This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org

Difference between revisions of "Quebec City"

From OWASP
Jump to: navigation, search
(Add January 21th conference)
 
(102 intermediate revisions by 2 users not shown)
Line 1: Line 1:
__NOTOC__  
+
__NOTOC__
Bienvenue sur la page d'accueil du chapitre OWASP Ville de Québec ('''OWASP Quebec City''').
 
*Le leader du chapitre est [mailto:[email protected] Patrick Leclerc].
 
*Le vice-leader est [mailto:[email protected] Louis Nadeau].
 
  
= Nouvelles OWASP Quebec City =
+
[[image:OWASPQcCity.png]]
  
==29 novembre 2016: Retour sur les conférences OWASP AppSecUSA 2016==
+
=Événements à venir=
 +
== 21 janvier 2020: Escalade de privilèges dans le Cloud: D'une simple vulnérabilité SSRF à "Administrateur Cloud Global"==
 +
[[image:MaximeLeblanc.png|100px|left]]
 +
'''Maxime Leblanc'''<br />
 +
Information Security Specialist (SecOps)<br />
 +
Poka<br />
 +
<br />
  
Nous ferons un retour sur quelques sujets intéressants des conférences '''[https://2016.appsecusa.org/ OWASP AppSecUSA 2016]'''
 
{| border="0"
 
[[image:LouisNadeau.png|100px|left]]
 
|
 
'''Louis Nadeau'''<br />
 
Co-leader du chapitre OWASP Ville de Québec <br />
 
Responsable de la sécurité <br />
 
Bentley Systems
 
 
 
|}
 
{| border="0"
 
[[image:100px-PatrickLeclerc.png|100px|left]]
 
|
 
'''Patrick Leclerc'''<br />
 
Leader du chapitre OWASP Ville de Québec <br />
 
  
Conseiller en sécurité des actifs informationnels <br />
+
====Description====
La Capitale
+
Au cours des derniers mois, j'ai exploré différentes techniques d'exploitation de vulnérabilités de type SSRF (Server-Side Request Forgery), qui peuvent mener à l'accès non autorisé à des ressources réseau auxquelles seul le serveur Web devrait avoir accès. Dans certaines circonstances, les vulnérabilités SSRF peuvent mener à la fuite de clés d'API ou d'accès à la base de données. Dans cette présentation, je démontrerai que dans le contexte d'une application hébergée sur le Cloud, la puissance d'une attaque SSRF a le potentiel d'être décuplée: Un attaquant réussissant ce type d'attaque pourrait prendre le contrôle complet du compte Cloud, les dommages potentiels étant uniquement limités par les capacités du compte administrateur. On peut ainsi imaginer un attaquant ayant accès à l'ensemble des unités de stockage S3 et y hébergeant des logiciels malveillants, ou encore exploitant de puissantes machines pour miner des crypto-monnaies au frais de la victime. La présentation sera accompagnée d'un projet open-source permettant de tester différents scénarios d'exploitation SSRF sur le Cloud: Le Damn Vulnerable Cloud Application Project.
  
|}
+
Plan
 +
* Intro
 +
* Qu'est-ce qu'une vulnérabilité SSRF (Web)
 +
* Organisation du système de permissions dans le Cloud
 +
* Utilisation d'une vulnérabilité SSRF pour l'obtention de clés d'authentification au cloud
 +
* Escalade de privilèges vers un compte administrateur
 +
* Démonstration
 +
* Défense et contre-mesures
 +
* Conclusion - [https://github.com/m6a-UdS/dvca The Damn Vulnerable Cloud Application project]
  
 
====Lieu====
 
====Lieu====
Local A-223 du CÉGEP de Ste-Foy
+
Local A225 du Cégep de Sainte-Foy
  
 
====Horaire====
 
====Horaire====
18:00 - 18:30 Accueil <br />
+
18:15 - 18:30 Accueil <br />
18:30 - 19:30 Conférence <br />
+
18:30 - 20:00 Conférence <br />
19:30 - 20:00 Questions, discussions, débats, suites <br />
+
20:00 - Réseautage et sortie dans un pub pour les intéressés
20:00 - Réseautage
 
