l'exploitation des applications et découvrir les techniques utilisées par les attaquants.

Niveau : débutant

Matériel requis :
Votre portable
Kali Linux
La VM du workshop, envoyée aux participants

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places très limitées (nb = 10). Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Immunio & WeWork pour l'événement.

Présentateur : Christian Leclerc

Christian est spécialisé en conception et développement de solutions web sécuritaires. Tout au long de sa carrière, il a acquis une vaste expertise sur plusieurs types de technologies et méthodologies, intégré la sécurité dans le cycle de développement d’applications, effectué des revues de code sécurité, déployé des outils d’analyse des vulnérabilités et mis en place des systèmes d’authentification. De plus, il a participé à la conception et au développement de solutions sécuritaires de pointe comme la signature électronique à l’aide d’une infrastructure à clé publique (PKI), les authentifications fortes, le Registre des consentements au don d'organes et de tissus (RDOQ.org) et la migration de plusieurs applications web vers un environnement SOA (Service Oriented Architecture).
 Merci à Immunio & WeWork d'héberger l'événement! 

[[Image:Immunio-horizontal-r.png|Immunio|link=https://www.immun.io/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Wework-r.jpg|WeWork|link=https://www.wework.com/]]
 

== Histoire d'un Hack ==

[[Image:Histoire-dun-hack-r.jpg | Histoire d'un Hack ]]

WHEN
21 novembre 2016 à midi
WHERE
Espace Desjardins

Pour son activité du mois de novembre, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de faire l'autopsie d'une attaque de haute voltige sur un site web et des outils mis à la disposition par OWASP.

Bernard Bolduc cumule plus de 17 années d’expérience en technologies de l’information et en sécurité. Il œuvre à titre de conseiller senior en sécurité de l’information au niveau d’entreprise de classe nationale et internationale.

Bernard se spécialise en sécurité Unix, applicative et en gestion de la sécurité des télécommunications. Il combine ces expertises techniques afin d’obtenir des résultats probants et efficaces pour ces clients des secteurs bancaire, télécommunication et multimédias, de l’énergie ou des services publiques. Tout au long de sa carrière, Bernard s’est toujours maintenu à jour sur les dernières menaces de sécurité technologique et commerciale en assistant à des formations spécialisées et d'échanger avec un grand nombre de partenaires dans l'industrie de la sécurité.

La conférence débute à midi.

La conférence vous donne droit à 1 CPE et pour les 50 premières personnes, un lunch gratuit.

Merci à Desjardins d'héberger l'événement!

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite) ==

[[Image:Workshop-zap-mix.jpg | Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite)]]

WHEN
11 novembre 2016 de 18h à 21h

WHERE
Google Montréal

OWASP Zed Attack Proxy (ZAP) est un scanneur de vulnérabilités et un outil de débogage HTTP. Ce type d'outil est crucial dans un test d'intrusion web et contient un lot intéressant de fonctionnalités. Cela dit, il est possible d'étendre les fonctionnalités. Plusieurs types d'extension sont possibles : vue alternative pour les requêtes ou les réponses, scanneur passif des réponses, scanneur actif produisant des requêtes, etc.

Plusieurs options seront données, par exemple :

Détection automatique de flag dans les sources
Scanneur actif asynchrone DNS
Ou votre propre idée

Pour chacune des suggestions, des squelettes de code seront fournis pour les APIs de ZAP. Pour les utilisateurs de BurpSuite, des directives analogues seront également données.

Niveau : débutant / intermédiaire

Matériel requis

Votre portable
[https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project OWASP ZAP (gratuit)]
[https://portswigger.net/burp/download.html BurpSuite]
Éditeur de code pour Java, Python ou Ruby

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Présentateur : Philippe Arteau

Philippe est un chercheur en cybersécurité chez GoSecure. Il est l'auteur de l'outil d'analyse statique Java "Find Security Bugs". Il a découvert des vulnérabilités importantes dans les logiciels populaires tels que Google Chrome, Dropbox, Paypal, RunKeeper et Jira. Il a présenté dans différentes conférences incluant Black Hat USA, Black Hat Europe, ATL Sec Con, NorthSec, Hackfest (QC) et JavaOne. Il a développé de nombreux plug-ins pour les outils de proxy BurpSuite et OWASP ZAP (Retire.js, Reissue Request Script, PDF preview et Image Metadata). Il a fait également des contributions à d'autres plug-ins comme J2eeScan.

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

==Logiciel de rançon (Ransomware) s'attaque au domaine de la santé==

[[Image:HackingHealth-2.jpg | Logiciel de rançon (Ransomware) s'attaque au domaine de la santé ]]

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health ]] [https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health See the slides / Voir la présentation]

(Conférence en anglais)
Pour le lancement de la saison 2016 - 2017, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de la santé une incursion dans le monde du logiciel malveillant ciblant le domaine de la santé. 
Cette conférence s'intége dans le Coopérathon co-organisé par le Mouvement Desjardins et Hacking Health. 
Le domaine de la santé serait devenu une cible privilégiée des campagnes de ransomware parce que l'industrie a souvent payé la rançon demandée pour récupérer les données confidentielles et vitales de ses clients. Monsieur Ed Gershfang nous brossera un portrait du phénomène et des meilleures pratiques à mettre en place en matière de sécurité applicative.
Ed Gershfang possède une expérience solide dans l'infrastructure informatique et plus de 6 ans d'expérience dans les domaines de la sécurité de l'information, de la vulnérabilité, de la gouvernance et de la gestion des risques. Il était directeur de la sécurité pour la société PeriGen, un chef de file de développement de logiciels médicaux en Israël.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative vue par un pentesteur ==

[[Image:Juin2016-OWASPMtl.jpg | OWASP Montréal reçoit Mario Contestabile, Pentester de renom ]]
 
From Left to Right : Isabelle Lusseyran, Head of Development at Hacking Health. Eduard Gershfang Information Security Analyst at WSP | Parsons Brinckerhoff.

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile ]] [https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile See the slides / Voir la présentation]
 
Pour clore la saison 2015 – 2016, OWASP Montréal est fier d’accueillir au Midi Conférence un des architectes de renom du développement applicatif au Canada, monsieur Mario Contestabile.
En tant qu’auteur de plusieurs centaines de tests d’intrusion, il connait tous les rouages de ce qu’est véritablement une application Web «sécurisée». Mais avez-vous déjà remarqué que les rapports de tests d’intrusion mentionnent rarement, voir jamais : «Votre site est très difficile à pirater. Félicitations !» ?
Et qu’en est-il de ces rapports qui contiennent des dizaines de soi-disant vulnérabilités ? Est-ce que cela signifie d’emblée que l’application devrait être mise hors ligne ?
 
Lors de cette conférence, nous examinerons des rapports concrets (ambigus) de vulnérabilités et nous les analyserons afin de mieux comprendre si elles représentent une véritable menace, ou si elles ne servent qu’à «remplir» les rapports.
 
Avec son expertise en protection et en attaque d’applications Web, il abordera les points suivants :
Comment pouvez-vous sélectionner des systèmes de façon à mieux exécuter des protections de sécurité ?
Éviter certains pièges dans votre application Web qui rendent les attaques plus faciles et la protection plus difficile.
De nos jours, que peuvent faire les développeurs à l’intérieur de systèmes communs, qui puisse me rendre la tâche plus ardue en tant que « hacker »?
Pouvons-nous exiger de meilleurs rapports de la part des firmes de sécurité?
À quoi devrions-nous nous attendre de la part d’un « pentesters »?
Comment pouvons-nous savoir si le « pentester » a vérifié les failles de l’application et qu’il n’a pas simplement utilisé un scanneur?
Et enfin, comment pouvons-nous aider les « ethical hackers » à obtenir un meilleur rendement lors d’un test d’intrusion?
Il expliquera le sujet en détails, et ensemble, nous verrons de quelles façons les développeurs d’applications peuvent exploiter le savoir-faire des « pentesters », et comment nous pouvons faire en sorte qu’une application Web soit protégée.
Biographie :
Mario Contestabile est reconnu comme l’un des experts en sécurité les plus réputés au Canada. Son expertise, construire et protéger votre plateforme applicative. Ancien développeur C++ et Java, Mario partage ses nombreuses connaissances en « ethical hacking » et en développement de codes sécurisé.
 
WHEN
Tuesday, 14 June 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Comment protéger les applications mobiles? ==

[[Image:Avril2016-OWASPMtl.png | Comment protéger les applications mobiles? ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles ]] [https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles See the slides / Voir la présentation]
 
Dans le cadre des Midis Conférence à l'Espace Desjardins, l'équipe OWASP Montréal vous invite à assister à une présentation sur les vulnérabilités les plus communes associées aux appareils mobiles.
Marie-Claire Willig détaillera entre autres comment stocker de façon sécuritaire les données de l’application mobile ainsi que protéger l’application contre des attaques externes. Des outils simples vous seront dévoilés pour détecter ces vulnérabilités.
Marie-Claire est une professionnelle d'expérience en sécurité appliquée.
Une grande partie de son intérêt professionnel réside actuellement dans un domaine assez niche, soit la revue de code sécuritaire, un fondement important de tout cycle de développement sécuritaire en entreprise.
Au sein de l'équipe de sécurité technologique Desjardins, elle est, en autre, responsable de former les développeurs (Java et .NET principalement) afin de les sensibiliser aux meilleures pratiques de développement sécuritaire.
Également, elle est une professionnelle des tests d'intrusion sur les applications web, les applications mobiles ainsi que l'infrastructure réseau.
Bienvenue à tous
 
WHEN
Wednesday, 20 April 2016 from 12:15 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ==

[[Image:Mars2016-OWASPMtl.jpg | NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/YQtvltQYs7Y]] [https://youtu.be/YQtvltQYs7Y Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
OWASP Montréal est fier d’inviter au Midi Conférence de mars, NorthSec est le plus gros événement de sécurité appliquée au Canada qui comprend deux jours de formation, deux jours de conférences ainsi qu’une compétition du genre « capture the flag » (CTF) de trois jours.
Gabriel Tremblay, Benoit Guerette, Pierre-David Oriol et Laurent Desaulniers viendront vous parler de cet organisme sans but lucratif dynamique qui est géré par une équipe de bénévoles passionnés qui donnent à chaque année leur énergie et leur temps pour soutenir la communauté de la sécurité de l’information.
Le volet compétition, l’épreuve maîtresse, est présentée sous forme d’un scénario qui rend cohérent une centaine de défis techniques. Les équipes de participants attaquent l’infrastructure de compétition pour soutirer des drapeaux (flags) à travers un ensemble de vulnérabilités présentes comme de l’injection SQL, des XSS ou encore l’exploitation d’exécutables sur systèmes embarqués. Quelques exemples de défis des années passées seront également présentés.
Le volet conférence, qui est à sa 2ème année, met de l’avant plusieurs présentations techniques touchant la sécurité applicative mais aussi l’éthique et leurs impacts sociaux. Certaines présentations confirmées seront dévoilés.
Le tout nouveau volet formation propose deux formations en sécurité applicative de calibre international (anglais) : “Advanced Web Security Testing with Burp Pro” et “Modern Object-Oriented Malware Reverse Engineering”.
Venez aussi, découvrir comment l'équipe est partie d'une idée en 2012 pour se rendre à un évènement d'envergure, qui rassemblera plus de 600 professionnels, étudiants et autres passionnés de sécurité appliquée lors de la 4ème édition qui aura lieu du 17 au 22 mai 2016 au Marché Bonsecours.
Finalement, la mission, la vision ainsi que les activités sociales de la semaine de NorthSec sont aussi au menu de cette présentation qui sera suivie d’une période de questions.

Gabriel Tremblay, Delve Labs, Président
Benoit Guerette, Desjardins, VP Finances

Pierre-David Oriol, Delve Labs, VP Conférence
Laurent Desaulniers, Bell Canada, Artisant de drapeaux
 
WHEN
Wednesday, 23 March 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative et l'hameçonnage - February 24th ==

[[Image:Fevrier2016-OWASPMtl.jpg | La sécurité applicative et l'hameçonnage ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/1RYlOiIENjQ]] [https://youtu.be/1RYlOiIENjQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 

De nos jours, une des méthodes les plus efficaces pour contourner les périmètres de sécurité externes est l'hameçonnage conjointement avec l’abus de certaines technologies Web.

Dans le cadre ses activités, OWASP Montréal est heureux d'inviter d'accueillir, l'équipe OKIOK qui présentera les impacts liés à ce type d'attaque, tel que vu et expérimenté en entreprise ainsi que les plans d'action pour traiter ces risques. La présentation abordera aussi bien la sécurité web et applicatives, des systèmes informatiques ainsi que de la sécurité physique de centres de données.

Capture d'informations sensibles par imitations de portails Web ;
Authentification Web par 2-facteurs ;
Injection SMTP dans des formulaires Web ;
Attaque de type “Drive-by-download”;
Prise de contrôle à distance à travers des flux HTTP;
Attaque de CSRF à partir de courriels ;
Attaque d'hameçonnage basée sur des achats par Internet (ex : PayPal).
 
When
Wednesday, 24 February 2016 from 12:00 PM to 1:15 PM (EST) - Add to Calendar
Where
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest Montreal, Quebec CA

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Internet of {Things, Threats} - January 20th ==

[[Image:Janvier2016-OWASPMtl-R.png | Internet of {Things, Threats} ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html ]] [http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html See the slides / Voir la présentation]
 
De plus en plus de périphériques se retrouvent connectés sur Internet. Sous la bannière "Internet of Things" (IoT) ces équipements, que ce soit une pompe à insuline ou un système de caméra de sécurité, tournent généralement sous un système GNU/Linux embarqué d'architecture MIPS ou ARM. La difficulté de mettre à jour ces équipements ainsi que le peu d'effort mis dans la sécurité des systèmes ou la sécurité applicative en font des cibles de choix. Ces derniers mois, nous avons analysé plusieurs logiciels malveillants ciblant ces architectures. Que ce soit par l'exploitation d'une vulnérabilité (Shellshock) ou encore un défaut de configuration, ces systèmes exposés sur Internet peuvent être compromis.

Notre présentation couvrira quelques une de ces analyses:

* Linux/Moose, un malware se propageant automatiquement qui fraude les réseaux sociaux (par exemple Facebook, Twitter et YouTube)
* LizardSquad et acteurs étrangers qui utilisent des systèmes embarqués compromis pour réaliser des dénis de service distribué (DDoS)
* Win32/RBrute est un logiciel malveillant qui tente de changer les paramètres de routeurs dans le but de faire du "DNS poisoning". Il a été distribué par le populaire botnet Sality.
* Un kit d'exploits qui utilise seulement le navigateur de leur victime avec le même objectif, c'est-à-dire faire du "DNS poisoning".

Enfin, des conseils seront proposés à l'audience pour l'aider à se protéger de ces menaces.

'''Thomas Dupuy''' (twitter: @nyx__o)

Thomas est chercheur en logiciel malveillant chez ESET Canada Recherche. Bon vivant, Thomas déjeune en "reversant" des binaires, contribue à quelques projets open source durant le diner (yara, yara rules, pefile, APTnotes) et la nuit participe à des "Hacking Games" (Capture The Flag). Curieux de nature Thomas analyse des malware aux architectures "exotiques".

'''Olivier Bilodeau''' (twitter: @obilodeau)

Olivier Bilodeau is the head of Cybersecurity Research at GoSecure a consultancy firm specializing in cybersecurity services for the public and private sector. With more than 10 years of infosec experience, Olivier worked on Unix servers at Bell Canada, managed a portion of Air Canada's network, wrote open source network access control software at Inverse and worked as a Malware Researcher at ESET. He likes to reverse engineer everything that crosses his path, participate in information security capture-the-flag competitions, hack open source code and brew beer. He has spoken at various conferences (Defcon, Botconf, VirusBulletin, Derbycon, ...), used to lecture on information security at ETS University in Montreal, drives the NorthSec Hacker Jeopardy and co-organizes the MontreHack capture-the-flag training initiative. His primary research interests include reverse-engineering tools, Linux and/or embedded malware and honeypots.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Survivre aux attaques DDOS applicatives ==

[[Image:Decembre2015-OWASPMtl.jpg | Survivre aux attaques DDOS applicatives ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
Survivre aux attaques DDOS (Distributed Denial-Of-Service) applicatives.
Cette conférence s'adresse aux professionnels et gestionnaires des TI.
Conférencier : Christian Shink, ing., CSSLP, ingénieur système chez Radware, manufacturier spécialisé dans la prévention des attaques DDOS. Il fut également consultant en sécurité applicative chez In Fidem.
Objectifs de la conférence:
Présenter les tendances actuelles en matière d'attaques DDOS applicatives.
Renseigner les participants sur les techniques et stratégies pour contrer ces attaques illustrées à partir de cas vécus.
Démystifier certains mythes en ce qui concernent les façons efficaces de protéger les applications contre des attaques DDOS.
Date : 16 décembre 2015
Heure : 11h45
La conférence débute à 12h00 et se termine à 12:55.
Un lunch sera servi.
Réservez maintenant!
1 CPE
 
WHEN
Wednesday, 16 December 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Sécurité des applications - Systèmes de contrôles industriels ==

[[Image:Novembre2015-OWASPMtl-R.png | Sécurité des applications - Systèmes de contrôles industriels ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/0eAZpyiQQ9A]] [https://youtu.be/0eAZpyiQQ9A Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

La sécurité des applications et les systèmes de contrôles industriels.
Cette conférence s'adresse aux professionnels et gestionnaires des TI desinfrastructures critiques qui exploitent ou gèrent des systèmes de contrôles industriels(SCI) et SCADA (surveillance et d'acquisition de données). 
Conférenciers : Robert Nastas, CSSA. Gestionnaire de projet et Youssef Jad, Architecte Cyber sécurité, ICS-CERT 
 
Objectifs de la conférence:
* Démystifier le domaine d'affaires.
* Renseigner les participants sur les bonnes pratiques de sécurité desapplications liées au secteur industriel.
* Proposer aux professionnels et gestionnaires des TI responsables dessystèmes SCADA et SCI des pistes de solutions aux enjeux de sécurité.
 
L'équipe OWASP Montréal vous remercie d'avoir assisté en grand nombre à la conférence, 'La sécurité des applications et les systèmes de contrôles industriels'.
 
WHEN
Wednesday, 18 November 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ==

[[Image:Septembre2015-OWASPMtl.jpg | Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert ]] [https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert See the slides / Voir la présentation]
 
Pour le lancement des activités corporatives de la saison 2015 - 2016, le 8 septembre prochain à 12:00, l'équipe OWASP Montréal convie les gestionnaires et artisants de la sécurité des TIC à venir entendre monsieur Éric Hébert qui nous présentera son interprétation des préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative. L'événement se tiendra au complexe Desjardins à la salle "Espace Desjardins".

''' ÉRIC G. HÉBERT, CISM, CISSP ''' 
Après plus de 20 ans passés dans le domaine de la sécurité des technologies de l’information, Éric se spécialise dans la mise en œuvre et la gestion d'équipes performantes, capables de relever les plus hauts défis de la cybersécurité moderne. 
Capable de dialoguer avec les hauts dirigeants, il sait traduire et vulgariser les enjeux techniques complexes tout en respectant la nature et l'appétence au risque de ses clients. Dynamique et pourvu d'une expérience couvrant presque toutes les sphères de la SI, il fonce dans le respect de la culture établie tout en implantant des solutions pragmatiques et efficaces. 
Depuis plus de 10 ans, il gravite principalement autour des entreprises du domaine financier (BNC, Desjardins, Fonds de solidarité FTQ...) et les accompagne dans la mise en place de solutions efficaces tenant compte à la fois des risques et des budgets.
En plus d’avoir fondé de nombreuses associations telles que le RéseauSécurIT et le RPSI, il maintient une présence régulière auprès des milieux associatifs professionnels et partage régulièrement ses expériences lors de conférences et d'entrevues avec divers médias.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

= Events / Évènements =

== Owasp Montreal at [https://nsec.io/ NorthSec 2017] ==

[[Image:NorthSec2017-5.jpg]]
[[Image:NorthSec2017-6.jpg]]

From Left to Right: Anne Gauthier, OWASP Montréal Chapter Leader (President) and Application Security Analyst at GoSecure, Hugo Genesse, OWASP Montréal Chapter Leader and Research Intern at PNF Software, Julien Touche, OWASP Montréal Chapter Leader and Principal Security Engineer at Nuance Communications

== OWASP Montreal at [https://2017.appsec.eu/ AppSec] ==

[[Image:OWASPAppSecBelfast2017-7.jpg]]

OWASP Montreal and Ottawa Chapter Leaders at OWASP AppSec Belfast, UK #WomenInAppSec

== OWASP Montreal at [https://hackfest.ca/ HackFest 2016] ==

[[Image:Hackfest2016-r.jpg| HackFest |link=https://hackfest.ca/]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Louis Nadeau, OWASP Québec Chapter Leader and Manager, Product Security at Bentley Systems and Patrick Leclerc, OWASP Québec Chapter Leader and Information Security Advisor at La Capitale.

== OWASP Montreal at OWASP [https://2016.appsecusa.org/ AppSec USA 2016, Washington] ==
 
 
[[Image:OWASPMtl-AppSecUSA2016-Washington.jpg | OWASP Montreal at AppSec USA 2016, Washington]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016, Alexandre Hamelin President at Synlabs Consulting Inc., Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [https://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

== OWASP Montréal at [https://www.gosec.net GoSec] 2016 ==

[[Image:OWASP-GoSec2016-1r.jpg|OWASP Montreal at GoSec 2016]] [[Image:OWASP-GoSec2016-2r.jpg|OWASP Montreal at GoSec 2016]]
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Simon Lacasse, student and volunteer, and Laurent Desaulniers, Security Analyst at Bell Canada.

== OWASP Montréal at [https://www.nsec.io/ NorthSec] 2016 – Annual Applied Security Event ==

[[Image:Hackfest2016-OWASPMtl.jpg|OWASP Montreal at NorthSec 2016]]

@Photo : Simon Veilleux
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Olivier Arteau OWASP Montréal Chapter Leader and Conseiller chez Groupe Technologie Desjardins, Hugo Genesse, OWASP Montréal Chapter Leader and Vulnerability Research Intern at Wurldtech Security Technologies.

== OWASP Montréal at [https://hackfest.ca/en/ Hackfest] 2015 ==

[[Image:Hackfest2015-OWASPMtl-R.JPG | OWASP Montreal at Hackfest 2015]]

@Photo : Hackfest
 
 
From left to right : Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [http://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

[[Image:Video-link.png | Link to video | link=https://youtu.be/8U0qkEuUFy8]] [https://youtu.be/8U0qkEuUFy8 Watch the video / Regarder la vidéo]

== OWASP Montréal at [https://www.gosec.net/ GoSec] 2015 – The Annual Cybersecurity Conference presented by GoSecure, EY and ISACA. ==

[[Image:GoSec2015-OWASPMtl.jpg|OWASP Montreal at GoSec 2015]]

@Photo : Marius Popescu
 
 
From left to right : Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016. Benoît Guérette, Application Security Team Leader at Desjardins, VP Finance at NorthSec and OWASP Montreal Chapter Founder and Former Chapter Leader.

== See also / Voir aussi ==

OWASP Montréal recommends Montréhack. Learn and share knowledge on IT security by solving technical challenges. Third Monday of every month.

OWASP Montréal recommende Montréhack. Apprends et partages des connaissances sur la sécurité informatique en travaillant des problèmes appliqués. Chaque troisième lundi du mois.

[[File:Montrehack.png|Montréhack|link=http://montrehack.ca/|alt=Montréhack]]

= Archives 2007-2015 =
{{:Montreal chapter past meetings}}

== OWASP Montreal - February 3rd - Getting to Know the Software Assurance Marketplace (SWAMP) ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/p4_vjufcB6Q]] [https://youtu.be/p4_vjufcB6Q Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer]] [https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Pat Beyer
*'''ADDITIONAL PRESENTER:''' Abe Megahed
*'''ABSTRACT:''' The Software Assurance Marketplace (SWAMP) is an open facility that is designed, built, and operated by four research institutions. The SWAMP provides no-cost access to an array of open-source and commercial software analysis tools. This presentation will provide an overview and demo of the SWAMP, including our goals, intended audience, current capabilities, and future plans. We will cover our relationship with OWASP, incorporation of open-source software assurance tools, and status as an open-source project and resource available to the software community. Visit https://continuousassurance.org/ to learn more about us.
*'''BIO:''' Pat Beyer serves as the Product Manager for the Software Assurance Marketplace (SWAMP). With over 25 years of experience successfully managing multi-million dollar global projects, Beyer’s expertise extends to the IT, construction, and operations sectors, with a specialization in managing government contracts and grants. A gifted communicator, Beyer is a sought after speaker due to his ability to deliver complex information about technology products and services in a way that is easily understood. He is a decorated combat veteran of the Global War on Terror, the international military campaign that started following the 9/11 terrorist attacks on the United States. In 2004, he constructed and rehabilitated over 20 schools, clinics, and water treatment plants for the Iraqi people using local contractors. Beyer also holds a Bachelor of Science, a Masters in Business Administration, a Ph.D. in Organization and Management, and a Project Management Professional (PMP) certification.
*'''BIO:''' Abe Megahed is a web developer for the Software Assurance Marketplace. In previous lifetimes, he has been a computer graphics researcher, a game programmer, a programming language and compiler nerd, a dot com company founder, a creator of helicopter simulations, and a developer of 3D simulations for NASA astronaut crew training.
*'''WHEN:''' Tuesday, February 3rd 2015
*'''WHERE:''' Room PK-1140 - UQAM Pavillon Président-Kennedy, 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' https://owaspmtlswamp2015.eventbrite.ca
*'''WEBCAST:''' https://www.youtube.com/watch?v=p4_vjufcB6Q
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer

*'''ACADEMIC PARTNER:''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session: Getting to Know the Software Assurance Marketplace
20:00-... End of the meeting

[[Image:SWAMP-Logo-Final-Med.png|300px|link=https://continuousassurance.org/]]
[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

== OWASP Montréal - 4 décembre - Malware côté serveur — évolution, méthodes d’opération et forensic Linux ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/lo8WDl-WQ3E]] [https://youtu.be/lo8WDl-WQ3E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille]] [https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Marc-Etienne M.Léveillé
*'''RÉSUMÉ:''' Les logiciels malveillants ciblant les serveurs ont évolué. Ils sont utilisés par des groupes de cybercriminels organisés dans le but de faire du profit via des redirections web et l’envoie de pourriels. La présentation portera sur Opération Windigo, une opération malveillante qui a affecté plus de 25 000 serveurs dans le monde. Après une brève description des composantes de Windigo, nous verrons comment les opérateurs déploient leurs logiciels malveillants et surveille leur réseau de serveurs infectés. Des trucs pratiques pour faire de la forensics sur des systèmes Linux seront donnés. Cette présentation est une suite à la présentation "Linux/Cdorked: Server side malware", donnée par Olivier Bilodeau à OWASP Montréal en 2013. La présentation sera en français avec des diapositives en anglais (aka Montreal-style).
*'''BIO:''' Marc-Etienne est un chercheur en logiciel malveillant chez ESET depuis 2012. Il se spécialise dans les logiciels malveillants qui s’attaquent à des plateformes inhabituelles comme aux produits fruités et aux oiseaux nordiques. Dernièrement, il passe beaucoup de son temps à faire la rétro-ingénierie de logiciels malveillants sur des serveurs Linux et s’intéresse à leurs méthodes d’opération. Il adore participer de façon collégiale aux CTFs avec ses amis les CISSP Groupies et jouer de la clarinette. Il tweet très peu à @marc_etienne_.
*'''QUAND:''' 4 décembre 2014 à 18h00
*'''OÙ:''' Local M-1510, Polytechnique Montréal, 2900 Boulevard Edouard-Montpetit
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-4-decembre-malware-cote-serveur-evolution-methodes-doperation-et-forensic-linux-tickets-14635313617
*'''ÉQUIPE ACADÉMIQUE:''' Polyhack - http://polyhack.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Malware côté serveur
19:30-20:00 Période de questions

[[Image:Polyhacklogonoirpetit.png|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]

== OWASP Montréal - October 23rd - XXE : À l’assaut des analyseurs XML ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/MZviLB9-42E]] [https://youtu.be/MZviLB9-42E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau]] [https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Philippe Arteau
*'''RÉSUMÉ:''' L'utilisation d’XML est fortement répandue. Le format est utilisé pour des fichiers de configuration, pour des métadonnées, pour des documents textes, et bien plus. La prise en charge de fichiers XML n’est pas sans risque. La plupart des analyseurs XML ne sont pas sécuritaires par défaut pour le traitement de fichier externe. Cette présentation fera un survol des vulnérabilités de type « Xml eXternal Entity » et de l’étendue des risques pour différents langages de programmation. Plusieurs démonstrations sont prévues.
*'''BIO:''' Philippe est conseiller en sécurité applicative pour le Groupe Technologies Desjardins. Au quotidien, il s’occupe d’effectuer des tests d’intrusions et des revues de code. Il a découvert des vulnérabilités importantes dans plusieurs logiciels populaires incluant Google Chrome, DropBox, ESAPI et Jira.
*'''QUAND:''' 23 Octobre 2014 à 18h00
*'''OÙ:''' École de Technologie Supérieure Local A-3230, 1100 Rue Notre-Dame Ouest, Montréal, QC H3C 1K3
*'''INSCRIPTION:''' http://www.eventbrite.ca/e/owasp-montreal-23-octobre-xxe-a-lassaut-des-analyseurs-xml-tickets-13426881163
*'''PARTENAIRE ACADÉMIQUE:''' ETS - DCI http://dciets.com/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:45 Mot de bienvenue
18:45-19:45 Présentation principale - "À l’assaut des analyseurs XML" Philippe Arteau
19:45-20:00 Période de questions

[[Image:Blason_dci.png‎‎‎|150px|link=http://dciets.com/]]
[[Image:ETS-rouge-devise-impr-fond_transparent.png|150px|link=http://www.etsmtl.ca/]]

== OWASP Montreal - July 24th - Web security for DevOps: the glory is in the headers ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/6bp1NCLT-YQ]] [https://youtu.be/6bp1NCLT-YQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil]] [https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Jonathan Marcil
*'''ABSTRACT:''' DevOps is a buzzword which can be easily demystified: in essence it is a process which aims to combine the development and system administration process into one; Operations. As developers become responsible for server setup, security counter measures are evolving as well. The line between server configuration and application behaviour has been blurred. In this talk we will cover some HTTP headers in regards to security such as CORS, CSP and HSTS. We will demonstrate several forms of attack, and how they can (should) be countered.
*'''BIO:''' Jonathan is devoted to security and specialized in Web application security. His main occupation is consulting in Web security, but deep down he is a developer with a agnostic vision of programming languages. He has a diploma in Software Engineering from Ecole de Technologie Superieure and more than 10 years of experience in Information Technology and Security.
*'''WHEN:''' At noon on July 24th 2014
*'''WHERE:''' 75 Queen Street, office 3100, Montreal, QC H3C 2N6
*'''REGISTRATION:''' You can join us on site for a pizza slice but this is mainly an online event. Contact jonathan.marcil@owasp.org.
*'''WEBCAST:''' https://www.youtube.com/watch?v=6bp1NCLT-YQ
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil
*'''EVENT SPONSOR:''' Pheromone http://www.pheromone.ca/
*'''PROGRAM:'''

12:00-12:10 Welcome and quick OWASP introduction
12:10-13:10 Main presentation - "Web security for DevOps: the glory is in the headers" Jonathan Marcil
13:10-... Open discussion and questions

[[Image:Logo-phero.gif‎|link=http://www.pheromone.ca/]]

== OWASP Montreal - June 18th - Gaps in the Clouds ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz]] [https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Robert Fritz
*'''ABSTRACT:''' Cloud technology offers agility and scaling, and a chance to break away from legacy IT choices. Unfortunately, skipping traditional IT activities often results in poorly patched systems, out of date firewalls, and overprovisioned entitlements wielded by admins whose “day job” is development. Boundaries of accountability and responsibility amongst cloud providers and consumers are confusing, vague, and shift, making security difficult to manage. In such an environment, a “BP-spill” event, where cost wins over safely safety, is likely. This talk will dive down into the cracks between the layers of cloud, and share some of the exciting dirt we have seen and expect to see in coming years.”
*'''BIO:''' Robert Fritz has been practicing security his entire career. Rob started as an Air Force lieutenant at Langley AFB and later at the Pentagon in Washington DC, building and managing classified networks. Finding he was getting too far from technology after a brief stint flying, he left the military to get back to the tech, and built security tools for HP in their HP-Unix lab. Over time he found himself in more and more security design discussions, so co-authored HP’s Commercial Application Threat Analysis Methodology, building an internal consulting practice at HP. This quantitative approach, led to two pending patents, an external-facing consulting practice, and his contributions to NIST IR-7502, the Common Configuration Scoring System (CVSS follow-on). He is the former lead editor for the Center for Internet Security’s HP-UX Benchmark, and current lead for the Android Benchmark. Robert now works for Morgan Stanley as global head of the Strategic Consulting team in the Security Architecture group, and leads the team’s cloud and social-media security practices.
*'''WHEN:''' June 18th 2014
*'''WHERE:''' 700 Rue Wellington, Floor 2, Montreal, QC H3C 3S4
*'''REGISTRATION:''' http://owaspmtl18junems.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz
*'''EVENT SPONSOR:''' Morgan Stanley http://www.morganstanley.com/
*'''PROGRAM:'''

18:00-18:30 Networking and Morgan Stanley Hosted Pizza and Soft Drinks
18:30-18:45 OWASP Chapter & Morgan Stanley Welcome
18:45-19:45 Main presentation - "Gaps in the Clouds" Robert Fritz
19:45-20:00 Open discussion and questions
20:00-... Optional, informal networking at Aziatic - 626 rue Marguerite-d'Youville, Montréal, QC H3C 1W7

[[Image:Morgan_Stanley_Historical_Logo.png|link=http://www.morganstanley.com/]]

== OWASP Montréal - May 26th - Récapitulatif des challenges NorthSec ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/P8_V3RI1Ru4]] [https://youtu.be/P8_V3RI1Ru4 Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''PRÉSENTATEUR PRINCIPAL:''' Laurent Desaulniers
*'''RÉSUMÉ:''' Solutions de la compétition en sécurité NorthSec 2014 sur les sujets de XXE + SSRF, WAF Bypass, Xpath Injection, DOM Injection, HTTP Only Flag bypass et contournement de captchas. Une bonne façon d'apprendre sur ces failles que vous étiez ou non un participant de la compétition.
*'''MESSAGE DU PRÉSENTATEUR:''' Vous voyez Rao dans votre soupe? Vous voulez une solution pour un XSS avec des cookies http only? Les captchas illisibles sont un problème? Assistez à la présentation de l'OWASP!
*'''BIO:''' Laurent Desaulniers est un passionné de sécurité informatique. Il a présenté au Hackfest, au colloque RSI, à OWASP et est challenge designer à NorthSec. M. Desaulniers détient les certifications CISSP, CISM, CISA et OSCP.
*'''QUAND:''' 26 mai à 18h00
*'''OÙ:''' Local PK-1140 - Pavillon Président-Kennedy 201, Avenue du Président-Kennedy, J2X 3Y7
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-26-mai-recapitulatif-des-challenges-northsec-tickets-11724413035
*'''WEBCAST:''' https://www.youtube.com/watch?v=P8_V3RI1Ru4
*'''ÉQUIPE ACADÉMIQUE''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Récapitulatif des challenges NorthSec
19:30-20:00 Période de questions

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== Networking with infosec communities - April 21st ==

[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''RÉSUMÉ:''' En collaboration avec Montréhack, mtlsec et NorthSec, nous organisons une soirée réseautage dans un pub du centre-ville. Du plaisir garanti avec les membres de plusieurs communautés infosec de Montréal!

*'''ABSTRACT:''' In collaboration with Montréhack, mtlsec and NorthSec, we are organizing a networking evening in a pub downtown. Fun guaranteed with the other security communities in Montreal!

*'''QUAND:''' 21 Avril 2014
*'''WHEN:''' April 21st 2014

*'''OÙ/WHERE:''' BENELUX - Brasserie Artisanale 245 Sherbrooke St W Montreal, QC H2X 1X7

*'''INSCRIPTION/REGISTRATION:''' https://www.eventbrite.ca/e/montrehack-avril-april-northsec-pre-party-tickets-11232307133

*'''PARTENAIRES/PARTNERS:''' Montréhack http://montrehack.ca/ - mtlsec http://blog.mtlsec.com/ - NorthSec https://www.nsec.io/
*'''PROGRAMME:'''
18:00-21:00 Networking
21:00-23:59 Remember to drink responsibly!

== OWASP Montréal - March 27th - Panel Compétition en sécurité NorthSec ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

'''Présentation sous forme de panel - venez poser vos questions!'''

*'''RÉSUMÉ:''' Les compétitions de type Capture the Flag (CTF) sont un moyen pour les professionnels et amateurs de sécurité informatique de mettre leurs talents à l'épreuve. NorthSec est une compétition Montréalaise annuelle en sécurité appliquée, qui aura lieu cette année au Marché Bonsecours de Montréal le 25, 26 et 27 avril prochain. Elle vise à augmenter le niveau technique des professionnels de la sécurité au Québec, ainsi que de permettre à ses acteurs les plus talentueux de se démarquer.
*'''DÉTAILS:''' Le panel de jeudi, sous la forme d'un échange convivial entre les organisateurs de l'évènement et de ses participants, abordera des thèmes variés comme l'écriture de bon défis, l'infrastructure, la logistique, les inattendus, un bilan de 2013 et tout ça en passant par de savoureuses annecdotes (on l'espère). Venez en grand nombre toucher à ces légendes de la scène infosec montréalaise!
*'''PANÉLISTES:''' Gabriel Tremblay, François Proulx, Laurent Desaulniers, Stéphane Graber
*'''ANIMATEUR:''' Olivier Bilodeau
*'''QUAND:''' 27 mars 2014
*'''OÙ:''' Salle M-1510, École Polytechnique de Montréal, 2500 chemin de Polytechnique, Montréal (Québec) H3T 1J4, pavillon Lassonde
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-27-mars-panel-competition-en-securite-northsec-tickets-10918436337
*'''ÉQUIPE ACADÉMIQUE:''' Polytechnique - Polyhack http://polyhack.org/
*'''PROGRAMME:'''
18:00-18:25 Networking
18:25-18:30 Mot de bienvenue par le leader du chapitre (Jonathan Marcil)
18:30-20:00 Présentation principale : Panel NorthSsec

[[Image:Polyhack.png‎‎|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== OWASP Montreal - February 25th - Proven Strategies for Web Application Security ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane]] [https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Justin C. Klein Keane
*'''ABSTRACT:''' The rising dominance of the web as an application delivery platform has focused attacker attention squarely on the security of dynamic web applications. Application security is a complex, and shifting, field. Learn about tested and successful techniques to build safer applications, find flaws before they become vulnerabilities, and deploy applications that can detect, and resist attack.
*'''BIO:''' Justin C. Klein Keane is a security engineer and chapter leaders of OWASP in Philadelphia. For over a decade Justin has worked as a trainer, coder, and exploit developer. Justin is currently writing a book for NoStarch Press on hacking, speaks regularly at conferences, holds a masters degree in information technology from the University of Pennsylvania and is credited with hundreds of application vulnerability discoveries.
*'''WHEN:''' February 25th 2014
*'''WHERE:''' Ecole de technologie superieure, 1100 Notre-Dame Street West, Montreal, Room: A-1150
*'''REGISTRATION:''' http://owaspmtljan2014.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane
*'''ACADEMIC PARTNER:''' ETS - DCI http://dciets.com/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session and open discussion: Proven Strategies for Web Application Security
20:00-... End of the meeting in a pub

[[Image:Dciets.png‎‎‎|100px|link=http://dciets.com/]]
[[Image:Logo_ets.png|link=http://www.etsmtl.ca/]]

== OWASP Montreal - January 28th - Latest trends in Mobile Security ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/8qPyKj4FKgY]] [https://youtu.be/8qPyKj4FKgY Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx]] [https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Francois Proulx
*'''ABSTRACT:''' Last AppSecUSA 2013 had a great line up of talks, especially regarding mobile applications. This session will be covering all the hottest presentations about mobile security by doing an overview from what see saw at AppSecUSA, all with some slides and snippets of presentations that was recorded at the event. Discussion will be encouraged within the audience as this will be more a dynamic event than a regular talk.
*'''BIO:''' François Proulx is a senior mobile application developer who has worked on dozens of iOS applications since the very beginning of the Apple iOS platform. Over the past few years he has switched his focus to security. He spends a lot of his free time participating in Capture the Flag events (CTFs) and organizing the NorthSec security competition.
*'''WHEN:''' January 28th 2014
*'''WHERE:''' UQAM Room PK-1705, Pavillon Président-Kennedy (the big boat at Place des Arts) - 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' http://owaspmtl-mobilesecurity.eventbrite.ca
*'''SLIDES/CONTENT:''' [http://www.youtube.com/playlist?list=PLQtB2ug5xmvaQ9jeRWV53-F_T555GQfhW YouTube playlist]
*'''SPONSOR:''' Academic partner AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan M.)
18:30-20:00 Main session and open discussion: Mobile Security
20:00-... End of the meeting in a pub

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

==== Presentations For Download ====

[http://www.owasp.org/images/0/0d/20100209mstechdaysowaspasvssgiv01-12657916463819-phpapp02.ppt OWASP ASVS] by Sebastien Gioria (09/03/2010)

[http://www.ph-il.ca/slides/afup__authetification_forte.pdf Authentification Forte] by Philippe Gamache (02/02/2010)

[http://www.opensamm.org/downloads/OpenSAMM-1.0.ppt Software Assurance Maturity Model (OpenSAMM)] by Pravir Chandra (03/11/2009)

[http://www.owasp.org/images/d/de/Owasp-montreal-sept-17h-2009-justin-foster.pdf Crossing the Border – Javascript Exploits] by Justin Foster (17/09/2009)

[http://www.owasp.org/images/c/c2/ALaughRIAt.pdf A Laugh RIAt] by Rafal Los (07/04/2009)

[https://www.owasp.org/images/e/eb/OWASP-Montreal-24022009-RobLabbe.pptx Microsoft Security Development Lifecycle for IT] by Rob Labbe (24/02/2009)

[https://www.owasp.org/images/3/39/OWASP-Montreal-24022009-EN.pdf OWASP Goal and Top Ten 2007 for Managers - French version] by Benoit Guerette (24/02/2009)

Newer presentations are available on [https://speakerdeck.com/owaspmontreal Speaker Deck]

[[Image:Circle_owasp_logo_nowhitebackground.png|200px]]

= OWASP Foundation / Mission OWASP =
OWASP Foundation ([https://docs.google.com/a/owasp.org/presentation/d/10wi1EWFCPZwCpkB6qZaBNN8mR2XfQs8sLxcj9SCsP6c/edit?usp=sharing Overview Slides]) is a professional association of [[Membership | global members]] and is open to anyone interested in learning more about software security. Local chapters are run independently and guided by the [[Chapter_Leader_Handbook]]. As a [[About_OWASP | 501(c)(3)]] non-profit professional association your support and sponsorship of any meeting venue and/or refreshments is tax-deductible. Financial contributions should only be made online using the authorized online chapter donation button. To be a SPEAKER at ANY OWASP Chapter in the world simply review the [[Speaker_Agreement | speaker agreement]] and then contact the local chapter leader with details of what OWASP PROJECT, independent research or related software security topic you would like to present on.

La fondation OWASP est une [https://www.owasp.org/index.php/Membership association de professionnels] et elle est ouverte à tout intervenant intéressé à en apprendre davantage sur la sécurité applicative. Les chapitres locaux (dont celui de Montréal) sont gérés de façon indépendante et selon un [https://www.owasp.org/index.php/Chapter_Leader_Handbook manuel de directives à respecter].
Toute contribution financière au chapitre peut être faite en ligne en utilisant l’icône prévu à cet effet. Pour être conférencier au sein de n’importe quel chapitre à l’échelle mondiale, vous n’avez qu’à prendre connaissance du document [https://www.owasp.org/index.php/Speaker_Agreement "entente avec les conférenciers – speaker agreement"] et à joindre le responsable du chapitre Montréal avec un descriptif du sujet que vous aimeriez aborder et s’il est relié à un projet OWASP, à de la recherche indépendante ou encore le sujet en particulier, concernant la sécurité applicative, que vous souhaitez aborder.

== [[Image:Circle_owasp_logo_nowhitebackground.png|128px]] Montreal OWASP Team ==

Scope of the team is to discuss and plan local activities and meetings

=== Chapter Leaders ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique

==== Chapter leader history ====
*2008-2010 - Benoit Guerette, founder and chapter leader
*2011-2012 - Philippe Gamache, chapter leader (vice chapter-leader since 2010)
*2013-2015 - Jonathan Marcil, chapter leader
*2016-... - Anne Gauthier, Michel Bourque, Marius Popescu, Hugo Genesse, Olivier Arteau

==== Old board members ====
*Philippe Pépos Petitclerc
*Michael Robillard
*Benoit Guerette (logistics 2015)
*Alexandre Rimthong
*Mathieu Binette
*Sean Coates
*Jean-Marc Robert
*Philippe Blondin
*Benoit Guerette (founder)
*Laurent Desaulniers
 

<headertabs/>
__NOTOC__
[[Category:Canada]]

File:Tanya.jpeg

2017-08-18T16:12:22Z

Svieg:

Montréal

2017-08-14T20:58:23Z

Svieg: /* Security Testing: Unlocking the Benefits of a Hybrid Approach */

== Welcome & Bienvenue to the OWASP Montréal chapter ==
 
[[Image:OWASP-Montreal-Logo.png|Logo OWASP Montréal]]

The OWASP Foundation was established in 2001 as an open community and software security resource. Since then, OWASP has grown to be globally recognized as a credible source for application security standards. 
OWASP is an open community dedicated to enabling organizations to conceive, develop, acquire, operate, and maintain applications that can be trusted. All of the OWASP tools, documents, forums, and chapters are free and open to anyone interested in improving application security. We advocate approaching application security as a people, process, and technology problem because the most effective approaches to application security include improvements in all of these areas. 
OWASP is open to anyone. Anyone can attend OWASP's vendor agnostic local chapter meetings, participate in regional and global conferences, and contribute to the many OWASP projects. And anyone can start a new project, form a new chapter, or lend their expertise to help an OWASP Global Committee. 
On parle français aussi ! Le chapitre de Montréal organise plusieurs activités gratuites afin de partager les connaissances en sécurité applicative avec la communauté de développeurs et gestionnaires. Suivez-nous sur les réseaux sociaux pour connaître les dates des conférences du midi et des workshops ! 

Top documentation from OWASP includes:

* [https://www.owasp.org/index.php/Top_10_2013-Top_10 OWASP TOP 10 : The Ten Most Critical Web Application Security Risks]

* [https://www.owasp.org/images/3/33/OWASP_Application_Security_Verification_Standard_3.0.1.pdf OWASP ASVS : Application Security Verification Standard]

* [https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf OWASP Testing Guide : Penetration Testing Framework ]

* [https://www.owasp.org/images/7/78/OWASP_AlphaRelease_CodeReviewGuide2.0.pdf OWASP Code Review Guide : Source Code Analysis Framework ]

* [https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series OWASP Cheat Sheet : Best practices guidelines for developers ]

* [https://www.owasp.org OWASP Global ]

=== Chapter Leaders / Responsables du chapitre ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique
 
Special thanks to / Remerciements :
* Simon Lacasse, Web content / Site internet

== Reach our chapter / Joindre le chapitre ==

Follow OWASP's Montreal chapter's activities through social medias, register to events, watch the previous presentations and more!

Suivez les activités du chapitre OWASP Montréal via les réseaux sociaux, inscrivez-vous aux activités, visualisez les anciennes présentations et plus encore!

 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Click here] to join the local chapter mailing list.
 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Inscrivez-vous ici] à la liste de courriels du chapitre afin de recevoir les dernières nouvelles!

Want to be part of the community ?
Devenez membre de notre communauté !
[https://www.owasp.org/index.php/Membership_Map Click here / Cliquer ici]

[[Image:Eb_press_little.gif‎|OWASP Montreal Eventbrite|link=http://owaspmontreal.eventbrite.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Yt-brand-standard-logo-630px.png‎|128px|YouTube OWASP Montreal Channel|link=http://www.youtube.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Speakerdecklogo.png‎|Slides of OWASP Montreal on SpeakerDeck |link=https://speakerdeck.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]

 
[[Image:Twitter-bird-cropped-onwhite.png|@owaspmontreal on Twitter|link=https://twitter.com/owaspmontreal]]
[[Image:FacebookSquareLogo.png|OWASP Montreal Facebook page|link=https://www.facebook.com/owasp.montreal]]
[[Image:LinkedinSquareLogo.png|OWASP Montreal on LinkedIn|link=https://www.linkedin.com/groups/1379007/profile]]

[[Image:Spacer-horiz.gif‎]]

== Sponsorship & Membership / Commandite & Adhésion ==

[[Image:Btn_donate_SM.gif|link=http://www.regonline.com/donation_1044369]] to this chapter or become a local chapter supporter.

Or consider the value of [[Membership | Individual, Corporate, or Academic Supporter membership]]. Ready to become a member? [[Image:Join_Now_BlueIcon.JPG|75px|link=https://myowasp.force.com/]]

[http://www.regonline.com/donation_1044369 Donnez] au chapitre ou devenez commanditaire du chapitre local!

[https://myowasp.force.com/ Devenez membre !] Pour en savoir davantage sur les avantages d’une adhésion individuelle, corporative ou en tant qu’institution d’enseignement, [https://www.owasp.org/index.php/Membership cliquez ici].

[[Category:OWASP Chapter]]

== Chapter Supporters / Commanditaires du chapitre ==

[https://www.owasp.org/images/9/91/OWASP_Membership_Flyer_Montreal.png All details available here / Pour tous les détails ] [[File:Chapter-supporter-owasp-montreal.png|200px|link=https://www.owasp.org/images/9/91/OWASP_Membership_Flyer_Montreal.png]]

=== Platinum / Platine ===

[[Image:Gosecure-2.png|GoSecure|link=http://www.gosecure.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[File:Desjardins2-400x400.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 
 

=== Gold / Or ===

[[Image:ImmunioLogo.jpg|Immunio|link=https://www.immun.io/]]

 
 
 

= Lunch & Learn / Workshops 2017 =

== Cas d'attaques vécus : Internet des objets (IOT) - Attaques DDoS ==

[[Image:Cas_dattaques_vecus-r.jpg ]]
 
WHEN
June 19th 2017
WHERE
Espace Desjardins

Pour clore la saison printanière 2017, OWASP Montréal est fier d'accueillir au Midi Conférence, M. Christian Shink qui fera un survol de cas d'attaques vécus, des techniques utilisées et des acteurs impliqués dans ces attaques. 
L'incorporation généralisée de dispositifs «intelligents» dans les objets de la vie de tous les jours modifie la façon dont les gens et les machines interagissent les uns avec les autres. Cette incorporation offre une promesse d'une meilleure qualité de vie, une meilleure efficacité. En contrepartie, leur déploiement introduit également des vulnérabilités à la fois dans l'infrastructure qu'ils soutiennent et sur lesquels ils comptent, ainsi que dans les processus qu'ils guident. Que ce soit au niveau applicatif ou des infrastructures, ces vulnérabilités sont exploitées par des acteurs malicieux pour générer des attaques de déni de service massives et sophistiquées. Nous tenterons également de tirer des leçons afin de tenter de minimiser ce type d'attaques dans le futur. 
Christian Shink possède plus d’une dizaine d’années d’expérience en développement et sécurité d’applications. Avant de se joindre à Radware, Christian était à l’emploi d'une firme conseil où il a conseillé de nombreuses entreprises, dont de grandes banques américaines et Casinos. Il détient une certification CSSLP et est membre de l'ordre des ingénieurs du Québec.
 

== HOW TO! Threat Modeling Toolkit ==

[[Image:OWASPMtl-JonathanMarcil-1.jpg]]
[[Image:OWASPMtl-JonathanMarcil-3.jpg]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit]] [https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit See the slides / Voir la présentation]
 
WHEN
May 23rd, 2017
WHERE
Shopify Montreal

Threat Modeling is a great way to analyze security early in software development by structuring possible attacks, bad actors and countermeasures over a broad view of the targeted system. This talk will describe basic components of a threat model and how to use them effectively.
Threat Intelligence is where you gather knowledge about the environment and business assets to determine what are the actual threats. But how do you reconcile that with the current architecture in a useful manner?
The toolkit presented in this talk will enable you to systematically structure related information using graphical notations such as flow diagram and attack tree. In case you are wondering where to start in your organization, a quick lightweight risk rating methodology will also be proposed.
And in the end, you’ll see how we can all tie those together and get threat modeling to a point where it’s an efficient application security activity for communication. Doing this will prevent security reviews from missing important things even when chaos prevails during the realization of a project.
Modeling concepts will be demonstrated with an actual IoT device used as example.
Presentation will be done in english.

Speaker Bio:
Jonathan Marcil is the former chapter leader of OWASP Montreal and is now Senior Application Security Engineer at Blizzard Entertainment in beautiful Orange County, California.
Jonathan has been involved with OWASP for many years and has been behind the Media Project which gathered and promoted AppSec conferences video content in the official OWASP YouTube channel. He was also part of NorthSec CTF event as a challenge designer specialized in Web and imaginative contraptions.
He is passionate about Application Security and enjoys architecture analysis, code review, threat modeling and debunking security tools. He holds a diploma in Software Engineering from ÉTS Montreal and has more than 15 years of experience in Information Technology and Security.

Merci à nos précieux commanditaires !

== Security Testing: Unlocking the Benefits of a Hybrid Approach ==
[[Image:Security testing hybrid approach-r 3.jpg ]]
[[Image:Security testing hybrid approach-r 4.jpg ]]
 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/hybrid-approach-to-security-testing]] [https://speakerdeck.com/owaspmontreal/hybrid-approach-to-security-testing See the slides / Voir la présentation]
 
WHEN
April 24th, 2017
WHERE
Espace Desjardins

As part of their defensive efforts, businesses commonly commission cybersecurity assessments of their web applications; with the aim of identifying any weaknesses in the security controls and ensuring a continually strong cybersecurity posture of their systems.

The classical approach of either secure code review (white box) or penetration testing (black box) assessment have proven to be effective in securing of web applications. The new trend, however, is moving towards the combination of these two approaches; expert consensus is rapidly recognizing the advantages of using a hybrid approach. When applied properly, a hybrid approach can build on the strengths of both white and black box testing, while compensating for their individual shortcomings.

In this presentation, we will examine the details of secure code review and penetration testing, and run demos to contrast their respective strengths and weaknesses. We will also examine why a hybrid approach can produce more complete and relevant assessment results. To conclude, we will cover proven approaches, and practical techniques, on how you can start leveraging a hybrid approach to web application assessments today.

Anne Gauthier is an application security analyst at GoSecure. Anne is also the president of the Montreal Chapter of OWASP – the industry standard for web application security. With a penetration testing background, she specializes in secure code reviews and in helping companies to improve their software development lifecycle (SDLC) according to industry best practices. Anne is CSSLP, GWAPT and GSSP-JAVA certified. She obtained a Software Engineering bachelor’s degree from Ecole de Technologie Supérieure in Montréal and is now pursuing a Master of Engineering (MEng) degree in Information Systems Security at Concordia University. She is the author of the Project 201 Security blog.

Merci à nos précieux commanditaires !

== "HOW-TO" NIGHT ! Tout sur les CTFs (Capture The Flag) ==

[[Image:Howto_ctf.jpg]]
 
[[Image:Presentation-link.png | Slides | link=https://docs.google.com/presentation/d/1zEsCcX-Nvq8Nz0k-B1zHejCDNT2oGZx8oUBgMbvvMM0/edit#slide=id.p ]] [https://docs.google.com/presentation/d/1zEsCcX-Nvq8Nz0k-B1zHejCDNT2oGZx8oUBgMbvvMM0/edit#slide=id.p See the slides / Voir la présentation (Laurent Desaulniers)]
[[Image:Presentation-link.png | Slides | link=https://docs.google.com/presentation/d/1c1P1d2mKe767j1Y0V9cK6De5cpnK4I7GI-ORiodbg1A/edit#slide=id.p ]] [https://docs.google.com/presentation/d/1c1P1d2mKe767j1Y0V9cK6De5cpnK4I7GI-ORiodbg1A/edit#slide=id.p See the slides / Voir la présentation (Charles Hamilton)]
[[Image:Presentation-link.png | Slides | link=http://obilodeau.github.io/slides/2017-04-04_how-not-to-suck-at-ctfs/ ]] [http://obilodeau.github.io/slides/2017-04-04_how-not-to-suck-at-ctfs/ See the slides / Voir la présentation (Olivier Bilodeau)]
 
WHEN
April 4th, 2017
WHERE
Shopify

Cette nouvelle soirée "How-To" Night d'OWASP Montréal vise à présenter les CTFs (une compétition Capture The Flag) et aider les équipes à démarrer et à continuer à évoluer dans leurs pratique de la cyber sécurité pratique. L'objectif est d'outiller les participants en leur fournissant des ressources techniques et des contacts afin de les aider à progresser.

