This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org

Difference between revisions of "Quebec City"

From OWASP
Jump to: navigation, search
(Add January 21th conference)
 
(183 intermediate revisions by 2 users not shown)
Line 1: Line 1:
 
__NOTOC__
 
__NOTOC__
  
Bienvenue sur la page d'accueil du chapitre OWASP Ville de Québec ('''OWASP Quebec City''').
+
[[image:OWASPQcCity.png]]
  
*Le leader du chapitre est [mailto:patrick.[email protected] Patrick Leclerc].
+
=Événements à venir=
 +
== 21 janvier 2020: Escalade de privilèges dans le Cloud: D'une simple vulnérabilité SSRF à "Administrateur Cloud Global"==
 +
[[image:MaximeLeblanc.png|100px|left]]
 +
'''Maxime Leblanc'''<br />
 +
Information Security Specialist (SecOps)<br />
 +
Poka<br />
 +
<br />
  
*Le vice-leader est [mailto:[email protected] Louis Nadeau].
 
  
Vous pouvez vous inscrire à la [http://lists.owasp.org/mailman/listinfo/owasp-quebeccity liste de distribution OWASP Ville de Québec] pour recevoir les dernières annonces et notifications de rencontres du chapitre.
+
====Description====
 +
Au cours des derniers mois, j'ai exploré différentes techniques d'exploitation de vulnérabilités de type SSRF (Server-Side Request Forgery), qui peuvent mener à l'accès non autorisé à des ressources réseau auxquelles seul le serveur Web devrait avoir accès. Dans certaines circonstances, les vulnérabilités SSRF peuvent mener à la fuite de clés d'API ou d'accès à la base de données. Dans cette présentation, je démontrerai que dans le contexte d'une application hébergée sur le Cloud, la puissance d'une attaque SSRF a le potentiel d'être décuplée: Un attaquant réussissant ce type d'attaque pourrait prendre le contrôle complet du compte Cloud, les dommages potentiels étant uniquement limités par les capacités du compte administrateur. On peut ainsi imaginer un attaquant ayant accès à l'ensemble des unités de stockage S3 et y hébergeant des logiciels malveillants, ou encore exploitant de puissantes machines pour miner des crypto-monnaies au frais de la victime. La présentation sera accompagnée d'un projet open-source permettant de tester différents scénarios d'exploitation SSRF sur le Cloud: Le Damn Vulnerable Cloud Application Project.
  
Vous pouvez aussi nous suivre sur:
+
Plan
 +
* Intro
 +
* Qu'est-ce qu'une vulnérabilité SSRF (Web)
 +
* Organisation du système de permissions dans le Cloud
 +
* Utilisation d'une vulnérabilité SSRF pour l'obtention de clés d'authentification au cloud
 +
* Escalade de privilèges vers un compte administrateur
 +
* Démonstration
 +
* Défense et contre-mesures
 +
* Conclusion - [https://github.com/m6a-UdS/dvca The Damn Vulnerable Cloud Application project]
  
*[https://twitter.com/owaspquebec @owaspquebec] sur [http://twitter.com twitter].
+
====Lieu====
 +
Local A225 du Cégep de Sainte-Foy
  
*[https://www.facebook.com/OwaspQuebec OwaspQuebec] sur [http://facebook.com facebook].
+
====Horaire====
 +
18:15 - 18:30 Accueil <br />
 +
18:30 - 20:00 Conférence <br />
 +
20:00 - Réseautage et sortie dans un pub pour les intéressés
  
*[http://www.linkedin.com/groups/OWASP-Quebec-4338809 OWASP-Quebec] sur [http://linkedin.com LinkedIn].
+
====Stationnement====
 +
Le stationnement accessible à partir de la rue Nicolas Pinel est gratuit à partir de 18h00
 +
 
 +
====Ouvert à tous! Inscription gratuite! RSVP!====
 +
[[Image:Eventbrite.png|left|link=https://www.eventbrite.ca/e/billets-dune-simple-vulnerabilite-ssrf-a-administrateur-cloud-global-87881232131]]
 +
<br />
  
----
 
  
'''Nos activités sont pour la plupart gratuites pour tous. Soyez plus que participants, devenez membre de notre communauté! Pour [https://www.owasp.org/index.php/Membership_Map devenir membre OWASP]'''<!-- DO NOT ALTER OR REMOVE THE TEXT ON NEXT LINE -->
+
====Merci à notre partenaire académique pour l'événement====
<div style="width:100%;height:160px;border:0,margin:0;overflow: hidden;">[[File:OWASP_Project_Header.jpg|link=]]</div>
 
  
=Accueil=
+
[[Image:cegep ste-foy (117x45).png|Cégep de Sainte-Foy|link=http://www.cegep-ste-foy.qc.ca/]]
 +
<br />
  
<!-- DO NOT ALTER OR REMOVE THE TEXT ON NEXT LINE -->
 
{| style="padding: 0;margin:0;margin-top:10px;text-align:left;" |-
 
| valign="top"  style="border-right: 1px dotted gray;padding-right:25px;" |
 
  
==OWASP Quebec City==
 
  
'''OWASP Quebec city''' est le chapitre OWASP de la '''Ville de Quebec'''.
+
== '''Prochaines activités OWASP Québec''' ==
  
==Introduction==
+
* 17 mars 2020: sujet à confirmer <br />
 +
* 28 avril 2020: sujet à confirmer <br />
 +
* 4 juin 2020: sujet à confirmer <br />
  
Ici vous trouverez les evenements et nouvelles en securiter de la ville de Quebec et ses environs.
 
  
 +
== '''OWASP Ville de Québec est toujours à la recherche de conférenciers!''' ==
  
  
==Description==
+
Si vous souhaiteriez présenter, pour l’avancement de la science et de la connaissance en sécurité applicative, un sujet lors d'une prochaine rencontre OWASP, SVP communiquez avec nous!
  
Le chapitre '''OWASP Quebec City''' est conseille a tous les amateurs et experts de securiter informatique de la region. De nombreuse conference sont afficher sur ce site pour eduquer la communauter Quebecoise. De plus vous retrouverez ici des evenements, tel que le Hack Fest, ou vous pourrez tester vos capaciter de penetration informatique dans un environement competitif. Ce chapitre de ''la Ville de Quebec'' est presentement '''ACTIF'''.
+
[mailto:patrick.leclerc@owasp.org Patrick Leclerc]<br />
 +
[mailto:louis.nadeau@owasp.org Louis Nadeau]<br />
  
  
==Licensing==
+
'''Voici à titre indicatif quelques idées de présentations en lien avec la sécurité applicative, vos sujets nous intéressent également, alors faites-nous en part! :'''
OWASP XXX is free to use. It is licensed under the http://creativecommons.org/licenses/by-sa/3.0/ Creative Commons Attribution-ShareAlike 3.0 license], so you can copy, distribute and transmit the work, and you can adapt it, and use it commercially, but all provided that you attribute the work and if you alter, transform, or build upon this work, you may distribute the resulting work only under the same or similar license to this one.
 
  
 +
* Démonstration d’utilisation d’outils de sécurité disponibles gratuitement ou open source (ex : ZAP, AppSensor, FindSecBugs, Burp, BeEF, ModSecurity, etc.). 
 +
* Les démonstrations et/ou retours d’expérience d’outils de sécurité applicative commerciaux sont permis, toutefois dans un souci de neutralité et d’indépendance, nous demandons à ce que ces présentations demeurent impartiales
 +
* Couverture d’un élément du Top 10 OWASP 2017 (ex : XXE, Insecure deserialization, Insufficient logging and monitoring)
 +
* Méthodes et outils de vérifications du code
 +
* Exploitations de vulnérabilités, contournements de mécanismes de sécurité, comment les prévenir
 +
* Sécurité des applications dans les architectures Web n-tiers et micro-services
 +
* Retour sur expériences dans la résolution et/ou l’implantation de fonctions de sécurité
 +
* Les pièges à éviter dans les configurations CORS
 +
* L’usage sécuritaire des JWT
 +
* Projets de recherches, discussions ouvertes, workshops, brainstorming
  
| valign="top"  style="padding-left:25px;width:200px;border-right: 1px dotted gray;padding-right:25px;" |
 
  
== Qu'est-ce que OWASP Quebec City==
+
'''Logistique :'''
 +
* Les présentations devraient être de 45 minutes à 75 minutes maximum.
 +
* Elles débutent généralement après 18h, en fonction des institutions qui nous fourniront les locaux.
 +
  
OWASP Quebec City  offre:
+
'''Notes :'''
 +
* La neutralité et l’impartialité sont de mise, vos opinions sont bienvenues en autant qu'elles soient exprimées dans le respect
 +
* Toute intervention orale (présentation, formation) lors d'un meeting OWASP est soumise à l'acceptation préalable du règlement des conférenciers
 +
* La vente de produits est strictement interdite<br />
  
* Education
 
* Oportuniter de Recrutement
 
  
 +
= Historique =
 +
== 19 novembre 2019: "Securing open sources libraries in open source code package" ***chez Coveo***==
 +
[[Image:coveo.jpg|200x65px|left|link=https://www.coveo.com]]
 +
'''Jean-Alexandre Beaumont'''<br />
 +
'''Louis-Philippe Déry'''<br />
 +
Coveo
  
== Presentation ==
+
====Description====
 +
Learn how to find and fix vulnerabilities in open source libraries, where to integrate testing to prevent adding new vulnerable libraries to your code and how to respond to newly disclosed vulnerabilities in libraries you already use.
  
"En cours de production"
+
Voici la présentation "[https://fr.slideshare.net/secret/Dpi98oh3ctLZ63 Securing open sources libraries in open source code package]"
  
  
  
 +
== 1 et 2 novembre 2019: kiosque et CTF OWASP au HackFest UpsideDown ==
 +
[[Image:hackfest 2019 200px.jpg|200x78px|left|link=http://www.hackfest.ca]]
 +
{| border="0"
 +
|
 +
|}
 +
Le chapitre OWASP Ville de Québec et OWASP Montréal ont collaborés encore une fois pour assurer une présence OWASP au '''[http://www.hackfest.ca HackFest]'''. 
 +
Merci aux organisateurs et participants du CTF OWASP qui font de cet événement un succès année après année!
 +
<br />
  
== Project Leader ==
 
  
*Le leader du chapitre est [mailto:[email protected] Patrick Leclerc].
 
  
*Le vice-leader est [mailto:[email protected] Louis Nadeau].
 
  
 +
== 3 septembre 2019 - Conférence - Histoire vraie : Implémenter le SecDevOps en entreprise ==
 +
[[image:GuillaumeCroteau.jpg|100px|left]]
 +
'''Guillaume Croteau'''<br />
  
== Related Projects ==
+
Ingénieur Logiciel <br />
 +
Bentley Systems
  
* [https://www.owasp.org/index.php/Montr%C3%A9al OWASP Montreal]
 
  
| valign="top"  style="padding-left:25px;width:200px;border-right: 1px dotted gray;padding-right:25px;" |
+
====Description====
 +
Lorsque l’on parle de DevOps, on parle aussi de l’importance d’avoir du SecDevOps, l’intégration de la sécurité dans le processus DevOps. Plusieurs sources, tel que le SANS, offrent des lignes directrices sur ce que devrait avoir un bon SecDevOps.
  
== Evenements==
+
La théorie c’est bien, mais qu’en est-il en pratique? Quelle est la réalité lorsque l’on s’assis derrière son bureau et que l’on se dit « Commençons à implémenter notre SecDevOps »?
'''6 septembre 2016''' | Conférence au Cégep de Ste-Foy : Sujet à venir
 
  
'''4 octobre 2016''' | Conférence au Cégep de Ste-Foy : Sujet à venir
+
Lors de cette présentation, nous parlerons de la transformation interne de Bentley Systems vers le DevOps et par conséquent, l’implémentation du SecDevOps. Nous traverserons ensemble une année de travail à travers une personne qui a fait part de ce changement. Nous aborderons le début cahoteux, les bons et les moins bons coups, les défis rencontrés, etc.
  
'''3 novembre 2016''' | [https://hackfest.ca/fr/formations/secure-coding-web-2016/ '''Formation en sécurité applicative'''] par Jim Manico
+
Le but de cette présentation n’est pas d’expliquer ce qu’est un bon SecDevOps et comment l’implémenter. Il s’agit d’un témoignage d’une équipe de sécurité applicative qui a vécue et participée à son implémentation dans une entreprise de 30 ans d’âge.
  
'''4-5 novembre 2016''' | OWASP Québec et OWASP Montréal au '''[http://www.hackfest.ca HackFest 2016]'''
+
Voici la présentation "[https://www.slideshare.net/secret/uw1RBZ1Uike7Cp Histoire vraie : Implémenter le SecDevOps en entreprise]"
  
'''29 novembre 2016''' | Conférence au Cégep de Ste-Foy : Sujet à venir
 
  
  
== Contact et Newsletter ==
+
== 5 juin 2019: Moderne Identification et AuthN/AuthZ : Comprenons-nous tous les enjeux? ==
 +
[[image:Franck Desert.jpg|100px|left]]
 +
'''Franck Desert'''<br />
 +
Analyste en sécurité applicative <br />
 +
CGI Inc <br />
 +
<br />
  
Pour nous contacter : [mailto:[email protected] OWASP Ville de Québec]<br>
 
  
Pour s'inscrire à la liste de diffusion: [http://lists.owasp.org/mailman/listinfo/owasp-quebeccity liste OWASP Ville de Québec]
+
====Description====
  
|}
+
Description:
= Nouvelles OWASP Quebec City =
+
À l'heure où le Cloud devient omniprésent les enjeux d’authentification et d'autorisation deviennent incontournables!
 +
Tous les protocoles, frameworks, standards, etc. se chevauchent et s'entrecroisent!
 +
* Comment utiliser les IdP, les "relaying parties", les ADs (b2b, b2c)?
 +
* Qu'en est-il alors du SSO?
 +
* Comment s'y retrouver dans les différents JWTs & JWKs?
 +
* SAML? WS-*?
 +
* Et enfin toutes les fédérations possibles?
 +
Bref, vous l'aurez compris, j'essayerai de passer en revue tout cela!
 +
Cas concrets et exemples de codes réels seront présents (Azure, AWS, peut-être GCP)
  
==1 au 5 novembre 2016: HackFest Infinity: Formation, kiosque et CTF OWASP==
 
  
{| border="0"
+
== 23 avril 2019: Introduction au CTF avec OWASP Juice-Shop ***chez Bentley Systems*** ==
 +
[[image:Vincent_L-Garant_2.png|100px|left]]
 +
'''Vincent L-Garant'''<br />
 +
Application Security Engineer <br />
 +
Bentley Systems <br />
 +
<br />
  
[[Image:Hackfest2016 small.png|200x88px|right|link=http://www.hackfest.ca]]
 
  
|
+
====Description====
  
|}
+
Il s’agit d’une activité de style « workshop », semi-dirigée, pour débuter en CTF (Capture The Flag). Tout au long de la soirée, vous pourrez vous « faire les dents » sur la plateforme d’apprentissage Juice-Shop d’OWASP, qui permet entre autres le déroulement local d’une activité complète de style CTF, avec des challenges et astuces. Juice-Shop permet de pratiquer vos talents de « l337 h4ck3r » dans un environnement contrôlé, similaire à un vrai site de vente.
 +
Des animateurs seront disponibles pour répondre à vos questions si jamais vous êtes dans une impasse. Il y aura également des défis en groupes. Une bonne occasion de vous initier au hacking web!
  
Le chapitre OWASP Ville de Québec et OWASP Montréal collaborent encore une fois pour assurer une présence OWASP au '''[http://www.hackfest.ca HackFest 2016]'''.
+
Instructions :
 +
Vous devez apporter votre propre portable et un câble ethernet. Votre ordinateur doit être en mesure de fonctionner avec Docker. Il n’est pas nécessaire d’avoir des outils de « pentest » complets, mais un proxy tel que Fiddler, OWASP ZAP ou Burp, etc. est fortement recommandé.
  
Ensemble nous animerons un '''kiosque OWASP''' lors des 2 jours de conférences et de jeux de hacking. Nous aurons également une journée [https://hackfest.ca/fr/formations/secure-coding-web-2016/ '''Formation en sécurité applicative'''] et un '''CTF OWASP'''.
 
