This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org

Montréal

From OWASP
Revision as of 19:51, 24 September 2017 by Svieg (talk | contribs) (Enlever nom julien)

Jump to: navigation, search

Welcome & Bienvenue to the OWASP Montréal chapter


Logo OWASP Montréal

The OWASP Foundation was established in 2001 as an open community and software security resource. Since then, OWASP has grown to be globally recognized as a credible source for application security standards.

OWASP is an open community dedicated to enabling organizations to conceive, develop, acquire, operate, and maintain applications that can be trusted. All of the OWASP tools, documents, forums, and chapters are free and open to anyone interested in improving application security. We advocate approaching application security as a people, process, and technology problem because the most effective approaches to application security include improvements in all of these areas.

OWASP is open to anyone. Anyone can attend OWASP's vendor agnostic local chapter meetings, participate in regional and global conferences, and contribute to the many OWASP projects. And anyone can start a new project, form a new chapter, or lend their expertise to help an OWASP Global Committee.

On parle français aussi ! Le chapitre de Montréal organise plusieurs activités gratuites afin de partager les connaissances en sécurité applicative avec la communauté de développeurs et gestionnaires. Suivez-nous sur les réseaux sociaux pour connaître les dates des conférences du midi et des workshops !

Top documentation from OWASP includes:


Chapter Leaders / Responsables du chapitre


Special thanks to / Remerciements :

  • Simon Lacasse, Web content / Site internet

Reach our chapter / Joindre le chapitre

Follow OWASP's Montreal chapter's activities through social medias, register to events, watch the previous presentations and more!

Suivez les activités du chapitre OWASP Montréal via les réseaux sociaux, inscrivez-vous aux activités, visualisez les anciennes présentations et plus encore!


Click here to join the local chapter mailing list.
Inscrivez-vous ici à la liste de courriels du chapitre afin de recevoir les dernières nouvelles!

Want to be part of the community ? Devenez membre de notre communauté ! Click here / Cliquer ici


OWASP Montreal Eventbrite Spacer-horiz.gif YouTube OWASP Montreal Channel Spacer-horiz.gif Slides of OWASP Montreal on SpeakerDeck Spacer-horiz.gif


@owaspmontreal on Twitter OWASP Montreal Facebook page OWASP Montreal on LinkedIn

Spacer-horiz.gif

Sponsorship & Membership / Commandite & Adhésion

Btn donate SM.gif to this chapter or become a local chapter supporter.

Or consider the value of Individual, Corporate, or Academic Supporter membership. Ready to become a member? Join Now BlueIcon.JPG

Donnez au chapitre ou devenez commanditaire du chapitre local!

Devenez membre ! Pour en savoir davantage sur les avantages d’une adhésion individuelle, corporative ou en tant qu’institution d’enseignement, cliquez ici.

Chapter Supporters / Commanditaires du chapitre

All details available here / Pour tous les détails Chapter-supporter-owasp-montreal.png


Platinum / Platine

GoSecure Spacer-horiz.gif Desjardin's logo

Gold / Or

Immunio




Cas d'attaques vécus : Internet des objets (IOT) - Attaques DDoS

Cas dattaques vecus-r.jpg
WHEN

June 19th 2017

WHERE

Espace Desjardins

Pour clore la saison printanière 2017, OWASP Montréal est fier d'accueillir au Midi Conférence, M. Christian Shink qui fera un survol de cas d'attaques vécus, des techniques utilisées et des acteurs impliqués dans ces attaques.

L'incorporation généralisée de dispositifs «intelligents» dans les objets de la vie de tous les jours modifie la façon dont les gens et les machines interagissent les uns avec les autres. Cette incorporation offre une promesse d'une meilleure qualité de vie, une meilleure efficacité. En contrepartie, leur déploiement introduit également des vulnérabilités à la fois dans l'infrastructure qu'ils soutiennent et sur lesquels ils comptent, ainsi que dans les processus qu'ils guident. Que ce soit au niveau applicatif ou des infrastructures, ces vulnérabilités sont exploitées par des acteurs malicieux pour générer des attaques de déni de service massives et sophistiquées. Nous tenterons également de tirer des leçons afin de tenter de minimiser ce type d'attaques dans le futur.

Christian Shink possède plus d’une dizaine d’années d’expérience en développement et sécurité d’applications. Avant de se joindre à Radware, Christian était à l’emploi d'une firme conseil où il a conseillé de nombreuses entreprises, dont de grandes banques américaines et Casinos. Il détient une certification CSSLP et est membre de l'ordre des ingénieurs du Québec.

HOW TO! Threat Modeling Toolkit

OWASPMtl-JonathanMarcil-1.jpg OWASPMtl-JonathanMarcil-3.jpg

Slides See the slides / Voir la présentation
WHEN

May 23rd, 2017

WHERE

Shopify Montreal

Threat Modeling is a great way to analyze security early in software development by structuring possible attacks, bad actors and countermeasures over a broad view of the targeted system. This talk will describe basic components of a threat model and how to use them effectively. Threat Intelligence is where you gather knowledge about the environment and business assets to determine what are the actual threats. But how do you reconcile that with the current architecture in a useful manner? The toolkit presented in this talk will enable you to systematically structure related information using graphical notations such as flow diagram and attack tree. In case you are wondering where to start in your organization, a quick lightweight risk rating methodology will also be proposed. And in the end, you’ll see how we can all tie those together and get threat modeling to a point where it’s an efficient application security activity for communication. Doing this will prevent security reviews from missing important things even when chaos prevails during the realization of a project. Modeling concepts will be demonstrated with an actual IoT device used as example. Presentation will be done in english.

Speaker Bio: Jonathan Marcil is the former chapter leader of OWASP Montreal and is now Senior Application Security Engineer at Blizzard Entertainment in beautiful Orange County, California. Jonathan has been involved with OWASP for many years and has been behind the Media Project which gathered and promoted AppSec conferences video content in the official OWASP YouTube channel. He was also part of NorthSec CTF event as a challenge designer specialized in Web and imaginative contraptions. He is passionate about Application Security and enjoys architecture analysis, code review, threat modeling and debunking security tools. He holds a diploma in Software Engineering from ÉTS Montreal and has more than 15 years of experience in Information Technology and Security.


Merci à nos précieux commanditaires !

Security Testing: Unlocking the Benefits of a Hybrid Approach

Security testing hybrid approach-r 3.jpg Security testing hybrid approach-r 4.jpg
Slides See the slides / Voir la présentation
WHEN

April 24th, 2017

WHERE

Espace Desjardins

As part of their defensive efforts, businesses commonly commission cybersecurity assessments of their web applications; with the aim of identifying any weaknesses in the security controls and ensuring a continually strong cybersecurity posture of their systems.

The classical approach of either secure code review (white box) or penetration testing (black box) assessment have proven to be effective in securing of web applications. The new trend, however, is moving towards the combination of these two approaches; expert consensus is rapidly recognizing the advantages of using a hybrid approach. When applied properly, a hybrid approach can build on the strengths of both white and black box testing, while compensating for their individual shortcomings.

In this presentation, we will examine the details of secure code review and penetration testing, and run demos to contrast their respective strengths and weaknesses. We will also examine why a hybrid approach can produce more complete and relevant assessment results. To conclude, we will cover proven approaches, and practical techniques, on how you can start leveraging a hybrid approach to web application assessments today.

Anne Gauthier is an application security analyst at GoSecure. Anne is also the president of the Montreal Chapter of OWASP – the industry standard for web application security. With a penetration testing background, she specializes in secure code reviews and in helping companies to improve their software development lifecycle (SDLC) according to industry best practices. Anne is CSSLP, GWAPT and GSSP-JAVA certified. She obtained a Software Engineering bachelor’s degree from Ecole de Technologie Supérieure in Montréal and is now pursuing a Master of Engineering (MEng) degree in Information Systems Security at Concordia University. She is the author of the Project 201 Security blog.

Merci à nos précieux commanditaires !

"HOW-TO" NIGHT ! Tout sur les CTFs (Capture The Flag)

Howto ctf.jpg
Slides See the slides / Voir la présentation (Laurent Desaulniers) Slides See the slides / Voir la présentation (Charles Hamilton) Slides See the slides / Voir la présentation (Olivier Bilodeau)
WHEN

April 4th, 2017

WHERE

Shopify

Cette nouvelle soirée "How-To" Night d'OWASP Montréal vise à présenter les CTFs (une compétition Capture The Flag) et aider les équipes à démarrer et à continuer à évoluer dans leurs pratique de la cyber sécurité pratique. L'objectif est d'outiller les participants en leur fournissant des ressources techniques et des contacts afin de les aider à progresser.

Les éléments discutés seront:

- Composition optimale d’une équipe : Fonctionnement d’une équipe de CTF et les principaux rôles (chef d’équipe, cryptographie, application web, rétro ingénierie et les causes perdues).

- Pourquoi faire des CTFs? Discussion sur les différents styles (jeopardy, attack/defense, etc.), quels sont les problèmes fréquemments rencontrés + plusieurs anecdotes intéressantes (et drôles).

- Trucs de Mr. Unikoder : Le créateur du fameux site ringzer0team, soit un des plus gros sites pour apprendre la résolution de problèmes de CTF (https://ringzer0team.com/) Apprenez des trucs du meilleur, sur comment débuter et interpréter un challenge web, binaire et crypto avec des trucs réels du métier.

Matériel requis :

   Votre légendaire enthousiasme

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement.

Présentateurs :

Charles Hamilton, Senior Consultant chez Mandiant, FireEye, Inc.

Olivier Bilodeau, Cybersecurity Research Lead at GoSecure

Laurent Desaulniers, Senior Security Solution Specialist at Bell Canada

NorthSec - Applied Security Event

Nsec 2017 midi conf.jpg
Slides See the slides / Voir la présentation
WHEN

April 4th, 2017

WHERE

Espace Desjardins

NorthSec: La plus grande compétition et conférence en cyber sécurité au Canada

NorthSec est un organisme sans but lucratif qui organise une conférence et une compétition de sécurité de type "Capture-The-Flag" (CTF) et des formations. Avec plus de 400 participants présents sur le site pour la compétition, c’est la plus grande compétition du genre au monde.


La conférence, dans sa 3e année, attire des présentateurs internationaux avec du contenu technique exclusif. L’ajout des séances de travail (workshops) devrait plaire aux plus chevronnés des binaires.


Des formations de 3 jours sont offertes avant la conférence: "Advanced Web Application Security" par Philippe Arteau et "Malware and Memory Forensics" par Michael Ligh, co-auteur des livres "Malware Analyst Cookbook" et "The Art of Memory Forensics".


NorthSec est situé au Marché Bonsecours dans le Vieux-Port de Montréal au printemps du 15 au 21 mai 2017.


La présentation couvrira:

- Le plan pour 2017
- Ce qui différencie NorthSec
- Comment équilibrer une compétition pour les débutants et les experts
- Comment bâtir une infrastructure basée sur les conteneurs qui gère 50 équipes dans quelques serveurs sans qu’ils ne se partagent de machines virtuelles
- Comment faire du pain au levain à grande échelle
- Présentation de quelques défis et solutions


Les présentateurs:

- Gabriel Tremblay, Président, Delve Labs
- Olivier Bilodeau, VP Formations, Co-fondateur MontréHack, GoSecure
- Pierre-David Oriol, VP Conférences, Delve Labs
- Benoit Guérette, VP Partenaires, Desjardins
- Laurent Desaulniers, Tisserand de drapeaux, Bell Canada


Merci à nos précieux commanditaires !

Sécurité des applications : Les fondements

Tanya.jpeg

Slides See the slides / Voir la présentation
WHEN

March 20th, 2017

WHERE

Espace Desjardins

OWASP Montréal est fier d’accueillir au Midi Conférence du mois de mars, Mme Tanya Janca, Co-Leader du chapitre OWASP Ottawa et spécialiste de la sécurité applicative au sein du Gouvernement fédéral.

La conférence « Les fondements de la sécurité des applications » sera présentée en anglais.

Session Description : Everyone has heard about the problem; everyone is “getting hacked”. But what is the answer? From scanning your code with a vulnerability scanner to red teaming exercises, developer education programs and bug bounties, this talk will take the audience through all the possibilities of an extensive application security program, with a detailed explanation of each part.

Bio : Tanya Janca is an application security evangelist, a web application penetration tester and vulnerability assessor, a secure code reviewer, an ethical hacker, the Co-Leader of the OWASP Ottawa chapter, and has been developing software since the late 90’s. She has worn many hats and done many things, including; Custom Apps, Ethical Hacking, COTS, Incident Response, Enterprise Architect, Project and People Management, and even Tech Support. She is currently helping the Government of Canada secure their web applications.

Merci à notre commanditaire principal de cet événement: Ubitrak!

WORKSHOP ! Server Side Template Injection (SSTI)

WORKSHOP ! Server Side Template Injection (SSTI)

Slides See the slides / Voir la présentation

WHEN

22 Février 2017

WHERE

Shopify Montréal


OWASP Montreal vous invite à un atelier portant sur la sécurité des applications web supportant les moteurs de template (Template Engine). Le principe de séparation entre la présentation du site (code HTML statique) et de son contenu dynamique facilite la création de documents HTML et la capacité à modifier l'apparence du site sans mélanger le traitement et le rendu de la page. L'utilisation de moteurs de template amène de nouveaux enjeux de sécurité. Les vulnérabilités de type Server Side Template Injection (SSTI) sont exploitables à travers les données (non fiables) fournies par l'utilisateur et conduisent à l'exécution de code arbitraire (RCE) sur le serveur hébergeant l'application web.

Ce workshop a pour but d'introduire cette classe de vulnérabilité à travers différents cas d'implémentation (php, java, python). Nous verrons comment identifier et exploiter ces vulnérabilités et de quelle manière un attaquant peut s'y prendre pour exécuter du code arbitraire sur le serveur afin d'en prendre le contrôle.

Niveau : Intermédiaire
Matériel requis :

  • Votre portable
  • Votre distribution Linux/Unix de votre choix
  • Votre proxy Web de votre choix

Ce workshop est gratuit ! Un lunch et breuvage sont inclus. Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente. Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement.