Les éléments discutés seront:

- Composition optimale d’une équipe : Fonctionnement d’une équipe de CTF et les principaux rôles (chef d’équipe, cryptographie, application web, rétro ingénierie et les causes perdues).

- Pourquoi faire des CTFs? Discussion sur les différents styles (jeopardy, attack/defense, etc.), quels sont les problèmes fréquemments rencontrés + plusieurs anecdotes intéressantes (et drôles).

- Trucs de Mr. Unikoder : Le créateur du fameux site ringzer0team, soit un des plus gros sites pour apprendre la résolution de problèmes de CTF (https://ringzer0team.com/) Apprenez des trucs du meilleur, sur comment débuter et interpréter un challenge web, binaire et crypto avec des trucs réels du métier.

Matériel requis :

Votre légendaire enthousiasme

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement.

Présentateurs :

Charles Hamilton, Senior Consultant chez Mandiant, FireEye, Inc.

Olivier Bilodeau, Cybersecurity Research Lead at GoSecure

Laurent Desaulniers, Senior Security Solution Specialist at Bell Canada

== NorthSec - Applied Security Event ==
[[Image:Nsec_2017_midi_conf.jpg]] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/northsec-applied-security-event]] [https://speakerdeck.com/owaspmontreal/northsec-applied-security-event See the slides / Voir la présentation]
 
WHEN
April 4th, 2017
WHERE
Espace Desjardins

NorthSec: La plus grande compétition et conférence en cyber sécurité au Canada

NorthSec est un organisme sans but lucratif qui organise une conférence et une compétition de sécurité de type "Capture-The-Flag" (CTF) et des formations. Avec plus de 400 participants présents sur le site pour la compétition, c’est la plus grande compétition du genre au monde.

La conférence, dans sa 3e année, attire des présentateurs internationaux avec du contenu technique exclusif. L’ajout des séances de travail (workshops) devrait plaire aux plus chevronnés des binaires.

Des formations de 3 jours sont offertes avant la conférence: "Advanced Web Application Security" par Philippe Arteau et "Malware and Memory Forensics" par Michael Ligh, co-auteur des livres "Malware Analyst Cookbook" et "The Art of Memory Forensics".

NorthSec est situé au Marché Bonsecours dans le Vieux-Port de Montréal au printemps du 15 au 21 mai 2017.

La présentation couvrira:

- Le plan pour 2017 
- Ce qui différencie NorthSec 
- Comment équilibrer une compétition pour les débutants et les experts 
- Comment bâtir une infrastructure basée sur les conteneurs qui gère 50 équipes dans quelques serveurs sans qu’ils ne se partagent de machines virtuelles 
- Comment faire du pain au levain à grande échelle 
- Présentation de quelques défis et solutions 

Les présentateurs:

- Gabriel Tremblay, Président, Delve Labs 
- Olivier Bilodeau, VP Formations, Co-fondateur MontréHack, GoSecure 
- Pierre-David Oriol, VP Conférences, Delve Labs 
- Benoit Guérette, VP Partenaires, Desjardins 
- Laurent Desaulniers, Tisserand de drapeaux, Bell Canada 

Merci à nos précieux commanditaires !

== Sécurité des applications : Les fondements ==
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/securite-des-applications-les-fondements]] [https://speakerdeck.com/owaspmontreal/securite-des-applications-les-fondements See the slides / Voir la présentation]
 
WHEN
March 20th, 2017
WHERE
Espace Desjardins

OWASP Montréal est fier d’accueillir au Midi Conférence du mois de mars, Mme Tanya Janca, Co-Leader du chapitre OWASP Ottawa et spécialiste de la sécurité applicative au sein du Gouvernement fédéral.

La conférence « Les fondements de la sécurité des applications » sera présentée en anglais.

Session Description : Everyone has heard about the problem; everyone is “getting hacked”. But what is the answer? From scanning your code with a vulnerability scanner to red teaming exercises, developer education programs and bug bounties, this talk will take the audience through all the possibilities of an extensive application security program, with a detailed explanation of each part.

Bio : Tanya Janca is an application security evangelist, a web application penetration tester and vulnerability assessor, a secure code reviewer, an ethical hacker, the Co-Leader of the OWASP Ottawa chapter, and has been developing software since the late 90’s. She has worn many hats and done many things, including; Custom Apps, Ethical Hacking, COTS, Incident Response, Enterprise Architect, Project and People Management, and even Tech Support. She is currently helping the Government of Canada secure their web applications.

Merci à notre commanditaire principal de cet événement: Ubitrak!

== WORKSHOP ! Server Side Template Injection (SSTI) ==

[[Image:Workshop-okiok-SSTI-r.jpg | WORKSHOP ! Server Side Template Injection (SSTI) ]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti]] [https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti See the slides / Voir la présentation]

WHEN
22 Février 2017
WHERE
Shopify Montréal

OWASP Montreal vous invite à un atelier portant sur la sécurité des applications web supportant les moteurs de template (Template Engine). Le principe de séparation entre la présentation du site (code HTML statique) et de son contenu dynamique facilite la création de documents HTML et la capacité à modifier l'apparence du site sans mélanger le traitement et le rendu de la page. L'utilisation de moteurs de template amène de nouveaux enjeux de sécurité. Les vulnérabilités de type Server Side Template Injection (SSTI) sont exploitables à travers les données (non fiables) fournies par l'utilisateur et conduisent à l'exécution de code arbitraire (RCE) sur le serveur hébergeant l'application web. 

Ce workshop a pour but d'introduire cette classe de vulnérabilité à travers différents cas d'implémentation (php, java, python).
Nous verrons comment identifier et exploiter ces vulnérabilités et de quelle manière un attaquant peut
s'y prendre pour exécuter du code arbitraire sur le serveur afin d'en prendre le contrôle. 

Niveau : Intermédiaire 
Matériel requis :
* Votre portable
* Votre distribution Linux/Unix de votre choix
* Votre proxy Web de votre choix

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.
Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.
Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement. 

Présentateur : Gérôme Dieu 
Gérôme Dieu cumule plus de 7 années d’expérience en technologies de l’information et en sécurité.
Il œuvre à titre de conseiller senior en sécurité de l’information au sein de la firme OKIOK. Ces dernières années, il a acquis une expertise dans le domaine de la sécurité des applications web aussi bien d'un point de vue offensif que défensif. En plus de réaliser des tests d’intrusion pour des clients internationaux, Gérôme s’implique dans la recherche et développement afin de maintenir à la fine pointe de la technologie les tests d'intrusion et d'analyse de vulnérabilités. 

Merci à Shopify d'héberger l'événement ! 
[[Image:Shopify Logo-r.png| Shopify | link=https://www.shopify.com/]]
== Le courriel en 2017 – risques et menaces pour tous ==

[[Image:Zero spam 2.jpg|Le courriel en 2017 – risques et menaces pour tous]]

[[Image:Video-link.png | Link to video | link=https://www.youtube.com/watch?v=HX2vcijcCWw ]] [https://www.youtube.com/watch?v=HX2vcijcCWw Watch the conference / Regarder la conférence ] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

WHEN
Le 23 janvier 2017 à midi
WHERE
Espace Desjardins

Monsieur Poellhuber nous brossera un tableau du phénomène grandissant du rançongiciels et de l'hameçonnage, personnification. 

- Par les années passées, la menace courriel se résumait principalement en un fort volume de contenu simplement indésirable. Aujourd’hui la menace a passablement évolué. Quels sont les véritables risques actuels associés au courriel ? Rançongiciels, hameçonnage, personnification. Cette conférence présentera les nouveaux défis de sécurité pour les organisations qui doivent composer avec des attaques de plus en plus sophistiquées et de plus en plus ciblées tout en protégeant leur réputation. Des exemples biens réels, drôles et moins drôles seront disséqués pour bien dessiner l’ampleur de l’enjeu. 

M. David Poellhuber, Chef de l’exploitation, ZEROSPAM Sécurité Inc 

Note biographique : 
Monsieur David Poellhuber oeuvre dans l’industrie de la sécurité informatique depuis quinze ans. Il a été conférencier dans plusieurs forums de sécurité au Canada et est maintenant reconnu comme une autorité en matière de sécurité du courriel. Il a fondé ZEROSPAM Sécurité en 2003, le premier service Québécois externalisé de sécurité du courriel infonuagique qui se distingue par sa convivialité, son efficacité et ses technologies de détection proactives. 
Audience : Généralistes et spécialistes de la sécurité des TI
 
Merci à Ubitrack pour le repas et à Desjardins d'héberger l'événement!

[[Image:Ubitrak-r2.jpg|Ubitrak|link=http://www.ubitrak.com/fr/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]

== Effective XSS Mitigation ==

[[Image:XSS mitigation.jpg | Effective XSS Mitigation ]]

[[Image:Presentation-link.png | Slides| link=http://slides.com/olivierarteau/xss-mitigation ]] [http://slides.com/olivierarteau/xss-mitigation See the slides / Voir la présentation]

WHEN
18 Janvier 2017
WHERE
Google Montréal

FRANÇAIS/ENGLISH 
La mitigation de XSS a été un sujet important au cours des dernières années. Les navigateurs ont implémenté, en autre, deux fonctionnalités pour mitiger leur impact : l'entête "XSS-Protection" et l'entête "Content-Security-Policy". Par contre, obtenir une mitigation contre les XSS efficace est souvent plus complexe que l'on pense. Cet atelier couvrira les deux entêtes. Il expliquera comme il est possible de contourner ces protections et ce qu'il est possible de faire pour se protéger. Des exercices de type "offensif" et "défensif" seront proposés.
Mitigation for XSS as been an important topic in the last few years. Browsers have implemented two main functionalities to help mitigate the impact of XSS : the "XSS-Protection" header and the "Content-Security-Policy" header. But, getting an effective XSS mitigation of those headers is trickier than it may seem. This workshop will cover both of those headers. It will explain how bypass of those protection work and what you can do about it. It will have both "defensive" exercises and "offensive" exercises.
Niveau : débutant/intermédiaire
 
Matériel requis :

Votre portable 

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Google pour l'événement.
 
Présentateur : Olivier Arteau
 
Olivier Arteau est un professionnel en sécurité informatique depuis quelques années et fait partie de l’équipe de test d’intrusion de Desjardins. Il est aussi un amateur de CTF qui a gagné à plusieurs reprises le CTF du NorthSec avec l’équipe HackToute et participe fréquemment à d’autres CTF avec l’équipe DCIETS.
 

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

= Lunch & Learn / Workshops 2015-2016 =

== WORKSHOP ! Top 10 OWASP - Unleash the threats ==

[[Image:Workshop-top10.jpg | WORKSHOP! Top 10 OWASP - Unleash the threats ]]

WHEN
30 novembre 2016 de 17h30 à 20h30
WHERE
Immunio @ WeWork

De nos jours, la sécurité applicative est essentielle dans l’écosystème des entreprises de toutes tailles. Les vecteurs d’attaques sont multiples, les vulnérabilités de sécurité dans les applications peuvent être désastreuses et les impacts d’un « Hack » peuvent être irréversibles pour l’entreprise; vols de données sensibles, perte de réputation, perte de $$$$$, etc.
L’objectif du workshop est de comprendre la base sur les vulnérabilités de sécurité dans les applications et les techniques d’exploitation utilisées par les pirates informatiques, en plus de connaître les bonnes pratiques de développement en matière de sécurité applicative.
Avec l'aide de WebGoat, Damn Vulnerable Web Application et de Kali Linux, vous pourrez participer
à l'exploitation des applications et découvrir les techniques utilisées par les attaquants.

Niveau : débutant

Matériel requis :
Votre portable
Kali Linux
La VM du workshop, envoyée aux participants

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places très limitées (nb = 10). Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Immunio & WeWork pour l'événement.

Présentateur : Christian Leclerc

Christian est spécialisé en conception et développement de solutions web sécuritaires. Tout au long de sa carrière, il a acquis une vaste expertise sur plusieurs types de technologies et méthodologies, intégré la sécurité dans le cycle de développement d’applications, effectué des revues de code sécurité, déployé des outils d’analyse des vulnérabilités et mis en place des systèmes d’authentification. De plus, il a participé à la conception et au développement de solutions sécuritaires de pointe comme la signature électronique à l’aide d’une infrastructure à clé publique (PKI), les authentifications fortes, le Registre des consentements au don d'organes et de tissus (RDOQ.org) et la migration de plusieurs applications web vers un environnement SOA (Service Oriented Architecture).
 Merci à Immunio & WeWork d'héberger l'événement! 

[[Image:Immunio-horizontal-r.png|Immunio|link=https://www.immun.io/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Wework-r.jpg|WeWork|link=https://www.wework.com/]]
 

== Histoire d'un Hack ==

[[Image:Histoire-dun-hack-r.jpg | Histoire d'un Hack ]]

WHEN
21 novembre 2016 à midi
WHERE
Espace Desjardins

Pour son activité du mois de novembre, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de faire l'autopsie d'une attaque de haute voltige sur un site web et des outils mis à la disposition par OWASP.

Bernard Bolduc cumule plus de 17 années d’expérience en technologies de l’information et en sécurité. Il œuvre à titre de conseiller senior en sécurité de l’information au niveau d’entreprise de classe nationale et internationale.

Bernard se spécialise en sécurité Unix, applicative et en gestion de la sécurité des télécommunications. Il combine ces expertises techniques afin d’obtenir des résultats probants et efficaces pour ces clients des secteurs bancaire, télécommunication et multimédias, de l’énergie ou des services publiques. Tout au long de sa carrière, Bernard s’est toujours maintenu à jour sur les dernières menaces de sécurité technologique et commerciale en assistant à des formations spécialisées et d'échanger avec un grand nombre de partenaires dans l'industrie de la sécurité.

La conférence débute à midi.

La conférence vous donne droit à 1 CPE et pour les 50 premières personnes, un lunch gratuit.

Merci à Desjardins d'héberger l'événement!

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite) ==

[[Image:Workshop-zap-mix.jpg | Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite)]]

WHEN
11 novembre 2016 de 18h à 21h

WHERE
Google Montréal

OWASP Zed Attack Proxy (ZAP) est un scanneur de vulnérabilités et un outil de débogage HTTP. Ce type d'outil est crucial dans un test d'intrusion web et contient un lot intéressant de fonctionnalités. Cela dit, il est possible d'étendre les fonctionnalités. Plusieurs types d'extension sont possibles : vue alternative pour les requêtes ou les réponses, scanneur passif des réponses, scanneur actif produisant des requêtes, etc.

Plusieurs options seront données, par exemple :

Détection automatique de flag dans les sources
Scanneur actif asynchrone DNS
Ou votre propre idée

Pour chacune des suggestions, des squelettes de code seront fournis pour les APIs de ZAP. Pour les utilisateurs de BurpSuite, des directives analogues seront également données.

Niveau : débutant / intermédiaire

Matériel requis

Votre portable
[https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project OWASP ZAP (gratuit)]
[https://portswigger.net/burp/download.html BurpSuite]
Éditeur de code pour Java, Python ou Ruby

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Présentateur : Philippe Arteau

Philippe est un chercheur en cybersécurité chez GoSecure. Il est l'auteur de l'outil d'analyse statique Java "Find Security Bugs". Il a découvert des vulnérabilités importantes dans les logiciels populaires tels que Google Chrome, Dropbox, Paypal, RunKeeper et Jira. Il a présenté dans différentes conférences incluant Black Hat USA, Black Hat Europe, ATL Sec Con, NorthSec, Hackfest (QC) et JavaOne. Il a développé de nombreux plug-ins pour les outils de proxy BurpSuite et OWASP ZAP (Retire.js, Reissue Request Script, PDF preview et Image Metadata). Il a fait également des contributions à d'autres plug-ins comme J2eeScan.

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

==Logiciel de rançon (Ransomware) s'attaque au domaine de la santé==

[[Image:HackingHealth-2.jpg | Logiciel de rançon (Ransomware) s'attaque au domaine de la santé ]]

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health ]] [https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health See the slides / Voir la présentation]

(Conférence en anglais)
Pour le lancement de la saison 2016 - 2017, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de la santé une incursion dans le monde du logiciel malveillant ciblant le domaine de la santé. 
Cette conférence s'intége dans le Coopérathon co-organisé par le Mouvement Desjardins et Hacking Health. 
Le domaine de la santé serait devenu une cible privilégiée des campagnes de ransomware parce que l'industrie a souvent payé la rançon demandée pour récupérer les données confidentielles et vitales de ses clients. Monsieur Ed Gershfang nous brossera un portrait du phénomène et des meilleures pratiques à mettre en place en matière de sécurité applicative.
Ed Gershfang possède une expérience solide dans l'infrastructure informatique et plus de 6 ans d'expérience dans les domaines de la sécurité de l'information, de la vulnérabilité, de la gouvernance et de la gestion des risques. Il était directeur de la sécurité pour la société PeriGen, un chef de file de développement de logiciels médicaux en Israël.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative vue par un pentesteur ==

[[Image:Juin2016-OWASPMtl.jpg | OWASP Montréal reçoit Mario Contestabile, Pentester de renom ]]
 
From Left to Right : Isabelle Lusseyran, Head of Development at Hacking Health. Eduard Gershfang Information Security Analyst at WSP | Parsons Brinckerhoff.

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile ]] [https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile See the slides / Voir la présentation]
 
Pour clore la saison 2015 – 2016, OWASP Montréal est fier d’accueillir au Midi Conférence un des architectes de renom du développement applicatif au Canada, monsieur Mario Contestabile.
En tant qu’auteur de plusieurs centaines de tests d’intrusion, il connait tous les rouages de ce qu’est véritablement une application Web «sécurisée». Mais avez-vous déjà remarqué que les rapports de tests d’intrusion mentionnent rarement, voir jamais : «Votre site est très difficile à pirater. Félicitations !» ?
Et qu’en est-il de ces rapports qui contiennent des dizaines de soi-disant vulnérabilités ? Est-ce que cela signifie d’emblée que l’application devrait être mise hors ligne ?
 
Lors de cette conférence, nous examinerons des rapports concrets (ambigus) de vulnérabilités et nous les analyserons afin de mieux comprendre si elles représentent une véritable menace, ou si elles ne servent qu’à «remplir» les rapports.
 
Avec son expertise en protection et en attaque d’applications Web, il abordera les points suivants :
Comment pouvez-vous sélectionner des systèmes de façon à mieux exécuter des protections de sécurité ?
Éviter certains pièges dans votre application Web qui rendent les attaques plus faciles et la protection plus difficile.
De nos jours, que peuvent faire les développeurs à l’intérieur de systèmes communs, qui puisse me rendre la tâche plus ardue en tant que « hacker »?
Pouvons-nous exiger de meilleurs rapports de la part des firmes de sécurité?
À quoi devrions-nous nous attendre de la part d’un « pentesters »?
Comment pouvons-nous savoir si le « pentester » a vérifié les failles de l’application et qu’il n’a pas simplement utilisé un scanneur?
Et enfin, comment pouvons-nous aider les « ethical hackers » à obtenir un meilleur rendement lors d’un test d’intrusion?
Il expliquera le sujet en détails, et ensemble, nous verrons de quelles façons les développeurs d’applications peuvent exploiter le savoir-faire des « pentesters », et comment nous pouvons faire en sorte qu’une application Web soit protégée.
Biographie :
Mario Contestabile est reconnu comme l’un des experts en sécurité les plus réputés au Canada. Son expertise, construire et protéger votre plateforme applicative. Ancien développeur C++ et Java, Mario partage ses nombreuses connaissances en « ethical hacking » et en développement de codes sécurisé.
 
WHEN
Tuesday, 14 June 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Comment protéger les applications mobiles? ==

[[Image:Avril2016-OWASPMtl.png | Comment protéger les applications mobiles? ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles ]] [https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles See the slides / Voir la présentation]
 
Dans le cadre des Midis Conférence à l'Espace Desjardins, l'équipe OWASP Montréal vous invite à assister à une présentation sur les vulnérabilités les plus communes associées aux appareils mobiles.
Marie-Claire Willig détaillera entre autres comment stocker de façon sécuritaire les données de l’application mobile ainsi que protéger l’application contre des attaques externes. Des outils simples vous seront dévoilés pour détecter ces vulnérabilités.
Marie-Claire est une professionnelle d'expérience en sécurité appliquée.
Une grande partie de son intérêt professionnel réside actuellement dans un domaine assez niche, soit la revue de code sécuritaire, un fondement important de tout cycle de développement sécuritaire en entreprise.
Au sein de l'équipe de sécurité technologique Desjardins, elle est, en autre, responsable de former les développeurs (Java et .NET principalement) afin de les sensibiliser aux meilleures pratiques de développement sécuritaire.
Également, elle est une professionnelle des tests d'intrusion sur les applications web, les applications mobiles ainsi que l'infrastructure réseau.
Bienvenue à tous
 
WHEN
Wednesday, 20 April 2016 from 12:15 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ==

[[Image:Mars2016-OWASPMtl.jpg | NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/YQtvltQYs7Y]] [https://youtu.be/YQtvltQYs7Y Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
OWASP Montréal est fier d’inviter au Midi Conférence de mars, NorthSec est le plus gros événement de sécurité appliquée au Canada qui comprend deux jours de formation, deux jours de conférences ainsi qu’une compétition du genre « capture the flag » (CTF) de trois jours.
Gabriel Tremblay, Benoit Guerette, Pierre-David Oriol et Laurent Desaulniers viendront vous parler de cet organisme sans but lucratif dynamique qui est géré par une équipe de bénévoles passionnés qui donnent à chaque année leur énergie et leur temps pour soutenir la communauté de la sécurité de l’information.
Le volet compétition, l’épreuve maîtresse, est présentée sous forme d’un scénario qui rend cohérent une centaine de défis techniques. Les équipes de participants attaquent l’infrastructure de compétition pour soutirer des drapeaux (flags) à travers un ensemble de vulnérabilités présentes comme de l’injection SQL, des XSS ou encore l’exploitation d’exécutables sur systèmes embarqués. Quelques exemples de défis des années passées seront également présentés.
Le volet conférence, qui est à sa 2ème année, met de l’avant plusieurs présentations techniques touchant la sécurité applicative mais aussi l’éthique et leurs impacts sociaux. Certaines présentations confirmées seront dévoilés.
Le tout nouveau volet formation propose deux formations en sécurité applicative de calibre international (anglais) : “Advanced Web Security Testing with Burp Pro” et “Modern Object-Oriented Malware Reverse Engineering”.
Venez aussi, découvrir comment l'équipe est partie d'une idée en 2012 pour se rendre à un évènement d'envergure, qui rassemblera plus de 600 professionnels, étudiants et autres passionnés de sécurité appliquée lors de la 4ème édition qui aura lieu du 17 au 22 mai 2016 au Marché Bonsecours.
Finalement, la mission, la vision ainsi que les activités sociales de la semaine de NorthSec sont aussi au menu de cette présentation qui sera suivie d’une période de questions.

Gabriel Tremblay, Delve Labs, Président
Benoit Guerette, Desjardins, VP Finances

Pierre-David Oriol, Delve Labs, VP Conférence
Laurent Desaulniers, Bell Canada, Artisant de drapeaux
 
WHEN
Wednesday, 23 March 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative et l'hameçonnage - February 24th ==

[[Image:Fevrier2016-OWASPMtl.jpg | La sécurité applicative et l'hameçonnage ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/1RYlOiIENjQ]] [https://youtu.be/1RYlOiIENjQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 

De nos jours, une des méthodes les plus efficaces pour contourner les périmètres de sécurité externes est l'hameçonnage conjointement avec l’abus de certaines technologies Web.

Dans le cadre ses activités, OWASP Montréal est heureux d'inviter d'accueillir, l'équipe OKIOK qui présentera les impacts liés à ce type d'attaque, tel que vu et expérimenté en entreprise ainsi que les plans d'action pour traiter ces risques. La présentation abordera aussi bien la sécurité web et applicatives, des systèmes informatiques ainsi que de la sécurité physique de centres de données.

Capture d'informations sensibles par imitations de portails Web ;
Authentification Web par 2-facteurs ;
Injection SMTP dans des formulaires Web ;
Attaque de type “Drive-by-download”;
Prise de contrôle à distance à travers des flux HTTP;
Attaque de CSRF à partir de courriels ;
Attaque d'hameçonnage basée sur des achats par Internet (ex : PayPal).
 
When
Wednesday, 24 February 2016 from 12:00 PM to 1:15 PM (EST) - Add to Calendar
Where
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest Montreal, Quebec CA

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Internet of {Things, Threats} - January 20th ==

[[Image:Janvier2016-OWASPMtl-R.png | Internet of {Things, Threats} ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html ]] [http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html See the slides / Voir la présentation]
 
De plus en plus de périphériques se retrouvent connectés sur Internet. Sous la bannière "Internet of Things" (IoT) ces équipements, que ce soit une pompe à insuline ou un système de caméra de sécurité, tournent généralement sous un système GNU/Linux embarqué d'architecture MIPS ou ARM. La difficulté de mettre à jour ces équipements ainsi que le peu d'effort mis dans la sécurité des systèmes ou la sécurité applicative en font des cibles de choix. Ces derniers mois, nous avons analysé plusieurs logiciels malveillants ciblant ces architectures. Que ce soit par l'exploitation d'une vulnérabilité (Shellshock) ou encore un défaut de configuration, ces systèmes exposés sur Internet peuvent être compromis.

Notre présentation couvrira quelques une de ces analyses:

* Linux/Moose, un malware se propageant automatiquement qui fraude les réseaux sociaux (par exemple Facebook, Twitter et YouTube)
* LizardSquad et acteurs étrangers qui utilisent des systèmes embarqués compromis pour réaliser des dénis de service distribué (DDoS)
* Win32/RBrute est un logiciel malveillant qui tente de changer les paramètres de routeurs dans le but de faire du "DNS poisoning". Il a été distribué par le populaire botnet Sality.
* Un kit d'exploits qui utilise seulement le navigateur de leur victime avec le même objectif, c'est-à-dire faire du "DNS poisoning".

Enfin, des conseils seront proposés à l'audience pour l'aider à se protéger de ces menaces.

'''Thomas Dupuy''' (twitter: @nyx__o)

Thomas est chercheur en logiciel malveillant chez ESET Canada Recherche. Bon vivant, Thomas déjeune en "reversant" des binaires, contribue à quelques projets open source durant le diner (yara, yara rules, pefile, APTnotes) et la nuit participe à des "Hacking Games" (Capture The Flag). Curieux de nature Thomas analyse des malware aux architectures "exotiques".

'''Olivier Bilodeau''' (twitter: @obilodeau)

Olivier Bilodeau is the head of Cybersecurity Research at GoSecure a consultancy firm specializing in cybersecurity services for the public and private sector. With more than 10 years of infosec experience, Olivier worked on Unix servers at Bell Canada, managed a portion of Air Canada's network, wrote open source network access control software at Inverse and worked as a Malware Researcher at ESET. He likes to reverse engineer everything that crosses his path, participate in information security capture-the-flag competitions, hack open source code and brew beer. He has spoken at various conferences (Defcon, Botconf, VirusBulletin, Derbycon, ...), used to lecture on information security at ETS University in Montreal, drives the NorthSec Hacker Jeopardy and co-organizes the MontreHack capture-the-flag training initiative. His primary research interests include reverse-engineering tools, Linux and/or embedded malware and honeypots.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Survivre aux attaques DDOS applicatives ==

[[Image:Decembre2015-OWASPMtl.jpg | Survivre aux attaques DDOS applicatives ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
Survivre aux attaques DDOS (Distributed Denial-Of-Service) applicatives.
Cette conférence s'adresse aux professionnels et gestionnaires des TI.
Conférencier : Christian Shink, ing., CSSLP, ingénieur système chez Radware, manufacturier spécialisé dans la prévention des attaques DDOS. Il fut également consultant en sécurité applicative chez In Fidem.
Objectifs de la conférence:
Présenter les tendances actuelles en matière d'attaques DDOS applicatives.
Renseigner les participants sur les techniques et stratégies pour contrer ces attaques illustrées à partir de cas vécus.
Démystifier certains mythes en ce qui concernent les façons efficaces de protéger les applications contre des attaques DDOS.
Date : 16 décembre 2015
Heure : 11h45
La conférence débute à 12h00 et se termine à 12:55.
Un lunch sera servi.
Réservez maintenant!
1 CPE
 
WHEN
Wednesday, 16 December 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Sécurité des applications - Systèmes de contrôles industriels ==

[[Image:Novembre2015-OWASPMtl-R.png | Sécurité des applications - Systèmes de contrôles industriels ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/0eAZpyiQQ9A]] [https://youtu.be/0eAZpyiQQ9A Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

La sécurité des applications et les systèmes de contrôles industriels.
Cette conférence s'adresse aux professionnels et gestionnaires des TI desinfrastructures critiques qui exploitent ou gèrent des systèmes de contrôles industriels(SCI) et SCADA (surveillance et d'acquisition de données). 
Conférenciers : Robert Nastas, CSSA. Gestionnaire de projet et Youssef Jad, Architecte Cyber sécurité, ICS-CERT 
 
Objectifs de la conférence:
* Démystifier le domaine d'affaires.
* Renseigner les participants sur les bonnes pratiques de sécurité desapplications liées au secteur industriel.
* Proposer aux professionnels et gestionnaires des TI responsables dessystèmes SCADA et SCI des pistes de solutions aux enjeux de sécurité.
 
L'équipe OWASP Montréal vous remercie d'avoir assisté en grand nombre à la conférence, 'La sécurité des applications et les systèmes de contrôles industriels'.
 
WHEN
Wednesday, 18 November 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ==

[[Image:Septembre2015-OWASPMtl.jpg | Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert ]] [https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert See the slides / Voir la présentation]
 
Pour le lancement des activités corporatives de la saison 2015 - 2016, le 8 septembre prochain à 12:00, l'équipe OWASP Montréal convie les gestionnaires et artisants de la sécurité des TIC à venir entendre monsieur Éric Hébert qui nous présentera son interprétation des préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative. L'événement se tiendra au complexe Desjardins à la salle "Espace Desjardins".

''' ÉRIC G. HÉBERT, CISM, CISSP ''' 
Après plus de 20 ans passés dans le domaine de la sécurité des technologies de l’information, Éric se spécialise dans la mise en œuvre et la gestion d'équipes performantes, capables de relever les plus hauts défis de la cybersécurité moderne. 
Capable de dialoguer avec les hauts dirigeants, il sait traduire et vulgariser les enjeux techniques complexes tout en respectant la nature et l'appétence au risque de ses clients. Dynamique et pourvu d'une expérience couvrant presque toutes les sphères de la SI, il fonce dans le respect de la culture établie tout en implantant des solutions pragmatiques et efficaces. 
Depuis plus de 10 ans, il gravite principalement autour des entreprises du domaine financier (BNC, Desjardins, Fonds de solidarité FTQ...) et les accompagne dans la mise en place de solutions efficaces tenant compte à la fois des risques et des budgets.
En plus d’avoir fondé de nombreuses associations telles que le RéseauSécurIT et le RPSI, il maintient une présence régulière auprès des milieux associatifs professionnels et partage régulièrement ses expériences lors de conférences et d'entrevues avec divers médias.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

= Events / Évènements =

== Owasp Montreal at [https://nsec.io/ NorthSec 2017] ==

[[Image:NorthSec2017-5.jpg]]
[[Image:NorthSec2017-6.jpg]]

From Left to Right: Anne Gauthier, OWASP Montréal Chapter Leader (President) and Application Security Analyst at GoSecure, Hugo Genesse, OWASP Montréal Chapter Leader and Research Intern at PNF Software, Julien Touche, OWASP Montréal Chapter Leader and Principal Security Engineer at Nuance Communications

== OWASP Montreal at [https://2017.appsec.eu/ AppSec] ==

[[Image:OWASPAppSecBelfast2017-7.jpg]]

OWASP Montreal and Ottawa Chapter Leaders at OWASP AppSec Belfast, UK #WomenInAppSec

== OWASP Montreal at [https://hackfest.ca/ HackFest 2016] ==

[[Image:Hackfest2016-r.jpg| HackFest |link=https://hackfest.ca/]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Louis Nadeau, OWASP Québec Chapter Leader and Manager, Product Security at Bentley Systems and Patrick Leclerc, OWASP Québec Chapter Leader and Information Security Advisor at La Capitale.

== OWASP Montreal at OWASP [https://2016.appsecusa.org/ AppSec USA 2016, Washington] ==
 
 
[[Image:OWASPMtl-AppSecUSA2016-Washington.jpg | OWASP Montreal at AppSec USA 2016, Washington]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016, Alexandre Hamelin President at Synlabs Consulting Inc., Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [https://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

== OWASP Montréal at [https://www.gosec.net GoSec] 2016 ==

[[Image:OWASP-GoSec2016-1r.jpg|OWASP Montreal at GoSec 2016]] [[Image:OWASP-GoSec2016-2r.jpg|OWASP Montreal at GoSec 2016]]
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Simon Lacasse, student and volunteer, and Laurent Desaulniers, Security Analyst at Bell Canada.

== OWASP Montréal at [https://www.nsec.io/ NorthSec] 2016 – Annual Applied Security Event ==

[[Image:Hackfest2016-OWASPMtl.jpg|OWASP Montreal at NorthSec 2016]]

@Photo : Simon Veilleux
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Olivier Arteau OWASP Montréal Chapter Leader and Conseiller chez Groupe Technologie Desjardins, Hugo Genesse, OWASP Montréal Chapter Leader and Vulnerability Research Intern at Wurldtech Security Technologies.

== OWASP Montréal at [https://hackfest.ca/en/ Hackfest] 2015 ==

[[Image:Hackfest2015-OWASPMtl-R.JPG | OWASP Montreal at Hackfest 2015]]

@Photo : Hackfest
 
 
From left to right : Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [http://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

[[Image:Video-link.png | Link to video | link=https://youtu.be/8U0qkEuUFy8]] [https://youtu.be/8U0qkEuUFy8 Watch the video / Regarder la vidéo]

== OWASP Montréal at [https://www.gosec.net/ GoSec] 2015 – The Annual Cybersecurity Conference presented by GoSecure, EY and ISACA. ==

[[Image:GoSec2015-OWASPMtl.jpg|OWASP Montreal at GoSec 2015]]

@Photo : Marius Popescu
 
 
From left to right : Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016. Benoît Guérette, Application Security Team Leader at Desjardins, VP Finance at NorthSec and OWASP Montreal Chapter Founder and Former Chapter Leader.

== See also / Voir aussi ==

OWASP Montréal recommends Montréhack. Learn and share knowledge on IT security by solving technical challenges. Third Monday of every month.

OWASP Montréal recommende Montréhack. Apprends et partages des connaissances sur la sécurité informatique en travaillant des problèmes appliqués. Chaque troisième lundi du mois.

[[File:Montrehack.png|Montréhack|link=http://montrehack.ca/|alt=Montréhack]]

= Archives 2007-2015 =
{{:Montreal chapter past meetings}}

== OWASP Montreal - February 3rd - Getting to Know the Software Assurance Marketplace (SWAMP) ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/p4_vjufcB6Q]] [https://youtu.be/p4_vjufcB6Q Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer]] [https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Pat Beyer
*'''ADDITIONAL PRESENTER:''' Abe Megahed
*'''ABSTRACT:''' The Software Assurance Marketplace (SWAMP) is an open facility that is designed, built, and operated by four research institutions. The SWAMP provides no-cost access to an array of open-source and commercial software analysis tools. This presentation will provide an overview and demo of the SWAMP, including our goals, intended audience, current capabilities, and future plans. We will cover our relationship with OWASP, incorporation of open-source software assurance tools, and status as an open-source project and resource available to the software community. Visit https://continuousassurance.org/ to learn more about us.
*'''BIO:''' Pat Beyer serves as the Product Manager for the Software Assurance Marketplace (SWAMP). With over 25 years of experience successfully managing multi-million dollar global projects, Beyer’s expertise extends to the IT, construction, and operations sectors, with a specialization in managing government contracts and grants. A gifted communicator, Beyer is a sought after speaker due to his ability to deliver complex information about technology products and services in a way that is easily understood. He is a decorated combat veteran of the Global War on Terror, the international military campaign that started following the 9/11 terrorist attacks on the United States. In 2004, he constructed and rehabilitated over 20 schools, clinics, and water treatment plants for the Iraqi people using local contractors. Beyer also holds a Bachelor of Science, a Masters in Business Administration, a Ph.D. in Organization and Management, and a Project Management Professional (PMP) certification.
*'''BIO:''' Abe Megahed is a web developer for the Software Assurance Marketplace. In previous lifetimes, he has been a computer graphics researcher, a game programmer, a programming language and compiler nerd, a dot com company founder, a creator of helicopter simulations, and a developer of 3D simulations for NASA astronaut crew training.
*'''WHEN:''' Tuesday, February 3rd 2015
*'''WHERE:''' Room PK-1140 - UQAM Pavillon Président-Kennedy, 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' https://owaspmtlswamp2015.eventbrite.ca
*'''WEBCAST:''' https://www.youtube.com/watch?v=p4_vjufcB6Q
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer

*'''ACADEMIC PARTNER:''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session: Getting to Know the Software Assurance Marketplace
20:00-... End of the meeting

[[Image:SWAMP-Logo-Final-Med.png|300px|link=https://continuousassurance.org/]]
[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

== OWASP Montréal - 4 décembre - Malware côté serveur — évolution, méthodes d’opération et forensic Linux ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/lo8WDl-WQ3E]] [https://youtu.be/lo8WDl-WQ3E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille]] [https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Marc-Etienne M.Léveillé
*'''RÉSUMÉ:''' Les logiciels malveillants ciblant les serveurs ont évolué. Ils sont utilisés par des groupes de cybercriminels organisés dans le but de faire du profit via des redirections web et l’envoie de pourriels. La présentation portera sur Opération Windigo, une opération malveillante qui a affecté plus de 25 000 serveurs dans le monde. Après une brève description des composantes de Windigo, nous verrons comment les opérateurs déploient leurs logiciels malveillants et surveille leur réseau de serveurs infectés. Des trucs pratiques pour faire de la forensics sur des systèmes Linux seront donnés. Cette présentation est une suite à la présentation "Linux/Cdorked: Server side malware", donnée par Olivier Bilodeau à OWASP Montréal en 2013. La présentation sera en français avec des diapositives en anglais (aka Montreal-style).
*'''BIO:''' Marc-Etienne est un chercheur en logiciel malveillant chez ESET depuis 2012. Il se spécialise dans les logiciels malveillants qui s’attaquent à des plateformes inhabituelles comme aux produits fruités et aux oiseaux nordiques. Dernièrement, il passe beaucoup de son temps à faire la rétro-ingénierie de logiciels malveillants sur des serveurs Linux et s’intéresse à leurs méthodes d’opération. Il adore participer de façon collégiale aux CTFs avec ses amis les CISSP Groupies et jouer de la clarinette. Il tweet très peu à @marc_etienne_.
*'''QUAND:''' 4 décembre 2014 à 18h00
*'''OÙ:''' Local M-1510, Polytechnique Montréal, 2900 Boulevard Edouard-Montpetit
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-4-decembre-malware-cote-serveur-evolution-methodes-doperation-et-forensic-linux-tickets-14635313617
*'''ÉQUIPE ACADÉMIQUE:''' Polyhack - http://polyhack.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Malware côté serveur
19:30-20:00 Période de questions

[[Image:Polyhacklogonoirpetit.png|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]

== OWASP Montréal - October 23rd - XXE : À l’assaut des analyseurs XML ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/MZviLB9-42E]] [https://youtu.be/MZviLB9-42E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau]] [https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Philippe Arteau
*'''RÉSUMÉ:''' L'utilisation d’XML est fortement répandue. Le format est utilisé pour des fichiers de configuration, pour des métadonnées, pour des documents textes, et bien plus. La prise en charge de fichiers XML n’est pas sans risque. La plupart des analyseurs XML ne sont pas sécuritaires par défaut pour le traitement de fichier externe. Cette présentation fera un survol des vulnérabilités de type « Xml eXternal Entity » et de l’étendue des risques pour différents langages de programmation. Plusieurs démonstrations sont prévues.
*'''BIO:''' Philippe est conseiller en sécurité applicative pour le Groupe Technologies Desjardins. Au quotidien, il s’occupe d’effectuer des tests d’intrusions et des revues de code. Il a découvert des vulnérabilités importantes dans plusieurs logiciels populaires incluant Google Chrome, DropBox, ESAPI et Jira.
*'''QUAND:''' 23 Octobre 2014 à 18h00
*'''OÙ:''' École de Technologie Supérieure Local A-3230, 1100 Rue Notre-Dame Ouest, Montréal, QC H3C 1K3
*'''INSCRIPTION:''' http://www.eventbrite.ca/e/owasp-montreal-23-octobre-xxe-a-lassaut-des-analyseurs-xml-tickets-13426881163
*'''PARTENAIRE ACADÉMIQUE:''' ETS - DCI http://dciets.com/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:45 Mot de bienvenue
18:45-19:45 Présentation principale - "À l’assaut des analyseurs XML" Philippe Arteau
19:45-20:00 Période de questions

[[Image:Blason_dci.png‎‎‎|150px|link=http://dciets.com/]]
[[Image:ETS-rouge-devise-impr-fond_transparent.png|150px|link=http://www.etsmtl.ca/]]

== OWASP Montreal - July 24th - Web security for DevOps: the glory is in the headers ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/6bp1NCLT-YQ]] [https://youtu.be/6bp1NCLT-YQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil]] [https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Jonathan Marcil
*'''ABSTRACT:''' DevOps is a buzzword which can be easily demystified: in essence it is a process which aims to combine the development and system administration process into one; Operations. As developers become responsible for server setup, security counter measures are evolving as well. The line between server configuration and application behaviour has been blurred. In this talk we will cover some HTTP headers in regards to security such as CORS, CSP and HSTS. We will demonstrate several forms of attack, and how they can (should) be countered.
*'''BIO:''' Jonathan is devoted to security and specialized in Web application security. His main occupation is consulting in Web security, but deep down he is a developer with a agnostic vision of programming languages. He has a diploma in Software Engineering from Ecole de Technologie Superieure and more than 10 years of experience in Information Technology and Security.
*'''WHEN:''' At noon on July 24th 2014
*'''WHERE:''' 75 Queen Street, office 3100, Montreal, QC H3C 2N6
*'''REGISTRATION:''' You can join us on site for a pizza slice but this is mainly an online event. Contact jonathan.marcil@owasp.org.
*'''WEBCAST:''' https://www.youtube.com/watch?v=6bp1NCLT-YQ
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil
*'''EVENT SPONSOR:''' Pheromone http://www.pheromone.ca/
*'''PROGRAM:'''

12:00-12:10 Welcome and quick OWASP introduction
12:10-13:10 Main presentation - "Web security for DevOps: the glory is in the headers" Jonathan Marcil
13:10-... Open discussion and questions

[[Image:Logo-phero.gif‎|link=http://www.pheromone.ca/]]

== OWASP Montreal - June 18th - Gaps in the Clouds ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz]] [https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Robert Fritz
*'''ABSTRACT:''' Cloud technology offers agility and scaling, and a chance to break away from legacy IT choices. Unfortunately, skipping traditional IT activities often results in poorly patched systems, out of date firewalls, and overprovisioned entitlements wielded by admins whose “day job” is development. Boundaries of accountability and responsibility amongst cloud providers and consumers are confusing, vague, and shift, making security difficult to manage. In such an environment, a “BP-spill” event, where cost wins over safely safety, is likely. This talk will dive down into the cracks between the layers of cloud, and share some of the exciting dirt we have seen and expect to see in coming years.”
*'''BIO:''' Robert Fritz has been practicing security his entire career. Rob started as an Air Force lieutenant at Langley AFB and later at the Pentagon in Washington DC, building and managing classified networks. Finding he was getting too far from technology after a brief stint flying, he left the military to get back to the tech, and built security tools for HP in their HP-Unix lab. Over time he found himself in more and more security design discussions, so co-authored HP’s Commercial Application Threat Analysis Methodology, building an internal consulting practice at HP. This quantitative approach, led to two pending patents, an external-facing consulting practice, and his contributions to NIST IR-7502, the Common Configuration Scoring System (CVSS follow-on). He is the former lead editor for the Center for Internet Security’s HP-UX Benchmark, and current lead for the Android Benchmark. Robert now works for Morgan Stanley as global head of the Strategic Consulting team in the Security Architecture group, and leads the team’s cloud and social-media security practices.
*'''WHEN:''' June 18th 2014
*'''WHERE:''' 700 Rue Wellington, Floor 2, Montreal, QC H3C 3S4
*'''REGISTRATION:''' http://owaspmtl18junems.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz
*'''EVENT SPONSOR:''' Morgan Stanley http://www.morganstanley.com/
*'''PROGRAM:'''

18:00-18:30 Networking and Morgan Stanley Hosted Pizza and Soft Drinks
18:30-18:45 OWASP Chapter & Morgan Stanley Welcome
18:45-19:45 Main presentation - "Gaps in the Clouds" Robert Fritz
19:45-20:00 Open discussion and questions
20:00-... Optional, informal networking at Aziatic - 626 rue Marguerite-d'Youville, Montréal, QC H3C 1W7

[[Image:Morgan_Stanley_Historical_Logo.png|link=http://www.morganstanley.com/]]

== OWASP Montréal - May 26th - Récapitulatif des challenges NorthSec ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/P8_V3RI1Ru4]] [https://youtu.be/P8_V3RI1Ru4 Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''PRÉSENTATEUR PRINCIPAL:''' Laurent Desaulniers
*'''RÉSUMÉ:''' Solutions de la compétition en sécurité NorthSec 2014 sur les sujets de XXE + SSRF, WAF Bypass, Xpath Injection, DOM Injection, HTTP Only Flag bypass et contournement de captchas. Une bonne façon d'apprendre sur ces failles que vous étiez ou non un participant de la compétition.
*'''MESSAGE DU PRÉSENTATEUR:''' Vous voyez Rao dans votre soupe? Vous voulez une solution pour un XSS avec des cookies http only? Les captchas illisibles sont un problème? Assistez à la présentation de l'OWASP!
*'''BIO:''' Laurent Desaulniers est un passionné de sécurité informatique. Il a présenté au Hackfest, au colloque RSI, à OWASP et est challenge designer à NorthSec. M. Desaulniers détient les certifications CISSP, CISM, CISA et OSCP.
*'''QUAND:''' 26 mai à 18h00
*'''OÙ:''' Local PK-1140 - Pavillon Président-Kennedy 201, Avenue du Président-Kennedy, J2X 3Y7
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-26-mai-recapitulatif-des-challenges-northsec-tickets-11724413035
*'''WEBCAST:''' https://www.youtube.com/watch?v=P8_V3RI1Ru4
*'''ÉQUIPE ACADÉMIQUE''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Récapitulatif des challenges NorthSec
19:30-20:00 Période de questions

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== Networking with infosec communities - April 21st ==

[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''RÉSUMÉ:''' En collaboration avec Montréhack, mtlsec et NorthSec, nous organisons une soirée réseautage dans un pub du centre-ville. Du plaisir garanti avec les membres de plusieurs communautés infosec de Montréal!

*'''ABSTRACT:''' In collaboration with Montréhack, mtlsec and NorthSec, we are organizing a networking evening in a pub downtown. Fun guaranteed with the other security communities in Montreal!

*'''QUAND:''' 21 Avril 2014
*'''WHEN:''' April 21st 2014

*'''OÙ/WHERE:''' BENELUX - Brasserie Artisanale 245 Sherbrooke St W Montreal, QC H2X 1X7

*'''INSCRIPTION/REGISTRATION:''' https://www.eventbrite.ca/e/montrehack-avril-april-northsec-pre-party-tickets-11232307133

*'''PARTENAIRES/PARTNERS:''' Montréhack http://montrehack.ca/ - mtlsec http://blog.mtlsec.com/ - NorthSec https://www.nsec.io/
*'''PROGRAMME:'''
18:00-21:00 Networking
21:00-23:59 Remember to drink responsibly!

== OWASP Montréal - March 27th - Panel Compétition en sécurité NorthSec ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

'''Présentation sous forme de panel - venez poser vos questions!'''

*'''RÉSUMÉ:''' Les compétitions de type Capture the Flag (CTF) sont un moyen pour les professionnels et amateurs de sécurité informatique de mettre leurs talents à l'épreuve. NorthSec est une compétition Montréalaise annuelle en sécurité appliquée, qui aura lieu cette année au Marché Bonsecours de Montréal le 25, 26 et 27 avril prochain. Elle vise à augmenter le niveau technique des professionnels de la sécurité au Québec, ainsi que de permettre à ses acteurs les plus talentueux de se démarquer.
*'''DÉTAILS:''' Le panel de jeudi, sous la forme d'un échange convivial entre les organisateurs de l'évènement et de ses participants, abordera des thèmes variés comme l'écriture de bon défis, l'infrastructure, la logistique, les inattendus, un bilan de 2013 et tout ça en passant par de savoureuses annecdotes (on l'espère). Venez en grand nombre toucher à ces légendes de la scène infosec montréalaise!
*'''PANÉLISTES:''' Gabriel Tremblay, François Proulx, Laurent Desaulniers, Stéphane Graber
*'''ANIMATEUR:''' Olivier Bilodeau
*'''QUAND:''' 27 mars 2014
*'''OÙ:''' Salle M-1510, École Polytechnique de Montréal, 2500 chemin de Polytechnique, Montréal (Québec) H3T 1J4, pavillon Lassonde
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-27-mars-panel-competition-en-securite-northsec-tickets-10918436337
*'''ÉQUIPE ACADÉMIQUE:''' Polytechnique - Polyhack http://polyhack.org/
*'''PROGRAMME:'''
18:00-18:25 Networking
18:25-18:30 Mot de bienvenue par le leader du chapitre (Jonathan Marcil)
18:30-20:00 Présentation principale : Panel NorthSsec

[[Image:Polyhack.png‎‎|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== OWASP Montreal - February 25th - Proven Strategies for Web Application Security ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane]] [https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Justin C. Klein Keane
*'''ABSTRACT:''' The rising dominance of the web as an application delivery platform has focused attacker attention squarely on the security of dynamic web applications. Application security is a complex, and shifting, field. Learn about tested and successful techniques to build safer applications, find flaws before they become vulnerabilities, and deploy applications that can detect, and resist attack.
*'''BIO:''' Justin C. Klein Keane is a security engineer and chapter leaders of OWASP in Philadelphia. For over a decade Justin has worked as a trainer, coder, and exploit developer. Justin is currently writing a book for NoStarch Press on hacking, speaks regularly at conferences, holds a masters degree in information technology from the University of Pennsylvania and is credited with hundreds of application vulnerability discoveries.
*'''WHEN:''' February 25th 2014
*'''WHERE:''' Ecole de technologie superieure, 1100 Notre-Dame Street West, Montreal, Room: A-1150
*'''REGISTRATION:''' http://owaspmtljan2014.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane
*'''ACADEMIC PARTNER:''' ETS - DCI http://dciets.com/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session and open discussion: Proven Strategies for Web Application Security
20:00-... End of the meeting in a pub

[[Image:Dciets.png‎‎‎|100px|link=http://dciets.com/]]
[[Image:Logo_ets.png|link=http://www.etsmtl.ca/]]

== OWASP Montreal - January 28th - Latest trends in Mobile Security ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/8qPyKj4FKgY]] [https://youtu.be/8qPyKj4FKgY Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx]] [https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Francois Proulx
*'''ABSTRACT:''' Last AppSecUSA 2013 had a great line up of talks, especially regarding mobile applications. This session will be covering all the hottest presentations about mobile security by doing an overview from what see saw at AppSecUSA, all with some slides and snippets of presentations that was recorded at the event. Discussion will be encouraged within the audience as this will be more a dynamic event than a regular talk.
*'''BIO:''' François Proulx is a senior mobile application developer who has worked on dozens of iOS applications since the very beginning of the Apple iOS platform. Over the past few years he has switched his focus to security. He spends a lot of his free time participating in Capture the Flag events (CTFs) and organizing the NorthSec security competition.
*'''WHEN:''' January 28th 2014
*'''WHERE:''' UQAM Room PK-1705, Pavillon Président-Kennedy (the big boat at Place des Arts) - 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' http://owaspmtl-mobilesecurity.eventbrite.ca
*'''SLIDES/CONTENT:''' [http://www.youtube.com/playlist?list=PLQtB2ug5xmvaQ9jeRWV53-F_T555GQfhW YouTube playlist]
*'''SPONSOR:''' Academic partner AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan M.)
18:30-20:00 Main session and open discussion: Mobile Security
20:00-... End of the meeting in a pub

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

==== Presentations For Download ====

[http://www.owasp.org/images/0/0d/20100209mstechdaysowaspasvssgiv01-12657916463819-phpapp02.ppt OWASP ASVS] by Sebastien Gioria (09/03/2010)

[http://www.ph-il.ca/slides/afup__authetification_forte.pdf Authentification Forte] by Philippe Gamache (02/02/2010)

[http://www.opensamm.org/downloads/OpenSAMM-1.0.ppt Software Assurance Maturity Model (OpenSAMM)] by Pravir Chandra (03/11/2009)

[http://www.owasp.org/images/d/de/Owasp-montreal-sept-17h-2009-justin-foster.pdf Crossing the Border – Javascript Exploits] by Justin Foster (17/09/2009)

[http://www.owasp.org/images/c/c2/ALaughRIAt.pdf A Laugh RIAt] by Rafal Los (07/04/2009)

[https://www.owasp.org/images/e/eb/OWASP-Montreal-24022009-RobLabbe.pptx Microsoft Security Development Lifecycle for IT] by Rob Labbe (24/02/2009)

[https://www.owasp.org/images/3/39/OWASP-Montreal-24022009-EN.pdf OWASP Goal and Top Ten 2007 for Managers - French version] by Benoit Guerette (24/02/2009)

Newer presentations are available on [https://speakerdeck.com/owaspmontreal Speaker Deck]

[[Image:Circle_owasp_logo_nowhitebackground.png|200px]]

= OWASP Foundation / Mission OWASP =
OWASP Foundation ([https://docs.google.com/a/owasp.org/presentation/d/10wi1EWFCPZwCpkB6qZaBNN8mR2XfQs8sLxcj9SCsP6c/edit?usp=sharing Overview Slides]) is a professional association of [[Membership | global members]] and is open to anyone interested in learning more about software security. Local chapters are run independently and guided by the [[Chapter_Leader_Handbook]]. As a [[About_OWASP | 501(c)(3)]] non-profit professional association your support and sponsorship of any meeting venue and/or refreshments is tax-deductible. Financial contributions should only be made online using the authorized online chapter donation button. To be a SPEAKER at ANY OWASP Chapter in the world simply review the [[Speaker_Agreement | speaker agreement]] and then contact the local chapter leader with details of what OWASP PROJECT, independent research or related software security topic you would like to present on.

La fondation OWASP est une [https://www.owasp.org/index.php/Membership association de professionnels] et elle est ouverte à tout intervenant intéressé à en apprendre davantage sur la sécurité applicative. Les chapitres locaux (dont celui de Montréal) sont gérés de façon indépendante et selon un [https://www.owasp.org/index.php/Chapter_Leader_Handbook manuel de directives à respecter].
Toute contribution financière au chapitre peut être faite en ligne en utilisant l’icône prévu à cet effet. Pour être conférencier au sein de n’importe quel chapitre à l’échelle mondiale, vous n’avez qu’à prendre connaissance du document [https://www.owasp.org/index.php/Speaker_Agreement "entente avec les conférenciers – speaker agreement"] et à joindre le responsable du chapitre Montréal avec un descriptif du sujet que vous aimeriez aborder et s’il est relié à un projet OWASP, à de la recherche indépendante ou encore le sujet en particulier, concernant la sécurité applicative, que vous souhaitez aborder.