  
 +
== 19 mars 2019: Portrait de la sécurité applicative et outils OWASP ==
 +
[[image:100px-PatrickLeclerc.png|100px|left]]
 +
'''Patrick Leclerc'''<br />
 +
Leader du chapitre OWASP Ville de Québec <br />
  
 +
Conseiller en sécurité des actifs informationnels <br />
 +
La Capitale
 +
<br />
  
----
 
  
'''Nous sommes toujours à la recherche de conférenciers, de démonstrations ou de sujets de discussion. Manifestez-vous!'''
+
====Description====
  
= Agenda =
+
Les applications Web sont des cibles prisées des pirates informatiques, très fréquemment ils s’y faufilent sans être détectés ou arrêtés.  Parfois même, ces applications représentent un vecteur par lequel un pirate parvient à une compromission complète des systèmes de mission d’une organisation.
 +
Vol d’informations confidentielles, fraude, bris de disponibilité, falsification des données, sabotage, atteinte à la réputation, sont tous des risques que les organisations doivent tenter de prévenir.
 +
Dans cette conférence, nous vous ferons connaître quelques stratégies et outils gratuitement disponibles qui vous aideront à prendre en main efficacement le développement et l’exploitation d’applications sécuritaires.
  
Les meetings OWASP ont lieu quelques fois par année et se déroulent généralement dans une salle prêtée par un commenditaire ou partenaire de l'OWASP. Maintenez-vous informé des prochaines rencontres en vous inscrivant à la [http://lists.owasp.org/mailman/listinfo/owasp-quebeccity liste OWASP Ville de Québec].
+
Voici la présentation "[https://www.slideshare.net/secret/iZaWiyZUOM19Xn Portrait de la sécurité applicative et outils OWASP]"
  
'''6 septembre 2016''' | Conférence au Cégep de Ste-Foy : Sujet à venir
 
  
'''4 octobre 2016''' | Conférence au Cégep de Ste-Foy : Sujet à venir
+
== 19 février 2019: Concevoir et implémenter un plan de formation et de sensibilisation à la sécurité ==
 +
[[image:Vincent_L-Garant_2.png|100px|left]]
 +
'''Vincent L-Garant'''<br />
 +
Application Security Engineer <br />
 +
Bentley Systems <br />
 +
<br />
  
'''3 novembre 2016''' | [https://hackfest.ca/fr/formations/secure-coding-web-2016/ '''Formation en sécurité applicative'''] par Jim Manico
 
  
'''4-5 novembre 2016''' | OWASP Québec et OWASP Montréal au '''[http://www.hackfest.ca HackFest 2016]'''
+
====Description====
  
'''29 novembre 2016''' | Conférence au Cégep de Ste-Foy : Sujet à venir
+
Avoir des antivirus sur tous les postes et des firewalls devant chaque serveur, c’est bien, mais si tout le monde ouvre Trust_me.exe en attachement de la part d’un prince nigérien, ça ne sert à rien. Comme la sécurité suit le principe du maillon faible et que dans la plupart des systèmes, le maillon faible c’est l’humain, il est important de bien former ses employées.
  
'''Autres évènements à venir, suivez-nous sur notre liste OWASP Québec ou sur nos médias sociaux'''
+
La présentation parlera des étapes pour concevoir et implémenter un plan de formation et de sensibilisation à la sécurité. Pour enclencher un processus de formation interne, il est important de :
  
= Historique =
+
Voici la présentation "[https://www.slideshare.net/secret/9slxoP7OBssVLk Concevoir et implémenter un plan de formation et de sensibilisation à la sécurité]"
  
==6 au 8 avril 2016: Partenariat OWASP Québec et Web à Québec 2016==
+
* Définir sa « clientèle »
 +
* Identifier nos forces et nos faiblesses
 +
* Définir un plan de déploiement
 +
* Préparer la(les) formation(s)
 +
* Stimuler et calculer la complétude
 +
* Se tenir à jour
  
{| border="0"
 
  
[[Image:WAQsmall.png|289x150px|right|link=http://webaquebec.org/]]
+
== 5 décembre 2018: CTF What? Présentation du monde CTF! « Capture The Flag » ==
 +
[[image:Franck Desert.jpg|100px|left]]
 +
'''Franck Desert'''<br />
 +
Analyste en sécurité applicative <br />
 +
CGI Inc <br />
 +
<br />
  
|
 
  
|}
+
====Description====
  
OWASP Québec au [http://webaquebec.org/ '''Web à Québec 2016''']
+
Attaque/Défense, Jeopardy, Puzzle Technique, Retro ou New Tech, nous allons vous raconter l'histoire, l'existant, ce qui s'en vient dans le monde du CTF et présenter également le devant et le derrière du miroir.
  
Conférence de David Caissy '''[http://webaquebec.org/#!la-securite-des-applications-web-en-2016 Sécurité des applications Web en 2016]'''
+
Mais ne vous y trompez pas!  Le CTF devient la nouvelle façon de se former, de rester sur le "Edge", de recruter, etc. Donc, que vous soyez développeur, pentester, defender, chargé de projet, manager ou tout simplement curieux, cette présentation est pour vous!  
 +
En effet, l’apprentissage ludique qu’est le CTF doit prendre une place importante dans votre quotidien, que vous le fassiez à titre personnel ou afin de convaincre votre entreprise de l'intégrer, il est temps de s’y mettre!
  
 +
Voici la présentation "[https://fr.slideshare.net/secret/5MG3Lmv9Rv08AJ CTF What? Présentation du monde CTF!]"
  
 +
====Bio====
  
 +
Franck est architecte organique mais avant tout un enthousiaste de la sécurité impliqués dans l’organisation du Hackfest. Très motivé à partager ses 24 ans d’expérience en développement de systèmes, Franck est excellent présentateur et n’a pas peur d’apporter du contenu dans ses échanges avec les autres. Franck est aussi à surveiller avec ses idées/projets/initiatives orienté communauté qui sont particulièrement à la fine pointe
  
  
 +
== 2 et 3 novembre 2018: kiosque et CTF OWASP au HackFest Decade (10 ans déjà!) ==
 +
[[Image:Hackfest2018.png|200x62px|left|link=http://www.hackfest.ca]]
 +
{| border="0"
  
 +
|
 +
|}
 +
Le chapitre OWASP Ville de Québec et OWASP Montréal ont collaborés encore une fois pour assurer une présence OWASP au '''[http://www.hackfest.ca HackFest Decade]'''. 
 +
Merci aux organisateurs et participants du CTF OWASP qui font de cet événement un succès année après année!
  
==7 avril 2016: La sécurité des applications Web en 2016==
 
  
Les vulnérabilités reliées aux applications Web ont été un facteur important dans la plupart des cybers attaques dans le monde en 2015. Malgré cela, l’industrie tarde à réaliser où se trouve le vrai problème : les entreprises investissent massivement dans la protection de leurs réseaux sans savoir que les applications Web ne sont que partiellement protégées par ces mesures. C'est pourquoi 15.1% des applications Web en 2015 possédaient au moins une vulnérabilité de niveau élevé…
+
== 17 octobre 2018: Survol de la sécurité de Microsoft Azure ==
 +
[[image:Maxime Coquerel.png|100px|left]]
 +
'''Maxime Coquerel'''<br />
 +
Architecte de sécurité Cloud / MVP Azure<br />
 +
Logibec <br />
 +
<br />
  
Mais la bonne nouvelle est que si certains principes de sécurité sont appliqués dès le début du développement des applications et si les bonnes mesures d’atténuation sont mises en place lors de leur déploiement, il est possible d’obtenir un très haut niveau de sécurité à faible coût.
 
  
Alors quelles stratégies devrions-nous adopter pour nous prémunir de ces cybers attaques? Quelles ont été les principales vulnérabilités recensées en 2015? Quels sont les exemples à suivre dans l’industrie et plus important encore, quels sont les pièges à éviter?
+
====Description====
  
{| border="0"
+
Dans cette présentation nous parcourrons ensemble les principaux services de sécurité offerts par la plateforme Cloud Azure. Cette présentation sera appuyée par des démos live.
  
[[image:DavidCaissy2.png|200px|right]]
+
Voici la présentation "[http://zigmax.net/wp-content/uploads/2018/10/Azure-Security-OWASP.pdf Survol de la sécurité de Microsoft Azure]
  
|
+
====Bio====
  
'''David Caissy'''<br />
+
Fort de 10 ans d’expérience, Maxime intervient dans des secteurs d'activités aussi variés que : la défense, l'aéronautique, les assurances et le bancaire, le médical ainsi que pour des start-ups technologiques
 +
Diplômé en Cyber Sécurité de l’Institut National des Sciences Appliqués de Lyon (France) et du Massachusetts Institute of Technologie (Cambridge, USA), Maxime est également certifié auprès d’Amazon Web Services, Microsoft, IBM, Apple, Pao-Alto et VMware.
 +
En parallèle à ses activités professionnelles, Maxime est un conférencier international reconnu. Il est notamment intervenu lors de l'IBM InterConnect 2016 à Las Vegas (Nevada, États-Unis) et lors du Microsoft Global Azure BootCamp (Québec, Canada). Maxime intervient fréquemment comme conférencier technique au Canada.
 +
Maxime contribue également au développement de logiciels open source comme Kubernetes, Microsoft Visual Code, en plus d’être l’auteur depuis 2012 du blog « l’Infrastructure pour tous » https://zigmax.net)
  
Security Consultant <br />
 
  
Department of National Defense
+
== 12 septembre 2018: Pourquoi le SPA (Single Page Application) est faillible? ==
 +
[[image:Franck Desert.jpg|100px|left]]
 +
'''Franck Desert'''<br />
 +
Analyste en sécurité applicative <br />
 +
CGI Inc <br />
 +
<br />
  
|}
 
  
 +
====Description====
  
 +
La plupart des organisations faisant du développement web ont déjà ou veulent introduire cette "nouvelle" technique qu’est le SPA… toutefois est-ce fait de façon sécuritaire?
 +
Une brève exploration du passé nous montrera ce que nous avons appris et probablement oublié avec cette nouvelle guerre du « Front-End ».
 +
Par la suite, nous allons voir ce qu’est une SPA, les changements que ça apporte aux étapes de développement ainsi que les avantages et inconvénients pour les développeurs et les utilisateurs.
 +
Le tout sera accompagné d’exemples vous montrant que les directions initialement prises doivent changer.
 +
Finalement, nous verrons ce qu’il faut retenir du passé pour ne pas répéter les mêmes erreurs.
  
 +
Voici la présentation "[https://fr.slideshare.net/secret/5bW5HeT2C5BEum Pourquoi le SPA (Single Page Application) est faillible?]" 
  
 +
====Bio====
  
 +
Franck est architecte organique mais avant tout un enthousiaste de la sécurité impliqués dans l’organisation du Hackfest. Très motivé à partager ses 24 ans d’expérience en développement de systèmes, Franck est excellent présentateur et n’a pas peur d’apporter du contenu dans ses échanges avec les autres. Franck est aussi à surveiller avec ses idées/projets/initiatives orienté communauté qui sont particulièrement à la fine pointe
  
  
==16 mars 2016: Stratégies pour développer et exploiter des applications sécuritaires à [https://asiq.org/ l'ASIQ]==
+
== 5 juin 2018: Introduction OAuth 2.0 et OpenId Connect 1.0 ==
 +
[[image:Marc-André Tousignant.jpg|100px|left]]
 +
'''Marc-André Tousignant'''<br />
 +
Analyste en sécurité de l'information <br />
 +
iA Groupe financier <br />
 +
<br />
  
Conférence de Patrick Leclerc '''[https://asiq.org/evenement/strategies-pour-developper-et-exploiter-applications-securitaires/ Stratégies pour développer et exploiter des applications sécuritaires]'''
 
  
De nos jours les applications Web sont des cibles prisées des pirates informatiques, puisque très fréquemment ils s’y faufilent sans être détectés ou arrêtés. Parfois même, ces applications représentent un vecteur par lequel un pirate parvient à une compromission complète des systèmes de mission d’une organisation.
+
====Description====
 +
 
 +
Dans un monde où la mobilité devient omniprésente, où les applications et les services en ligne ont un besoin grandissant de s’échanger de l’information, des technologies qui permettent de soutenir cette transformation de façon sécuritaire sont nécessaires. Pour faire face à cette nouvelle réalité, Oauth et OpenID Connect ont vu le jour et en raison de leur adoption par des acteurs influents de l’industrie, leur utilisation est pratiquement devenue un incontournable.  
 +
Cette présentation se veut un survol du « framework » Oauth 2.0 ainsi que du protocole OpenID Connect 1.0. Ensemble, nous prendrons connaissance des raisons d’être de chacune de ces technologies, de leurs particularités et de leur fonctionnement. Nous poursuivrons avec des mises en contexte concrètes et terminerons avec un survol des vulnérabilités associées.
  
Vol d’informations confidentielles, fraude, bris de disponibilité, falsification des données, sabotage, sont tous des risques que les organisations doivent tenter de prévenir.
+
Voici la présentation "[https://www.slideshare.net/MarcAndrTousignant/introduction-oauth-20-et-openid-connect-10-102478531 Introduction OAuth 2.0 et OpenId Connect 1.0]" 
  
Dans cette conférence, nous vous ferons connaître quelques stratégies et outils qui vous aideront à prendre en main efficacement le développement et l’exploitation d’applications sécuritaires.
+
====Bio====
  
{| border="0"
+
Marc-André est passionné par la sécurité informatique depuis plusieurs années. Il œuvre dans le domaine des TI depuis 10 ans et à titre d'analyste en sécurité de l'information depuis 5 ans. Il a un intérêt manifeste pour la sécurité applicative, la mobilité et tout ce qui touche l'identité numérique.
  
[[image:PatrickLeclerc.png|100px|right]]
 
  
|
+
==24 avril 2018: La sécurité dans un environnement docker/kubernetes/cloud avec micro-services==
 +
[[image:VincentCrepin.png|100px|left]]
 +
'''Vincent Crépin'''<br />
 +
Architecte logiciel <br />
 +
Elapse Technologies <br />
 +
<br />
  
'''Patrick Leclerc'''<br />
 
  
Leader du chapitre OWASP Québec <br />
+
====Description====
  
OWASP Ville de Québec
+
L'architecture micro-services gagne en popularité depuis les deux dernières années, mais elle comporte son lot de défis particulièrement au niveau de la visibilité sur le service mesh et de la sécurité. Afin de pouvoir bénéficier des avantages de cette architecture, il est nécessaire d’utiliser une plateforme appropriée permettant des déploiements rapides et simplifiés. docker en combinaison avec kubernetes dans un environnement cloud est un exemple de ce type de plateforme. Cette courte présentation se veut un survol des défis reliés à la sécurité dans un tel contexte et propose des solutions pour en mitiger les risques. À partir d'une implémentation réelle, on présente les différentes approches utilisées et les outils mis en place pour adresser plusieurs aspects de sécurité.
 +
Les grands thèmes abordés sont:
 +
*Technologies par containers (docker)
 +
*Plateforme d'orchestration (gcloud, kubernetes, Istio, Forsety)
 +
*Authentification et autorisation (Firebase, JWT)
 +
*API Gateway (Kong)
 +
*CI/CD (Jenkins, outils d'analyse statique, vérifications de sécurité)
 +
*Registre d'images
  
|}
+
Voici la présentation "[https://www.slideshare.net/secret/ujqB3BEeTQ4Gkx La sécurité dans un environnement docker/kubernetes/cloud avec micro-services]"
  
 +
====Bio====
  
 +
Vincent est un architecte logiciel passionné et comptant plus de 25 années d'expérience.  Il est spécialisé en intégration, conception logicielle et architecture cloud. Intéressé par la mobilité, la sécurité et le DevOps, il travaille dans plusieurs grandes entreprises à titre de conseiller en architecture.  Il est fondateur de Elapse Technologies.
  
  
 +
==13 avril 2018: OWASP Québec au CQSI 2018: "Buzzwords et enjeux de sécurité"==
 +
[[Image:CQSI-logo.jpg|205x100px|left|link=https://www.cqsi.org/]]
 +
<br />
  
  
  
==2 février 2016: Comprendre l'usage de la crypto pour les développeurs : choses à faire et à ne pas faire==
 
  
Souvent, la cryptographie (encryptions, hashing, etc.) est enseignée et présentée d'un point de vue mathématique. Par contre, dans l'industrie, les problèmes les plus fréquents qui sont rencontrés n'ont rien à voir avec les mathématiques, mais sont plutôt dus à une mauvaise utilisation pratique des techniques de cryptographie. Dans cette présentation, je ferai un rappel des différents outils de cryptographie et de leur raison d'être, et je parlerai des problèmes fréquents rencontrés avec leur utilisation. Je ne parlerai pas des algorithmes mathématiques, mais plutôt de l'aspect pratique de l'utilisation de ces algorithmes.
 