  
 
====Stationnement====
 
====Stationnement====
Le stationnement accessible à partir de la rue Nicolas Pinel est gratuit à partir de 18h00.  
+
Le stationnement accessible à partir de la rue Nicolas Pinel est gratuit à partir de 18h00
 +
 
 +
====Ouvert à tous! Inscription gratuite! RSVP!====
 +
[[Image:Eventbrite.png|left|link=https://www.eventbrite.ca/e/billets-dune-simple-vulnerabilite-ssrf-a-administrateur-cloud-global-87881232131]]
 +
<br />
 +
 
 +
 
 +
====Merci à notre partenaire académique pour l'événement====
  
====Lunch====
+
[[Image:cegep ste-foy (117x45).png|Cégep de Sainte-Foy|link=http://www.cegep-ste-foy.qc.ca/]]
Vous pouvez apporter votre repas (lunch froid) si vous le désirez, des tables sont à votre disposition.  
+
<br />
  
====Gratuit, réservez votre place SVP!====
 
{| border="0"
 
  
[[Image:150x45px-Eventbrite.png|150x45px|left|link=http://bit.ly/OWASPQc-29nov16]]
 
|
 
  
 +
== '''Prochaines activités OWASP Québec''' ==
  
|}
+
* 17 mars 2020: sujet à confirmer <br />
 +
* 28 avril 2020: sujet à confirmer <br />
 +
* 4 juin 2020: sujet à confirmer <br />
  
  
----
+
== '''OWASP Ville de Québec est toujours à la recherche de conférenciers!''' ==
  
'''Nous sommes toujours à la recherche de conférenciers, de démonstrations ou de sujets de discussion. Manifestez-vous!'''
 
  
 +
Si vous souhaiteriez présenter, pour l’avancement de la science et de la connaissance en sécurité applicative, un sujet lors d'une prochaine rencontre OWASP, SVP communiquez avec nous!
  
= Agenda =
+
[mailto:patrick.leclerc@owasp.org Patrick Leclerc]<br />
Les meetings OWASP ont lieu quelques fois par année et se déroulent généralement dans une salle prêtée par un commenditaire ou partenaire de l'OWASP. Maintenez-vous informé des prochaines rencontres en vous inscrivant à la [http://lists.owasp.org/mailman/listinfo/owasp-quebeccity liste OWASP Ville de Québec].
+
[mailto:louis.nadeau@owasp.org Louis Nadeau]<br />
  
  
'''6 septembre 2016''' | Conférence au Cégep de Ste-Foy : Attaques et techniques de défense des sessions Web
+
'''Voici à titre indicatif quelques idées de présentations en lien avec la sécurité applicative, vos sujets nous intéressent également, alors faites-nous en part! :'''
  
'''4 octobre 2016''' | Conférence au Cégep de Ste-Foy : Cybercrime: Nos données personnelles sont à risque, entre autres parce que nos mots de passe sont inadéquats et mal protégés
+
* Démonstration d’utilisation d’outils de sécurité disponibles gratuitement ou open source (ex : ZAP, AppSensor, FindSecBugs, Burp, BeEF, ModSecurity, etc.). 
 +
* Les démonstrations et/ou retours d’expérience d’outils de sécurité applicative commerciaux sont permis, toutefois dans un souci de neutralité et d’indépendance, nous demandons à ce que ces présentations demeurent impartiales
 +
* Couverture d’un élément du Top 10 OWASP 2017 (ex : XXE, Insecure deserialization, Insufficient logging and monitoring)
 +
* Méthodes et outils de vérifications du code
 +
* Exploitations de vulnérabilités, contournements de mécanismes de sécurité, comment les prévenir
 +
* Sécurité des applications dans les architectures Web n-tiers et micro-services
 +
* Retour sur expériences dans la résolution et/ou l’implantation de fonctions de sécurité
 +
* Les pièges à éviter dans les configurations CORS
 +
* L’usage sécuritaire des JWT
 +
* Projets de recherches, discussions ouvertes, workshops, brainstorming
  