== [[Image:Circle_owasp_logo_nowhitebackground.png|128px]] Montreal OWASP Team ==

Scope of the team is to discuss and plan local activities and meetings

=== Chapter Leaders ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique

==== Chapter leader history ====
*2008-2010 - Benoit Guerette, founder and chapter leader
*2011-2012 - Philippe Gamache, chapter leader (vice chapter-leader since 2010)
*2013-2015 - Jonathan Marcil, chapter leader
*2016-... - Anne Gauthier, Michel Bourque, Marius Popescu, Hugo Genesse, Olivier Arteau

==== Old board members ====
*Philippe Pépos Petitclerc
*Michael Robillard
*Benoit Guerette (logistics 2015)
*Alexandre Rimthong
*Mathieu Binette
*Sean Coates
*Jean-Marc Robert
*Philippe Blondin
*Benoit Guerette (founder)
*Laurent Desaulniers
 

<headertabs/>
__NOTOC__
[[Category:Canada]]

File:Security testing hybrid approach-r 4.jpg

2017-08-14T20:56:51Z

Svieg:

Montréal

2017-08-14T20:25:23Z

Svieg: Adds a lot of details to the conferences we did this year and also adds the one that happened in June

== Welcome & Bienvenue to the OWASP Montréal chapter ==
 
[[Image:OWASP-Montreal-Logo.png|Logo OWASP Montréal]]

The OWASP Foundation was established in 2001 as an open community and software security resource. Since then, OWASP has grown to be globally recognized as a credible source for application security standards. 
OWASP is an open community dedicated to enabling organizations to conceive, develop, acquire, operate, and maintain applications that can be trusted. All of the OWASP tools, documents, forums, and chapters are free and open to anyone interested in improving application security. We advocate approaching application security as a people, process, and technology problem because the most effective approaches to application security include improvements in all of these areas. 
OWASP is open to anyone. Anyone can attend OWASP's vendor agnostic local chapter meetings, participate in regional and global conferences, and contribute to the many OWASP projects. And anyone can start a new project, form a new chapter, or lend their expertise to help an OWASP Global Committee. 
On parle français aussi ! Le chapitre de Montréal organise plusieurs activités gratuites afin de partager les connaissances en sécurité applicative avec la communauté de développeurs et gestionnaires. Suivez-nous sur les réseaux sociaux pour connaître les dates des conférences du midi et des workshops ! 

Top documentation from OWASP includes:

* [https://www.owasp.org/index.php/Top_10_2013-Top_10 OWASP TOP 10 : The Ten Most Critical Web Application Security Risks]

* [https://www.owasp.org/images/3/33/OWASP_Application_Security_Verification_Standard_3.0.1.pdf OWASP ASVS : Application Security Verification Standard]

* [https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf OWASP Testing Guide : Penetration Testing Framework ]

* [https://www.owasp.org/images/7/78/OWASP_AlphaRelease_CodeReviewGuide2.0.pdf OWASP Code Review Guide : Source Code Analysis Framework ]

* [https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series OWASP Cheat Sheet : Best practices guidelines for developers ]

* [https://www.owasp.org OWASP Global ]

=== Chapter Leaders / Responsables du chapitre ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique
 
Special thanks to / Remerciements :
* Simon Lacasse, Web content / Site internet

== Reach our chapter / Joindre le chapitre ==

Follow OWASP's Montreal chapter's activities through social medias, register to events, watch the previous presentations and more!

Suivez les activités du chapitre OWASP Montréal via les réseaux sociaux, inscrivez-vous aux activités, visualisez les anciennes présentations et plus encore!

 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Click here] to join the local chapter mailing list.
 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Inscrivez-vous ici] à la liste de courriels du chapitre afin de recevoir les dernières nouvelles!

Want to be part of the community ?
Devenez membre de notre communauté !
[https://www.owasp.org/index.php/Membership_Map Click here / Cliquer ici]

[[Image:Eb_press_little.gif‎|OWASP Montreal Eventbrite|link=http://owaspmontreal.eventbrite.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Yt-brand-standard-logo-630px.png‎|128px|YouTube OWASP Montreal Channel|link=http://www.youtube.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Speakerdecklogo.png‎|Slides of OWASP Montreal on SpeakerDeck |link=https://speakerdeck.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]

 
[[Image:Twitter-bird-cropped-onwhite.png|@owaspmontreal on Twitter|link=https://twitter.com/owaspmontreal]]
[[Image:FacebookSquareLogo.png|OWASP Montreal Facebook page|link=https://www.facebook.com/owasp.montreal]]
[[Image:LinkedinSquareLogo.png|OWASP Montreal on LinkedIn|link=https://www.linkedin.com/groups/1379007/profile]]

[[Image:Spacer-horiz.gif‎]]

== Sponsorship & Membership / Commandite & Adhésion ==

[[Image:Btn_donate_SM.gif|link=http://www.regonline.com/donation_1044369]] to this chapter or become a local chapter supporter.

Or consider the value of [[Membership | Individual, Corporate, or Academic Supporter membership]]. Ready to become a member? [[Image:Join_Now_BlueIcon.JPG|75px|link=https://myowasp.force.com/]]

[http://www.regonline.com/donation_1044369 Donnez] au chapitre ou devenez commanditaire du chapitre local!

[https://myowasp.force.com/ Devenez membre !] Pour en savoir davantage sur les avantages d’une adhésion individuelle, corporative ou en tant qu’institution d’enseignement, [https://www.owasp.org/index.php/Membership cliquez ici].

[[Category:OWASP Chapter]]

== Chapter Supporters / Commanditaires du chapitre ==

[https://www.owasp.org/images/9/91/OWASP_Membership_Flyer_Montreal.png All details available here / Pour tous les détails ] [[File:Chapter-supporter-owasp-montreal.png|200px|link=https://www.owasp.org/images/9/91/OWASP_Membership_Flyer_Montreal.png]]

=== Platinum / Platine ===

[[Image:Gosecure-2.png|GoSecure|link=http://www.gosecure.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[File:Desjardins2-400x400.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 
 

=== Gold / Or ===

[[Image:ImmunioLogo.jpg|Immunio|link=https://www.immun.io/]]

 
 
 

= Lunch & Learn / Workshops 2017 =

== Cas d'attaques vécus : Internet des objets (IOT) - Attaques DDoS ==

[[Image:Cas_dattaques_vecus-r.jpg ]]
 
WHEN
June 19th 2017
WHERE
Espace Desjardins

Pour clore la saison printanière 2017, OWASP Montréal est fier d'accueillir au Midi Conférence, M. Christian Shink qui fera un survol de cas d'attaques vécus, des techniques utilisées et des acteurs impliqués dans ces attaques. 
L'incorporation généralisée de dispositifs «intelligents» dans les objets de la vie de tous les jours modifie la façon dont les gens et les machines interagissent les uns avec les autres. Cette incorporation offre une promesse d'une meilleure qualité de vie, une meilleure efficacité. En contrepartie, leur déploiement introduit également des vulnérabilités à la fois dans l'infrastructure qu'ils soutiennent et sur lesquels ils comptent, ainsi que dans les processus qu'ils guident. Que ce soit au niveau applicatif ou des infrastructures, ces vulnérabilités sont exploitées par des acteurs malicieux pour générer des attaques de déni de service massives et sophistiquées. Nous tenterons également de tirer des leçons afin de tenter de minimiser ce type d'attaques dans le futur. 
Christian Shink possède plus d’une dizaine d’années d’expérience en développement et sécurité d’applications. Avant de se joindre à Radware, Christian était à l’emploi d'une firme conseil où il a conseillé de nombreuses entreprises, dont de grandes banques américaines et Casinos. Il détient une certification CSSLP et est membre de l'ordre des ingénieurs du Québec.
 

== HOW TO! Threat Modeling Toolkit ==

[[Image:OWASPMtl-JonathanMarcil-1.jpg]]
[[Image:OWASPMtl-JonathanMarcil-3.jpg]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit]] [https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit See the slides / Voir la présentation]
 
WHEN
May 23rd, 2017
WHERE
Shopify Montreal

Threat Modeling is a great way to analyze security early in software development by structuring possible attacks, bad actors and countermeasures over a broad view of the targeted system. This talk will describe basic components of a threat model and how to use them effectively.
Threat Intelligence is where you gather knowledge about the environment and business assets to determine what are the actual threats. But how do you reconcile that with the current architecture in a useful manner?
The toolkit presented in this talk will enable you to systematically structure related information using graphical notations such as flow diagram and attack tree. In case you are wondering where to start in your organization, a quick lightweight risk rating methodology will also be proposed.
And in the end, you’ll see how we can all tie those together and get threat modeling to a point where it’s an efficient application security activity for communication. Doing this will prevent security reviews from missing important things even when chaos prevails during the realization of a project.
Modeling concepts will be demonstrated with an actual IoT device used as example.
Presentation will be done in english.

Speaker Bio:
Jonathan Marcil is the former chapter leader of OWASP Montreal and is now Senior Application Security Engineer at Blizzard Entertainment in beautiful Orange County, California.
Jonathan has been involved with OWASP for many years and has been behind the Media Project which gathered and promoted AppSec conferences video content in the official OWASP YouTube channel. He was also part of NorthSec CTF event as a challenge designer specialized in Web and imaginative contraptions.
He is passionate about Application Security and enjoys architecture analysis, code review, threat modeling and debunking security tools. He holds a diploma in Software Engineering from ÉTS Montreal and has more than 15 years of experience in Information Technology and Security.

Merci à nos précieux commanditaires !

== Security Testing: Unlocking the Benefits of a Hybrid Approach ==
[[Image:Security_testing_hybrid_approach-r_3.jpg ]]
[[Image:Security_tessting_hybrid_approach-r_2.JPG ]]
 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/hybrid-approach-to-security-testing]] [https://speakerdeck.com/owaspmontreal/hybrid-approach-to-security-testing See the slides / Voir la présentation]
 
WHEN
April 24th, 2017
WHERE
Espace Desjardins

As part of their defensive efforts, businesses commonly commission cybersecurity assessments of their web applications; with the aim of identifying any weaknesses in the security controls and ensuring a continually strong cybersecurity posture of their systems.

The classical approach of either secure code review (white box) or penetration testing (black box) assessment have proven to be effective in securing of web applications. The new trend, however, is moving towards the combination of these two approaches; expert consensus is rapidly recognizing the advantages of using a hybrid approach. When applied properly, a hybrid approach can build on the strengths of both white and black box testing, while compensating for their individual shortcomings.

In this presentation, we will examine the details of secure code review and penetration testing, and run demos to contrast their respective strengths and weaknesses. We will also examine why a hybrid approach can produce more complete and relevant assessment results. To conclude, we will cover proven approaches, and practical techniques, on how you can start leveraging a hybrid approach to web application assessments today.

Anne Gauthier is an application security analyst at GoSecure. Anne is also the president of the Montreal Chapter of OWASP – the industry standard for web application security. With a penetration testing background, she specializes in secure code reviews and in helping companies to improve their software development lifecycle (SDLC) according to industry best practices. Anne is CSSLP, GWAPT and GSSP-JAVA certified. She obtained a Software Engineering bachelor’s degree from Ecole de Technologie Supérieure in Montréal and is now pursuing a Master of Engineering (MEng) degree in Information Systems Security at Concordia University. She is the author of the Project 201 Security blog.

Merci à nos précieux commanditaires !

== "HOW-TO" NIGHT ! Tout sur les CTFs (Capture The Flag) ==

[[Image:Howto_ctf.jpg]]
 
[[Image:Presentation-link.png | Slides | link=https://docs.google.com/presentation/d/1zEsCcX-Nvq8Nz0k-B1zHejCDNT2oGZx8oUBgMbvvMM0/edit#slide=id.p ]] [https://docs.google.com/presentation/d/1zEsCcX-Nvq8Nz0k-B1zHejCDNT2oGZx8oUBgMbvvMM0/edit#slide=id.p See the slides / Voir la présentation (Laurent Desaulniers)]
[[Image:Presentation-link.png | Slides | link=https://docs.google.com/presentation/d/1c1P1d2mKe767j1Y0V9cK6De5cpnK4I7GI-ORiodbg1A/edit#slide=id.p ]] [https://docs.google.com/presentation/d/1c1P1d2mKe767j1Y0V9cK6De5cpnK4I7GI-ORiodbg1A/edit#slide=id.p See the slides / Voir la présentation (Charles Hamilton)]
[[Image:Presentation-link.png | Slides | link=http://obilodeau.github.io/slides/2017-04-04_how-not-to-suck-at-ctfs/ ]] [http://obilodeau.github.io/slides/2017-04-04_how-not-to-suck-at-ctfs/ See the slides / Voir la présentation (Olivier Bilodeau)]
 
WHEN
April 4th, 2017
WHERE
Shopify

Cette nouvelle soirée "How-To" Night d'OWASP Montréal vise à présenter les CTFs (une compétition Capture The Flag) et aider les équipes à démarrer et à continuer à évoluer dans leurs pratique de la cyber sécurité pratique. L'objectif est d'outiller les participants en leur fournissant des ressources techniques et des contacts afin de les aider à progresser.

Les éléments discutés seront:

- Composition optimale d’une équipe : Fonctionnement d’une équipe de CTF et les principaux rôles (chef d’équipe, cryptographie, application web, rétro ingénierie et les causes perdues).

- Pourquoi faire des CTFs? Discussion sur les différents styles (jeopardy, attack/defense, etc.), quels sont les problèmes fréquemments rencontrés + plusieurs anecdotes intéressantes (et drôles).

- Trucs de Mr. Unikoder : Le créateur du fameux site ringzer0team, soit un des plus gros sites pour apprendre la résolution de problèmes de CTF (https://ringzer0team.com/) Apprenez des trucs du meilleur, sur comment débuter et interpréter un challenge web, binaire et crypto avec des trucs réels du métier.

Matériel requis :

Votre légendaire enthousiasme

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement.

Présentateurs :

Charles Hamilton, Senior Consultant chez Mandiant, FireEye, Inc.

Olivier Bilodeau, Cybersecurity Research Lead at GoSecure

Laurent Desaulniers, Senior Security Solution Specialist at Bell Canada

== NorthSec - Applied Security Event ==
[[Image:Nsec_2017_midi_conf.jpg]] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/northsec-applied-security-event]] [https://speakerdeck.com/owaspmontreal/northsec-applied-security-event See the slides / Voir la présentation]
 
WHEN
April 4th, 2017
WHERE
Espace Desjardins

NorthSec: La plus grande compétition et conférence en cyber sécurité au Canada

NorthSec est un organisme sans but lucratif qui organise une conférence et une compétition de sécurité de type "Capture-The-Flag" (CTF) et des formations. Avec plus de 400 participants présents sur le site pour la compétition, c’est la plus grande compétition du genre au monde.

La conférence, dans sa 3e année, attire des présentateurs internationaux avec du contenu technique exclusif. L’ajout des séances de travail (workshops) devrait plaire aux plus chevronnés des binaires.

Des formations de 3 jours sont offertes avant la conférence: "Advanced Web Application Security" par Philippe Arteau et "Malware and Memory Forensics" par Michael Ligh, co-auteur des livres "Malware Analyst Cookbook" et "The Art of Memory Forensics".

NorthSec est situé au Marché Bonsecours dans le Vieux-Port de Montréal au printemps du 15 au 21 mai 2017.

La présentation couvrira:

- Le plan pour 2017 
- Ce qui différencie NorthSec 
- Comment équilibrer une compétition pour les débutants et les experts 
- Comment bâtir une infrastructure basée sur les conteneurs qui gère 50 équipes dans quelques serveurs sans qu’ils ne se partagent de machines virtuelles 
- Comment faire du pain au levain à grande échelle 
- Présentation de quelques défis et solutions 

Les présentateurs:

- Gabriel Tremblay, Président, Delve Labs 
- Olivier Bilodeau, VP Formations, Co-fondateur MontréHack, GoSecure 
- Pierre-David Oriol, VP Conférences, Delve Labs 
- Benoit Guérette, VP Partenaires, Desjardins 
- Laurent Desaulniers, Tisserand de drapeaux, Bell Canada 

Merci à nos précieux commanditaires !

== Sécurité des applications : Les fondements ==
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/securite-des-applications-les-fondements]] [https://speakerdeck.com/owaspmontreal/securite-des-applications-les-fondements See the slides / Voir la présentation]
 
WHEN
March 20th, 2017
WHERE
Espace Desjardins

OWASP Montréal est fier d’accueillir au Midi Conférence du mois de mars, Mme Tanya Janca, Co-Leader du chapitre OWASP Ottawa et spécialiste de la sécurité applicative au sein du Gouvernement fédéral.

La conférence « Les fondements de la sécurité des applications » sera présentée en anglais.

Session Description : Everyone has heard about the problem; everyone is “getting hacked”. But what is the answer? From scanning your code with a vulnerability scanner to red teaming exercises, developer education programs and bug bounties, this talk will take the audience through all the possibilities of an extensive application security program, with a detailed explanation of each part.

Bio : Tanya Janca is an application security evangelist, a web application penetration tester and vulnerability assessor, a secure code reviewer, an ethical hacker, the Co-Leader of the OWASP Ottawa chapter, and has been developing software since the late 90’s. She has worn many hats and done many things, including; Custom Apps, Ethical Hacking, COTS, Incident Response, Enterprise Architect, Project and People Management, and even Tech Support. She is currently helping the Government of Canada secure their web applications.

Merci à notre commanditaire principal de cet événement: Ubitrak!

== WORKSHOP ! Server Side Template Injection (SSTI) ==

[[Image:Workshop-okiok-SSTI-r.jpg | WORKSHOP ! Server Side Template Injection (SSTI) ]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti]] [https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti See the slides / Voir la présentation]

WHEN
22 Février 2017
WHERE
Shopify Montréal

OWASP Montreal vous invite à un atelier portant sur la sécurité des applications web supportant les moteurs de template (Template Engine). Le principe de séparation entre la présentation du site (code HTML statique) et de son contenu dynamique facilite la création de documents HTML et la capacité à modifier l'apparence du site sans mélanger le traitement et le rendu de la page. L'utilisation de moteurs de template amène de nouveaux enjeux de sécurité. Les vulnérabilités de type Server Side Template Injection (SSTI) sont exploitables à travers les données (non fiables) fournies par l'utilisateur et conduisent à l'exécution de code arbitraire (RCE) sur le serveur hébergeant l'application web. 

Ce workshop a pour but d'introduire cette classe de vulnérabilité à travers différents cas d'implémentation (php, java, python).
Nous verrons comment identifier et exploiter ces vulnérabilités et de quelle manière un attaquant peut
s'y prendre pour exécuter du code arbitraire sur le serveur afin d'en prendre le contrôle. 

Niveau : Intermédiaire 
Matériel requis :
* Votre portable
* Votre distribution Linux/Unix de votre choix
* Votre proxy Web de votre choix

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.
Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.
Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement. 

Présentateur : Gérôme Dieu 
Gérôme Dieu cumule plus de 7 années d’expérience en technologies de l’information et en sécurité.
Il œuvre à titre de conseiller senior en sécurité de l’information au sein de la firme OKIOK. Ces dernières années, il a acquis une expertise dans le domaine de la sécurité des applications web aussi bien d'un point de vue offensif que défensif. En plus de réaliser des tests d’intrusion pour des clients internationaux, Gérôme s’implique dans la recherche et développement afin de maintenir à la fine pointe de la technologie les tests d'intrusion et d'analyse de vulnérabilités. 

Merci à Shopify d'héberger l'événement ! 
[[Image:Shopify Logo-r.png| Shopify | link=https://www.shopify.com/]]
== Le courriel en 2017 – risques et menaces pour tous ==

[[Image:Zero spam 2.jpg|Le courriel en 2017 – risques et menaces pour tous]]

[[Image:Video-link.png | Link to video | link=https://www.youtube.com/watch?v=HX2vcijcCWw ]] [https://www.youtube.com/watch?v=HX2vcijcCWw Watch the conference / Regarder la conférence ] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

WHEN
Le 23 janvier 2017 à midi
WHERE
Espace Desjardins

Monsieur Poellhuber nous brossera un tableau du phénomène grandissant du rançongiciels et de l'hameçonnage, personnification. 

- Par les années passées, la menace courriel se résumait principalement en un fort volume de contenu simplement indésirable. Aujourd’hui la menace a passablement évolué. Quels sont les véritables risques actuels associés au courriel ? Rançongiciels, hameçonnage, personnification. Cette conférence présentera les nouveaux défis de sécurité pour les organisations qui doivent composer avec des attaques de plus en plus sophistiquées et de plus en plus ciblées tout en protégeant leur réputation. Des exemples biens réels, drôles et moins drôles seront disséqués pour bien dessiner l’ampleur de l’enjeu. 

M. David Poellhuber, Chef de l’exploitation, ZEROSPAM Sécurité Inc 

Note biographique : 
Monsieur David Poellhuber oeuvre dans l’industrie de la sécurité informatique depuis quinze ans. Il a été conférencier dans plusieurs forums de sécurité au Canada et est maintenant reconnu comme une autorité en matière de sécurité du courriel. Il a fondé ZEROSPAM Sécurité en 2003, le premier service Québécois externalisé de sécurité du courriel infonuagique qui se distingue par sa convivialité, son efficacité et ses technologies de détection proactives. 
Audience : Généralistes et spécialistes de la sécurité des TI
 
Merci à Ubitrack pour le repas et à Desjardins d'héberger l'événement!

[[Image:Ubitrak-r2.jpg|Ubitrak|link=http://www.ubitrak.com/fr/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]

== Effective XSS Mitigation ==

[[Image:XSS mitigation.jpg | Effective XSS Mitigation ]]

[[Image:Presentation-link.png | Slides| link=http://slides.com/olivierarteau/xss-mitigation ]] [http://slides.com/olivierarteau/xss-mitigation See the slides / Voir la présentation]

WHEN
18 Janvier 2017
WHERE
Google Montréal

FRANÇAIS/ENGLISH 
La mitigation de XSS a été un sujet important au cours des dernières années. Les navigateurs ont implémenté, en autre, deux fonctionnalités pour mitiger leur impact : l'entête "XSS-Protection" et l'entête "Content-Security-Policy". Par contre, obtenir une mitigation contre les XSS efficace est souvent plus complexe que l'on pense. Cet atelier couvrira les deux entêtes. Il expliquera comme il est possible de contourner ces protections et ce qu'il est possible de faire pour se protéger. Des exercices de type "offensif" et "défensif" seront proposés.
Mitigation for XSS as been an important topic in the last few years. Browsers have implemented two main functionalities to help mitigate the impact of XSS : the "XSS-Protection" header and the "Content-Security-Policy" header. But, getting an effective XSS mitigation of those headers is trickier than it may seem. This workshop will cover both of those headers. It will explain how bypass of those protection work and what you can do about it. It will have both "defensive" exercises and "offensive" exercises.
Niveau : débutant/intermédiaire
 
Matériel requis :

Votre portable 

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Google pour l'événement.
 
Présentateur : Olivier Arteau
 
Olivier Arteau est un professionnel en sécurité informatique depuis quelques années et fait partie de l’équipe de test d’intrusion de Desjardins. Il est aussi un amateur de CTF qui a gagné à plusieurs reprises le CTF du NorthSec avec l’équipe HackToute et participe fréquemment à d’autres CTF avec l’équipe DCIETS.
 

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

= Lunch & Learn / Workshops 2015-2016 =

== WORKSHOP ! Top 10 OWASP - Unleash the threats ==

[[Image:Workshop-top10.jpg | WORKSHOP! Top 10 OWASP - Unleash the threats ]]

WHEN
30 novembre 2016 de 17h30 à 20h30
WHERE
Immunio @ WeWork

De nos jours, la sécurité applicative est essentielle dans l’écosystème des entreprises de toutes tailles. Les vecteurs d’attaques sont multiples, les vulnérabilités de sécurité dans les applications peuvent être désastreuses et les impacts d’un « Hack » peuvent être irréversibles pour l’entreprise; vols de données sensibles, perte de réputation, perte de $$$$$, etc.
L’objectif du workshop est de comprendre la base sur les vulnérabilités de sécurité dans les applications et les techniques d’exploitation utilisées par les pirates informatiques, en plus de connaître les bonnes pratiques de développement en matière de sécurité applicative.
Avec l'aide de WebGoat, Damn Vulnerable Web Application et de Kali Linux, vous pourrez participer
à l'exploitation des applications et découvrir les techniques utilisées par les attaquants.

Niveau : débutant

Matériel requis :
Votre portable
Kali Linux
La VM du workshop, envoyée aux participants

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places très limitées (nb = 10). Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Immunio & WeWork pour l'événement.

Présentateur : Christian Leclerc

Christian est spécialisé en conception et développement de solutions web sécuritaires. Tout au long de sa carrière, il a acquis une vaste expertise sur plusieurs types de technologies et méthodologies, intégré la sécurité dans le cycle de développement d’applications, effectué des revues de code sécurité, déployé des outils d’analyse des vulnérabilités et mis en place des systèmes d’authentification. De plus, il a participé à la conception et au développement de solutions sécuritaires de pointe comme la signature électronique à l’aide d’une infrastructure à clé publique (PKI), les authentifications fortes, le Registre des consentements au don d'organes et de tissus (RDOQ.org) et la migration de plusieurs applications web vers un environnement SOA (Service Oriented Architecture).
 Merci à Immunio & WeWork d'héberger l'événement! 

[[Image:Immunio-horizontal-r.png|Immunio|link=https://www.immun.io/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Wework-r.jpg|WeWork|link=https://www.wework.com/]]
 

== Histoire d'un Hack ==

[[Image:Histoire-dun-hack-r.jpg | Histoire d'un Hack ]]

WHEN
21 novembre 2016 à midi
WHERE
Espace Desjardins

Pour son activité du mois de novembre, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de faire l'autopsie d'une attaque de haute voltige sur un site web et des outils mis à la disposition par OWASP.

Bernard Bolduc cumule plus de 17 années d’expérience en technologies de l’information et en sécurité. Il œuvre à titre de conseiller senior en sécurité de l’information au niveau d’entreprise de classe nationale et internationale.

Bernard se spécialise en sécurité Unix, applicative et en gestion de la sécurité des télécommunications. Il combine ces expertises techniques afin d’obtenir des résultats probants et efficaces pour ces clients des secteurs bancaire, télécommunication et multimédias, de l’énergie ou des services publiques. Tout au long de sa carrière, Bernard s’est toujours maintenu à jour sur les dernières menaces de sécurité technologique et commerciale en assistant à des formations spécialisées et d'échanger avec un grand nombre de partenaires dans l'industrie de la sécurité.

La conférence débute à midi.

La conférence vous donne droit à 1 CPE et pour les 50 premières personnes, un lunch gratuit.

Merci à Desjardins d'héberger l'événement!

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite) ==

[[Image:Workshop-zap-mix.jpg | Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite)]]

WHEN
11 novembre 2016 de 18h à 21h

WHERE
Google Montréal

OWASP Zed Attack Proxy (ZAP) est un scanneur de vulnérabilités et un outil de débogage HTTP. Ce type d'outil est crucial dans un test d'intrusion web et contient un lot intéressant de fonctionnalités. Cela dit, il est possible d'étendre les fonctionnalités. Plusieurs types d'extension sont possibles : vue alternative pour les requêtes ou les réponses, scanneur passif des réponses, scanneur actif produisant des requêtes, etc.

Plusieurs options seront données, par exemple :

Détection automatique de flag dans les sources
Scanneur actif asynchrone DNS
Ou votre propre idée

Pour chacune des suggestions, des squelettes de code seront fournis pour les APIs de ZAP. Pour les utilisateurs de BurpSuite, des directives analogues seront également données.

Niveau : débutant / intermédiaire

Matériel requis

Votre portable
[https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project OWASP ZAP (gratuit)]
[https://portswigger.net/burp/download.html BurpSuite]
Éditeur de code pour Java, Python ou Ruby

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Présentateur : Philippe Arteau

Philippe est un chercheur en cybersécurité chez GoSecure. Il est l'auteur de l'outil d'analyse statique Java "Find Security Bugs". Il a découvert des vulnérabilités importantes dans les logiciels populaires tels que Google Chrome, Dropbox, Paypal, RunKeeper et Jira. Il a présenté dans différentes conférences incluant Black Hat USA, Black Hat Europe, ATL Sec Con, NorthSec, Hackfest (QC) et JavaOne. Il a développé de nombreux plug-ins pour les outils de proxy BurpSuite et OWASP ZAP (Retire.js, Reissue Request Script, PDF preview et Image Metadata). Il a fait également des contributions à d'autres plug-ins comme J2eeScan.

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

==Logiciel de rançon (Ransomware) s'attaque au domaine de la santé==

[[Image:HackingHealth-2.jpg | Logiciel de rançon (Ransomware) s'attaque au domaine de la santé ]]

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health ]] [https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health See the slides / Voir la présentation]

(Conférence en anglais)
Pour le lancement de la saison 2016 - 2017, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de la santé une incursion dans le monde du logiciel malveillant ciblant le domaine de la santé. 
Cette conférence s'intége dans le Coopérathon co-organisé par le Mouvement Desjardins et Hacking Health. 
Le domaine de la santé serait devenu une cible privilégiée des campagnes de ransomware parce que l'industrie a souvent payé la rançon demandée pour récupérer les données confidentielles et vitales de ses clients. Monsieur Ed Gershfang nous brossera un portrait du phénomène et des meilleures pratiques à mettre en place en matière de sécurité applicative.
Ed Gershfang possède une expérience solide dans l'infrastructure informatique et plus de 6 ans d'expérience dans les domaines de la sécurité de l'information, de la vulnérabilité, de la gouvernance et de la gestion des risques. Il était directeur de la sécurité pour la société PeriGen, un chef de file de développement de logiciels médicaux en Israël.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative vue par un pentesteur ==

[[Image:Juin2016-OWASPMtl.jpg | OWASP Montréal reçoit Mario Contestabile, Pentester de renom ]]
 
From Left to Right : Isabelle Lusseyran, Head of Development at Hacking Health. Eduard Gershfang Information Security Analyst at WSP | Parsons Brinckerhoff.

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile ]] [https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile See the slides / Voir la présentation]
 
Pour clore la saison 2015 – 2016, OWASP Montréal est fier d’accueillir au Midi Conférence un des architectes de renom du développement applicatif au Canada, monsieur Mario Contestabile.
En tant qu’auteur de plusieurs centaines de tests d’intrusion, il connait tous les rouages de ce qu’est véritablement une application Web «sécurisée». Mais avez-vous déjà remarqué que les rapports de tests d’intrusion mentionnent rarement, voir jamais : «Votre site est très difficile à pirater. Félicitations !» ?
Et qu’en est-il de ces rapports qui contiennent des dizaines de soi-disant vulnérabilités ? Est-ce que cela signifie d’emblée que l’application devrait être mise hors ligne ?
 
Lors de cette conférence, nous examinerons des rapports concrets (ambigus) de vulnérabilités et nous les analyserons afin de mieux comprendre si elles représentent une véritable menace, ou si elles ne servent qu’à «remplir» les rapports.
 
Avec son expertise en protection et en attaque d’applications Web, il abordera les points suivants :
Comment pouvez-vous sélectionner des systèmes de façon à mieux exécuter des protections de sécurité ?
Éviter certains pièges dans votre application Web qui rendent les attaques plus faciles et la protection plus difficile.
De nos jours, que peuvent faire les développeurs à l’intérieur de systèmes communs, qui puisse me rendre la tâche plus ardue en tant que « hacker »?
Pouvons-nous exiger de meilleurs rapports de la part des firmes de sécurité?
À quoi devrions-nous nous attendre de la part d’un « pentesters »?
Comment pouvons-nous savoir si le « pentester » a vérifié les failles de l’application et qu’il n’a pas simplement utilisé un scanneur?
Et enfin, comment pouvons-nous aider les « ethical hackers » à obtenir un meilleur rendement lors d’un test d’intrusion?
Il expliquera le sujet en détails, et ensemble, nous verrons de quelles façons les développeurs d’applications peuvent exploiter le savoir-faire des « pentesters », et comment nous pouvons faire en sorte qu’une application Web soit protégée.
Biographie :
Mario Contestabile est reconnu comme l’un des experts en sécurité les plus réputés au Canada. Son expertise, construire et protéger votre plateforme applicative. Ancien développeur C++ et Java, Mario partage ses nombreuses connaissances en « ethical hacking » et en développement de codes sécurisé.
 
WHEN
Tuesday, 14 June 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Comment protéger les applications mobiles? ==

[[Image:Avril2016-OWASPMtl.png | Comment protéger les applications mobiles? ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles ]] [https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles See the slides / Voir la présentation]
 
Dans le cadre des Midis Conférence à l'Espace Desjardins, l'équipe OWASP Montréal vous invite à assister à une présentation sur les vulnérabilités les plus communes associées aux appareils mobiles.
Marie-Claire Willig détaillera entre autres comment stocker de façon sécuritaire les données de l’application mobile ainsi que protéger l’application contre des attaques externes. Des outils simples vous seront dévoilés pour détecter ces vulnérabilités.
Marie-Claire est une professionnelle d'expérience en sécurité appliquée.
Une grande partie de son intérêt professionnel réside actuellement dans un domaine assez niche, soit la revue de code sécuritaire, un fondement important de tout cycle de développement sécuritaire en entreprise.
Au sein de l'équipe de sécurité technologique Desjardins, elle est, en autre, responsable de former les développeurs (Java et .NET principalement) afin de les sensibiliser aux meilleures pratiques de développement sécuritaire.
Également, elle est une professionnelle des tests d'intrusion sur les applications web, les applications mobiles ainsi que l'infrastructure réseau.
Bienvenue à tous
 
WHEN
Wednesday, 20 April 2016 from 12:15 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ==

[[Image:Mars2016-OWASPMtl.jpg | NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/YQtvltQYs7Y]] [https://youtu.be/YQtvltQYs7Y Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
OWASP Montréal est fier d’inviter au Midi Conférence de mars, NorthSec est le plus gros événement de sécurité appliquée au Canada qui comprend deux jours de formation, deux jours de conférences ainsi qu’une compétition du genre « capture the flag » (CTF) de trois jours.
Gabriel Tremblay, Benoit Guerette, Pierre-David Oriol et Laurent Desaulniers viendront vous parler de cet organisme sans but lucratif dynamique qui est géré par une équipe de bénévoles passionnés qui donnent à chaque année leur énergie et leur temps pour soutenir la communauté de la sécurité de l’information.
Le volet compétition, l’épreuve maîtresse, est présentée sous forme d’un scénario qui rend cohérent une centaine de défis techniques. Les équipes de participants attaquent l’infrastructure de compétition pour soutirer des drapeaux (flags) à travers un ensemble de vulnérabilités présentes comme de l’injection SQL, des XSS ou encore l’exploitation d’exécutables sur systèmes embarqués. Quelques exemples de défis des années passées seront également présentés.
Le volet conférence, qui est à sa 2ème année, met de l’avant plusieurs présentations techniques touchant la sécurité applicative mais aussi l’éthique et leurs impacts sociaux. Certaines présentations confirmées seront dévoilés.
Le tout nouveau volet formation propose deux formations en sécurité applicative de calibre international (anglais) : “Advanced Web Security Testing with Burp Pro” et “Modern Object-Oriented Malware Reverse Engineering”.
Venez aussi, découvrir comment l'équipe est partie d'une idée en 2012 pour se rendre à un évènement d'envergure, qui rassemblera plus de 600 professionnels, étudiants et autres passionnés de sécurité appliquée lors de la 4ème édition qui aura lieu du 17 au 22 mai 2016 au Marché Bonsecours.
Finalement, la mission, la vision ainsi que les activités sociales de la semaine de NorthSec sont aussi au menu de cette présentation qui sera suivie d’une période de questions.

Gabriel Tremblay, Delve Labs, Président
Benoit Guerette, Desjardins, VP Finances

Pierre-David Oriol, Delve Labs, VP Conférence
Laurent Desaulniers, Bell Canada, Artisant de drapeaux
 
WHEN
Wednesday, 23 March 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative et l'hameçonnage - February 24th ==

[[Image:Fevrier2016-OWASPMtl.jpg | La sécurité applicative et l'hameçonnage ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/1RYlOiIENjQ]] [https://youtu.be/1RYlOiIENjQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 

De nos jours, une des méthodes les plus efficaces pour contourner les périmètres de sécurité externes est l'hameçonnage conjointement avec l’abus de certaines technologies Web.

Dans le cadre ses activités, OWASP Montréal est heureux d'inviter d'accueillir, l'équipe OKIOK qui présentera les impacts liés à ce type d'attaque, tel que vu et expérimenté en entreprise ainsi que les plans d'action pour traiter ces risques. La présentation abordera aussi bien la sécurité web et applicatives, des systèmes informatiques ainsi que de la sécurité physique de centres de données.

Capture d'informations sensibles par imitations de portails Web ;
Authentification Web par 2-facteurs ;
Injection SMTP dans des formulaires Web ;
Attaque de type “Drive-by-download”;
Prise de contrôle à distance à travers des flux HTTP;
Attaque de CSRF à partir de courriels ;
Attaque d'hameçonnage basée sur des achats par Internet (ex : PayPal).
 
When
Wednesday, 24 February 2016 from 12:00 PM to 1:15 PM (EST) - Add to Calendar
Where
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest Montreal, Quebec CA

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Internet of {Things, Threats} - January 20th ==

[[Image:Janvier2016-OWASPMtl-R.png | Internet of {Things, Threats} ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html ]] [http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html See the slides / Voir la présentation]
 
De plus en plus de périphériques se retrouvent connectés sur Internet. Sous la bannière "Internet of Things" (IoT) ces équipements, que ce soit une pompe à insuline ou un système de caméra de sécurité, tournent généralement sous un système GNU/Linux embarqué d'architecture MIPS ou ARM. La difficulté de mettre à jour ces équipements ainsi que le peu d'effort mis dans la sécurité des systèmes ou la sécurité applicative en font des cibles de choix. Ces derniers mois, nous avons analysé plusieurs logiciels malveillants ciblant ces architectures. Que ce soit par l'exploitation d'une vulnérabilité (Shellshock) ou encore un défaut de configuration, ces systèmes exposés sur Internet peuvent être compromis.

Notre présentation couvrira quelques une de ces analyses:

* Linux/Moose, un malware se propageant automatiquement qui fraude les réseaux sociaux (par exemple Facebook, Twitter et YouTube)
* LizardSquad et acteurs étrangers qui utilisent des systèmes embarqués compromis pour réaliser des dénis de service distribué (DDoS)
* Win32/RBrute est un logiciel malveillant qui tente de changer les paramètres de routeurs dans le but de faire du "DNS poisoning". Il a été distribué par le populaire botnet Sality.
* Un kit d'exploits qui utilise seulement le navigateur de leur victime avec le même objectif, c'est-à-dire faire du "DNS poisoning".

Enfin, des conseils seront proposés à l'audience pour l'aider à se protéger de ces menaces.

'''Thomas Dupuy''' (twitter: @nyx__o)

Thomas est chercheur en logiciel malveillant chez ESET Canada Recherche. Bon vivant, Thomas déjeune en "reversant" des binaires, contribue à quelques projets open source durant le diner (yara, yara rules, pefile, APTnotes) et la nuit participe à des "Hacking Games" (Capture The Flag). Curieux de nature Thomas analyse des malware aux architectures "exotiques".

'''Olivier Bilodeau''' (twitter: @obilodeau)

Olivier Bilodeau is the head of Cybersecurity Research at GoSecure a consultancy firm specializing in cybersecurity services for the public and private sector. With more than 10 years of infosec experience, Olivier worked on Unix servers at Bell Canada, managed a portion of Air Canada's network, wrote open source network access control software at Inverse and worked as a Malware Researcher at ESET. He likes to reverse engineer everything that crosses his path, participate in information security capture-the-flag competitions, hack open source code and brew beer. He has spoken at various conferences (Defcon, Botconf, VirusBulletin, Derbycon, ...), used to lecture on information security at ETS University in Montreal, drives the NorthSec Hacker Jeopardy and co-organizes the MontreHack capture-the-flag training initiative. His primary research interests include reverse-engineering tools, Linux and/or embedded malware and honeypots.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Survivre aux attaques DDOS applicatives ==

[[Image:Decembre2015-OWASPMtl.jpg | Survivre aux attaques DDOS applicatives ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
Survivre aux attaques DDOS (Distributed Denial-Of-Service) applicatives.
Cette conférence s'adresse aux professionnels et gestionnaires des TI.
Conférencier : Christian Shink, ing., CSSLP, ingénieur système chez Radware, manufacturier spécialisé dans la prévention des attaques DDOS. Il fut également consultant en sécurité applicative chez In Fidem.
Objectifs de la conférence:
Présenter les tendances actuelles en matière d'attaques DDOS applicatives.
Renseigner les participants sur les techniques et stratégies pour contrer ces attaques illustrées à partir de cas vécus.
Démystifier certains mythes en ce qui concernent les façons efficaces de protéger les applications contre des attaques DDOS.
Date : 16 décembre 2015
Heure : 11h45
La conférence débute à 12h00 et se termine à 12:55.
Un lunch sera servi.
Réservez maintenant!
1 CPE
 
WHEN
Wednesday, 16 December 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Sécurité des applications - Systèmes de contrôles industriels ==

[[Image:Novembre2015-OWASPMtl-R.png | Sécurité des applications - Systèmes de contrôles industriels ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/0eAZpyiQQ9A]] [https://youtu.be/0eAZpyiQQ9A Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

La sécurité des applications et les systèmes de contrôles industriels.
Cette conférence s'adresse aux professionnels et gestionnaires des TI desinfrastructures critiques qui exploitent ou gèrent des systèmes de contrôles industriels(SCI) et SCADA (surveillance et d'acquisition de données). 
Conférenciers : Robert Nastas, CSSA. Gestionnaire de projet et Youssef Jad, Architecte Cyber sécurité, ICS-CERT 
 
Objectifs de la conférence:
* Démystifier le domaine d'affaires.
* Renseigner les participants sur les bonnes pratiques de sécurité desapplications liées au secteur industriel.
* Proposer aux professionnels et gestionnaires des TI responsables dessystèmes SCADA et SCI des pistes de solutions aux enjeux de sécurité.
 
L'équipe OWASP Montréal vous remercie d'avoir assisté en grand nombre à la conférence, 'La sécurité des applications et les systèmes de contrôles industriels'.
 
WHEN
Wednesday, 18 November 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ==

[[Image:Septembre2015-OWASPMtl.jpg | Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert ]] [https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert See the slides / Voir la présentation]
 
Pour le lancement des activités corporatives de la saison 2015 - 2016, le 8 septembre prochain à 12:00, l'équipe OWASP Montréal convie les gestionnaires et artisants de la sécurité des TIC à venir entendre monsieur Éric Hébert qui nous présentera son interprétation des préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative. L'événement se tiendra au complexe Desjardins à la salle "Espace Desjardins".

''' ÉRIC G. HÉBERT, CISM, CISSP ''' 
Après plus de 20 ans passés dans le domaine de la sécurité des technologies de l’information, Éric se spécialise dans la mise en œuvre et la gestion d'équipes performantes, capables de relever les plus hauts défis de la cybersécurité moderne. 
Capable de dialoguer avec les hauts dirigeants, il sait traduire et vulgariser les enjeux techniques complexes tout en respectant la nature et l'appétence au risque de ses clients. Dynamique et pourvu d'une expérience couvrant presque toutes les sphères de la SI, il fonce dans le respect de la culture établie tout en implantant des solutions pragmatiques et efficaces. 
Depuis plus de 10 ans, il gravite principalement autour des entreprises du domaine financier (BNC, Desjardins, Fonds de solidarité FTQ...) et les accompagne dans la mise en place de solutions efficaces tenant compte à la fois des risques et des budgets.
En plus d’avoir fondé de nombreuses associations telles que le RéseauSécurIT et le RPSI, il maintient une présence régulière auprès des milieux associatifs professionnels et partage régulièrement ses expériences lors de conférences et d'entrevues avec divers médias.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

= Events / Évènements =

== Owasp Montreal at [https://nsec.io/ NorthSec 2017] ==

[[Image:NorthSec2017-5.jpg]]
[[Image:NorthSec2017-6.jpg]]

From Left to Right: Anne Gauthier, OWASP Montréal Chapter Leader (President) and Application Security Analyst at GoSecure, Hugo Genesse, OWASP Montréal Chapter Leader and Research Intern at PNF Software, Julien Touche, OWASP Montréal Chapter Leader and Principal Security Engineer at Nuance Communications

== OWASP Montreal at [https://2017.appsec.eu/ AppSec] ==

[[Image:OWASPAppSecBelfast2017-7.jpg]]

OWASP Montreal and Ottawa Chapter Leaders at OWASP AppSec Belfast, UK #WomenInAppSec

== OWASP Montreal at [https://hackfest.ca/ HackFest 2016] ==

[[Image:Hackfest2016-r.jpg| HackFest |link=https://hackfest.ca/]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Louis Nadeau, OWASP Québec Chapter Leader and Manager, Product Security at Bentley Systems and Patrick Leclerc, OWASP Québec Chapter Leader and Information Security Advisor at La Capitale.

== OWASP Montreal at OWASP [https://2016.appsecusa.org/ AppSec USA 2016, Washington] ==
 
 
[[Image:OWASPMtl-AppSecUSA2016-Washington.jpg | OWASP Montreal at AppSec USA 2016, Washington]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016, Alexandre Hamelin President at Synlabs Consulting Inc., Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [https://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

== OWASP Montréal at [https://www.gosec.net GoSec] 2016 ==

[[Image:OWASP-GoSec2016-1r.jpg|OWASP Montreal at GoSec 2016]] [[Image:OWASP-GoSec2016-2r.jpg|OWASP Montreal at GoSec 2016]]
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Simon Lacasse, student and volunteer, and Laurent Desaulniers, Security Analyst at Bell Canada.

== OWASP Montréal at [https://www.nsec.io/ NorthSec] 2016 – Annual Applied Security Event ==

[[Image:Hackfest2016-OWASPMtl.jpg|OWASP Montreal at NorthSec 2016]]

@Photo : Simon Veilleux
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Olivier Arteau OWASP Montréal Chapter Leader and Conseiller chez Groupe Technologie Desjardins, Hugo Genesse, OWASP Montréal Chapter Leader and Vulnerability Research Intern at Wurldtech Security Technologies.

== OWASP Montréal at [https://hackfest.ca/en/ Hackfest] 2015 ==

[[Image:Hackfest2015-OWASPMtl-R.JPG | OWASP Montreal at Hackfest 2015]]

@Photo : Hackfest
 
 
From left to right : Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [http://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

[[Image:Video-link.png | Link to video | link=https://youtu.be/8U0qkEuUFy8]] [https://youtu.be/8U0qkEuUFy8 Watch the video / Regarder la vidéo]

== OWASP Montréal at [https://www.gosec.net/ GoSec] 2015 – The Annual Cybersecurity Conference presented by GoSecure, EY and ISACA. ==

[[Image:GoSec2015-OWASPMtl.jpg|OWASP Montreal at GoSec 2015]]

@Photo : Marius Popescu
 
 
From left to right : Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016. Benoît Guérette, Application Security Team Leader at Desjardins, VP Finance at NorthSec and OWASP Montreal Chapter Founder and Former Chapter Leader.

== See also / Voir aussi ==

OWASP Montréal recommends Montréhack. Learn and share knowledge on IT security by solving technical challenges. Third Monday of every month.

OWASP Montréal recommende Montréhack. Apprends et partages des connaissances sur la sécurité informatique en travaillant des problèmes appliqués. Chaque troisième lundi du mois.

[[File:Montrehack.png|Montréhack|link=http://montrehack.ca/|alt=Montréhack]]

= Archives 2007-2015 =
{{:Montreal chapter past meetings}}

== OWASP Montreal - February 3rd - Getting to Know the Software Assurance Marketplace (SWAMP) ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/p4_vjufcB6Q]] [https://youtu.be/p4_vjufcB6Q Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer]] [https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Pat Beyer
*'''ADDITIONAL PRESENTER:''' Abe Megahed
*'''ABSTRACT:''' The Software Assurance Marketplace (SWAMP) is an open facility that is designed, built, and operated by four research institutions. The SWAMP provides no-cost access to an array of open-source and commercial software analysis tools. This presentation will provide an overview and demo of the SWAMP, including our goals, intended audience, current capabilities, and future plans. We will cover our relationship with OWASP, incorporation of open-source software assurance tools, and status as an open-source project and resource available to the software community. Visit https://continuousassurance.org/ to learn more about us.
*'''BIO:''' Pat Beyer serves as the Product Manager for the Software Assurance Marketplace (SWAMP). With over 25 years of experience successfully managing multi-million dollar global projects, Beyer’s expertise extends to the IT, construction, and operations sectors, with a specialization in managing government contracts and grants. A gifted communicator, Beyer is a sought after speaker due to his ability to deliver complex information about technology products and services in a way that is easily understood. He is a decorated combat veteran of the Global War on Terror, the international military campaign that started following the 9/11 terrorist attacks on the United States. In 2004, he constructed and rehabilitated over 20 schools, clinics, and water treatment plants for the Iraqi people using local contractors. Beyer also holds a Bachelor of Science, a Masters in Business Administration, a Ph.D. in Organization and Management, and a Project Management Professional (PMP) certification.
*'''BIO:''' Abe Megahed is a web developer for the Software Assurance Marketplace. In previous lifetimes, he has been a computer graphics researcher, a game programmer, a programming language and compiler nerd, a dot com company founder, a creator of helicopter simulations, and a developer of 3D simulations for NASA astronaut crew training.
*'''WHEN:''' Tuesday, February 3rd 2015
*'''WHERE:''' Room PK-1140 - UQAM Pavillon Président-Kennedy, 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' https://owaspmtlswamp2015.eventbrite.ca
*'''WEBCAST:''' https://www.youtube.com/watch?v=p4_vjufcB6Q
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer

*'''ACADEMIC PARTNER:''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session: Getting to Know the Software Assurance Marketplace
20:00-... End of the meeting

[[Image:SWAMP-Logo-Final-Med.png|300px|link=https://continuousassurance.org/]]
[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

== OWASP Montréal - 4 décembre - Malware côté serveur — évolution, méthodes d’opération et forensic Linux ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/lo8WDl-WQ3E]] [https://youtu.be/lo8WDl-WQ3E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille]] [https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Marc-Etienne M.Léveillé
*'''RÉSUMÉ:''' Les logiciels malveillants ciblant les serveurs ont évolué. Ils sont utilisés par des groupes de cybercriminels organisés dans le but de faire du profit via des redirections web et l’envoie de pourriels. La présentation portera sur Opération Windigo, une opération malveillante qui a affecté plus de 25 000 serveurs dans le monde. Après une brève description des composantes de Windigo, nous verrons comment les opérateurs déploient leurs logiciels malveillants et surveille leur réseau de serveurs infectés. Des trucs pratiques pour faire de la forensics sur des systèmes Linux seront donnés. Cette présentation est une suite à la présentation "Linux/Cdorked: Server side malware", donnée par Olivier Bilodeau à OWASP Montréal en 2013. La présentation sera en français avec des diapositives en anglais (aka Montreal-style).
*'''BIO:''' Marc-Etienne est un chercheur en logiciel malveillant chez ESET depuis 2012. Il se spécialise dans les logiciels malveillants qui s’attaquent à des plateformes inhabituelles comme aux produits fruités et aux oiseaux nordiques. Dernièrement, il passe beaucoup de son temps à faire la rétro-ingénierie de logiciels malveillants sur des serveurs Linux et s’intéresse à leurs méthodes d’opération. Il adore participer de façon collégiale aux CTFs avec ses amis les CISSP Groupies et jouer de la clarinette. Il tweet très peu à @marc_etienne_.
*'''QUAND:''' 4 décembre 2014 à 18h00
*'''OÙ:''' Local M-1510, Polytechnique Montréal, 2900 Boulevard Edouard-Montpetit
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-4-decembre-malware-cote-serveur-evolution-methodes-doperation-et-forensic-linux-tickets-14635313617
*'''ÉQUIPE ACADÉMIQUE:''' Polyhack - http://polyhack.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Malware côté serveur
19:30-20:00 Période de questions

[[Image:Polyhacklogonoirpetit.png|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]

== OWASP Montréal - October 23rd - XXE : À l’assaut des analyseurs XML ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/MZviLB9-42E]] [https://youtu.be/MZviLB9-42E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau]] [https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Philippe Arteau
*'''RÉSUMÉ:''' L'utilisation d’XML est fortement répandue. Le format est utilisé pour des fichiers de configuration, pour des métadonnées, pour des documents textes, et bien plus. La prise en charge de fichiers XML n’est pas sans risque. La plupart des analyseurs XML ne sont pas sécuritaires par défaut pour le traitement de fichier externe. Cette présentation fera un survol des vulnérabilités de type « Xml eXternal Entity » et de l’étendue des risques pour différents langages de programmation. Plusieurs démonstrations sont prévues.
*'''BIO:''' Philippe est conseiller en sécurité applicative pour le Groupe Technologies Desjardins. Au quotidien, il s’occupe d’effectuer des tests d’intrusions et des revues de code. Il a découvert des vulnérabilités importantes dans plusieurs logiciels populaires incluant Google Chrome, DropBox, ESAPI et Jira.
*'''QUAND:''' 23 Octobre 2014 à 18h00
*'''OÙ:''' École de Technologie Supérieure Local A-3230, 1100 Rue Notre-Dame Ouest, Montréal, QC H3C 1K3
*'''INSCRIPTION:''' http://www.eventbrite.ca/e/owasp-montreal-23-octobre-xxe-a-lassaut-des-analyseurs-xml-tickets-13426881163
*'''PARTENAIRE ACADÉMIQUE:''' ETS - DCI http://dciets.com/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:45 Mot de bienvenue
18:45-19:45 Présentation principale - "À l’assaut des analyseurs XML" Philippe Arteau
19:45-20:00 Période de questions

[[Image:Blason_dci.png‎‎‎|150px|link=http://dciets.com/]]
[[Image:ETS-rouge-devise-impr-fond_transparent.png|150px|link=http://www.etsmtl.ca/]]

== OWASP Montreal - July 24th - Web security for DevOps: the glory is in the headers ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/6bp1NCLT-YQ]] [https://youtu.be/6bp1NCLT-YQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil]] [https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Jonathan Marcil
*'''ABSTRACT:''' DevOps is a buzzword which can be easily demystified: in essence it is a process which aims to combine the development and system administration process into one; Operations. As developers become responsible for server setup, security counter measures are evolving as well. The line between server configuration and application behaviour has been blurred. In this talk we will cover some HTTP headers in regards to security such as CORS, CSP and HSTS. We will demonstrate several forms of attack, and how they can (should) be countered.
*'''BIO:''' Jonathan is devoted to security and specialized in Web application security. His main occupation is consulting in Web security, but deep down he is a developer with a agnostic vision of programming languages. He has a diploma in Software Engineering from Ecole de Technologie Superieure and more than 10 years of experience in Information Technology and Security.
*'''WHEN:''' At noon on July 24th 2014
*'''WHERE:''' 75 Queen Street, office 3100, Montreal, QC H3C 2N6
*'''REGISTRATION:''' You can join us on site for a pizza slice but this is mainly an online event. Contact jonathan.marcil@owasp.org.
*'''WEBCAST:''' https://www.youtube.com/watch?v=6bp1NCLT-YQ
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil
*'''EVENT SPONSOR:''' Pheromone http://www.pheromone.ca/
*'''PROGRAM:'''

12:00-12:10 Welcome and quick OWASP introduction
12:10-13:10 Main presentation - "Web security for DevOps: the glory is in the headers" Jonathan Marcil
13:10-... Open discussion and questions

[[Image:Logo-phero.gif‎|link=http://www.pheromone.ca/]]

== OWASP Montreal - June 18th - Gaps in the Clouds ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz]] [https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Robert Fritz
*'''ABSTRACT:''' Cloud technology offers agility and scaling, and a chance to break away from legacy IT choices. Unfortunately, skipping traditional IT activities often results in poorly patched systems, out of date firewalls, and overprovisioned entitlements wielded by admins whose “day job” is development. Boundaries of accountability and responsibility amongst cloud providers and consumers are confusing, vague, and shift, making security difficult to manage. In such an environment, a “BP-spill” event, where cost wins over safely safety, is likely. This talk will dive down into the cracks between the layers of cloud, and share some of the exciting dirt we have seen and expect to see in coming years.”
*'''BIO:''' Robert Fritz has been practicing security his entire career. Rob started as an Air Force lieutenant at Langley AFB and later at the Pentagon in Washington DC, building and managing classified networks. Finding he was getting too far from technology after a brief stint flying, he left the military to get back to the tech, and built security tools for HP in their HP-Unix lab. Over time he found himself in more and more security design discussions, so co-authored HP’s Commercial Application Threat Analysis Methodology, building an internal consulting practice at HP. This quantitative approach, led to two pending patents, an external-facing consulting practice, and his contributions to NIST IR-7502, the Common Configuration Scoring System (CVSS follow-on). He is the former lead editor for the Center for Internet Security’s HP-UX Benchmark, and current lead for the Android Benchmark. Robert now works for Morgan Stanley as global head of the Strategic Consulting team in the Security Architecture group, and leads the team’s cloud and social-media security practices.
*'''WHEN:''' June 18th 2014
*'''WHERE:''' 700 Rue Wellington, Floor 2, Montreal, QC H3C 3S4
*'''REGISTRATION:''' http://owaspmtl18junems.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz
*'''EVENT SPONSOR:''' Morgan Stanley http://www.morganstanley.com/
*'''PROGRAM:'''

18:00-18:30 Networking and Morgan Stanley Hosted Pizza and Soft Drinks
18:30-18:45 OWASP Chapter & Morgan Stanley Welcome
18:45-19:45 Main presentation - "Gaps in the Clouds" Robert Fritz
19:45-20:00 Open discussion and questions
20:00-... Optional, informal networking at Aziatic - 626 rue Marguerite-d'Youville, Montréal, QC H3C 1W7

[[Image:Morgan_Stanley_Historical_Logo.png|link=http://www.morganstanley.com/]]

== OWASP Montréal - May 26th - Récapitulatif des challenges NorthSec ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/P8_V3RI1Ru4]] [https://youtu.be/P8_V3RI1Ru4 Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''PRÉSENTATEUR PRINCIPAL:''' Laurent Desaulniers
*'''RÉSUMÉ:''' Solutions de la compétition en sécurité NorthSec 2014 sur les sujets de XXE + SSRF, WAF Bypass, Xpath Injection, DOM Injection, HTTP Only Flag bypass et contournement de captchas. Une bonne façon d'apprendre sur ces failles que vous étiez ou non un participant de la compétition.
*'''MESSAGE DU PRÉSENTATEUR:''' Vous voyez Rao dans votre soupe? Vous voulez une solution pour un XSS avec des cookies http only? Les captchas illisibles sont un problème? Assistez à la présentation de l'OWASP!
*'''BIO:''' Laurent Desaulniers est un passionné de sécurité informatique. Il a présenté au Hackfest, au colloque RSI, à OWASP et est challenge designer à NorthSec. M. Desaulniers détient les certifications CISSP, CISM, CISA et OSCP.
*'''QUAND:''' 26 mai à 18h00
*'''OÙ:''' Local PK-1140 - Pavillon Président-Kennedy 201, Avenue du Président-Kennedy, J2X 3Y7
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-26-mai-recapitulatif-des-challenges-northsec-tickets-11724413035
*'''WEBCAST:''' https://www.youtube.com/watch?v=P8_V3RI1Ru4
*'''ÉQUIPE ACADÉMIQUE''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Récapitulatif des challenges NorthSec
19:30-20:00 Période de questions

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== Networking with infosec communities - April 21st ==

[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''RÉSUMÉ:''' En collaboration avec Montréhack, mtlsec et NorthSec, nous organisons une soirée réseautage dans un pub du centre-ville. Du plaisir garanti avec les membres de plusieurs communautés infosec de Montréal!