  
{| border="0"
+
Dans le cadre du '''"[https://www.cqsi.org/ CQSI]"''', OWASP Québec (Patrick Leclerc et Louis Nadeau) ont donné une conférence: '''"Buzzwords et enjeux de sécurité"'''
  
[[image:LouisNadeau.png|100px|right]]
+
====Description====
 +
Cloud, DevOps, CI/CD, Microservices... Ces paradigmes à la mode engendrent leur lot d’enjeux de sécurité. Mieux vaut connaitre ces derniers à l’avance que de les découvrir trop tard dans le parcours.  Nous avons discuté des divers aspects de sécurité que vous aurez à considérer lors de l’adoption de ces paradigmes
  
|
+
Voici la présentation "[https://www.slideshare.net/secret/CsgTS3JLxdsXPC Buzzwords et enjeux de sécurité]"
  
 +
==20 mars 2018: Explication des nouveaux risques "OWASP Top 10 2017"==
 +
[[image:LouisNadeau.png|100px|left]]
 
'''Louis Nadeau'''<br />
 
'''Louis Nadeau'''<br />
 +
Co-leader du chapitre OWASP Ville de Québec <br />
 +
Responsable de la sécurité <br />
 +
Bentley Systems
  
Responsable de la sécurité <br />
 
  
Bentley Systems
+
====Description====
 +
Dans cette conférence, nous allons analyser le nouveau Top 10 OWASP et les différences avec les versions précédentes. Nous allons par la suite regarder des exemples de A4 XML External Entity (XXE) et de A8 Insecure Deserialization.  En bonus, quelques activités avec l’outil YSoSerial.Net
 +
 
 +
Voici la présentation "[https://www.slideshare.net/secret/nfpdBSCfXxVlF5 Explication des nouveaux risques OWASP Top 10 2017]"
  
|}
+
==20 février 2018: La sécurité web pour les développeurs .NET==
 +
[[image:Philippe_Arteau.jpg|100px|left]]
 +
'''Philippe Arteau'''<br />
 +
Chercheur en sécurité<br />
 +
GoSecure<br />
  
  
  
 +
'''Description''':
  
 +
Les meilleures pratiques en sécurité sont souvent génériques et agnostiques du langage de programmation. Cela rend la vie difficile aux développeurs. Dans cette présentation, les vulnérabilités les plus communes dans le contexte .NET seront présentées. Différentes classes de vulnérabilités seront explorées dont les XSS, les injections et la cryptographie.
  
 +
'''Bio''':
  
 +
Philippe est chercheur en sécurité pour GoSecure. Sa recherche porte principalement sur la sécurité des applications Web. Ces expériences présentes incluent les tests d'intrusion, la revue de code et le développement logiciel. Il est l'auteur de l'outil d'analyse statique  Java "Find Security Bugs". Il a créé un outil d'analyse statique pour .NET appelé "Roslyn Security Guard". Il a développé plusieurs plugins pour les proxy Burp et ZAP: Retire.js, Reissue Request Scripter, CSP Auditor et quelques autres. Il a présenté dans plusieurs conférences dont Black Hat Arsenal, ATLSecCon, NorthSec, Hackfest (QC) et JavaOne.
  
==6-7 novembre: Collaboration OWASP Montréal & OWASP Québec au HackFest 2015==
+
Voici la présentation "[https://gosecure.github.io/presentations/2018-03-18-confoo_mtl/Security_boot_camp_for_.NET_developers_Confoo_v2.pdf La sécurité web pour les développeurs .NET]"
  
[[Image:Hackfest_lucky.png|200x75px|right|link=http://www.hackfest.ca]]
+
== 29 novembre 2017 - Journée de 6 conférences sur la sécurité applicative à L'Université Laval ==
 +
[[image:AppSecULaval.png|310x88px|left|link=http://www.isaca-quebec.ca/activites/conference/2017/11/29/colloque-securite-applicative/]]
  
===Kiosque OWASP et mini CTF OWASP===
+
Afin de mettre en avant plan la sécurité applicative à Québec, vos leaders bénévoles d'OWASP Québec se sont joint à d'autres conférenciers spécialistes pour cet événement.<br />
 +
'''"[http://www.isaca-quebec.ca/ ISACA Québec]"''' en partenariat avec le '''"[https://www.bsi.ulaval.ca/ Bureau de sécurité de l’information de l’Université Laval]"''' ont organisé cette fantastique journée sur la '''sécurité applicative'''.<br />
  
Le chapitre OWASP Québec et OWASP Montréal collaborent pour animer un kiosque OWASP lors des 2 jours de conférences et de jeux de hacking au [http://www.hackfest.ca HackFest 2015].
 
  
Nous aurons également un '''mini CTF OWASP''' au "HackFest Party" du samedi soir 7 novembre.
 
  
Le mini-CTF (Capture The Flag) OWASP est une compétition de sécurité Web avec des défis très accessibles. La finale sera diffusée sur grand écran et commentée en direct!
+
'''Merci aux organisateurs! Nous étions "sold out" avec 165 inscriptions!'''
  
Pour se qualifier, obtenez le plus de points et ce, le plus rapidement possible.
+
[[Image:AppSec-ULAVAL-29-nov-17-1.png ]]
 +
[[Image:AppSec-ULAVAL-29-nov-17-2.png ]]
 +
<br />
  
 +
'''Conférenciers et présentations:'''<br />
 +
Patrick Leclerc : "[http://www.isaca-quebec.ca/assets/presentations/2017-11-29-Fondements%20de%20la%20s%C3%A9curit%C3%A9%20applicative%20et%20prise%20en%20charge%20avec%20les%20outils%20OWASP.pdf Fondements de la sécurité applicative et prise en charge avec les outils OWASP]" <br />
 +
Martin Renaud : "[http://www.isaca-quebec.ca/assets/presentations/2017-11-29-La%20s%C3%A9curit%C3%A9%20en%20cours%20de%20d%C3%A9veloppementF.pdf La sécurité en cours de développement]" <br />
 +
François Lajeunesse-Robert : "[http://www.isaca-quebec.ca/assets/presentations/2017-11-29-S%C3%A9curiser%20avec%20de%20bonnes%20pratiques%20de%20testF.pdf Sécuriser avec de bonnes pratiques de test]" <br />
 +
François Harvey : "[http://www.isaca-quebec.ca/assets/presentations/2017-11-29-La%20revue%20de%20codeF.pdf Revue de code]" <br />
 +
Patrick Chevalier : "[http://www.isaca-quebec.ca/assets/presentations/2017-11-29-Tests%20de%20s%C3%A9curit%C3%A9%20dans%20le%20cadre%20du%20cycle%20de%20d%C3%A9veloppementF.pdf Les tests d’intrusion dans le cadre du cycle de développement applicatif]" <br />
 +
Louis Nadeau : "[http://www.isaca-quebec.ca/assets/presentations/2017-11-29-OWASP%20SAMM%20et%20les%20mod%C3%A8les%20de%20maturit%C3%A9.pdf Modèles de maturité]" <br />
  
 +
== 21 novembre 2017 - Conférence - Security Stories: Comment intégrer la sécurité dans un cycle de développement logiciel rapide ==
 +
[[image:GuillaumeCroteau.jpg|100px|left]]
 +
'''Guillaume Croteau'''<br />
  
 +
Ingénieur Logiciel Junior <br />
 +
Bentley Systems
  
  
  
 +
Le développement continu et la livraison continue sont des pratiques de plus en plus répandus. Intégrer la sécurité dans ces cycles de développement rapide peut être un défi de taille. Lors de cette présentation, vous découvrirez une approche exprimée dans la publication de SAFECode : «Practical Security Stories and Security Tasks for Agile Development Environments». Cette approche peut être adaptée à votre contexte et permet d’intégrer des tâches ou des fonctionnalités liées à la sécurité dans votre Sprint. Cette approche offre une réponse à la question : Comment faire en sorte que les requis de sécurité ne soient pas seulement appliqués juste avant la sortie officielle du produit?
  
==20-21 octobre: OWASP Québec au CQSI, Le Carrefour de l'industrie de la sécurité==
+
Voici la présentation "[https://www.slideshare.net/PatrickLeclerc/owasp-quebec-security-stories-par-guillaume-croteau Security Stories: Comment intégrer la sécurité dans un cycle de développement logiciel rapide]"
  
 +
==3 et 4 novembre 2017: kiosque et CTF OWASP au HackFest 2017==
 +
[[Image:Hackfest2017 small.png|200x62px|left|link=http://www.hackfest.ca]]
 
{| border="0"
 
{| border="0"
 
[[Image:CQSI.png|200x75px|right|link=http://http://www.cqsi.org/]]
 
  
 
|
 
|
 
 
|}
 
|}
 +
Le chapitre OWASP Ville de Québec et OWASP Montréal ont collaborés encore une fois pour assurer une présence OWASP au '''[http://www.hackfest.ca HackFest 2017]'''. 
 +
Félicitations à tous les participants du CTF OWASP!
  
Le chapitre&nbsp;OWASP&nbsp;Ville de&nbsp;Québec&nbsp;est&nbsp;heureux&nbsp;d'annoncer sa participation au&nbsp;'''[http://www.cqsi.org/ CQSI 2015&nbsp;(Carrefour de l'industrie de sécurité)]'''&nbsp;qui aura lieu du 20-21 octobre au&nbsp;Centre des congrès de Québec.
 
  
Pour&nbsp;'''[https://www.owasp.org/index.php/Membership supporter&nbsp;OWASP&nbsp;Quebec&nbsp;City]'''&nbsp;:
+
== 24 octobre 2017 - Présentation - Retour sur OWASP AppSecUSA 2017 ==
 +
[[image:100px-PatrickLeclerc.png|100px|left]]
 +
'''Patrick Leclerc'''<br />
 +
Leader du chapitre OWASP Ville de Québec <br />
  
*En devenant membre ($50 US / 1 an),&nbsp;sélectionnez&nbsp;notre&nbsp;chapitre&nbsp;pour lui verser 40% du montant:&nbsp;https://www.owasp.org/index.php/Membership
+
Conseiller en sécurité des actifs informationnels <br />
 +
La Capitale
  
*En faisant un don via&nbsp;Paypal&nbsp;en cliquant sur le bouton&nbsp;" Donate "&nbsp;juste au&nbsp;bas de cette page
+
[[image:VincentGoulet100PX.jpg|100px|left]]
 +
'''Vincent Goulet'''<br />
 +
Conseiller principal en Sécurité de l'information<br />
 +
In Fidem<br />
  
  
  
 +
== 3 Octobre 2017 - Conférence - Comment bien gérer les incidents de sécurité ==
 +
[[image:Vincent L-Garant.jpg|100px|left]]
 +
'''Vincent L-Garant'''<br />
 +
Application Security Engineer at Bentley Systems
  
  
  
  
==Rencontre du 2 juin 2015==
+
Sony, Microsoft, CCleaner, Equifax : Le point commun de toutes ces compagnies est leur apparition, parfois répétée, dans les médias en raison de brèche de sécurité. Dans un monde constamment connecté, comment faire pour ne pas perdre la face ni nos données? Bien qu’une procédure de réponse aux incidents n’empêche pas nécessairement un acteur malicieux de briser vos défenses, cela permet de minimiser les dégâts. Cette présentation se penche sur les éléments de base dans la création d’une procédure de réponse aux incidents, de la détection à la résolution
  
===SSL et les problèmes de validation de certificats dans les applications mobiles===
+
==6 juin 2017 - Conférence - Quelques outils de modélisation des menaces==
 +
[[image:JonathanMarcil100PX.jpg|100px|left]]
 +
'''Jonathan Marcil'''<br />
 +
Ancien dirigeant du chapitre OWASP Montréal<br />
 +
Senior Application Security Engineer, Blizzard Entertainment<br />
  
Les protocoles SSL/TLS et les certificats X.509 sont des éléments essentiels de la sécurité sur internet. Jusqu'à "récemment", la grande majorité des développeurs n'avaient à se soucier de cette composante que lors du déploiement de leur application: on met un certificat sur le serveur, et voilà! Mais aujourd'hui, c'est fort différent.
 
  
Pourquoi ? Les applications mobiles.
 
  
Dans un monde PC, la validation du côté client du certificat SSL renvoyé par le server se fait presque toujours par le navigateur web. Par contre, dans le monde mobile, chaque application doit elle-même faire la validation du certificat serveur pour éviter les "Man-in-the-middle". Cependant, vérifier correctement un certificat SSL ne semble pas être une tâche simple.
+
Suite à la présentation sur la modélisation des menaces du mois précédent, voici certaines méthodologies qui aideront les projets de toutes de tailles à organiser les menaces et visualiser graphiquement les systèmes en place. L’audience sera donc invitée à prendre part à l’introduction avec les acquis de la dernière présentation. De plus, la discussion sera dirigée vers un point de vue pragmatique qui sera potentiellement différent pour stimuler la pensée critique.
 +
 +
Voici la présentation "[https://www.slideshare.net/JonathanMarcil/owasp-qubec-threat-modeling-toolkit-jonathan-marcil Threat Modeling Toolkit]" et sa description originale anglaise :
  
Dans cette présentation, nous aborderons rapidement les grandes lignes de la mécanique de validation des certificats SSL. Par la suite, nous présenterons un prototype de laboratoire virtuel permettant de tester automatiquement si une application Android valide bien les certificats SSL qu'elle reçoit (ou si elle expose ses usagers à du vol d’information sensible par une attaque Man-in-the-middle). Finalement, nous terminerons avec les résultats préliminaires d'une étude sur la qualité des implémentations SSL dans les applications Android existantes.
+
====Threat Modeling Toolkit====
 +
Threat Modeling is a great way to analyze security early in software development by structuring possible attacks, bad actors and countermeasures over a broad view of the targeted system. This talk will describe basic components of a threat model and how to use them effectively.
 +
Threat Intelligence is where you gather knowledge about the environment and business assets to determine what are the actual threats. But how do you reconcile that with the current architecture in a useful manner?
 +
The toolkit presented in this talk will enable you to systematically structure related information using graphical notations such as flow diagram and attack tree. In case you are wondering where to start in your organization, a quick lightweight risk rating methodology will also be proposed.
 +
And in the end, you’ll see how we can all tie those together and get threat modeling to a point where it’s an efficient application security activity for communication. Doing this will prevent security reviews from missing important things even when chaos prevails during the realization of a project.
 +
Modeling concepts will be demonstrated with an actual IoT device used as example.
  
====Conférenciers====
+
==9 mai 2017 - Conférence - La modélisation des menaces : Comment éviter que votre frigo Internet ne se retourne contre vous?==
 +
[[image:VincentGoulet100PX.jpg|100px|left]]
 +
'''Vincent Goulet'''<br />
 +
Conseiller principal en Sécurité de l'information<br />
 +
In Fidem<br />
  
{| border="0"
 
  
[[image:Team1CegepSteFoy.png|600x225px|right]]
 
  
|
+
Après avoir discuté des fondements du processus de modélisation des menaces (threat modeling), vous serez invités à tester vos connaissances sur un exemple actuel et amusant. Ensemble, nous déterminerons les principales menaces qui guettent les prochaines générations de frigos connectés et proposerons des pistes de solution.<br />
 +
Afin de stimuler notre créativité, nous utiliserons deux méthodes complémentaires d’analyse des menaces : STRIDE, le standard de l’industrie (Microsoft) et Security Cards, qui saura vous surprendre par son approche ludique (Université de Washington). Finalement, nous discuterons des principaux défis qui devront être relevés pour favoriser une plus grande adoption de la pratique de modélisation des menaces en entreprise.
  
'''Marc-Antoine Fortier, Marc-Antoine Ferland, Simon Desloges et Jonathan Ouellet'''<br />
+
==7 mars 2017 - Conférence - Les logiciels malveillants sur les objets connectés (IoT)==
 +
[[image:OlivierBilodeau.png|100px|left]]
 +
'''Olivier Bilodeau'''<br />
 +
Leader du département de recherche en cybersécurité<br />
 +
GoSecure<br />
  
Étudiants en informatique au Cégep Sainte-Foy <br />
 
  
'''François Gagnon'''<br />
 
  
Professeur-Chercheur au '''[http://www.cegep-ste-foy.qc.ca/cybersecurite Laboratoire de recherche en cybersécurité du Cégep Ste-Foy]''' <br />
+
On peut trouver des logiciels malveillants partout où du code s'exécute. Les systèmes embarqués, plus communément appelés les objets connectés (Internet of Things - IoT), n'en font pas exception. De leur popularité découle une nouvelle vague de virus et de tactiques. À travers cette présentation, nous verrons comment chasser ce genre de menaces.
  
|}
+
Les sujets couverts seront:
  
 +
* La difficulté de collecte de logiciels malveillants de type IoT
 +
* Les pots de miel (honeypots)
 +
* Pots de miel hybrides (émulation et réelle exécution)
 +
* Problèmes de rétro-ingénierie et solutions pratiques
 +
* Étude de 3 cas réels: Linux/Moose, MIPS Dropper et LizardStresser DDoS (Linux/Gafgyt)
 +
* Source du problème et pistes de solutions
  
 +
L'auditoire sortira mieux équipé pour affronter cette prochaine génération de logiciels malveillants, et ce en utilisant principalement des outils libres (open source).
  