Présentateur : Gérôme Dieu
Gérôme Dieu cumule plus de 7 années d’expérience en technologies de l’information et en sécurité. Il œuvre à titre de conseiller senior en sécurité de l’information au sein de la firme OKIOK. Ces dernières années, il a acquis une expertise dans le domaine de la sécurité des applications web aussi bien d'un point de vue offensif que défensif. En plus de réaliser des tests d’intrusion pour des clients internationaux, Gérôme s’implique dans la recherche et développement afin de maintenir à la fine pointe de la technologie les tests d'intrusion et d'analyse de vulnérabilités.

Merci à Shopify d'héberger l'événement !
Shopify

Le courriel en 2017 – risques et menaces pour tous

Le courriel en 2017 – risques et menaces pour tous

Link to video Watch the conference / Regarder la conférence
Slides Slides are not available / Présentation non disponible


WHEN

Le 23 janvier 2017 à midi

WHERE

Espace Desjardins

Monsieur Poellhuber nous brossera un tableau du phénomène grandissant du rançongiciels et de l'hameçonnage, personnification.

- Par les années passées, la menace courriel se résumait principalement en un fort volume de contenu simplement indésirable. Aujourd’hui la menace a passablement évolué. Quels sont les véritables risques actuels associés au courriel ? Rançongiciels, hameçonnage, personnification. Cette conférence présentera les nouveaux défis de sécurité pour les organisations qui doivent composer avec des attaques de plus en plus sophistiquées et de plus en plus ciblées tout en protégeant leur réputation. Des exemples biens réels, drôles et moins drôles seront disséqués pour bien dessiner l’ampleur de l’enjeu.

M. David Poellhuber, Chef de l’exploitation, ZEROSPAM Sécurité Inc

Note biographique :
Monsieur David Poellhuber oeuvre dans l’industrie de la sécurité informatique depuis quinze ans. Il a été conférencier dans plusieurs forums de sécurité au Canada et est maintenant reconnu comme une autorité en matière de sécurité du courriel. Il a fondé ZEROSPAM Sécurité en 2003, le premier service Québécois externalisé de sécurité du courriel infonuagique qui se distingue par sa convivialité, son efficacité et ses technologies de détection proactives.
Audience : Généralistes et spécialistes de la sécurité des TI

Merci à Ubitrack pour le repas et à Desjardins d'héberger l'événement!

Ubitrak Spacer-horiz.gif Desjardin's logo

Effective XSS Mitigation

Effective XSS Mitigation

Slides See the slides / Voir la présentation

WHEN

18 Janvier 2017

WHERE

Google Montréal

FRANÇAIS/ENGLISH
La mitigation de XSS a été un sujet important au cours des dernières années. Les navigateurs ont implémenté, en autre, deux fonctionnalités pour mitiger leur impact : l'entête "XSS-Protection" et l'entête "Content-Security-Policy". Par contre, obtenir une mitigation contre les XSS efficace est souvent plus complexe que l'on pense. Cet atelier couvrira les deux entêtes. Il expliquera comme il est possible de contourner ces protections et ce qu'il est possible de faire pour se protéger. Des exercices de type "offensif" et "défensif" seront proposés. Mitigation for XSS as been an important topic in the last few years. Browsers have implemented two main functionalities to help mitigate the impact of XSS : the "XSS-Protection" header and the "Content-Security-Policy" header. But, getting an effective XSS mitigation of those headers is trickier than it may seem. This workshop will cover both of those headers. It will explain how bypass of those protection work and what you can do about it. It will have both "defensive" exercises and "offensive" exercises. Niveau : débutant/intermédiaire

Matériel requis :

Votre portable

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Google pour l'événement.

Présentateur : Olivier Arteau

Olivier Arteau est un professionnel en sécurité informatique depuis quelques années et fait partie de l’équipe de test d’intrusion de Desjardins. Il est aussi un amateur de CTF qui a gagné à plusieurs reprises le CTF du NorthSec avec l’équipe HackToute et participe fréquemment à d’autres CTF avec l’équipe DCIETS.

Merci à Google d'héberger l'événement!

Google

WORKSHOP ! Top 10 OWASP - Unleash the threats

WORKSHOP! Top 10 OWASP - Unleash the threats

WHEN

30 novembre 2016 de 17h30 à 20h30

WHERE

Immunio @ WeWork

De nos jours, la sécurité applicative est essentielle dans l’écosystème des entreprises de toutes tailles. Les vecteurs d’attaques sont multiples, les vulnérabilités de sécurité dans les applications peuvent être désastreuses et les impacts d’un « Hack » peuvent être irréversibles pour l’entreprise; vols de données sensibles, perte de réputation, perte de $$$$$, etc. L’objectif du workshop est de comprendre la base sur les vulnérabilités de sécurité dans les applications et les techniques d’exploitation utilisées par les pirates informatiques, en plus de connaître les bonnes pratiques de développement en matière de sécurité applicative. Avec l'aide de WebGoat, Damn Vulnerable Web Application et de Kali Linux, vous pourrez participer à l'exploitation des applications et découvrir les techniques utilisées par les attaquants.

Niveau : débutant

Matériel requis :

Votre portable
Kali Linux
La VM du workshop, envoyée aux participants

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places très limitées (nb = 10). Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Immunio & WeWork pour l'événement.

Présentateur : Christian Leclerc

Christian est spécialisé en conception et développement de solutions web sécuritaires. Tout au long de sa carrière, il a acquis une vaste expertise sur plusieurs types de technologies et méthodologies, intégré la sécurité dans le cycle de développement d’applications, effectué des revues de code sécurité, déployé des outils d’analyse des vulnérabilités et mis en place des systèmes d’authentification. De plus, il a participé à la conception et au développement de solutions sécuritaires de pointe comme la signature électronique à l’aide d’une infrastructure à clé publique (PKI), les authentifications fortes, le Registre des consentements au don d'organes et de tissus (RDOQ.org) et la migration de plusieurs applications web vers un environnement SOA (Service Oriented Architecture).
Merci à Immunio & WeWork d'héberger l'événement!

Immunio Spacer-horiz.gif WeWork

Histoire d'un Hack

Histoire d'un Hack

WHEN

21 novembre 2016 à midi

WHERE

Espace Desjardins

Pour son activité du mois de novembre, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de faire l'autopsie d'une attaque de haute voltige sur un site web et des outils mis à la disposition par OWASP.

Bernard Bolduc cumule plus de 17 années d’expérience en technologies de l’information et en sécurité. Il œuvre à titre de conseiller senior en sécurité de l’information au niveau d’entreprise de classe nationale et internationale.

Bernard se spécialise en sécurité Unix, applicative et en gestion de la sécurité des télécommunications. Il combine ces expertises techniques afin d’obtenir des résultats probants et efficaces pour ces clients des secteurs bancaire, télécommunication et multimédias, de l’énergie ou des services publiques. Tout au long de sa carrière, Bernard s’est toujours maintenu à jour sur les dernières menaces de sécurité technologique et commerciale en assistant à des formations spécialisées et d'échanger avec un grand nombre de partenaires dans l'industrie de la sécurité.

La conférence débute à midi.

La conférence vous donne droit à 1 CPE et pour les 50 premières personnes, un lunch gratuit.

Merci à Desjardins d'héberger l'événement!

Desjardin's logo

Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite)

Workshop ! Création de votre première extension OWASP ZAP (ou BurpSuite)

WHEN

11 novembre 2016 de 18h à 21h

WHERE

Google Montréal

OWASP Zed Attack Proxy (ZAP) est un scanneur de vulnérabilités et un outil de débogage HTTP. Ce type d'outil est crucial dans un test d'intrusion web et contient un lot intéressant de fonctionnalités. Cela dit, il est possible d'étendre les fonctionnalités. Plusieurs types d'extension sont possibles : vue alternative pour les requêtes ou les réponses, scanneur passif des réponses, scanneur actif produisant des requêtes, etc.

Plusieurs options seront données, par exemple :

Détection automatique de flag dans les sources
Scanneur actif asynchrone DNS
Ou votre propre idée

Pour chacune des suggestions, des squelettes de code seront fournis pour les APIs de ZAP. Pour les utilisateurs de BurpSuite, des directives analogues seront également données.

Niveau : débutant / intermédiaire

Matériel requis

Votre portable
OWASP ZAP (gratuit)
BurpSuite
Éditeur de code pour Java, Python ou Ruby

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Présentateur : Philippe Arteau

Philippe est un chercheur en cybersécurité chez GoSecure. Il est l'auteur de l'outil d'analyse statique Java "Find Security Bugs". Il a découvert des vulnérabilités importantes dans les logiciels populaires tels que Google Chrome, Dropbox, Paypal, RunKeeper et Jira. Il a présenté dans différentes conférences incluant Black Hat USA, Black Hat Europe, ATL Sec Con, NorthSec, Hackfest (QC) et JavaOne. Il a développé de nombreux plug-ins pour les outils de proxy BurpSuite et OWASP ZAP (Retire.js, Reissue Request Script, PDF preview et Image Metadata). Il a fait également des contributions à d'autres plug-ins comme J2eeScan.

Merci à Google d'héberger l'événement!

Google

Logiciel de rançon (Ransomware) s'attaque au domaine de la santé

Logiciel de rançon (Ransomware) s'attaque au domaine de la santé

Link to video Unfortunately, the presentation is not available / Vidéo non disponible
Slides See the slides / Voir la présentation

(Conférence en anglais) Pour le lancement de la saison 2016 - 2017, OWASP Montréal propose à la communauté de la sécurité des TI et aux gestionnaires de la santé une incursion dans le monde du logiciel malveillant ciblant le domaine de la santé.
Cette conférence s'intége dans le Coopérathon co-organisé par le Mouvement Desjardins et Hacking Health.

Le domaine de la santé serait devenu une cible privilégiée des campagnes de ransomware parce que l'industrie a souvent payé la rançon demandée pour récupérer les données confidentielles et vitales de ses clients. Monsieur Ed Gershfang nous brossera un portrait du phénomène et des meilleures pratiques à mettre en place en matière de sécurité applicative. Ed Gershfang possède une expérience solide dans l'infrastructure informatique et plus de 6 ans d'expérience dans les domaines de la sécurité de l'information, de la vulnérabilité, de la gouvernance et de la gestion des risques. Il était directeur de la sécurité pour la société PeriGen, un chef de file de développement de logiciels médicaux en Israël.

Merci à Desjardins d'héberger l'événement !

Desjardin's logo

La sécurité applicative vue par un pentesteur

OWASP Montréal reçoit Mario Contestabile, Pentester de renom
From Left to Right : Isabelle Lusseyran, Head of Development at Hacking Health. Eduard Gershfang Information Security Analyst at WSP | Parsons Brinckerhoff.

@Photo : Marius Popescu
Link to video Unfortunately, the presentation is not available / Vidéo non disponible
Slides See the slides / Voir la présentation
Pour clore la saison 2015 – 2016, OWASP Montréal est fier d’accueillir au Midi Conférence un des architectes de renom du développement applicatif au Canada, monsieur Mario Contestabile. En tant qu’auteur de plusieurs centaines de tests d’intrusion, il connait tous les rouages de ce qu’est véritablement une application Web «sécurisée». Mais avez-vous déjà remarqué que les rapports de tests d’intrusion mentionnent rarement, voir jamais : «Votre site est très difficile à pirater. Félicitations !» ? Et qu’en est-il de ces rapports qui contiennent des dizaines de soi-disant vulnérabilités ? Est-ce que cela signifie d’emblée que l’application devrait être mise hors ligne ?

Lors de cette conférence, nous examinerons des rapports concrets (ambigus) de vulnérabilités et nous les analyserons afin de mieux comprendre si elles représentent une véritable menace, ou si elles ne servent qu’à «remplir» les rapports.

Avec son expertise en protection et en attaque d’applications Web, il abordera les points suivants : Comment pouvez-vous sélectionner des systèmes de façon à mieux exécuter des protections de sécurité ? Éviter certains pièges dans votre application Web qui rendent les attaques plus faciles et la protection plus difficile. De nos jours, que peuvent faire les développeurs à l’intérieur de systèmes communs, qui puisse me rendre la tâche plus ardue en tant que « hacker »? Pouvons-nous exiger de meilleurs rapports de la part des firmes de sécurité? À quoi devrions-nous nous attendre de la part d’un « pentesters »? Comment pouvons-nous savoir si le « pentester » a vérifié les failles de l’application et qu’il n’a pas simplement utilisé un scanneur? Et enfin, comment pouvons-nous aider les « ethical hackers » à obtenir un meilleur rendement lors d’un test d’intrusion? Il expliquera le sujet en détails, et ensemble, nous verrons de quelles façons les développeurs d’applications peuvent exploiter le savoir-faire des « pentesters », et comment nous pouvons faire en sorte qu’une application Web soit protégée. Biographie : Mario Contestabile est reconnu comme l’un des experts en sécurité les plus réputés au Canada. Son expertise, construire et protéger votre plateforme applicative. Ancien développeur C++ et Java, Mario partage ses nombreuses connaissances en « ethical hacking » et en développement de codes sécurisé.
WHEN

Tuesday, 14 June 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar

WHERE

Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

Desjardin's logo

Comment protéger les applications mobiles?

Comment protéger les applications mobiles?