*'''ABSTRACT:''' In collaboration with Montréhack, mtlsec and NorthSec, we are organizing a networking evening in a pub downtown. Fun guaranteed with the other security communities in Montreal!

*'''QUAND:''' 21 Avril 2014
*'''WHEN:''' April 21st 2014

*'''OÙ/WHERE:''' BENELUX - Brasserie Artisanale 245 Sherbrooke St W Montreal, QC H2X 1X7

*'''INSCRIPTION/REGISTRATION:''' https://www.eventbrite.ca/e/montrehack-avril-april-northsec-pre-party-tickets-11232307133

*'''PARTENAIRES/PARTNERS:''' Montréhack http://montrehack.ca/ - mtlsec http://blog.mtlsec.com/ - NorthSec https://www.nsec.io/
*'''PROGRAMME:'''
18:00-21:00 Networking
21:00-23:59 Remember to drink responsibly!

== OWASP Montréal - March 27th - Panel Compétition en sécurité NorthSec ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

'''Présentation sous forme de panel - venez poser vos questions!'''

*'''RÉSUMÉ:''' Les compétitions de type Capture the Flag (CTF) sont un moyen pour les professionnels et amateurs de sécurité informatique de mettre leurs talents à l'épreuve. NorthSec est une compétition Montréalaise annuelle en sécurité appliquée, qui aura lieu cette année au Marché Bonsecours de Montréal le 25, 26 et 27 avril prochain. Elle vise à augmenter le niveau technique des professionnels de la sécurité au Québec, ainsi que de permettre à ses acteurs les plus talentueux de se démarquer.
*'''DÉTAILS:''' Le panel de jeudi, sous la forme d'un échange convivial entre les organisateurs de l'évènement et de ses participants, abordera des thèmes variés comme l'écriture de bon défis, l'infrastructure, la logistique, les inattendus, un bilan de 2013 et tout ça en passant par de savoureuses annecdotes (on l'espère). Venez en grand nombre toucher à ces légendes de la scène infosec montréalaise!
*'''PANÉLISTES:''' Gabriel Tremblay, François Proulx, Laurent Desaulniers, Stéphane Graber
*'''ANIMATEUR:''' Olivier Bilodeau
*'''QUAND:''' 27 mars 2014
*'''OÙ:''' Salle M-1510, École Polytechnique de Montréal, 2500 chemin de Polytechnique, Montréal (Québec) H3T 1J4, pavillon Lassonde
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-27-mars-panel-competition-en-securite-northsec-tickets-10918436337
*'''ÉQUIPE ACADÉMIQUE:''' Polytechnique - Polyhack http://polyhack.org/
*'''PROGRAMME:'''
18:00-18:25 Networking
18:25-18:30 Mot de bienvenue par le leader du chapitre (Jonathan Marcil)
18:30-20:00 Présentation principale : Panel NorthSsec

[[Image:Polyhack.png‎‎|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== OWASP Montreal - February 25th - Proven Strategies for Web Application Security ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane]] [https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Justin C. Klein Keane
*'''ABSTRACT:''' The rising dominance of the web as an application delivery platform has focused attacker attention squarely on the security of dynamic web applications. Application security is a complex, and shifting, field. Learn about tested and successful techniques to build safer applications, find flaws before they become vulnerabilities, and deploy applications that can detect, and resist attack.
*'''BIO:''' Justin C. Klein Keane is a security engineer and chapter leaders of OWASP in Philadelphia. For over a decade Justin has worked as a trainer, coder, and exploit developer. Justin is currently writing a book for NoStarch Press on hacking, speaks regularly at conferences, holds a masters degree in information technology from the University of Pennsylvania and is credited with hundreds of application vulnerability discoveries.
*'''WHEN:''' February 25th 2014
*'''WHERE:''' Ecole de technologie superieure, 1100 Notre-Dame Street West, Montreal, Room: A-1150
*'''REGISTRATION:''' http://owaspmtljan2014.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane
*'''ACADEMIC PARTNER:''' ETS - DCI http://dciets.com/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session and open discussion: Proven Strategies for Web Application Security
20:00-... End of the meeting in a pub

[[Image:Dciets.png‎‎‎|100px|link=http://dciets.com/]]
[[Image:Logo_ets.png|link=http://www.etsmtl.ca/]]

== OWASP Montreal - January 28th - Latest trends in Mobile Security ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/8qPyKj4FKgY]] [https://youtu.be/8qPyKj4FKgY Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx]] [https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Francois Proulx
*'''ABSTRACT:''' Last AppSecUSA 2013 had a great line up of talks, especially regarding mobile applications. This session will be covering all the hottest presentations about mobile security by doing an overview from what see saw at AppSecUSA, all with some slides and snippets of presentations that was recorded at the event. Discussion will be encouraged within the audience as this will be more a dynamic event than a regular talk.
*'''BIO:''' François Proulx is a senior mobile application developer who has worked on dozens of iOS applications since the very beginning of the Apple iOS platform. Over the past few years he has switched his focus to security. He spends a lot of his free time participating in Capture the Flag events (CTFs) and organizing the NorthSec security competition.
*'''WHEN:''' January 28th 2014
*'''WHERE:''' UQAM Room PK-1705, Pavillon Président-Kennedy (the big boat at Place des Arts) - 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' http://owaspmtl-mobilesecurity.eventbrite.ca
*'''SLIDES/CONTENT:''' [http://www.youtube.com/playlist?list=PLQtB2ug5xmvaQ9jeRWV53-F_T555GQfhW YouTube playlist]
*'''SPONSOR:''' Academic partner AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan M.)
18:30-20:00 Main session and open discussion: Mobile Security
20:00-... End of the meeting in a pub

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

==== Presentations For Download ====

[http://www.owasp.org/images/0/0d/20100209mstechdaysowaspasvssgiv01-12657916463819-phpapp02.ppt OWASP ASVS] by Sebastien Gioria (09/03/2010)

[http://www.ph-il.ca/slides/afup__authetification_forte.pdf Authentification Forte] by Philippe Gamache (02/02/2010)

[http://www.opensamm.org/downloads/OpenSAMM-1.0.ppt Software Assurance Maturity Model (OpenSAMM)] by Pravir Chandra (03/11/2009)

[http://www.owasp.org/images/d/de/Owasp-montreal-sept-17h-2009-justin-foster.pdf Crossing the Border – Javascript Exploits] by Justin Foster (17/09/2009)

[http://www.owasp.org/images/c/c2/ALaughRIAt.pdf A Laugh RIAt] by Rafal Los (07/04/2009)

[https://www.owasp.org/images/e/eb/OWASP-Montreal-24022009-RobLabbe.pptx Microsoft Security Development Lifecycle for IT] by Rob Labbe (24/02/2009)

[https://www.owasp.org/images/3/39/OWASP-Montreal-24022009-EN.pdf OWASP Goal and Top Ten 2007 for Managers - French version] by Benoit Guerette (24/02/2009)

Newer presentations are available on [https://speakerdeck.com/owaspmontreal Speaker Deck]

[[Image:Circle_owasp_logo_nowhitebackground.png|200px]]

= OWASP Foundation / Mission OWASP =
OWASP Foundation ([https://docs.google.com/a/owasp.org/presentation/d/10wi1EWFCPZwCpkB6qZaBNN8mR2XfQs8sLxcj9SCsP6c/edit?usp=sharing Overview Slides]) is a professional association of [[Membership | global members]] and is open to anyone interested in learning more about software security. Local chapters are run independently and guided by the [[Chapter_Leader_Handbook]]. As a [[About_OWASP | 501(c)(3)]] non-profit professional association your support and sponsorship of any meeting venue and/or refreshments is tax-deductible. Financial contributions should only be made online using the authorized online chapter donation button. To be a SPEAKER at ANY OWASP Chapter in the world simply review the [[Speaker_Agreement | speaker agreement]] and then contact the local chapter leader with details of what OWASP PROJECT, independent research or related software security topic you would like to present on.

La fondation OWASP est une [https://www.owasp.org/index.php/Membership association de professionnels] et elle est ouverte à tout intervenant intéressé à en apprendre davantage sur la sécurité applicative. Les chapitres locaux (dont celui de Montréal) sont gérés de façon indépendante et selon un [https://www.owasp.org/index.php/Chapter_Leader_Handbook manuel de directives à respecter].
Toute contribution financière au chapitre peut être faite en ligne en utilisant l’icône prévu à cet effet. Pour être conférencier au sein de n’importe quel chapitre à l’échelle mondiale, vous n’avez qu’à prendre connaissance du document [https://www.owasp.org/index.php/Speaker_Agreement "entente avec les conférenciers – speaker agreement"] et à joindre le responsable du chapitre Montréal avec un descriptif du sujet que vous aimeriez aborder et s’il est relié à un projet OWASP, à de la recherche indépendante ou encore le sujet en particulier, concernant la sécurité applicative, que vous souhaitez aborder.

== [[Image:Circle_owasp_logo_nowhitebackground.png|128px]] Montreal OWASP Team ==

Scope of the team is to discuss and plan local activities and meetings

=== Chapter Leaders ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique

==== Chapter leader history ====
*2008-2010 - Benoit Guerette, founder and chapter leader
*2011-2012 - Philippe Gamache, chapter leader (vice chapter-leader since 2010)
*2013-2015 - Jonathan Marcil, chapter leader
*2016-... - Anne Gauthier, Michel Bourque, Marius Popescu, Hugo Genesse, Olivier Arteau

==== Old board members ====
*Philippe Pépos Petitclerc
*Michael Robillard
*Benoit Guerette (logistics 2015)
*Alexandre Rimthong
*Mathieu Binette
*Sean Coates
*Jean-Marc Robert
*Philippe Blondin
*Benoit Guerette (founder)
*Laurent Desaulniers
 

<headertabs/>
__NOTOC__
[[Category:Canada]]

File:Nsec 2017 midi conf.jpg

2017-08-14T19:55:34Z

Svieg:

File:Howto ctf.jpg

2017-08-14T19:53:45Z

Svieg:

File:Cas dattaques vecus-r.jpg

2017-08-14T19:51:21Z

Svieg:

File:Security tessting hybrid approach-r 2.JPG

2017-08-14T19:44:56Z

Svieg: Svieg uploaded a new version of File:Security tessting hybrid approach-r 2.JPG

File:Security testing hybrid approach-r 3.jpg

2017-08-14T19:42:35Z

Svieg:

File:Security tessting hybrid approach-r 2.JPG

2017-08-14T19:39:38Z

Svieg:

Montréal

2017-08-14T17:40:54Z

Svieg:

== Welcome & Bienvenue to the OWASP Montréal chapter ==
 
[[Image:OWASP-Montreal-Logo.png|Logo OWASP Montréal]]

The OWASP Foundation was established in 2001 as an open community and software security resource. Since then, OWASP has grown to be globally recognized as a credible source for application security standards. 
OWASP is an open community dedicated to enabling organizations to conceive, develop, acquire, operate, and maintain applications that can be trusted. All of the OWASP tools, documents, forums, and chapters are free and open to anyone interested in improving application security. We advocate approaching application security as a people, process, and technology problem because the most effective approaches to application security include improvements in all of these areas. 
OWASP is open to anyone. Anyone can attend OWASP's vendor agnostic local chapter meetings, participate in regional and global conferences, and contribute to the many OWASP projects. And anyone can start a new project, form a new chapter, or lend their expertise to help an OWASP Global Committee. 
On parle français aussi ! Le chapitre de Montréal organise plusieurs activités gratuites afin de partager les connaissances en sécurité applicative avec la communauté de développeurs et gestionnaires. Suivez-nous sur les réseaux sociaux pour connaître les dates des conférences du midi et des workshops ! 

Top documentation from OWASP includes:

* [https://www.owasp.org/index.php/Top_10_2013-Top_10 OWASP TOP 10 : The Ten Most Critical Web Application Security Risks]

* [https://www.owasp.org/images/3/33/OWASP_Application_Security_Verification_Standard_3.0.1.pdf OWASP ASVS : Application Security Verification Standard]

* [https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf OWASP Testing Guide : Penetration Testing Framework ]

* [https://www.owasp.org/images/7/78/OWASP_AlphaRelease_CodeReviewGuide2.0.pdf OWASP Code Review Guide : Source Code Analysis Framework ]

* [https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series OWASP Cheat Sheet : Best practices guidelines for developers ]

* [https://www.owasp.org OWASP Global ]

=== Chapter Leaders / Responsables du chapitre ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique
 
Special thanks to / Remerciements :
* Simon Lacasse, Web content / Site internet

== Reach our chapter / Joindre le chapitre ==

Follow OWASP's Montreal chapter's activities through social medias, register to events, watch the previous presentations and more!

Suivez les activités du chapitre OWASP Montréal via les réseaux sociaux, inscrivez-vous aux activités, visualisez les anciennes présentations et plus encore!

 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Click here] to join the local chapter mailing list.
 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Inscrivez-vous ici] à la liste de courriels du chapitre afin de recevoir les dernières nouvelles!

Want to be part of the community ?
Devenez membre de notre communauté !
[https://www.owasp.org/index.php/Membership_Map Click here / Cliquer ici]

[[Image:Eb_press_little.gif‎|OWASP Montreal Eventbrite|link=http://owaspmontreal.eventbrite.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Yt-brand-standard-logo-630px.png‎|128px|YouTube OWASP Montreal Channel|link=http://www.youtube.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Speakerdecklogo.png‎|Slides of OWASP Montreal on SpeakerDeck |link=https://speakerdeck.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]

 
[[Image:Twitter-bird-cropped-onwhite.png|@owaspmontreal on Twitter|link=https://twitter.com/owaspmontreal]]
[[Image:FacebookSquareLogo.png|OWASP Montreal Facebook page|link=https://www.facebook.com/owasp.montreal]]
[[Image:LinkedinSquareLogo.png|OWASP Montreal on LinkedIn|link=https://www.linkedin.com/groups/1379007/profile]]

[[Image:Spacer-horiz.gif‎]]

== Sponsorship & Membership / Commandite & Adhésion ==

[[Image:Btn_donate_SM.gif|link=http://www.regonline.com/donation_1044369]] to this chapter or become a local chapter supporter.

Or consider the value of [[Membership | Individual, Corporate, or Academic Supporter membership]]. Ready to become a member? [[Image:Join_Now_BlueIcon.JPG|75px|link=https://myowasp.force.com/]]

[http://www.regonline.com/donation_1044369 Donnez] au chapitre ou devenez commanditaire du chapitre local!

[https://myowasp.force.com/ Devenez membre !] Pour en savoir davantage sur les avantages d’une adhésion individuelle, corporative ou en tant qu’institution d’enseignement, [https://www.owasp.org/index.php/Membership cliquez ici].

[[Category:OWASP Chapter]]

== Chapter Supporters / Commanditaires du chapitre ==

[https://www.owasp.org/images/9/91/OWASP_Membership_Flyer_Montreal.png All details available here / Pour tous les détails ] [[File:Chapter-supporter-owasp-montreal.png|200px|link=https://www.owasp.org/images/9/91/OWASP_Membership_Flyer_Montreal.png]]

=== Platinum / Platine ===

[[Image:Gosecure-2.png|GoSecure|link=http://www.gosecure.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[File:Desjardins2-400x400.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 
 

=== Gold / Or ===

[[Image:ImmunioLogo.jpg|Immunio|link=https://www.immun.io/]]

 
 
 

= Lunch & Learn / Workshops 2017 =

== HOW TO! Threat Modeling Toolkit ==

[[Image:OWASPMtl-JonathanMarcil-1.jpg]]
[[Image:OWASPMtl-JonathanMarcil-3.jpg]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit]] [https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit See the slides / Voir la présentation]

WHEN
May 23rd, 2017
WHERE
Shopify Montreal

Threat Modeling is a great way to analyze security early in software development by structuring possible attacks, bad actors and countermeasures over a broad view of the targeted system. This talk will describe basic components of a threat model and how to use them effectively.
Threat Intelligence is where you gather knowledge about the environment and business assets to determine what are the actual threats. But how do you reconcile that with the current architecture in a useful manner?
The toolkit presented in this talk will enable you to systematically structure related information using graphical notations such as flow diagram and attack tree. In case you are wondering where to start in your organization, a quick lightweight risk rating methodology will also be proposed.
And in the end, you’ll see how we can all tie those together and get threat modeling to a point where it’s an efficient application security activity for communication. Doing this will prevent security reviews from missing important things even when chaos prevails during the realization of a project.
Modeling concepts will be demonstrated with an actual IoT device used as example.
Presentation will be done in english.

Speaker Bio:
Jonathan Marcil is the former chapter leader of OWASP Montreal and is now Senior Application Security Engineer at Blizzard Entertainment in beautiful Orange County, California.
Jonathan has been involved with OWASP for many years and has been behind the Media Project which gathered and promoted AppSec conferences video content in the official OWASP YouTube channel. He was also part of NorthSec CTF event as a challenge designer specialized in Web and imaginative contraptions.
He is passionate about Application Security and enjoys architecture analysis, code review, threat modeling and debunking security tools. He holds a diploma in Software Engineering from ÉTS Montreal and has more than 15 years of experience in Information Technology and Security.

Merci à nos précieux commanditaires !

== Security Testing: Unlocking the Benefits of a Hybrid Approach ==
[[Image:Security testing hybrid approach-r.jpg ]]
 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/hybrid-approach-to-security-testing]] [https://speakerdeck.com/owaspmontreal/hybrid-approach-to-security-testing See the slides / Voir la présentation]

WHEN
April 24th, 2017
WHERE
Espace Desjardins

As part of their defensive efforts, businesses commonly commission cybersecurity assessments of their web applications; with the aim of identifying any weaknesses in the security controls and ensuring a continually strong cybersecurity posture of their systems.

The classical approach of either secure code review (white box) or penetration testing (black box) assessment have proven to be effective in securing of web applications. The new trend, however, is moving towards the combination of these two approaches; expert consensus is rapidly recognizing the advantages of using a hybrid approach. When applied properly, a hybrid approach can build on the strengths of both white and black box testing, while compensating for their individual shortcomings.

In this presentation, we will examine the details of secure code review and penetration testing, and run demos to contrast their respective strengths and weaknesses. We will also examine why a hybrid approach can produce more complete and relevant assessment results. To conclude, we will cover proven approaches, and practical techniques, on how you can start leveraging a hybrid approach to web application assessments today.

Anne Gauthier is an application security analyst at GoSecure. Anne is also the president of the Montreal Chapter of OWASP – the industry standard for web application security. With a penetration testing background, she specializes in secure code reviews and in helping companies to improve their software development lifecycle (SDLC) according to industry best practices. Anne is CSSLP, GWAPT and GSSP-JAVA certified. She obtained a Software Engineering bachelor’s degree from Ecole de Technologie Supérieure in Montréal and is now pursuing a Master of Engineering (MEng) degree in Information Systems Security at Concordia University. She is the author of the Project 201 Security blog.

Merci à nos précieux commanditaires !

== "HOW-TO" NIGHT ! Tout sur les CTFs (Capture The Flag) ==

WHEN
April 4th, 2017
WHERE
Shopify

Cette nouvelle soirée "How-To" Night d'OWASP Montréal vise à présenter les CTFs (une compétition Capture The Flag) et aider les équipes à démarrer et à continuer à évoluer dans leurs pratique de la cyber sécurité pratique. L'objectif est d'outiller les participants en leur fournissant des ressources techniques et des contacts afin de les aider à progresser.

Les éléments discutés seront:

- Composition optimale d’une équipe : Fonctionnement d’une équipe de CTF et les principaux rôles (chef d’équipe, cryptographie, application web, rétro ingénierie et les causes perdues).

- Pourquoi faire des CTFs? Discussion sur les différents styles (jeopardy, attack/defense, etc.), quels sont les problèmes fréquemments rencontrés + plusieurs anecdotes intéressantes (et drôles).

- Trucs de Mr. Unikoder : Le créateur du fameux site ringzer0team, soit un des plus gros sites pour apprendre la résolution de problèmes de CTF (https://ringzer0team.com/) Apprenez des trucs du meilleur, sur comment débuter et interpréter un challenge web, binaire et crypto avec des trucs réels du métier.

Matériel requis :

Votre légendaire enthousiasme

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement.

Présentateurs :

Charles Hamilton, Senior Consultant chez Mandiant, FireEye, Inc.

Olivier Bilodeau, Cybersecurity Research Lead at GoSecure

Laurent Desaulniers, Senior Security Solution Specialist at Bell Canada

== NorthSec - Applied Security Event ==

WHEN
April 4th, 2017
WHERE
Espace Desjardins

NorthSec: La plus grande compétition et conférence en cyber sécurité au Canada

NorthSec est un organisme sans but lucratif qui organise une conférence et une compétition de sécurité de type "Capture-The-Flag" (CTF) et des formations. Avec plus de 400 participants présents sur le site pour la compétition, c’est la plus grande compétition du genre au monde.

La conférence, dans sa 3e année, attire des présentateurs internationaux avec du contenu technique exclusif. L’ajout des séances de travail (workshops) devrait plaire aux plus chevronnés des binaires.

Des formations de 3 jours sont offertes avant la conférence: "Advanced Web Application Security" par Philippe Arteau et "Malware and Memory Forensics" par Michael Ligh, co-auteur des livres "Malware Analyst Cookbook" et "The Art of Memory Forensics".

NorthSec est situé au Marché Bonsecours dans le Vieux-Port de Montréal au printemps du 15 au 21 mai 2017.

La présentation couvrira:

- Le plan pour 2017 
- Ce qui différencie NorthSec 
- Comment équilibrer une compétition pour les débutants et les experts 
- Comment bâtir une infrastructure basée sur les conteneurs qui gère 50 équipes dans quelques serveurs sans qu’ils ne se partagent de machines virtuelles 
- Comment faire du pain au levain à grande échelle 
- Présentation de quelques défis et solutions 

Les présentateurs:

- Gabriel Tremblay, Président, Delve Labs 
- Olivier Bilodeau, VP Formations, Co-fondateur MontréHack, GoSecure 
- Pierre-David Oriol, VP Conférences, Delve Labs 
- Benoit Guérette, VP Partenaires, Desjardins 
- Laurent Desaulniers, Tisserand de drapeaux, Bell Canada 

Merci à nos précieux commanditaires !

== Sécurité des applications : Les fondements ==

WHEN
March 20th, 2017
WHERE
Espace Desjardins

OWASP Montréal est fier d’accueillir au Midi Conférence du mois de mars, Mme Tanya Janca, Co-Leader du chapitre OWASP Ottawa et spécialiste de la sécurité applicative au sein du Gouvernement fédéral.

La conférence « Les fondements de la sécurité des applications » sera présentée en anglais.

Session Description : Everyone has heard about the problem; everyone is “getting hacked”. But what is the answer? From scanning your code with a vulnerability scanner to red teaming exercises, developer education programs and bug bounties, this talk will take the audience through all the possibilities of an extensive application security program, with a detailed explanation of each part.

Bio : Tanya Janca is an application security evangelist, a web application penetration tester and vulnerability assessor, a secure code reviewer, an ethical hacker, the Co-Leader of the OWASP Ottawa chapter, and has been developing software since the late 90’s. She has worn many hats and done many things, including; Custom Apps, Ethical Hacking, COTS, Incident Response, Enterprise Architect, Project and People Management, and even Tech Support. She is currently helping the Government of Canada secure their web applications.

Merci à notre commanditaire principal de cet événement: Ubitrak!

== WORKSHOP ! Server Side Template Injection (SSTI) ==

[[Image:Workshop-okiok-SSTI-r.jpg | WORKSHOP ! Server Side Template Injection (SSTI) ]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti]] [https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti See the slides / Voir la présentation]

WHEN
22 Février 2017
WHERE
Shopify Montréal

OWASP Montreal vous invite à un atelier portant sur la sécurité des applications web supportant les moteurs de template (Template Engine). Le principe de séparation entre la présentation du site (code HTML statique) et de son contenu dynamique facilite la création de documents HTML et la capacité à modifier l'apparence du site sans mélanger le traitement et le rendu de la page. L'utilisation de moteurs de template amène de nouveaux enjeux de sécurité. Les vulnérabilités de type Server Side Template Injection (SSTI) sont exploitables à travers les données (non fiables) fournies par l'utilisateur et conduisent à l'exécution de code arbitraire (RCE) sur le serveur hébergeant l'application web. 

Ce workshop a pour but d'introduire cette classe de vulnérabilité à travers différents cas d'implémentation (php, java, python).
Nous verrons comment identifier et exploiter ces vulnérabilités et de quelle manière un attaquant peut
s'y prendre pour exécuter du code arbitraire sur le serveur afin d'en prendre le contrôle. 

Niveau : Intermédiaire 
Matériel requis :
* Votre portable
* Votre distribution Linux/Unix de votre choix
* Votre proxy Web de votre choix

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.
Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.
Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement. 

Présentateur : Gérôme Dieu 
Gérôme Dieu cumule plus de 7 années d’expérience en technologies de l’information et en sécurité.
Il œuvre à titre de conseiller senior en sécurité de l’information au sein de la firme OKIOK. Ces dernières années, il a acquis une expertise dans le domaine de la sécurité des applications web aussi bien d'un point de vue offensif que défensif. En plus de réaliser des tests d’intrusion pour des clients internationaux, Gérôme s’implique dans la recherche et développement afin de maintenir à la fine pointe de la technologie les tests d'intrusion et d'analyse de vulnérabilités. 

Merci à Shopify d'héberger l'événement ! 
[[Image:Shopify Logo-r.png| Shopify | link=https://www.shopify.com/]]
== Le courriel en 2017 – risques et menaces pour tous ==

[[Image:Zero spam 2.jpg|Le courriel en 2017 – risques et menaces pour tous]]

[[Image:Video-link.png | Link to video | link=https://www.youtube.com/watch?v=HX2vcijcCWw ]] [https://www.youtube.com/watch?v=HX2vcijcCWw Watch the conference / Regarder la conférence ] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

WHEN
Le 23 janvier 2017 à midi
WHERE
Espace Desjardins

Monsieur Poellhuber nous brossera un tableau du phénomène grandissant du rançongiciels et de l'hameçonnage, personnification. 

- Par les années passées, la menace courriel se résumait principalement en un fort volume de contenu simplement indésirable. Aujourd’hui la menace a passablement évolué. Quels sont les véritables risques actuels associés au courriel ? Rançongiciels, hameçonnage, personnification. Cette conférence présentera les nouveaux défis de sécurité pour les organisations qui doivent composer avec des attaques de plus en plus sophistiquées et de plus en plus ciblées tout en protégeant leur réputation. Des exemples biens réels, drôles et moins drôles seront disséqués pour bien dessiner l’ampleur de l’enjeu. 

M. David Poellhuber, Chef de l’exploitation, ZEROSPAM Sécurité Inc 

Note biographique : 
Monsieur David Poellhuber oeuvre dans l’industrie de la sécurité informatique depuis quinze ans. Il a été conférencier dans plusieurs forums de sécurité au Canada et est maintenant reconnu comme une autorité en matière de sécurité du courriel. Il a fondé ZEROSPAM Sécurité en 2003, le premier service Québécois externalisé de sécurité du courriel infonuagique qui se distingue par sa convivialité, son efficacité et ses technologies de détection proactives. 
Audience : Généralistes et spécialistes de la sécurité des TI
 
Merci à Ubitrack pour le repas et à Desjardins d'héberger l'événement!

[[Image:Ubitrak-r2.jpg|Ubitrak|link=http://www.ubitrak.com/fr/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]

== Effective XSS Mitigation ==

[[Image:XSS mitigation.jpg | Effective XSS Mitigation ]]

[[Image:Presentation-link.png | Slides| link=http://slides.com/olivierarteau/xss-mitigation ]] [http://slides.com/olivierarteau/xss-mitigation See the slides / Voir la présentation]

WHEN
18 Janvier 2017
WHERE
Google Montréal

FRANÇAIS/ENGLISH 
La mitigation de XSS a été un sujet important au cours des dernières années. Les navigateurs ont implémenté, en autre, deux fonctionnalités pour mitiger leur impact : l'entête "XSS-Protection" et l'entête "Content-Security-Policy". Par contre, obtenir une mitigation contre les XSS efficace est souvent plus complexe que l'on pense. Cet atelier couvrira les deux entêtes. Il expliquera comme il est possible de contourner ces protections et ce qu'il est possible de faire pour se protéger. Des exercices de type "offensif" et "défensif" seront proposés.
Mitigation for XSS as been an important topic in the last few years. Browsers have implemented two main functionalities to help mitigate the impact of XSS : the "XSS-Protection" header and the "Content-Security-Policy" header. But, getting an effective XSS mitigation of those headers is trickier than it may seem. This workshop will cover both of those headers. It will explain how bypass of those protection work and what you can do about it. It will have both "defensive" exercises and "offensive" exercises.
Niveau : débutant/intermédiaire
 
Matériel requis :

Votre portable 

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Google pour l'événement.
 
Présentateur : Olivier Arteau
 
Olivier Arteau est un professionnel en sécurité informatique depuis quelques années et fait partie de l’équipe de test d’intrusion de Desjardins. Il est aussi un amateur de CTF qui a gagné à plusieurs reprises le CTF du NorthSec avec l’équipe HackToute et participe fréquemment à d’autres CTF avec l’équipe DCIETS.
 

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

= Lunch & Learn / Workshops 2015-2016 =

== WORKSHOP ! Top 10 OWASP - Unleash the threats ==

[[Image:Workshop-top10.jpg | WORKSHOP! Top 10 OWASP - Unleash the threats ]]

WHEN
30 novembre 2016 de 17h30 à 20h30
WHERE
Immunio @ WeWork

De nos jours, la sécurité applicative est essentielle dans l’écosystème des entreprises de toutes tailles. Les vecteurs d’attaques sont multiples, les vulnérabilités de sécurité dans les applications peuvent être désastreuses et les impacts d’un « Hack » peuvent être irréversibles pour l’entreprise; vols de données sensibles, perte de réputation, perte de $$$$$, etc.
L’objectif du workshop est de comprendre la base sur les vulnérabilités de sécurité dans les applications et les techniques d’exploitation utilisées par les pirates informatiques, en plus de connaître les bonnes pratiques de développement en matière de sécurité applicative.
Avec l'aide de WebGoat, Damn Vulnerable Web Application et de Kali Linux, vous pourrez participer
à l'exploitation des applications et découvrir les techniques utilisées par les attaquants.

Niveau : débutant

Matériel requis :
Votre portable
Kali Linux
La VM du workshop, envoyée aux participants

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places très limitées (nb = 10). Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Immunio & WeWork pour l'événement.

Présentateur : Christian Leclerc

Christian est spécialisé en conception et développement de solutions web sécuritaires. Tout au long de sa carrière, il a acquis une vaste expertise sur plusieurs types de technologies et méthodologies, intégré la sécurité dans le cycle de développement d’applications, effectué des revues de code sécurité, déployé des outils d’analyse des vulnérabilités et mis en place des systèmes d’authentification. De plus, il a participé à la conception et au développement de solutions sécuritaires de pointe comme la signature électronique à l’aide d’une infrastructure à clé publique (PKI), les authentifications fortes, le Registre des consentements au don d'organes et de tissus (RDOQ.org) et la migration de plusieurs applications web vers un environnement SOA (Service Oriented Architecture).
 Merci à Immunio & WeWork d'héberger l'événement! 

[[Image:Immunio-horizontal-r.png|Immunio|link=https://www.immun.io/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Wework-r.jpg|WeWork|link=https://www.wework.com/]]
 

== Histoire d'un Hack ==

[[Image:Histoire-dun-hack-r.jpg | Histoire d'un Hack ]]

WHEN
21 novembre 2016 à midi
WHERE
Espace Desjardins

Pour son activité du mois de novembre, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de faire l'autopsie d'une attaque de haute voltige sur un site web et des outils mis à la disposition par OWASP.

Bernard Bolduc cumule plus de 17 années d’expérience en technologies de l’information et en sécurité. Il œuvre à titre de conseiller senior en sécurité de l’information au niveau d’entreprise de classe nationale et internationale.

Bernard se spécialise en sécurité Unix, applicative et en gestion de la sécurité des télécommunications. Il combine ces expertises techniques afin d’obtenir des résultats probants et efficaces pour ces clients des secteurs bancaire, télécommunication et multimédias, de l’énergie ou des services publiques. Tout au long de sa carrière, Bernard s’est toujours maintenu à jour sur les dernières menaces de sécurité technologique et commerciale en assistant à des formations spécialisées et d'échanger avec un grand nombre de partenaires dans l'industrie de la sécurité.

La conférence débute à midi.

La conférence vous donne droit à 1 CPE et pour les 50 premières personnes, un lunch gratuit.

Merci à Desjardins d'héberger l'événement!

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite) ==

[[Image:Workshop-zap-mix.jpg | Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite)]]

WHEN
11 novembre 2016 de 18h à 21h

WHERE
Google Montréal

OWASP Zed Attack Proxy (ZAP) est un scanneur de vulnérabilités et un outil de débogage HTTP. Ce type d'outil est crucial dans un test d'intrusion web et contient un lot intéressant de fonctionnalités. Cela dit, il est possible d'étendre les fonctionnalités. Plusieurs types d'extension sont possibles : vue alternative pour les requêtes ou les réponses, scanneur passif des réponses, scanneur actif produisant des requêtes, etc.

Plusieurs options seront données, par exemple :

Détection automatique de flag dans les sources
Scanneur actif asynchrone DNS
Ou votre propre idée

Pour chacune des suggestions, des squelettes de code seront fournis pour les APIs de ZAP. Pour les utilisateurs de BurpSuite, des directives analogues seront également données.

Niveau : débutant / intermédiaire

Matériel requis

Votre portable
[https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project OWASP ZAP (gratuit)]
[https://portswigger.net/burp/download.html BurpSuite]
Éditeur de code pour Java, Python ou Ruby

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Présentateur : Philippe Arteau

Philippe est un chercheur en cybersécurité chez GoSecure. Il est l'auteur de l'outil d'analyse statique Java "Find Security Bugs". Il a découvert des vulnérabilités importantes dans les logiciels populaires tels que Google Chrome, Dropbox, Paypal, RunKeeper et Jira. Il a présenté dans différentes conférences incluant Black Hat USA, Black Hat Europe, ATL Sec Con, NorthSec, Hackfest (QC) et JavaOne. Il a développé de nombreux plug-ins pour les outils de proxy BurpSuite et OWASP ZAP (Retire.js, Reissue Request Script, PDF preview et Image Metadata). Il a fait également des contributions à d'autres plug-ins comme J2eeScan.

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

==Logiciel de rançon (Ransomware) s'attaque au domaine de la santé==

[[Image:HackingHealth-2.jpg | Logiciel de rançon (Ransomware) s'attaque au domaine de la santé ]]

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health ]] [https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health See the slides / Voir la présentation]

(Conférence en anglais)
Pour le lancement de la saison 2016 - 2017, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de la santé une incursion dans le monde du logiciel malveillant ciblant le domaine de la santé. 
Cette conférence s'intége dans le Coopérathon co-organisé par le Mouvement Desjardins et Hacking Health. 
Le domaine de la santé serait devenu une cible privilégiée des campagnes de ransomware parce que l'industrie a souvent payé la rançon demandée pour récupérer les données confidentielles et vitales de ses clients. Monsieur Ed Gershfang nous brossera un portrait du phénomène et des meilleures pratiques à mettre en place en matière de sécurité applicative.
Ed Gershfang possède une expérience solide dans l'infrastructure informatique et plus de 6 ans d'expérience dans les domaines de la sécurité de l'information, de la vulnérabilité, de la gouvernance et de la gestion des risques. Il était directeur de la sécurité pour la société PeriGen, un chef de file de développement de logiciels médicaux en Israël.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative vue par un pentesteur ==

[[Image:Juin2016-OWASPMtl.jpg | OWASP Montréal reçoit Mario Contestabile, Pentester de renom ]]
 
From Left to Right : Isabelle Lusseyran, Head of Development at Hacking Health. Eduard Gershfang Information Security Analyst at WSP | Parsons Brinckerhoff.

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile ]] [https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile See the slides / Voir la présentation]
 
Pour clore la saison 2015 – 2016, OWASP Montréal est fier d’accueillir au Midi Conférence un des architectes de renom du développement applicatif au Canada, monsieur Mario Contestabile.
En tant qu’auteur de plusieurs centaines de tests d’intrusion, il connait tous les rouages de ce qu’est véritablement une application Web «sécurisée». Mais avez-vous déjà remarqué que les rapports de tests d’intrusion mentionnent rarement, voir jamais : «Votre site est très difficile à pirater. Félicitations !» ?
Et qu’en est-il de ces rapports qui contiennent des dizaines de soi-disant vulnérabilités ? Est-ce que cela signifie d’emblée que l’application devrait être mise hors ligne ?
 
Lors de cette conférence, nous examinerons des rapports concrets (ambigus) de vulnérabilités et nous les analyserons afin de mieux comprendre si elles représentent une véritable menace, ou si elles ne servent qu’à «remplir» les rapports.
 
Avec son expertise en protection et en attaque d’applications Web, il abordera les points suivants :
Comment pouvez-vous sélectionner des systèmes de façon à mieux exécuter des protections de sécurité ?
Éviter certains pièges dans votre application Web qui rendent les attaques plus faciles et la protection plus difficile.
De nos jours, que peuvent faire les développeurs à l’intérieur de systèmes communs, qui puisse me rendre la tâche plus ardue en tant que « hacker »?
Pouvons-nous exiger de meilleurs rapports de la part des firmes de sécurité?
À quoi devrions-nous nous attendre de la part d’un « pentesters »?
Comment pouvons-nous savoir si le « pentester » a vérifié les failles de l’application et qu’il n’a pas simplement utilisé un scanneur?
Et enfin, comment pouvons-nous aider les « ethical hackers » à obtenir un meilleur rendement lors d’un test d’intrusion?
Il expliquera le sujet en détails, et ensemble, nous verrons de quelles façons les développeurs d’applications peuvent exploiter le savoir-faire des « pentesters », et comment nous pouvons faire en sorte qu’une application Web soit protégée.
Biographie :
Mario Contestabile est reconnu comme l’un des experts en sécurité les plus réputés au Canada. Son expertise, construire et protéger votre plateforme applicative. Ancien développeur C++ et Java, Mario partage ses nombreuses connaissances en « ethical hacking » et en développement de codes sécurisé.
 
WHEN
Tuesday, 14 June 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Comment protéger les applications mobiles? ==

[[Image:Avril2016-OWASPMtl.png | Comment protéger les applications mobiles? ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles ]] [https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles See the slides / Voir la présentation]
 
Dans le cadre des Midis Conférence à l'Espace Desjardins, l'équipe OWASP Montréal vous invite à assister à une présentation sur les vulnérabilités les plus communes associées aux appareils mobiles.
Marie-Claire Willig détaillera entre autres comment stocker de façon sécuritaire les données de l’application mobile ainsi que protéger l’application contre des attaques externes. Des outils simples vous seront dévoilés pour détecter ces vulnérabilités.
Marie-Claire est une professionnelle d'expérience en sécurité appliquée.
Une grande partie de son intérêt professionnel réside actuellement dans un domaine assez niche, soit la revue de code sécuritaire, un fondement important de tout cycle de développement sécuritaire en entreprise.
Au sein de l'équipe de sécurité technologique Desjardins, elle est, en autre, responsable de former les développeurs (Java et .NET principalement) afin de les sensibiliser aux meilleures pratiques de développement sécuritaire.
Également, elle est une professionnelle des tests d'intrusion sur les applications web, les applications mobiles ainsi que l'infrastructure réseau.
Bienvenue à tous
 
WHEN
Wednesday, 20 April 2016 from 12:15 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ==

[[Image:Mars2016-OWASPMtl.jpg | NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/YQtvltQYs7Y]] [https://youtu.be/YQtvltQYs7Y Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
OWASP Montréal est fier d’inviter au Midi Conférence de mars, NorthSec est le plus gros événement de sécurité appliquée au Canada qui comprend deux jours de formation, deux jours de conférences ainsi qu’une compétition du genre « capture the flag » (CTF) de trois jours.
Gabriel Tremblay, Benoit Guerette, Pierre-David Oriol et Laurent Desaulniers viendront vous parler de cet organisme sans but lucratif dynamique qui est géré par une équipe de bénévoles passionnés qui donnent à chaque année leur énergie et leur temps pour soutenir la communauté de la sécurité de l’information.
Le volet compétition, l’épreuve maîtresse, est présentée sous forme d’un scénario qui rend cohérent une centaine de défis techniques. Les équipes de participants attaquent l’infrastructure de compétition pour soutirer des drapeaux (flags) à travers un ensemble de vulnérabilités présentes comme de l’injection SQL, des XSS ou encore l’exploitation d’exécutables sur systèmes embarqués. Quelques exemples de défis des années passées seront également présentés.
Le volet conférence, qui est à sa 2ème année, met de l’avant plusieurs présentations techniques touchant la sécurité applicative mais aussi l’éthique et leurs impacts sociaux. Certaines présentations confirmées seront dévoilés.
Le tout nouveau volet formation propose deux formations en sécurité applicative de calibre international (anglais) : “Advanced Web Security Testing with Burp Pro” et “Modern Object-Oriented Malware Reverse Engineering”.
Venez aussi, découvrir comment l'équipe est partie d'une idée en 2012 pour se rendre à un évènement d'envergure, qui rassemblera plus de 600 professionnels, étudiants et autres passionnés de sécurité appliquée lors de la 4ème édition qui aura lieu du 17 au 22 mai 2016 au Marché Bonsecours.
Finalement, la mission, la vision ainsi que les activités sociales de la semaine de NorthSec sont aussi au menu de cette présentation qui sera suivie d’une période de questions.

Gabriel Tremblay, Delve Labs, Président
Benoit Guerette, Desjardins, VP Finances

Pierre-David Oriol, Delve Labs, VP Conférence
Laurent Desaulniers, Bell Canada, Artisant de drapeaux
 
WHEN
Wednesday, 23 March 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative et l'hameçonnage - February 24th ==

[[Image:Fevrier2016-OWASPMtl.jpg | La sécurité applicative et l'hameçonnage ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/1RYlOiIENjQ]] [https://youtu.be/1RYlOiIENjQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 

De nos jours, une des méthodes les plus efficaces pour contourner les périmètres de sécurité externes est l'hameçonnage conjointement avec l’abus de certaines technologies Web.

Dans le cadre ses activités, OWASP Montréal est heureux d'inviter d'accueillir, l'équipe OKIOK qui présentera les impacts liés à ce type d'attaque, tel que vu et expérimenté en entreprise ainsi que les plans d'action pour traiter ces risques. La présentation abordera aussi bien la sécurité web et applicatives, des systèmes informatiques ainsi que de la sécurité physique de centres de données.

Capture d'informations sensibles par imitations de portails Web ;
Authentification Web par 2-facteurs ;
Injection SMTP dans des formulaires Web ;
Attaque de type “Drive-by-download”;
Prise de contrôle à distance à travers des flux HTTP;
Attaque de CSRF à partir de courriels ;
Attaque d'hameçonnage basée sur des achats par Internet (ex : PayPal).
 
When
Wednesday, 24 February 2016 from 12:00 PM to 1:15 PM (EST) - Add to Calendar
Where
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest Montreal, Quebec CA

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Internet of {Things, Threats} - January 20th ==

[[Image:Janvier2016-OWASPMtl-R.png | Internet of {Things, Threats} ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html ]] [http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html See the slides / Voir la présentation]
 
De plus en plus de périphériques se retrouvent connectés sur Internet. Sous la bannière "Internet of Things" (IoT) ces équipements, que ce soit une pompe à insuline ou un système de caméra de sécurité, tournent généralement sous un système GNU/Linux embarqué d'architecture MIPS ou ARM. La difficulté de mettre à jour ces équipements ainsi que le peu d'effort mis dans la sécurité des systèmes ou la sécurité applicative en font des cibles de choix. Ces derniers mois, nous avons analysé plusieurs logiciels malveillants ciblant ces architectures. Que ce soit par l'exploitation d'une vulnérabilité (Shellshock) ou encore un défaut de configuration, ces systèmes exposés sur Internet peuvent être compromis.

Notre présentation couvrira quelques une de ces analyses:

* Linux/Moose, un malware se propageant automatiquement qui fraude les réseaux sociaux (par exemple Facebook, Twitter et YouTube)
* LizardSquad et acteurs étrangers qui utilisent des systèmes embarqués compromis pour réaliser des dénis de service distribué (DDoS)
* Win32/RBrute est un logiciel malveillant qui tente de changer les paramètres de routeurs dans le but de faire du "DNS poisoning". Il a été distribué par le populaire botnet Sality.
* Un kit d'exploits qui utilise seulement le navigateur de leur victime avec le même objectif, c'est-à-dire faire du "DNS poisoning".

Enfin, des conseils seront proposés à l'audience pour l'aider à se protéger de ces menaces.

'''Thomas Dupuy''' (twitter: @nyx__o)

Thomas est chercheur en logiciel malveillant chez ESET Canada Recherche. Bon vivant, Thomas déjeune en "reversant" des binaires, contribue à quelques projets open source durant le diner (yara, yara rules, pefile, APTnotes) et la nuit participe à des "Hacking Games" (Capture The Flag). Curieux de nature Thomas analyse des malware aux architectures "exotiques".

'''Olivier Bilodeau''' (twitter: @obilodeau)

Olivier Bilodeau is the head of Cybersecurity Research at GoSecure a consultancy firm specializing in cybersecurity services for the public and private sector. With more than 10 years of infosec experience, Olivier worked on Unix servers at Bell Canada, managed a portion of Air Canada's network, wrote open source network access control software at Inverse and worked as a Malware Researcher at ESET. He likes to reverse engineer everything that crosses his path, participate in information security capture-the-flag competitions, hack open source code and brew beer. He has spoken at various conferences (Defcon, Botconf, VirusBulletin, Derbycon, ...), used to lecture on information security at ETS University in Montreal, drives the NorthSec Hacker Jeopardy and co-organizes the MontreHack capture-the-flag training initiative. His primary research interests include reverse-engineering tools, Linux and/or embedded malware and honeypots.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Survivre aux attaques DDOS applicatives ==

[[Image:Decembre2015-OWASPMtl.jpg | Survivre aux attaques DDOS applicatives ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
Survivre aux attaques DDOS (Distributed Denial-Of-Service) applicatives.
Cette conférence s'adresse aux professionnels et gestionnaires des TI.
Conférencier : Christian Shink, ing., CSSLP, ingénieur système chez Radware, manufacturier spécialisé dans la prévention des attaques DDOS. Il fut également consultant en sécurité applicative chez In Fidem.
Objectifs de la conférence:
Présenter les tendances actuelles en matière d'attaques DDOS applicatives.
Renseigner les participants sur les techniques et stratégies pour contrer ces attaques illustrées à partir de cas vécus.
Démystifier certains mythes en ce qui concernent les façons efficaces de protéger les applications contre des attaques DDOS.
Date : 16 décembre 2015
Heure : 11h45
La conférence débute à 12h00 et se termine à 12:55.
Un lunch sera servi.
Réservez maintenant!
1 CPE
 
WHEN
Wednesday, 16 December 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Sécurité des applications - Systèmes de contrôles industriels ==

[[Image:Novembre2015-OWASPMtl-R.png | Sécurité des applications - Systèmes de contrôles industriels ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/0eAZpyiQQ9A]] [https://youtu.be/0eAZpyiQQ9A Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

La sécurité des applications et les systèmes de contrôles industriels.
Cette conférence s'adresse aux professionnels et gestionnaires des TI desinfrastructures critiques qui exploitent ou gèrent des systèmes de contrôles industriels(SCI) et SCADA (surveillance et d'acquisition de données). 
Conférenciers : Robert Nastas, CSSA. Gestionnaire de projet et Youssef Jad, Architecte Cyber sécurité, ICS-CERT 
 
Objectifs de la conférence:
* Démystifier le domaine d'affaires.
* Renseigner les participants sur les bonnes pratiques de sécurité desapplications liées au secteur industriel.
* Proposer aux professionnels et gestionnaires des TI responsables dessystèmes SCADA et SCI des pistes de solutions aux enjeux de sécurité.
 
L'équipe OWASP Montréal vous remercie d'avoir assisté en grand nombre à la conférence, 'La sécurité des applications et les systèmes de contrôles industriels'.
 
WHEN
Wednesday, 18 November 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ==

[[Image:Septembre2015-OWASPMtl.jpg | Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert ]] [https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert See the slides / Voir la présentation]
 
Pour le lancement des activités corporatives de la saison 2015 - 2016, le 8 septembre prochain à 12:00, l'équipe OWASP Montréal convie les gestionnaires et artisants de la sécurité des TIC à venir entendre monsieur Éric Hébert qui nous présentera son interprétation des préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative. L'événement se tiendra au complexe Desjardins à la salle "Espace Desjardins".

''' ÉRIC G. HÉBERT, CISM, CISSP ''' 
Après plus de 20 ans passés dans le domaine de la sécurité des technologies de l’information, Éric se spécialise dans la mise en œuvre et la gestion d'équipes performantes, capables de relever les plus hauts défis de la cybersécurité moderne. 
Capable de dialoguer avec les hauts dirigeants, il sait traduire et vulgariser les enjeux techniques complexes tout en respectant la nature et l'appétence au risque de ses clients. Dynamique et pourvu d'une expérience couvrant presque toutes les sphères de la SI, il fonce dans le respect de la culture établie tout en implantant des solutions pragmatiques et efficaces. 
Depuis plus de 10 ans, il gravite principalement autour des entreprises du domaine financier (BNC, Desjardins, Fonds de solidarité FTQ...) et les accompagne dans la mise en place de solutions efficaces tenant compte à la fois des risques et des budgets.
En plus d’avoir fondé de nombreuses associations telles que le RéseauSécurIT et le RPSI, il maintient une présence régulière auprès des milieux associatifs professionnels et partage régulièrement ses expériences lors de conférences et d'entrevues avec divers médias.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

= Events / Évènements =

== Owasp Montreal at [https://nsec.io/ NorthSec 2017] ==

[[Image:NorthSec2017-5.jpg]]
[[Image:NorthSec2017-6.jpg]]

From Left to Right: Anne Gauthier, OWASP Montréal Chapter Leader (President) and Application Security Analyst at GoSecure, Hugo Genesse, OWASP Montréal Chapter Leader and Research Intern at PNF Software, Julien Touche, OWASP Montréal Chapter Leader and Principal Security Engineer at Nuance Communications

== OWASP Montreal at [https://2017.appsec.eu/ AppSec] ==

[[Image:OWASPAppSecBelfast2017-7.jpg]]

OWASP Montreal and Ottawa Chapter Leaders at OWASP AppSec Belfast, UK #WomenInAppSec

== OWASP Montreal at [https://hackfest.ca/ HackFest 2016] ==

[[Image:Hackfest2016-r.jpg| HackFest |link=https://hackfest.ca/]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Louis Nadeau, OWASP Québec Chapter Leader and Manager, Product Security at Bentley Systems and Patrick Leclerc, OWASP Québec Chapter Leader and Information Security Advisor at La Capitale.

== OWASP Montreal at OWASP [https://2016.appsecusa.org/ AppSec USA 2016, Washington] ==
 
 
[[Image:OWASPMtl-AppSecUSA2016-Washington.jpg | OWASP Montreal at AppSec USA 2016, Washington]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016, Alexandre Hamelin President at Synlabs Consulting Inc., Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [https://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

== OWASP Montréal at [https://www.gosec.net GoSec] 2016 ==

[[Image:OWASP-GoSec2016-1r.jpg|OWASP Montreal at GoSec 2016]] [[Image:OWASP-GoSec2016-2r.jpg|OWASP Montreal at GoSec 2016]]
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Simon Lacasse, student and volunteer, and Laurent Desaulniers, Security Analyst at Bell Canada.

== OWASP Montréal at [https://www.nsec.io/ NorthSec] 2016 – Annual Applied Security Event ==

[[Image:Hackfest2016-OWASPMtl.jpg|OWASP Montreal at NorthSec 2016]]

@Photo : Simon Veilleux
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Olivier Arteau OWASP Montréal Chapter Leader and Conseiller chez Groupe Technologie Desjardins, Hugo Genesse, OWASP Montréal Chapter Leader and Vulnerability Research Intern at Wurldtech Security Technologies.

== OWASP Montréal at [https://hackfest.ca/en/ Hackfest] 2015 ==

[[Image:Hackfest2015-OWASPMtl-R.JPG | OWASP Montreal at Hackfest 2015]]

@Photo : Hackfest
 
 
From left to right : Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [http://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

[[Image:Video-link.png | Link to video | link=https://youtu.be/8U0qkEuUFy8]] [https://youtu.be/8U0qkEuUFy8 Watch the video / Regarder la vidéo]

== OWASP Montréal at [https://www.gosec.net/ GoSec] 2015 – The Annual Cybersecurity Conference presented by GoSecure, EY and ISACA. ==

[[Image:GoSec2015-OWASPMtl.jpg|OWASP Montreal at GoSec 2015]]

@Photo : Marius Popescu
 
 
From left to right : Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016. Benoît Guérette, Application Security Team Leader at Desjardins, VP Finance at NorthSec and OWASP Montreal Chapter Founder and Former Chapter Leader.

== See also / Voir aussi ==

OWASP Montréal recommends Montréhack. Learn and share knowledge on IT security by solving technical challenges. Third Monday of every month.

OWASP Montréal recommende Montréhack. Apprends et partages des connaissances sur la sécurité informatique en travaillant des problèmes appliqués. Chaque troisième lundi du mois.