 +
====Bio====
  
 +
Olivier Bilodeau est à la tête du département de recherche en cybersécurité de GoSecure. Avec plus de 10 ans d’expérience en sécurité informatique.
 +
Il a présenté à plusieurs conférences telles que BlackHat Europe, Defcon, Botconf, SecTor, Derbycon, NorthSec et bien d’autres.
 +
*  https://ca.linkedin.com/in/olivierbilodeau
  
 +
==7 février 2017 - Conférence - Rétro-ingénierie de protocole crypto: Un "starter pack"==
 +
[[image:MaximeLeblanc.png|100px|left]]
 +
'''Maxime Leblanc'''<br />
 +
Information Security Specialist (SecOps)<br />
 +
Poka<br />
  
  
==OWASP Ottawa & OWASP Quebec at ICCE 2014 : "The Insider Threats"==
 
  
===OWASP booth at International Conference on Corporate Espionage and Industrial Security (ICCE)===
+
Dans cette présentation, vous apprendrez les bases de l'analyse de protocole cryptographique, et quelques pistes pouvant aider à détecter une faille au sein de ces protocoles. Aucune connaissance crypto n'est nécessaire a priori (il ne s'agit pas ici de briser des protocoles éprouvés, mais de voir comment leur mauvaise utilisation peut les rendre inefficaces). On fera par le fait même un survol des outils utiles pour la rétro-ingénierie réseau, comme "Wireshark". La présentation sera basée sur un exemple réel d'un protocole VoIP brisé et corrigé récemment.
  
[[Image:ICCE_Logo_small.png|200x53px|right|link=http://icceconferences.com/app.php/]] OWASP Ottawa and OWASP Quebec City chapters, are proud to announce their participation at the new and improved International Conference on Corporate Espionage and Industrial Security (ICCE 2014), taking place on December 1-2, at the Hilton Lac-Leamy Conference Centre. There, we'll hold an OWASP booth.
+
Présentation: [http://bit.ly/presentation7fevrier Rétro-ingénierie de protocole crypto]
  
This year, the conference will provide exclusive solutions and security practices to help you and your company to counter the “Insider Threats”.
+
==29 novembre 2016 - Conférences - Louis Nadeau & Patrick Leclerc==
 +
===Retour sur les conférences OWASP AppSecUSA 2016===
 +
[[image:LouisNadeau.png|100px|left]]
 +
'''Louis Nadeau'''<br />
 +
Co-leader du chapitre OWASP Ville de Québec <br />
 +
Responsable de la sécurité <br />
 +
Bentley Systems
 +
[[image:100px-PatrickLeclerc.png|100px|left]]
 +
'''Patrick Leclerc'''<br />
 +
Leader du chapitre OWASP Ville de Québec <br />
  
This edition promises to be even greater than the last (CISC2011) with exclusives highlights such as:
+
Conseiller en sécurité des actifs informationnels <br />
 +
La Capitale
  
*Two days of “Secret” Level Briefings
 
  
*The “Bugged Room” Challenge
+
Nous avons fait un retour sur quelques sujets intéressants des conférences [https://2016.appsecusa.org/ OWASP AppSecUSA 2016]
  
*Presentations of Surveillance and Counter-Surveillance Equipment that could be used by or against you
+
==4 octobre 2016 - Conférence - Patrick Leclerc==
 +
===Cybercrime: Nos données personnelles sont à risque, entre autres parce que nos mots de passe sont inadéquats et mal protégés===
 +
[[image:100px-PatrickLeclerc.png|100px|left]]
 +
'''Patrick Leclerc'''<br />
 +
Conseiller en sécurité des actifs informationnels <br />
 +
La Capitale
  
*Opportunity to visit the [http://icceconferences.com/app.php/venue Casino Lac-Leamy Security Centre]
 
  
*Keynotes by former foreign spies
 
  
*And much more!
+
De nos jours, la majorité d'entre nous avons une ou plusieurs identité(s) sur Internet (médias sociaux, courriels, fournisseurs de services, services en lignes, etc.).  Cette nouvelle réalité signifie également de nouvelles opportunités de fraude pour les acteurs du crime organisé.  Un nombre sans cesse croissant de fraudes Internet sont rapportées dans les manchettes, tant les individus (oui, vous!) que les compagnies sont ciblés.
  
ICCE 2014 has a team of renowned international speakers. Among them, we can find:
+
Empruntant quelques « slides » de la présentation de David Caissy d’avril dernier, qui expliquait que plus de 90 % des mots de passe sont encore trop faibles même lorsqu'ils répondent aux critères de complexité actuels, je vous présenterai les principaux risques, pourquoi nos données sont encore trop souvent mal protégées ainsi que quelques trucs pour vous aider à préserver votre identité en ligne et celles de vos clients.
  
*Renee Guttmann – Vice President, Office of the CISO at Accuvant (United States)
+
Présentation: [http://fr.slideshare.net/PatrickLeclerc/owasp-quebec-octobre-2016-presentation-sur-les-mots-de-passe L'usage non sécuritaire des mots de passe]
  
*John E. McClurg – Chief Security Officer, Dell (United States)
+
==2012 à 2016 - Partenariats - OWASP & Hackfest==
 +
[[Image:Hackfest2016 small.png|200x88px|left|link=http://www.hackfest.ca]]
  
*Lt-Colonel Rene Lopez – Former Cuban Intelligence Officer (Cuba)
 
  
*Brian Shields – Former Senior Advisor System Security, Nortel (United States)
 
  
*Richard Olszewski – Chief of Staff, Haut Comité Français pour la Défense Civile (France)
+
Le chapitre OWASP Ville de Québec et OWASP Montréal ont collaborés encore une fois pour assurer une présence OWASP au [http://www.hackfest.ca HackFest 2016]. Formation « Secure Coding and Testing Webservices and Web Applications » de 2 jours dispensée par Jim Manico, kiosque OWASP et Mini CTP OWASP au HackFest party.
 +
----
 +
[[Image:Hackfest_lucky.png|200x75px|left|link=http://www.hackfest.ca]]
  
*Michel Juneau-Katsuya – CEO, Northgate (Canada)
 
  
*And many other (visit our Speaker  page for more information)
 
  
 +
Le chapitre OWASP Québec et OWASP Montréal ont collaborés pour animer un kiosque OWASP lors des 2 jours de conférences et de jeux de hacking au [http://www.hackfest.ca HackFest 2015]. 
 +
Nous avons également animé un '''mini CTF OWASP''' au "HackFest Party".
  
 +
Le mini-CTF (Capture The Flag) OWASP est une compétition de sécurité Web avec des défis très accessibles. La finale a est diffusée sur grand écran et commentée en direct!
 +
Pour se qualifier, obtenez le plus de points et ce, le plus rapidement possible!
 +
----
 +
[[Image:Hackfest_return.png|200x75px|left|link=http://www.hackfest.ca]]
  
  
  
 +
Le chapitre OWASP Québec et OWASP Montréal ont collaboré avec le Hackfest.ca pour animer un kiosque OWASP lors des 2 jours de conférences (7-8 novembre 2014) au [http://www.hackfest.ca HackFest 2014].  Nous avons également tenu un '''mini CTF sécurité applicative''' au "HackFest Party".
  
 +
----
 +
[[Image:Hackfest_comm.png|200x75px|left|link=http://www.hackfest.ca]]
  
==Collaboration OWASP Montréal & OWASP Québec au HackFest 2014==
 
  
===Kiosque OWASP et OWASP mini CTF===
 
  
[[Image:Hackfest_return.png|200x75px|right|link=http://www.hackfest.ca]] Le chapitre OWASP Québec et OWASP Montréal ont collaboré avec le Hackfest.ca pour animer un kiosque OWASP lors des 2 jours de conférences (7-8 novembre 2014) au [http://www.hackfest.ca HackFest 2014]. Nous avons également tenu un '''mini CTF sécurité applicative''' au "HackFest Party" du samedi soir 8 novembre.
+
Le chapitre OWASP Québec a collaboré avec le '''[http://www.hackfest.ca Hackfest.ca]''' pour obtenir les services de '''[https://www.owasp.org/index.php/User:Jmanico Jim Manico]''', membre actif OWASP et VP Architecture sécurité chez [https://www.whitehatsec.com/ WhiteHat Security] pour présenter une conférence sur '''les 10 meilleures techniques de programmation pour protéger les applications Web'''.
  
 +
==6 septembre 2016 - Conférence - Louis Nadeau==
 +
===Attaques et techniques de défense des sessions Web===
 +
[[image:LouisNadeau.png|100px|left]]
 +
'''Louis Nadeau'''<br />
 +
Responsable de la sécurité <br />
 +
Bentley Systems
  
  
  
 +
Le concept de session est extrêmement important pour permettre aux applications Web de fournir une expérience personnalisée à ses utilisateurs. La session permet à l’utilisateur de ne pas avoir à faire transiger ses informations d’authentification à chaque requête, ce qui serait risqué. Par contre, la (mauvaise) gestion de la session ouvre la porte à plusieurs sortes de menaces. Durant cette présentation, quatre types d’attaques sur les sessions seront présentés ainsi que les bonnes pratiques pour se prémunir de ces problèmes. Entre autres, il sera question de « session hijacking » (différentes variantes), de « session fixation », de « session donation » et de « session puzzling ». D’autres sujets connexes seront aussi abordés comme le temps d’expiration des sessions et les complications liées à l’authentification de type authentification unique.
  
 +
Présentation: [http://www.slideshare.net/PatrickLeclerc/owasp-qubec-attaques-et-techniques-de-dfense-des-sessions-web-par-louis-nadeau Attaques et techniques de défense des sessions Web]
  
 +
==6 au 8 avril 2016 - Collaboration - OWASP Québec & Web à Québec 2016==
 +
===Conférence de David Caissy: Sécurité des applications Web en 2016===
 +
[[Image:WAQsmall.png|left|link=http://webaquebec.org/]]
  
==Rencontre du 30 septembre 2014==
 
  
===Ce que vous devriez savoir sur le Cloud computing===
+
OWASP Québec au [http://webaquebec.org/ Web à Québec 2016]
  
Vous songez à réduire vos coûts liés à la gestion de vos infrastructures ?technologiques et de vos applications?  Vous avez entendu dire que le Cloud Computing (pour certains l'infonuagique ou informatique en nuage) permettait d’augmenter la disponibilité, la performance et l'extensibilité de vos applications tout en protégeant vos actifs informationnels?  En consommateur avisé, vous êtes méfiants et aimeriez en savoir davantage avant de vous lancer dans une aventure ou seuls les plus aguerris s’en sortent sans y laisser de plumes.  Si tel est votre cas, ou si vous êtes tout simplement curieux de voir l'envers de la médaille, cette conférence est pour vous!
 
  
Nous vous apporterons des pistes de solutions ainsi qu’un retour sur nos expériences de travail vécues sur la sécurité dans le Cloud.
 
  
Voici la '''[http://www.slideshare.net/PatrickLeclerc/ce-que-vous-devriez-savoir-sur-le-cloud-computing-owasp-quebec présentation]'''
+
==7 avril 2016 - Conférence - David Caissy==
 +
===La sécurité des applications Web en 2016===
 +
[[image:DavidCaissy2.png|left]]
 +
'''David Caissy'''<br />
 +
Security Consultant <br />
 +
Department of National Defense
  
====Conférenciers====
 
  
{| border="0"
 
  
[[image:YannRivière.png|100px|right]]
+
Les vulnérabilités reliées aux applications Web ont été un facteur important dans la plupart des cybers attaques dans le monde en 2015. Malgré cela, l’industrie tarde à réaliser où se trouve le vrai problème : les entreprises investissent massivement dans la protection de leurs réseaux sans savoir que les applications Web ne sont que partiellement protégées par ces mesures. C'est pourquoi 15.1% des applications Web en 2015 possédaient au moins une vulnérabilité de niveau élevé…
  
|
+
Mais la bonne nouvelle est que si certains principes de sécurité sont appliqués dès le début du développement des applications et si les bonnes mesures d’atténuation sont mises en place lors de leur déploiement, il est possible d’obtenir un très haut niveau de sécurité à faible coût.
  
'''Yann Rivière'''<br />
+
Alors quelles stratégies devrions-nous adopter pour nous prémunir de ces cybers attaques? Quelles ont été les principales vulnérabilités recensées en 2015? Quels sont les exemples à suivre dans l’industrie et plus important encore, quels sont les pièges à éviter?
  
Consultant senior en sécurité <br />
+
==16 mars 2016 - Conférence - Patrick Leclerc==
 +
===Stratégies pour développer et exploiter des applications sécuritaires à [https://asiq.org/ l'ASIQ]===
 +
[[image:100px-PatrickLeclerc.png|100px|left]]
 +
'''Patrick Leclerc'''<br />
 +
Leader du chapitre OWASP Québec <br />
 +
OWASP Ville de Québec
 +
  
EGYDE Services & Conseils en sécurité de l'information
 
  
|}
+
De nos jours les applications Web sont des cibles prisées des pirates informatiques, puisque très fréquemment ils s’y faufilent sans être détectés ou arrêtés.  Parfois même, ces applications représentent un vecteur par lequel un pirate parvient à une compromission complète des systèmes de mission d’une organisation.
  
{| border="0"
+
Vol d’informations confidentielles, fraude, bris de disponibilité, falsification des données, sabotage, sont tous des risques que les organisations doivent tenter de prévenir.
  
[[image:PatrickLeclerc.png|100px|right]]
+
Dans cette conférence, nous vous ferons connaître quelques stratégies et outils qui vous aideront à prendre en main efficacement le développement et l’exploitation d’applications sécuritaires.
  
|
+
Présentation: [https://asiq.org/evenement/strategies-pour-developper-et-exploiter-applications-securitaires/ Stratégies pour développer et exploiter des applications sécuritaires]
  
'''Patrick Leclerc'''<br />
+
==2 février 2016 - Conférence - Louis Nadeau==
 +
===Comprendre l'usage de la crypto pour les développeurs : choses à faire et à ne pas faire===
 +
[[image:LouisNadeau.png|100px|left]]
 +
'''Louis Nadeau'''<br />
 +
Responsable de la sécurité <br />
 +
Bentley Systems
 +
  
Architecte logiciel et sécurité applicative <br />
 
  
EGYDE Services & Conseils en sécurité de l'information
+
Souvent, la cryptographie (encryptions, hashing, etc.) est enseignée et présentée d'un point de vue mathématique. Par contre, dans l'industrie, les problèmes les plus fréquents qui sont rencontrés n'ont rien à voir avec les mathématiques, mais sont plutôt dus à une mauvaise utilisation pratique des techniques de cryptographie. Dans cette présentation, je ferai un rappel des différents outils de cryptographie et de leur raison d'être, et je parlerai des problèmes fréquents rencontrés avec leur utilisation. Je ne parlerai pas des algorithmes mathématiques, mais plutôt de l'aspect pratique de l'utilisation de ces algorithmes.
  
|}
+
==20 au 21 octobre 2015 - Participation - OWASP==
 +
===OWASP Quebec City au CQSI, Le Carrefour de l'industrie de la sécurité===
 +
[[Image:CQSI.png|200x75px|left|link=http://http://www.cqsi.org/]]
  
 +
Le chapitre OWASP Ville de Québec a participé au [http://www.cqsi.org/ CQSI 2015 (Carrefour de l'industrie de sécurité)] le 20 au 21 octobre 2015 au Centre des congrès de Québec.
  
  
  
 +
==2 juin 2015 - Conférence - François Gagnon==
 +
===SSL et les problèmes de validation de certificats dans les applications mobiles===
 +
[[image:Team1CegepSteFoy.png|left]]
 +
'''Marc-Antoine Fortier, Marc-Antoine Ferland, Simon Desloges et Jonathan Ouellet'''<br />
 +
Étudiants en informatique au Cégep Sainte-Foy <br />
  
 +
'''François Gagnon'''<br />
 +
Professeur-Chercheur au [http://www.cegep-ste-foy.qc.ca/cybersecurite Laboratoire de recherche en cybersécurité du Cégep Ste-Foy] <br />
  
 +
Les protocoles SSL/TLS et les certificats X.509 sont des éléments essentiels de la sécurité sur internet. Jusqu'à "récemment", la grande majorité des développeurs n'avaient à se soucier de cette composante que lors du déploiement de leur application: on met un certificat sur le serveur, et voilà! Mais aujourd'hui, c'est fort différent.
  
==Rencontre du 10 juin 2014==
+
Pourquoi ? Les applications mobiles.
  