@Photo : Marius Popescu
Link to video Unfortunately, the presentation is not available / Vidéo non disponible
Slides See the slides / Voir la présentation
Dans le cadre des Midis Conférence à l'Espace Desjardins, l'équipe OWASP Montréal vous invite à assister à une présentation sur les vulnérabilités les plus communes associées aux appareils mobiles. Marie-Claire Willig détaillera entre autres comment stocker de façon sécuritaire les données de l’application mobile ainsi que protéger l’application contre des attaques externes. Des outils simples vous seront dévoilés pour détecter ces vulnérabilités. Marie-Claire est une professionnelle d'expérience en sécurité appliquée. Une grande partie de son intérêt professionnel réside actuellement dans un domaine assez niche, soit la revue de code sécuritaire, un fondement important de tout cycle de développement sécuritaire en entreprise. Au sein de l'équipe de sécurité technologique Desjardins, elle est, en autre, responsable de former les développeurs (Java et .NET principalement) afin de les sensibiliser aux meilleures pratiques de développement sécuritaire. Également, elle est une professionnelle des tests d'intrusion sur les applications web, les applications mobiles ainsi que l'infrastructure réseau. Bienvenue à tous
WHEN

Wednesday, 20 April 2016 from 12:15 PM to 1:00 PM (EDT) - Add to Calendar

WHERE

Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

Desjardin's logo

NorthSec, Le plus gros événement de cybersécurité appliquée au Canada

NorthSec, Le plus gros événement de cybersécurité appliquée au Canada

@Photo : Marius Popescu
Link to video Watch the conference / Regarder la conférence
Slides Slides are not available / Présentation non disponible
OWASP Montréal est fier d’inviter au Midi Conférence de mars, NorthSec est le plus gros événement de sécurité appliquée au Canada qui comprend deux jours de formation, deux jours de conférences ainsi qu’une compétition du genre « capture the flag » (CTF) de trois jours. Gabriel Tremblay, Benoit Guerette, Pierre-David Oriol et Laurent Desaulniers viendront vous parler de cet organisme sans but lucratif dynamique qui est géré par une équipe de bénévoles passionnés qui donnent à chaque année leur énergie et leur temps pour soutenir la communauté de la sécurité de l’information. Le volet compétition, l’épreuve maîtresse, est présentée sous forme d’un scénario qui rend cohérent une centaine de défis techniques. Les équipes de participants attaquent l’infrastructure de compétition pour soutirer des drapeaux (flags) à travers un ensemble de vulnérabilités présentes comme de l’injection SQL, des XSS ou encore l’exploitation d’exécutables sur systèmes embarqués. Quelques exemples de défis des années passées seront également présentés. Le volet conférence, qui est à sa 2ème année, met de l’avant plusieurs présentations techniques touchant la sécurité applicative mais aussi l’éthique et leurs impacts sociaux. Certaines présentations confirmées seront dévoilés. Le tout nouveau volet formation propose deux formations en sécurité applicative de calibre international (anglais) : “Advanced Web Security Testing with Burp Pro” et “Modern Object-Oriented Malware Reverse Engineering”. Venez aussi, découvrir comment l'équipe est partie d'une idée en 2012 pour se rendre à un évènement d'envergure, qui rassemblera plus de 600 professionnels, étudiants et autres passionnés de sécurité appliquée lors de la 4ème édition qui aura lieu du 17 au 22 mai 2016 au Marché Bonsecours. Finalement, la mission, la vision ainsi que les activités sociales de la semaine de NorthSec sont aussi au menu de cette présentation qui sera suivie d’une période de questions.

Gabriel Tremblay, Delve Labs, Président Benoit Guerette, Desjardins, VP Finances

Pierre-David Oriol, Delve Labs, VP Conférence Laurent Desaulniers, Bell Canada, Artisant de drapeaux
WHEN

Wednesday, 23 March 2016 from 12:00 PM to 1:00 PM (EDT) - Add to Calendar

WHERE

Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

Desjardin's logo


La sécurité applicative et l'hameçonnage - February 24th

La sécurité applicative et l'hameçonnage

@Photo : Marius Popescu
Link to video Watch the conference / Regarder la conférence
Slides Slides are not available / Présentation non disponible

De nos jours, une des méthodes les plus efficaces pour contourner les périmètres de sécurité externes est l'hameçonnage conjointement avec l’abus de certaines technologies Web.

Dans le cadre ses activités, OWASP Montréal est heureux d'inviter d'accueillir, l'équipe OKIOK qui présentera les impacts liés à ce type d'attaque, tel que vu et expérimenté en entreprise ainsi que les plans d'action pour traiter ces risques. La présentation abordera aussi bien la sécurité web et applicatives, des systèmes informatiques ainsi que de la sécurité physique de centres de données.

   Capture d'informations sensibles par imitations de portails Web ;
   Authentification Web par 2-facteurs ;
   Injection SMTP dans des formulaires Web ;
   Attaque de type “Drive-by-download”;
   Prise de contrôle à distance à travers des flux HTTP;
   Attaque de CSRF à partir de courriels ;
   Attaque d'hameçonnage basée sur des achats par Internet (ex : PayPal).


When

Wednesday, 24 February 2016 from 12:00 PM to 1:15 PM (EST) - Add to Calendar 

Where

Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest Montreal, Quebec CA

Merci à Desjardins d'héberger l'événement !

Desjardin's logo

Internet of {Things, Threats} - January 20th

Internet of {Things, Threats}

@Photo : Marius Popescu
Link to video Unfortunately, the presentation is not available / Vidéo non disponible
Slides See the slides / Voir la présentation
De plus en plus de périphériques se retrouvent connectés sur Internet. Sous la bannière "Internet of Things" (IoT) ces équipements, que ce soit une pompe à insuline ou un système de caméra de sécurité, tournent généralement sous un système GNU/Linux embarqué d'architecture MIPS ou ARM. La difficulté de mettre à jour ces équipements ainsi que le peu d'effort mis dans la sécurité des systèmes ou la sécurité applicative en font des cibles de choix. Ces derniers mois, nous avons analysé plusieurs logiciels malveillants ciblant ces architectures. Que ce soit par l'exploitation d'une vulnérabilité (Shellshock) ou encore un défaut de configuration, ces systèmes exposés sur Internet peuvent être compromis.

Notre présentation couvrira quelques une de ces analyses:

  • Linux/Moose, un malware se propageant automatiquement qui fraude les réseaux sociaux (par exemple Facebook, Twitter et YouTube)
  • LizardSquad et acteurs étrangers qui utilisent des systèmes embarqués compromis pour réaliser des dénis de service distribué (DDoS)
  • Win32/RBrute est un logiciel malveillant qui tente de changer les paramètres de routeurs dans le but de faire du "DNS poisoning". Il a été distribué par le populaire botnet Sality.
  • Un kit d'exploits qui utilise seulement le navigateur de leur victime avec le même objectif, c'est-à-dire faire du "DNS poisoning".

Enfin, des conseils seront proposés à l'audience pour l'aider à se protéger de ces menaces.

Thomas Dupuy (twitter: @nyx__o)

Thomas est chercheur en logiciel malveillant chez ESET Canada Recherche. Bon vivant, Thomas déjeune en "reversant" des binaires, contribue à quelques projets open source durant le diner (yara, yara rules, pefile, APTnotes) et la nuit participe à des "Hacking Games" (Capture The Flag). Curieux de nature Thomas analyse des malware aux architectures "exotiques".


Olivier Bilodeau (twitter: @obilodeau)

Olivier Bilodeau is the head of Cybersecurity Research at GoSecure a consultancy firm specializing in cybersecurity services for the public and private sector. With more than 10 years of infosec experience, Olivier worked on Unix servers at Bell Canada, managed a portion of Air Canada's network, wrote open source network access control software at Inverse and worked as a Malware Researcher at ESET. He likes to reverse engineer everything that crosses his path, participate in information security capture-the-flag competitions, hack open source code and brew beer. He has spoken at various conferences (Defcon, Botconf, VirusBulletin, Derbycon, ...), used to lecture on information security at ETS University in Montreal, drives the NorthSec Hacker Jeopardy and co-organizes the MontreHack capture-the-flag training initiative. His primary research interests include reverse-engineering tools, Linux and/or embedded malware and honeypots.

Merci à Desjardins d'héberger l'événement !

Desjardin's logo

Survivre aux attaques DDOS applicatives

Survivre aux attaques DDOS applicatives

@Photo : Marius Popescu
Link to video Unfortunately, the presentation is not available / Vidéo non disponible
Slides Slides are not available / Présentation non disponible
Survivre aux attaques DDOS (Distributed Denial-Of-Service) applicatives. Cette conférence s'adresse aux professionnels et gestionnaires des TI. Conférencier : Christian Shink, ing., CSSLP, ingénieur système chez Radware, manufacturier spécialisé dans la prévention des attaques DDOS. Il fut également consultant en sécurité applicative chez In Fidem. Objectifs de la conférence: Présenter les tendances actuelles en matière d'attaques DDOS applicatives. Renseigner les participants sur les techniques et stratégies pour contrer ces attaques illustrées à partir de cas vécus. Démystifier certains mythes en ce qui concernent les façons efficaces de protéger les applications contre des attaques DDOS. Date : 16 décembre 2015 Heure : 11h45 La conférence débute à 12h00 et se termine à 12:55. Un lunch sera servi. Réservez maintenant! 1 CPE
WHEN

Wednesday, 16 December 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar

WHERE

Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec 

Merci à Desjardins d'héberger l'événement !

Desjardin's logo

Sécurité des applications - Systèmes de contrôles industriels

Sécurité des applications - Systèmes de contrôles industriels

@Photo : Marius Popescu
Link to video Watch the conference / Regarder la conférence
Slides Slides are not available / Présentation non disponible

La sécurité des applications et les systèmes de contrôles industriels. Cette conférence s'adresse aux professionnels et gestionnaires des TI desinfrastructures critiques qui exploitent ou gèrent des systèmes de contrôles industriels(SCI) et SCADA (surveillance et d'acquisition de données).
Conférenciers : Robert Nastas, CSSA. Gestionnaire de projet et Youssef Jad, Architecte Cyber sécurité, ICS-CERT

Objectifs de la conférence:

  • Démystifier le domaine d'affaires.
  • Renseigner les participants sur les bonnes pratiques de sécurité desapplications liées au secteur industriel.
  • Proposer aux professionnels et gestionnaires des TI responsables dessystèmes SCADA et SCI des pistes de solutions aux enjeux de sécurité.


L'équipe OWASP Montréal vous remercie d'avoir assisté en grand nombre à la conférence, 'La sécurité des applications et les systèmes de contrôles industriels'.
WHEN

Wednesday, 18 November 2015 from 11:45 AM to 1:00 PM (EST) - Add to Calendar

WHERE

Espace Desjardins (Complexe Desjardins) - 175, boul René Lévesque Ouest , Montreal, Quebec

Merci à Desjardins d'héberger l'événement !

Desjardin's logo

Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative

Les préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative

@Photo : Marius Popescu
Link to video Unfortunately, the presentation is not available / Vidéo non disponible
Slides See the slides / Voir la présentation
Pour le lancement des activités corporatives de la saison 2015 - 2016, le 8 septembre prochain à 12:00, l'équipe OWASP Montréal convie les gestionnaires et artisants de la sécurité des TIC à venir entendre monsieur Éric Hébert qui nous présentera son interprétation des préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative. L'événement se tiendra au complexe Desjardins à la salle "Espace Desjardins".

ÉRIC G. HÉBERT, CISM, CISSP
Après plus de 20 ans passés dans le domaine de la sécurité des technologies de l’information, Éric se spécialise dans la mise en œuvre et la gestion d'équipes performantes, capables de relever les plus hauts défis de la cybersécurité moderne.
Capable de dialoguer avec les hauts dirigeants, il sait traduire et vulgariser les enjeux techniques complexes tout en respectant la nature et l'appétence au risque de ses clients. Dynamique et pourvu d'une expérience couvrant presque toutes les sphères de la SI, il fonce dans le respect de la culture établie tout en implantant des solutions pragmatiques et efficaces.
Depuis plus de 10 ans, il gravite principalement autour des entreprises du domaine financier (BNC, Desjardins, Fonds de solidarité FTQ...) et les accompagne dans la mise en place de solutions efficaces tenant compte à la fois des risques et des budgets. En plus d’avoir fondé de nombreuses associations telles que le RéseauSécurIT et le RPSI, il maintient une présence régulière auprès des milieux associatifs professionnels et partage régulièrement ses expériences lors de conférences et d'entrevues avec divers médias.

Merci à Desjardins d'héberger l'événement !

Desjardin's logo

Owasp Montreal at NorthSec 2017

NorthSec2017-5.jpg NorthSec2017-6.jpg

From Left to Right: Anne Gauthier, OWASP Montréal Chapter Leader (President) and Application Security Analyst at GoSecure, Hugo Genesse, OWASP Montréal Chapter Leader and Research Intern at PNF Software, Julien, OWASP Montréal Chapter Leader

OWASP Montreal at AppSec

OWASPAppSecBelfast2017-7.jpg

OWASP Montreal and Ottawa Chapter Leaders at OWASP AppSec Belfast, UK #WomenInAppSec

OWASP Montreal at HackFest 2016

HackFest

From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Louis Nadeau, OWASP Québec Chapter Leader and Manager, Product Security at Bentley Systems and Patrick Leclerc, OWASP Québec Chapter Leader and Information Security Advisor at La Capitale.

OWASP Montreal at OWASP AppSec USA 2016, Washington



OWASP Montreal at AppSec USA 2016, Washington

​From left to right: Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016, Alexandre Hamelin President at Synlabs Consulting Inc., Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of Find Security Bugs and Roslyn Security Guard tool which will be presented at Blackhat 2016.

OWASP Montréal at GoSec 2016

OWASP Montreal at GoSec 2016 OWASP Montreal at GoSec 2016

From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Simon Lacasse, student and volunteer, and Laurent Desaulniers, Security Analyst at Bell Canada.

OWASP Montréal at NorthSec 2016 – Annual Applied Security Event

OWASP Montreal at NorthSec 2016

@Photo : Simon Veilleux

From left to right : Anne Gauthier, OWASP Montréal Chapter (President) and Information Security Analyst at GoSecure, Olivier Arteau OWASP Montréal Chapter Leader and Conseiller chez Groupe Technologie Desjardins, Hugo Genesse, OWASP Montréal Chapter Leader and Vulnerability Research Intern at Wurldtech Security Technologies.

OWASP Montréal at Hackfest 2015

OWASP Montreal at Hackfest 2015

@Photo : Hackfest

From left to right : Jonathan Marcil, Application Security Engineer at Blizzard Entertainment and former OWASP Montreal Chapter Leader. Philippe Arteau, Cybersecurity Researcher at GoSecure and designer of Find Security Bugs and Roslyn Security Guard tool which will be presented at Blackhat 2016.

Link to video Watch the video / Regarder la vidéo

OWASP Montréal at GoSec 2015 – The Annual Cybersecurity Conference presented by GoSecure, EY and ISACA.

OWASP Montreal at GoSec 2015

@Photo : Marius Popescu

From left to right : Marie-Claire Willig, Application Security Analyst at Desjardins, Speaker and Cofounder of the Roslyn Security Guard tool which will be presented at Blackhat 2016. Benoît Guérette, Application Security Team Leader at Desjardins, VP Finance at NorthSec and OWASP Montreal Chapter Founder and Former Chapter Leader.

See also / Voir aussi

OWASP Montréal recommends Montréhack. Learn and share knowledge on IT security by solving technical challenges. Third Monday of every month.

OWASP Montréal recommende Montréhack. Apprends et partages des connaissances sur la sécurité informatique en travaillant des problèmes appliqués. Chaque troisième lundi du mois.