[[File:Montrehack.png|Montréhack|link=http://montrehack.ca/|alt=Montréhack]]

= Archives 2007-2015 =
{{:Montreal chapter past meetings}}

== OWASP Montreal - February 3rd - Getting to Know the Software Assurance Marketplace (SWAMP) ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/p4_vjufcB6Q]] [https://youtu.be/p4_vjufcB6Q Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer]] [https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Pat Beyer
*'''ADDITIONAL PRESENTER:''' Abe Megahed
*'''ABSTRACT:''' The Software Assurance Marketplace (SWAMP) is an open facility that is designed, built, and operated by four research institutions. The SWAMP provides no-cost access to an array of open-source and commercial software analysis tools. This presentation will provide an overview and demo of the SWAMP, including our goals, intended audience, current capabilities, and future plans. We will cover our relationship with OWASP, incorporation of open-source software assurance tools, and status as an open-source project and resource available to the software community. Visit https://continuousassurance.org/ to learn more about us.
*'''BIO:''' Pat Beyer serves as the Product Manager for the Software Assurance Marketplace (SWAMP). With over 25 years of experience successfully managing multi-million dollar global projects, Beyer’s expertise extends to the IT, construction, and operations sectors, with a specialization in managing government contracts and grants. A gifted communicator, Beyer is a sought after speaker due to his ability to deliver complex information about technology products and services in a way that is easily understood. He is a decorated combat veteran of the Global War on Terror, the international military campaign that started following the 9/11 terrorist attacks on the United States. In 2004, he constructed and rehabilitated over 20 schools, clinics, and water treatment plants for the Iraqi people using local contractors. Beyer also holds a Bachelor of Science, a Masters in Business Administration, a Ph.D. in Organization and Management, and a Project Management Professional (PMP) certification.
*'''BIO:''' Abe Megahed is a web developer for the Software Assurance Marketplace. In previous lifetimes, he has been a computer graphics researcher, a game programmer, a programming language and compiler nerd, a dot com company founder, a creator of helicopter simulations, and a developer of 3D simulations for NASA astronaut crew training.
*'''WHEN:''' Tuesday, February 3rd 2015
*'''WHERE:''' Room PK-1140 - UQAM Pavillon Président-Kennedy, 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' https://owaspmtlswamp2015.eventbrite.ca
*'''WEBCAST:''' https://www.youtube.com/watch?v=p4_vjufcB6Q
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer

*'''ACADEMIC PARTNER:''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session: Getting to Know the Software Assurance Marketplace
20:00-... End of the meeting

[[Image:SWAMP-Logo-Final-Med.png|300px|link=https://continuousassurance.org/]]
[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

== OWASP Montréal - 4 décembre - Malware côté serveur — évolution, méthodes d’opération et forensic Linux ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/lo8WDl-WQ3E]] [https://youtu.be/lo8WDl-WQ3E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille]] [https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Marc-Etienne M.Léveillé
*'''RÉSUMÉ:''' Les logiciels malveillants ciblant les serveurs ont évolué. Ils sont utilisés par des groupes de cybercriminels organisés dans le but de faire du profit via des redirections web et l’envoie de pourriels. La présentation portera sur Opération Windigo, une opération malveillante qui a affecté plus de 25 000 serveurs dans le monde. Après une brève description des composantes de Windigo, nous verrons comment les opérateurs déploient leurs logiciels malveillants et surveille leur réseau de serveurs infectés. Des trucs pratiques pour faire de la forensics sur des systèmes Linux seront donnés. Cette présentation est une suite à la présentation "Linux/Cdorked: Server side malware", donnée par Olivier Bilodeau à OWASP Montréal en 2013. La présentation sera en français avec des diapositives en anglais (aka Montreal-style).
*'''BIO:''' Marc-Etienne est un chercheur en logiciel malveillant chez ESET depuis 2012. Il se spécialise dans les logiciels malveillants qui s’attaquent à des plateformes inhabituelles comme aux produits fruités et aux oiseaux nordiques. Dernièrement, il passe beaucoup de son temps à faire la rétro-ingénierie de logiciels malveillants sur des serveurs Linux et s’intéresse à leurs méthodes d’opération. Il adore participer de façon collégiale aux CTFs avec ses amis les CISSP Groupies et jouer de la clarinette. Il tweet très peu à @marc_etienne_.
*'''QUAND:''' 4 décembre 2014 à 18h00
*'''OÙ:''' Local M-1510, Polytechnique Montréal, 2900 Boulevard Edouard-Montpetit
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-4-decembre-malware-cote-serveur-evolution-methodes-doperation-et-forensic-linux-tickets-14635313617
*'''ÉQUIPE ACADÉMIQUE:''' Polyhack - http://polyhack.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Malware côté serveur
19:30-20:00 Période de questions

[[Image:Polyhacklogonoirpetit.png|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]

== OWASP Montréal - October 23rd - XXE : À l’assaut des analyseurs XML ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/MZviLB9-42E]] [https://youtu.be/MZviLB9-42E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau]] [https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Philippe Arteau
*'''RÉSUMÉ:''' L'utilisation d’XML est fortement répandue. Le format est utilisé pour des fichiers de configuration, pour des métadonnées, pour des documents textes, et bien plus. La prise en charge de fichiers XML n’est pas sans risque. La plupart des analyseurs XML ne sont pas sécuritaires par défaut pour le traitement de fichier externe. Cette présentation fera un survol des vulnérabilités de type « Xml eXternal Entity » et de l’étendue des risques pour différents langages de programmation. Plusieurs démonstrations sont prévues.
*'''BIO:''' Philippe est conseiller en sécurité applicative pour le Groupe Technologies Desjardins. Au quotidien, il s’occupe d’effectuer des tests d’intrusions et des revues de code. Il a découvert des vulnérabilités importantes dans plusieurs logiciels populaires incluant Google Chrome, DropBox, ESAPI et Jira.
*'''QUAND:''' 23 Octobre 2014 à 18h00
*'''OÙ:''' École de Technologie Supérieure Local A-3230, 1100 Rue Notre-Dame Ouest, Montréal, QC H3C 1K3
*'''INSCRIPTION:''' http://www.eventbrite.ca/e/owasp-montreal-23-octobre-xxe-a-lassaut-des-analyseurs-xml-tickets-13426881163
*'''PARTENAIRE ACADÉMIQUE:''' ETS - DCI http://dciets.com/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:45 Mot de bienvenue
18:45-19:45 Présentation principale - "À l’assaut des analyseurs XML" Philippe Arteau
19:45-20:00 Période de questions

[[Image:Blason_dci.png‎‎‎|150px|link=http://dciets.com/]]
[[Image:ETS-rouge-devise-impr-fond_transparent.png|150px|link=http://www.etsmtl.ca/]]

== OWASP Montreal - July 24th - Web security for DevOps: the glory is in the headers ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/6bp1NCLT-YQ]] [https://youtu.be/6bp1NCLT-YQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil]] [https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Jonathan Marcil
*'''ABSTRACT:''' DevOps is a buzzword which can be easily demystified: in essence it is a process which aims to combine the development and system administration process into one; Operations. As developers become responsible for server setup, security counter measures are evolving as well. The line between server configuration and application behaviour has been blurred. In this talk we will cover some HTTP headers in regards to security such as CORS, CSP and HSTS. We will demonstrate several forms of attack, and how they can (should) be countered.
*'''BIO:''' Jonathan is devoted to security and specialized in Web application security. His main occupation is consulting in Web security, but deep down he is a developer with a agnostic vision of programming languages. He has a diploma in Software Engineering from Ecole de Technologie Superieure and more than 10 years of experience in Information Technology and Security.
*'''WHEN:''' At noon on July 24th 2014
*'''WHERE:''' 75 Queen Street, office 3100, Montreal, QC H3C 2N6
*'''REGISTRATION:''' You can join us on site for a pizza slice but this is mainly an online event. Contact jonathan.marcil@owasp.org.
*'''WEBCAST:''' https://www.youtube.com/watch?v=6bp1NCLT-YQ
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil
*'''EVENT SPONSOR:''' Pheromone http://www.pheromone.ca/
*'''PROGRAM:'''

12:00-12:10 Welcome and quick OWASP introduction
12:10-13:10 Main presentation - "Web security for DevOps: the glory is in the headers" Jonathan Marcil
13:10-... Open discussion and questions

[[Image:Logo-phero.gif‎|link=http://www.pheromone.ca/]]

== OWASP Montreal - June 18th - Gaps in the Clouds ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz]] [https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Robert Fritz
*'''ABSTRACT:''' Cloud technology offers agility and scaling, and a chance to break away from legacy IT choices. Unfortunately, skipping traditional IT activities often results in poorly patched systems, out of date firewalls, and overprovisioned entitlements wielded by admins whose “day job” is development. Boundaries of accountability and responsibility amongst cloud providers and consumers are confusing, vague, and shift, making security difficult to manage. In such an environment, a “BP-spill” event, where cost wins over safely safety, is likely. This talk will dive down into the cracks between the layers of cloud, and share some of the exciting dirt we have seen and expect to see in coming years.”
*'''BIO:''' Robert Fritz has been practicing security his entire career. Rob started as an Air Force lieutenant at Langley AFB and later at the Pentagon in Washington DC, building and managing classified networks. Finding he was getting too far from technology after a brief stint flying, he left the military to get back to the tech, and built security tools for HP in their HP-Unix lab. Over time he found himself in more and more security design discussions, so co-authored HP’s Commercial Application Threat Analysis Methodology, building an internal consulting practice at HP. This quantitative approach, led to two pending patents, an external-facing consulting practice, and his contributions to NIST IR-7502, the Common Configuration Scoring System (CVSS follow-on). He is the former lead editor for the Center for Internet Security’s HP-UX Benchmark, and current lead for the Android Benchmark. Robert now works for Morgan Stanley as global head of the Strategic Consulting team in the Security Architecture group, and leads the team’s cloud and social-media security practices.
*'''WHEN:''' June 18th 2014
*'''WHERE:''' 700 Rue Wellington, Floor 2, Montreal, QC H3C 3S4
*'''REGISTRATION:''' http://owaspmtl18junems.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz
*'''EVENT SPONSOR:''' Morgan Stanley http://www.morganstanley.com/
*'''PROGRAM:'''

18:00-18:30 Networking and Morgan Stanley Hosted Pizza and Soft Drinks
18:30-18:45 OWASP Chapter & Morgan Stanley Welcome
18:45-19:45 Main presentation - "Gaps in the Clouds" Robert Fritz
19:45-20:00 Open discussion and questions
20:00-... Optional, informal networking at Aziatic - 626 rue Marguerite-d'Youville, Montréal, QC H3C 1W7

[[Image:Morgan_Stanley_Historical_Logo.png|link=http://www.morganstanley.com/]]

== OWASP Montréal - May 26th - Récapitulatif des challenges NorthSec ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/P8_V3RI1Ru4]] [https://youtu.be/P8_V3RI1Ru4 Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''PRÉSENTATEUR PRINCIPAL:''' Laurent Desaulniers
*'''RÉSUMÉ:''' Solutions de la compétition en sécurité NorthSec 2014 sur les sujets de XXE + SSRF, WAF Bypass, Xpath Injection, DOM Injection, HTTP Only Flag bypass et contournement de captchas. Une bonne façon d'apprendre sur ces failles que vous étiez ou non un participant de la compétition.
*'''MESSAGE DU PRÉSENTATEUR:''' Vous voyez Rao dans votre soupe? Vous voulez une solution pour un XSS avec des cookies http only? Les captchas illisibles sont un problème? Assistez à la présentation de l'OWASP!
*'''BIO:''' Laurent Desaulniers est un passionné de sécurité informatique. Il a présenté au Hackfest, au colloque RSI, à OWASP et est challenge designer à NorthSec. M. Desaulniers détient les certifications CISSP, CISM, CISA et OSCP.
*'''QUAND:''' 26 mai à 18h00
*'''OÙ:''' Local PK-1140 - Pavillon Président-Kennedy 201, Avenue du Président-Kennedy, J2X 3Y7
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-26-mai-recapitulatif-des-challenges-northsec-tickets-11724413035
*'''WEBCAST:''' https://www.youtube.com/watch?v=P8_V3RI1Ru4
*'''ÉQUIPE ACADÉMIQUE''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Récapitulatif des challenges NorthSec
19:30-20:00 Période de questions

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== Networking with infosec communities - April 21st ==

[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''RÉSUMÉ:''' En collaboration avec Montréhack, mtlsec et NorthSec, nous organisons une soirée réseautage dans un pub du centre-ville. Du plaisir garanti avec les membres de plusieurs communautés infosec de Montréal!

*'''ABSTRACT:''' In collaboration with Montréhack, mtlsec and NorthSec, we are organizing a networking evening in a pub downtown. Fun guaranteed with the other security communities in Montreal!

*'''QUAND:''' 21 Avril 2014
*'''WHEN:''' April 21st 2014

*'''OÙ/WHERE:''' BENELUX - Brasserie Artisanale 245 Sherbrooke St W Montreal, QC H2X 1X7

*'''INSCRIPTION/REGISTRATION:''' https://www.eventbrite.ca/e/montrehack-avril-april-northsec-pre-party-tickets-11232307133

*'''PARTENAIRES/PARTNERS:''' Montréhack http://montrehack.ca/ - mtlsec http://blog.mtlsec.com/ - NorthSec https://www.nsec.io/
*'''PROGRAMME:'''
18:00-21:00 Networking
21:00-23:59 Remember to drink responsibly!

== OWASP Montréal - March 27th - Panel Compétition en sécurité NorthSec ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

'''Présentation sous forme de panel - venez poser vos questions!'''

*'''RÉSUMÉ:''' Les compétitions de type Capture the Flag (CTF) sont un moyen pour les professionnels et amateurs de sécurité informatique de mettre leurs talents à l'épreuve. NorthSec est une compétition Montréalaise annuelle en sécurité appliquée, qui aura lieu cette année au Marché Bonsecours de Montréal le 25, 26 et 27 avril prochain. Elle vise à augmenter le niveau technique des professionnels de la sécurité au Québec, ainsi que de permettre à ses acteurs les plus talentueux de se démarquer.
*'''DÉTAILS:''' Le panel de jeudi, sous la forme d'un échange convivial entre les organisateurs de l'évènement et de ses participants, abordera des thèmes variés comme l'écriture de bon défis, l'infrastructure, la logistique, les inattendus, un bilan de 2013 et tout ça en passant par de savoureuses annecdotes (on l'espère). Venez en grand nombre toucher à ces légendes de la scène infosec montréalaise!
*'''PANÉLISTES:''' Gabriel Tremblay, François Proulx, Laurent Desaulniers, Stéphane Graber
*'''ANIMATEUR:''' Olivier Bilodeau
*'''QUAND:''' 27 mars 2014
*'''OÙ:''' Salle M-1510, École Polytechnique de Montréal, 2500 chemin de Polytechnique, Montréal (Québec) H3T 1J4, pavillon Lassonde
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-27-mars-panel-competition-en-securite-northsec-tickets-10918436337
*'''ÉQUIPE ACADÉMIQUE:''' Polytechnique - Polyhack http://polyhack.org/
*'''PROGRAMME:'''
18:00-18:25 Networking
18:25-18:30 Mot de bienvenue par le leader du chapitre (Jonathan Marcil)
18:30-20:00 Présentation principale : Panel NorthSsec

[[Image:Polyhack.png‎‎|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== OWASP Montreal - February 25th - Proven Strategies for Web Application Security ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane]] [https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Justin C. Klein Keane
*'''ABSTRACT:''' The rising dominance of the web as an application delivery platform has focused attacker attention squarely on the security of dynamic web applications. Application security is a complex, and shifting, field. Learn about tested and successful techniques to build safer applications, find flaws before they become vulnerabilities, and deploy applications that can detect, and resist attack.
*'''BIO:''' Justin C. Klein Keane is a security engineer and chapter leaders of OWASP in Philadelphia. For over a decade Justin has worked as a trainer, coder, and exploit developer. Justin is currently writing a book for NoStarch Press on hacking, speaks regularly at conferences, holds a masters degree in information technology from the University of Pennsylvania and is credited with hundreds of application vulnerability discoveries.
*'''WHEN:''' February 25th 2014
*'''WHERE:''' Ecole de technologie superieure, 1100 Notre-Dame Street West, Montreal, Room: A-1150
*'''REGISTRATION:''' http://owaspmtljan2014.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane
*'''ACADEMIC PARTNER:''' ETS - DCI http://dciets.com/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session and open discussion: Proven Strategies for Web Application Security
20:00-... End of the meeting in a pub

[[Image:Dciets.png‎‎‎|100px|link=http://dciets.com/]]
[[Image:Logo_ets.png|link=http://www.etsmtl.ca/]]

== OWASP Montreal - January 28th - Latest trends in Mobile Security ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/8qPyKj4FKgY]] [https://youtu.be/8qPyKj4FKgY Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx]] [https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Francois Proulx
*'''ABSTRACT:''' Last AppSecUSA 2013 had a great line up of talks, especially regarding mobile applications. This session will be covering all the hottest presentations about mobile security by doing an overview from what see saw at AppSecUSA, all with some slides and snippets of presentations that was recorded at the event. Discussion will be encouraged within the audience as this will be more a dynamic event than a regular talk.
*'''BIO:''' François Proulx is a senior mobile application developer who has worked on dozens of iOS applications since the very beginning of the Apple iOS platform. Over the past few years he has switched his focus to security. He spends a lot of his free time participating in Capture the Flag events (CTFs) and organizing the NorthSec security competition.
*'''WHEN:''' January 28th 2014
*'''WHERE:''' UQAM Room PK-1705, Pavillon Président-Kennedy (the big boat at Place des Arts) - 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' http://owaspmtl-mobilesecurity.eventbrite.ca
*'''SLIDES/CONTENT:''' [http://www.youtube.com/playlist?list=PLQtB2ug5xmvaQ9jeRWV53-F_T555GQfhW YouTube playlist]
*'''SPONSOR:''' Academic partner AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan M.)
18:30-20:00 Main session and open discussion: Mobile Security
20:00-... End of the meeting in a pub

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

==== Presentations For Download ====

[http://www.owasp.org/images/0/0d/20100209mstechdaysowaspasvssgiv01-12657916463819-phpapp02.ppt OWASP ASVS] by Sebastien Gioria (09/03/2010)

[http://www.ph-il.ca/slides/afup__authetification_forte.pdf Authentification Forte] by Philippe Gamache (02/02/2010)

[http://www.opensamm.org/downloads/OpenSAMM-1.0.ppt Software Assurance Maturity Model (OpenSAMM)] by Pravir Chandra (03/11/2009)

[http://www.owasp.org/images/d/de/Owasp-montreal-sept-17h-2009-justin-foster.pdf Crossing the Border – Javascript Exploits] by Justin Foster (17/09/2009)

[http://www.owasp.org/images/c/c2/ALaughRIAt.pdf A Laugh RIAt] by Rafal Los (07/04/2009)

[https://www.owasp.org/images/e/eb/OWASP-Montreal-24022009-RobLabbe.pptx Microsoft Security Development Lifecycle for IT] by Rob Labbe (24/02/2009)

[https://www.owasp.org/images/3/39/OWASP-Montreal-24022009-EN.pdf OWASP Goal and Top Ten 2007 for Managers - French version] by Benoit Guerette (24/02/2009)

Newer presentations are available on [https://speakerdeck.com/owaspmontreal Speaker Deck]

[[Image:Circle_owasp_logo_nowhitebackground.png|200px]]

= OWASP Foundation / Mission OWASP =
OWASP Foundation ([https://docs.google.com/a/owasp.org/presentation/d/10wi1EWFCPZwCpkB6qZaBNN8mR2XfQs8sLxcj9SCsP6c/edit?usp=sharing Overview Slides]) is a professional association of [[Membership | global members]] and is open to anyone interested in learning more about software security. Local chapters are run independently and guided by the [[Chapter_Leader_Handbook]]. As a [[About_OWASP | 501(c)(3)]] non-profit professional association your support and sponsorship of any meeting venue and/or refreshments is tax-deductible. Financial contributions should only be made online using the authorized online chapter donation button. To be a SPEAKER at ANY OWASP Chapter in the world simply review the [[Speaker_Agreement | speaker agreement]] and then contact the local chapter leader with details of what OWASP PROJECT, independent research or related software security topic you would like to present on.

La fondation OWASP est une [https://www.owasp.org/index.php/Membership association de professionnels] et elle est ouverte à tout intervenant intéressé à en apprendre davantage sur la sécurité applicative. Les chapitres locaux (dont celui de Montréal) sont gérés de façon indépendante et selon un [https://www.owasp.org/index.php/Chapter_Leader_Handbook manuel de directives à respecter].
Toute contribution financière au chapitre peut être faite en ligne en utilisant l’icône prévu à cet effet. Pour être conférencier au sein de n’importe quel chapitre à l’échelle mondiale, vous n’avez qu’à prendre connaissance du document [https://www.owasp.org/index.php/Speaker_Agreement "entente avec les conférenciers – speaker agreement"] et à joindre le responsable du chapitre Montréal avec un descriptif du sujet que vous aimeriez aborder et s’il est relié à un projet OWASP, à de la recherche indépendante ou encore le sujet en particulier, concernant la sécurité applicative, que vous souhaitez aborder.

== [[Image:Circle_owasp_logo_nowhitebackground.png|128px]] Montreal OWASP Team ==

Scope of the team is to discuss and plan local activities and meetings

=== Chapter Leaders ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique

==== Chapter leader history ====
*2008-2010 - Benoit Guerette, founder and chapter leader
*2011-2012 - Philippe Gamache, chapter leader (vice chapter-leader since 2010)
*2013-2015 - Jonathan Marcil, chapter leader
*2016-... - Anne Gauthier, Michel Bourque, Marius Popescu, Hugo Genesse, Olivier Arteau

==== Old board members ====
*Philippe Pépos Petitclerc
*Michael Robillard
*Benoit Guerette (logistics 2015)
*Alexandre Rimthong
*Mathieu Binette
*Sean Coates
*Jean-Marc Robert
*Philippe Blondin
*Benoit Guerette (founder)
*Laurent Desaulniers
 

<headertabs/>
__NOTOC__
[[Category:Canada]]

File:Security testing hybrid approach-r.jpg

2017-08-14T17:39:18Z

Svieg:

Montréal

2017-07-11T00:30:52Z

Svieg:

== Welcome & Bienvenue to the OWASP Montréal chapter ==
 
[[Image:OWASP-Montreal-Logo.png|Logo OWASP Montréal]]

The OWASP Foundation was established in 2001 as an open community and software security resource. Since then, OWASP has grown to be globally recognized as a credible source for application security standards. 
OWASP is an open community dedicated to enabling organizations to conceive, develop, acquire, operate, and maintain applications that can be trusted. All of the OWASP tools, documents, forums, and chapters are free and open to anyone interested in improving application security. We advocate approaching application security as a people, process, and technology problem because the most effective approaches to application security include improvements in all of these areas. 
OWASP is open to anyone. Anyone can attend OWASP's vendor agnostic local chapter meetings, participate in regional and global conferences, and contribute to the many OWASP projects. And anyone can start a new project, form a new chapter, or lend their expertise to help an OWASP Global Committee. 
On parle français aussi ! Le chapitre de Montréal organise plusieurs activités gratuites afin de partager les connaissances en sécurité applicative avec la communauté de développeurs et gestionnaires. Suivez-nous sur les réseaux sociaux pour connaître les dates des conférences du midi et des workshops ! 

Top documentation from OWASP includes:

* [https://www.owasp.org/index.php/Top_10_2013-Top_10 OWASP TOP 10 : The Ten Most Critical Web Application Security Risks]

* [https://www.owasp.org/images/3/33/OWASP_Application_Security_Verification_Standard_3.0.1.pdf OWASP ASVS : Application Security Verification Standard]

* [https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf OWASP Testing Guide : Penetration Testing Framework ]

* [https://www.owasp.org/images/7/78/OWASP_AlphaRelease_CodeReviewGuide2.0.pdf OWASP Code Review Guide : Source Code Analysis Framework ]

* [https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series OWASP Cheat Sheet : Best practices guidelines for developers ]

* [https://www.owasp.org OWASP Global ]

=== Chapter Leaders / Responsables du chapitre ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique
 
Special thanks to / Remerciements :
* Simon Lacasse, Web content / Site internet

== Reach our chapter / Joindre le chapitre ==

Follow OWASP's Montreal chapter's activities through social medias, register to events, watch the previous presentations and more!

Suivez les activités du chapitre OWASP Montréal via les réseaux sociaux, inscrivez-vous aux activités, visualisez les anciennes présentations et plus encore!

 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Click here] to join the local chapter mailing list.
 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Inscrivez-vous ici] à la liste de courriels du chapitre afin de recevoir les dernières nouvelles!

Want to be part of the community ?
Devenez membre de notre communauté !
[https://www.owasp.org/index.php/Membership_Map Click here / Cliquer ici]

[[Image:Eb_press_little.gif‎|OWASP Montreal Eventbrite|link=http://owaspmontreal.eventbrite.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Yt-brand-standard-logo-630px.png‎|128px|YouTube OWASP Montreal Channel|link=http://www.youtube.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Speakerdecklogo.png‎|Slides of OWASP Montreal on SpeakerDeck |link=https://speakerdeck.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]

 
[[Image:Twitter-bird-cropped-onwhite.png|@owaspmontreal on Twitter|link=https://twitter.com/owaspmontreal]]
[[Image:FacebookSquareLogo.png|OWASP Montreal Facebook page|link=https://www.facebook.com/owasp.montreal]]
[[Image:LinkedinSquareLogo.png|OWASP Montreal on LinkedIn|link=https://www.linkedin.com/groups/1379007/profile]]

[[Image:Spacer-horiz.gif‎]]

== Sponsorship & Membership / Commandite & Adhésion ==

[[Image:Btn_donate_SM.gif|link=http://www.regonline.com/donation_1044369]] to this chapter or become a local chapter supporter.

Or consider the value of [[Membership | Individual, Corporate, or Academic Supporter membership]]. Ready to become a member? [[Image:Join_Now_BlueIcon.JPG|75px|link=https://myowasp.force.com/]]

[http://www.regonline.com/donation_1044369 Donnez] au chapitre ou devenez commanditaire du chapitre local!

[https://myowasp.force.com/ Devenez membre !] Pour en savoir davantage sur les avantages d’une adhésion individuelle, corporative ou en tant qu’institution d’enseignement, [https://www.owasp.org/index.php/Membership cliquez ici].

[[Category:OWASP Chapter]]

== Chapter Supporters / Commanditaires du chapitre ==

[https://www.owasp.org/images/9/91/OWASP_Membership_Flyer_Montreal.png All details available here / Pour tous les détails ] [[File:Chapter-supporter-owasp-montreal.png|200px|link=https://www.owasp.org/images/9/91/OWASP_Membership_Flyer_Montreal.png]]

=== Platinum / Platine ===

[[Image:Gosecure-2.png|GoSecure|link=http://www.gosecure.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[File:Desjardins2-400x400.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 
 

=== Gold / Or ===

[[Image:ImmunioLogo.jpg|Immunio|link=https://www.immun.io/]]

 
 
 

= Lunch & Learn / Workshops 2017 =

== HOW TO! Threat Modeling Toolkit ==

[[Image:OWASPMtl-JonathanMarcil-1.jpg]]
[[Image:OWASPMtl-JonathanMarcil-3.jpg]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit]] [https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit See the slides / Voir la présentation]

WHEN
May 23rd, 2017
WHERE
Shopify Montreal

Threat Modeling is a great way to analyze security early in software development by structuring possible attacks, bad actors and countermeasures over a broad view of the targeted system. This talk will describe basic components of a threat model and how to use them effectively.
Threat Intelligence is where you gather knowledge about the environment and business assets to determine what are the actual threats. But how do you reconcile that with the current architecture in a useful manner?
The toolkit presented in this talk will enable you to systematically structure related information using graphical notations such as flow diagram and attack tree. In case you are wondering where to start in your organization, a quick lightweight risk rating methodology will also be proposed.
And in the end, you’ll see how we can all tie those together and get threat modeling to a point where it’s an efficient application security activity for communication. Doing this will prevent security reviews from missing important things even when chaos prevails during the realization of a project.
Modeling concepts will be demonstrated with an actual IoT device used as example.
Presentation will be done in english.

Speaker Bio:
Jonathan Marcil is the former chapter leader of OWASP Montreal and is now Senior Application Security Engineer at Blizzard Entertainment in beautiful Orange County, California.
Jonathan has been involved with OWASP for many years and has been behind the Media Project which gathered and promoted AppSec conferences video content in the official OWASP YouTube channel. He was also part of NorthSec CTF event as a challenge designer specialized in Web and imaginative contraptions.
He is passionate about Application Security and enjoys architecture analysis, code review, threat modeling and debunking security tools. He holds a diploma in Software Engineering from ÉTS Montreal and has more than 15 years of experience in Information Technology and Security.

Merci à nos précieux commanditaires !

== Security Testing: Unlocking the Benefits of a Hybrid Approach ==

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/hybrid-approach-to-security-testing]] [https://speakerdeck.com/owaspmontreal/hybrid-approach-to-security-testing See the slides / Voir la présentation]

WHEN
April 24th, 2017
WHERE
Espace Desjardins

As part of their defensive efforts, businesses commonly commission cybersecurity assessments of their web applications; with the aim of identifying any weaknesses in the security controls and ensuring a continually strong cybersecurity posture of their systems.

The classical approach of either secure code review (white box) or penetration testing (black box) assessment have proven to be effective in securing of web applications. The new trend, however, is moving towards the combination of these two approaches; expert consensus is rapidly recognizing the advantages of using a hybrid approach. When applied properly, a hybrid approach can build on the strengths of both white and black box testing, while compensating for their individual shortcomings.

In this presentation, we will examine the details of secure code review and penetration testing, and run demos to contrast their respective strengths and weaknesses. We will also examine why a hybrid approach can produce more complete and relevant assessment results. To conclude, we will cover proven approaches, and practical techniques, on how you can start leveraging a hybrid approach to web application assessments today.

Anne Gauthier is an application security analyst at GoSecure. Anne is also the president of the Montreal Chapter of OWASP – the industry standard for web application security. With a penetration testing background, she specializes in secure code reviews and in helping companies to improve their software development lifecycle (SDLC) according to industry best practices. Anne is CSSLP, GWAPT and GSSP-JAVA certified. She obtained a Software Engineering bachelor’s degree from Ecole de Technologie Supérieure in Montréal and is now pursuing a Master of Engineering (MEng) degree in Information Systems Security at Concordia University. She is the author of the Project 201 Security blog.

Merci à nos précieux commanditaires !

== "HOW-TO" NIGHT ! Tout sur les CTFs (Capture The Flag) ==

WHEN
April 4th, 2017
WHERE
Shopify

Cette nouvelle soirée "How-To" Night d'OWASP Montréal vise à présenter les CTFs (une compétition Capture The Flag) et aider les équipes à démarrer et à continuer à évoluer dans leurs pratique de la cyber sécurité pratique. L'objectif est d'outiller les participants en leur fournissant des ressources techniques et des contacts afin de les aider à progresser.

Les éléments discutés seront:

- Composition optimale d’une équipe : Fonctionnement d’une équipe de CTF et les principaux rôles (chef d’équipe, cryptographie, application web, rétro ingénierie et les causes perdues).

- Pourquoi faire des CTFs? Discussion sur les différents styles (jeopardy, attack/defense, etc.), quels sont les problèmes fréquemments rencontrés + plusieurs anecdotes intéressantes (et drôles).

- Trucs de Mr. Unikoder : Le créateur du fameux site ringzer0team, soit un des plus gros sites pour apprendre la résolution de problèmes de CTF (https://ringzer0team.com/) Apprenez des trucs du meilleur, sur comment débuter et interpréter un challenge web, binaire et crypto avec des trucs réels du métier.

Matériel requis :

Votre légendaire enthousiasme

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement.

Présentateurs :

Charles Hamilton, Senior Consultant chez Mandiant, FireEye, Inc.

Olivier Bilodeau, Cybersecurity Research Lead at GoSecure

Laurent Desaulniers, Senior Security Solution Specialist at Bell Canada

== NorthSec - Applied Security Event ==

WHEN
April 4th, 2017
WHERE
Espace Desjardins

NorthSec: La plus grande compétition et conférence en cyber sécurité au Canada

NorthSec est un organisme sans but lucratif qui organise une conférence et une compétition de sécurité de type "Capture-The-Flag" (CTF) et des formations. Avec plus de 400 participants présents sur le site pour la compétition, c’est la plus grande compétition du genre au monde.

La conférence, dans sa 3e année, attire des présentateurs internationaux avec du contenu technique exclusif. L’ajout des séances de travail (workshops) devrait plaire aux plus chevronnés des binaires.

Des formations de 3 jours sont offertes avant la conférence: "Advanced Web Application Security" par Philippe Arteau et "Malware and Memory Forensics" par Michael Ligh, co-auteur des livres "Malware Analyst Cookbook" et "The Art of Memory Forensics".

NorthSec est situé au Marché Bonsecours dans le Vieux-Port de Montréal au printemps du 15 au 21 mai 2017.

La présentation couvrira:

- Le plan pour 2017 
- Ce qui différencie NorthSec 
- Comment équilibrer une compétition pour les débutants et les experts 
- Comment bâtir une infrastructure basée sur les conteneurs qui gère 50 équipes dans quelques serveurs sans qu’ils ne se partagent de machines virtuelles 
- Comment faire du pain au levain à grande échelle 
- Présentation de quelques défis et solutions 

Les présentateurs:

- Gabriel Tremblay, Président, Delve Labs 
- Olivier Bilodeau, VP Formations, Co-fondateur MontréHack, GoSecure 
- Pierre-David Oriol, VP Conférences, Delve Labs 
- Benoit Guérette, VP Partenaires, Desjardins 
- Laurent Desaulniers, Tisserand de drapeaux, Bell Canada 

Merci à nos précieux commanditaires !

== Sécurité des applications : Les fondements ==

WHEN
March 20th, 2017
WHERE
Espace Desjardins

OWASP Montréal est fier d’accueillir au Midi Conférence du mois de mars, Mme Tanya Janca, Co-Leader du chapitre OWASP Ottawa et spécialiste de la sécurité applicative au sein du Gouvernement fédéral.

La conférence « Les fondements de la sécurité des applications » sera présentée en anglais.

Session Description : Everyone has heard about the problem; everyone is “getting hacked”. But what is the answer? From scanning your code with a vulnerability scanner to red teaming exercises, developer education programs and bug bounties, this talk will take the audience through all the possibilities of an extensive application security program, with a detailed explanation of each part.

Bio : Tanya Janca is an application security evangelist, a web application penetration tester and vulnerability assessor, a secure code reviewer, an ethical hacker, the Co-Leader of the OWASP Ottawa chapter, and has been developing software since the late 90’s. She has worn many hats and done many things, including; Custom Apps, Ethical Hacking, COTS, Incident Response, Enterprise Architect, Project and People Management, and even Tech Support. She is currently helping the Government of Canada secure their web applications.

Merci à notre commanditaire principal de cet événement: Ubitrak!

== WORKSHOP ! Server Side Template Injection (SSTI) ==

[[Image:Workshop-okiok-SSTI-r.jpg | WORKSHOP ! Server Side Template Injection (SSTI) ]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti]] [https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti See the slides / Voir la présentation]

WHEN
22 Février 2017
WHERE
Shopify Montréal

OWASP Montreal vous invite à un atelier portant sur la sécurité des applications web supportant les moteurs de template (Template Engine). Le principe de séparation entre la présentation du site (code HTML statique) et de son contenu dynamique facilite la création de documents HTML et la capacité à modifier l'apparence du site sans mélanger le traitement et le rendu de la page. L'utilisation de moteurs de template amène de nouveaux enjeux de sécurité. Les vulnérabilités de type Server Side Template Injection (SSTI) sont exploitables à travers les données (non fiables) fournies par l'utilisateur et conduisent à l'exécution de code arbitraire (RCE) sur le serveur hébergeant l'application web. 

Ce workshop a pour but d'introduire cette classe de vulnérabilité à travers différents cas d'implémentation (php, java, python).
Nous verrons comment identifier et exploiter ces vulnérabilités et de quelle manière un attaquant peut
s'y prendre pour exécuter du code arbitraire sur le serveur afin d'en prendre le contrôle. 

Niveau : Intermédiaire 
Matériel requis :
* Votre portable
* Votre distribution Linux/Unix de votre choix
* Votre proxy Web de votre choix

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.
Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.
Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement. 

Présentateur : Gérôme Dieu 
Gérôme Dieu cumule plus de 7 années d’expérience en technologies de l’information et en sécurité.
Il œuvre à titre de conseiller senior en sécurité de l’information au sein de la firme OKIOK. Ces dernières années, il a acquis une expertise dans le domaine de la sécurité des applications web aussi bien d'un point de vue offensif que défensif. En plus de réaliser des tests d’intrusion pour des clients internationaux, Gérôme s’implique dans la recherche et développement afin de maintenir à la fine pointe de la technologie les tests d'intrusion et d'analyse de vulnérabilités. 

Merci à Shopify d'héberger l'événement ! 
[[Image:Shopify Logo-r.png| Shopify | link=https://www.shopify.com/]]
== Le courriel en 2017 – risques et menaces pour tous ==

[[Image:Zero spam 2.jpg|Le courriel en 2017 – risques et menaces pour tous]]

[[Image:Video-link.png | Link to video | link=https://www.youtube.com/watch?v=HX2vcijcCWw ]] [https://www.youtube.com/watch?v=HX2vcijcCWw Watch the conference / Regarder la conférence ] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

WHEN
Le 23 janvier 2017 à midi
WHERE
Espace Desjardins

Monsieur Poellhuber nous brossera un tableau du phénomène grandissant du rançongiciels et de l'hameçonnage, personnification. 

- Par les années passées, la menace courriel se résumait principalement en un fort volume de contenu simplement indésirable. Aujourd’hui la menace a passablement évolué. Quels sont les véritables risques actuels associés au courriel ? Rançongiciels, hameçonnage, personnification. Cette conférence présentera les nouveaux défis de sécurité pour les organisations qui doivent composer avec des attaques de plus en plus sophistiquées et de plus en plus ciblées tout en protégeant leur réputation. Des exemples biens réels, drôles et moins drôles seront disséqués pour bien dessiner l’ampleur de l’enjeu. 

M. David Poellhuber, Chef de l’exploitation, ZEROSPAM Sécurité Inc 

Note biographique : 
Monsieur David Poellhuber oeuvre dans l’industrie de la sécurité informatique depuis quinze ans. Il a été conférencier dans plusieurs forums de sécurité au Canada et est maintenant reconnu comme une autorité en matière de sécurité du courriel. Il a fondé ZEROSPAM Sécurité en 2003, le premier service Québécois externalisé de sécurité du courriel infonuagique qui se distingue par sa convivialité, son efficacité et ses technologies de détection proactives. 
Audience : Généralistes et spécialistes de la sécurité des TI
 
Merci à Ubitrack pour le repas et à Desjardins d'héberger l'événement!

[[Image:Ubitrak-r2.jpg|Ubitrak|link=http://www.ubitrak.com/fr/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]

== Effective XSS Mitigation ==

[[Image:XSS mitigation.jpg | Effective XSS Mitigation ]]

[[Image:Presentation-link.png | Slides| link=http://slides.com/olivierarteau/xss-mitigation ]] [http://slides.com/olivierarteau/xss-mitigation See the slides / Voir la présentation]

WHEN
18 Janvier 2017
WHERE
Google Montréal

FRANÇAIS/ENGLISH 
La mitigation de XSS a été un sujet important au cours des dernières années. Les navigateurs ont implémenté, en autre, deux fonctionnalités pour mitiger leur impact : l'entête "XSS-Protection" et l'entête "Content-Security-Policy". Par contre, obtenir une mitigation contre les XSS efficace est souvent plus complexe que l'on pense. Cet atelier couvrira les deux entêtes. Il expliquera comme il est possible de contourner ces protections et ce qu'il est possible de faire pour se protéger. Des exercices de type "offensif" et "défensif" seront proposés.
Mitigation for XSS as been an important topic in the last few years. Browsers have implemented two main functionalities to help mitigate the impact of XSS : the "XSS-Protection" header and the "Content-Security-Policy" header. But, getting an effective XSS mitigation of those headers is trickier than it may seem. This workshop will cover both of those headers. It will explain how bypass of those protection work and what you can do about it. It will have both "defensive" exercises and "offensive" exercises.
Niveau : débutant/intermédiaire
 
Matériel requis :

Votre portable 

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Google pour l'événement.
 
Présentateur : Olivier Arteau
 
Olivier Arteau est un professionnel en sécurité informatique depuis quelques années et fait partie de l’équipe de test d’intrusion de Desjardins. Il est aussi un amateur de CTF qui a gagné à plusieurs reprises le CTF du NorthSec avec l’équipe HackToute et participe fréquemment à d’autres CTF avec l’équipe DCIETS.
 

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

= Lunch & Learn / Workshops 2015-2016 =

== WORKSHOP ! Top 10 OWASP - Unleash the threats ==

[[Image:Workshop-top10.jpg | WORKSHOP! Top 10 OWASP - Unleash the threats ]]

WHEN
30 novembre 2016 de 17h30 à 20h30
WHERE
Immunio @ WeWork

De nos jours, la sécurité applicative est essentielle dans l’écosystème des entreprises de toutes tailles. Les vecteurs d’attaques sont multiples, les vulnérabilités de sécurité dans les applications peuvent être désastreuses et les impacts d’un « Hack » peuvent être irréversibles pour l’entreprise; vols de données sensibles, perte de réputation, perte de $$$$$, etc.
L’objectif du workshop est de comprendre la base sur les vulnérabilités de sécurité dans les applications et les techniques d’exploitation utilisées par les pirates informatiques, en plus de connaître les bonnes pratiques de développement en matière de sécurité applicative.
Avec l'aide de WebGoat, Damn Vulnerable Web Application et de Kali Linux, vous pourrez participer
à l'exploitation des applications et découvrir les techniques utilisées par les attaquants.

Niveau : débutant

Matériel requis :
Votre portable
Kali Linux
La VM du workshop, envoyée aux participants

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places très limitées (nb = 10). Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Immunio & WeWork pour l'événement.

Présentateur : Christian Leclerc

Christian est spécialisé en conception et développement de solutions web sécuritaires. Tout au long de sa carrière, il a acquis une vaste expertise sur plusieurs types de technologies et méthodologies, intégré la sécurité dans le cycle de développement d’applications, effectué des revues de code sécurité, déployé des outils d’analyse des vulnérabilités et mis en place des systèmes d’authentification. De plus, il a participé à la conception et au développement de solutions sécuritaires de pointe comme la signature électronique à l’aide d’une infrastructure à clé publique (PKI), les authentifications fortes, le Registre des consentements au don d'organes et de tissus (RDOQ.org) et la migration de plusieurs applications web vers un environnement SOA (Service Oriented Architecture).
 Merci à Immunio & WeWork d'héberger l'événement! 

[[Image:Immunio-horizontal-r.png|Immunio|link=https://www.immun.io/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Wework-r.jpg|WeWork|link=https://www.wework.com/]]
 

== Histoire d'un Hack ==

[[Image:Histoire-dun-hack-r.jpg | Histoire d'un Hack ]]

WHEN
21 novembre 2016 à midi
WHERE
Espace Desjardins

Pour son activité du mois de novembre, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de faire l'autopsie d'une attaque de haute voltige sur un site web et des outils mis à la disposition par OWASP.

Bernard Bolduc cumule plus de 17 années d’expérience en technologies de l’information et en sécurité. Il œuvre à titre de conseiller senior en sécurité de l’information au niveau d’entreprise de classe nationale et internationale.

Bernard se spécialise en sécurité Unix, applicative et en gestion de la sécurité des télécommunications. Il combine ces expertises techniques afin d’obtenir des résultats probants et efficaces pour ces clients des secteurs bancaire, télécommunication et multimédias, de l’énergie ou des services publiques. Tout au long de sa carrière, Bernard s’est toujours maintenu à jour sur les dernières menaces de sécurité technologique et commerciale en assistant à des formations spécialisées et d'échanger avec un grand nombre de partenaires dans l'industrie de la sécurité.

La conférence débute à midi.

La conférence vous donne droit à 1 CPE et pour les 50 premières personnes, un lunch gratuit.

Merci à Desjardins d'héberger l'événement!

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite) ==

[[Image:Workshop-zap-mix.jpg | Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite)]]

WHEN
11 novembre 2016 de 18h à 21h

WHERE
Google Montréal

OWASP Zed Attack Proxy (ZAP) est un scanneur de vulnérabilités et un outil de débogage HTTP. Ce type d'outil est crucial dans un test d'intrusion web et contient un lot intéressant de fonctionnalités. Cela dit, il est possible d'étendre les fonctionnalités. Plusieurs types d'extension sont possibles : vue alternative pour les requêtes ou les réponses, scanneur passif des réponses, scanneur actif produisant des requêtes, etc.

Plusieurs options seront données, par exemple :

Détection automatique de flag dans les sources
Scanneur actif asynchrone DNS
Ou votre propre idée

Pour chacune des suggestions, des squelettes de code seront fournis pour les APIs de ZAP. Pour les utilisateurs de BurpSuite, des directives analogues seront également données.

Niveau : débutant / intermédiaire

Matériel requis

Votre portable
[https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project OWASP ZAP (gratuit)]
[https://portswigger.net/burp/download.html BurpSuite]
Éditeur de code pour Java, Python ou Ruby

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Présentateur : Philippe Arteau

Philippe est un chercheur en cybersécurité chez GoSecure. Il est l'auteur de l'outil d'analyse statique Java "Find Security Bugs". Il a découvert des vulnérabilités importantes dans les logiciels populaires tels que Google Chrome, Dropbox, Paypal, RunKeeper et Jira. Il a présenté dans différentes conférences incluant Black Hat USA, Black Hat Europe, ATL Sec Con, NorthSec, Hackfest (QC) et JavaOne. Il a développé de nombreux plug-ins pour les outils de proxy BurpSuite et OWASP ZAP (Retire.js, Reissue Request Script, PDF preview et Image Metadata). Il a fait également des contributions à d'autres plug-ins comme J2eeScan.

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

==Logiciel de rançon (Ransomware) s'attaque au domaine de la santé==

[[Image:HackingHealth-2.jpg | Logiciel de rançon (Ransomware) s'attaque au domaine de la santé ]]

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health ]] [https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health See the slides / Voir la présentation]

(Conférence en anglais)
Pour le lancement de la saison 2016 - 2017, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de la santé une incursion dans le monde du logiciel malveillant ciblant le domaine de la santé. 
Cette conférence s'intége dans le Coopérathon co-organisé par le Mouvement Desjardins et Hacking Health. 
Le domaine de la santé serait devenu une cible privilégiée des campagnes de ransomware parce que l'industrie a souvent payé la rançon demandée pour récupérer les données confidentielles et vitales de ses clients. Monsieur Ed Gershfang nous brossera un portrait du phénomène et des meilleures pratiques à mettre en place en matière de sécurité applicative.
Ed Gershfang possède une expérience solide dans l'infrastructure informatique et plus de 6 ans d'expérience dans les domaines de la sécurité de l'information, de la vulnérabilité, de la gouvernance et de la gestion des risques. Il était directeur de la sécurité pour la société PeriGen, un chef de file de développement de logiciels médicaux en Israël.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative vue par un pentesteur ==

[[Image:Juin2016-OWASPMtl.jpg | OWASP Montréal reçoit Mario Contestabile, Pentester de renom ]]
 
From Left to Right : Isabelle Lusseyran, Head of Development at Hacking Health. Eduard Gershfang Information Security Analyst at WSP | Parsons Brinckerhoff.

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile ]] [https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile See the slides / Voir la présentation]
 
Pour clore la saison 2015 – 2016, OWASP Montréal est fier d’accueillir au Midi Conférence un des architectes de renom du développement applicatif au Canada, monsieur Mario Contestabile.
En tant qu’auteur de plusieurs centaines de tests d’intrusion, il connait tous les rouages de ce qu’est véritablement une application Web «sécurisée». Mais avez-vous déjà remarqué que les rapports de tests d’intrusion mentionnent rarement, voir jamais : «Votre site est très difficile à pirater. Félicitations !» ?
Et qu’en est-il de ces rapports qui contiennent des dizaines de soi-disant vulnérabilités ? Est-ce que cela signifie d’emblée que l’application devrait être mise hors ligne ?
 
Lors de cette conférence, nous examinerons des rapports concrets (ambigus) de vulnérabilités et nous les analyserons afin de mieux comprendre si elles représentent une véritable menace, ou si elles ne servent qu’à «remplir» les rapports.
 
Avec son expertise en protection et en attaque d’applications Web, il abordera les points suivants :
Comment pouvez-vous sélectionner des systèmes de façon à mieux exécuter des protections de sécurité ?
Éviter certains pièges dans votre application Web qui rendent les attaques plus faciles et la protection plus difficile.
De nos jours, que peuvent faire les développeurs à l’intérieur de systèmes communs, qui puisse me rendre la tâche plus ardue en tant que « hacker »?
Pouvons-nous exiger de meilleurs rapports de la part des firmes de sécurité?
À quoi devrions-nous nous attendre de la part d’un « pentesters »?
Comment pouvons-nous savoir si le « pentester » a vérifié les failles de l’application et qu’il n’a pas simplement utilisé un scanneur?
Et enfin, comment pouvons-nous aider les « ethical hackers » à obtenir un meilleur rendement lors d’un test d’intrusion?
Il expliquera le sujet en détails, et ensemble, nous verrons de quelles façons les développeurs d’applications peuvent exploiter le savoir-faire des « pentesters », et comment nous pouvons faire en sorte qu’une application Web soit protégée.
Biographie :
Mario Contestabile est reconnu comme l’un des experts en sécurité les plus réputés au Canada. Son expertise, construire et protéger votre plateforme applicative. Ancien développeur C++ et Java, Mario partage ses nombreuses connaissances en « ethical hacking » et en développement de codes sécurisé.
 
WHEN
Tuesday, 14 June 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Comment protéger les applications mobiles? ==

[[Image:Avril2016-OWASPMtl.png | Comment protéger les applications mobiles? ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles ]] [https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles See the slides / Voir la présentation]
 
Dans le cadre des Midis Conférence à l'Espace Desjardins, l'équipe OWASP Montréal vous invite à assister à une présentation sur les vulnérabilités les plus communes associées aux appareils mobiles.
Marie-Claire Willig détaillera entre autres comment stocker de façon sécuritaire les données de l’application mobile ainsi que protéger l’application contre des attaques externes. Des outils simples vous seront dévoilés pour détecter ces vulnérabilités.
Marie-Claire est une professionnelle d'expérience en sécurité appliquée.
Une grande partie de son intérêt professionnel réside actuellement dans un domaine assez niche, soit la revue de code sécuritaire, un fondement important de tout cycle de développement sécuritaire en entreprise.
Au sein de l'équipe de sécurité technologique Desjardins, elle est, en autre, responsable de former les développeurs (Java et .NET principalement) afin de les sensibiliser aux meilleures pratiques de développement sécuritaire.
Également, elle est une professionnelle des tests d'intrusion sur les applications web, les applications mobiles ainsi que l'infrastructure réseau.
Bienvenue à tous
 
WHEN
Wednesday, 20 April 2016 from 12:15 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ==

[[Image:Mars2016-OWASPMtl.jpg | NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/YQtvltQYs7Y]] [https://youtu.be/YQtvltQYs7Y Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
OWASP Montréal est fier d’inviter au Midi Conférence de mars, NorthSec est le plus gros événement de sécurité appliquée au Canada qui comprend deux jours de formation, deux jours de conférences ainsi qu’une compétition du genre « capture the flag » (CTF) de trois jours.
Gabriel Tremblay, Benoit Guerette, Pierre-David Oriol et Laurent Desaulniers viendront vous parler de cet organisme sans but lucratif dynamique qui est géré par une équipe de bénévoles passionnés qui donnent à chaque année leur énergie et leur temps pour soutenir la communauté de la sécurité de l’information.
Le volet compétition, l’épreuve maîtresse, est présentée sous forme d’un scénario qui rend cohérent une centaine de défis techniques. Les équipes de participants attaquent l’infrastructure de compétition pour soutirer des drapeaux (flags) à travers un ensemble de vulnérabilités présentes comme de l’injection SQL, des XSS ou encore l’exploitation d’exécutables sur systèmes embarqués. Quelques exemples de défis des années passées seront également présentés.
Le volet conférence, qui est à sa 2ème année, met de l’avant plusieurs présentations techniques touchant la sécurité applicative mais aussi l’éthique et leurs impacts sociaux. Certaines présentations confirmées seront dévoilés.
Le tout nouveau volet formation propose deux formations en sécurité applicative de calibre international (anglais) : “Advanced Web Security Testing with Burp Pro” et “Modern Object-Oriented Malware Reverse Engineering”.
Venez aussi, découvrir comment l'équipe est partie d'une idée en 2012 pour se rendre à un évènement d'envergure, qui rassemblera plus de 600 professionnels, étudiants et autres passionnés de sécurité appliquée lors de la 4ème édition qui aura lieu du 17 au 22 mai 2016 au Marché Bonsecours.
Finalement, la mission, la vision ainsi que les activités sociales de la semaine de NorthSec sont aussi au menu de cette présentation qui sera suivie d’une période de questions.

Gabriel Tremblay, Delve Labs, Président
Benoit Guerette, Desjardins, VP Finances

Pierre-David Oriol, Delve Labs, VP Conférence
Laurent Desaulniers, Bell Canada, Artisant de drapeaux
 
WHEN
Wednesday, 23 March 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative et l'hameçonnage - February 24th ==

[[Image:Fevrier2016-OWASPMtl.jpg | La sécurité applicative et l'hameçonnage ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/1RYlOiIENjQ]] [https://youtu.be/1RYlOiIENjQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 

De nos jours, une des méthodes les plus efficaces pour contourner les périmètres de sécurité externes est l'hameçonnage conjointement avec l’abus de certaines technologies Web.

Dans le cadre ses activités, OWASP Montréal est heureux d'inviter d'accueillir, l'équipe OKIOK qui présentera les impacts liés à ce type d'attaque, tel que vu et expérimenté en entreprise ainsi que les plans d'action pour traiter ces risques. La présentation abordera aussi bien la sécurité web et applicatives, des systèmes informatiques ainsi que de la sécurité physique de centres de données.

Capture d'informations sensibles par imitations de portails Web ;
Authentification Web par 2-facteurs ;
Injection SMTP dans des formulaires Web ;
Attaque de type “Drive-by-download”;
Prise de contrôle à distance à travers des flux HTTP;
Attaque de CSRF à partir de courriels ;
Attaque d'hameçonnage basée sur des achats par Internet (ex : PayPal).
 
When
Wednesday, 24 February 2016 from 12:00 PM to 1:15 PM (EST) - Add to Calendar
Where
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest Montreal, Quebec CA

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Internet of {Things, Threats} - January 20th ==

[[Image:Janvier2016-OWASPMtl-R.png | Internet of {Things, Threats} ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html ]] [http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html See the slides / Voir la présentation]
 
De plus en plus de périphériques se retrouvent connectés sur Internet. Sous la bannière "Internet of Things" (IoT) ces équipements, que ce soit une pompe à insuline ou un système de caméra de sécurité, tournent généralement sous un système GNU/Linux embarqué d'architecture MIPS ou ARM. La difficulté de mettre à jour ces équipements ainsi que le peu d'effort mis dans la sécurité des systèmes ou la sécurité applicative en font des cibles de choix. Ces derniers mois, nous avons analysé plusieurs logiciels malveillants ciblant ces architectures. Que ce soit par l'exploitation d'une vulnérabilité (Shellshock) ou encore un défaut de configuration, ces systèmes exposés sur Internet peuvent être compromis.

Notre présentation couvrira quelques une de ces analyses:

* Linux/Moose, un malware se propageant automatiquement qui fraude les réseaux sociaux (par exemple Facebook, Twitter et YouTube)
* LizardSquad et acteurs étrangers qui utilisent des systèmes embarqués compromis pour réaliser des dénis de service distribué (DDoS)
* Win32/RBrute est un logiciel malveillant qui tente de changer les paramètres de routeurs dans le but de faire du "DNS poisoning". Il a été distribué par le populaire botnet Sality.
* Un kit d'exploits qui utilise seulement le navigateur de leur victime avec le même objectif, c'est-à-dire faire du "DNS poisoning".

Enfin, des conseils seront proposés à l'audience pour l'aider à se protéger de ces menaces.

'''Thomas Dupuy''' (twitter: @nyx__o)

Thomas est chercheur en logiciel malveillant chez ESET Canada Recherche. Bon vivant, Thomas déjeune en "reversant" des binaires, contribue à quelques projets open source durant le diner (yara, yara rules, pefile, APTnotes) et la nuit participe à des "Hacking Games" (Capture The Flag). Curieux de nature Thomas analyse des malware aux architectures "exotiques".

'''Olivier Bilodeau''' (twitter: @obilodeau)

Olivier Bilodeau is the head of Cybersecurity Research at GoSecure a consultancy firm specializing in cybersecurity services for the public and private sector. With more than 10 years of infosec experience, Olivier worked on Unix servers at Bell Canada, managed a portion of Air Canada's network, wrote open source network access control software at Inverse and worked as a Malware Researcher at ESET. He likes to reverse engineer everything that crosses his path, participate in information security capture-the-flag competitions, hack open source code and brew beer. He has spoken at various conferences (Defcon, Botconf, VirusBulletin, Derbycon, ...), used to lecture on information security at ETS University in Montreal, drives the NorthSec Hacker Jeopardy and co-organizes the MontreHack capture-the-flag training initiative. His primary research interests include reverse-engineering tools, Linux and/or embedded malware and honeypots.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Survivre aux attaques DDOS applicatives ==

[[Image:Decembre2015-OWASPMtl.jpg | Survivre aux attaques DDOS applicatives ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
Survivre aux attaques DDOS (Distributed Denial-Of-Service) applicatives.
Cette conférence s'adresse aux professionnels et gestionnaires des TI.
Conférencier : Christian Shink, ing., CSSLP, ingénieur système chez Radware, manufacturier spécialisé dans la prévention des attaques DDOS. Il fut également consultant en sécurité applicative chez In Fidem.
Objectifs de la conférence:
Présenter les tendances actuelles en matière d'attaques DDOS applicatives.
Renseigner les participants sur les techniques et stratégies pour contrer ces attaques illustrées à partir de cas vécus.
Démystifier certains mythes en ce qui concernent les façons efficaces de protéger les applications contre des attaques DDOS.
Date : 16 décembre 2015
Heure : 11h45
La conférence débute à 12h00 et se termine à 12:55.
Un lunch sera servi.
Réservez maintenant!
1 CPE
 
WHEN
Wednesday, 16 December 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Sécurité des applications - Systèmes de contrôles industriels ==

[[Image:Novembre2015-OWASPMtl-R.png | Sécurité des applications - Systèmes de contrôles industriels ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/0eAZpyiQQ9A]] [https://youtu.be/0eAZpyiQQ9A Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

La sécurité des applications et les systèmes de contrôles industriels.
Cette conférence s'adresse aux professionnels et gestionnaires des TI desinfrastructures critiques qui exploitent ou gèrent des systèmes de contrôles industriels(SCI) et SCADA (surveillance et d'acquisition de données). 
Conférenciers : Robert Nastas, CSSA. Gestionnaire de projet et Youssef Jad, Architecte Cyber sécurité, ICS-CERT 
 
Objectifs de la conférence:
* Démystifier le domaine d'affaires.
* Renseigner les participants sur les bonnes pratiques de sécurité desapplications liées au secteur industriel.
* Proposer aux professionnels et gestionnaires des TI responsables dessystèmes SCADA et SCI des pistes de solutions aux enjeux de sécurité.
 