===Avez-vous dit XSS ? (Cross-site Scripting)===
+
Dans un monde PC, la validation du côté client du certificat SSL renvoyé par le server se fait presque toujours par le navigateur web. Par contre, dans le monde mobile, chaque application doit elle-même faire la validation du certificat serveur pour éviter les "Man-in-the-middle". Cependant, vérifier correctement un certificat SSL ne semble pas être une tâche simple.
  
La faille dite de '''Cross-site scripting (XSS)''' est une faille web bien connue des pirates informatiques. Sur un site web vulnérable, elle permet d’y injecter du code malicieux qui sera exécuté à partir du navigateur des visiteurs, ou plutôt, des victimes...
+
Dans cette présentation, nous aborderons rapidement les grandes lignes de la mécanique de validation des certificats SSL. Par la suite, nous présenterons un prototype de laboratoire virtuel permettant de tester automatiquement si une application Android valide bien les certificats SSL qu'elle reçoit (ou si elle expose ses usagers à du vol d’information sensible par une attaque Man-in-the-middle). Finalement, nous terminerons avec les résultats préliminaires d'une étude sur la qualité des implémentations SSL dans les applications Android existantes.
  
Ces failles peuvent sembler bénignes de prime abord, mais lorsqu'elles sont exploitées malicieusement, elles deviennent un vecteur d'attaque puissant pour d'éventuels attaquants.
+
==1 au 2 decembre 2014 - Partenariat - OWASP au ICCE 2014 "The Insider Threats"==
 +
===OWASP booth at International Conference on Corporate Espionage and Industrial Security (ICCE)===
 +
[[Image:ICCE_Logo_small.png|200x53px|left|link=http://icceconferences.com/app.php/]]
  
Cette présentation se veut une introduction aux différents types de failles XSS de base.
 
  
Nous couvrirons plusieurs sujets relatifs aux failles XSS:<br />
 
  
- Qu’est-ce que le XSS?<br />
+
OWASP Ottawa and OWASP Quebec City chapters had a booth at the International Conference on Corporate Espionage and Industrial Security (ICCE 2014) that took place on December 1-2 2014, at the Hilton Lac-Leamy Conference Centre.  Renee Guttmann, Vice President, Office of the CISO at Accuvant was our invitee.  The conferences provided exclusive solutions and security practices to help counter the “Insider Threats”.
  
- Pourquoi devons-nous nous en préoccuper?<br />
+
==30 septembre 2014 - Conférence - Yann Rivière & Patrick Leclerc==
 +
===Ce que vous devriez savoir sur le Cloud computing===
 +
[[image:YannRivière.png|100px|left]]
 +
'''Yann Rivière'''<br />
 +
Consultant senior en sécurité <br />
 +
EGYDE Services & Conseils en sécurité de l'information
 +
  
- Comment les découvrir<br />
 
  
- Comment les tester via des scénarios d'attaques classiques<br />
+
[[image:100px-PatrickLeclerc.png|100px|left]]
 +
'''Patrick Leclerc'''<br />
 +
Architecte logiciel et sécurité applicative <br />
 +
EGYDE Services & Conseils en sécurité de l'information
 +
  
- Comment s'en prémunir<br />
 
  
{| border="0"
+
Vous songez à réduire vos coûts liés à la gestion de vos infrastructures ?technologiques et de vos applications?  Vous avez entendu dire que le Cloud Computing (pour certains l'infonuagique ou informatique en nuage) permettait d’augmenter la disponibilité, la performance et l'extensibilité de vos applications tout en protégeant vos actifs informationnels?  En consommateur avisé, vous êtes méfiants et aimeriez en savoir davantage avant de vous lancer dans une aventure ou seuls les plus aguerris s’en sortent sans y laisser de plumes.  Si tel est votre cas, ou si vous êtes tout simplement curieux de voir l'envers de la médaille, cette conférence est pour vous!
 +
Nous vous apporterons des pistes de solutions ainsi qu’un retour sur nos expériences de travail vécues sur la sécurité dans le Cloud.
  
[[image:johanRenaut.png|100px|right]]
+
Présentation: http://www.slideshare.net/PatrickLeclerc/ce-que-vous-devriez-savoir-sur-le-cloud-computing-owasp-quebec
 
 
|
 
  
 +
==10 juin 2014 - Conférence - Johan Renaut==
 +
===Avez-vous dit XSS ? (Cross-site Scripting)===
 +
[[image:johanRenaut.png|100px|left]]
 
'''Johan Renaut'''<br />
 
'''Johan Renaut'''<br />
 
 
Analyste en sécurité de l'information <br />
 
Analyste en sécurité de l'information <br />
 
 
EGYDE Services & Conseils en sécurité de l'information
 
EGYDE Services & Conseils en sécurité de l'information
 +
  
|}
 
  
 +
La faille dite de '''Cross-site scripting (XSS)''' est une faille web bien connue des pirates informatiques.  Sur un site web vulnérable, elle permet d’y injecter du code malicieux qui sera exécuté à partir du navigateur des visiteurs, ou plutôt, des victimes...
 +
 +
Ces failles peuvent sembler bénignes de prime abord, mais lorsqu'elles sont exploitées malicieusement, elles deviennent un vecteur d'attaque puissant pour d'éventuels attaquants.
 +
 +
Cette présentation se veut une introduction aux différents types de failles XSS de base.
  
 +
Nous couvrirons plusieurs sujets relatifs aux failles XSS:<br />
  
 +
- Qu’est-ce que le XSS?<br />
 +
- Pourquoi devons-nous nous en préoccuper?<br />
 +
- Comment les découvrir<br />
 +
- Comment les tester via des scénarios d'attaques classiques<br />
 +
- Comment s'en prémunir<br />
  
 
+
==15 avril 2014 - Conférence - Patrick Leclerc==
 
 
 
 
==Rencontre du 15 avril 2014==
 
 
 
 
===La sécurité applicative et le cycle de développement===
 
===La sécurité applicative et le cycle de développement===
 
+
[[image:100px-PatrickLeclerc.png|100px|left]]
Encore de nos jours la majorité des applications Web comportent des vulnérabilités, ces dernières représentent plus souvent qu'autrement des risques dont les organisations ignorent encore l'existence.
 
 
 
Certaines organisations croient qu'un simple balayage de vulnérabilités parfois accompagné d'un test d'intrusion sont les seuls moyens d'identifier les risques, mais encore faut-il les corriger après!
 
 
 
S'il y a des coûts à prévenir et mitiger les risques, ils sont décuplés lorsque nous avons à les corriger!
 
 
 
Dans cette '''[http://www.slideshare.net/PatrickLeclerc/securite-applicative-et-sdlc-owasp-quebec-15-avril-2014-diffusion présentation]''', découvrez comment identifier et mitiger vos risques de sécurité en les prenant en charge tout au long du cycle de développement.  Vous avez intérêts, puisque depuis quelques années déjà, Gartner identifiait que 75% des attaques étaient dirigées sur les applications Web.  Plusieurs firmes ont fait les manchettes ces dernières années, n'attendez pas votre tour.
 
 
 
{| border="0"
 
 
 
[[image:PatrickLeclerc.png|100px|right]]
 
 
 
|
 
 
 
 
'''Patrick Leclerc'''<br />
 
'''Patrick Leclerc'''<br />
 
 
Architecte logiciel et sécurité applicative <br />
 
Architecte logiciel et sécurité applicative <br />
 
 
EGYDE Services & Conseils en sécurité de l'information
 
EGYDE Services & Conseils en sécurité de l'information
 
+
|}
 
  
  
 +
Encore de nos jours la majorité des applications Web comportent des vulnérabilités, ces dernières représentent plus souvent qu'autrement des risques dont les organisations ignorent encore l'existence.
 +
Certaines organisations croient qu'un simple balayage de vulnérabilités parfois accompagné d'un test d'intrusion sont les seuls moyens d'identifier les risques, mais encore faut-il les corriger après!
 +
S'il y a des coûts à prévenir et mitiger les risques, ils sont décuplés lorsque nous avons à les corriger!
  
 +
Dans cette [http://www.slideshare.net/PatrickLeclerc/securite-applicative-et-sdlc-owasp-quebec-15-avril-2014-diffusion présentation], découvrez comment identifier et mitiger vos risques de sécurité en les prenant en charge tout au long du cycle de développement.  Vous avez intérêts, puisque depuis quelques années déjà, Gartner identifiait que 75% des attaques étaient dirigées sur les applications Web.  Plusieurs firmes ont fait les manchettes ces dernières années, n'attendez pas votre tour.
  
 +
Présentation: http://www.slideshare.net/PatrickLeclerc/securite-applicative-et-sdlc-owasp-quebec-15-avril-2014-diffusion
  
 
+
==19 février 2014 - Conférence - Eric Chartré==  
 
 
==Rencontre du 19 février 2014==
 
 
 
 
===Développement d’une application sécurisée : étanchéité par le pipeline Web et le cadre d’application===
 
===Développement d’une application sécurisée : étanchéité par le pipeline Web et le cadre d’application===
 
+
[[image:Eric Chartré.png|100px|left]]
Par le biais de techniques fort simples, l’application de règles applicatives centralisées très sévères et l’utilisation d’un cadre d’application (framework) approprié, il n’est pas utopique d’éliminer 100% des vulnérabilités d’une application Web et de son infrastructure sous-jacente. Mais, pour cela, l’application et son infrastructure doivent respecter un ensemble de conditions bien précises. Cette présentation très concrète fera un survol de la recette pour développer une application sécuritaire, même contre les erreurs des développeurs.
 
 
 
'''Cette [http://prezi.com/ivp3kylabx32 présentation] veut provoquer la discussion sur certaines pratiques de développement et d’implantation de sites Web.'''
 
 
 
{| border="0"
 
 
 
[[image:Eric Chartré.png|100px|right]]
 
 
 
|
 
 
 
 
'''Eric Chartré'''<br />
 
'''Eric Chartré'''<br />
 
 
Spécialiste technique en architecture Web <br />
 
Spécialiste technique en architecture Web <br />
 
 
TELUS Communications inc.
 
TELUS Communications inc.
  
|}
 
  
  
 +
Par le biais de techniques fort simples, l’application de règles applicatives centralisées très sévères et l’utilisation d’un cadre d’application (framework) approprié, il n’est pas utopique d’éliminer 100% des vulnérabilités d’une application Web et de son infrastructure sous-jacente. Mais, pour cela, l’application et son infrastructure doivent respecter un ensemble de conditions bien précises. Cette présentation très concrète fera un survol de la recette pour développer une application sécuritaire, même contre les erreurs des développeurs.
 +
 +
Cette [http://prezi.com/ivp3kylabx32 présentation] veut provoquer la discussion sur certaines pratiques de développement et d’implantation de sites Web.
 +
Présentation: http://prezi.com/ivp3kylabx32
  
 
+
----
 
+
----
 
+
== 2013 - Première rencontre des membres OWASP Quebec City ==
 
 
== Première rencontre 2013 des membres OWASP Quebec City ==
 
  
 
Voici le contenu de la rencontre de lancement: http://www.slideshare.net/PatrickLeclerc/premire-rencontre-dowasp-qubec
 
Voici le contenu de la rencontre de lancement: http://www.slideshare.net/PatrickLeclerc/premire-rencontre-dowasp-qubec
 
 
 
 
 
 
 
== Une première collaboration pour OWASP Quebec City et le Hackfest 2012 ==
 
 
[[Image:Hackfest_comm.png|200x75px|right|link=http://www.hackfest.ca]]Le chapitre OWASP Québec a collaboré avec le '''[http://www.hackfest.ca Hackfest.ca]''' pour obtenir les services de '''[https://www.owasp.org/index.php/User:Jmanico Jim Manico]''', membre actif OWASP et VP Architecture sécurité chez [https://www.whitehatsec.com/ WhiteHat Security] pour présenter une conférence sur '''les 10 meilleures techniques de programmation pour protéger les applications Web'''.
 
 
 
 
 
 
 
  
 
== Conférence de Jim Manico au Hackfest 2012 ==
 
== Conférence de Jim Manico au Hackfest 2012 ==
Line 546: Line 771:
 
'''Top Ten Web Defenses:''' We cannot hack or firewall our way secure. Application programmers need to learn to code in a secure fashion if we have any chance of providing organizations with proper defenses in the current threatscape. This talk will discuss '''the 10 most important security-centric computer programming techniques''' necessary to build low-risk web-based applications.
 
'''Top Ten Web Defenses:''' We cannot hack or firewall our way secure. Application programmers need to learn to code in a secure fashion if we have any chance of providing organizations with proper defenses in the current threatscape. This talk will discuss '''the 10 most important security-centric computer programming techniques''' necessary to build low-risk web-based applications.
  
 +
[[image:AppSecDC12-manico.jpg|100px|left|link=https://www.owasp.org/index.php/User:Jmanico]]
 
{| border="0"
 
{| border="0"
 
[[image:AppSecDC12-manico.jpg|100px|right|link=https://www.owasp.org/index.php/User:Jmanico]]
 
  
 
|
 
|
 
 
'''Jim Manico'''<br />
 
'''Jim Manico'''<br />
 
 
OWASP Global Board Member  <br />
 
OWASP Global Board Member  <br />
 
 
VP Security Architecture at WhiteHat Security <br />
 
VP Security Architecture at WhiteHat Security <br />
 
 
|}
 
|}
 +
<br /><br />
  
 
= Participation =
 
= Participation =
 
+
==Communauté==
 
Les rencontres OWASP sont ouvertes à tous et gratuites. Nous encourageons l'échange informel sur tous sujets relatifs à la sécurité applicative. Toute personne intéressée par la sécurité applicative est la bienvenue aux rencontres.
 
Les rencontres OWASP sont ouvertes à tous et gratuites. Nous encourageons l'échange informel sur tous sujets relatifs à la sécurité applicative. Toute personne intéressée par la sécurité applicative est la bienvenue aux rencontres.
 
+
 
Les sujets principalement abordés sont:
 
Les sujets principalement abordés sont:
  
 
*Analyse et conception d'applications sécurisées
 
*Analyse et conception d'applications sécurisées
 
 
*Techniques et méthodes de développement sécurisé
 
*Techniques et méthodes de développement sécurisé
 
 
*Évaluation et validation de la sécurité des applications (tests d'intrusion, recherche de vulnérabilités)
 
*Évaluation et validation de la sécurité des applications (tests d'intrusion, recherche de vulnérabilités)
 
 
*Sécurité d'architectures et technologies de développement logiciel
 
*Sécurité d'architectures et technologies de développement logiciel
 
 
*Gouvernance de la sécurité logicielle dans les organisations
 
*Gouvernance de la sécurité logicielle dans les organisations
  
'''Conférenciers / Intervenants'''<br>
+
==Devenez conférencier!==
 
 
 
Si vous souhaitez présenter un sujet lors d'une prochaine rencontre OWASP ou avez une question relative aux rencontres de la section OWASP Ville de Québec, n'hésitez pas à envoyer un email à [mailto:[email protected] Patrick Leclerc]. Toute intervention orale (présentation, formation) lors d'un meeting OWASP est soumise à l'acceptation préalable du [https://www.owasp.org/index.php/Speaker_Agreement règlement des conférenciers].
 
Si vous souhaitez présenter un sujet lors d'une prochaine rencontre OWASP ou avez une question relative aux rencontres de la section OWASP Ville de Québec, n'hésitez pas à envoyer un email à [mailto:[email protected] Patrick Leclerc]. Toute intervention orale (présentation, formation) lors d'un meeting OWASP est soumise à l'acceptation préalable du [https://www.owasp.org/index.php/Speaker_Agreement règlement des conférenciers].
  