Montréhack


Autres nouvelles - 5 décembre 2013 - OWASP Top 10 - Risques en sécurité applicative

  • PRÉSENTATEURS PRINCIPAUX: Jonathan Marcil
  • RÉSUMÉ: Présentation du nouveau OWASP Top 10 2013. L'objectif principal du Top 10 de l'OWASP est de sensibiliser les développeurs, concepteurs, architectes, décideurs, et les entreprises aux conséquences des faiblesses les plus importantes inhérentes à la sécurité des applications web. Le Top 10 fournit des techniques de base pour se protéger contre ces domaines problématiques à haut risque – et fournit des conseils sur la direction à suivre.
  • BIO: Jonathan Marcil est consultant en sécurité des applications Web et leader du chapitre OWASP de Montréal. Il est concepteur de défi pour NorthSec, une compétition de sécurité informatique technique et conseiller sur le sujet sécurité de la conférence de technologies Web ConFoo à Montréal. Il possède plus de 10 ans d'expérience en technologie de l'information et développement Web avec un penchant pour la sécurité.
  • QUAND: 6 décembre 2013
  • OÙ: ASIMM - 5 à 7 technique


OWASP Montréal - 2 décembre 2013 - OWASP Top 10 et ISO/IEC 27034 – Sécurité des applications

  • PRÉSENTATEURS PRINCIPAUX: Luc Poulin et Jonathan Marcil
  • RÉSUMÉ: Cette nouvelle norme propose aux organisations de toutes tailles un modèle pour faciliter l’intégration de la sécurité tout au long du cycle de vie des applications. La norme 27034 est destinée aux gestionnaires, équipes de réalisation et d’exploitation, clients et fournisseurs d’applications et auditeurs qui doivent concevoir, planifier, implanter, gérer et vérifier la sécurité des applications. La conformité à cette norme résulte en la diminution du risque par réduction des vulnérabilités des applications. Suite à la dernière présentation sur le sujet, celle-ci introduira le projet OWASP officiel qui produira des contrôles de sécurité applicatifs (CSA) basé sur le Top 10 d'OWASP sous le format de la norme.
  • BIO: M. Poulin compte plus de trente années d'expérience en informatique, durant lesquelles il a acquis une solide expertise en technologie des systèmes et en génie logiciel. Il se spécialise en gestion, implantation et évaluation de la sécurité globale de systèmes informatiques, à l'intérieur d'environnements de développement et d’opération d'applications. Il est corédacteur de la norme ISO/IEC 27034 – Sécurité des applications. Jonathan Marcil est consultant en sécurité des applications Web et leader du chapitre de Montréal. Il possède plus de dix ans d'expérience en technologie de l'information et développement Web avec un penchant pour la sécurité. Il est concepteur de défi pour NorthSec, une compétition de sécurité informatique technique et conseiller sur le sujet sécurité de la conférence de technologies Web ConFoo à Montréal.
  • QUAND: 2 décembre 2013
  • OÙ: École de technologie supérieure, 1100 rue Notre-Dame ouest, Montréal, Salle: A-1150
  • INSCRIPTION: http://owasptop10iso27034.eventbrite.ca
  • WEBCAST: Sera disponible en direct sur YouTube
  • ÉQUIPE ACADÉMIQUE: ETS - DCI http://dciets.com/
  • PROGRAMME:
18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : OWASP Top 10 et ISO/IEC 27034 – Sécurité des applications
19:30-20:00 Discussion ouverte
20:00-...   Fin de la rencontre dans un pub

Dciets.png Logo ets.png

OWASP Montréal - 11 novembre 2013 - ISO/IEC 27034 – Sécurité des applications

  • PRÉSENTATEUR PRINCIPAL: Luc Poulin
  • RÉSUMÉ: Cette nouvelle norme propose aux organisations de toutes tailles un modèle pour faciliter l’intégration de la sécurité tout au long du cycle de vie des applications. Ce modèle comprend des objets et des processus qui complètent ceux déjà en place dans l’organisation et s’insèrent dans les pratiques courantes de gouvernance, de gestion et d’opération, telles que le SGSI proposé par la norme ISO/CEI 27001, les processus ITIL et ISO/CEI 12207, les pratiques de sécurité OWASP et PCI-DSS, etc. La norme 27034 est destinée aux gestionnaires, équipes de réalisation et d’exploitation, clients et fournisseurs d’applications et auditeurs qui doivent concevoir, planifier, implanter, gérer et vérifier la sécurité des applications. La conformité à cette norme résulte en la diminution du risque par réduction des vulnérabilités des applications.
  • BIO: M. Poulin compte plus de trente années d'expérience en informatique, durant lesquelles il a acquis une solide expertise en technologie des systèmes et en génie logiciel. Il se spécialise en gestion, implantation et évaluation de la sécurité globale de systèmes informatiques, à l'intérieur d'environnements de développement et d’opération d'applications. Il est un membre du groupe de travail canadien WG D – Security Controls and Services au sous-comité sur la sécurité de l’information (SC 27) du comité conjoint ISO JTC 1, et corédacteur de la norme ISO/IEC 27034 – Sécurité des applications.
  • QUAND: 11 novembre 2013
  • OÙ: École de technologie supérieure, 1100 rue Notre-Dame ouest, Montréal, Salle: A-1150
  • INSCRIPTION: http://www.eventbrite.ca/event/9006250939
  • WEBCAST: http://www.youtube.com/watch?v=AAHG_oB9iEU
  • SLIDES: https://speakerdeck.com/owaspmontreal/iso-iec-27034-securite-des-applications-par-luc-poulin
  • ÉQUIPE ACADÉMIQUE: ETS - DCI http://dciets.com/
  • PROGRAMME:
18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : ISO/IEC 27034 – Sécurité des application
19:30-20:00 Discussion ouverte
20:00-...   Fin de la rencontre dans un pub

Dciets.png Logo ets.png

OWASP Montréal - 7 novembre 2013 - Vulnérabilités liées au téléversement de fichiers

Attention! Présentation spéciale sur l'heure du midi

  • PRÉSENTATEUR PRINCIPAL: Philippe Arteau
  • RÉSUMÉ: Le téléversement de fichiers fait partie intégrante des applications web modernes. Qu'il s'agisse d'images ou de documents, plusieurs risques guettent l'acceptation de fichiers provenant d'un utilisateur. Les attaques les plus communes seront présentées allant de simples "webshells" à des problèmes de configuration plus poussés liés au "same orgin policy".
  • BIO: Philippe est conseiller en sécurité applicative pour le Groupe Technologies Desjardins. Au quotidien, il s'occupe d'effectuer des tests d'intrusions et des revues de code pour des applications utilisées par Desjardins. Il a découvert des vulnérabilités importantes dans plusieurs logiciels populaires comme Google Chrome, DropBox, ESAPI et Jira.
  • QUAND: 7 novembre 2013 à 12h30
  • OÙ: École Polytechnique de Montréal, 2500 chemin de Polytechnique, Montréal (Québec) H3T 1J4, pavillon Lassonde, Salle : M-2204
  • INSCRIPTION: https://www.eventbrite.ca/event/8944847279
  • WEBCAST: http://www.youtube.com/watch?v=mo10to3JNBY
  • SLIDES: https://speakerdeck.com/owaspmontreal/vulnerabilites-liees-au-televersement-de-fichiers-par-philippe-arteau
  • ÉQUIPE ACADÉMIQUE: Polytechnique - Polyhack http://polyhack.org/
  • PROGRAMME:
 12h30-12h40 Accueil
 12h40-12h45 Introduction
 12h45-13h25 Présentation principale
 13h25-13h35 Questions

Polyhack.png LogoPolytechnique.gif


OWASP Montréal - 24 octobre - Authentification à deux facteurs pour services Web

  • PRÉSENTATEUR PRINCIPAL: Alexandre Rimthong
  • RÉSUMÉ: Qu'est-ce que l'authentification à multiples facteurs et comment l'implanter dans un service web? La présentation fera d'abord un bref survol sur les principes d'authentification et les stratégies mises en place dans l'industrie. Par la suite, nous plongerons dans deux exemples concrets en utilisant des technologies gratuites ou peu coûteuses avec Google Authenticator et Yubikey.
  • BIO: Consultant TI dans une coopérative de solidarité se spécialisant dans le développement Web et la continuité des opérations de jour, amateur de sécurité et gladiateur des hackothons locaux la nuit. On le retrouve normalement à contribuer dans des projets de données ouvertes ou dans un projet de startup s'il n'est pas dans une compétition de sécurité ou de programmation. Présentement au sein de l'équipe OWASP Montréal, via l'équipe académique de l'UQAM.
  • QUAND: 24 octobre 2013 à 18h00
  • OÙ: Pavillon Président-Kennedy 201, Avenue du Président-Kennedy, J2X 3Y7 Local PK-1630
  • INSCRIPTION: https://www.eventbrite.ca/event/8182818029
  • WEBCAST: http://www.youtube.com/watch?v=1h7Dp23zfpA
  • SLIDES: https://speakerdeck.com/owaspmontreal/authentification-a-deux-facteurs-pour-services-web-par-alexandre-rimthong
  • ÉQUIPE ACADÉMIQUE AGEEI-UQAM - http://www.ageei.org/
  • PROGRAMME:
18:00-18:15 Accueil
18:15-18:20 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:20-19:00 Présentation principale : Auth. à deux facteurs
19:00-19:15 Période de questions

Ageeilogo.jpg


OWASP Montréal - 12 septembre - OWASP Top 10 2013

Attention! Présentation spéciale sur l'heure du midi

  • PRÉSENTATEURS PRINCIPAUX: Sébastien Gioria et Jonathan Marcil
  • RÉSUMÉ: Présentation du nouveau OWASP Top 10 2013. L'objectif principal du Top 10 de l'OWASP est de sensibiliser les développeurs, concepteurs, architectes, décideurs, et les entreprises aux conséquences des faiblesses les plus importantes inhérentes à la sécurité des applications web. Le Top 10 fournit des techniques de base pour se protéger contre ces domaines problématiques à haut risque – et fournit des conseils sur la direction à suivre.
  • BIO: Sebastien Gioria est consultant sénior en Sécurité des Systèmes d'Informations spécialisé en Sécurité des Applications , Chapter Leader de l'OWASP pour la France(https://www.owasp.org/index.php/France), membre du OWASP Global Education Committee et membre du CLUSIF(http://www.clusif.fr). Il a une expérience de plus de 15 ans dans la sécurité des Systèmes d’Informations au sein de postes techniques ou à responsabilité dans des banques, assurances, telecoms. Jonathan Marcil est consultant en sécurité des applications Web et leader du chapitre de Montréal. Il est concepteur de défi pour NorthSec (https://www.nsec.io), une compétition de sécurité informatique technique et conseiller sur le sujet sécurité de la conférence de technologies Web ConFoo(http://confoo.ca/) à Montréal. Il possède plus de 10 ans d'expérience en technologie de l'information et développement Web avec un penchant pour la sécurité.
  • QUAND: 12 septembre 2013
  • OÙ: École Polytechnique de Montréal, 2500 chemin de Polytechnique, Montréal (Québec) H3T 1J4, pavillon Lassonde, Salle : L-1710
  • INSCRIPTION: https://www.eventbrite.ca/event/8179640525
  • WEBCAST: Sera disponible en direct sur YouTube https://www.youtube.com/owaspmontreal
  • ÉQUIPE ACADÉMIQUE Polytechnique - Polyhack http://polyhack.org/
  • PROGRAMME:
 12:30-12:45 Accueil
 12:45-12:50 Mot de bienvenue par le leader du chapitre (Jonathan M.)
 12:50-13:30 Présentation principale : OWASP Top 10 2013
 13:30-13:45 Période de questions

Polyhack.png LogoPolytechnique.gif


OWASP Montreal - August 19th - MontréHack Web4kids

  • MAIN PRESENTER: Jonathan Marcil
  • ABSTRACT: WORKSHOP FORMAT, bring your laptop to play with Web and Trivia problems for beginners and intermediates. Theses exercises were part of the challenge Web4kids held at NorthSec 2013. It is composed of fourteen (14) challenges that will lead the participant to understand the basics of Web security weaknesses and practice the usage of diverse tools.
  • BIO: Jonathan is the leader of OWASP Montreal and a Challenge designer at the NorthSec computer security competition.
  • WHEN: August 19th 2013
  • WHERE: Notman House, 51 Sherbrooke west, Montreal, QC H2X 1X2
  • REGISTRATION: https://www.eventbrite.ca/event/7400161081
  • SPONSOR: Community partners MontréHack and NorthSec
  • PROGRAM:
 18:00-18:05 Presentation of community partner MontréHack (Olivier B.)
 18:05-18:30 Setup and help by Chapter Leader Jonathan M. and Chapter board member Laurent D.
 18:30-20:00 Workshop Web4kids
 20:00-21:00 Demonstration of some solutions and Q&A
 21:00-...   End of the meeting in a pub

Montrehack.png 2397 nsec Logo 500-250.png


OWASP Canada - August 7th - Bug Bounty Program for the Web

 18:00-18:15 Canada Chapters Talk
 18:15-19:15 Main presentation: Bug Bounty Program for the Web



OWASP Montreal - July 3rd - Linux/CDorked

  • MAIN PRESENTER: Olivier Bilodeau
  • ABSTRACT: Presentation on the largely publicized threat: Linux/CDorked. We will explain in detail the behavior of the malware, discuss its variants and the impact of these new types of threats on the distribution of malware. Then, we will talk about detection, prevention and the likely cause of exploitation leading to infection and why the OWASP community should care about this new server-side malware threat type.
  • BIO: Coming from the dusty Unix server room world, Olivier evolved professionally in networking, information security and open source software development to finally become malware researcher at ESET Canada. Presenting at Defcon, publishing in (In)secure Mag, teaching infosec to undergrads (ÉTS), driving the NorthSec Hacker Jeopardy and co-organizer of the MontréHack training initiative are among its note-worthy successes.
  • WHEN: July 3rd 2013
  • WHERE: École Polytechnique de Montréal, 2500 chemin de Polytechnique, Montréal (Québec) H3T 1J4, pavillon #4 J.-Armand-Bombardier (JAB), Salle : J-1035
  • WEBCAST: http://www.youtube.com/watch?v=R_-JI6xZXWQ
  • SLIDES: https://speakerdeck.com/owaspmontreal/cdorked-by-olivier-bilodeau http://obilodeau.github.io/slides/linux-cdorked/owasp-mtl-201307/
  • SPONSOR: ESET Canada
  • PROGRAM:
 18:00-18:30 Networking
 18:30-18:32 Welcome speech by Chapter Leader (Jonathan M.)
 18:30-19:30 Main presentation: Linux/CDorked
 19:30-20:00 Open discussion
 20:00-...   End of the meeting in a pub