L'équipe OWASP Montréal vous remercie d'avoir assisté en grand nombre à la conférence, 'La sécurité des applications et les systèmes de contrôles industriels'.
 
WHEN
Wednesday, 18 November 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ==

[[Image:Septembre2015-OWASPMtl.jpg | Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert ]] [https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert See the slides / Voir la présentation]
 
Pour le lancement des activités corporatives de la saison 2015 - 2016, le 8 septembre prochain à 12:00, l'équipe OWASP Montréal convie les gestionnaires et artisants de la sécurité des TIC à venir entendre monsieur Éric Hébert qui nous présentera son interprétation des préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative. L'événement se tiendra au complexe Desjardins à la salle "Espace Desjardins".

''' ÉRIC G. HÉBERT, CISM, CISSP ''' 
Après plus de 20 ans passés dans le domaine de la sécurité des technologies de l’information, Éric se spécialise dans la mise en œuvre et la gestion d'équipes performantes, capables de relever les plus hauts défis de la cybersécurité moderne. 
Capable de dialoguer avec les hauts dirigeants, il sait traduire et vulgariser les enjeux techniques complexes tout en respectant la nature et l'appétence au risque de ses clients. Dynamique et pourvu d'une expérience couvrant presque toutes les sphères de la SI, il fonce dans le respect de la culture établie tout en implantant des solutions pragmatiques et efficaces. 
Depuis plus de 10 ans, il gravite principalement autour des entreprises du domaine financier (BNC, Desjardins, Fonds de solidarité FTQ...) et les accompagne dans la mise en place de solutions efficaces tenant compte à la fois des risques et des budgets.
En plus d’avoir fondé de nombreuses associations telles que le RéseauSécurIT et le RPSI, il maintient une présence régulière auprès des milieux associatifs professionnels et partage régulièrement ses expériences lors de conférences et d'entrevues avec divers médias.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

= Events / Évènements =

== Owasp Montreal at [https://nsec.io/ NorthSec 2017] ==

[[Image:NorthSec2017-5.jpg]]
[[Image:NorthSec2017-6.jpg]]

From Left to Right: Anne Gauthier, OWASP Montréal Chapter Leader (President) and Application Security Analyst at GoSecure, Hugo Genesse, OWASP Montréal Chapter Leader and Research Intern at PNF Software, Julien Touche, OWASP Montréal Chapter Leader and Principal Security Engineer at Nuance Communications

== OWASP Montreal at [https://2017.appsec.eu/ AppSec] ==

[[Image:OWASPAppSecBelfast2017-7.jpg]]

OWASP Montreal and Ottawa Chapter Leaders at OWASP AppSec Belfast, UK #WomenInAppSec

== OWASP Montreal at [https://hackfest.ca/ HackFest 2016] ==

[[Image:Hackfest2016-r.jpg| HackFest |link=https://hackfest.ca/]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Louis Nadeau, OWASP Québec Chapter Leader and Manager, Product Security at Bentley Systems and Patrick Leclerc, OWASP Québec Chapter Leader and Information Security Advisor at La Capitale.

== OWASP Montreal at OWASP [https://2016.appsecusa.org/ AppSec USA 2016, Washington] ==
 
 
[[Image:OWASPMtl-AppSecUSA2016-Washington.jpg | OWASP Montreal at AppSec USA 2016, Washington]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016, Alexandre Hamelin President at Synlabs Consulting Inc., Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [https://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

== OWASP Montréal at [https://www.gosec.net GoSec] 2016 ==

[[Image:OWASP-GoSec2016-1r.jpg|OWASP Montreal at GoSec 2016]] [[Image:OWASP-GoSec2016-2r.jpg|OWASP Montreal at GoSec 2016]]
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Simon Lacasse, student and volunteer, and Laurent Desaulniers, Security Analyst at Bell Canada.

== OWASP Montréal at [https://www.nsec.io/ NorthSec] 2016 – Annual Applied Security Event ==

[[Image:Hackfest2016-OWASPMtl.jpg|OWASP Montreal at NorthSec 2016]]

@Photo : Simon Veilleux
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Olivier Arteau OWASP Montréal Chapter Leader and Conseiller chez Groupe Technologie Desjardins, Hugo Genesse, OWASP Montréal Chapter Leader and Vulnerability Research Intern at Wurldtech Security Technologies.

== OWASP Montréal at [https://hackfest.ca/en/ Hackfest] 2015 ==

[[Image:Hackfest2015-OWASPMtl-R.JPG | OWASP Montreal at Hackfest 2015]]

@Photo : Hackfest
 
 
From left to right : Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [http://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

[[Image:Video-link.png | Link to video | link=https://youtu.be/8U0qkEuUFy8]] [https://youtu.be/8U0qkEuUFy8 Watch the video / Regarder la vidéo]

== OWASP Montréal at [https://www.gosec.net/ GoSec] 2015 – The Annual Cybersecurity Conference presented by GoSecure, EY and ISACA. ==

[[Image:GoSec2015-OWASPMtl.jpg|OWASP Montreal at GoSec 2015]]

@Photo : Marius Popescu
 
 
From left to right : Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016. Benoît Guérette, Application Security Team Leader at Desjardins, VP Finance at NorthSec and OWASP Montreal Chapter Founder and Former Chapter Leader.

== See also / Voir aussi ==

OWASP Montréal recommends Montréhack. Learn and share knowledge on IT security by solving technical challenges. Third Monday of every month.

OWASP Montréal recommende Montréhack. Apprends et partages des connaissances sur la sécurité informatique en travaillant des problèmes appliqués. Chaque troisième lundi du mois.

[[File:Montrehack.png|Montréhack|link=http://montrehack.ca/|alt=Montréhack]]

= Archives 2007-2015 =
{{:Montreal chapter past meetings}}

== OWASP Montreal - February 3rd - Getting to Know the Software Assurance Marketplace (SWAMP) ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/p4_vjufcB6Q]] [https://youtu.be/p4_vjufcB6Q Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer]] [https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Pat Beyer
*'''ADDITIONAL PRESENTER:''' Abe Megahed
*'''ABSTRACT:''' The Software Assurance Marketplace (SWAMP) is an open facility that is designed, built, and operated by four research institutions. The SWAMP provides no-cost access to an array of open-source and commercial software analysis tools. This presentation will provide an overview and demo of the SWAMP, including our goals, intended audience, current capabilities, and future plans. We will cover our relationship with OWASP, incorporation of open-source software assurance tools, and status as an open-source project and resource available to the software community. Visit https://continuousassurance.org/ to learn more about us.
*'''BIO:''' Pat Beyer serves as the Product Manager for the Software Assurance Marketplace (SWAMP). With over 25 years of experience successfully managing multi-million dollar global projects, Beyer’s expertise extends to the IT, construction, and operations sectors, with a specialization in managing government contracts and grants. A gifted communicator, Beyer is a sought after speaker due to his ability to deliver complex information about technology products and services in a way that is easily understood. He is a decorated combat veteran of the Global War on Terror, the international military campaign that started following the 9/11 terrorist attacks on the United States. In 2004, he constructed and rehabilitated over 20 schools, clinics, and water treatment plants for the Iraqi people using local contractors. Beyer also holds a Bachelor of Science, a Masters in Business Administration, a Ph.D. in Organization and Management, and a Project Management Professional (PMP) certification.
*'''BIO:''' Abe Megahed is a web developer for the Software Assurance Marketplace. In previous lifetimes, he has been a computer graphics researcher, a game programmer, a programming language and compiler nerd, a dot com company founder, a creator of helicopter simulations, and a developer of 3D simulations for NASA astronaut crew training.
*'''WHEN:''' Tuesday, February 3rd 2015
*'''WHERE:''' Room PK-1140 - UQAM Pavillon Président-Kennedy, 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' https://owaspmtlswamp2015.eventbrite.ca
*'''WEBCAST:''' https://www.youtube.com/watch?v=p4_vjufcB6Q
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer

*'''ACADEMIC PARTNER:''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session: Getting to Know the Software Assurance Marketplace
20:00-... End of the meeting

[[Image:SWAMP-Logo-Final-Med.png|300px|link=https://continuousassurance.org/]]
[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

== OWASP Montréal - 4 décembre - Malware côté serveur — évolution, méthodes d’opération et forensic Linux ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/lo8WDl-WQ3E]] [https://youtu.be/lo8WDl-WQ3E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille]] [https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Marc-Etienne M.Léveillé
*'''RÉSUMÉ:''' Les logiciels malveillants ciblant les serveurs ont évolué. Ils sont utilisés par des groupes de cybercriminels organisés dans le but de faire du profit via des redirections web et l’envoie de pourriels. La présentation portera sur Opération Windigo, une opération malveillante qui a affecté plus de 25 000 serveurs dans le monde. Après une brève description des composantes de Windigo, nous verrons comment les opérateurs déploient leurs logiciels malveillants et surveille leur réseau de serveurs infectés. Des trucs pratiques pour faire de la forensics sur des systèmes Linux seront donnés. Cette présentation est une suite à la présentation "Linux/Cdorked: Server side malware", donnée par Olivier Bilodeau à OWASP Montréal en 2013. La présentation sera en français avec des diapositives en anglais (aka Montreal-style).
*'''BIO:''' Marc-Etienne est un chercheur en logiciel malveillant chez ESET depuis 2012. Il se spécialise dans les logiciels malveillants qui s’attaquent à des plateformes inhabituelles comme aux produits fruités et aux oiseaux nordiques. Dernièrement, il passe beaucoup de son temps à faire la rétro-ingénierie de logiciels malveillants sur des serveurs Linux et s’intéresse à leurs méthodes d’opération. Il adore participer de façon collégiale aux CTFs avec ses amis les CISSP Groupies et jouer de la clarinette. Il tweet très peu à @marc_etienne_.
*'''QUAND:''' 4 décembre 2014 à 18h00
*'''OÙ:''' Local M-1510, Polytechnique Montréal, 2900 Boulevard Edouard-Montpetit
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-4-decembre-malware-cote-serveur-evolution-methodes-doperation-et-forensic-linux-tickets-14635313617
*'''ÉQUIPE ACADÉMIQUE:''' Polyhack - http://polyhack.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Malware côté serveur
19:30-20:00 Période de questions

[[Image:Polyhacklogonoirpetit.png|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]

== OWASP Montréal - October 23rd - XXE : À l’assaut des analyseurs XML ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/MZviLB9-42E]] [https://youtu.be/MZviLB9-42E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau]] [https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Philippe Arteau
*'''RÉSUMÉ:''' L'utilisation d’XML est fortement répandue. Le format est utilisé pour des fichiers de configuration, pour des métadonnées, pour des documents textes, et bien plus. La prise en charge de fichiers XML n’est pas sans risque. La plupart des analyseurs XML ne sont pas sécuritaires par défaut pour le traitement de fichier externe. Cette présentation fera un survol des vulnérabilités de type « Xml eXternal Entity » et de l’étendue des risques pour différents langages de programmation. Plusieurs démonstrations sont prévues.
*'''BIO:''' Philippe est conseiller en sécurité applicative pour le Groupe Technologies Desjardins. Au quotidien, il s’occupe d’effectuer des tests d’intrusions et des revues de code. Il a découvert des vulnérabilités importantes dans plusieurs logiciels populaires incluant Google Chrome, DropBox, ESAPI et Jira.
*'''QUAND:''' 23 Octobre 2014 à 18h00
*'''OÙ:''' École de Technologie Supérieure Local A-3230, 1100 Rue Notre-Dame Ouest, Montréal, QC H3C 1K3
*'''INSCRIPTION:''' http://www.eventbrite.ca/e/owasp-montreal-23-octobre-xxe-a-lassaut-des-analyseurs-xml-tickets-13426881163
*'''PARTENAIRE ACADÉMIQUE:''' ETS - DCI http://dciets.com/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:45 Mot de bienvenue
18:45-19:45 Présentation principale - "À l’assaut des analyseurs XML" Philippe Arteau
19:45-20:00 Période de questions

[[Image:Blason_dci.png‎‎‎|150px|link=http://dciets.com/]]
[[Image:ETS-rouge-devise-impr-fond_transparent.png|150px|link=http://www.etsmtl.ca/]]

== OWASP Montreal - July 24th - Web security for DevOps: the glory is in the headers ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/6bp1NCLT-YQ]] [https://youtu.be/6bp1NCLT-YQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil]] [https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Jonathan Marcil
*'''ABSTRACT:''' DevOps is a buzzword which can be easily demystified: in essence it is a process which aims to combine the development and system administration process into one; Operations. As developers become responsible for server setup, security counter measures are evolving as well. The line between server configuration and application behaviour has been blurred. In this talk we will cover some HTTP headers in regards to security such as CORS, CSP and HSTS. We will demonstrate several forms of attack, and how they can (should) be countered.
*'''BIO:''' Jonathan is devoted to security and specialized in Web application security. His main occupation is consulting in Web security, but deep down he is a developer with a agnostic vision of programming languages. He has a diploma in Software Engineering from Ecole de Technologie Superieure and more than 10 years of experience in Information Technology and Security.
*'''WHEN:''' At noon on July 24th 2014
*'''WHERE:''' 75 Queen Street, office 3100, Montreal, QC H3C 2N6
*'''REGISTRATION:''' You can join us on site for a pizza slice but this is mainly an online event. Contact jonathan.marcil@owasp.org.
*'''WEBCAST:''' https://www.youtube.com/watch?v=6bp1NCLT-YQ
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil
*'''EVENT SPONSOR:''' Pheromone http://www.pheromone.ca/
*'''PROGRAM:'''

12:00-12:10 Welcome and quick OWASP introduction
12:10-13:10 Main presentation - "Web security for DevOps: the glory is in the headers" Jonathan Marcil
13:10-... Open discussion and questions

[[Image:Logo-phero.gif‎|link=http://www.pheromone.ca/]]

== OWASP Montreal - June 18th - Gaps in the Clouds ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz]] [https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Robert Fritz
*'''ABSTRACT:''' Cloud technology offers agility and scaling, and a chance to break away from legacy IT choices. Unfortunately, skipping traditional IT activities often results in poorly patched systems, out of date firewalls, and overprovisioned entitlements wielded by admins whose “day job” is development. Boundaries of accountability and responsibility amongst cloud providers and consumers are confusing, vague, and shift, making security difficult to manage. In such an environment, a “BP-spill” event, where cost wins over safely safety, is likely. This talk will dive down into the cracks between the layers of cloud, and share some of the exciting dirt we have seen and expect to see in coming years.”
*'''BIO:''' Robert Fritz has been practicing security his entire career. Rob started as an Air Force lieutenant at Langley AFB and later at the Pentagon in Washington DC, building and managing classified networks. Finding he was getting too far from technology after a brief stint flying, he left the military to get back to the tech, and built security tools for HP in their HP-Unix lab. Over time he found himself in more and more security design discussions, so co-authored HP’s Commercial Application Threat Analysis Methodology, building an internal consulting practice at HP. This quantitative approach, led to two pending patents, an external-facing consulting practice, and his contributions to NIST IR-7502, the Common Configuration Scoring System (CVSS follow-on). He is the former lead editor for the Center for Internet Security’s HP-UX Benchmark, and current lead for the Android Benchmark. Robert now works for Morgan Stanley as global head of the Strategic Consulting team in the Security Architecture group, and leads the team’s cloud and social-media security practices.
*'''WHEN:''' June 18th 2014
*'''WHERE:''' 700 Rue Wellington, Floor 2, Montreal, QC H3C 3S4
*'''REGISTRATION:''' http://owaspmtl18junems.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz
*'''EVENT SPONSOR:''' Morgan Stanley http://www.morganstanley.com/
*'''PROGRAM:'''

18:00-18:30 Networking and Morgan Stanley Hosted Pizza and Soft Drinks
18:30-18:45 OWASP Chapter & Morgan Stanley Welcome
18:45-19:45 Main presentation - "Gaps in the Clouds" Robert Fritz
19:45-20:00 Open discussion and questions
20:00-... Optional, informal networking at Aziatic - 626 rue Marguerite-d'Youville, Montréal, QC H3C 1W7

[[Image:Morgan_Stanley_Historical_Logo.png|link=http://www.morganstanley.com/]]

== OWASP Montréal - May 26th - Récapitulatif des challenges NorthSec ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/P8_V3RI1Ru4]] [https://youtu.be/P8_V3RI1Ru4 Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''PRÉSENTATEUR PRINCIPAL:''' Laurent Desaulniers
*'''RÉSUMÉ:''' Solutions de la compétition en sécurité NorthSec 2014 sur les sujets de XXE + SSRF, WAF Bypass, Xpath Injection, DOM Injection, HTTP Only Flag bypass et contournement de captchas. Une bonne façon d'apprendre sur ces failles que vous étiez ou non un participant de la compétition.
*'''MESSAGE DU PRÉSENTATEUR:''' Vous voyez Rao dans votre soupe? Vous voulez une solution pour un XSS avec des cookies http only? Les captchas illisibles sont un problème? Assistez à la présentation de l'OWASP!
*'''BIO:''' Laurent Desaulniers est un passionné de sécurité informatique. Il a présenté au Hackfest, au colloque RSI, à OWASP et est challenge designer à NorthSec. M. Desaulniers détient les certifications CISSP, CISM, CISA et OSCP.
*'''QUAND:''' 26 mai à 18h00
*'''OÙ:''' Local PK-1140 - Pavillon Président-Kennedy 201, Avenue du Président-Kennedy, J2X 3Y7
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-26-mai-recapitulatif-des-challenges-northsec-tickets-11724413035
*'''WEBCAST:''' https://www.youtube.com/watch?v=P8_V3RI1Ru4
*'''ÉQUIPE ACADÉMIQUE''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Récapitulatif des challenges NorthSec
19:30-20:00 Période de questions

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== Networking with infosec communities - April 21st ==

[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''RÉSUMÉ:''' En collaboration avec Montréhack, mtlsec et NorthSec, nous organisons une soirée réseautage dans un pub du centre-ville. Du plaisir garanti avec les membres de plusieurs communautés infosec de Montréal!

*'''ABSTRACT:''' In collaboration with Montréhack, mtlsec and NorthSec, we are organizing a networking evening in a pub downtown. Fun guaranteed with the other security communities in Montreal!

*'''QUAND:''' 21 Avril 2014
*'''WHEN:''' April 21st 2014

*'''OÙ/WHERE:''' BENELUX - Brasserie Artisanale 245 Sherbrooke St W Montreal, QC H2X 1X7

*'''INSCRIPTION/REGISTRATION:''' https://www.eventbrite.ca/e/montrehack-avril-april-northsec-pre-party-tickets-11232307133

*'''PARTENAIRES/PARTNERS:''' Montréhack http://montrehack.ca/ - mtlsec http://blog.mtlsec.com/ - NorthSec https://www.nsec.io/
*'''PROGRAMME:'''
18:00-21:00 Networking
21:00-23:59 Remember to drink responsibly!

== OWASP Montréal - March 27th - Panel Compétition en sécurité NorthSec ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

'''Présentation sous forme de panel - venez poser vos questions!'''

*'''RÉSUMÉ:''' Les compétitions de type Capture the Flag (CTF) sont un moyen pour les professionnels et amateurs de sécurité informatique de mettre leurs talents à l'épreuve. NorthSec est une compétition Montréalaise annuelle en sécurité appliquée, qui aura lieu cette année au Marché Bonsecours de Montréal le 25, 26 et 27 avril prochain. Elle vise à augmenter le niveau technique des professionnels de la sécurité au Québec, ainsi que de permettre à ses acteurs les plus talentueux de se démarquer.
*'''DÉTAILS:''' Le panel de jeudi, sous la forme d'un échange convivial entre les organisateurs de l'évènement et de ses participants, abordera des thèmes variés comme l'écriture de bon défis, l'infrastructure, la logistique, les inattendus, un bilan de 2013 et tout ça en passant par de savoureuses annecdotes (on l'espère). Venez en grand nombre toucher à ces légendes de la scène infosec montréalaise!
*'''PANÉLISTES:''' Gabriel Tremblay, François Proulx, Laurent Desaulniers, Stéphane Graber
*'''ANIMATEUR:''' Olivier Bilodeau
*'''QUAND:''' 27 mars 2014
*'''OÙ:''' Salle M-1510, École Polytechnique de Montréal, 2500 chemin de Polytechnique, Montréal (Québec) H3T 1J4, pavillon Lassonde
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-27-mars-panel-competition-en-securite-northsec-tickets-10918436337
*'''ÉQUIPE ACADÉMIQUE:''' Polytechnique - Polyhack http://polyhack.org/
*'''PROGRAMME:'''
18:00-18:25 Networking
18:25-18:30 Mot de bienvenue par le leader du chapitre (Jonathan Marcil)
18:30-20:00 Présentation principale : Panel NorthSsec

[[Image:Polyhack.png‎‎|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== OWASP Montreal - February 25th - Proven Strategies for Web Application Security ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane]] [https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Justin C. Klein Keane
*'''ABSTRACT:''' The rising dominance of the web as an application delivery platform has focused attacker attention squarely on the security of dynamic web applications. Application security is a complex, and shifting, field. Learn about tested and successful techniques to build safer applications, find flaws before they become vulnerabilities, and deploy applications that can detect, and resist attack.
*'''BIO:''' Justin C. Klein Keane is a security engineer and chapter leaders of OWASP in Philadelphia. For over a decade Justin has worked as a trainer, coder, and exploit developer. Justin is currently writing a book for NoStarch Press on hacking, speaks regularly at conferences, holds a masters degree in information technology from the University of Pennsylvania and is credited with hundreds of application vulnerability discoveries.
*'''WHEN:''' February 25th 2014
*'''WHERE:''' Ecole de technologie superieure, 1100 Notre-Dame Street West, Montreal, Room: A-1150
*'''REGISTRATION:''' http://owaspmtljan2014.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane
*'''ACADEMIC PARTNER:''' ETS - DCI http://dciets.com/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session and open discussion: Proven Strategies for Web Application Security
20:00-... End of the meeting in a pub

[[Image:Dciets.png‎‎‎|100px|link=http://dciets.com/]]
[[Image:Logo_ets.png|link=http://www.etsmtl.ca/]]

== OWASP Montreal - January 28th - Latest trends in Mobile Security ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/8qPyKj4FKgY]] [https://youtu.be/8qPyKj4FKgY Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx]] [https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Francois Proulx
*'''ABSTRACT:''' Last AppSecUSA 2013 had a great line up of talks, especially regarding mobile applications. This session will be covering all the hottest presentations about mobile security by doing an overview from what see saw at AppSecUSA, all with some slides and snippets of presentations that was recorded at the event. Discussion will be encouraged within the audience as this will be more a dynamic event than a regular talk.
*'''BIO:''' François Proulx is a senior mobile application developer who has worked on dozens of iOS applications since the very beginning of the Apple iOS platform. Over the past few years he has switched his focus to security. He spends a lot of his free time participating in Capture the Flag events (CTFs) and organizing the NorthSec security competition.
*'''WHEN:''' January 28th 2014
*'''WHERE:''' UQAM Room PK-1705, Pavillon Président-Kennedy (the big boat at Place des Arts) - 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' http://owaspmtl-mobilesecurity.eventbrite.ca
*'''SLIDES/CONTENT:''' [http://www.youtube.com/playlist?list=PLQtB2ug5xmvaQ9jeRWV53-F_T555GQfhW YouTube playlist]
*'''SPONSOR:''' Academic partner AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan M.)
18:30-20:00 Main session and open discussion: Mobile Security
20:00-... End of the meeting in a pub

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

==== Presentations For Download ====

[http://www.owasp.org/images/0/0d/20100209mstechdaysowaspasvssgiv01-12657916463819-phpapp02.ppt OWASP ASVS] by Sebastien Gioria (09/03/2010)

[http://www.ph-il.ca/slides/afup__authetification_forte.pdf Authentification Forte] by Philippe Gamache (02/02/2010)

[http://www.opensamm.org/downloads/OpenSAMM-1.0.ppt Software Assurance Maturity Model (OpenSAMM)] by Pravir Chandra (03/11/2009)

[http://www.owasp.org/images/d/de/Owasp-montreal-sept-17h-2009-justin-foster.pdf Crossing the Border – Javascript Exploits] by Justin Foster (17/09/2009)

[http://www.owasp.org/images/c/c2/ALaughRIAt.pdf A Laugh RIAt] by Rafal Los (07/04/2009)

[https://www.owasp.org/images/e/eb/OWASP-Montreal-24022009-RobLabbe.pptx Microsoft Security Development Lifecycle for IT] by Rob Labbe (24/02/2009)

[https://www.owasp.org/images/3/39/OWASP-Montreal-24022009-EN.pdf OWASP Goal and Top Ten 2007 for Managers - French version] by Benoit Guerette (24/02/2009)

Newer presentations are available on [https://speakerdeck.com/owaspmontreal Speaker Deck]

[[Image:Circle_owasp_logo_nowhitebackground.png|200px]]

= OWASP Foundation / Mission OWASP =
OWASP Foundation ([https://docs.google.com/a/owasp.org/presentation/d/10wi1EWFCPZwCpkB6qZaBNN8mR2XfQs8sLxcj9SCsP6c/edit?usp=sharing Overview Slides]) is a professional association of [[Membership | global members]] and is open to anyone interested in learning more about software security. Local chapters are run independently and guided by the [[Chapter_Leader_Handbook]]. As a [[About_OWASP | 501(c)(3)]] non-profit professional association your support and sponsorship of any meeting venue and/or refreshments is tax-deductible. Financial contributions should only be made online using the authorized online chapter donation button. To be a SPEAKER at ANY OWASP Chapter in the world simply review the [[Speaker_Agreement | speaker agreement]] and then contact the local chapter leader with details of what OWASP PROJECT, independent research or related software security topic you would like to present on.

La fondation OWASP est une [https://www.owasp.org/index.php/Membership association de professionnels] et elle est ouverte à tout intervenant intéressé à en apprendre davantage sur la sécurité applicative. Les chapitres locaux (dont celui de Montréal) sont gérés de façon indépendante et selon un [https://www.owasp.org/index.php/Chapter_Leader_Handbook manuel de directives à respecter].
Toute contribution financière au chapitre peut être faite en ligne en utilisant l’icône prévu à cet effet. Pour être conférencier au sein de n’importe quel chapitre à l’échelle mondiale, vous n’avez qu’à prendre connaissance du document [https://www.owasp.org/index.php/Speaker_Agreement "entente avec les conférenciers – speaker agreement"] et à joindre le responsable du chapitre Montréal avec un descriptif du sujet que vous aimeriez aborder et s’il est relié à un projet OWASP, à de la recherche indépendante ou encore le sujet en particulier, concernant la sécurité applicative, que vous souhaitez aborder.

== [[Image:Circle_owasp_logo_nowhitebackground.png|128px]] Montreal OWASP Team ==

Scope of the team is to discuss and plan local activities and meetings

=== Chapter Leaders ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique

==== Chapter leader history ====
*2008-2010 - Benoit Guerette, founder and chapter leader
*2011-2012 - Philippe Gamache, chapter leader (vice chapter-leader since 2010)
*2013-2015 - Jonathan Marcil, chapter leader
*2016-... - Anne Gauthier, Michel Bourque, Marius Popescu, Hugo Genesse, Olivier Arteau

==== Old board members ====
*Philippe Pépos Petitclerc
*Michael Robillard
*Benoit Guerette (logistics 2015)
*Alexandre Rimthong
*Mathieu Binette
*Sean Coates
*Jean-Marc Robert
*Philippe Blondin
*Benoit Guerette (founder)
*Laurent Desaulniers
 

<headertabs/>
__NOTOC__
[[Category:Canada]]

File:GillCFP.jpg

2017-06-17T17:52:16Z

Svieg:

GillCFP

Montréal

2017-06-17T17:35:24Z

Svieg: slides

== Welcome & Bienvenue to the OWASP Montréal chapter ==
 
[[Image:OWASP-Montreal-Logo.png|Logo OWASP Montréal]]

The OWASP Foundation was established in 2001 as an open community and software security resource. Since then, OWASP has grown to be globally recognized as a credible source for application security standards. 
OWASP is an open community dedicated to enabling organizations to conceive, develop, acquire, operate, and maintain applications that can be trusted. All of the OWASP tools, documents, forums, and chapters are free and open to anyone interested in improving application security. We advocate approaching application security as a people, process, and technology problem because the most effective approaches to application security include improvements in all of these areas. 
OWASP is open to anyone. Anyone can attend OWASP's vendor agnostic local chapter meetings, participate in regional and global conferences, and contribute to the many OWASP projects. And anyone can start a new project, form a new chapter, or lend their expertise to help an OWASP Global Committee. 
On parle français aussi ! Le chapitre de Montréal organise plusieurs activités gratuites afin de partager les connaissances en sécurité applicative avec la communauté de développeurs et gestionnaires. Suivez-nous sur les réseaux sociaux pour connaître les dates des conférences du midi et des workshops ! 

Top documentation from OWASP includes:

* [https://www.owasp.org/index.php/Top_10_2013-Top_10 OWASP TOP 10 : The Ten Most Critical Web Application Security Risks]

* [https://www.owasp.org/images/3/33/OWASP_Application_Security_Verification_Standard_3.0.1.pdf OWASP ASVS : Application Security Verification Standard]

* [https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf OWASP Testing Guide : Penetration Testing Framework ]

* [https://www.owasp.org/images/7/78/OWASP_AlphaRelease_CodeReviewGuide2.0.pdf OWASP Code Review Guide : Source Code Analysis Framework ]

* [https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series OWASP Cheat Sheet : Best practices guidelines for developers ]

* [https://www.owasp.org OWASP Global ]

=== Chapter Leaders / Responsables du chapitre ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique
 
Special thanks to / Remerciements :
* Simon Lacasse, Web content / Site internet

== Reach our chapter / Joindre le chapitre ==

Follow OWASP's Montreal chapter's activities through social medias, register to events, watch the previous presentations and more!

Suivez les activités du chapitre OWASP Montréal via les réseaux sociaux, inscrivez-vous aux activités, visualisez les anciennes présentations et plus encore!

 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Click here] to join the local chapter mailing list.
 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Inscrivez-vous ici] à la liste de courriels du chapitre afin de recevoir les dernières nouvelles!

Want to be part of the community ?
Devenez membre de notre communauté !
[https://www.owasp.org/index.php/Membership_Map Click here / Cliquer ici]

[[Image:Eb_press_little.gif‎|OWASP Montreal Eventbrite|link=http://owaspmontreal.eventbrite.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Yt-brand-standard-logo-630px.png‎|128px|YouTube OWASP Montreal Channel|link=http://www.youtube.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Speakerdecklogo.png‎|Slides of OWASP Montreal on SpeakerDeck |link=https://speakerdeck.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]

 
[[Image:Twitter-bird-cropped-onwhite.png|@owaspmontreal on Twitter|link=https://twitter.com/owaspmontreal]]
[[Image:FacebookSquareLogo.png|OWASP Montreal Facebook page|link=https://www.facebook.com/owasp.montreal]]
[[Image:LinkedinSquareLogo.png|OWASP Montreal on LinkedIn|link=https://www.linkedin.com/groups/1379007/profile]]

[[Image:Spacer-horiz.gif‎]]

== Sponsorship & Membership / Commandite & Adhésion ==

[[Image:Btn_donate_SM.gif|link=http://www.regonline.com/donation_1044369]] to this chapter or become a local chapter supporter.

Or consider the value of [[Membership | Individual, Corporate, or Academic Supporter membership]]. Ready to become a member? [[Image:Join_Now_BlueIcon.JPG|75px|link=https://myowasp.force.com/]]

[http://www.regonline.com/donation_1044369 Donnez] au chapitre ou devenez commanditaire du chapitre local!

[https://myowasp.force.com/ Devenez membre !] Pour en savoir davantage sur les avantages d’une adhésion individuelle, corporative ou en tant qu’institution d’enseignement, [https://www.owasp.org/index.php/Membership cliquez ici].

[[Category:OWASP Chapter]]

== Chapter Supporters / Commanditaires du chapitre ==

[https://www.owasp.org/images/9/91/OWASP_Membership_Flyer_Montreal.png All details available here / Pour tous les détails ] [[File:Chapter-supporter-owasp-montreal.png|200px|link=https://www.owasp.org/images/9/91/OWASP_Membership_Flyer_Montreal.png]]

=== Platinum / Platine ===

[[Image:Gosecure-2.png|GoSecure|link=http://www.gosecure.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[File:Desjardins2-400x400.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 
 

=== Gold / Or ===

[[Image:ImmunioLogo.jpg|Immunio|link=https://www.immun.io/]]

 
 
 

= Lunch & Learn / Workshops 2017 =

== HOW TO! Threat Modeling Toolkit ==

[[Image:OWASPMtl-JonathanMarcil-1.jpg]]
[[Image:OWASPMtl-JonathanMarcil-3.jpg]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit]] [https://speakerdeck.com/owaspmontreal/threat-modeling-toolkit See the slides / Voir la présentation]

WHEN
May 23rd, 2017
WHERE
Shopify Montreal

Threat Modeling is a great way to analyze security early in software development by structuring possible attacks, bad actors and countermeasures over a broad view of the targeted system. This talk will describe basic components of a threat model and how to use them effectively.
Threat Intelligence is where you gather knowledge about the environment and business assets to determine what are the actual threats. But how do you reconcile that with the current architecture in a useful manner?
The toolkit presented in this talk will enable you to systematically structure related information using graphical notations such as flow diagram and attack tree. In case you are wondering where to start in your organization, a quick lightweight risk rating methodology will also be proposed.
And in the end, you’ll see how we can all tie those together and get threat modeling to a point where it’s an efficient application security activity for communication. Doing this will prevent security reviews from missing important things even when chaos prevails during the realization of a project.
Modeling concepts will be demonstrated with an actual IoT device used as example.
Presentation will be done in english.

Speaker Bio:
Jonathan Marcil is the former chapter leader of OWASP Montreal and is now Senior Application Security Engineer at Blizzard Entertainment in beautiful Orange County, California.
Jonathan has been involved with OWASP for many years and has been behind the Media Project which gathered and promoted AppSec conferences video content in the official OWASP YouTube channel. He was also part of NorthSec CTF event as a challenge designer specialized in Web and imaginative contraptions.
He is passionate about Application Security and enjoys architecture analysis, code review, threat modeling and debunking security tools. He holds a diploma in Software Engineering from ÉTS Montreal and has more than 15 years of experience in Information Technology and Security.

Merci à nos précieux commanditaires !

== Security Testing: Unlocking the Benefits of a Hybrid Approach ==

WHEN
April 24th, 2017
WHERE
Espace Desjardins

As part of their defensive efforts, businesses commonly commission cybersecurity assessments of their web applications; with the aim of identifying any weaknesses in the security controls and ensuring a continually strong cybersecurity posture of their systems.

The classical approach of either secure code review (white box) or penetration testing (black box) assessment have proven to be effective in securing of web applications. The new trend, however, is moving towards the combination of these two approaches; expert consensus is rapidly recognizing the advantages of using a hybrid approach. When applied properly, a hybrid approach can build on the strengths of both white and black box testing, while compensating for their individual shortcomings.

In this presentation, we will examine the details of secure code review and penetration testing, and run demos to contrast their respective strengths and weaknesses. We will also examine why a hybrid approach can produce more complete and relevant assessment results. To conclude, we will cover proven approaches, and practical techniques, on how you can start leveraging a hybrid approach to web application assessments today.

Anne Gauthier is an application security analyst at GoSecure. Anne is also the president of the Montreal Chapter of OWASP – the industry standard for web application security. With a penetration testing background, she specializes in secure code reviews and in helping companies to improve their software development lifecycle (SDLC) according to industry best practices. Anne is CSSLP, GWAPT and GSSP-JAVA certified. She obtained a Software Engineering bachelor’s degree from Ecole de Technologie Supérieure in Montréal and is now pursuing a Master of Engineering (MEng) degree in Information Systems Security at Concordia University. She is the author of the Project 201 Security blog.

Merci à nos précieux commanditaires !

== "HOW-TO" NIGHT ! Tout sur les CTFs (Capture The Flag) ==

WHEN
April 4th, 2017
WHERE
Shopify

Cette nouvelle soirée "How-To" Night d'OWASP Montréal vise à présenter les CTFs (une compétition Capture The Flag) et aider les équipes à démarrer et à continuer à évoluer dans leurs pratique de la cyber sécurité pratique. L'objectif est d'outiller les participants en leur fournissant des ressources techniques et des contacts afin de les aider à progresser.

Les éléments discutés seront:

- Composition optimale d’une équipe : Fonctionnement d’une équipe de CTF et les principaux rôles (chef d’équipe, cryptographie, application web, rétro ingénierie et les causes perdues).

- Pourquoi faire des CTFs? Discussion sur les différents styles (jeopardy, attack/defense, etc.), quels sont les problèmes fréquemments rencontrés + plusieurs anecdotes intéressantes (et drôles).

- Trucs de Mr. Unikoder : Le créateur du fameux site ringzer0team, soit un des plus gros sites pour apprendre la résolution de problèmes de CTF (https://ringzer0team.com/) Apprenez des trucs du meilleur, sur comment débuter et interpréter un challenge web, binaire et crypto avec des trucs réels du métier.

Matériel requis :

Votre légendaire enthousiasme

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement.

Présentateurs :

Charles Hamilton, Senior Consultant chez Mandiant, FireEye, Inc.

Olivier Bilodeau, Cybersecurity Research Lead at GoSecure

Laurent Desaulniers, Senior Security Solution Specialist at Bell Canada

== NorthSec - Applied Security Event ==

WHEN
April 4th, 2017
WHERE
Espace Desjardins

NorthSec: La plus grande compétition et conférence en cyber sécurité au Canada

NorthSec est un organisme sans but lucratif qui organise une conférence et une compétition de sécurité de type "Capture-The-Flag" (CTF) et des formations. Avec plus de 400 participants présents sur le site pour la compétition, c’est la plus grande compétition du genre au monde.

La conférence, dans sa 3e année, attire des présentateurs internationaux avec du contenu technique exclusif. L’ajout des séances de travail (workshops) devrait plaire aux plus chevronnés des binaires.

Des formations de 3 jours sont offertes avant la conférence: "Advanced Web Application Security" par Philippe Arteau et "Malware and Memory Forensics" par Michael Ligh, co-auteur des livres "Malware Analyst Cookbook" et "The Art of Memory Forensics".

NorthSec est situé au Marché Bonsecours dans le Vieux-Port de Montréal au printemps du 15 au 21 mai 2017.

La présentation couvrira:

- Le plan pour 2017 
- Ce qui différencie NorthSec 
- Comment équilibrer une compétition pour les débutants et les experts 
- Comment bâtir une infrastructure basée sur les conteneurs qui gère 50 équipes dans quelques serveurs sans qu’ils ne se partagent de machines virtuelles 
- Comment faire du pain au levain à grande échelle 
- Présentation de quelques défis et solutions 

Les présentateurs:

- Gabriel Tremblay, Président, Delve Labs 
- Olivier Bilodeau, VP Formations, Co-fondateur MontréHack, GoSecure 
- Pierre-David Oriol, VP Conférences, Delve Labs 
- Benoit Guérette, VP Partenaires, Desjardins 
- Laurent Desaulniers, Tisserand de drapeaux, Bell Canada 

Merci à nos précieux commanditaires !

== Sécurité des applications : Les fondements ==

WHEN
March 20th, 2017
WHERE
Espace Desjardins

OWASP Montréal est fier d’accueillir au Midi Conférence du mois de mars, Mme Tanya Janca, Co-Leader du chapitre OWASP Ottawa et spécialiste de la sécurité applicative au sein du Gouvernement fédéral.

La conférence « Les fondements de la sécurité des applications » sera présentée en anglais.

Session Description : Everyone has heard about the problem; everyone is “getting hacked”. But what is the answer? From scanning your code with a vulnerability scanner to red teaming exercises, developer education programs and bug bounties, this talk will take the audience through all the possibilities of an extensive application security program, with a detailed explanation of each part.

Bio : Tanya Janca is an application security evangelist, a web application penetration tester and vulnerability assessor, a secure code reviewer, an ethical hacker, the Co-Leader of the OWASP Ottawa chapter, and has been developing software since the late 90’s. She has worn many hats and done many things, including; Custom Apps, Ethical Hacking, COTS, Incident Response, Enterprise Architect, Project and People Management, and even Tech Support. She is currently helping the Government of Canada secure their web applications.

Merci à notre commanditaire principal de cet événement: Ubitrak!

== WORKSHOP ! Server Side Template Injection (SSTI) ==

[[Image:Workshop-okiok-SSTI-r.jpg | WORKSHOP ! Server Side Template Injection (SSTI) ]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti]] [https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti See the slides / Voir la présentation]

WHEN
22 Février 2017
WHERE
Shopify Montréal

OWASP Montreal vous invite à un atelier portant sur la sécurité des applications web supportant les moteurs de template (Template Engine). Le principe de séparation entre la présentation du site (code HTML statique) et de son contenu dynamique facilite la création de documents HTML et la capacité à modifier l'apparence du site sans mélanger le traitement et le rendu de la page. L'utilisation de moteurs de template amène de nouveaux enjeux de sécurité. Les vulnérabilités de type Server Side Template Injection (SSTI) sont exploitables à travers les données (non fiables) fournies par l'utilisateur et conduisent à l'exécution de code arbitraire (RCE) sur le serveur hébergeant l'application web. 

Ce workshop a pour but d'introduire cette classe de vulnérabilité à travers différents cas d'implémentation (php, java, python).
Nous verrons comment identifier et exploiter ces vulnérabilités et de quelle manière un attaquant peut
s'y prendre pour exécuter du code arbitraire sur le serveur afin d'en prendre le contrôle. 

Niveau : Intermédiaire 
Matériel requis :
* Votre portable
* Votre distribution Linux/Unix de votre choix
* Votre proxy Web de votre choix

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.
Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.
Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement. 

Présentateur : Gérôme Dieu 
Gérôme Dieu cumule plus de 7 années d’expérience en technologies de l’information et en sécurité.
Il œuvre à titre de conseiller senior en sécurité de l’information au sein de la firme OKIOK. Ces dernières années, il a acquis une expertise dans le domaine de la sécurité des applications web aussi bien d'un point de vue offensif que défensif. En plus de réaliser des tests d’intrusion pour des clients internationaux, Gérôme s’implique dans la recherche et développement afin de maintenir à la fine pointe de la technologie les tests d'intrusion et d'analyse de vulnérabilités. 

Merci à Shopify d'héberger l'événement ! 
[[Image:Shopify Logo-r.png| Shopify | link=https://www.shopify.com/]]
== Le courriel en 2017 – risques et menaces pour tous ==

[[Image:Zero spam 2.jpg|Le courriel en 2017 – risques et menaces pour tous]]

[[Image:Video-link.png | Link to video | link=https://www.youtube.com/watch?v=HX2vcijcCWw ]] [https://www.youtube.com/watch?v=HX2vcijcCWw Watch the conference / Regarder la conférence ] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

WHEN
Le 23 janvier 2017 à midi
WHERE
Espace Desjardins

Monsieur Poellhuber nous brossera un tableau du phénomène grandissant du rançongiciels et de l'hameçonnage, personnification. 

- Par les années passées, la menace courriel se résumait principalement en un fort volume de contenu simplement indésirable. Aujourd’hui la menace a passablement évolué. Quels sont les véritables risques actuels associés au courriel ? Rançongiciels, hameçonnage, personnification. Cette conférence présentera les nouveaux défis de sécurité pour les organisations qui doivent composer avec des attaques de plus en plus sophistiquées et de plus en plus ciblées tout en protégeant leur réputation. Des exemples biens réels, drôles et moins drôles seront disséqués pour bien dessiner l’ampleur de l’enjeu. 

M. David Poellhuber, Chef de l’exploitation, ZEROSPAM Sécurité Inc 

Note biographique : 
Monsieur David Poellhuber oeuvre dans l’industrie de la sécurité informatique depuis quinze ans. Il a été conférencier dans plusieurs forums de sécurité au Canada et est maintenant reconnu comme une autorité en matière de sécurité du courriel. Il a fondé ZEROSPAM Sécurité en 2003, le premier service Québécois externalisé de sécurité du courriel infonuagique qui se distingue par sa convivialité, son efficacité et ses technologies de détection proactives. 
Audience : Généralistes et spécialistes de la sécurité des TI
 
Merci à Ubitrack pour le repas et à Desjardins d'héberger l'événement!

[[Image:Ubitrak-r2.jpg|Ubitrak|link=http://www.ubitrak.com/fr/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]

== Effective XSS Mitigation ==

[[Image:XSS mitigation.jpg | Effective XSS Mitigation ]]

[[Image:Presentation-link.png | Slides| link=http://slides.com/olivierarteau/xss-mitigation ]] [http://slides.com/olivierarteau/xss-mitigation See the slides / Voir la présentation]

WHEN
18 Janvier 2017
WHERE
Google Montréal

FRANÇAIS/ENGLISH 
La mitigation de XSS a été un sujet important au cours des dernières années. Les navigateurs ont implémenté, en autre, deux fonctionnalités pour mitiger leur impact : l'entête "XSS-Protection" et l'entête "Content-Security-Policy". Par contre, obtenir une mitigation contre les XSS efficace est souvent plus complexe que l'on pense. Cet atelier couvrira les deux entêtes. Il expliquera comme il est possible de contourner ces protections et ce qu'il est possible de faire pour se protéger. Des exercices de type "offensif" et "défensif" seront proposés.
Mitigation for XSS as been an important topic in the last few years. Browsers have implemented two main functionalities to help mitigate the impact of XSS : the "XSS-Protection" header and the "Content-Security-Policy" header. But, getting an effective XSS mitigation of those headers is trickier than it may seem. This workshop will cover both of those headers. It will explain how bypass of those protection work and what you can do about it. It will have both "defensive" exercises and "offensive" exercises.
Niveau : débutant/intermédiaire
 
Matériel requis :

Votre portable 

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Google pour l'événement.
 
Présentateur : Olivier Arteau
 
Olivier Arteau est un professionnel en sécurité informatique depuis quelques années et fait partie de l’équipe de test d’intrusion de Desjardins. Il est aussi un amateur de CTF qui a gagné à plusieurs reprises le CTF du NorthSec avec l’équipe HackToute et participe fréquemment à d’autres CTF avec l’équipe DCIETS.
 

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

= Lunch & Learn / Workshops 2015-2016 =

== WORKSHOP ! Top 10 OWASP - Unleash the threats ==

[[Image:Workshop-top10.jpg | WORKSHOP! Top 10 OWASP - Unleash the threats ]]

WHEN
30 novembre 2016 de 17h30 à 20h30
WHERE
Immunio @ WeWork

De nos jours, la sécurité applicative est essentielle dans l’écosystème des entreprises de toutes tailles. Les vecteurs d’attaques sont multiples, les vulnérabilités de sécurité dans les applications peuvent être désastreuses et les impacts d’un « Hack » peuvent être irréversibles pour l’entreprise; vols de données sensibles, perte de réputation, perte de $$$$$, etc.
L’objectif du workshop est de comprendre la base sur les vulnérabilités de sécurité dans les applications et les techniques d’exploitation utilisées par les pirates informatiques, en plus de connaître les bonnes pratiques de développement en matière de sécurité applicative.
Avec l'aide de WebGoat, Damn Vulnerable Web Application et de Kali Linux, vous pourrez participer
à l'exploitation des applications et découvrir les techniques utilisées par les attaquants.

Niveau : débutant

Matériel requis :
Votre portable
Kali Linux
La VM du workshop, envoyée aux participants

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places très limitées (nb = 10). Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Immunio & WeWork pour l'événement.

Présentateur : Christian Leclerc

Christian est spécialisé en conception et développement de solutions web sécuritaires. Tout au long de sa carrière, il a acquis une vaste expertise sur plusieurs types de technologies et méthodologies, intégré la sécurité dans le cycle de développement d’applications, effectué des revues de code sécurité, déployé des outils d’analyse des vulnérabilités et mis en place des systèmes d’authentification. De plus, il a participé à la conception et au développement de solutions sécuritaires de pointe comme la signature électronique à l’aide d’une infrastructure à clé publique (PKI), les authentifications fortes, le Registre des consentements au don d'organes et de tissus (RDOQ.org) et la migration de plusieurs applications web vers un environnement SOA (Service Oriented Architecture).
 Merci à Immunio & WeWork d'héberger l'événement! 

[[Image:Immunio-horizontal-r.png|Immunio|link=https://www.immun.io/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Wework-r.jpg|WeWork|link=https://www.wework.com/]]
 

== Histoire d'un Hack ==

[[Image:Histoire-dun-hack-r.jpg | Histoire d'un Hack ]]

WHEN
21 novembre 2016 à midi
WHERE
Espace Desjardins

Pour son activité du mois de novembre, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de faire l'autopsie d'une attaque de haute voltige sur un site web et des outils mis à la disposition par OWASP.

Bernard Bolduc cumule plus de 17 années d’expérience en technologies de l’information et en sécurité. Il œuvre à titre de conseiller senior en sécurité de l’information au niveau d’entreprise de classe nationale et internationale.

Bernard se spécialise en sécurité Unix, applicative et en gestion de la sécurité des télécommunications. Il combine ces expertises techniques afin d’obtenir des résultats probants et efficaces pour ces clients des secteurs bancaire, télécommunication et multimédias, de l’énergie ou des services publiques. Tout au long de sa carrière, Bernard s’est toujours maintenu à jour sur les dernières menaces de sécurité technologique et commerciale en assistant à des formations spécialisées et d'échanger avec un grand nombre de partenaires dans l'industrie de la sécurité.

La conférence débute à midi.

La conférence vous donne droit à 1 CPE et pour les 50 premières personnes, un lunch gratuit.

Merci à Desjardins d'héberger l'événement!

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite) ==

[[Image:Workshop-zap-mix.jpg | Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite)]]

WHEN
11 novembre 2016 de 18h à 21h

WHERE
Google Montréal

OWASP Zed Attack Proxy (ZAP) est un scanneur de vulnérabilités et un outil de débogage HTTP. Ce type d'outil est crucial dans un test d'intrusion web et contient un lot intéressant de fonctionnalités. Cela dit, il est possible d'étendre les fonctionnalités. Plusieurs types d'extension sont possibles : vue alternative pour les requêtes ou les réponses, scanneur passif des réponses, scanneur actif produisant des requêtes, etc.

Plusieurs options seront données, par exemple :

Détection automatique de flag dans les sources
Scanneur actif asynchrone DNS
Ou votre propre idée

Pour chacune des suggestions, des squelettes de code seront fournis pour les APIs de ZAP. Pour les utilisateurs de BurpSuite, des directives analogues seront également données.

Niveau : débutant / intermédiaire

Matériel requis

Votre portable
[https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project OWASP ZAP (gratuit)]
[https://portswigger.net/burp/download.html BurpSuite]
Éditeur de code pour Java, Python ou Ruby

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Présentateur : Philippe Arteau

Philippe est un chercheur en cybersécurité chez GoSecure. Il est l'auteur de l'outil d'analyse statique Java "Find Security Bugs". Il a découvert des vulnérabilités importantes dans les logiciels populaires tels que Google Chrome, Dropbox, Paypal, RunKeeper et Jira. Il a présenté dans différentes conférences incluant Black Hat USA, Black Hat Europe, ATL Sec Con, NorthSec, Hackfest (QC) et JavaOne. Il a développé de nombreux plug-ins pour les outils de proxy BurpSuite et OWASP ZAP (Retire.js, Reissue Request Script, PDF preview et Image Metadata). Il a fait également des contributions à d'autres plug-ins comme J2eeScan.

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

==Logiciel de rançon (Ransomware) s'attaque au domaine de la santé==

[[Image:HackingHealth-2.jpg | Logiciel de rançon (Ransomware) s'attaque au domaine de la santé ]]

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health ]] [https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health See the slides / Voir la présentation]

(Conférence en anglais)
Pour le lancement de la saison 2016 - 2017, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de la santé une incursion dans le monde du logiciel malveillant ciblant le domaine de la santé. 
Cette conférence s'intége dans le Coopérathon co-organisé par le Mouvement Desjardins et Hacking Health. 
Le domaine de la santé serait devenu une cible privilégiée des campagnes de ransomware parce que l'industrie a souvent payé la rançon demandée pour récupérer les données confidentielles et vitales de ses clients. Monsieur Ed Gershfang nous brossera un portrait du phénomène et des meilleures pratiques à mettre en place en matière de sécurité applicative.
Ed Gershfang possède une expérience solide dans l'infrastructure informatique et plus de 6 ans d'expérience dans les domaines de la sécurité de l'information, de la vulnérabilité, de la gouvernance et de la gestion des risques. Il était directeur de la sécurité pour la société PeriGen, un chef de file de développement de logiciels médicaux en Israël.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative vue par un pentesteur ==

[[Image:Juin2016-OWASPMtl.jpg | OWASP Montréal reçoit Mario Contestabile, Pentester de renom ]]
 
From Left to Right : Isabelle Lusseyran, Head of Development at Hacking Health. Eduard Gershfang Information Security Analyst at WSP | Parsons Brinckerhoff.

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile ]] [https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile See the slides / Voir la présentation]
 
Pour clore la saison 2015 – 2016, OWASP Montréal est fier d’accueillir au Midi Conférence un des architectes de renom du développement applicatif au Canada, monsieur Mario Contestabile.
En tant qu’auteur de plusieurs centaines de tests d’intrusion, il connait tous les rouages de ce qu’est véritablement une application Web «sécurisée». Mais avez-vous déjà remarqué que les rapports de tests d’intrusion mentionnent rarement, voir jamais : «Votre site est très difficile à pirater. Félicitations !» ?
Et qu’en est-il de ces rapports qui contiennent des dizaines de soi-disant vulnérabilités ? Est-ce que cela signifie d’emblée que l’application devrait être mise hors ligne ?
 
Lors de cette conférence, nous examinerons des rapports concrets (ambigus) de vulnérabilités et nous les analyserons afin de mieux comprendre si elles représentent une véritable menace, ou si elles ne servent qu’à «remplir» les rapports.
 
Avec son expertise en protection et en attaque d’applications Web, il abordera les points suivants :
Comment pouvez-vous sélectionner des systèmes de façon à mieux exécuter des protections de sécurité ?
Éviter certains pièges dans votre application Web qui rendent les attaques plus faciles et la protection plus difficile.
De nos jours, que peuvent faire les développeurs à l’intérieur de systèmes communs, qui puisse me rendre la tâche plus ardue en tant que « hacker »?
Pouvons-nous exiger de meilleurs rapports de la part des firmes de sécurité?
À quoi devrions-nous nous attendre de la part d’un « pentesters »?
Comment pouvons-nous savoir si le « pentester » a vérifié les failles de l’application et qu’il n’a pas simplement utilisé un scanneur?
Et enfin, comment pouvons-nous aider les « ethical hackers » à obtenir un meilleur rendement lors d’un test d’intrusion?
Il expliquera le sujet en détails, et ensemble, nous verrons de quelles façons les développeurs d’applications peuvent exploiter le savoir-faire des « pentesters », et comment nous pouvons faire en sorte qu’une application Web soit protégée.
Biographie :
Mario Contestabile est reconnu comme l’un des experts en sécurité les plus réputés au Canada. Son expertise, construire et protéger votre plateforme applicative. Ancien développeur C++ et Java, Mario partage ses nombreuses connaissances en « ethical hacking » et en développement de codes sécurisé.
 