----
+
==Responsables du chapitre==
 +
Leader: [mailto:[email protected] Patrick Leclerc]<br />
 +
Vice-leader: [mailto:[email protected] Louis Nadeau]
  
'''Nos activités sont pour la plupart gratuites pour tous. Soyez plus que participants, devenez membre de notre communauté! Pour [https://www.owasp.org/index.php/Membership_Map devenir membre OWASP]'''
+
=Supports & Commandites=
 +
==Supportez-nous!==
 +
Pour [https://www.owasp.org/index.php/Membership supporter OWASP Quebec City]:
 +
*En devenant membre ($50 US / 1 an), sélectionnez notre chapitre pour lui verser 40% du montant: https://www.owasp.org/index.php/Membership
 +
*En faisant un don via Paypal en cliquant sur le bouton " Donate " juste au bas de cette page
 +
Pour [https://www.owasp.org/index.php/Membership_Map devenir membre OWASP]
  
= Commandites =
+
==Devenez commanditaire de notre communauté!==
 +
Quatre formules de sponsoring sont actuellement proposées aux organisations désireuses de soutenir la mission de l'OWASP:
 +
* Chapter Supporter: soutien financier annuel du chapitre OWASP Ville de Québec
 +
* Single Meeting Supporter: soutien financier ponctuel, pour un meeting spécifique du chapitre OWASP Ville de Québec
 +
* Facility Sponsor: publicité des évènements OWASP Quebec City et/ou mise à la disposition de salles équipées pour la tenue des meetings OWASP Ville de Québec
 +
* Organization Supporter: soutien financier annuel de la fondation OWASP + 40% de la cotisation reversés à la section affiliée (OWASP Quebec City)
 +
 +
Pour toute information relative au sponsoring affilié à la section, merci de contacter [mailto:[email protected] Patrick Leclerc] ou consulter la page [https://www.owasp.org/index.php/Membership memberships] dédiée à cet effet.
 +
<headertabs></headertabs>
  
Quatre formules de sponsoring sont actuellement proposées aux organisations désireuses de soutenir la mission de l'OWASP:
+
== Chapter Supporters / Commanditaires du chapitre ==
  
* Chapter Supporter: soutien financier annuel du chapitre OWASP Ville de Québec
+
=== Gold / Or ===
  
* Single Meeting Supporter: soutien financier ponctuel, pour un meeting spécifique du chapitre OWASP Ville de Québec
+
[[Image:Bentley_Logo_RGB_200px.png|Bentley|link=https://www.bentley.com/]]
 +
[[Image:Spacer-horiz.gif‎]]
 +
[[Image:IAGF_150x80.jpg|iA Groupe Financier|link=https://ia.ca/]]
 +
<br />
 +
<br />
  
* Facility Sponsor: publicité des évènements OWASP Quebec City et/ou mise à la disposition de salles équipées pour la tenue des meetings OWASP Ville de Québec
+
==Commandites et options d'adhésion==
  
* Organization Supporter: soutien financier annuel de la fondation OWASP + 40% de la cotisation reversés à la section affiliée (OWASP Quebec City)
+
[[Image:Btn_donate_SM.gif|link=https://www.owasp.org/index.php/Local_Chapter_Supporter]] Donnez, commanditez notre chapitre.
  
Pour toute information relative au sponsoring affilié à la section, merci de contacter [mailto:patrick.[email protected] Patrick Leclerc] ou consulter la page [https://www.owasp.org/index.php/Membership memberships] dédiée à cet effet.
+
Ou considérez devenir membre OWASP [[Membership | individuel, corporatif, ou académique]]. Prêt à devenir membre? [[Image:Join_Now_BlueIcon.JPG|75px|link=https://www.owasp.org/index.php/Membership]]
  
<!-- DO NOT ALTER OR REMOVE THE TEXT ON NEXT LINE -->
+
[[Category:OWASP Chapter]]
__NOTOC__ <headertabs />
 
  
<paypal>Quebec City (Canada) Chapter</paypal>
+
==Recevez les invitations à nos événements OWASP en nous suivant sur nos médias sociaux!==
 +
[[Image:FacebookLogo.png| Facebook: /OwaspQuebec |link=https://www.facebook.com/OwaspQuebec]]
 +
[[Image:Linkdin.png| LinkedIn: /Owasp-Quebec-4338809 |link=http://www.linkedin.com/groups/OWASP-Quebec-4338809]]
 +
[[Image:Mailing-list.jpg | liste de distribution OWASP Ville de Québec | link=https://groups.google.com/a/owasp.org/forum/#!forum/quebec-city-chapter/join]]
 +
[[Image:TwitterLogo.png| Twitter: @owaspquebec |link=https://twitter.com/owaspquebec]]<br />
  
[[Category:OWASP_Chapter]] [[Category:Canada]]
+
Pour nous contacter : [mailto:[email protected] OWASP Ville de Québec]
 +
----

Latest revision as of 19:54, 1 January 2020


OWASPQcCity.png

21 janvier 2020: Escalade de privilèges dans le Cloud: D'une simple vulnérabilité SSRF à "Administrateur Cloud Global"

MaximeLeblanc.png

Maxime Leblanc
Information Security Specialist (SecOps)
Poka


Description

Au cours des derniers mois, j'ai exploré différentes techniques d'exploitation de vulnérabilités de type SSRF (Server-Side Request Forgery), qui peuvent mener à l'accès non autorisé à des ressources réseau auxquelles seul le serveur Web devrait avoir accès. Dans certaines circonstances, les vulnérabilités SSRF peuvent mener à la fuite de clés d'API ou d'accès à la base de données. Dans cette présentation, je démontrerai que dans le contexte d'une application hébergée sur le Cloud, la puissance d'une attaque SSRF a le potentiel d'être décuplée: Un attaquant réussissant ce type d'attaque pourrait prendre le contrôle complet du compte Cloud, les dommages potentiels étant uniquement limités par les capacités du compte administrateur. On peut ainsi imaginer un attaquant ayant accès à l'ensemble des unités de stockage S3 et y hébergeant des logiciels malveillants, ou encore exploitant de puissantes machines pour miner des crypto-monnaies au frais de la victime. La présentation sera accompagnée d'un projet open-source permettant de tester différents scénarios d'exploitation SSRF sur le Cloud: Le Damn Vulnerable Cloud Application Project.

Plan

  • Intro
  • Qu'est-ce qu'une vulnérabilité SSRF (Web)
  • Organisation du système de permissions dans le Cloud
  • Utilisation d'une vulnérabilité SSRF pour l'obtention de clés d'authentification au cloud
  • Escalade de privilèges vers un compte administrateur
  • Démonstration
  • Défense et contre-mesures
  • Conclusion - The Damn Vulnerable Cloud Application project

Lieu

Local A225 du Cégep de Sainte-Foy

Horaire

18:15 - 18:30 Accueil
18:30 - 20:00 Conférence
20:00 - Réseautage et sortie dans un pub pour les intéressés

Stationnement

Le stationnement accessible à partir de la rue Nicolas Pinel est gratuit à partir de 18h00

Ouvert à tous! Inscription gratuite! RSVP!

Eventbrite.png



Merci à notre partenaire académique pour l'événement

Cégep de Sainte-Foy


Prochaines activités OWASP Québec

  • 17 mars 2020: sujet à confirmer
  • 28 avril 2020: sujet à confirmer
  • 4 juin 2020: sujet à confirmer


OWASP Ville de Québec est toujours à la recherche de conférenciers!

Si vous souhaiteriez présenter, pour l’avancement de la science et de la connaissance en sécurité applicative, un sujet lors d'une prochaine rencontre OWASP, SVP communiquez avec nous!

Patrick Leclerc
Louis Nadeau


Voici à titre indicatif quelques idées de présentations en lien avec la sécurité applicative, vos sujets nous intéressent également, alors faites-nous en part! :

  • Démonstration d’utilisation d’outils de sécurité disponibles gratuitement ou open source (ex : ZAP, AppSensor, FindSecBugs, Burp, BeEF, ModSecurity, etc.).
  • Les démonstrations et/ou retours d’expérience d’outils de sécurité applicative commerciaux sont permis, toutefois dans un souci de neutralité et d’indépendance, nous demandons à ce que ces présentations demeurent impartiales
  • Couverture d’un élément du Top 10 OWASP 2017 (ex : XXE, Insecure deserialization, Insufficient logging and monitoring)
  • Méthodes et outils de vérifications du code
  • Exploitations de vulnérabilités, contournements de mécanismes de sécurité, comment les prévenir
  • Sécurité des applications dans les architectures Web n-tiers et micro-services
  • Retour sur expériences dans la résolution et/ou l’implantation de fonctions de sécurité
  • Les pièges à éviter dans les configurations CORS
  • L’usage sécuritaire des JWT
  • Projets de recherches, discussions ouvertes, workshops, brainstorming


Logistique :

  • Les présentations devraient être de 45 minutes à 75 minutes maximum.
  • Elles débutent généralement après 18h, en fonction des institutions qui nous fourniront les locaux.


Notes :

  • La neutralité et l’impartialité sont de mise, vos opinions sont bienvenues en autant qu'elles soient exprimées dans le respect
  • Toute intervention orale (présentation, formation) lors d'un meeting OWASP est soumise à l'acceptation préalable du règlement des conférenciers
  • La vente de produits est strictement interdite


19 novembre 2019: "Securing open sources libraries in open source code package" ***chez Coveo***

Coveo.jpg

Jean-Alexandre Beaumont
Louis-Philippe Déry
Coveo

Description

Learn how to find and fix vulnerabilities in open source libraries, where to integrate testing to prevent adding new vulnerable libraries to your code and how to respond to newly disclosed vulnerabilities in libraries you already use.

Voici la présentation "Securing open sources libraries in open source code package"


1 et 2 novembre 2019: kiosque et CTF OWASP au HackFest UpsideDown

Hackfest 2019 200px.jpg

Le chapitre OWASP Ville de Québec et OWASP Montréal ont collaborés encore une fois pour assurer une présence OWASP au HackFest. Merci aux organisateurs et participants du CTF OWASP qui font de cet événement un succès année après année!



3 septembre 2019 - Conférence - Histoire vraie : Implémenter le SecDevOps en entreprise

GuillaumeCroteau.jpg

Guillaume Croteau

Ingénieur Logiciel
Bentley Systems


Description

Lorsque l’on parle de DevOps, on parle aussi de l’importance d’avoir du SecDevOps, l’intégration de la sécurité dans le processus DevOps. Plusieurs sources, tel que le SANS, offrent des lignes directrices sur ce que devrait avoir un bon SecDevOps.

La théorie c’est bien, mais qu’en est-il en pratique? Quelle est la réalité lorsque l’on s’assis derrière son bureau et que l’on se dit « Commençons à implémenter notre SecDevOps »?

Lors de cette présentation, nous parlerons de la transformation interne de Bentley Systems vers le DevOps et par conséquent, l’implémentation du SecDevOps. Nous traverserons ensemble une année de travail à travers une personne qui a fait part de ce changement. Nous aborderons le début cahoteux, les bons et les moins bons coups, les défis rencontrés, etc.

Le but de cette présentation n’est pas d’expliquer ce qu’est un bon SecDevOps et comment l’implémenter. Il s’agit d’un témoignage d’une équipe de sécurité applicative qui a vécue et participée à son implémentation dans une entreprise de 30 ans d’âge.

Voici la présentation "Histoire vraie : Implémenter le SecDevOps en entreprise"


5 juin 2019: Moderne Identification et AuthN/AuthZ : Comprenons-nous tous les enjeux?

Franck Desert.jpg

Franck Desert
Analyste en sécurité applicative
CGI Inc


Description

Description: À l'heure où le Cloud devient omniprésent les enjeux d’authentification et d'autorisation deviennent incontournables! Tous les protocoles, frameworks, standards, etc. se chevauchent et s'entrecroisent!

  • Comment utiliser les IdP, les "relaying parties", les ADs (b2b, b2c)?
  • Qu'en est-il alors du SSO?
  • Comment s'y retrouver dans les différents JWTs & JWKs?
  • SAML? WS-*?
  • Et enfin toutes les fédérations possibles?

Bref, vous l'aurez compris, j'essayerai de passer en revue tout cela! Cas concrets et exemples de codes réels seront présents (Azure, AWS, peut-être GCP)


23 avril 2019: Introduction au CTF avec OWASP Juice-Shop ***chez Bentley Systems***

Vincent L-Garant 2.png

Vincent L-Garant
Application Security Engineer
Bentley Systems


Description

Il s’agit d’une activité de style « workshop », semi-dirigée, pour débuter en CTF (Capture The Flag). Tout au long de la soirée, vous pourrez vous « faire les dents » sur la plateforme d’apprentissage Juice-Shop d’OWASP, qui permet entre autres le déroulement local d’une activité complète de style CTF, avec des challenges et astuces. Juice-Shop permet de pratiquer vos talents de « l337 h4ck3r » dans un environnement contrôlé, similaire à un vrai site de vente. Des animateurs seront disponibles pour répondre à vos questions si jamais vous êtes dans une impasse. Il y aura également des défis en groupes. Une bonne occasion de vous initier au hacking web!

Instructions : Vous devez apporter votre propre portable et un câble ethernet. Votre ordinateur doit être en mesure de fonctionner avec Docker. Il n’est pas nécessaire d’avoir des outils de « pentest » complets, mais un proxy tel que Fiddler, OWASP ZAP ou Burp, etc. est fortement recommandé.


19 mars 2019: Portrait de la sécurité applicative et outils OWASP

100px-PatrickLeclerc.png

Patrick Leclerc
Leader du chapitre OWASP Ville de Québec

Conseiller en sécurité des actifs informationnels
La Capitale


Description

Les applications Web sont des cibles prisées des pirates informatiques, très fréquemment ils s’y faufilent sans être détectés ou arrêtés. Parfois même, ces applications représentent un vecteur par lequel un pirate parvient à une compromission complète des systèmes de mission d’une organisation. Vol d’informations confidentielles, fraude, bris de disponibilité, falsification des données, sabotage, atteinte à la réputation, sont tous des risques que les organisations doivent tenter de prévenir. Dans cette conférence, nous vous ferons connaître quelques stratégies et outils gratuitement disponibles qui vous aideront à prendre en main efficacement le développement et l’exploitation d’applications sécuritaires.

Voici la présentation "Portrait de la sécurité applicative et outils OWASP"


19 février 2019: Concevoir et implémenter un plan de formation et de sensibilisation à la sécurité

Vincent L-Garant 2.png

Vincent L-Garant
Application Security Engineer
Bentley Systems


Description

Avoir des antivirus sur tous les postes et des firewalls devant chaque serveur, c’est bien, mais si tout le monde ouvre Trust_me.exe en attachement de la part d’un prince nigérien, ça ne sert à rien. Comme la sécurité suit le principe du maillon faible et que dans la plupart des systèmes, le maillon faible c’est l’humain, il est important de bien former ses employées.

La présentation parlera des étapes pour concevoir et implémenter un plan de formation et de sensibilisation à la sécurité. Pour enclencher un processus de formation interne, il est important de :

Voici la présentation "Concevoir et implémenter un plan de formation et de sensibilisation à la sécurité"

  • Définir sa « clientèle »
  • Identifier nos forces et nos faiblesses
  • Définir un plan de déploiement
  • Préparer la(les) formation(s)
  • Stimuler et calculer la complétude
  • Se tenir à jour


5 décembre 2018: CTF What? Présentation du monde CTF! « Capture The Flag »

Franck Desert.jpg

Franck Desert
Analyste en sécurité applicative
CGI Inc


Description

Attaque/Défense, Jeopardy, Puzzle Technique, Retro ou New Tech, nous allons vous raconter l'histoire, l'existant, ce qui s'en vient dans le monde du CTF et présenter également le devant et le derrière du miroir.

Mais ne vous y trompez pas! Le CTF devient la nouvelle façon de se former, de rester sur le "Edge", de recruter, etc. Donc, que vous soyez développeur, pentester, defender, chargé de projet, manager ou tout simplement curieux, cette présentation est pour vous! En effet, l’apprentissage ludique qu’est le CTF doit prendre une place importante dans votre quotidien, que vous le fassiez à titre personnel ou afin de convaincre votre entreprise de l'intégrer, il est temps de s’y mettre!

Voici la présentation "CTF What? Présentation du monde CTF!"

Bio

Franck est architecte organique mais avant tout un enthousiaste de la sécurité impliqués dans l’organisation du Hackfest. Très motivé à partager ses 24 ans d’expérience en développement de systèmes, Franck est excellent présentateur et n’a pas peur d’apporter du contenu dans ses échanges avec les autres. Franck est aussi à surveiller avec ses idées/projets/initiatives orienté communauté qui sont particulièrement à la fine pointe


2 et 3 novembre 2018: kiosque et CTF OWASP au HackFest Decade (10 ans déjà!)

Hackfest2018.png

Le chapitre OWASP Ville de Québec et OWASP Montréal ont collaborés encore une fois pour assurer une présence OWASP au HackFest Decade. Merci aux organisateurs et participants du CTF OWASP qui font de cet événement un succès année après année!


17 octobre 2018: Survol de la sécurité de Microsoft Azure

Maxime Coquerel.png

Maxime Coquerel
Architecte de sécurité Cloud / MVP Azure
Logibec


Description

Dans cette présentation nous parcourrons ensemble les principaux services de sécurité offerts par la plateforme Cloud Azure. Cette présentation sera appuyée par des démos live.