Eset logo white.jpg


OWASP Montréal - 22 mai - Injections LDAP

  • PRÉSENTATEUR PRINCIPAL: Laurent Desaulniers
  • RÉSUMÉ: Présentation sur les injections LDAP. Cette courte présentation décrira les différents types d'injection LDAP, les subtilités au niveau des filtres et les différentes technologies de LDAP. La présentation sera aussi complémentée d'exemples tirés de la compétition NorthSec, afin de démontrer les différents exploits.
  • BIO: Laurent Desaulniers est un passionné de sécurité informatique. Il a présenté au Hackfest, au colloque RSI et à OWASP. M. Desaulniers détient les certifications CISSP, CISM, CISA et OSCP.
  • QUAND: 22 mai 2013
  • OÙ: École de technologie supérieure, 1100 rue Notre-Dame ouest, Montréal, Salle: A-1350
  • WEBCAST: http://www.youtube.com/watch?v=-H_ppnQeBIo
  • SLIDES: https://speakerdeck.com/owaspmontreal/injections-ldap-by-laurent-desaulniers
  • COMMANDITAIRES: Lieu : ETS - Communauté : NorthSec
  • PROGRAMME:
 18:00-18:30 Réseautage
 18:30-18:32 Mot de bienvenue par le leader du chapitre (Jonathan M.)
 18:32-18:35 Présentation du partenaire de communauté NorthSec
 18:35-19:30 Présentation principale : Injection LDAP
 19:30-20:00 Discussion ouverte
 20:00-...   Fin de la rencontre dans un pub

Logo ets.png 2397 nsec Logo 500-250.png


OWASP Montreal - March 25th - Drupal Security

  • MAIN PRESENTER: Ben Jeavons
  • ABSTRACT: Drupal is an open-source web application that powers over 2% of the web and like any other application is at risk for attack. This talk will cover a range of topics about Drupal and security, including the state of Drupal and security, the process and goals of Drupal’s Security Team, and API’s and best-practice configuration for maintaining a secure site.
  • BIO: Ben Jeavons is a software engineer at Acquia, a company providing products, services, and technical support for Drupal. Ben is a member of Drupal Security Team and co-author of the Drupal Security Whitepaper.
  • WHEN: March 25th, 2013
  • WHERE: Phéromone, agence d'interactions - 75, rue Queen, suite 3100 Montreal (Qc) H3C 2N6
  • WEBCAST: https://www.youtube.com/watch?v=dC-TjZkMTk8
  • SLIDES: https://speakerdeck.com/owaspmontreal/drupal-security-by-ben-jeavons
  • REGISTRATION: http://www.eventbrite.ca/event/5707605602
  • SPONSORS: Main sponsor: Acquia - Venue sponsor: Phéromone - Community partner: Drupal Montreal
  • PROGRAM:
 18:00-18:30 Networking
 18:30-18:32 Welcome speech by Chapter Leader (Jonathan M.)
 18:32-18:35 Presentation of community partner Drupal Montreal (Pierre Paul L.)
 18:35-19:30 Main presentation: Drupal Security
 19:30-20:00 Open discussion
 20:00-...   End of the meeting in a pub

Acquia-logo.png Logo-phero.gif Drupalmontreal.png


OWASP Montreal Hangout - February 28th - Demystifying web cache

  • MAIN PRESENTER: Kristian Lyngstøl
  • ABSTRACT: This talk will discuss caching from app server to web browser. Subjects like s-maxage vs. max-age, little known obscurities around the Vary header and more will be covered. The talk focuses on using simple, safe strategies that don't lead to information leakage even when things go wrong. There will be some Varnish-specific tips and tricks.
  • BIO: Kristian has been breaking things and fixing them again for most of his life. He's a C, Java, AWK, perl, python and misc programmer and spends his day working with Varnish Cache. He wrote most of the Varnish Book used for professional Varnish training because someone had to do it.
  • WHEN: February 28th, 2013
  • WHERE: Online on OWASP Montreal Official YouTube Channel http://www.youtube.com/user/owaspmontreal
  • WEBCAST: http://www.youtube.com/watch?v=5Sy7n5J7b1U
  • SPONSORS: Venue sponsor / Community partner: ConFoo
  • PROGRAM:
 13:30-13:32 Quick welcome speech by Chapter Leader (Jonathan M.)
 13:32-13:35 Quick presentation of community partner ConFoo
 13:35-14:25 Main presentation: Demystifying web cache

Confoo logo.gif

Slides : https://speakerdeck.com/owaspmontreal/demystifying-web-cache-by-kristian-lyngstol


OWASP Montreal - OWASP at ConFoo 2013 - Come see us at the community table

February 27th to March 1st 2013

OWASP will be represented at the conference with some of the talks and a small team of OWASPers will be on the communities booth in the sponsors area to chat with people and give out some swags.

The following people will be present :

  • Philippe Gamache (OWASP Montreal)
  • Antonio Fontes (OWASP Geneva)
  • Sébastien Gioria (OWASP France)
  • Sherif Koussa (OWASP Ottawa)
  • Jonathan Marcil (OWASP Montreal)

If you are around come see us!

  • WHEN: February 27th to March 1st 2013
  • WHERE: ConFoo - Hilton Montreal Bonaventure 900 de La Gauchetière West, Montréal
  • REGISTRATION: ConFoo conference registration is mandatory
  • SPONSORS: Thanks for OWASP Global for all the promotional stuff
  • PROGRAM: We will be at the table from time to time. Thursday night a community cocktail will be open to all.



OWASP Montreal - February 26th - Secure Coding pour Java

  • MAIN PRESENTER: Sébastien Gioria
  • ABSTRACT: Ce talk est une introduction au Secure Coding pour Java. Il s'efforcera de présenter via différents matériels OWASP les bonnes pratiques permettant de développer de manière pragmatique une application java sécurisée. Nous aborderons aussi bien des pratiques fonctionnelles que des morceaux de codes java à erreurs et leur correctifs.
  • BIO: Sebastien Gioria est consultant senior en Sécurité des Systèmes d'Informations spécialisé en Sécurité des Applications , Chapter Leader de l’OWASP pour la France(http://www.owasp.fr), membre du OWASP Global Education Committee et membre du CLUSIF(http://www.clusif.fr). Il a une expérience de plus de 15 ans dans la sécurité des Systèmes d’Informations au sein de postes techniques ou à responsabilité dans des banques, assurances, telecoms.
  • WHEN: February 26th, 2013
  • WHERE: École de technologie supérieure, 1100, rue Notre-Dame ouest, Montréal, Room: A-2330
  • WEBCAST: http://www.youtube.com/watch?v=uHAJwQar3C0
  • REGISTRATION: http://www.eventbrite.ca/event/5439571906
  • SPONSORS: This meeting has no sponsor - Community partner : Montréal Java User Group
  • PROGRAM:
 18:00-18:30 Networking
 18:30-18:40 Welcome speech by Chapter Leader (Jonathan M.)
 18:40-18:45 Presentation of community partner Montréal Java User Group
 18:45-19:45 Main presentation: Secure Coding pour Java
 19:45-20:00 Open discussion
 20:00-...   End of the meeting in a pub

Tnt rubysands 6 logo.png Logo ets.png

Slides : https://speakerdeck.com/owaspmontreal/secure-coding-pour-java-by-sebastien-gioria



OWASP Montreal Hangout - January 29th - Meet the board and see what's next

  • MAIN PRESENTER: OWASP Montreal Board
  • ABSTRACT: Members from the OWASP Montreal board will talk about the chapter. This will be very informal and you'll be able to ask questions. It will be in English or French based on viewers preferences.
 19:00-19:30 Setup and greetings to viewers
 19:30-19:35 Sponsors
 19:35-20:05 Main discussion
 20:05-20:30 End of the meeting with open discussion


OWASP Montreal - November 20th - Secure Code Review - OWASP TOP 10

  • MAIN PRESENTER: Sherif Koussa
  • ABSTRACT: Secure Code Review is the best approach to uncover the largest number ofsecurity flaws in addition to the most stealth and hard to uncover security vulnerabilities. During this session, you will learn how to perform security code review and uncover vulnerabilities such as OWASP Top 10: Cross-site Scripting, SQL Injection, Access Control and much more in early stages of development. You will use a real life application "SecureTickers" pulled from SourceForge. You will get an introduction to Static Code Analysis tools and how you can extend PMD (http://pmd.sourceforge.net/), the open source static code analysis tool, to catch security flaws like OWASP Top 10. Expect lots of code, tools, hacking and fun! *(Please note that the exercises will be mainly in Java.)
  • WHEN: November 20th, 2012
  • WHERE: École de technologie supérieure, 1100, rue Notre-Dame ouest, Montréal, Room: A-1150
  • REGISTRATION: Registration NOT mandatory.
  • SPONSORS: This meeting has no sponsor
  • PROGRAM:
 18:00-18:30 Networking
 18:30-18:45 Welcome speech by Chapter Leader (Philippe G.)
 18:45-19:45 Main presentation: Secure Code Review - OWASP TOP 10
 19:45-20:00 Open discussion
 20:00-...   End of the meeting in a pub

OWASP Montreal - October 30th - Les utilités d’un pare-feu applicatif Web (WAF)

  • MAIN PRESENTER: Jonathan Marcil
  • ABSTRACT: Vous hébergez des applications Web et votre défense se limite à un coupe-feu réseau. Cependant, une grande partie des attaques sont menées directement via le protocole HTTP et l’utilisation d’un coupe-feu traditionnel s’avère inutile.

Le coupe-feu applicatif Web (Web Application Firewall, WAF) se veut une solution à cette problématique. La présentation, basée sur mon expérience des dernières années, fait le point sur les diverses utilités de cette technologie : Les choix d’implémentations. Les diverses modes de fonctionnements. L’importance et le choix des types de règles à implémenter. Rapports et collection des alertes. Méthodologie de développement de règles. Bonus: Contournement de règles et exceptions.

Le logiciel Open Source ModSecurity sera utilisé comme exemple ainsi que les règles OWASP CRS. D’autres règles conçues pour la présentation seront aussi présentées dans le but de démontrer une utilisation sur mesure du WAF.

  • WHEN: October 30th, 2012
  • WHERE:
  • REGISTRATION: Registration NOT mandatory.
  • SPONSORS: This meeting is sponsored by ETS
  • PROGRAM:
 18:00-18:30 Networking
 18:30-18:45 Welcome speech by Chapter Leader (Philippe G.)
 18:45-19:45 Main presentation: Les utilités d’un pare-feu applicatif Web (WAF)
 19:45-20:00 Open discussion
 20:00-...   End of the meeting in a pub

Logo ets.png


OWASP Montreal - June 18th 2012 - Evolution of Malware and Defense from an Enterprise Infrastructure

  • MAIN PRESENTER: John Otterson
  • ABSTRACT: The security market space is a flood of attack detection, prevention, reporting, and recovery tools and appliances. Each targets one or more technical, legal or procedural risk areas, and most tend to make far reaching promises. This talk will take the audience past the hype, through the real-world experiences of how some of these tools make or break their promises, and how they can be realistically combined to create a meaningful security monitoring program. The presenter will then share how the attacks evolve to avoid detection, and how the security tools and practice similarly evolve to continue to be effective.
  • WHEN: June 18th 2012
  • WHERE: 700 Rue Wellington | Floor 3, Room 3B, Montreal, QC H3C 3S4
  • REGISTRATION: Registration is mandatory. http://owaspmontrealjune2012.eventbrite.ca/
  • SPONSORS: This meeting is sponsored by Morgan Stanley
  • PROGRAM:
 18:00-18:30 Networking and MS-Hosted Pizza
 18:30-18:45 Welcome speech by Chapter Leader & sponsor welcome (Philippe G / Robert Fritz, Vice-President (MS Sponsor))
 18:45-19:45 Main presentation: Evolution of Malware and Defense from and Enterprise Infrastructure Perspective
 19:45-20:00 Open discussion
 20:00-...   Meet at Aziatic (optional for those that would still like to chat)


OWASP Montreal - March 12th 2012 - Training

REGISTER NOW!

Integrating security in a webapp project: from the idea to going live

Concept: A 1-day training covering 3 major topics related to integrating security in a software development project: - good practices and tools at design stage (security requirements, secure design, threat modeling) - good practices and tools at implementation stage (secure coding practices and code review) - good practices and tools at verification stage (security validation)

The entire training will follow a red-line based on a real-life HR web application project in which we will manage security and privacy aspects. Students will cover the entire lifecycle of the application, from analysis to deployment, and integrate good practices and tools based on OWASP material.

Trainers: - Antonio Fontes, Switzerland - Philippe Gamache, Canada - Sébastien Gioria, France

Course format: - The training is composed of three modules, each consisting of three 45-minutes blocks (total: 9 blocks) - Each module includes three blocks: theory, hands-on, validation/debriefing.

Schedule: - 8:45-9:30, 9:40-10:25, 10:30-11:15 -> "design" module - 11:30-12:30 -> lunch - 12:45-13:30, 13:35-14:20, 14:25-15:10 -> "implementation" module - 15:10-15:40 -> cookie break - 15:40-16:25, 16:30-17:15, 17:20-18:05 -> "verification" module - 18:10 -> closing session (debriefing/conclusions)

We expect students to arrive around 8am and be able to leave around 6:30/7pm

Pre-requisites (required skills and material): - Bring your own laptop (recommended: dual-core system running VMWare/Virtualbox) - Experience in web application development (hands-on will be in JAVA but do not require in-depth knowledge of the language) - Understanding of a web application project lifecycle - Understanding of well-known web application attacks (Top 10 attacks)


OWASP Montreal - November 17th 2011 - Gray areas of the Same Origin Policy

  • MAIN PRESENTER: Philippe Arteau
  • ABSTRACT: The Same Origin Policy is a fundamental concept that provide a level of separation between sites. Each components apply this separation differently. This presentation will focus on edge cases that can lead to vulnerabilities. Presentation in French with English Slides. Présentation en français avec diapo en anglais.
  • WHEN: November 17th 2011, 18h30
  • WHERE: École de technologie supérieure, 1100, rue Notre-Dame ouest, Montréal, Room: A-1424
  • REGISTRATION: Registration NOT mandatory.
  • SPONSORS: This meeting is sponsored by ETS
  • PROGRAM:
  • * Please note there is no lunch offered, but prizes will be offered by sponsors
    18:30-18:45 Welcome speech by Chapter Leader & sponsors
   18:45-19:45 Main presentation
   19:45-20:00 Open discussion
   20:00-...   End of the meeting at the ETS Pub

Logo ets.png

OWASP Montreal - September 15th 2011 - XSS Defense In Depth at Scale!