WHEN
Tuesday, 14 June 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Comment protéger les applications mobiles? ==

[[Image:Avril2016-OWASPMtl.png | Comment protéger les applications mobiles? ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles ]] [https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles See the slides / Voir la présentation]
 
Dans le cadre des Midis Conférence à l'Espace Desjardins, l'équipe OWASP Montréal vous invite à assister à une présentation sur les vulnérabilités les plus communes associées aux appareils mobiles.
Marie-Claire Willig détaillera entre autres comment stocker de façon sécuritaire les données de l’application mobile ainsi que protéger l’application contre des attaques externes. Des outils simples vous seront dévoilés pour détecter ces vulnérabilités.
Marie-Claire est une professionnelle d'expérience en sécurité appliquée.
Une grande partie de son intérêt professionnel réside actuellement dans un domaine assez niche, soit la revue de code sécuritaire, un fondement important de tout cycle de développement sécuritaire en entreprise.
Au sein de l'équipe de sécurité technologique Desjardins, elle est, en autre, responsable de former les développeurs (Java et .NET principalement) afin de les sensibiliser aux meilleures pratiques de développement sécuritaire.
Également, elle est une professionnelle des tests d'intrusion sur les applications web, les applications mobiles ainsi que l'infrastructure réseau.
Bienvenue à tous
 
WHEN
Wednesday, 20 April 2016 from 12:15 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ==

[[Image:Mars2016-OWASPMtl.jpg | NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/YQtvltQYs7Y]] [https://youtu.be/YQtvltQYs7Y Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
OWASP Montréal est fier d’inviter au Midi Conférence de mars, NorthSec est le plus gros événement de sécurité appliquée au Canada qui comprend deux jours de formation, deux jours de conférences ainsi qu’une compétition du genre « capture the flag » (CTF) de trois jours.
Gabriel Tremblay, Benoit Guerette, Pierre-David Oriol et Laurent Desaulniers viendront vous parler de cet organisme sans but lucratif dynamique qui est géré par une équipe de bénévoles passionnés qui donnent à chaque année leur énergie et leur temps pour soutenir la communauté de la sécurité de l’information.
Le volet compétition, l’épreuve maîtresse, est présentée sous forme d’un scénario qui rend cohérent une centaine de défis techniques. Les équipes de participants attaquent l’infrastructure de compétition pour soutirer des drapeaux (flags) à travers un ensemble de vulnérabilités présentes comme de l’injection SQL, des XSS ou encore l’exploitation d’exécutables sur systèmes embarqués. Quelques exemples de défis des années passées seront également présentés.
Le volet conférence, qui est à sa 2ème année, met de l’avant plusieurs présentations techniques touchant la sécurité applicative mais aussi l’éthique et leurs impacts sociaux. Certaines présentations confirmées seront dévoilés.
Le tout nouveau volet formation propose deux formations en sécurité applicative de calibre international (anglais) : “Advanced Web Security Testing with Burp Pro” et “Modern Object-Oriented Malware Reverse Engineering”.
Venez aussi, découvrir comment l'équipe est partie d'une idée en 2012 pour se rendre à un évènement d'envergure, qui rassemblera plus de 600 professionnels, étudiants et autres passionnés de sécurité appliquée lors de la 4ème édition qui aura lieu du 17 au 22 mai 2016 au Marché Bonsecours.
Finalement, la mission, la vision ainsi que les activités sociales de la semaine de NorthSec sont aussi au menu de cette présentation qui sera suivie d’une période de questions.

Gabriel Tremblay, Delve Labs, Président
Benoit Guerette, Desjardins, VP Finances

Pierre-David Oriol, Delve Labs, VP Conférence
Laurent Desaulniers, Bell Canada, Artisant de drapeaux
 
WHEN
Wednesday, 23 March 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative et l'hameçonnage - February 24th ==

[[Image:Fevrier2016-OWASPMtl.jpg | La sécurité applicative et l'hameçonnage ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/1RYlOiIENjQ]] [https://youtu.be/1RYlOiIENjQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 

De nos jours, une des méthodes les plus efficaces pour contourner les périmètres de sécurité externes est l'hameçonnage conjointement avec l’abus de certaines technologies Web.

Dans le cadre ses activités, OWASP Montréal est heureux d'inviter d'accueillir, l'équipe OKIOK qui présentera les impacts liés à ce type d'attaque, tel que vu et expérimenté en entreprise ainsi que les plans d'action pour traiter ces risques. La présentation abordera aussi bien la sécurité web et applicatives, des systèmes informatiques ainsi que de la sécurité physique de centres de données.

Capture d'informations sensibles par imitations de portails Web ;
Authentification Web par 2-facteurs ;
Injection SMTP dans des formulaires Web ;
Attaque de type “Drive-by-download”;
Prise de contrôle à distance à travers des flux HTTP;
Attaque de CSRF à partir de courriels ;
Attaque d'hameçonnage basée sur des achats par Internet (ex : PayPal).
 
When
Wednesday, 24 February 2016 from 12:00 PM to 1:15 PM (EST) - Add to Calendar
Where
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest Montreal, Quebec CA

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Internet of {Things, Threats} - January 20th ==

[[Image:Janvier2016-OWASPMtl-R.png | Internet of {Things, Threats} ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html ]] [http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html See the slides / Voir la présentation]
 
De plus en plus de périphériques se retrouvent connectés sur Internet. Sous la bannière "Internet of Things" (IoT) ces équipements, que ce soit une pompe à insuline ou un système de caméra de sécurité, tournent généralement sous un système GNU/Linux embarqué d'architecture MIPS ou ARM. La difficulté de mettre à jour ces équipements ainsi que le peu d'effort mis dans la sécurité des systèmes ou la sécurité applicative en font des cibles de choix. Ces derniers mois, nous avons analysé plusieurs logiciels malveillants ciblant ces architectures. Que ce soit par l'exploitation d'une vulnérabilité (Shellshock) ou encore un défaut de configuration, ces systèmes exposés sur Internet peuvent être compromis.

Notre présentation couvrira quelques une de ces analyses:

* Linux/Moose, un malware se propageant automatiquement qui fraude les réseaux sociaux (par exemple Facebook, Twitter et YouTube)
* LizardSquad et acteurs étrangers qui utilisent des systèmes embarqués compromis pour réaliser des dénis de service distribué (DDoS)
* Win32/RBrute est un logiciel malveillant qui tente de changer les paramètres de routeurs dans le but de faire du "DNS poisoning". Il a été distribué par le populaire botnet Sality.
* Un kit d'exploits qui utilise seulement le navigateur de leur victime avec le même objectif, c'est-à-dire faire du "DNS poisoning".

Enfin, des conseils seront proposés à l'audience pour l'aider à se protéger de ces menaces.

'''Thomas Dupuy''' (twitter: @nyx__o)

Thomas est chercheur en logiciel malveillant chez ESET Canada Recherche. Bon vivant, Thomas déjeune en "reversant" des binaires, contribue à quelques projets open source durant le diner (yara, yara rules, pefile, APTnotes) et la nuit participe à des "Hacking Games" (Capture The Flag). Curieux de nature Thomas analyse des malware aux architectures "exotiques".

'''Olivier Bilodeau''' (twitter: @obilodeau)

Olivier Bilodeau is the head of Cybersecurity Research at GoSecure a consultancy firm specializing in cybersecurity services for the public and private sector. With more than 10 years of infosec experience, Olivier worked on Unix servers at Bell Canada, managed a portion of Air Canada's network, wrote open source network access control software at Inverse and worked as a Malware Researcher at ESET. He likes to reverse engineer everything that crosses his path, participate in information security capture-the-flag competitions, hack open source code and brew beer. He has spoken at various conferences (Defcon, Botconf, VirusBulletin, Derbycon, ...), used to lecture on information security at ETS University in Montreal, drives the NorthSec Hacker Jeopardy and co-organizes the MontreHack capture-the-flag training initiative. His primary research interests include reverse-engineering tools, Linux and/or embedded malware and honeypots.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Survivre aux attaques DDOS applicatives ==

[[Image:Decembre2015-OWASPMtl.jpg | Survivre aux attaques DDOS applicatives ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
Survivre aux attaques DDOS (Distributed Denial-Of-Service) applicatives.
Cette conférence s'adresse aux professionnels et gestionnaires des TI.
Conférencier : Christian Shink, ing., CSSLP, ingénieur système chez Radware, manufacturier spécialisé dans la prévention des attaques DDOS. Il fut également consultant en sécurité applicative chez In Fidem.
Objectifs de la conférence:
Présenter les tendances actuelles en matière d'attaques DDOS applicatives.
Renseigner les participants sur les techniques et stratégies pour contrer ces attaques illustrées à partir de cas vécus.
Démystifier certains mythes en ce qui concernent les façons efficaces de protéger les applications contre des attaques DDOS.
Date : 16 décembre 2015
Heure : 11h45
La conférence débute à 12h00 et se termine à 12:55.
Un lunch sera servi.
Réservez maintenant!
1 CPE
 
WHEN
Wednesday, 16 December 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Sécurité des applications - Systèmes de contrôles industriels ==

[[Image:Novembre2015-OWASPMtl-R.png | Sécurité des applications - Systèmes de contrôles industriels ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/0eAZpyiQQ9A]] [https://youtu.be/0eAZpyiQQ9A Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

La sécurité des applications et les systèmes de contrôles industriels.
Cette conférence s'adresse aux professionnels et gestionnaires des TI desinfrastructures critiques qui exploitent ou gèrent des systèmes de contrôles industriels(SCI) et SCADA (surveillance et d'acquisition de données). 
Conférenciers : Robert Nastas, CSSA. Gestionnaire de projet et Youssef Jad, Architecte Cyber sécurité, ICS-CERT 
 
Objectifs de la conférence:
* Démystifier le domaine d'affaires.
* Renseigner les participants sur les bonnes pratiques de sécurité desapplications liées au secteur industriel.
* Proposer aux professionnels et gestionnaires des TI responsables dessystèmes SCADA et SCI des pistes de solutions aux enjeux de sécurité.
 
L'équipe OWASP Montréal vous remercie d'avoir assisté en grand nombre à la conférence, 'La sécurité des applications et les systèmes de contrôles industriels'.
 
WHEN
Wednesday, 18 November 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ==

[[Image:Septembre2015-OWASPMtl.jpg | Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert ]] [https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert See the slides / Voir la présentation]
 
Pour le lancement des activités corporatives de la saison 2015 - 2016, le 8 septembre prochain à 12:00, l'équipe OWASP Montréal convie les gestionnaires et artisants de la sécurité des TIC à venir entendre monsieur Éric Hébert qui nous présentera son interprétation des préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative. L'événement se tiendra au complexe Desjardins à la salle "Espace Desjardins".

''' ÉRIC G. HÉBERT, CISM, CISSP ''' 
Après plus de 20 ans passés dans le domaine de la sécurité des technologies de l’information, Éric se spécialise dans la mise en œuvre et la gestion d'équipes performantes, capables de relever les plus hauts défis de la cybersécurité moderne. 
Capable de dialoguer avec les hauts dirigeants, il sait traduire et vulgariser les enjeux techniques complexes tout en respectant la nature et l'appétence au risque de ses clients. Dynamique et pourvu d'une expérience couvrant presque toutes les sphères de la SI, il fonce dans le respect de la culture établie tout en implantant des solutions pragmatiques et efficaces. 
Depuis plus de 10 ans, il gravite principalement autour des entreprises du domaine financier (BNC, Desjardins, Fonds de solidarité FTQ...) et les accompagne dans la mise en place de solutions efficaces tenant compte à la fois des risques et des budgets.
En plus d’avoir fondé de nombreuses associations telles que le RéseauSécurIT et le RPSI, il maintient une présence régulière auprès des milieux associatifs professionnels et partage régulièrement ses expériences lors de conférences et d'entrevues avec divers médias.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

= Events / Évènements =

== Owasp Montreal at [https://nsec.io/ NorthSec 2017] ==

[[Image:NorthSec2017-5.jpg]]
[[Image:NorthSec2017-6.jpg]]

From Left to Right: Anne Gauthier, OWASP Montréal Chapter Leader (President) and Application Security Analyst at GoSecure, Hugo Genesse, OWASP Montréal Chapter Leader and Research Intern at PNF Software, Julien Touche, OWASP Montréal Chapter Leader and Principal Security Engineer at Nuance Communications

== OWASP Montreal at [https://2017.appsec.eu/ AppSec] ==

[[Image:OWASPAppSecBelfast2017-7.jpg]]

OWASP Montreal and Ottawa Chapter Leaders at OWASP AppSec Belfast, UK #WomenInAppSec

== OWASP Montreal at [https://hackfest.ca/ HackFest 2016] ==

[[Image:Hackfest2016-r.jpg| HackFest |link=https://hackfest.ca/]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Louis Nadeau, OWASP Québec Chapter Leader and Manager, Product Security at Bentley Systems and Patrick Leclerc, OWASP Québec Chapter Leader and Information Security Advisor at La Capitale.

== OWASP Montreal at OWASP [https://2016.appsecusa.org/ AppSec USA 2016, Washington] ==
 
 
[[Image:OWASPMtl-AppSecUSA2016-Washington.jpg | OWASP Montreal at AppSec USA 2016, Washington]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016, Alexandre Hamelin President at Synlabs Consulting Inc., Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [https://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

== OWASP Montréal at [https://www.gosec.net GoSec] 2016 ==

[[Image:OWASP-GoSec2016-1r.jpg|OWASP Montreal at GoSec 2016]] [[Image:OWASP-GoSec2016-2r.jpg|OWASP Montreal at GoSec 2016]]
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Simon Lacasse, student and volunteer, and Laurent Desaulniers, Security Analyst at Bell Canada.

== OWASP Montréal at [https://www.nsec.io/ NorthSec] 2016 – Annual Applied Security Event ==

[[Image:Hackfest2016-OWASPMtl.jpg|OWASP Montreal at NorthSec 2016]]

@Photo : Simon Veilleux
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Olivier Arteau OWASP Montréal Chapter Leader and Conseiller chez Groupe Technologie Desjardins, Hugo Genesse, OWASP Montréal Chapter Leader and Vulnerability Research Intern at Wurldtech Security Technologies.

== OWASP Montréal at [https://hackfest.ca/en/ Hackfest] 2015 ==

[[Image:Hackfest2015-OWASPMtl-R.JPG | OWASP Montreal at Hackfest 2015]]

@Photo : Hackfest
 
 
From left to right : Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [http://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

[[Image:Video-link.png | Link to video | link=https://youtu.be/8U0qkEuUFy8]] [https://youtu.be/8U0qkEuUFy8 Watch the video / Regarder la vidéo]

== OWASP Montréal at [https://www.gosec.net/ GoSec] 2015 – The Annual Cybersecurity Conference presented by GoSecure, EY and ISACA. ==

[[Image:GoSec2015-OWASPMtl.jpg|OWASP Montreal at GoSec 2015]]

@Photo : Marius Popescu
 
 
From left to right : Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016. Benoît Guérette, Application Security Team Leader at Desjardins, VP Finance at NorthSec and OWASP Montreal Chapter Founder and Former Chapter Leader.

== See also / Voir aussi ==

OWASP Montréal recommends Montréhack. Learn and share knowledge on IT security by solving technical challenges. Third Monday of every month.

OWASP Montréal recommende Montréhack. Apprends et partages des connaissances sur la sécurité informatique en travaillant des problèmes appliqués. Chaque troisième lundi du mois.

[[File:Montrehack.png|Montréhack|link=http://montrehack.ca/|alt=Montréhack]]

= Archives 2007-2015 =
{{:Montreal chapter past meetings}}

== OWASP Montreal - February 3rd - Getting to Know the Software Assurance Marketplace (SWAMP) ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/p4_vjufcB6Q]] [https://youtu.be/p4_vjufcB6Q Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer]] [https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Pat Beyer
*'''ADDITIONAL PRESENTER:''' Abe Megahed
*'''ABSTRACT:''' The Software Assurance Marketplace (SWAMP) is an open facility that is designed, built, and operated by four research institutions. The SWAMP provides no-cost access to an array of open-source and commercial software analysis tools. This presentation will provide an overview and demo of the SWAMP, including our goals, intended audience, current capabilities, and future plans. We will cover our relationship with OWASP, incorporation of open-source software assurance tools, and status as an open-source project and resource available to the software community. Visit https://continuousassurance.org/ to learn more about us.
*'''BIO:''' Pat Beyer serves as the Product Manager for the Software Assurance Marketplace (SWAMP). With over 25 years of experience successfully managing multi-million dollar global projects, Beyer’s expertise extends to the IT, construction, and operations sectors, with a specialization in managing government contracts and grants. A gifted communicator, Beyer is a sought after speaker due to his ability to deliver complex information about technology products and services in a way that is easily understood. He is a decorated combat veteran of the Global War on Terror, the international military campaign that started following the 9/11 terrorist attacks on the United States. In 2004, he constructed and rehabilitated over 20 schools, clinics, and water treatment plants for the Iraqi people using local contractors. Beyer also holds a Bachelor of Science, a Masters in Business Administration, a Ph.D. in Organization and Management, and a Project Management Professional (PMP) certification.
*'''BIO:''' Abe Megahed is a web developer for the Software Assurance Marketplace. In previous lifetimes, he has been a computer graphics researcher, a game programmer, a programming language and compiler nerd, a dot com company founder, a creator of helicopter simulations, and a developer of 3D simulations for NASA astronaut crew training.
*'''WHEN:''' Tuesday, February 3rd 2015
*'''WHERE:''' Room PK-1140 - UQAM Pavillon Président-Kennedy, 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' https://owaspmtlswamp2015.eventbrite.ca
*'''WEBCAST:''' https://www.youtube.com/watch?v=p4_vjufcB6Q
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer

*'''ACADEMIC PARTNER:''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session: Getting to Know the Software Assurance Marketplace
20:00-... End of the meeting

[[Image:SWAMP-Logo-Final-Med.png|300px|link=https://continuousassurance.org/]]
[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

== OWASP Montréal - 4 décembre - Malware côté serveur — évolution, méthodes d’opération et forensic Linux ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/lo8WDl-WQ3E]] [https://youtu.be/lo8WDl-WQ3E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille]] [https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Marc-Etienne M.Léveillé
*'''RÉSUMÉ:''' Les logiciels malveillants ciblant les serveurs ont évolué. Ils sont utilisés par des groupes de cybercriminels organisés dans le but de faire du profit via des redirections web et l’envoie de pourriels. La présentation portera sur Opération Windigo, une opération malveillante qui a affecté plus de 25 000 serveurs dans le monde. Après une brève description des composantes de Windigo, nous verrons comment les opérateurs déploient leurs logiciels malveillants et surveille leur réseau de serveurs infectés. Des trucs pratiques pour faire de la forensics sur des systèmes Linux seront donnés. Cette présentation est une suite à la présentation "Linux/Cdorked: Server side malware", donnée par Olivier Bilodeau à OWASP Montréal en 2013. La présentation sera en français avec des diapositives en anglais (aka Montreal-style).
*'''BIO:''' Marc-Etienne est un chercheur en logiciel malveillant chez ESET depuis 2012. Il se spécialise dans les logiciels malveillants qui s’attaquent à des plateformes inhabituelles comme aux produits fruités et aux oiseaux nordiques. Dernièrement, il passe beaucoup de son temps à faire la rétro-ingénierie de logiciels malveillants sur des serveurs Linux et s’intéresse à leurs méthodes d’opération. Il adore participer de façon collégiale aux CTFs avec ses amis les CISSP Groupies et jouer de la clarinette. Il tweet très peu à @marc_etienne_.
*'''QUAND:''' 4 décembre 2014 à 18h00
*'''OÙ:''' Local M-1510, Polytechnique Montréal, 2900 Boulevard Edouard-Montpetit
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-4-decembre-malware-cote-serveur-evolution-methodes-doperation-et-forensic-linux-tickets-14635313617
*'''ÉQUIPE ACADÉMIQUE:''' Polyhack - http://polyhack.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Malware côté serveur
19:30-20:00 Période de questions

[[Image:Polyhacklogonoirpetit.png|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]

== OWASP Montréal - October 23rd - XXE : À l’assaut des analyseurs XML ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/MZviLB9-42E]] [https://youtu.be/MZviLB9-42E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau]] [https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Philippe Arteau
*'''RÉSUMÉ:''' L'utilisation d’XML est fortement répandue. Le format est utilisé pour des fichiers de configuration, pour des métadonnées, pour des documents textes, et bien plus. La prise en charge de fichiers XML n’est pas sans risque. La plupart des analyseurs XML ne sont pas sécuritaires par défaut pour le traitement de fichier externe. Cette présentation fera un survol des vulnérabilités de type « Xml eXternal Entity » et de l’étendue des risques pour différents langages de programmation. Plusieurs démonstrations sont prévues.
*'''BIO:''' Philippe est conseiller en sécurité applicative pour le Groupe Technologies Desjardins. Au quotidien, il s’occupe d’effectuer des tests d’intrusions et des revues de code. Il a découvert des vulnérabilités importantes dans plusieurs logiciels populaires incluant Google Chrome, DropBox, ESAPI et Jira.
*'''QUAND:''' 23 Octobre 2014 à 18h00
*'''OÙ:''' École de Technologie Supérieure Local A-3230, 1100 Rue Notre-Dame Ouest, Montréal, QC H3C 1K3
*'''INSCRIPTION:''' http://www.eventbrite.ca/e/owasp-montreal-23-octobre-xxe-a-lassaut-des-analyseurs-xml-tickets-13426881163
*'''PARTENAIRE ACADÉMIQUE:''' ETS - DCI http://dciets.com/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:45 Mot de bienvenue
18:45-19:45 Présentation principale - "À l’assaut des analyseurs XML" Philippe Arteau
19:45-20:00 Période de questions

[[Image:Blason_dci.png‎‎‎|150px|link=http://dciets.com/]]
[[Image:ETS-rouge-devise-impr-fond_transparent.png|150px|link=http://www.etsmtl.ca/]]

== OWASP Montreal - July 24th - Web security for DevOps: the glory is in the headers ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/6bp1NCLT-YQ]] [https://youtu.be/6bp1NCLT-YQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil]] [https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Jonathan Marcil
*'''ABSTRACT:''' DevOps is a buzzword which can be easily demystified: in essence it is a process which aims to combine the development and system administration process into one; Operations. As developers become responsible for server setup, security counter measures are evolving as well. The line between server configuration and application behaviour has been blurred. In this talk we will cover some HTTP headers in regards to security such as CORS, CSP and HSTS. We will demonstrate several forms of attack, and how they can (should) be countered.
*'''BIO:''' Jonathan is devoted to security and specialized in Web application security. His main occupation is consulting in Web security, but deep down he is a developer with a agnostic vision of programming languages. He has a diploma in Software Engineering from Ecole de Technologie Superieure and more than 10 years of experience in Information Technology and Security.
*'''WHEN:''' At noon on July 24th 2014
*'''WHERE:''' 75 Queen Street, office 3100, Montreal, QC H3C 2N6
*'''REGISTRATION:''' You can join us on site for a pizza slice but this is mainly an online event. Contact jonathan.marcil@owasp.org.
*'''WEBCAST:''' https://www.youtube.com/watch?v=6bp1NCLT-YQ
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil
*'''EVENT SPONSOR:''' Pheromone http://www.pheromone.ca/
*'''PROGRAM:'''

12:00-12:10 Welcome and quick OWASP introduction
12:10-13:10 Main presentation - "Web security for DevOps: the glory is in the headers" Jonathan Marcil
13:10-... Open discussion and questions

[[Image:Logo-phero.gif‎|link=http://www.pheromone.ca/]]

== OWASP Montreal - June 18th - Gaps in the Clouds ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz]] [https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Robert Fritz
*'''ABSTRACT:''' Cloud technology offers agility and scaling, and a chance to break away from legacy IT choices. Unfortunately, skipping traditional IT activities often results in poorly patched systems, out of date firewalls, and overprovisioned entitlements wielded by admins whose “day job” is development. Boundaries of accountability and responsibility amongst cloud providers and consumers are confusing, vague, and shift, making security difficult to manage. In such an environment, a “BP-spill” event, where cost wins over safely safety, is likely. This talk will dive down into the cracks between the layers of cloud, and share some of the exciting dirt we have seen and expect to see in coming years.”
*'''BIO:''' Robert Fritz has been practicing security his entire career. Rob started as an Air Force lieutenant at Langley AFB and later at the Pentagon in Washington DC, building and managing classified networks. Finding he was getting too far from technology after a brief stint flying, he left the military to get back to the tech, and built security tools for HP in their HP-Unix lab. Over time he found himself in more and more security design discussions, so co-authored HP’s Commercial Application Threat Analysis Methodology, building an internal consulting practice at HP. This quantitative approach, led to two pending patents, an external-facing consulting practice, and his contributions to NIST IR-7502, the Common Configuration Scoring System (CVSS follow-on). He is the former lead editor for the Center for Internet Security’s HP-UX Benchmark, and current lead for the Android Benchmark. Robert now works for Morgan Stanley as global head of the Strategic Consulting team in the Security Architecture group, and leads the team’s cloud and social-media security practices.
*'''WHEN:''' June 18th 2014
*'''WHERE:''' 700 Rue Wellington, Floor 2, Montreal, QC H3C 3S4
*'''REGISTRATION:''' http://owaspmtl18junems.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz
*'''EVENT SPONSOR:''' Morgan Stanley http://www.morganstanley.com/
*'''PROGRAM:'''

18:00-18:30 Networking and Morgan Stanley Hosted Pizza and Soft Drinks
18:30-18:45 OWASP Chapter & Morgan Stanley Welcome
18:45-19:45 Main presentation - "Gaps in the Clouds" Robert Fritz
19:45-20:00 Open discussion and questions
20:00-... Optional, informal networking at Aziatic - 626 rue Marguerite-d'Youville, Montréal, QC H3C 1W7

[[Image:Morgan_Stanley_Historical_Logo.png|link=http://www.morganstanley.com/]]

== OWASP Montréal - May 26th - Récapitulatif des challenges NorthSec ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/P8_V3RI1Ru4]] [https://youtu.be/P8_V3RI1Ru4 Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''PRÉSENTATEUR PRINCIPAL:''' Laurent Desaulniers
*'''RÉSUMÉ:''' Solutions de la compétition en sécurité NorthSec 2014 sur les sujets de XXE + SSRF, WAF Bypass, Xpath Injection, DOM Injection, HTTP Only Flag bypass et contournement de captchas. Une bonne façon d'apprendre sur ces failles que vous étiez ou non un participant de la compétition.
*'''MESSAGE DU PRÉSENTATEUR:''' Vous voyez Rao dans votre soupe? Vous voulez une solution pour un XSS avec des cookies http only? Les captchas illisibles sont un problème? Assistez à la présentation de l'OWASP!
*'''BIO:''' Laurent Desaulniers est un passionné de sécurité informatique. Il a présenté au Hackfest, au colloque RSI, à OWASP et est challenge designer à NorthSec. M. Desaulniers détient les certifications CISSP, CISM, CISA et OSCP.
*'''QUAND:''' 26 mai à 18h00
*'''OÙ:''' Local PK-1140 - Pavillon Président-Kennedy 201, Avenue du Président-Kennedy, J2X 3Y7
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-26-mai-recapitulatif-des-challenges-northsec-tickets-11724413035
*'''WEBCAST:''' https://www.youtube.com/watch?v=P8_V3RI1Ru4
*'''ÉQUIPE ACADÉMIQUE''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Récapitulatif des challenges NorthSec
19:30-20:00 Période de questions

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== Networking with infosec communities - April 21st ==

[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''RÉSUMÉ:''' En collaboration avec Montréhack, mtlsec et NorthSec, nous organisons une soirée réseautage dans un pub du centre-ville. Du plaisir garanti avec les membres de plusieurs communautés infosec de Montréal!

*'''ABSTRACT:''' In collaboration with Montréhack, mtlsec and NorthSec, we are organizing a networking evening in a pub downtown. Fun guaranteed with the other security communities in Montreal!

*'''QUAND:''' 21 Avril 2014
*'''WHEN:''' April 21st 2014

*'''OÙ/WHERE:''' BENELUX - Brasserie Artisanale 245 Sherbrooke St W Montreal, QC H2X 1X7

*'''INSCRIPTION/REGISTRATION:''' https://www.eventbrite.ca/e/montrehack-avril-april-northsec-pre-party-tickets-11232307133

*'''PARTENAIRES/PARTNERS:''' Montréhack http://montrehack.ca/ - mtlsec http://blog.mtlsec.com/ - NorthSec https://www.nsec.io/
*'''PROGRAMME:'''
18:00-21:00 Networking
21:00-23:59 Remember to drink responsibly!

== OWASP Montréal - March 27th - Panel Compétition en sécurité NorthSec ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

'''Présentation sous forme de panel - venez poser vos questions!'''

*'''RÉSUMÉ:''' Les compétitions de type Capture the Flag (CTF) sont un moyen pour les professionnels et amateurs de sécurité informatique de mettre leurs talents à l'épreuve. NorthSec est une compétition Montréalaise annuelle en sécurité appliquée, qui aura lieu cette année au Marché Bonsecours de Montréal le 25, 26 et 27 avril prochain. Elle vise à augmenter le niveau technique des professionnels de la sécurité au Québec, ainsi que de permettre à ses acteurs les plus talentueux de se démarquer.
*'''DÉTAILS:''' Le panel de jeudi, sous la forme d'un échange convivial entre les organisateurs de l'évènement et de ses participants, abordera des thèmes variés comme l'écriture de bon défis, l'infrastructure, la logistique, les inattendus, un bilan de 2013 et tout ça en passant par de savoureuses annecdotes (on l'espère). Venez en grand nombre toucher à ces légendes de la scène infosec montréalaise!
*'''PANÉLISTES:''' Gabriel Tremblay, François Proulx, Laurent Desaulniers, Stéphane Graber
*'''ANIMATEUR:''' Olivier Bilodeau
*'''QUAND:''' 27 mars 2014
*'''OÙ:''' Salle M-1510, École Polytechnique de Montréal, 2500 chemin de Polytechnique, Montréal (Québec) H3T 1J4, pavillon Lassonde
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-27-mars-panel-competition-en-securite-northsec-tickets-10918436337
*'''ÉQUIPE ACADÉMIQUE:''' Polytechnique - Polyhack http://polyhack.org/
*'''PROGRAMME:'''
18:00-18:25 Networking
18:25-18:30 Mot de bienvenue par le leader du chapitre (Jonathan Marcil)
18:30-20:00 Présentation principale : Panel NorthSsec

[[Image:Polyhack.png‎‎|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== OWASP Montreal - February 25th - Proven Strategies for Web Application Security ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane]] [https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Justin C. Klein Keane
*'''ABSTRACT:''' The rising dominance of the web as an application delivery platform has focused attacker attention squarely on the security of dynamic web applications. Application security is a complex, and shifting, field. Learn about tested and successful techniques to build safer applications, find flaws before they become vulnerabilities, and deploy applications that can detect, and resist attack.
*'''BIO:''' Justin C. Klein Keane is a security engineer and chapter leaders of OWASP in Philadelphia. For over a decade Justin has worked as a trainer, coder, and exploit developer. Justin is currently writing a book for NoStarch Press on hacking, speaks regularly at conferences, holds a masters degree in information technology from the University of Pennsylvania and is credited with hundreds of application vulnerability discoveries.
*'''WHEN:''' February 25th 2014
*'''WHERE:''' Ecole de technologie superieure, 1100 Notre-Dame Street West, Montreal, Room: A-1150
*'''REGISTRATION:''' http://owaspmtljan2014.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane
*'''ACADEMIC PARTNER:''' ETS - DCI http://dciets.com/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session and open discussion: Proven Strategies for Web Application Security
20:00-... End of the meeting in a pub

[[Image:Dciets.png‎‎‎|100px|link=http://dciets.com/]]
[[Image:Logo_ets.png|link=http://www.etsmtl.ca/]]

== OWASP Montreal - January 28th - Latest trends in Mobile Security ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/8qPyKj4FKgY]] [https://youtu.be/8qPyKj4FKgY Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx]] [https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Francois Proulx
*'''ABSTRACT:''' Last AppSecUSA 2013 had a great line up of talks, especially regarding mobile applications. This session will be covering all the hottest presentations about mobile security by doing an overview from what see saw at AppSecUSA, all with some slides and snippets of presentations that was recorded at the event. Discussion will be encouraged within the audience as this will be more a dynamic event than a regular talk.
*'''BIO:''' François Proulx is a senior mobile application developer who has worked on dozens of iOS applications since the very beginning of the Apple iOS platform. Over the past few years he has switched his focus to security. He spends a lot of his free time participating in Capture the Flag events (CTFs) and organizing the NorthSec security competition.
*'''WHEN:''' January 28th 2014
*'''WHERE:''' UQAM Room PK-1705, Pavillon Président-Kennedy (the big boat at Place des Arts) - 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' http://owaspmtl-mobilesecurity.eventbrite.ca
*'''SLIDES/CONTENT:''' [http://www.youtube.com/playlist?list=PLQtB2ug5xmvaQ9jeRWV53-F_T555GQfhW YouTube playlist]
*'''SPONSOR:''' Academic partner AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan M.)
18:30-20:00 Main session and open discussion: Mobile Security
20:00-... End of the meeting in a pub

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

==== Presentations For Download ====

[http://www.owasp.org/images/0/0d/20100209mstechdaysowaspasvssgiv01-12657916463819-phpapp02.ppt OWASP ASVS] by Sebastien Gioria (09/03/2010)

[http://www.ph-il.ca/slides/afup__authetification_forte.pdf Authentification Forte] by Philippe Gamache (02/02/2010)

[http://www.opensamm.org/downloads/OpenSAMM-1.0.ppt Software Assurance Maturity Model (OpenSAMM)] by Pravir Chandra (03/11/2009)

[http://www.owasp.org/images/d/de/Owasp-montreal-sept-17h-2009-justin-foster.pdf Crossing the Border – Javascript Exploits] by Justin Foster (17/09/2009)

[http://www.owasp.org/images/c/c2/ALaughRIAt.pdf A Laugh RIAt] by Rafal Los (07/04/2009)

[https://www.owasp.org/images/e/eb/OWASP-Montreal-24022009-RobLabbe.pptx Microsoft Security Development Lifecycle for IT] by Rob Labbe (24/02/2009)

[https://www.owasp.org/images/3/39/OWASP-Montreal-24022009-EN.pdf OWASP Goal and Top Ten 2007 for Managers - French version] by Benoit Guerette (24/02/2009)

Newer presentations are available on [https://speakerdeck.com/owaspmontreal Speaker Deck]

[[Image:Circle_owasp_logo_nowhitebackground.png|200px]]

= OWASP Foundation / Mission OWASP =
OWASP Foundation ([https://docs.google.com/a/owasp.org/presentation/d/10wi1EWFCPZwCpkB6qZaBNN8mR2XfQs8sLxcj9SCsP6c/edit?usp=sharing Overview Slides]) is a professional association of [[Membership | global members]] and is open to anyone interested in learning more about software security. Local chapters are run independently and guided by the [[Chapter_Leader_Handbook]]. As a [[About_OWASP | 501(c)(3)]] non-profit professional association your support and sponsorship of any meeting venue and/or refreshments is tax-deductible. Financial contributions should only be made online using the authorized online chapter donation button. To be a SPEAKER at ANY OWASP Chapter in the world simply review the [[Speaker_Agreement | speaker agreement]] and then contact the local chapter leader with details of what OWASP PROJECT, independent research or related software security topic you would like to present on.

La fondation OWASP est une [https://www.owasp.org/index.php/Membership association de professionnels] et elle est ouverte à tout intervenant intéressé à en apprendre davantage sur la sécurité applicative. Les chapitres locaux (dont celui de Montréal) sont gérés de façon indépendante et selon un [https://www.owasp.org/index.php/Chapter_Leader_Handbook manuel de directives à respecter].
Toute contribution financière au chapitre peut être faite en ligne en utilisant l’icône prévu à cet effet. Pour être conférencier au sein de n’importe quel chapitre à l’échelle mondiale, vous n’avez qu’à prendre connaissance du document [https://www.owasp.org/index.php/Speaker_Agreement "entente avec les conférenciers – speaker agreement"] et à joindre le responsable du chapitre Montréal avec un descriptif du sujet que vous aimeriez aborder et s’il est relié à un projet OWASP, à de la recherche indépendante ou encore le sujet en particulier, concernant la sécurité applicative, que vous souhaitez aborder.

== [[Image:Circle_owasp_logo_nowhitebackground.png|128px]] Montreal OWASP Team ==

Scope of the team is to discuss and plan local activities and meetings

=== Chapter Leaders ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique

==== Chapter leader history ====
*2008-2010 - Benoit Guerette, founder and chapter leader
*2011-2012 - Philippe Gamache, chapter leader (vice chapter-leader since 2010)
*2013-2015 - Jonathan Marcil, chapter leader
*2016-... - Anne Gauthier, Michel Bourque, Marius Popescu, Hugo Genesse, Olivier Arteau

==== Old board members ====
*Philippe Pépos Petitclerc
*Michael Robillard
*Benoit Guerette (logistics 2015)
*Alexandre Rimthong
*Mathieu Binette
*Sean Coates
*Jean-Marc Robert
*Philippe Blondin
*Benoit Guerette (founder)
*Laurent Desaulniers
 

<headertabs/>
__NOTOC__
[[Category:Canada]]

Password Storage Cheat Sheet

2017-06-06T19:12:46Z

Svieg: /* Design password storage assuming eventual compromise */ typo

__NOTOC__
<div style="width:100%;height:160px;border:0,margin:0;overflow: hidden;">[[File:Cheatsheets-header.jpg|link=]]</div>

{| style="padding: 0;margin:0;margin-top:10px;text-align:left;" |-
| valign="top" style="border-right: 1px dotted gray;padding-right:25px;" |
Last revision (mm/dd/yy): '''{{REVISIONMONTH}}/{{REVISIONDAY}}/{{REVISIONYEAR}}'''
= Introduction =
__TOC__{{TOC hidden}}

Media covers the theft of large collections of passwords on an almost daily basis. Media coverage of password theft discloses the password storage scheme, the weakness of that scheme, and often discloses a large population of compromised credentials that can affect multiple web sites or other applications. This article provides guidance on properly storing passwords, secret question responses, and similar credential information. Proper storage helps prevent theft, compromise, and malicious use of credentials.
Information systems store passwords and other credentials in a variety of protected forms. Common vulnerabilities allow the theft of protected passwords through attack vectors such as SQL Injection. Protected passwords can also be stolen from artifacts such as logs, dumps, and backups.

Specific guidance herein protects against stored credential theft but the bulk of guidance aims to prevent credential compromise. That is, this guidance helps designs resist revealing users’ credentials or allowing system access in the event threats steal protected credential information. For more information and a thorough treatment of this topic, refer to the Secure Password Storage Threat Model here [http://goo.gl/Spvzs http://goo.gl/Spvzs].

= Guidance =

== Do not limit the character set and set long max lengths for credentials ==

Some organizations restrict the 1) types of special characters and 2) length of credentials accepted by systems because of their inability to prevent SQL Injection, Cross-site scripting, command-injection and other forms of injection attacks. These restrictions, while well-intentioned, facilitate certain simple attacks such as brute force.

Do not allow short or no-length passwords and do not apply character set, or encoding restrictions on the entry or storage of credentials. Continue applying encoding, escaping, masking, outright omission, and other best practices to eliminate injection risks.

A reasonable long password length is 160. Very long password policies can lead to DOS in certain circumstances[http://arstechnica.com/security/2013/09/long-passwords-are-good-but-too-much-length-can-be-bad-for-security/].

== Use a cryptographically strong credential-specific salt ==

A salt is fixed-length cryptographically-strong random value. Append credential data to the salt and use this as input to a protective function. Store the protected form appended to the salt as follows:

<code>[protected form] = [salt] + protect([protection func], [salt] + [credential]);</code>

Follow these practices to properly implement credential-specific salts:

* Generate a unique salt upon creation of each stored credential (not just per user or system wide);
* Use cryptographically-strong random [*3] data;
* As storage permits, use a 32 byte or 64 byte salt (actual size dependent on protection function);
* Scheme security does not depend on hiding, splitting, or otherwise obscuring the salt.

Salts serve two purposes: 1) prevent the protected form from revealing two identical credentials and 2) augment entropy fed to protecting function without relying on credential complexity. The second aims to make pre-computed lookup attacks [*2] on an individual credential and time-based attacks on a population intractable.

== Impose infeasible verification on attacker ==

The function used to protect stored credentials should balance attacker and defender verification. The defender needs an acceptable response time for verification of users’ credentials during peak use. However, the time required to map <code><credential> → <protected form></code> must remain beyond threats’ hardware (GPU, FPGA) and technique (dictionary-based, brute force, etc) capabilities.

Two approaches facilitate this, each imperfectly.

=== Leverage an adaptive one-way function ===

Adaptive one-way functions compute a one-way (irreversible) transform. Each function allows configuration of ‘work factor’. Underlying mechanisms used to achieve irreversibility and govern work factors (such as time, space, and parallelism) vary between functions and remain unimportant to this discussion.

Select:

* '''Argon2'''[*7] is the winner of the [https://password-hashing.net/ password hashing competition] and should be considered as your first choice for new applications;
* '''PBKDF2''' [*4] when FIPS certification or enterprise support on many platforms is required;
* '''scrypt''' [*5] where resisting any/all hardware accelerated attacks is necessary but support isn’t.
* '''bcrypt''' where PBKDF2 or scrypt support is not available.

Example protect() pseudo-code follows:

<code>return [salt] + pbkdf2([salt], [credential], c=10000); </code>

Designers select one-way adaptive functions to implement protect() because these functions can be configured to cost (linearly or exponentially) more than a hash function to execute. Defenders adjust work factor to keep pace with threats’ increasing hardware capabilities. Those implementing adaptive one-way functions must tune work factors so as to impede attackers while providing acceptable user experience and scale.

Additionally, adaptive one-way functions do not effectively prevent reversal of common dictionary-based credentials (users with password ‘password’) regardless of user population size or salt usage.

==== Work Factor ====

Since resources are normally considered limited, a common rule of thumb for tuning the work factor (or cost) is to make protect() run as slow as possible without affecting the users' experience and without increasing the need for extra hardware over budget. So, if the registration and authentication's cases accept protect() taking up to 1 second, you can tune the cost so that it takes 1 second to run on your hardware. This way, it shouldn't be so slow that your users become affected, but it should also affect the attackers' attempt as much as possible.

While there is a minimum number of iterations recommended to ensure data safety, this value changes every year as technology improves. An example of the iteration count chosen by a well known company is the 10,000 iterations Apple uses for its iTunes passwords (using PBKDF2)[http://images.apple.com/ipad/business/docs/iOS_Security_May12.pdf](PDF file). However, it is critical to understand that a single work factor does not fit all designs. Experimentation is important.[*6]

=== Leverage Keyed functions ===

Keyed functions, such as HMACs, compute a one-way (irreversible) transform using a private key and given input. For example, HMACs inherit properties of hash functions including their speed, allowing for near instant verification. Key size imposes infeasible size- and/or space- requirements on compromise--even for common credentials (aka password = ‘password’).
Designers protecting stored credentials with keyed functions:

* Use a single “site-wide” key;
* Protect this key as any private key using best practices;
* Store the key outside the credential store (aka: not in the database);
* Generate the key using cryptographically-strong pseudo-random data;
* Do not worry about output block size (i.e. SHA-256 vs. SHA-512).

Example protect() pseudo-code follows:

<code>return [salt] + HMAC-SHA-256([key], [salt] + [credential]); </code>

Upholding security improvement over (solely) salted schemes relies on proper key management.

== Design password storage assuming eventual compromise ==

The frequency and ease with which threats steal protected credentials demands “design for failure”. Having detected theft, a credential storage scheme must support continued operation by marking credential data as compromised. It's also critical to engage alternative credential validation workflows as follows:

# Protect the user’s account
## Invalidate authentication ‘shortcuts’ by disallowing login without 2nd factors, secret questions or some other form of strong authentication.
## Disallow changes to user accounts such as editing secret questions and changing account multi-factor configuration settings.
# Load and use new protection scheme
## Load a new, stronger credential protection scheme
## Include version information stored with form
## Set ‘tainted’/‘compromised’ bit until user resets credentials
## Rotate any keys and/or adjust protection function parameters such as work factor or salt
## Increment scheme version number
# When user logs in:
## Validate credentials based on stored version (old or new); if older compromised version is still active for user, demand 2nd factor or secret answers until the new method is implemented or activated for that user
## Prompt user for credential change, apologize, & conduct out-of-band confirmation
## Convert stored credentials to new scheme as user successfully log in

= References=

* [1] Morris, R. Thompson, K., Password Security: A Case History, 04/03/1978, p4: http://cm.bell-labs.com/cm/cs/who/dmr/passwd.ps
* [2] Space-based (Lookup) attacks: Space-time Tradeoff: Hellman, M., Crypanalytic Time-Memory Trade-Off, Transactions of Information Theory, Vol. IT-26, No. 4, July, 1980 http://www-ee.stanford.edu/~hellman/publications/36.pdf Rainbow Tables -http://ophcrack.sourceforge.net/tables.php
* [3] For example: [http://docs.oracle.com/javase/6/docs/api/java/security/SecureRandom.html SecureRandom.html].
* [4] Kalski, B., PKCS #5: Password-Based Cryptography Specification Version 2.0, IETF RFC 2898, September, 2000, p9 http://www.ietf.org/rfc/rfc2898.txt
* [5] Percival, C., Stronger Key Derivation Via Sequential Memory-Hard Functions, BSDCan ‘09, May, 2009 http://www.tarsnap.com/scrypt/scrypt.pdf
* [6] For instance, one might set work factors targeting the following run times: (1) Password-generated session key - fraction of a second; (2) User credential - ~0.5 seconds; (3) Password-generated site (or other long-lived) key - potentially a second or more.
* [7] Argon2 detailed specifications can be found here. https://password-hashing.net/argon2-specs.pdf

= Authors and Primary Editors =

John Steven - john.steven[at]owasp.org (author) 
Jim Manico - jim[at]owasp.org (editor)

== Other Cheatsheets ==

{{Cheatsheet_Navigation_Body}}

|}

[[Category:Cheatsheets]]

Montréal

2017-05-30T04:35:56Z

Svieg:

== Welcome & Bienvenue to the OWASP Montréal chapter ==
 
[[Image:OWASP-Montreal-Logo.png|Logo OWASP Montréal]]

The OWASP Foundation was established in 2001 as an open community and software security resource. Since then, OWASP has grown to be globally recognized as a credible source for application security standards. 
OWASP is an open community dedicated to enabling organizations to conceive, develop, acquire, operate, and maintain applications that can be trusted. All of the OWASP tools, documents, forums, and chapters are free and open to anyone interested in improving application security. We advocate approaching application security as a people, process, and technology problem because the most effective approaches to application security include improvements in all of these areas. 
OWASP is open to anyone. Anyone can attend OWASP's vendor agnostic local chapter meetings, participate in regional and global conferences, and contribute to the many OWASP projects. And anyone can start a new project, form a new chapter, or lend their expertise to help an OWASP Global Committee. 
On parle français aussi ! Le chapitre de Montréal organise plusieurs activités gratuites afin de partager les connaissances en sécurité applicative avec la communauté de développeurs et gestionnaires. Suivez-nous sur les réseaux sociaux pour connaître les dates des conférences du midi et des workshops ! 

Top documentation from OWASP includes:

* [https://www.owasp.org/index.php/Top_10_2013-Top_10 OWASP TOP 10 : The Ten Most Critical Web Application Security Risks]

* [https://www.owasp.org/images/3/33/OWASP_Application_Security_Verification_Standard_3.0.1.pdf OWASP ASVS : Application Security Verification Standard]

* [https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf OWASP Testing Guide : Penetration Testing Framework ]

* [https://www.owasp.org/images/7/78/OWASP_AlphaRelease_CodeReviewGuide2.0.pdf OWASP Code Review Guide : Source Code Analysis Framework ]

* [https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series OWASP Cheat Sheet : Best practices guidelines for developers ]

* [https://www.owasp.org OWASP Global ]

=== Chapter Leaders / Responsables du chapitre ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique
 
Special thanks to / Remerciements :
* Simon Lacasse, Web content / Site internet

== Reach our chapter / Joindre le chapitre ==

Follow OWASP's Montreal chapter's activities through social medias, register to events, watch the previous presentations and more!

Suivez les activités du chapitre OWASP Montréal via les réseaux sociaux, inscrivez-vous aux activités, visualisez les anciennes présentations et plus encore!

 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Click here] to join the local chapter mailing list.
 [http://lists.owasp.org/mailman/listinfo/owasp-montreal Inscrivez-vous ici] à la liste de courriels du chapitre afin de recevoir les dernières nouvelles!

Want to be part of the community ?
Devenez membre de notre communauté !
[https://www.owasp.org/index.php/Membership_Map Click here / Cliquer ici]

[[Image:Eb_press_little.gif‎|OWASP Montreal Eventbrite|link=http://owaspmontreal.eventbrite.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Yt-brand-standard-logo-630px.png‎|128px|YouTube OWASP Montreal Channel|link=http://www.youtube.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Speakerdecklogo.png‎|Slides of OWASP Montreal on SpeakerDeck |link=https://speakerdeck.com/owaspmontreal]]
[[Image:Spacer-horiz.gif‎]]

 
[[Image:Twitter-bird-cropped-onwhite.png|@owaspmontreal on Twitter|link=https://twitter.com/owaspmontreal]]
[[Image:FacebookSquareLogo.png|OWASP Montreal Facebook page|link=https://www.facebook.com/owasp.montreal]]
[[Image:LinkedinSquareLogo.png|OWASP Montreal on LinkedIn|link=https://www.linkedin.com/groups/1379007/profile]]

[[Image:Spacer-horiz.gif‎]]

== Sponsorship & Membership / Commandite & Adhésion ==

[[Image:Btn_donate_SM.gif|link=http://www.regonline.com/donation_1044369]] to this chapter or become a local chapter supporter.

Or consider the value of [[Membership | Individual, Corporate, or Academic Supporter membership]]. Ready to become a member? [[Image:Join_Now_BlueIcon.JPG|75px|link=https://myowasp.force.com/]]

[http://www.regonline.com/donation_1044369 Donnez] au chapitre ou devenez commanditaire du chapitre local!

[https://myowasp.force.com/ Devenez membre !] Pour en savoir davantage sur les avantages d’une adhésion individuelle, corporative ou en tant qu’institution d’enseignement, [https://www.owasp.org/index.php/Membership cliquez ici].

[[Category:OWASP Chapter]]

== Chapter Supporters / Commanditaires du chapitre ==

[https://www.owasp.org/images/9/91/OWASP_Membership_Flyer_Montreal.png All details available here / Pour tous les détails ] [[File:Chapter-supporter-owasp-montreal.png|200px|link=https://www.owasp.org/images/9/91/OWASP_Membership_Flyer_Montreal.png]]

=== Platinum / Platine ===

[[Image:Gosecure-2.png|GoSecure|link=http://www.gosecure.ca/]]
[[Image:Spacer-horiz.gif‎]]
[[File:Desjardins2-400x400.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 
 

=== Gold / Or ===

[[Image:ImmunioLogo.jpg|Immunio|link=https://www.immun.io/]]

 
 
 

= Lunch & Learn / Workshops 2017 =

== HOW TO! Threat Modeling Toolkit ==

[[Image:OWASPMtl-JonathanMarcil-1.jpg]]
[[Image:OWASPMtl-JonathanMarcil-3.jpg]]

WHEN
May 23rd, 2017
WHERE
Shopify Montreal

Threat Modeling is a great way to analyze security early in software development by structuring possible attacks, bad actors and countermeasures over a broad view of the targeted system. This talk will describe basic components of a threat model and how to use them effectively.
Threat Intelligence is where you gather knowledge about the environment and business assets to determine what are the actual threats. But how do you reconcile that with the current architecture in a useful manner?
The toolkit presented in this talk will enable you to systematically structure related information using graphical notations such as flow diagram and attack tree. In case you are wondering where to start in your organization, a quick lightweight risk rating methodology will also be proposed.
And in the end, you’ll see how we can all tie those together and get threat modeling to a point where it’s an efficient application security activity for communication. Doing this will prevent security reviews from missing important things even when chaos prevails during the realization of a project.
Modeling concepts will be demonstrated with an actual IoT device used as example.
Presentation will be done in english.

Speaker Bio:
Jonathan Marcil is the former chapter leader of OWASP Montreal and is now Senior Application Security Engineer at Blizzard Entertainment in beautiful Orange County, California.
Jonathan has been involved with OWASP for many years and has been behind the Media Project which gathered and promoted AppSec conferences video content in the official OWASP YouTube channel. He was also part of NorthSec CTF event as a challenge designer specialized in Web and imaginative contraptions.
He is passionate about Application Security and enjoys architecture analysis, code review, threat modeling and debunking security tools. He holds a diploma in Software Engineering from ÉTS Montreal and has more than 15 years of experience in Information Technology and Security.

Merci à nos précieux commanditaires !

== Security Testing: Unlocking the Benefits of a Hybrid Approach ==

WHEN
April 24th, 2017
WHERE
Espace Desjardins

As part of their defensive efforts, businesses commonly commission cybersecurity assessments of their web applications; with the aim of identifying any weaknesses in the security controls and ensuring a continually strong cybersecurity posture of their systems.

The classical approach of either secure code review (white box) or penetration testing (black box) assessment have proven to be effective in securing of web applications. The new trend, however, is moving towards the combination of these two approaches; expert consensus is rapidly recognizing the advantages of using a hybrid approach. When applied properly, a hybrid approach can build on the strengths of both white and black box testing, while compensating for their individual shortcomings.

In this presentation, we will examine the details of secure code review and penetration testing, and run demos to contrast their respective strengths and weaknesses. We will also examine why a hybrid approach can produce more complete and relevant assessment results. To conclude, we will cover proven approaches, and practical techniques, on how you can start leveraging a hybrid approach to web application assessments today.

Anne Gauthier is an application security analyst at GoSecure. Anne is also the president of the Montreal Chapter of OWASP – the industry standard for web application security. With a penetration testing background, she specializes in secure code reviews and in helping companies to improve their software development lifecycle (SDLC) according to industry best practices. Anne is CSSLP, GWAPT and GSSP-JAVA certified. She obtained a Software Engineering bachelor’s degree from Ecole de Technologie Supérieure in Montréal and is now pursuing a Master of Engineering (MEng) degree in Information Systems Security at Concordia University. She is the author of the Project 201 Security blog.

Merci à nos précieux commanditaires !

== "HOW-TO" NIGHT ! Tout sur les CTFs (Capture The Flag) ==

WHEN
April 4th, 2017
WHERE
Shopify

Cette nouvelle soirée "How-To" Night d'OWASP Montréal vise à présenter les CTFs (une compétition Capture The Flag) et aider les équipes à démarrer et à continuer à évoluer dans leurs pratique de la cyber sécurité pratique. L'objectif est d'outiller les participants en leur fournissant des ressources techniques et des contacts afin de les aider à progresser.

Les éléments discutés seront:

- Composition optimale d’une équipe : Fonctionnement d’une équipe de CTF et les principaux rôles (chef d’équipe, cryptographie, application web, rétro ingénierie et les causes perdues).

- Pourquoi faire des CTFs? Discussion sur les différents styles (jeopardy, attack/defense, etc.), quels sont les problèmes fréquemments rencontrés + plusieurs anecdotes intéressantes (et drôles).

- Trucs de Mr. Unikoder : Le créateur du fameux site ringzer0team, soit un des plus gros sites pour apprendre la résolution de problèmes de CTF (https://ringzer0team.com/) Apprenez des trucs du meilleur, sur comment débuter et interpréter un challenge web, binaire et crypto avec des trucs réels du métier.

Matériel requis :

Votre légendaire enthousiasme

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement.

Présentateurs :

Charles Hamilton, Senior Consultant chez Mandiant, FireEye, Inc.

Olivier Bilodeau, Cybersecurity Research Lead at GoSecure

Laurent Desaulniers, Senior Security Solution Specialist at Bell Canada

== NorthSec - Applied Security Event ==

WHEN
April 4th, 2017
WHERE
Espace Desjardins

NorthSec: La plus grande compétition et conférence en cyber sécurité au Canada

NorthSec est un organisme sans but lucratif qui organise une conférence et une compétition de sécurité de type "Capture-The-Flag" (CTF) et des formations. Avec plus de 400 participants présents sur le site pour la compétition, c’est la plus grande compétition du genre au monde.

La conférence, dans sa 3e année, attire des présentateurs internationaux avec du contenu technique exclusif. L’ajout des séances de travail (workshops) devrait plaire aux plus chevronnés des binaires.

Des formations de 3 jours sont offertes avant la conférence: "Advanced Web Application Security" par Philippe Arteau et "Malware and Memory Forensics" par Michael Ligh, co-auteur des livres "Malware Analyst Cookbook" et "The Art of Memory Forensics".

NorthSec est situé au Marché Bonsecours dans le Vieux-Port de Montréal au printemps du 15 au 21 mai 2017.

La présentation couvrira:

- Le plan pour 2017 
- Ce qui différencie NorthSec 
- Comment équilibrer une compétition pour les débutants et les experts 
- Comment bâtir une infrastructure basée sur les conteneurs qui gère 50 équipes dans quelques serveurs sans qu’ils ne se partagent de machines virtuelles 
- Comment faire du pain au levain à grande échelle 
- Présentation de quelques défis et solutions 

Les présentateurs:

- Gabriel Tremblay, Président, Delve Labs 
- Olivier Bilodeau, VP Formations, Co-fondateur MontréHack, GoSecure 
- Pierre-David Oriol, VP Conférences, Delve Labs 
- Benoit Guérette, VP Partenaires, Desjardins 
- Laurent Desaulniers, Tisserand de drapeaux, Bell Canada 

Merci à nos précieux commanditaires !