Voici la présentation "Survol de la sécurité de Microsoft Azure"

Bio

Fort de 10 ans d’expérience, Maxime intervient dans des secteurs d'activités aussi variés que : la défense, l'aéronautique, les assurances et le bancaire, le médical ainsi que pour des start-ups technologiques Diplômé en Cyber Sécurité de l’Institut National des Sciences Appliqués de Lyon (France) et du Massachusetts Institute of Technologie (Cambridge, USA), Maxime est également certifié auprès d’Amazon Web Services, Microsoft, IBM, Apple, Pao-Alto et VMware. En parallèle à ses activités professionnelles, Maxime est un conférencier international reconnu. Il est notamment intervenu lors de l'IBM InterConnect 2016 à Las Vegas (Nevada, États-Unis) et lors du Microsoft Global Azure BootCamp (Québec, Canada). Maxime intervient fréquemment comme conférencier technique au Canada. Maxime contribue également au développement de logiciels open source comme Kubernetes, Microsoft Visual Code, en plus d’être l’auteur depuis 2012 du blog « l’Infrastructure pour tous » https://zigmax.net)


12 septembre 2018: Pourquoi le SPA (Single Page Application) est faillible?

Franck Desert.jpg

Franck Desert
Analyste en sécurité applicative
CGI Inc


Description

La plupart des organisations faisant du développement web ont déjà ou veulent introduire cette "nouvelle" technique qu’est le SPA… toutefois est-ce fait de façon sécuritaire? Une brève exploration du passé nous montrera ce que nous avons appris et probablement oublié avec cette nouvelle guerre du « Front-End ». Par la suite, nous allons voir ce qu’est une SPA, les changements que ça apporte aux étapes de développement ainsi que les avantages et inconvénients pour les développeurs et les utilisateurs. Le tout sera accompagné d’exemples vous montrant que les directions initialement prises doivent changer. Finalement, nous verrons ce qu’il faut retenir du passé pour ne pas répéter les mêmes erreurs.

Voici la présentation "Pourquoi le SPA (Single Page Application) est faillible?"

Bio

Franck est architecte organique mais avant tout un enthousiaste de la sécurité impliqués dans l’organisation du Hackfest. Très motivé à partager ses 24 ans d’expérience en développement de systèmes, Franck est excellent présentateur et n’a pas peur d’apporter du contenu dans ses échanges avec les autres. Franck est aussi à surveiller avec ses idées/projets/initiatives orienté communauté qui sont particulièrement à la fine pointe


5 juin 2018: Introduction OAuth 2.0 et OpenId Connect 1.0

Marc-André Tousignant.jpg

Marc-André Tousignant
Analyste en sécurité de l'information
iA Groupe financier


Description

Dans un monde où la mobilité devient omniprésente, où les applications et les services en ligne ont un besoin grandissant de s’échanger de l’information, des technologies qui permettent de soutenir cette transformation de façon sécuritaire sont nécessaires. Pour faire face à cette nouvelle réalité, Oauth et OpenID Connect ont vu le jour et en raison de leur adoption par des acteurs influents de l’industrie, leur utilisation est pratiquement devenue un incontournable. Cette présentation se veut un survol du « framework » Oauth 2.0 ainsi que du protocole OpenID Connect 1.0. Ensemble, nous prendrons connaissance des raisons d’être de chacune de ces technologies, de leurs particularités et de leur fonctionnement. Nous poursuivrons avec des mises en contexte concrètes et terminerons avec un survol des vulnérabilités associées.

Voici la présentation "Introduction OAuth 2.0 et OpenId Connect 1.0"

Bio

Marc-André est passionné par la sécurité informatique depuis plusieurs années. Il œuvre dans le domaine des TI depuis 10 ans et à titre d'analyste en sécurité de l'information depuis 5 ans. Il a un intérêt manifeste pour la sécurité applicative, la mobilité et tout ce qui touche l'identité numérique.


24 avril 2018: La sécurité dans un environnement docker/kubernetes/cloud avec micro-services

VincentCrepin.png

Vincent Crépin
Architecte logiciel
Elapse Technologies


Description

L'architecture micro-services gagne en popularité depuis les deux dernières années, mais elle comporte son lot de défis particulièrement au niveau de la visibilité sur le service mesh et de la sécurité. Afin de pouvoir bénéficier des avantages de cette architecture, il est nécessaire d’utiliser une plateforme appropriée permettant des déploiements rapides et simplifiés. docker en combinaison avec kubernetes dans un environnement cloud est un exemple de ce type de plateforme. Cette courte présentation se veut un survol des défis reliés à la sécurité dans un tel contexte et propose des solutions pour en mitiger les risques. À partir d'une implémentation réelle, on présente les différentes approches utilisées et les outils mis en place pour adresser plusieurs aspects de sécurité. Les grands thèmes abordés sont:

  • Technologies par containers (docker)
  • Plateforme d'orchestration (gcloud, kubernetes, Istio, Forsety)
  • Authentification et autorisation (Firebase, JWT)
  • API Gateway (Kong)
  • CI/CD (Jenkins, outils d'analyse statique, vérifications de sécurité)
  • Registre d'images

Voici la présentation "La sécurité dans un environnement docker/kubernetes/cloud avec micro-services"

Bio

Vincent est un architecte logiciel passionné et comptant plus de 25 années d'expérience. Il est spécialisé en intégration, conception logicielle et architecture cloud. Intéressé par la mobilité, la sécurité et le DevOps, il travaille dans plusieurs grandes entreprises à titre de conseiller en architecture. Il est fondateur de Elapse Technologies.


13 avril 2018: OWASP Québec au CQSI 2018: "Buzzwords et enjeux de sécurité"

CQSI-logo.jpg




Dans le cadre du "CQSI", OWASP Québec (Patrick Leclerc et Louis Nadeau) ont donné une conférence: "Buzzwords et enjeux de sécurité"

Description

Cloud, DevOps, CI/CD, Microservices... Ces paradigmes à la mode engendrent leur lot d’enjeux de sécurité. Mieux vaut connaitre ces derniers à l’avance que de les découvrir trop tard dans le parcours. Nous avons discuté des divers aspects de sécurité que vous aurez à considérer lors de l’adoption de ces paradigmes

Voici la présentation "Buzzwords et enjeux de sécurité"

20 mars 2018: Explication des nouveaux risques "OWASP Top 10 2017"

LouisNadeau.png

Louis Nadeau
Co-leader du chapitre OWASP Ville de Québec
Responsable de la sécurité
Bentley Systems


Description

Dans cette conférence, nous allons analyser le nouveau Top 10 OWASP et les différences avec les versions précédentes. Nous allons par la suite regarder des exemples de A4 XML External Entity (XXE) et de A8 Insecure Deserialization. En bonus, quelques activités avec l’outil YSoSerial.Net

Voici la présentation "Explication des nouveaux risques OWASP Top 10 2017"

20 février 2018: La sécurité web pour les développeurs .NET

Philippe Arteau.jpg

Philippe Arteau
Chercheur en sécurité
GoSecure


Description:

Les meilleures pratiques en sécurité sont souvent génériques et agnostiques du langage de programmation. Cela rend la vie difficile aux développeurs. Dans cette présentation, les vulnérabilités les plus communes dans le contexte .NET seront présentées. Différentes classes de vulnérabilités seront explorées dont les XSS, les injections et la cryptographie.

Bio:

Philippe est chercheur en sécurité pour GoSecure. Sa recherche porte principalement sur la sécurité des applications Web. Ces expériences présentes incluent les tests d'intrusion, la revue de code et le développement logiciel. Il est l'auteur de l'outil d'analyse statique Java "Find Security Bugs". Il a créé un outil d'analyse statique pour .NET appelé "Roslyn Security Guard". Il a développé plusieurs plugins pour les proxy Burp et ZAP: Retire.js, Reissue Request Scripter, CSP Auditor et quelques autres. Il a présenté dans plusieurs conférences dont Black Hat Arsenal, ATLSecCon, NorthSec, Hackfest (QC) et JavaOne.

Voici la présentation "La sécurité web pour les développeurs .NET"

29 novembre 2017 - Journée de 6 conférences sur la sécurité applicative à L'Université Laval

AppSecULaval.png

Afin de mettre en avant plan la sécurité applicative à Québec, vos leaders bénévoles d'OWASP Québec se sont joint à d'autres conférenciers spécialistes pour cet événement.
"ISACA Québec" en partenariat avec le "Bureau de sécurité de l’information de l’Université Laval" ont organisé cette fantastique journée sur la sécurité applicative.


Merci aux organisateurs! Nous étions "sold out" avec 165 inscriptions!

AppSec-ULAVAL-29-nov-17-1.png AppSec-ULAVAL-29-nov-17-2.png

Conférenciers et présentations:
Patrick Leclerc : "Fondements de la sécurité applicative et prise en charge avec les outils OWASP"
Martin Renaud : "La sécurité en cours de développement"
François Lajeunesse-Robert : "Sécuriser avec de bonnes pratiques de test"
François Harvey : "Revue de code"
Patrick Chevalier : "Les tests d’intrusion dans le cadre du cycle de développement applicatif"
Louis Nadeau : "Modèles de maturité"

21 novembre 2017 - Conférence - Security Stories: Comment intégrer la sécurité dans un cycle de développement logiciel rapide

GuillaumeCroteau.jpg

Guillaume Croteau

Ingénieur Logiciel Junior
Bentley Systems


Le développement continu et la livraison continue sont des pratiques de plus en plus répandus. Intégrer la sécurité dans ces cycles de développement rapide peut être un défi de taille. Lors de cette présentation, vous découvrirez une approche exprimée dans la publication de SAFECode : «Practical Security Stories and Security Tasks for Agile Development Environments». Cette approche peut être adaptée à votre contexte et permet d’intégrer des tâches ou des fonctionnalités liées à la sécurité dans votre Sprint. Cette approche offre une réponse à la question : Comment faire en sorte que les requis de sécurité ne soient pas seulement appliqués juste avant la sortie officielle du produit?

Voici la présentation "Security Stories: Comment intégrer la sécurité dans un cycle de développement logiciel rapide"

3 et 4 novembre 2017: kiosque et CTF OWASP au HackFest 2017

Hackfest2017 small.png

Le chapitre OWASP Ville de Québec et OWASP Montréal ont collaborés encore une fois pour assurer une présence OWASP au HackFest 2017. Félicitations à tous les participants du CTF OWASP!


24 octobre 2017 - Présentation - Retour sur OWASP AppSecUSA 2017

100px-PatrickLeclerc.png

Patrick Leclerc
Leader du chapitre OWASP Ville de Québec

Conseiller en sécurité des actifs informationnels
La Capitale

VincentGoulet100PX.jpg

Vincent Goulet
Conseiller principal en Sécurité de l'information
In Fidem


3 Octobre 2017 - Conférence - Comment bien gérer les incidents de sécurité

Vincent L-Garant.jpg

Vincent L-Garant
Application Security Engineer at Bentley Systems



Sony, Microsoft, CCleaner, Equifax : Le point commun de toutes ces compagnies est leur apparition, parfois répétée, dans les médias en raison de brèche de sécurité. Dans un monde constamment connecté, comment faire pour ne pas perdre la face ni nos données? Bien qu’une procédure de réponse aux incidents n’empêche pas nécessairement un acteur malicieux de briser vos défenses, cela permet de minimiser les dégâts. Cette présentation se penche sur les éléments de base dans la création d’une procédure de réponse aux incidents, de la détection à la résolution

6 juin 2017 - Conférence - Quelques outils de modélisation des menaces

JonathanMarcil100PX.jpg

Jonathan Marcil
Ancien dirigeant du chapitre OWASP Montréal
Senior Application Security Engineer, Blizzard Entertainment


Suite à la présentation sur la modélisation des menaces du mois précédent, voici certaines méthodologies qui aideront les projets de toutes de tailles à organiser les menaces et visualiser graphiquement les systèmes en place. L’audience sera donc invitée à prendre part à l’introduction avec les acquis de la dernière présentation. De plus, la discussion sera dirigée vers un point de vue pragmatique qui sera potentiellement différent pour stimuler la pensée critique.

Voici la présentation "Threat Modeling Toolkit" et sa description originale anglaise :

Threat Modeling Toolkit

Threat Modeling is a great way to analyze security early in software development by structuring possible attacks, bad actors and countermeasures over a broad view of the targeted system. This talk will describe basic components of a threat model and how to use them effectively. Threat Intelligence is where you gather knowledge about the environment and business assets to determine what are the actual threats. But how do you reconcile that with the current architecture in a useful manner? The toolkit presented in this talk will enable you to systematically structure related information using graphical notations such as flow diagram and attack tree. In case you are wondering where to start in your organization, a quick lightweight risk rating methodology will also be proposed. And in the end, you’ll see how we can all tie those together and get threat modeling to a point where it’s an efficient application security activity for communication. Doing this will prevent security reviews from missing important things even when chaos prevails during the realization of a project. Modeling concepts will be demonstrated with an actual IoT device used as example.

9 mai 2017 - Conférence - La modélisation des menaces : Comment éviter que votre frigo Internet ne se retourne contre vous?

VincentGoulet100PX.jpg

Vincent Goulet
Conseiller principal en Sécurité de l'information
In Fidem


Après avoir discuté des fondements du processus de modélisation des menaces (threat modeling), vous serez invités à tester vos connaissances sur un exemple actuel et amusant. Ensemble, nous déterminerons les principales menaces qui guettent les prochaines générations de frigos connectés et proposerons des pistes de solution.
Afin de stimuler notre créativité, nous utiliserons deux méthodes complémentaires d’analyse des menaces : STRIDE, le standard de l’industrie (Microsoft) et Security Cards, qui saura vous surprendre par son approche ludique (Université de Washington). Finalement, nous discuterons des principaux défis qui devront être relevés pour favoriser une plus grande adoption de la pratique de modélisation des menaces en entreprise.

7 mars 2017 - Conférence - Les logiciels malveillants sur les objets connectés (IoT)

OlivierBilodeau.png

Olivier Bilodeau
Leader du département de recherche en cybersécurité
GoSecure


On peut trouver des logiciels malveillants partout où du code s'exécute. Les systèmes embarqués, plus communément appelés les objets connectés (Internet of Things - IoT), n'en font pas exception. De leur popularité découle une nouvelle vague de virus et de tactiques. À travers cette présentation, nous verrons comment chasser ce genre de menaces.

Les sujets couverts seront:

  • La difficulté de collecte de logiciels malveillants de type IoT
  • Les pots de miel (honeypots)
  • Pots de miel hybrides (émulation et réelle exécution)
  • Problèmes de rétro-ingénierie et solutions pratiques
  • Étude de 3 cas réels: Linux/Moose, MIPS Dropper et LizardStresser DDoS (Linux/Gafgyt)
  • Source du problème et pistes de solutions

L'auditoire sortira mieux équipé pour affronter cette prochaine génération de logiciels malveillants, et ce en utilisant principalement des outils libres (open source).

Bio

Olivier Bilodeau est à la tête du département de recherche en cybersécurité de GoSecure. Avec plus de 10 ans d’expérience en sécurité informatique. Il a présenté à plusieurs conférences telles que BlackHat Europe, Defcon, Botconf, SecTor, Derbycon, NorthSec et bien d’autres.

7 février 2017 - Conférence - Rétro-ingénierie de protocole crypto: Un "starter pack"

MaximeLeblanc.png

Maxime Leblanc
Information Security Specialist (SecOps)
Poka


Dans cette présentation, vous apprendrez les bases de l'analyse de protocole cryptographique, et quelques pistes pouvant aider à détecter une faille au sein de ces protocoles. Aucune connaissance crypto n'est nécessaire a priori (il ne s'agit pas ici de briser des protocoles éprouvés, mais de voir comment leur mauvaise utilisation peut les rendre inefficaces). On fera par le fait même un survol des outils utiles pour la rétro-ingénierie réseau, comme "Wireshark". La présentation sera basée sur un exemple réel d'un protocole VoIP brisé et corrigé récemment.

Présentation: Rétro-ingénierie de protocole crypto

29 novembre 2016 - Conférences - Louis Nadeau & Patrick Leclerc

Retour sur les conférences OWASP AppSecUSA 2016

LouisNadeau.png

Louis Nadeau
Co-leader du chapitre OWASP Ville de Québec
Responsable de la sécurité
Bentley Systems

100px-PatrickLeclerc.png

Patrick Leclerc
Leader du chapitre OWASP Ville de Québec

Conseiller en sécurité des actifs informationnels
La Capitale


Nous avons fait un retour sur quelques sujets intéressants des conférences OWASP AppSecUSA 2016

4 octobre 2016 - Conférence - Patrick Leclerc

Cybercrime: Nos données personnelles sont à risque, entre autres parce que nos mots de passe sont inadéquats et mal protégés

100px-PatrickLeclerc.png

Patrick Leclerc
Conseiller en sécurité des actifs informationnels
La Capitale


De nos jours, la majorité d'entre nous avons une ou plusieurs identité(s) sur Internet (médias sociaux, courriels, fournisseurs de services, services en lignes, etc.). Cette nouvelle réalité signifie également de nouvelles opportunités de fraude pour les acteurs du crime organisé. Un nombre sans cesse croissant de fraudes Internet sont rapportées dans les manchettes, tant les individus (oui, vous!) que les compagnies sont ciblés.