  • MAIN PRESENTER: Jim Manico, WhiteHat Security and OWASP Podcast
  • ABSTRACT: This talk will discuss the past methods used for XSS defense that were only partially effective. Learning from these lessons, will will also discuss present day defensive methodologies that are effective, but place an undue burden on the developer. We will then finish with a discussion of future XSS defense mythologies that shift the burden of XSS defense from the developer to various frameworks. These include auto-escaping template technologies, browser-based defenses such as Content Security Policy, and Javascript sandboxes such as the Google CAJA project and JSReg.
  • WHEN: September 15th 2011, 18h30
  • WHERE: École de technologie supérieure, 1100, rue Notre-Dame ouest, Montréal, Room: A-1424
  • REGISTRATION: Registration NOT mandatory.
  • SPONSORS: This meeting is sponsored by ETS
  • PROGRAM:
  • * Please note there is no lunch offered, but prizes will be offered by sponsors
    18:30-18:45 Welcome speech by Chapter Leader & sponsors
   18:45-19:45 Main presentation
   19:45-20:00 Open discussion
   20:00-...   End of the meeting at the ETS Pub

Logo ets.png


OWASP Montreal - July 21th 2011 - VEGA

  • MAIN PRESENTER: David Mirza - Subgraph
  • ABSTRACT: Vega is an open source platform to test the security of web applications. Vega can help you find and validate SQL Injections, Cross-Site Scripting (XSS), inadvertently disclosed sensitive information, and other vulnerabilities. It
  • WHEN: July 21th 2011, 18h30
  • WHERE: École de technologie supérieure, 1100, rue Notre-Dame ouest, Montréal, Room: A-2330
  • REGISTRATION: Registration NOT mandatory.
  • SPONSORS: This meeting is sponsored by ETS
  • PROGRAM:
  • * Please note there is no lunch offered, but prizes will be offered by sponsors
    18:30-18:45 Welcome speech by Chapter Leader & sponsors
   18:45-19:45 Main presentation
   19:45-20:00 Open discussion
   20:00-...   End of the meeting at the ETS Pub

[[Image:|vega_small.png]] [[Image:|subgraph-logo-black.png]] Logo ets.png

OWASP Montreal - May 19th 2011 - Hackus 2011 - Démonstration d'attaques Web

  • MAIN PRESENTER: Jérémie Goulet, Jonathan Marcil
  • ABSTRACT: http://hackus.org
  • WHEN: May 19th 2011, 18h30
  • WHERE: École de technologie supérieure, 1100, rue Notre-Dame ouest, Montréal, Room: A-2330
  • REGISTRATION: Registration NOT mandatory.
  • SPONSORS: This meeting is sponsored by ETS
  • PROGRAM:
  • * Please note there is no lunch offered, but prizes will be offered by sponsors
    18:30-18:45 Welcome speech by Chapter Leader & sponsors
   18:45-19:45 Main presentation
   19:45-20:00 Open discussion
   20:00-...   End of the meeting at the ETS Pub

OWASP Montreal - March 8th 2011 - Comment obtenir de l'assurance sécurité tout au long d'un projet de déveleopppement web

  • MAIN PRESENTER: Antonio Fontes
  • ABSTRACT: Les tests d'intrusion (penetration tests) réalisés après le déploiement d'une application web amènent souvent leur lot de surprises, révélant l'existence de vulnérabilités tout aussi importantes que coûteuses à corriger. Comment détecter et prévenir l'apparition de ces vulnérabilités plus tôt et tout au long du cycle de développement (SDLC)? Quelles activités peut-on mettre en oeuvre pour maintenir le risque à son niveau le plus bas tout en réduisant les coûts de correction? Quels sont les outils dont dispose le management pour obtenir de l'assurance sécurité dès le lancement d'un projet d'application web?
  • WHEN: March 8th 2011, 18h00
  • WHERE: École de technologie supérieure, 1100, rue Notre-Dame ouest, Montréal, Room: A-1350
  • REGISTRATION: Registration NOT mandatory.
  • SPONSORS: This meeting is sponsored by ETS, ConFoo, L7 Sécurité and Gardien Virtuel
  • PROGRAM:
  • * Please note there is no lunch offered, but prizes will be offered by sponsors
    18:00-18:15 Welcome speech by Chapter Leader & sponsors
   18:15-19:15 Main presentation
   19:15-19:30 Open discussion
   19:30-...   End of the meeting at the ETS Pub

Logo ets.png L7 Sécurité-logo-w-small.jpg Gardienvirtuel.jpgConfoo logo.gif]


OWASP Montreal - January 25th 2011 - OWASP Enterprise Security API

  • MAIN PRESENTER: Philippe Gamache, Parler Haut, Interagir Librement
  • ABSTRACT: OWASP Enterprise Security API Toolkits help software developers guard against security-related design and implementation flaws. Because it's an API, it can be easely be add to applications and services to protect themselves from attackers. In this talk, I'll present the project, it's implantation and how to add it to your projects.
  • WHEN: January 25th 2011, 18h00
  • WHERE: École de technologie supérieure, 1100, rue Notre-Dame ouest, Montréal, Room: A-1350
  • REGISTRATION: Registration NOT mandatory.
  • SPONSORS: This meeting is sponsored by Parler Haut, Interagir Librement and ETS
  • PROGRAM:
  • * Please note there is no lunch offered, but prizes will be offered by sponsors
    18:00-18:15 Welcome speech by Chapter Leader & sponsors
   18:15-19:15 Main presentation
   19:15-19:30 Open discussion
   19:30-...   End of the meeting at the ETS Pub

[[Image:|Phil_logo-150x30.gif]] Logo ets.png

OWASP Montreal - October 25th 2010 - Tweet My Trojan Please

  • MAIN PRESENTER: Sherif Koussa, Software Secured
  • ABSTRACT: Social media became part of our day to day activities, sure it made us more social but how safe are we tweeting, facebooking or getting Linked ! This presentation will delve into the dark side of the social networks and Privacy Commissioner Report's on Facebook. It will explore some of the recent social media attacks trying to answer the question: Are we safe socializing online? and what can we do about it?
  • WHEN: Obtober 25th 2010, 18h00
  • WHERE: École de technologie supérieure, 1100, rue Notre-Dame ouest, Montréal, Room: A-1340
  • REGISTRATION: OwaspMontrealOctober.eventbrite.com Registration is mandatory.
  • SPONSORS: This meeting is sponsored by Gardien Virtuel and ETS
  • PROGRAM:
  • * Please note there is no lunch offered, but prizes will be offered by sponsors
    18:00-18:15 Welcome speech by Chapter Leader & sponsors
   18:15-19:15 Main presentation
   19:15-19:30 Open discussion
   19:30-...   End of the meeting at the ETS Pub

OWASP Montreal - July 13th 2010 - Le fuzzing et les tests d'intrusions

  • MAIN PRESENTER: Eric Gingras & Sebastien Duquette, Gardien Virtuel
  • WHEN: July 13th 2010, 18h00
  • WHERE: École de technologie supérieure, 1100, rue Notre-Dame ouest, Montréal, Room: A-1424
  • REGISTRATION: OwaspMontrealJuly.eventbrite.com Registration is mandatory.
  • SPONSORS: This meeting is sponsored by Gardien Virtuel and ETS
  • PROGRAM:
  • * Please note there is no lunch offered, but prizes will be offered by sponsors
    18:00-18:15 Welcome speech by Chapter Leader & sponsors
   18:15-19:15 Main presentation
   19:15-19:30 Open discussion
   19:30-...   End of the meeting at the ETS Pub

[[Image:|LogoGardienVirtuel_150.gif]] Logo ets.png

OWASP Montreal - May 11th 2010 - Why Implementing Cryptography is Hard

  • MAIN PRESENTER: David Mirza Ahmad, Founder at Subgraph
  • WHEN: May 11th 2010, 18h00
  • WHERE: École de technologie supérieure, 1100, rue Notre-Dame ouest, Montréal, Room: A-1424
  • REGISTRATION: OwaspMontrealMay.eventbrite.com Registration is mandatory.
  • SPONSORS: This meeting is sponsored by Gardien Virtuel, Subgraph and ETS
  • PROGRAM:
  • * Please note there is no lunch offered, but prizes will be offered by sponsors
    18:00-18:15 Welcome speech by Chapter Leader & sponsors
   18:15-19:45 Main presentation
   19:45-20:00 Open discussion
   20:00-...   End of the meeting at the ETS Pub

[[Image:|LogoGardienVirtuel_150.gif]] [[Image:|Subgraph-logo-black.png]] Logo ets.png

OWASP Montreal - March 9th 2010 - OWASP Application Security Verification Standard (ASVS) Project

  • MAIN PRESENTER: Sebastien Gioria, OWASP French Chapter Leader
  • WHEN: March 9th 2010, 18h00
  • WHERE: École de technologie supérieure, 1100, rue Notre-Dame ouest, Montréal, Room: A-1424
  • REGISTRATION: OwaspMontrealMarch.eventbrite.com Registration is mandatory.
  • SPONSORS: This meeting is sponsored by Gardien Virtuel and ETS
  • PROGRAM:
  • * Please note there is no lunch offered, but prizes will be offered by sponsors
    18:00-18:15 Welcome speech by Chapter Leader & sponsors
   18:15-19:00 Main presentation
   19:00-19:15 Open discussion
   19:15-...   End of the meeting at the ETS Pub

[[Image:|LogoGardienVirtuel_150.gif]] Logo ets.png

OWASP Montreal - February 2nd 2010 - Authentification forte

  • MAIN PRESENTER:Philippe Gamache, CEO at Parler Haut, Interagir Librement
  • WHEN: February 2nd 2010, 18h00
  • WHERE: École de technologie supérieure, 1100, rue Notre-Dame ouest, Montréal, Room: A-1424
  • REGISTRATION: OwaspMontrealFebruary.eventbrite.com Registration is mandatory.
  • SPONSORS: This meeting is sponsored by Parler Haut, Interagir Librement and ETS.
  • PROGRAM:
  • * Please note there is no lunch offered, but prizes will be offered by sponsors
    18:00-18:15 Welcome speech by Chapter Leader & sponsors
   18:15-19:45 Main presentation
   19:45-20:00 Open discussion
   20:00-...   End of the meeting at the ETS Pub

This presentation will be in french, with bilingual slides.

[[Image:|Phil_logo-150x30.gif]] Logo ets.png

Meeting on November 3rd 2009 in Montreal (Pravir Chandra present Software Assurance Maturity Model (OpenSAMM))

  • MAIN PRESENTER: Pravir Chandra is Director of Strategic Services at Fortify Software and works with clients on software security assurance programs. Pravir is recognized for his expertise in software security, code analysis, and his ability to strategically apply technical knowledge. Prior to Fortify, he was a Principal Consultant affiliated with Cigital and led large software security programs at Fortune 500 companies. Pravir Co-Founded Secure Software, Inc. and was Chief Security Architect prior to its acquisition by Fortify. He recently created and led the Open Software Assurance Maturity Model (OpenSAMM) project with the OWASP Foundation, leads the OWASP CLASP project, and also serves as member of the OWASP Global Projects Committee. Pravir is author of the book Network Security with OpenSSL.
  • SUBJECT: The Software Assurance Maturity Model (SAMM) into a software development organization. Covering more than typical SDLC-based models for security, SAMM enables organizations to self-assess their security assurance program and then use recommended roadmaps to improve in a way that's aligned to the specific risks facing the organization. Beyond that, SAMM enables creation of scorecards for an organization's effectiveness at secure software development throughout the typical governance, development, and deployment business functions. Scorecards also enable management within an organization to demonstrate quantitative improvements through iterations of building a security assurance program. This workshop will introduce the SAMM framework and walk through useful activities such as assessing an assurance program, mapping an existing organization to a recommended roadmap, and iteratively building an assurance program. Time allowing, additional case studies will also be discussed. OpenSAMM is an open a free project and has recently been donated to the Open Web Application Security Project (OWASP) Foundation. For more information on OpenSAMM, visit http://www.opensamm.org/


  • WHEN: Tuesday, November 3rd 2009, 18h00
  • WHERE: École de technologie supérieure, 1100, rue Notre-Dame ouest, Montréal, Room: A-1424
  • REGISTRATION: owaspmontreal at gmail.com. Registration is mandatory. Please include name, company and how many attendees.
  • PROGRAM:
  • * Please note there is no lunch offered, but prizes will be offered by all the sponsors, and all attendees get a copy of the SAMM on a USB stick (~90+ page document))
    18:00-18:05 Welcome speech by Chapter Leader
   18:05-18:15 Welcome speech by sponsors
   18:15-19:15 Main presentation
   19:15-19:30 Open discussion
   19:30-...   End of the meeting at the ETS Pub


[[Image:|Fortify.jpg]] [[Image:|LogoGardienVirtuel_150.gif]] [[Image:|Trendmicro.gif]] Logo ets.png

Meeting on September 17th 2009 in Montreal (Crossing the Border – Javascript Exploits)

  • MAIN PRESENTER: Justin Foster, CISSP - Third Brigade/Trend Micro
  • SUBJECT: Crossing the Border – Javascript Exploits JavaScript-based exploits are a serious threat on the Internet today. This talk explores how the countermeasures to deal with script based attacks parallel 2200 years of Chinese border security. The speaker will cover the benefits and drawbacks of current prevention methods and introduce future techniques to keep bad scripts at bay.
  • WHEN: Thursday, September 17th 2009, 18h00
  • WHERE: École de technologie supérieure, 1100, rue Notre-Dame ouest, Montréal, Room: A-1424
  • REGISTRATION: owaspmontreal at gmail.com. Registration is mandatory. Please include name, company and how many attendees.
  • SPONSORS: This meeting is sponsored by Gardien Virtuel and ETS.
  • PROGRAM:
  • * Please note there is no lunch offered, but prizes will be offered by Gardien Virtuel (3 security books) and the Chapter will offer some OWASP gears.
    18:00-18:05 Welcome speech by Chapter Leader
   18:05-18:15 Welcome speech by sponsors
   18:15-19:00 Main presentation
   19:00-19:15 Open discussion
   19:15-...   End of the meeting at the ETS Pub


[[Image:|LogoGardienVirtuel_150.gif]] Logo ets.png


April 7th 2009 in Montreal (Introduction to Web Application Hacking LIVE!)