== Sécurité des applications : Les fondements ==

WHEN
March 20th, 2017
WHERE
Espace Desjardins

OWASP Montréal est fier d’accueillir au Midi Conférence du mois de mars, Mme Tanya Janca, Co-Leader du chapitre OWASP Ottawa et spécialiste de la sécurité applicative au sein du Gouvernement fédéral.

La conférence « Les fondements de la sécurité des applications » sera présentée en anglais.

Session Description : Everyone has heard about the problem; everyone is “getting hacked”. But what is the answer? From scanning your code with a vulnerability scanner to red teaming exercises, developer education programs and bug bounties, this talk will take the audience through all the possibilities of an extensive application security program, with a detailed explanation of each part.

Bio : Tanya Janca is an application security evangelist, a web application penetration tester and vulnerability assessor, a secure code reviewer, an ethical hacker, the Co-Leader of the OWASP Ottawa chapter, and has been developing software since the late 90’s. She has worn many hats and done many things, including; Custom Apps, Ethical Hacking, COTS, Incident Response, Enterprise Architect, Project and People Management, and even Tech Support. She is currently helping the Government of Canada secure their web applications.

Merci à notre commanditaire principal de cet événement: Ubitrak!

== WORKSHOP ! Server Side Template Injection (SSTI) ==

[[Image:Workshop-okiok-SSTI-r.jpg | WORKSHOP ! Server Side Template Injection (SSTI) ]]

[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti]] [https://speakerdeck.com/owaspmontreal/workshop-server-side-template-injection-ssti See the slides / Voir la présentation]

WHEN
22 Février 2017
WHERE
Shopify Montréal

OWASP Montreal vous invite à un atelier portant sur la sécurité des applications web supportant les moteurs de template (Template Engine). Le principe de séparation entre la présentation du site (code HTML statique) et de son contenu dynamique facilite la création de documents HTML et la capacité à modifier l'apparence du site sans mélanger le traitement et le rendu de la page. L'utilisation de moteurs de template amène de nouveaux enjeux de sécurité. Les vulnérabilités de type Server Side Template Injection (SSTI) sont exploitables à travers les données (non fiables) fournies par l'utilisateur et conduisent à l'exécution de code arbitraire (RCE) sur le serveur hébergeant l'application web. 

Ce workshop a pour but d'introduire cette classe de vulnérabilité à travers différents cas d'implémentation (php, java, python).
Nous verrons comment identifier et exploiter ces vulnérabilités et de quelle manière un attaquant peut
s'y prendre pour exécuter du code arbitraire sur le serveur afin d'en prendre le contrôle. 

Niveau : Intermédiaire 
Matériel requis :
* Votre portable
* Votre distribution Linux/Unix de votre choix
* Votre proxy Web de votre choix

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.
Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.
Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement. 

Présentateur : Gérôme Dieu 
Gérôme Dieu cumule plus de 7 années d’expérience en technologies de l’information et en sécurité.
Il œuvre à titre de conseiller senior en sécurité de l’information au sein de la firme OKIOK. Ces dernières années, il a acquis une expertise dans le domaine de la sécurité des applications web aussi bien d'un point de vue offensif que défensif. En plus de réaliser des tests d’intrusion pour des clients internationaux, Gérôme s’implique dans la recherche et développement afin de maintenir à la fine pointe de la technologie les tests d'intrusion et d'analyse de vulnérabilités. 

Merci à Shopify d'héberger l'événement ! 
[[Image:Shopify Logo-r.png| Shopify | link=https://www.shopify.com/]]
== Le courriel en 2017 – risques et menaces pour tous ==

[[Image:Zero spam 2.jpg|Le courriel en 2017 – risques et menaces pour tous]]

[[Image:Video-link.png | Link to video | link=https://www.youtube.com/watch?v=HX2vcijcCWw ]] [https://www.youtube.com/watch?v=HX2vcijcCWw Watch the conference / Regarder la conférence ] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

WHEN
Le 23 janvier 2017 à midi
WHERE
Espace Desjardins

Monsieur Poellhuber nous brossera un tableau du phénomène grandissant du rançongiciels et de l'hameçonnage, personnification. 

- Par les années passées, la menace courriel se résumait principalement en un fort volume de contenu simplement indésirable. Aujourd’hui la menace a passablement évolué. Quels sont les véritables risques actuels associés au courriel ? Rançongiciels, hameçonnage, personnification. Cette conférence présentera les nouveaux défis de sécurité pour les organisations qui doivent composer avec des attaques de plus en plus sophistiquées et de plus en plus ciblées tout en protégeant leur réputation. Des exemples biens réels, drôles et moins drôles seront disséqués pour bien dessiner l’ampleur de l’enjeu. 

M. David Poellhuber, Chef de l’exploitation, ZEROSPAM Sécurité Inc 

Note biographique : 
Monsieur David Poellhuber oeuvre dans l’industrie de la sécurité informatique depuis quinze ans. Il a été conférencier dans plusieurs forums de sécurité au Canada et est maintenant reconnu comme une autorité en matière de sécurité du courriel. Il a fondé ZEROSPAM Sécurité en 2003, le premier service Québécois externalisé de sécurité du courriel infonuagique qui se distingue par sa convivialité, son efficacité et ses technologies de détection proactives. 
Audience : Généralistes et spécialistes de la sécurité des TI
 
Merci à Ubitrack pour le repas et à Desjardins d'héberger l'événement!

[[Image:Ubitrak-r2.jpg|Ubitrak|link=http://www.ubitrak.com/fr/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]

== Effective XSS Mitigation ==

[[Image:XSS mitigation.jpg | Effective XSS Mitigation ]]

[[Image:Presentation-link.png | Slides| link=http://slides.com/olivierarteau/xss-mitigation ]] [http://slides.com/olivierarteau/xss-mitigation See the slides / Voir la présentation]

WHEN
18 Janvier 2017
WHERE
Google Montréal

FRANÇAIS/ENGLISH 
La mitigation de XSS a été un sujet important au cours des dernières années. Les navigateurs ont implémenté, en autre, deux fonctionnalités pour mitiger leur impact : l'entête "XSS-Protection" et l'entête "Content-Security-Policy". Par contre, obtenir une mitigation contre les XSS efficace est souvent plus complexe que l'on pense. Cet atelier couvrira les deux entêtes. Il expliquera comme il est possible de contourner ces protections et ce qu'il est possible de faire pour se protéger. Des exercices de type "offensif" et "défensif" seront proposés.
Mitigation for XSS as been an important topic in the last few years. Browsers have implemented two main functionalities to help mitigate the impact of XSS : the "XSS-Protection" header and the "Content-Security-Policy" header. But, getting an effective XSS mitigation of those headers is trickier than it may seem. This workshop will cover both of those headers. It will explain how bypass of those protection work and what you can do about it. It will have both "defensive" exercises and "offensive" exercises.
Niveau : débutant/intermédiaire
 
Matériel requis :

Votre portable 

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Google pour l'événement.
 
Présentateur : Olivier Arteau
 
Olivier Arteau est un professionnel en sécurité informatique depuis quelques années et fait partie de l’équipe de test d’intrusion de Desjardins. Il est aussi un amateur de CTF qui a gagné à plusieurs reprises le CTF du NorthSec avec l’équipe HackToute et participe fréquemment à d’autres CTF avec l’équipe DCIETS.
 

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

= Lunch & Learn / Workshops 2015-2016 =

== WORKSHOP ! Top 10 OWASP - Unleash the threats ==

[[Image:Workshop-top10.jpg | WORKSHOP! Top 10 OWASP - Unleash the threats ]]

WHEN
30 novembre 2016 de 17h30 à 20h30
WHERE
Immunio @ WeWork

De nos jours, la sécurité applicative est essentielle dans l’écosystème des entreprises de toutes tailles. Les vecteurs d’attaques sont multiples, les vulnérabilités de sécurité dans les applications peuvent être désastreuses et les impacts d’un « Hack » peuvent être irréversibles pour l’entreprise; vols de données sensibles, perte de réputation, perte de $$$$$, etc.
L’objectif du workshop est de comprendre la base sur les vulnérabilités de sécurité dans les applications et les techniques d’exploitation utilisées par les pirates informatiques, en plus de connaître les bonnes pratiques de développement en matière de sécurité applicative.
Avec l'aide de WebGoat, Damn Vulnerable Web Application et de Kali Linux, vous pourrez participer
à l'exploitation des applications et découvrir les techniques utilisées par les attaquants.

Niveau : débutant

Matériel requis :
Votre portable
Kali Linux
La VM du workshop, envoyée aux participants

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places très limitées (nb = 10). Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Immunio & WeWork pour l'événement.

Présentateur : Christian Leclerc

Christian est spécialisé en conception et développement de solutions web sécuritaires. Tout au long de sa carrière, il a acquis une vaste expertise sur plusieurs types de technologies et méthodologies, intégré la sécurité dans le cycle de développement d’applications, effectué des revues de code sécurité, déployé des outils d’analyse des vulnérabilités et mis en place des systèmes d’authentification. De plus, il a participé à la conception et au développement de solutions sécuritaires de pointe comme la signature électronique à l’aide d’une infrastructure à clé publique (PKI), les authentifications fortes, le Registre des consentements au don d'organes et de tissus (RDOQ.org) et la migration de plusieurs applications web vers un environnement SOA (Service Oriented Architecture).
 Merci à Immunio & WeWork d'héberger l'événement! 

[[Image:Immunio-horizontal-r.png|Immunio|link=https://www.immun.io/]]
[[Image:Spacer-horiz.gif‎]]
[[Image:Wework-r.jpg|WeWork|link=https://www.wework.com/]]
 

== Histoire d'un Hack ==

[[Image:Histoire-dun-hack-r.jpg | Histoire d'un Hack ]]

WHEN
21 novembre 2016 à midi
WHERE
Espace Desjardins

Pour son activité du mois de novembre, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de faire l'autopsie d'une attaque de haute voltige sur un site web et des outils mis à la disposition par OWASP.

Bernard Bolduc cumule plus de 17 années d’expérience en technologies de l’information et en sécurité. Il œuvre à titre de conseiller senior en sécurité de l’information au niveau d’entreprise de classe nationale et internationale.

Bernard se spécialise en sécurité Unix, applicative et en gestion de la sécurité des télécommunications. Il combine ces expertises techniques afin d’obtenir des résultats probants et efficaces pour ces clients des secteurs bancaire, télécommunication et multimédias, de l’énergie ou des services publiques. Tout au long de sa carrière, Bernard s’est toujours maintenu à jour sur les dernières menaces de sécurité technologique et commerciale en assistant à des formations spécialisées et d'échanger avec un grand nombre de partenaires dans l'industrie de la sécurité.

La conférence débute à midi.

La conférence vous donne droit à 1 CPE et pour les 50 premières personnes, un lunch gratuit.

Merci à Desjardins d'héberger l'événement!

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite) ==

[[Image:Workshop-zap-mix.jpg | Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite)]]

WHEN
11 novembre 2016 de 18h à 21h

WHERE
Google Montréal

OWASP Zed Attack Proxy (ZAP) est un scanneur de vulnérabilités et un outil de débogage HTTP. Ce type d'outil est crucial dans un test d'intrusion web et contient un lot intéressant de fonctionnalités. Cela dit, il est possible d'étendre les fonctionnalités. Plusieurs types d'extension sont possibles : vue alternative pour les requêtes ou les réponses, scanneur passif des réponses, scanneur actif produisant des requêtes, etc.

Plusieurs options seront données, par exemple :

Détection automatique de flag dans les sources
Scanneur actif asynchrone DNS
Ou votre propre idée

Pour chacune des suggestions, des squelettes de code seront fournis pour les APIs de ZAP. Pour les utilisateurs de BurpSuite, des directives analogues seront également données.

Niveau : débutant / intermédiaire

Matériel requis

Votre portable
[https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project OWASP ZAP (gratuit)]
[https://portswigger.net/burp/download.html BurpSuite]
Éditeur de code pour Java, Python ou Ruby

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Présentateur : Philippe Arteau

Philippe est un chercheur en cybersécurité chez GoSecure. Il est l'auteur de l'outil d'analyse statique Java "Find Security Bugs". Il a découvert des vulnérabilités importantes dans les logiciels populaires tels que Google Chrome, Dropbox, Paypal, RunKeeper et Jira. Il a présenté dans différentes conférences incluant Black Hat USA, Black Hat Europe, ATL Sec Con, NorthSec, Hackfest (QC) et JavaOne. Il a développé de nombreux plug-ins pour les outils de proxy BurpSuite et OWASP ZAP (Retire.js, Reissue Request Script, PDF preview et Image Metadata). Il a fait également des contributions à d'autres plug-ins comme J2eeScan.

Merci à Google d'héberger l'événement!

[[Image:Workshop-zap-4-r.jpg | Google | link=https://www.google.ca/ ]]

==Logiciel de rançon (Ransomware) s'attaque au domaine de la santé==

[[Image:HackingHealth-2.jpg | Logiciel de rançon (Ransomware) s'attaque au domaine de la santé ]]

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health ]] [https://speakerdeck.com/owaspmontreal/ransomware-and-healthcare-hacking-health See the slides / Voir la présentation]

(Conférence en anglais)
Pour le lancement de la saison 2016 - 2017, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de la santé une incursion dans le monde du logiciel malveillant ciblant le domaine de la santé. 
Cette conférence s'intége dans le Coopérathon co-organisé par le Mouvement Desjardins et Hacking Health. 
Le domaine de la santé serait devenu une cible privilégiée des campagnes de ransomware parce que l'industrie a souvent payé la rançon demandée pour récupérer les données confidentielles et vitales de ses clients. Monsieur Ed Gershfang nous brossera un portrait du phénomène et des meilleures pratiques à mettre en place en matière de sécurité applicative.
Ed Gershfang possède une expérience solide dans l'infrastructure informatique et plus de 6 ans d'expérience dans les domaines de la sécurité de l'information, de la vulnérabilité, de la gouvernance et de la gestion des risques. Il était directeur de la sécurité pour la société PeriGen, un chef de file de développement de logiciels médicaux en Israël.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative vue par un pentesteur ==

[[Image:Juin2016-OWASPMtl.jpg | OWASP Montréal reçoit Mario Contestabile, Pentester de renom ]]
 
From Left to Right : Isabelle Lusseyran, Head of Development at Hacking Health. Eduard Gershfang Information Security Analyst at WSP | Parsons Brinckerhoff.

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile ]] [https://speakerdeck.com/owaspmontreal/owasp-montreal-recoit-mario-contestabile See the slides / Voir la présentation]
 
Pour clore la saison 2015 – 2016, OWASP Montréal est fier d’accueillir au Midi Conférence un des architectes de renom du développement applicatif au Canada, monsieur Mario Contestabile.
En tant qu’auteur de plusieurs centaines de tests d’intrusion, il connait tous les rouages de ce qu’est véritablement une application Web «sécurisée». Mais avez-vous déjà remarqué que les rapports de tests d’intrusion mentionnent rarement, voir jamais : «Votre site est très difficile à pirater. Félicitations !» ?
Et qu’en est-il de ces rapports qui contiennent des dizaines de soi-disant vulnérabilités ? Est-ce que cela signifie d’emblée que l’application devrait être mise hors ligne ?
 
Lors de cette conférence, nous examinerons des rapports concrets (ambigus) de vulnérabilités et nous les analyserons afin de mieux comprendre si elles représentent une véritable menace, ou si elles ne servent qu’à «remplir» les rapports.
 
Avec son expertise en protection et en attaque d’applications Web, il abordera les points suivants :
Comment pouvez-vous sélectionner des systèmes de façon à mieux exécuter des protections de sécurité ?
Éviter certains pièges dans votre application Web qui rendent les attaques plus faciles et la protection plus difficile.
De nos jours, que peuvent faire les développeurs à l’intérieur de systèmes communs, qui puisse me rendre la tâche plus ardue en tant que « hacker »?
Pouvons-nous exiger de meilleurs rapports de la part des firmes de sécurité?
À quoi devrions-nous nous attendre de la part d’un « pentesters »?
Comment pouvons-nous savoir si le « pentester » a vérifié les failles de l’application et qu’il n’a pas simplement utilisé un scanneur?
Et enfin, comment pouvons-nous aider les « ethical hackers » à obtenir un meilleur rendement lors d’un test d’intrusion?
Il expliquera le sujet en détails, et ensemble, nous verrons de quelles façons les développeurs d’applications peuvent exploiter le savoir-faire des « pentesters », et comment nous pouvons faire en sorte qu’une application Web soit protégée.
Biographie :
Mario Contestabile est reconnu comme l’un des experts en sécurité les plus réputés au Canada. Son expertise, construire et protéger votre plateforme applicative. Ancien développeur C++ et Java, Mario partage ses nombreuses connaissances en « ethical hacking » et en développement de codes sécurisé.
 
WHEN
Tuesday, 14 June 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Comment protéger les applications mobiles? ==

[[Image:Avril2016-OWASPMtl.png | Comment protéger les applications mobiles? ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles ]] [https://speakerdeck.com/owaspmontreal/comment-proteger-les-applications-mobiles See the slides / Voir la présentation]
 
Dans le cadre des Midis Conférence à l'Espace Desjardins, l'équipe OWASP Montréal vous invite à assister à une présentation sur les vulnérabilités les plus communes associées aux appareils mobiles.
Marie-Claire Willig détaillera entre autres comment stocker de façon sécuritaire les données de l’application mobile ainsi que protéger l’application contre des attaques externes. Des outils simples vous seront dévoilés pour détecter ces vulnérabilités.
Marie-Claire est une professionnelle d'expérience en sécurité appliquée.
Une grande partie de son intérêt professionnel réside actuellement dans un domaine assez niche, soit la revue de code sécuritaire, un fondement important de tout cycle de développement sécuritaire en entreprise.
Au sein de l'équipe de sécurité technologique Desjardins, elle est, en autre, responsable de former les développeurs (Java et .NET principalement) afin de les sensibiliser aux meilleures pratiques de développement sécuritaire.
Également, elle est une professionnelle des tests d'intrusion sur les applications web, les applications mobiles ainsi que l'infrastructure réseau.
Bienvenue à tous
 
WHEN
Wednesday, 20 April 2016 from 12:15 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ==

[[Image:Mars2016-OWASPMtl.jpg | NorthSec, Le plus gros événement de cybersécurité appliquée au Canada ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/YQtvltQYs7Y]] [https://youtu.be/YQtvltQYs7Y Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
OWASP Montréal est fier d’inviter au Midi Conférence de mars, NorthSec est le plus gros événement de sécurité appliquée au Canada qui comprend deux jours de formation, deux jours de conférences ainsi qu’une compétition du genre « capture the flag » (CTF) de trois jours.
Gabriel Tremblay, Benoit Guerette, Pierre-David Oriol et Laurent Desaulniers viendront vous parler de cet organisme sans but lucratif dynamique qui est géré par une équipe de bénévoles passionnés qui donnent à chaque année leur énergie et leur temps pour soutenir la communauté de la sécurité de l’information.
Le volet compétition, l’épreuve maîtresse, est présentée sous forme d’un scénario qui rend cohérent une centaine de défis techniques. Les équipes de participants attaquent l’infrastructure de compétition pour soutirer des drapeaux (flags) à travers un ensemble de vulnérabilités présentes comme de l’injection SQL, des XSS ou encore l’exploitation d’exécutables sur systèmes embarqués. Quelques exemples de défis des années passées seront également présentés.
Le volet conférence, qui est à sa 2ème année, met de l’avant plusieurs présentations techniques touchant la sécurité applicative mais aussi l’éthique et leurs impacts sociaux. Certaines présentations confirmées seront dévoilés.
Le tout nouveau volet formation propose deux formations en sécurité applicative de calibre international (anglais) : “Advanced Web Security Testing with Burp Pro” et “Modern Object-Oriented Malware Reverse Engineering”.
Venez aussi, découvrir comment l'équipe est partie d'une idée en 2012 pour se rendre à un évènement d'envergure, qui rassemblera plus de 600 professionnels, étudiants et autres passionnés de sécurité appliquée lors de la 4ème édition qui aura lieu du 17 au 22 mai 2016 au Marché Bonsecours.
Finalement, la mission, la vision ainsi que les activités sociales de la semaine de NorthSec sont aussi au menu de cette présentation qui sera suivie d’une période de questions.

Gabriel Tremblay, Delve Labs, Président
Benoit Guerette, Desjardins, VP Finances

Pierre-David Oriol, Delve Labs, VP Conférence
Laurent Desaulniers, Bell Canada, Artisant de drapeaux
 
WHEN
Wednesday, 23 March 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== La sécurité applicative et l'hameçonnage - February 24th ==

[[Image:Fevrier2016-OWASPMtl.jpg | La sécurité applicative et l'hameçonnage ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/1RYlOiIENjQ]] [https://youtu.be/1RYlOiIENjQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 

De nos jours, une des méthodes les plus efficaces pour contourner les périmètres de sécurité externes est l'hameçonnage conjointement avec l’abus de certaines technologies Web.

Dans le cadre ses activités, OWASP Montréal est heureux d'inviter d'accueillir, l'équipe OKIOK qui présentera les impacts liés à ce type d'attaque, tel que vu et expérimenté en entreprise ainsi que les plans d'action pour traiter ces risques. La présentation abordera aussi bien la sécurité web et applicatives, des systèmes informatiques ainsi que de la sécurité physique de centres de données.

Capture d'informations sensibles par imitations de portails Web ;
Authentification Web par 2-facteurs ;
Injection SMTP dans des formulaires Web ;
Attaque de type “Drive-by-download”;
Prise de contrôle à distance à travers des flux HTTP;
Attaque de CSRF à partir de courriels ;
Attaque d'hameçonnage basée sur des achats par Internet (ex : PayPal).
 
When
Wednesday, 24 February 2016 from 12:00 PM to 1:15 PM (EST) - Add to Calendar
Where
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest Montreal, Quebec CA

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Internet of {Things, Threats} - January 20th ==

[[Image:Janvier2016-OWASPMtl-R.png | Internet of {Things, Threats} ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html ]] [http://gosecure.github.io/presentations/2016-01-20_owasp-mtl/internet-of-threats.html See the slides / Voir la présentation]
 
De plus en plus de périphériques se retrouvent connectés sur Internet. Sous la bannière "Internet of Things" (IoT) ces équipements, que ce soit une pompe à insuline ou un système de caméra de sécurité, tournent généralement sous un système GNU/Linux embarqué d'architecture MIPS ou ARM. La difficulté de mettre à jour ces équipements ainsi que le peu d'effort mis dans la sécurité des systèmes ou la sécurité applicative en font des cibles de choix. Ces derniers mois, nous avons analysé plusieurs logiciels malveillants ciblant ces architectures. Que ce soit par l'exploitation d'une vulnérabilité (Shellshock) ou encore un défaut de configuration, ces systèmes exposés sur Internet peuvent être compromis.

Notre présentation couvrira quelques une de ces analyses:

* Linux/Moose, un malware se propageant automatiquement qui fraude les réseaux sociaux (par exemple Facebook, Twitter et YouTube)
* LizardSquad et acteurs étrangers qui utilisent des systèmes embarqués compromis pour réaliser des dénis de service distribué (DDoS)
* Win32/RBrute est un logiciel malveillant qui tente de changer les paramètres de routeurs dans le but de faire du "DNS poisoning". Il a été distribué par le populaire botnet Sality.
* Un kit d'exploits qui utilise seulement le navigateur de leur victime avec le même objectif, c'est-à-dire faire du "DNS poisoning".

Enfin, des conseils seront proposés à l'audience pour l'aider à se protéger de ces menaces.

'''Thomas Dupuy''' (twitter: @nyx__o)

Thomas est chercheur en logiciel malveillant chez ESET Canada Recherche. Bon vivant, Thomas déjeune en "reversant" des binaires, contribue à quelques projets open source durant le diner (yara, yara rules, pefile, APTnotes) et la nuit participe à des "Hacking Games" (Capture The Flag). Curieux de nature Thomas analyse des malware aux architectures "exotiques".

'''Olivier Bilodeau''' (twitter: @obilodeau)

Olivier Bilodeau is the head of Cybersecurity Research at GoSecure a consultancy firm specializing in cybersecurity services for the public and private sector. With more than 10 years of infosec experience, Olivier worked on Unix servers at Bell Canada, managed a portion of Air Canada's network, wrote open source network access control software at Inverse and worked as a Malware Researcher at ESET. He likes to reverse engineer everything that crosses his path, participate in information security capture-the-flag competitions, hack open source code and brew beer. He has spoken at various conferences (Defcon, Botconf, VirusBulletin, Derbycon, ...), used to lecture on information security at ETS University in Montreal, drives the NorthSec Hacker Jeopardy and co-organizes the MontreHack capture-the-flag training initiative. His primary research interests include reverse-engineering tools, Linux and/or embedded malware and honeypots.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Survivre aux attaques DDOS applicatives ==

[[Image:Decembre2015-OWASPMtl.jpg | Survivre aux attaques DDOS applicatives ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible
 
Survivre aux attaques DDOS (Distributed Denial-Of-Service) applicatives.
Cette conférence s'adresse aux professionnels et gestionnaires des TI.
Conférencier : Christian Shink, ing., CSSLP, ingénieur système chez Radware, manufacturier spécialisé dans la prévention des attaques DDOS. Il fut également consultant en sécurité applicative chez In Fidem.
Objectifs de la conférence:
Présenter les tendances actuelles en matière d'attaques DDOS applicatives.
Renseigner les participants sur les techniques et stratégies pour contrer ces attaques illustrées à partir de cas vécus.
Démystifier certains mythes en ce qui concernent les façons efficaces de protéger les applications contre des attaques DDOS.
Date : 16 décembre 2015
Heure : 11h45
La conférence débute à 12h00 et se termine à 12:55.
Un lunch sera servi.
Réservez maintenant!
1 CPE
 
WHEN
Wednesday, 16 December 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Sécurité des applications - Systèmes de contrôles industriels ==

[[Image:Novembre2015-OWASPMtl-R.png | Sécurité des applications - Systèmes de contrôles industriels ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video | link=https://youtu.be/0eAZpyiQQ9A]] [https://youtu.be/0eAZpyiQQ9A Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible

La sécurité des applications et les systèmes de contrôles industriels.
Cette conférence s'adresse aux professionnels et gestionnaires des TI desinfrastructures critiques qui exploitent ou gèrent des systèmes de contrôles industriels(SCI) et SCADA (surveillance et d'acquisition de données). 
Conférenciers : Robert Nastas, CSSA. Gestionnaire de projet et Youssef Jad, Architecte Cyber sécurité, ICS-CERT 
 
Objectifs de la conférence:
* Démystifier le domaine d'affaires.
* Renseigner les participants sur les bonnes pratiques de sécurité desapplications liées au secteur industriel.
* Proposer aux professionnels et gestionnaires des TI responsables dessystèmes SCADA et SCI des pistes de solutions aux enjeux de sécurité.
 
L'équipe OWASP Montréal vous remercie d'avoir assisté en grand nombre à la conférence, 'La sécurité des applications et les systèmes de contrôles industriels'.
 
WHEN
Wednesday, 18 November 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar
WHERE
Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

== Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ==

[[Image:Septembre2015-OWASPMtl.jpg | Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative ]]

@Photo : Marius Popescu
 
[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides| link=https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert ]] [https://speakerdeck.com/owaspmontreal/un-regard-sur-la-securite-de-linformation-en-2015-par-eric-hebert See the slides / Voir la présentation]
 
Pour le lancement des activités corporatives de la saison 2015 - 2016, le 8 septembre prochain à 12:00, l'équipe OWASP Montréal convie les gestionnaires et artisants de la sécurité des TIC à venir entendre monsieur Éric Hébert qui nous présentera son interprétation des préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative. L'événement se tiendra au complexe Desjardins à la salle "Espace Desjardins".

''' ÉRIC G. HÉBERT, CISM, CISSP ''' 
Après plus de 20 ans passés dans le domaine de la sécurité des technologies de l’information, Éric se spécialise dans la mise en œuvre et la gestion d'équipes performantes, capables de relever les plus hauts défis de la cybersécurité moderne. 
Capable de dialoguer avec les hauts dirigeants, il sait traduire et vulgariser les enjeux techniques complexes tout en respectant la nature et l'appétence au risque de ses clients. Dynamique et pourvu d'une expérience couvrant presque toutes les sphères de la SI, il fonce dans le respect de la culture établie tout en implantant des solutions pragmatiques et efficaces. 
Depuis plus de 10 ans, il gravite principalement autour des entreprises du domaine financier (BNC, Desjardins, Fonds de solidarité FTQ...) et les accompagne dans la mise en place de solutions efficaces tenant compte à la fois des risques et des budgets.
En plus d’avoir fondé de nombreuses associations telles que le RéseauSécurIT et le RPSI, il maintient une présence régulière auprès des milieux associatifs professionnels et partage régulièrement ses expériences lors de conférences et d'entrevues avec divers médias.

Merci à Desjardins d'héberger l'événement !

[[Image:Desjardins-h-r.png|Desjardins|link=https://www.desjardins.com/ca/|alt=Desjardin's logo]]
 

= Events / Évènements =

== Owasp Montreal at [https://nsec.io/ NorthSec 2017] ==

[[Image:NorthSec2017-5.jpg]]
[[Image:NorthSec2017-6.jpg]]

From Left to Right: Anne Gauthier, OWASP Montréal Chapter Leader (President) and Application Security Analyst at GoSecure, Hugo Genesse, OWASP Montréal Chapter Leader and Research Intern at PNF Software, Julien Touche, OWASP Montréal Chapter Leader and Principal Security Engineer at Nuance Communications

== OWASP Montreal at [https://2017.appsec.eu/ AppSec] ==

[[Image:OWASPAppSecBelfast2017-7.jpg]]

OWASP Montreal and Ottawa Chapter Leaders at OWASP AppSec Belfast, UK #WomenInAppSec

== OWASP Montreal at [https://hackfest.ca/ HackFest 2016] ==

[[Image:Hackfest2016-r.jpg| HackFest |link=https://hackfest.ca/]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Louis Nadeau, OWASP Québec Chapter Leader and Manager, Product Security at Bentley Systems and Patrick Leclerc, OWASP Québec Chapter Leader and Information Security Advisor at La Capitale.

== OWASP Montreal at OWASP [https://2016.appsecusa.org/ AppSec USA 2016, Washington] ==
 
 
[[Image:OWASPMtl-AppSecUSA2016-Washington.jpg | OWASP Montreal at AppSec USA 2016, Washington]]

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016, Alexandre Hamelin President at Synlabs Consulting Inc., Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [https://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

== OWASP Montréal at [https://www.gosec.net GoSec] 2016 ==

[[Image:OWASP-GoSec2016-1r.jpg|OWASP Montreal at GoSec 2016]] [[Image:OWASP-GoSec2016-2r.jpg|OWASP Montreal at GoSec 2016]]
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Simon Lacasse, student and volunteer, and Laurent Desaulniers, Security Analyst at Bell Canada.

== OWASP Montréal at [https://www.nsec.io/ NorthSec] 2016 – Annual Applied Security Event ==

[[Image:Hackfest2016-OWASPMtl.jpg|OWASP Montreal at NorthSec 2016]]

@Photo : Simon Veilleux
 
 
From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Olivier Arteau OWASP Montréal Chapter Leader and Conseiller chez Groupe Technologie Desjardins, Hugo Genesse, OWASP Montréal Chapter Leader and Vulnerability Research Intern at Wurldtech Security Technologies.

== OWASP Montréal at [https://hackfest.ca/en/ Hackfest] 2015 ==

[[Image:Hackfest2015-OWASPMtl-R.JPG | OWASP Montreal at Hackfest 2015]]

@Photo : Hackfest
 
 
From left to right : Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of [http://find-sec-bugs.github.io/ Find Security Bugs] and Roslyn Security Guard tool which will be presented at Blackhat 2016.

[[Image:Video-link.png | Link to video | link=https://youtu.be/8U0qkEuUFy8]] [https://youtu.be/8U0qkEuUFy8 Watch the video / Regarder la vidéo]

== OWASP Montréal at [https://www.gosec.net/ GoSec] 2015 – The Annual Cybersecurity Conference presented by GoSecure, EY and ISACA. ==

[[Image:GoSec2015-OWASPMtl.jpg|OWASP Montreal at GoSec 2015]]

@Photo : Marius Popescu
 
 
From left to right : Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016. Benoît Guérette, Application Security Team Leader at Desjardins, VP Finance at NorthSec and OWASP Montreal Chapter Founder and Former Chapter Leader.

== See also / Voir aussi ==

OWASP Montréal recommends Montréhack. Learn and share knowledge on IT security by solving technical challenges. Third Monday of every month.

OWASP Montréal recommende Montréhack. Apprends et partages des connaissances sur la sécurité informatique en travaillant des problèmes appliqués. Chaque troisième lundi du mois.

[[File:Montrehack.png|Montréhack|link=http://montrehack.ca/|alt=Montréhack]]

= Archives 2007-2015 =
{{:Montreal chapter past meetings}}

== OWASP Montreal - February 3rd - Getting to Know the Software Assurance Marketplace (SWAMP) ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/p4_vjufcB6Q]] [https://youtu.be/p4_vjufcB6Q Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer]] [https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Pat Beyer
*'''ADDITIONAL PRESENTER:''' Abe Megahed
*'''ABSTRACT:''' The Software Assurance Marketplace (SWAMP) is an open facility that is designed, built, and operated by four research institutions. The SWAMP provides no-cost access to an array of open-source and commercial software analysis tools. This presentation will provide an overview and demo of the SWAMP, including our goals, intended audience, current capabilities, and future plans. We will cover our relationship with OWASP, incorporation of open-source software assurance tools, and status as an open-source project and resource available to the software community. Visit https://continuousassurance.org/ to learn more about us.
*'''BIO:''' Pat Beyer serves as the Product Manager for the Software Assurance Marketplace (SWAMP). With over 25 years of experience successfully managing multi-million dollar global projects, Beyer’s expertise extends to the IT, construction, and operations sectors, with a specialization in managing government contracts and grants. A gifted communicator, Beyer is a sought after speaker due to his ability to deliver complex information about technology products and services in a way that is easily understood. He is a decorated combat veteran of the Global War on Terror, the international military campaign that started following the 9/11 terrorist attacks on the United States. In 2004, he constructed and rehabilitated over 20 schools, clinics, and water treatment plants for the Iraqi people using local contractors. Beyer also holds a Bachelor of Science, a Masters in Business Administration, a Ph.D. in Organization and Management, and a Project Management Professional (PMP) certification.
*'''BIO:''' Abe Megahed is a web developer for the Software Assurance Marketplace. In previous lifetimes, he has been a computer graphics researcher, a game programmer, a programming language and compiler nerd, a dot com company founder, a creator of helicopter simulations, and a developer of 3D simulations for NASA astronaut crew training.
*'''WHEN:''' Tuesday, February 3rd 2015
*'''WHERE:''' Room PK-1140 - UQAM Pavillon Président-Kennedy, 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' https://owaspmtlswamp2015.eventbrite.ca
*'''WEBCAST:''' https://www.youtube.com/watch?v=p4_vjufcB6Q
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer

*'''ACADEMIC PARTNER:''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session: Getting to Know the Software Assurance Marketplace
20:00-... End of the meeting

[[Image:SWAMP-Logo-Final-Med.png|300px|link=https://continuousassurance.org/]]
[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

== OWASP Montréal - 4 décembre - Malware côté serveur — évolution, méthodes d’opération et forensic Linux ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/lo8WDl-WQ3E]] [https://youtu.be/lo8WDl-WQ3E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille]] [https://speakerdeck.com/owaspmontreal/malware-cote-serveur-par-marc-etienne-m-dot-leveille See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Marc-Etienne M.Léveillé
*'''RÉSUMÉ:''' Les logiciels malveillants ciblant les serveurs ont évolué. Ils sont utilisés par des groupes de cybercriminels organisés dans le but de faire du profit via des redirections web et l’envoie de pourriels. La présentation portera sur Opération Windigo, une opération malveillante qui a affecté plus de 25 000 serveurs dans le monde. Après une brève description des composantes de Windigo, nous verrons comment les opérateurs déploient leurs logiciels malveillants et surveille leur réseau de serveurs infectés. Des trucs pratiques pour faire de la forensics sur des systèmes Linux seront donnés. Cette présentation est une suite à la présentation "Linux/Cdorked: Server side malware", donnée par Olivier Bilodeau à OWASP Montréal en 2013. La présentation sera en français avec des diapositives en anglais (aka Montreal-style).
*'''BIO:''' Marc-Etienne est un chercheur en logiciel malveillant chez ESET depuis 2012. Il se spécialise dans les logiciels malveillants qui s’attaquent à des plateformes inhabituelles comme aux produits fruités et aux oiseaux nordiques. Dernièrement, il passe beaucoup de son temps à faire la rétro-ingénierie de logiciels malveillants sur des serveurs Linux et s’intéresse à leurs méthodes d’opération. Il adore participer de façon collégiale aux CTFs avec ses amis les CISSP Groupies et jouer de la clarinette. Il tweet très peu à @marc_etienne_.
*'''QUAND:''' 4 décembre 2014 à 18h00
*'''OÙ:''' Local M-1510, Polytechnique Montréal, 2900 Boulevard Edouard-Montpetit
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-4-decembre-malware-cote-serveur-evolution-methodes-doperation-et-forensic-linux-tickets-14635313617
*'''ÉQUIPE ACADÉMIQUE:''' Polyhack - http://polyhack.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Malware côté serveur
19:30-20:00 Période de questions

[[Image:Polyhacklogonoirpetit.png|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]

== OWASP Montréal - October 23rd - XXE : À l’assaut des analyseurs XML ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/MZviLB9-42E]] [https://youtu.be/MZviLB9-42E Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau]] [https://speakerdeck.com/owaspmontreal/xxe-a-lassaut-des-analyseurs-xml-par-philippe-arteau See the slides / Voir la présentation] 

*'''PRÉSENTATEUR PRINCIPAL:''' Philippe Arteau
*'''RÉSUMÉ:''' L'utilisation d’XML est fortement répandue. Le format est utilisé pour des fichiers de configuration, pour des métadonnées, pour des documents textes, et bien plus. La prise en charge de fichiers XML n’est pas sans risque. La plupart des analyseurs XML ne sont pas sécuritaires par défaut pour le traitement de fichier externe. Cette présentation fera un survol des vulnérabilités de type « Xml eXternal Entity » et de l’étendue des risques pour différents langages de programmation. Plusieurs démonstrations sont prévues.
*'''BIO:''' Philippe est conseiller en sécurité applicative pour le Groupe Technologies Desjardins. Au quotidien, il s’occupe d’effectuer des tests d’intrusions et des revues de code. Il a découvert des vulnérabilités importantes dans plusieurs logiciels populaires incluant Google Chrome, DropBox, ESAPI et Jira.
*'''QUAND:''' 23 Octobre 2014 à 18h00
*'''OÙ:''' École de Technologie Supérieure Local A-3230, 1100 Rue Notre-Dame Ouest, Montréal, QC H3C 1K3
*'''INSCRIPTION:''' http://www.eventbrite.ca/e/owasp-montreal-23-octobre-xxe-a-lassaut-des-analyseurs-xml-tickets-13426881163
*'''PARTENAIRE ACADÉMIQUE:''' ETS - DCI http://dciets.com/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:45 Mot de bienvenue
18:45-19:45 Présentation principale - "À l’assaut des analyseurs XML" Philippe Arteau
19:45-20:00 Période de questions

[[Image:Blason_dci.png‎‎‎|150px|link=http://dciets.com/]]
[[Image:ETS-rouge-devise-impr-fond_transparent.png|150px|link=http://www.etsmtl.ca/]]

== OWASP Montreal - July 24th - Web security for DevOps: the glory is in the headers ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/6bp1NCLT-YQ]] [https://youtu.be/6bp1NCLT-YQ Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil]] [https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Jonathan Marcil
*'''ABSTRACT:''' DevOps is a buzzword which can be easily demystified: in essence it is a process which aims to combine the development and system administration process into one; Operations. As developers become responsible for server setup, security counter measures are evolving as well. The line between server configuration and application behaviour has been blurred. In this talk we will cover some HTTP headers in regards to security such as CORS, CSP and HSTS. We will demonstrate several forms of attack, and how they can (should) be countered.
*'''BIO:''' Jonathan is devoted to security and specialized in Web application security. His main occupation is consulting in Web security, but deep down he is a developer with a agnostic vision of programming languages. He has a diploma in Software Engineering from Ecole de Technologie Superieure and more than 10 years of experience in Information Technology and Security.
*'''WHEN:''' At noon on July 24th 2014
*'''WHERE:''' 75 Queen Street, office 3100, Montreal, QC H3C 2N6
*'''REGISTRATION:''' You can join us on site for a pizza slice but this is mainly an online event. Contact jonathan.marcil@owasp.org.
*'''WEBCAST:''' https://www.youtube.com/watch?v=6bp1NCLT-YQ
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil
*'''EVENT SPONSOR:''' Pheromone http://www.pheromone.ca/
*'''PROGRAM:'''

12:00-12:10 Welcome and quick OWASP introduction
12:10-13:10 Main presentation - "Web security for DevOps: the glory is in the headers" Jonathan Marcil
13:10-... Open discussion and questions

[[Image:Logo-phero.gif‎|link=http://www.pheromone.ca/]]

== OWASP Montreal - June 18th - Gaps in the Clouds ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz]] [https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Robert Fritz
*'''ABSTRACT:''' Cloud technology offers agility and scaling, and a chance to break away from legacy IT choices. Unfortunately, skipping traditional IT activities often results in poorly patched systems, out of date firewalls, and overprovisioned entitlements wielded by admins whose “day job” is development. Boundaries of accountability and responsibility amongst cloud providers and consumers are confusing, vague, and shift, making security difficult to manage. In such an environment, a “BP-spill” event, where cost wins over safely safety, is likely. This talk will dive down into the cracks between the layers of cloud, and share some of the exciting dirt we have seen and expect to see in coming years.”
*'''BIO:''' Robert Fritz has been practicing security his entire career. Rob started as an Air Force lieutenant at Langley AFB and later at the Pentagon in Washington DC, building and managing classified networks. Finding he was getting too far from technology after a brief stint flying, he left the military to get back to the tech, and built security tools for HP in their HP-Unix lab. Over time he found himself in more and more security design discussions, so co-authored HP’s Commercial Application Threat Analysis Methodology, building an internal consulting practice at HP. This quantitative approach, led to two pending patents, an external-facing consulting practice, and his contributions to NIST IR-7502, the Common Configuration Scoring System (CVSS follow-on). He is the former lead editor for the Center for Internet Security’s HP-UX Benchmark, and current lead for the Android Benchmark. Robert now works for Morgan Stanley as global head of the Strategic Consulting team in the Security Architecture group, and leads the team’s cloud and social-media security practices.
*'''WHEN:''' June 18th 2014
*'''WHERE:''' 700 Rue Wellington, Floor 2, Montreal, QC H3C 3S4
*'''REGISTRATION:''' http://owaspmtl18junems.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz
*'''EVENT SPONSOR:''' Morgan Stanley http://www.morganstanley.com/
*'''PROGRAM:'''

18:00-18:30 Networking and Morgan Stanley Hosted Pizza and Soft Drinks
18:30-18:45 OWASP Chapter & Morgan Stanley Welcome
18:45-19:45 Main presentation - "Gaps in the Clouds" Robert Fritz
19:45-20:00 Open discussion and questions
20:00-... Optional, informal networking at Aziatic - 626 rue Marguerite-d'Youville, Montréal, QC H3C 1W7

[[Image:Morgan_Stanley_Historical_Logo.png|link=http://www.morganstanley.com/]]

== OWASP Montréal - May 26th - Récapitulatif des challenges NorthSec ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/P8_V3RI1Ru4]] [https://youtu.be/P8_V3RI1Ru4 Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''PRÉSENTATEUR PRINCIPAL:''' Laurent Desaulniers
*'''RÉSUMÉ:''' Solutions de la compétition en sécurité NorthSec 2014 sur les sujets de XXE + SSRF, WAF Bypass, Xpath Injection, DOM Injection, HTTP Only Flag bypass et contournement de captchas. Une bonne façon d'apprendre sur ces failles que vous étiez ou non un participant de la compétition.
*'''MESSAGE DU PRÉSENTATEUR:''' Vous voyez Rao dans votre soupe? Vous voulez une solution pour un XSS avec des cookies http only? Les captchas illisibles sont un problème? Assistez à la présentation de l'OWASP!
*'''BIO:''' Laurent Desaulniers est un passionné de sécurité informatique. Il a présenté au Hackfest, au colloque RSI, à OWASP et est challenge designer à NorthSec. M. Desaulniers détient les certifications CISSP, CISM, CISA et OSCP.
*'''QUAND:''' 26 mai à 18h00
*'''OÙ:''' Local PK-1140 - Pavillon Président-Kennedy 201, Avenue du Président-Kennedy, J2X 3Y7
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-26-mai-recapitulatif-des-challenges-northsec-tickets-11724413035
*'''WEBCAST:''' https://www.youtube.com/watch?v=P8_V3RI1Ru4
*'''ÉQUIPE ACADÉMIQUE''' AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAMME:'''

18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Récapitulatif des challenges NorthSec
19:30-20:00 Période de questions

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== Networking with infosec communities - April 21st ==

[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

*'''RÉSUMÉ:''' En collaboration avec Montréhack, mtlsec et NorthSec, nous organisons une soirée réseautage dans un pub du centre-ville. Du plaisir garanti avec les membres de plusieurs communautés infosec de Montréal!

*'''ABSTRACT:''' In collaboration with Montréhack, mtlsec and NorthSec, we are organizing a networking evening in a pub downtown. Fun guaranteed with the other security communities in Montreal!

*'''QUAND:''' 21 Avril 2014
*'''WHEN:''' April 21st 2014

*'''OÙ/WHERE:''' BENELUX - Brasserie Artisanale 245 Sherbrooke St W Montreal, QC H2X 1X7

*'''INSCRIPTION/REGISTRATION:''' https://www.eventbrite.ca/e/montrehack-avril-april-northsec-pre-party-tickets-11232307133

*'''PARTENAIRES/PARTNERS:''' Montréhack http://montrehack.ca/ - mtlsec http://blog.mtlsec.com/ - NorthSec https://www.nsec.io/
*'''PROGRAMME:'''
18:00-21:00 Networking
21:00-23:59 Remember to drink responsibly!

== OWASP Montréal - March 27th - Panel Compétition en sécurité NorthSec ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides]] Slides are not available / Présentation non disponible 

'''Présentation sous forme de panel - venez poser vos questions!'''

*'''RÉSUMÉ:''' Les compétitions de type Capture the Flag (CTF) sont un moyen pour les professionnels et amateurs de sécurité informatique de mettre leurs talents à l'épreuve. NorthSec est une compétition Montréalaise annuelle en sécurité appliquée, qui aura lieu cette année au Marché Bonsecours de Montréal le 25, 26 et 27 avril prochain. Elle vise à augmenter le niveau technique des professionnels de la sécurité au Québec, ainsi que de permettre à ses acteurs les plus talentueux de se démarquer.
*'''DÉTAILS:''' Le panel de jeudi, sous la forme d'un échange convivial entre les organisateurs de l'évènement et de ses participants, abordera des thèmes variés comme l'écriture de bon défis, l'infrastructure, la logistique, les inattendus, un bilan de 2013 et tout ça en passant par de savoureuses annecdotes (on l'espère). Venez en grand nombre toucher à ces légendes de la scène infosec montréalaise!
*'''PANÉLISTES:''' Gabriel Tremblay, François Proulx, Laurent Desaulniers, Stéphane Graber
*'''ANIMATEUR:''' Olivier Bilodeau
*'''QUAND:''' 27 mars 2014
*'''OÙ:''' Salle M-1510, École Polytechnique de Montréal, 2500 chemin de Polytechnique, Montréal (Québec) H3T 1J4, pavillon Lassonde
*'''INSCRIPTION:''' https://www.eventbrite.ca/e/owasp-montreal-27-mars-panel-competition-en-securite-northsec-tickets-10918436337
*'''ÉQUIPE ACADÉMIQUE:''' Polytechnique - Polyhack http://polyhack.org/
*'''PROGRAMME:'''
18:00-18:25 Networking
18:25-18:30 Mot de bienvenue par le leader du chapitre (Jonathan Marcil)
18:30-20:00 Présentation principale : Panel NorthSsec

[[Image:Polyhack.png‎‎|200px|link=http://polyhack.org/]]
[[Image:LogoPolytechnique.gif|link=http://www.polymtl.ca/]]
[[Image:2397_nsec_Logo_500-250.png|200px|link=http://nsec.io/]]

== OWASP Montreal - February 25th - Proven Strategies for Web Application Security ==

[[Image:Video-link.png | Link to video]] Unfortunately, the presentation is not available / Vidéo non disponible 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane]] [https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Justin C. Klein Keane
*'''ABSTRACT:''' The rising dominance of the web as an application delivery platform has focused attacker attention squarely on the security of dynamic web applications. Application security is a complex, and shifting, field. Learn about tested and successful techniques to build safer applications, find flaws before they become vulnerabilities, and deploy applications that can detect, and resist attack.
*'''BIO:''' Justin C. Klein Keane is a security engineer and chapter leaders of OWASP in Philadelphia. For over a decade Justin has worked as a trainer, coder, and exploit developer. Justin is currently writing a book for NoStarch Press on hacking, speaks regularly at conferences, holds a masters degree in information technology from the University of Pennsylvania and is credited with hundreds of application vulnerability discoveries.
*'''WHEN:''' February 25th 2014
*'''WHERE:''' Ecole de technologie superieure, 1100 Notre-Dame Street West, Montreal, Room: A-1150
*'''REGISTRATION:''' http://owaspmtljan2014.eventbrite.ca
*'''SLIDES:''' https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane
*'''ACADEMIC PARTNER:''' ETS - DCI http://dciets.com/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
18:30-20:00 Main session and open discussion: Proven Strategies for Web Application Security
20:00-... End of the meeting in a pub

[[Image:Dciets.png‎‎‎|100px|link=http://dciets.com/]]
[[Image:Logo_ets.png|link=http://www.etsmtl.ca/]]

== OWASP Montreal - January 28th - Latest trends in Mobile Security ==

[[Image:Video-link.png | Link to video | link=https://youtu.be/8qPyKj4FKgY]] [https://youtu.be/8qPyKj4FKgY Watch the conference / Regarder la conférence] 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx]] [https://speakerdeck.com/owaspmontreal/latest-trends-in-mobile-security-by-francois-proulx See the slides / Voir la présentation] 

*'''MAIN PRESENTER:''' Francois Proulx
*'''ABSTRACT:''' Last AppSecUSA 2013 had a great line up of talks, especially regarding mobile applications. This session will be covering all the hottest presentations about mobile security by doing an overview from what see saw at AppSecUSA, all with some slides and snippets of presentations that was recorded at the event. Discussion will be encouraged within the audience as this will be more a dynamic event than a regular talk.
*'''BIO:''' François Proulx is a senior mobile application developer who has worked on dozens of iOS applications since the very beginning of the Apple iOS platform. Over the past few years he has switched his focus to security. He spends a lot of his free time participating in Capture the Flag events (CTFs) and organizing the NorthSec security competition.
*'''WHEN:''' January 28th 2014
*'''WHERE:''' UQAM Room PK-1705, Pavillon Président-Kennedy (the big boat at Place des Arts) - 201 Avenue du Président-Kennedy J2X 3Y7
*'''REGISTRATION:''' http://owaspmtl-mobilesecurity.eventbrite.ca
*'''SLIDES/CONTENT:''' [http://www.youtube.com/playlist?list=PLQtB2ug5xmvaQ9jeRWV53-F_T555GQfhW YouTube playlist]
*'''SPONSOR:''' Academic partner AGEEI-UQAM - http://www.ageei.org/
*'''PROGRAM:'''

18:00-18:25 Networking
18:25-18:30 Welcome speech by Chapter Leader (Jonathan M.)
18:30-20:00 Main session and open discussion: Mobile Security
20:00-... End of the meeting in a pub

[[Image:Ageeilogo.jpg|200px|link=http://www.ageei.org/]]

==== Presentations For Download ====

[http://www.owasp.org/images/0/0d/20100209mstechdaysowaspasvssgiv01-12657916463819-phpapp02.ppt OWASP ASVS] by Sebastien Gioria (09/03/2010)

[http://www.ph-il.ca/slides/afup__authetification_forte.pdf Authentification Forte] by Philippe Gamache (02/02/2010)

[http://www.opensamm.org/downloads/OpenSAMM-1.0.ppt Software Assurance Maturity Model (OpenSAMM)] by Pravir Chandra (03/11/2009)

[http://www.owasp.org/images/d/de/Owasp-montreal-sept-17h-2009-justin-foster.pdf Crossing the Border – Javascript Exploits] by Justin Foster (17/09/2009)

[http://www.owasp.org/images/c/c2/ALaughRIAt.pdf A Laugh RIAt] by Rafal Los (07/04/2009)

[https://www.owasp.org/images/e/eb/OWASP-Montreal-24022009-RobLabbe.pptx Microsoft Security Development Lifecycle for IT] by Rob Labbe (24/02/2009)

[https://www.owasp.org/images/3/39/OWASP-Montreal-24022009-EN.pdf OWASP Goal and Top Ten 2007 for Managers - French version] by Benoit Guerette (24/02/2009)

Newer presentations are available on [https://speakerdeck.com/owaspmontreal Speaker Deck]

[[Image:Circle_owasp_logo_nowhitebackground.png|200px]]

= OWASP Foundation / Mission OWASP =
OWASP Foundation ([https://docs.google.com/a/owasp.org/presentation/d/10wi1EWFCPZwCpkB6qZaBNN8mR2XfQs8sLxcj9SCsP6c/edit?usp=sharing Overview Slides]) is a professional association of [[Membership | global members]] and is open to anyone interested in learning more about software security. Local chapters are run independently and guided by the [[Chapter_Leader_Handbook]]. As a [[About_OWASP | 501(c)(3)]] non-profit professional association your support and sponsorship of any meeting venue and/or refreshments is tax-deductible. Financial contributions should only be made online using the authorized online chapter donation button. To be a SPEAKER at ANY OWASP Chapter in the world simply review the [[Speaker_Agreement | speaker agreement]] and then contact the local chapter leader with details of what OWASP PROJECT, independent research or related software security topic you would like to present on.

La fondation OWASP est une [https://www.owasp.org/index.php/Membership association de professionnels] et elle est ouverte à tout intervenant intéressé à en apprendre davantage sur la sécurité applicative. Les chapitres locaux (dont celui de Montréal) sont gérés de façon indépendante et selon un [https://www.owasp.org/index.php/Chapter_Leader_Handbook manuel de directives à respecter].
Toute contribution financière au chapitre peut être faite en ligne en utilisant l’icône prévu à cet effet. Pour être conférencier au sein de n’importe quel chapitre à l’échelle mondiale, vous n’avez qu’à prendre connaissance du document [https://www.owasp.org/index.php/Speaker_Agreement "entente avec les conférenciers – speaker agreement"] et à joindre le responsable du chapitre Montréal avec un descriptif du sujet que vous aimeriez aborder et s’il est relié à un projet OWASP, à de la recherche indépendante ou encore le sujet en particulier, concernant la sécurité applicative, que vous souhaitez aborder.

== [[Image:Circle_owasp_logo_nowhitebackground.png|128px]] Montreal OWASP Team ==

Scope of the team is to discuss and plan local activities and meetings

=== Chapter Leaders ===

* [mailto:anne.gauthier@owasp.org Anne Gauthier], President/Présidente
* [mailto:michel.bourque{at}owasp.org Michel Bourque], Chapter coordinator and marketing manager/Coordination et Marketing
* [mailto:hugo.genesse(at)owasp.org Hugo Genesse], Web content and production manager/Site internet et Production
* [mailto:olivier.arteau(at)owasp.org Olivier Arteau], Logistic manager/Logistique

==== Chapter leader history ====
*2008-2010 - Benoit Guerette, founder and chapter leader
*2011-2012 - Philippe Gamache, chapter leader (vice chapter-leader since 2010)
*2013-2015 - Jonathan Marcil, chapter leader
*2016-... - Anne Gauthier, Michel Bourque, Marius Popescu, Hugo Genesse, Olivier Arteau

==== Old board members ====
*Philippe Pépos Petitclerc
*Michael Robillard
*Benoit Guerette (logistics 2015)
*Alexandre Rimthong
*Mathieu Binette
*Sean Coates
*Jean-Marc Robert
*Philippe Blondin
*Benoit Guerette (founder)
*Laurent Desaulniers
 

<headertabs/>
__NOTOC__
[[Category:Canada]]