Empruntant quelques « slides » de la présentation de David Caissy d’avril dernier, qui expliquait que plus de 90 % des mots de passe sont encore trop faibles même lorsqu'ils répondent aux critères de complexité actuels, je vous présenterai les principaux risques, pourquoi nos données sont encore trop souvent mal protégées ainsi que quelques trucs pour vous aider à préserver votre identité en ligne et celles de vos clients.

Présentation: L'usage non sécuritaire des mots de passe

2012 à 2016 - Partenariats - OWASP & Hackfest

Hackfest2016 small.png


Le chapitre OWASP Ville de Québec et OWASP Montréal ont collaborés encore une fois pour assurer une présence OWASP au HackFest 2016. Formation « Secure Coding and Testing Webservices and Web Applications » de 2 jours dispensée par Jim Manico, kiosque OWASP et Mini CTP OWASP au HackFest party.


Hackfest lucky.png


Le chapitre OWASP Québec et OWASP Montréal ont collaborés pour animer un kiosque OWASP lors des 2 jours de conférences et de jeux de hacking au HackFest 2015. Nous avons également animé un mini CTF OWASP au "HackFest Party".

Le mini-CTF (Capture The Flag) OWASP est une compétition de sécurité Web avec des défis très accessibles. La finale a est diffusée sur grand écran et commentée en direct! Pour se qualifier, obtenez le plus de points et ce, le plus rapidement possible!


Hackfest return.png


Le chapitre OWASP Québec et OWASP Montréal ont collaboré avec le Hackfest.ca pour animer un kiosque OWASP lors des 2 jours de conférences (7-8 novembre 2014) au HackFest 2014. Nous avons également tenu un mini CTF sécurité applicative au "HackFest Party".


Hackfest comm.png


Le chapitre OWASP Québec a collaboré avec le Hackfest.ca pour obtenir les services de Jim Manico, membre actif OWASP et VP Architecture sécurité chez WhiteHat Security pour présenter une conférence sur les 10 meilleures techniques de programmation pour protéger les applications Web.

6 septembre 2016 - Conférence - Louis Nadeau

Attaques et techniques de défense des sessions Web

LouisNadeau.png

Louis Nadeau
Responsable de la sécurité
Bentley Systems


Le concept de session est extrêmement important pour permettre aux applications Web de fournir une expérience personnalisée à ses utilisateurs. La session permet à l’utilisateur de ne pas avoir à faire transiger ses informations d’authentification à chaque requête, ce qui serait risqué. Par contre, la (mauvaise) gestion de la session ouvre la porte à plusieurs sortes de menaces. Durant cette présentation, quatre types d’attaques sur les sessions seront présentés ainsi que les bonnes pratiques pour se prémunir de ces problèmes. Entre autres, il sera question de « session hijacking » (différentes variantes), de « session fixation », de « session donation » et de « session puzzling ». D’autres sujets connexes seront aussi abordés comme le temps d’expiration des sessions et les complications liées à l’authentification de type authentification unique.

Présentation: Attaques et techniques de défense des sessions Web

6 au 8 avril 2016 - Collaboration - OWASP Québec & Web à Québec 2016

Conférence de David Caissy: Sécurité des applications Web en 2016

WAQsmall.png


OWASP Québec au Web à Québec 2016


7 avril 2016 - Conférence - David Caissy

La sécurité des applications Web en 2016

DavidCaissy2.png

David Caissy
Security Consultant
Department of National Defense


Les vulnérabilités reliées aux applications Web ont été un facteur important dans la plupart des cybers attaques dans le monde en 2015. Malgré cela, l’industrie tarde à réaliser où se trouve le vrai problème : les entreprises investissent massivement dans la protection de leurs réseaux sans savoir que les applications Web ne sont que partiellement protégées par ces mesures. C'est pourquoi 15.1% des applications Web en 2015 possédaient au moins une vulnérabilité de niveau élevé…

Mais la bonne nouvelle est que si certains principes de sécurité sont appliqués dès le début du développement des applications et si les bonnes mesures d’atténuation sont mises en place lors de leur déploiement, il est possible d’obtenir un très haut niveau de sécurité à faible coût.

Alors quelles stratégies devrions-nous adopter pour nous prémunir de ces cybers attaques? Quelles ont été les principales vulnérabilités recensées en 2015? Quels sont les exemples à suivre dans l’industrie et plus important encore, quels sont les pièges à éviter?

16 mars 2016 - Conférence - Patrick Leclerc

Stratégies pour développer et exploiter des applications sécuritaires à l'ASIQ

100px-PatrickLeclerc.png

Patrick Leclerc
Leader du chapitre OWASP Québec
OWASP Ville de Québec


De nos jours les applications Web sont des cibles prisées des pirates informatiques, puisque très fréquemment ils s’y faufilent sans être détectés ou arrêtés. Parfois même, ces applications représentent un vecteur par lequel un pirate parvient à une compromission complète des systèmes de mission d’une organisation.

Vol d’informations confidentielles, fraude, bris de disponibilité, falsification des données, sabotage, sont tous des risques que les organisations doivent tenter de prévenir.

Dans cette conférence, nous vous ferons connaître quelques stratégies et outils qui vous aideront à prendre en main efficacement le développement et l’exploitation d’applications sécuritaires.

Présentation: Stratégies pour développer et exploiter des applications sécuritaires

2 février 2016 - Conférence - Louis Nadeau

Comprendre l'usage de la crypto pour les développeurs : choses à faire et à ne pas faire

LouisNadeau.png

Louis Nadeau
Responsable de la sécurité
Bentley Systems


Souvent, la cryptographie (encryptions, hashing, etc.) est enseignée et présentée d'un point de vue mathématique. Par contre, dans l'industrie, les problèmes les plus fréquents qui sont rencontrés n'ont rien à voir avec les mathématiques, mais sont plutôt dus à une mauvaise utilisation pratique des techniques de cryptographie. Dans cette présentation, je ferai un rappel des différents outils de cryptographie et de leur raison d'être, et je parlerai des problèmes fréquents rencontrés avec leur utilisation. Je ne parlerai pas des algorithmes mathématiques, mais plutôt de l'aspect pratique de l'utilisation de ces algorithmes.

20 au 21 octobre 2015 - Participation - OWASP

OWASP Quebec City au CQSI, Le Carrefour de l'industrie de la sécurité

CQSI.png

Le chapitre OWASP Ville de Québec a participé au CQSI 2015 (Carrefour de l'industrie de sécurité) le 20 au 21 octobre 2015 au Centre des congrès de Québec.


2 juin 2015 - Conférence - François Gagnon

SSL et les problèmes de validation de certificats dans les applications mobiles

Team1CegepSteFoy.png

Marc-Antoine Fortier, Marc-Antoine Ferland, Simon Desloges et Jonathan Ouellet
Étudiants en informatique au Cégep Sainte-Foy

François Gagnon
Professeur-Chercheur au Laboratoire de recherche en cybersécurité du Cégep Ste-Foy

Les protocoles SSL/TLS et les certificats X.509 sont des éléments essentiels de la sécurité sur internet. Jusqu'à "récemment", la grande majorité des développeurs n'avaient à se soucier de cette composante que lors du déploiement de leur application: on met un certificat sur le serveur, et voilà! Mais aujourd'hui, c'est fort différent.

Pourquoi ? Les applications mobiles.

Dans un monde PC, la validation du côté client du certificat SSL renvoyé par le server se fait presque toujours par le navigateur web. Par contre, dans le monde mobile, chaque application doit elle-même faire la validation du certificat serveur pour éviter les "Man-in-the-middle". Cependant, vérifier correctement un certificat SSL ne semble pas être une tâche simple.

Dans cette présentation, nous aborderons rapidement les grandes lignes de la mécanique de validation des certificats SSL. Par la suite, nous présenterons un prototype de laboratoire virtuel permettant de tester automatiquement si une application Android valide bien les certificats SSL qu'elle reçoit (ou si elle expose ses usagers à du vol d’information sensible par une attaque Man-in-the-middle). Finalement, nous terminerons avec les résultats préliminaires d'une étude sur la qualité des implémentations SSL dans les applications Android existantes.

1 au 2 decembre 2014 - Partenariat - OWASP au ICCE 2014 "The Insider Threats"

OWASP booth at International Conference on Corporate Espionage and Industrial Security (ICCE)

ICCE Logo small.png


OWASP Ottawa and OWASP Quebec City chapters had a booth at the International Conference on Corporate Espionage and Industrial Security (ICCE 2014) that took place on December 1-2 2014, at the Hilton Lac-Leamy Conference Centre. Renee Guttmann, Vice President, Office of the CISO at Accuvant was our invitee. The conferences provided exclusive solutions and security practices to help counter the “Insider Threats”.

30 septembre 2014 - Conférence - Yann Rivière & Patrick Leclerc

Ce que vous devriez savoir sur le Cloud computing

YannRivière.png

Yann Rivière
Consultant senior en sécurité
EGYDE Services & Conseils en sécurité de l'information


100px-PatrickLeclerc.png

Patrick Leclerc
Architecte logiciel et sécurité applicative
EGYDE Services & Conseils en sécurité de l'information


Vous songez à réduire vos coûts liés à la gestion de vos infrastructures ?technologiques et de vos applications? Vous avez entendu dire que le Cloud Computing (pour certains l'infonuagique ou informatique en nuage) permettait d’augmenter la disponibilité, la performance et l'extensibilité de vos applications tout en protégeant vos actifs informationnels? En consommateur avisé, vous êtes méfiants et aimeriez en savoir davantage avant de vous lancer dans une aventure ou seuls les plus aguerris s’en sortent sans y laisser de plumes. Si tel est votre cas, ou si vous êtes tout simplement curieux de voir l'envers de la médaille, cette conférence est pour vous! Nous vous apporterons des pistes de solutions ainsi qu’un retour sur nos expériences de travail vécues sur la sécurité dans le Cloud.

Présentation: http://www.slideshare.net/PatrickLeclerc/ce-que-vous-devriez-savoir-sur-le-cloud-computing-owasp-quebec

10 juin 2014 - Conférence - Johan Renaut

Avez-vous dit XSS ? (Cross-site Scripting)

JohanRenaut.png

Johan Renaut
Analyste en sécurité de l'information
EGYDE Services & Conseils en sécurité de l'information


La faille dite de Cross-site scripting (XSS) est une faille web bien connue des pirates informatiques. Sur un site web vulnérable, elle permet d’y injecter du code malicieux qui sera exécuté à partir du navigateur des visiteurs, ou plutôt, des victimes...

Ces failles peuvent sembler bénignes de prime abord, mais lorsqu'elles sont exploitées malicieusement, elles deviennent un vecteur d'attaque puissant pour d'éventuels attaquants.

Cette présentation se veut une introduction aux différents types de failles XSS de base.

Nous couvrirons plusieurs sujets relatifs aux failles XSS:

- Qu’est-ce que le XSS?
- Pourquoi devons-nous nous en préoccuper?
- Comment les découvrir
- Comment les tester via des scénarios d'attaques classiques
- Comment s'en prémunir

15 avril 2014 - Conférence - Patrick Leclerc

La sécurité applicative et le cycle de développement

100px-PatrickLeclerc.png

Patrick Leclerc
Architecte logiciel et sécurité applicative
EGYDE Services & Conseils en sécurité de l'information


Encore de nos jours la majorité des applications Web comportent des vulnérabilités, ces dernières représentent plus souvent qu'autrement des risques dont les organisations ignorent encore l'existence. Certaines organisations croient qu'un simple balayage de vulnérabilités parfois accompagné d'un test d'intrusion sont les seuls moyens d'identifier les risques, mais encore faut-il les corriger après! S'il y a des coûts à prévenir et mitiger les risques, ils sont décuplés lorsque nous avons à les corriger!

Dans cette présentation, découvrez comment identifier et mitiger vos risques de sécurité en les prenant en charge tout au long du cycle de développement. Vous avez intérêts, puisque depuis quelques années déjà, Gartner identifiait que 75% des attaques étaient dirigées sur les applications Web. Plusieurs firmes ont fait les manchettes ces dernières années, n'attendez pas votre tour.

Présentation: http://www.slideshare.net/PatrickLeclerc/securite-applicative-et-sdlc-owasp-quebec-15-avril-2014-diffusion

19 février 2014 - Conférence - Eric Chartré

Développement d’une application sécurisée : étanchéité par le pipeline Web et le cadre d’application

Eric Chartré.png

Eric Chartré
Spécialiste technique en architecture Web
TELUS Communications inc.


Par le biais de techniques fort simples, l’application de règles applicatives centralisées très sévères et l’utilisation d’un cadre d’application (framework) approprié, il n’est pas utopique d’éliminer 100% des vulnérabilités d’une application Web et de son infrastructure sous-jacente. Mais, pour cela, l’application et son infrastructure doivent respecter un ensemble de conditions bien précises. Cette présentation très concrète fera un survol de la recette pour développer une application sécuritaire, même contre les erreurs des développeurs.

Cette présentation veut provoquer la discussion sur certaines pratiques de développement et d’implantation de sites Web. Présentation: http://prezi.com/ivp3kylabx32



2013 - Première rencontre des membres OWASP Quebec City

Voici le contenu de la rencontre de lancement: http://www.slideshare.net/PatrickLeclerc/premire-rencontre-dowasp-qubec

Conférence de Jim Manico au Hackfest 2012

Top Ten Web Defenses: We cannot hack or firewall our way secure. Application programmers need to learn to code in a secure fashion if we have any chance of providing organizations with proper defenses in the current threatscape. This talk will discuss the 10 most important security-centric computer programming techniques necessary to build low-risk web-based applications.

AppSecDC12-manico.jpg

Jim Manico
OWASP Global Board Member
VP Security Architecture at WhiteHat Security



Communauté

Les rencontres OWASP sont ouvertes à tous et gratuites. Nous encourageons l'échange informel sur tous sujets relatifs à la sécurité applicative. Toute personne intéressée par la sécurité applicative est la bienvenue aux rencontres.

Les sujets principalement abordés sont:

  • Analyse et conception d'applications sécurisées
  • Techniques et méthodes de développement sécurisé
  • Évaluation et validation de la sécurité des applications (tests d'intrusion, recherche de vulnérabilités)
  • Sécurité d'architectures et technologies de développement logiciel
  • Gouvernance de la sécurité logicielle dans les organisations

Devenez conférencier!

Si vous souhaitez présenter un sujet lors d'une prochaine rencontre OWASP ou avez une question relative aux rencontres de la section OWASP Ville de Québec, n'hésitez pas à envoyer un email à Patrick Leclerc. Toute intervention orale (présentation, formation) lors d'un meeting OWASP est soumise à l'acceptation préalable du règlement des conférenciers.

Responsables du chapitre

Leader: Patrick Leclerc
Vice-leader: Louis Nadeau

Supportez-nous!

Pour supporter OWASP Quebec City:

  • En devenant membre ($50 US / 1 an), sélectionnez notre chapitre pour lui verser 40% du montant: https://www.owasp.org/index.php/Membership
  • En faisant un don via Paypal en cliquant sur le bouton " Donate " juste au bas de cette page

Pour devenir membre OWASP

Devenez commanditaire de notre communauté!

Quatre formules de sponsoring sont actuellement proposées aux organisations désireuses de soutenir la mission de l'OWASP:

  • Chapter Supporter: soutien financier annuel du chapitre OWASP Ville de Québec
  • Single Meeting Supporter: soutien financier ponctuel, pour un meeting spécifique du chapitre OWASP Ville de Québec
  • Facility Sponsor: publicité des évènements OWASP Quebec City et/ou mise à la disposition de salles équipées pour la tenue des meetings OWASP Ville de Québec
  • Organization Supporter: soutien financier annuel de la fondation OWASP + 40% de la cotisation reversés à la section affiliée (OWASP Quebec City)

Pour toute information relative au sponsoring affilié à la section, merci de contacter Patrick Leclerc ou consulter la page memberships dédiée à cet effet.

Chapter Supporters / Commanditaires du chapitre

Gold / Or

Bentley Spacer-horiz.gif iA Groupe Financier

Commandites et options d'adhésion

Btn donate SM.gif Donnez, commanditez notre chapitre.

Ou considérez devenir membre OWASP individuel, corporatif, ou académique. Prêt à devenir membre? Join Now BlueIcon.JPG

Recevez les invitations à nos événements OWASP en nous suivant sur nos médias sociaux!

Facebook: /OwaspQuebec LinkedIn: /Owasp-Quebec-4338809 liste de distribution OWASP Ville de Québec Twitter: @owaspquebec

Pour nous contacter : OWASP Ville de Québec