  • MAIN PRESENTER: Rafal Los, Sr. Web Security Specialist at HP (Topic: Intro to Web Application Hacking LIVE!)
  • BIO: Rafal Los is currently a Sr. Security Consultant with Hewlett-Packard’s Application Security Center (ASC). Rafal has over 13 years of experience in network and system design, security policy and process design, risk analysis, penetration testing and consulting. Over the past eight years, he has focused on Information Security and Risk Management, leading security architecture teams and managing successful enterprise security programs for General Electric and other Fortune 100 companies, as well as SMB enterprises. Previously Rafal spent three years in-house with GE Consumer Finance, leading its security programs.
  • WHEN: Tuesday, April 7th 2009, 18h00
  • WHERE: CN Building, 935 De la Gauchetière Street West (Downtown), Montreal , Quebec H3B 2M9, Transcontinental room (ground floor)
  • REGISTRATION: owaspmontreal at gmail.com. Registration is mandatory . Please include name, company and how many attendees.
  • SPONSORS: This meeting is sponsored by Gardien Virtuel and CN.
  • PROGRAM:
     18:00-18:15 Food and drinks 
    18:15-18:30 Welcome 
    18:30-20:00 Main presentation
    20:00-20:30 Open discussion

[[Image:|LogoGardienVirtuel_150.gif]] Cn_logo.gif

First meeting on February 24th 2009 in Montreal (Security Development Lifecycle for IT)

  • MAIN PRESENTER: Rob Labbe, Microsoft (Topic: Security Development Lifecycle for IT)
  • WHEN: Tuesday, February 24th 2009, 18h00
  • WHERE: 111 Duke 7th floor, Montreal, QC, H3C 2M1 (room 734.1)
  • REGISTRATION: owaspmontreal at gmail.com. Registration is mandatory. Please include name, company and how many attendees.
  • SPONSORS: This meeting is sponsored by Microsoft, CGI.
  • PROGRAM:
     18:00-18:15 Food and drinks
    18:15-19:00 OWASP Goal and Top Ten 2007 for Managers (by Benoit Guerette)
    19:00-20:00 Security Development Lifecycle for IT (by Rob Labbe, Microsoft)
    20:00-20:30 Open discussion

Logo_microsoft.jpg Logo_cgi.jpg

OWASP Montreal News archive

2013-10-11 : OWASP Montréal - 11 novembre 2013 - ISO/IEC 27034 – Sécurité des applications

2013-10-07 : OWASP Montréal - 7 novembre 2013 - Vulnérabilités liées au téléversement de fichiers

2013-09-12 : OWASP Montréal - 12 septembre - OWASP Top 10 2013

2013-08-19 : MontréHack Web4kids

2013-08-06 : OWASP Canada - August 7th - Bug Bounty Program for the Web

2013-07-03 : OWASP Montreal - July 3rd - Linux/CDorked

2013-06-13 : Restructuration of the board, named Xavier Garceau-Aranda as Polytechnique Acamedic Lead and Alexandre Rimthong as UQAM Acamedic Lead.

2013-05-22 : OWASP Montréal - 22 mai - Injections LDAP

2013-03-25 : OWASP Montreal - March 25th - Drupal Security - Ben Jeavons, Acquia

2013-02-28 : Hangout at ConFoo 2013 - Demystifying web cache - Kristian Lyngstøl, Varnish Software

2013-02-27 : OWASP at ConFoo 2013 - Come see us at the community table

2013-02-26 : OWASP Montreal - February 26th - Secure Coding pour Java - Sébastien Gioria, OWASP France

2013-01-29 : OWASP Montreal Hangout - Meet the board and see what's next

2012-12-17 : The Board elected Jonathan Marcil as Chapter Leader!

2012-11-20 : Secure Code Review - OWASP TOP 10 - Sherif Koussa, OWASP Ottawa

2012-10-30 : Les utilités d’un pare-feu applicatif Web (WAF) -> Jonathan Marcil, OWASP Montreal

2012-06-18 : Evolution of Malware and Defense from an Enterprise Infrastructure -> John Otterson

2012-02-12 : Integrating security in a webapp project: from the idea to going live -> Antonio Fontes, Philippe Gamache, Sébastien Gioria

2011-11-17 : Gray areas of the Same Origin Policy -> Philippe Arteau

2011-09-15 : XSS Defense In Depth at Scale! -> Jim Manico, WhiteHat Security

2011-07-21 : VEGA -> David Mirza, Subgraph

2011-05-19 : Hackus 2011 - Démonstration d'attaques Web -> Jérémie Goulet, Jonathan Marcil, Hackus 2011

2011-03-08 : Comment obtenir de l'assurance sécurité tout au long d'un projet de déveleopppement web -> Antonio Fontes, L7 Sécurité

2011-01-25 : OWASP Enterprise Security API -> Philippe Gamache, Parler Haut, Interagir Librement

2010-12-04 : The new chapter leader is Philippe Gamache

2010-10-25 : Tweet My Trojan Please -> Sherif Koussa, Software Secured

2010-07-13 : Le fuzzing et les tests d'intrusions -> Eric Gingras & Sebastien Duquette, Gardien Virtuel

2010-05-11 : Why Implementing Cryptography is Hard

2010-03-19 : Next meetings date are published

2010-03-10 : OWASP Application Security Verification Standard (ASVS) Project -> Sebastien Gioria

2010-02-02 : Authentification forte by Philippe Gamache

2010-01-21 : The Board elected Philippe Gamache as Vice Chapter Leader!

2010-xx-xx : Look at the tabs, 2 meeting date are scheduled

2009-11-03 : November 3rd 2009, Pravir Chandra present Software Assurance Maturity Model (OpenSAMM)

2009-09-17 : Next meeting on September 17th 2009!

2009-07-13 : We are preparing the next meeting, it will be held on September.

2009-04-07 : Next meeting on April 7th 2009 in Montreal!

2009-02-25 : Already working for the 2nd meeting in 3 months, more details to come on this site.

2009-02-24 : OWASP meeting on February 24th 2009 in Montreal!

2009-01-20 : Board meeting

2008-12-04 : Creation of the chapter board

2008-11-28 : The new chapter leader is Benoit Guerette ([email protected])

2008-10-14 : First meeting preparation.

2007-10-09 : First meeting preparation. (Cancelled)

2007-08-06 : Email list installation.

2007-07-13 : Start-up of the Montreal Chapter. Welcome!

Circle owasp logo nowhitebackground.png

OWASP Montreal - February 3rd - Getting to Know the Software Assurance Marketplace (SWAMP)

Link to video Watch the conference / Regarder la conférence
Slides See the slides / Voir la présentation


  • MAIN PRESENTER: Pat Beyer
  • ADDITIONAL PRESENTER: Abe Megahed
  • ABSTRACT: The Software Assurance Marketplace (SWAMP) is an open facility that is designed, built, and operated by four research institutions. The SWAMP provides no-cost access to an array of open-source and commercial software analysis tools. This presentation will provide an overview and demo of the SWAMP, including our goals, intended audience, current capabilities, and future plans. We will cover our relationship with OWASP, incorporation of open-source software assurance tools, and status as an open-source project and resource available to the software community. Visit https://continuousassurance.org/ to learn more about us.
  • BIO: Pat Beyer serves as the Product Manager for the Software Assurance Marketplace (SWAMP). With over 25 years of experience successfully managing multi-million dollar global projects, Beyer’s expertise extends to the IT, construction, and operations sectors, with a specialization in managing government contracts and grants. A gifted communicator, Beyer is a sought after speaker due to his ability to deliver complex information about technology products and services in a way that is easily understood. He is a decorated combat veteran of the Global War on Terror, the international military campaign that started following the 9/11 terrorist attacks on the United States. In 2004, he constructed and rehabilitated over 20 schools, clinics, and water treatment plants for the Iraqi people using local contractors. Beyer also holds a Bachelor of Science, a Masters in Business Administration, a Ph.D. in Organization and Management, and a Project Management Professional (PMP) certification.
  • BIO: Abe Megahed is a web developer for the Software Assurance Marketplace. In previous lifetimes, he has been a computer graphics researcher, a game programmer, a programming language and compiler nerd, a dot com company founder, a creator of helicopter simulations, and a developer of 3D simulations for NASA astronaut crew training.
  • WHEN: Tuesday, February 3rd 2015
  • WHERE: Room PK-1140 - UQAM Pavillon Président-Kennedy, 201 Avenue du Président-Kennedy J2X 3Y7
  • REGISTRATION: https://owaspmtlswamp2015.eventbrite.ca
  • WEBCAST: https://www.youtube.com/watch?v=p4_vjufcB6Q
  • SLIDES: https://speakerdeck.com/owaspmontreal/getting-to-know-the-software-assurance-marketplace-swamp-by-pat-beyer
 18:00-18:25 Networking
 18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
 18:30-20:00 Main session: Getting to Know the Software Assurance Marketplace
 20:00-...   End of the meeting

SWAMP-Logo-Final-Med.png Ageeilogo.jpg

OWASP Montréal - 4 décembre - Malware côté serveur — évolution, méthodes d’opération et forensic Linux

Link to video Watch the conference / Regarder la conférence
Slides See the slides / Voir la présentation

  • PRÉSENTATEUR PRINCIPAL: Marc-Etienne M.Léveillé
  • RÉSUMÉ: Les logiciels malveillants ciblant les serveurs ont évolué. Ils sont utilisés par des groupes de cybercriminels organisés dans le but de faire du profit via des redirections web et l’envoie de pourriels. La présentation portera sur Opération Windigo, une opération malveillante qui a affecté plus de 25 000 serveurs dans le monde. Après une brève description des composantes de Windigo, nous verrons comment les opérateurs déploient leurs logiciels malveillants et surveille leur réseau de serveurs infectés. Des trucs pratiques pour faire de la forensics sur des systèmes Linux seront donnés. Cette présentation est une suite à la présentation "Linux/Cdorked: Server side malware", donnée par Olivier Bilodeau à OWASP Montréal en 2013. La présentation sera en français avec des diapositives en anglais (aka Montreal-style).
  • BIO: Marc-Etienne est un chercheur en logiciel malveillant chez ESET depuis 2012. Il se spécialise dans les logiciels malveillants qui s’attaquent à des plateformes inhabituelles comme aux produits fruités et aux oiseaux nordiques. Dernièrement, il passe beaucoup de son temps à faire la rétro-ingénierie de logiciels malveillants sur des serveurs Linux et s’intéresse à leurs méthodes d’opération. Il adore participer de façon collégiale aux CTFs avec ses amis les CISSP Groupies et jouer de la clarinette. Il tweet très peu à @marc_etienne_.
  • QUAND: 4 décembre 2014 à 18h00
  • OÙ: Local M-1510, Polytechnique Montréal, 2900 Boulevard Edouard-Montpetit
  • INSCRIPTION: https://www.eventbrite.ca/e/owasp-montreal-4-decembre-malware-cote-serveur-evolution-methodes-doperation-et-forensic-linux-tickets-14635313617
  • ÉQUIPE ACADÉMIQUE: Polyhack - http://polyhack.org/
  • PROGRAMME:
18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Malware côté serveur
19:30-20:00 Période de questions

Polyhacklogonoirpetit.png LogoPolytechnique.gif

OWASP Montréal - October 23rd - XXE : À l’assaut des analyseurs XML

Link to video Watch the conference / Regarder la conférence
Slides See the slides / Voir la présentation

  • PRÉSENTATEUR PRINCIPAL: Philippe Arteau
  • RÉSUMÉ: L'utilisation d’XML est fortement répandue. Le format est utilisé pour des fichiers de configuration, pour des métadonnées, pour des documents textes, et bien plus. La prise en charge de fichiers XML n’est pas sans risque. La plupart des analyseurs XML ne sont pas sécuritaires par défaut pour le traitement de fichier externe. Cette présentation fera un survol des vulnérabilités de type « Xml eXternal Entity » et de l’étendue des risques pour différents langages de programmation. Plusieurs démonstrations sont prévues.
  • BIO: Philippe est conseiller en sécurité applicative pour le Groupe Technologies Desjardins. Au quotidien, il s’occupe d’effectuer des tests d’intrusions et des revues de code. Il a découvert des vulnérabilités importantes dans plusieurs logiciels populaires incluant Google Chrome, DropBox, ESAPI et Jira.
  • QUAND: 23 Octobre 2014 à 18h00
  • OÙ: École de Technologie Supérieure Local A-3230, 1100 Rue Notre-Dame Ouest, Montréal, QC H3C 1K3
  • INSCRIPTION: http://www.eventbrite.ca/e/owasp-montreal-23-octobre-xxe-a-lassaut-des-analyseurs-xml-tickets-13426881163
  • PARTENAIRE ACADÉMIQUE: ETS - DCI http://dciets.com/
  • PROGRAMME:
18:00-18:30 Réseautage
18:30-18:45 Mot de bienvenue
18:45-19:45 Présentation principale - "À l’assaut des analyseurs XML" Philippe Arteau
19:45-20:00 Période de questions

Blason dci.png ETS-rouge-devise-impr-fond transparent.png

OWASP Montreal - July 24th - Web security for DevOps: the glory is in the headers

Link to video Watch the conference / Regarder la conférence
Slides See the slides / Voir la présentation

  • MAIN PRESENTER: Jonathan Marcil
  • ABSTRACT: DevOps is a buzzword which can be easily demystified: in essence it is a process which aims to combine the development and system administration process into one; Operations. As developers become responsible for server setup, security counter measures are evolving as well. The line between server configuration and application behaviour has been blurred. In this talk we will cover some HTTP headers in regards to security such as CORS, CSP and HSTS. We will demonstrate several forms of attack, and how they can (should) be countered.
  • BIO: Jonathan is devoted to security and specialized in Web application security. His main occupation is consulting in Web security, but deep down he is a developer with a agnostic vision of programming languages. He has a diploma in Software Engineering from Ecole de Technologie Superieure and more than 10 years of experience in Information Technology and Security.
  • WHEN: At noon on July 24th 2014
  • WHERE: 75 Queen Street, office 3100, Montreal, QC H3C 2N6
  • REGISTRATION: You can join us on site for a pizza slice but this is mainly an online event. Contact [email protected].
  • WEBCAST: https://www.youtube.com/watch?v=6bp1NCLT-YQ
  • SLIDES: https://speakerdeck.com/owaspmontreal/web-security-for-devops-the-glory-is-in-the-headers-by-jonathan-marcil
  • EVENT SPONSOR: Pheromone http://www.pheromone.ca/
  • PROGRAM:
 12:00-12:10 Welcome and quick OWASP introduction
 12:10-13:10 Main presentation - "Web security for DevOps: the glory is in the headers" Jonathan Marcil
 13:10-... Open discussion and questions

Logo-phero.gif


OWASP Montreal - June 18th - Gaps in the Clouds

Link to video Unfortunately, the presentation is not available / Vidéo non disponible
Slides See the slides / Voir la présentation

  • MAIN PRESENTER: Robert Fritz
  • ABSTRACT: Cloud technology offers agility and scaling, and a chance to break away from legacy IT choices. Unfortunately, skipping traditional IT activities often results in poorly patched systems, out of date firewalls, and overprovisioned entitlements wielded by admins whose “day job” is development. Boundaries of accountability and responsibility amongst cloud providers and consumers are confusing, vague, and shift, making security difficult to manage. In such an environment, a “BP-spill” event, where cost wins over safely safety, is likely. This talk will dive down into the cracks between the layers of cloud, and share some of the exciting dirt we have seen and expect to see in coming years.”
  • BIO: Robert Fritz has been practicing security his entire career. Rob started as an Air Force lieutenant at Langley AFB and later at the Pentagon in Washington DC, building and managing classified networks. Finding he was getting too far from technology after a brief stint flying, he left the military to get back to the tech, and built security tools for HP in their HP-Unix lab. Over time he found himself in more and more security design discussions, so co-authored HP’s Commercial Application Threat Analysis Methodology, building an internal consulting practice at HP. This quantitative approach, led to two pending patents, an external-facing consulting practice, and his contributions to NIST IR-7502, the Common Configuration Scoring System (CVSS follow-on). He is the former lead editor for the Center for Internet Security’s HP-UX Benchmark, and current lead for the Android Benchmark. Robert now works for Morgan Stanley as global head of the Strategic Consulting team in the Security Architecture group, and leads the team’s cloud and social-media security practices.
  • WHEN: June 18th 2014
  • WHERE: 700 Rue Wellington, Floor 2, Montreal, QC H3C 3S4
  • REGISTRATION: http://owaspmtl18junems.eventbrite.ca
  • SLIDES: https://speakerdeck.com/owaspmontreal/gaps-in-the-clouds-by-robert-fritz
  • EVENT SPONSOR: Morgan Stanley http://www.morganstanley.com/
  • PROGRAM:
 18:00-18:30 Networking and Morgan Stanley Hosted Pizza and Soft Drinks
 18:30-18:45 OWASP Chapter & Morgan Stanley Welcome
 18:45-19:45 Main presentation - "Gaps in the Clouds" Robert Fritz
 19:45-20:00 Open discussion and questions
 20:00-...   Optional, informal networking at Aziatic - 626 rue Marguerite-d'Youville, Montréal, QC H3C 1W7

Morgan Stanley Historical Logo.png

OWASP Montréal - May 26th - Récapitulatif des challenges NorthSec

Link to video Watch the conference / Regarder la conférence
Slides Slides are not available / Présentation non disponible

  • PRÉSENTATEUR PRINCIPAL: Laurent Desaulniers
  • RÉSUMÉ: Solutions de la compétition en sécurité NorthSec 2014 sur les sujets de XXE + SSRF, WAF Bypass, Xpath Injection, DOM Injection, HTTP Only Flag bypass et contournement de captchas. Une bonne façon d'apprendre sur ces failles que vous étiez ou non un participant de la compétition.
  • MESSAGE DU PRÉSENTATEUR: Vous voyez Rao dans votre soupe? Vous voulez une solution pour un XSS avec des cookies http only? Les captchas illisibles sont un problème? Assistez à la présentation de l'OWASP!
  • BIO: Laurent Desaulniers est un passionné de sécurité informatique. Il a présenté au Hackfest, au colloque RSI, à OWASP et est challenge designer à NorthSec. M. Desaulniers détient les certifications CISSP, CISM, CISA et OSCP.
  • QUAND: 26 mai à 18h00
  • OÙ: Local PK-1140 - Pavillon Président-Kennedy 201, Avenue du Président-Kennedy, J2X 3Y7
  • INSCRIPTION: https://www.eventbrite.ca/e/owasp-montreal-26-mai-recapitulatif-des-challenges-northsec-tickets-11724413035
  • WEBCAST: https://www.youtube.com/watch?v=P8_V3RI1Ru4
  • ÉQUIPE ACADÉMIQUE AGEEI-UQAM - http://www.ageei.org/
  • PROGRAMME:
18:00-18:30 Réseautage
18:30-18:35 Mot de bienvenue par le leader du chapitre (Jonathan M.)
18:35-19:30 Présentation principale : Récapitulatif des challenges NorthSec
19:30-20:00 Période de questions

Ageeilogo.jpg 2397 nsec Logo 500-250.png

Networking with infosec communities - April 21st

Slides Slides are not available / Présentation non disponible

  • RÉSUMÉ: En collaboration avec Montréhack, mtlsec et NorthSec, nous organisons une soirée réseautage dans un pub du centre-ville. Du plaisir garanti avec les membres de plusieurs communautés infosec de Montréal!
  • ABSTRACT: In collaboration with Montréhack, mtlsec and NorthSec, we are organizing a networking evening in a pub downtown. Fun guaranteed with the other security communities in Montreal!
  • QUAND: 21 Avril 2014
  • WHEN: April 21st 2014
  • OÙ/WHERE: BENELUX - Brasserie Artisanale 245 Sherbrooke St W Montreal, QC H2X 1X7
 18:00-21:00 Networking
 21:00-23:59 Remember to drink responsibly!

OWASP Montréal - March 27th - Panel Compétition en sécurité NorthSec

Link to video Unfortunately, the presentation is not available / Vidéo non disponible
Slides Slides are not available / Présentation non disponible

Présentation sous forme de panel - venez poser vos questions!

  • RÉSUMÉ: Les compétitions de type Capture the Flag (CTF) sont un moyen pour les professionnels et amateurs de sécurité informatique de mettre leurs talents à l'épreuve. NorthSec est une compétition Montréalaise annuelle en sécurité appliquée, qui aura lieu cette année au Marché Bonsecours de Montréal le 25, 26 et 27 avril prochain. Elle vise à augmenter le niveau technique des professionnels de la sécurité au Québec, ainsi que de permettre à ses acteurs les plus talentueux de se démarquer.
  • DÉTAILS: Le panel de jeudi, sous la forme d'un échange convivial entre les organisateurs de l'évènement et de ses participants, abordera des thèmes variés comme l'écriture de bon défis, l'infrastructure, la logistique, les inattendus, un bilan de 2013 et tout ça en passant par de savoureuses annecdotes (on l'espère). Venez en grand nombre toucher à ces légendes de la scène infosec montréalaise!
  • PANÉLISTES: Gabriel Tremblay, François Proulx, Laurent Desaulniers, Stéphane Graber
  • ANIMATEUR: Olivier Bilodeau
  • QUAND: 27 mars 2014
  • OÙ: Salle M-1510, École Polytechnique de Montréal, 2500 chemin de Polytechnique, Montréal (Québec) H3T 1J4, pavillon Lassonde
  • INSCRIPTION: https://www.eventbrite.ca/e/owasp-montreal-27-mars-panel-competition-en-securite-northsec-tickets-10918436337
  • ÉQUIPE ACADÉMIQUE: Polytechnique - Polyhack http://polyhack.org/
  • PROGRAMME:
 18:00-18:25 Networking
 18:25-18:30 Mot de bienvenue par le leader du chapitre (Jonathan Marcil)
 18:30-20:00 Présentation principale : Panel NorthSsec

Polyhack.png LogoPolytechnique.gif 2397 nsec Logo 500-250.png


OWASP Montreal - February 25th - Proven Strategies for Web Application Security

Link to video Unfortunately, the presentation is not available / Vidéo non disponible
Slides See the slides / Voir la présentation

  • MAIN PRESENTER: Justin C. Klein Keane
  • ABSTRACT: The rising dominance of the web as an application delivery platform has focused attacker attention squarely on the security of dynamic web applications. Application security is a complex, and shifting, field. Learn about tested and successful techniques to build safer applications, find flaws before they become vulnerabilities, and deploy applications that can detect, and resist attack.
  • BIO: Justin C. Klein Keane is a security engineer and chapter leaders of OWASP in Philadelphia. For over a decade Justin has worked as a trainer, coder, and exploit developer. Justin is currently writing a book for NoStarch Press on hacking, speaks regularly at conferences, holds a masters degree in information technology from the University of Pennsylvania and is credited with hundreds of application vulnerability discoveries.
  • WHEN: February 25th 2014
  • WHERE: Ecole de technologie superieure, 1100 Notre-Dame Street West, Montreal, Room: A-1150
  • REGISTRATION: http://owaspmtljan2014.eventbrite.ca
  • SLIDES: https://speakerdeck.com/owaspmontreal/proven-strategies-for-web-application-security-by-justin-c-klein-keane
  • ACADEMIC PARTNER: ETS - DCI http://dciets.com/
  • PROGRAM:
 18:00-18:25 Networking
 18:25-18:30 Welcome speech by Chapter Leader (Jonathan Marcil)
 18:30-20:00 Main session and open discussion: Proven Strategies for Web Application Security
 20:00-...   End of the meeting in a pub

Dciets.png Logo ets.png

OWASP Montreal - January 28th - Latest trends in Mobile Security

Link to video Watch the conference / Regarder la conférence
Slides See the slides / Voir la présentation

  • MAIN PRESENTER: Francois Proulx
  • ABSTRACT: Last AppSecUSA 2013 had a great line up of talks, especially regarding mobile applications. This session will be covering all the hottest presentations about mobile security by doing an overview from what see saw at AppSecUSA, all with some slides and snippets of presentations that was recorded at the event. Discussion will be encouraged within the audience as this will be more a dynamic event than a regular talk.
  • BIO: François Proulx is a senior mobile application developer who has worked on dozens of iOS applications since the very beginning of the Apple iOS platform. Over the past few years he has switched his focus to security. He spends a lot of his free time participating in Capture the Flag events (CTFs) and organizing the NorthSec security competition.
  • WHEN: January 28th 2014
  • WHERE: UQAM Room PK-1705, Pavillon Président-Kennedy (the big boat at Place des Arts) - 201 Avenue du Président-Kennedy J2X 3Y7
  • REGISTRATION: http://owaspmtl-mobilesecurity.eventbrite.ca
  • SLIDES/CONTENT: YouTube playlist
  • SPONSOR: Academic partner AGEEI-UQAM - http://www.ageei.org/
  • PROGRAM:
 18:00-18:25 Networking
 18:25-18:30 Welcome speech by Chapter Leader (Jonathan M.)
 18:30-20:00 Main session and open discussion: Mobile Security
 20:00-...   End of the meeting in a pub

Ageeilogo.jpg


Presentations For Download

OWASP ASVS by Sebastien Gioria (09/03/2010)

Authentification Forte by Philippe Gamache (02/02/2010)

Software Assurance Maturity Model (OpenSAMM) by Pravir Chandra (03/11/2009)

Crossing the Border – Javascript Exploits by Justin Foster (17/09/2009)

A Laugh RIAt by Rafal Los (07/04/2009)

Microsoft Security Development Lifecycle for IT by Rob Labbe (24/02/2009)

OWASP Goal and Top Ten 2007 for Managers - French version by Benoit Guerette (24/02/2009)

Newer presentations are available on Speaker Deck


Circle owasp logo nowhitebackground.png

OWASP Foundation (Overview Slides) is a professional association of global members and is open to anyone interested in learning more about software security. Local chapters are run independently and guided by the Chapter_Leader_Handbook. As a 501(c)(3) non-profit professional association your support and sponsorship of any meeting venue and/or refreshments is tax-deductible. Financial contributions should only be made online using the authorized online chapter donation button. To be a SPEAKER at ANY OWASP Chapter in the world simply review the speaker agreement and then contact the local chapter leader with details of what OWASP PROJECT, independent research or related software security topic you would like to present on.

La fondation OWASP est une association de professionnels et elle est ouverte à tout intervenant intéressé à en apprendre davantage sur la sécurité applicative. Les chapitres locaux (dont celui de Montréal) sont gérés de façon indépendante et selon un manuel de directives à respecter. Toute contribution financière au chapitre peut être faite en ligne en utilisant l’icône prévu à cet effet. Pour être conférencier au sein de n’importe quel chapitre à l’échelle mondiale, vous n’avez qu’à prendre connaissance du document "entente avec les conférenciers – speaker agreement" et à joindre le responsable du chapitre Montréal avec un descriptif du sujet que vous aimeriez aborder et s’il est relié à un projet OWASP, à de la recherche indépendante ou encore le sujet en particulier, concernant la sécurité applicative, que vous souhaitez aborder.

Circle owasp logo nowhitebackground.png Montreal OWASP Team

Scope of the team is to discuss and plan local activities and meetings


Chapter Leaders

Chapter leader history

  • 2008-2010 - Benoit Guerette, founder and chapter leader
  • 2011-2012 - Philippe Gamache, chapter leader (vice chapter-leader since 2010)
  • 2013-2015 - Jonathan Marcil, chapter leader
  • 2016-... - Anne Gauthier, Michel Bourque, Marius Popescu, Hugo Genesse, Olivier Arteau

Old board members

  • Philippe Pépos Petitclerc
  • Michael Robillard
  • Benoit Guerette (logistics 2015)
  • Alexandre Rimthong
  • Mathieu Binette
  • Sean Coates
  • Jean-Marc Robert
  • Philippe Blondin
  • Benoit Guerette (founder)
  • Laurent Desaulniers