'''3 novembre 2016''' | [https://hackfest.ca/fr/formations/secure-coding-web-2016/ '''Formation en sécurité applicative'''] par Jim Manico
 
  
'''4-5 novembre 2016''' | OWASP Québec et OWASP Montréal au '''[http://www.hackfest.ca HackFest 2016]'''
+
'''Logistique :'''
 +
* Les présentations devraient être de 45 minutes à 75 minutes maximum.
 +
* Elles débutent généralement après 18h, en fonction des institutions qui nous fourniront les locaux.
 +
  
'''29 novembre 2016''' | Conférence au Cégep de Ste-Foy : Retour sur OWASP AppSecUSA 2016
+
'''Notes :'''
 +
* La neutralité et l’impartialité sont de mise, vos opinions sont bienvenues en autant qu'elles soient exprimées dans le respect
 +
* Toute intervention orale (présentation, formation) lors d'un meeting OWASP est soumise à l'acceptation préalable du règlement des conférenciers
 +
* La vente de produits est strictement interdite<br />
  
'''Autres évènements à venir, suivez-nous sur notre liste OWASP Québec ou sur nos médias sociaux'''
 
  
 +
= Historique =
 +
== 19 novembre 2019: "Securing open sources libraries in open source code package" ***chez Coveo***==
 +
[[Image:coveo.jpg|200x65px|left|link=https://www.coveo.com]]
 +
'''Jean-Alexandre Beaumont'''<br />
 +
'''Louis-Philippe Déry'''<br />
 +
Coveo
  
 +
====Description====
 +
Learn how to find and fix vulnerabilities in open source libraries, where to integrate testing to prevent adding new vulnerable libraries to your code and how to respond to newly disclosed vulnerabilities in libraries you already use.
  
 +
Voici la présentation "[https://fr.slideshare.net/secret/Dpi98oh3ctLZ63 Securing open sources libraries in open source code package]"
  
  
  
= Historique =
+
== 1 et 2 novembre 2019: kiosque et CTF OWASP au HackFest UpsideDown ==
==1 au 5 novembre 2016 - Collaboration - OWASP & Hackfest==
+
[[Image:hackfest 2019 200px.jpg|200x78px|left|link=http://www.hackfest.ca]]
===Formation, kiosque et CTF par OWASP au HackFest Infinity===
 
 
{| border="0"
 
{| border="0"
[[Image:Hackfest2016 small.png|200x88px|left|link=http://www.hackfest.ca]]
 
 
|
 
|
 
|}
 
|}
Le chapitre OWASP Ville de Québec et OWASP Montréal collaborent encore une fois pour assurer une présence OWASP au '''[http://www.hackfest.ca HackFest 2016]'''.   
+
Le chapitre OWASP Ville de Québec et OWASP Montréal ont collaborés encore une fois pour assurer une présence OWASP au '''[http://www.hackfest.ca HackFest]'''.   
 +
Merci aux organisateurs et participants du CTF OWASP qui font de cet événement un succès année après année!
 +
<br />
 +
 
 +
 
 +
 
 +
 
 +
== 3 septembre 2019 - Conférence - Histoire vraie : Implémenter le SecDevOps en entreprise ==
 +
[[image:GuillaumeCroteau.jpg|100px|left]]
 +
'''Guillaume Croteau'''<br />
 +
 
 +
Ingénieur Logiciel <br />
 +
Bentley Systems
  
  
 +
====Description====
 +
Lorsque l’on parle de DevOps, on parle aussi de l’importance d’avoir du SecDevOps, l’intégration de la sécurité dans le processus DevOps. Plusieurs sources, tel que le SANS, offrent des lignes directrices sur ce que devrait avoir un bon SecDevOps.
  
 +
La théorie c’est bien, mais qu’en est-il en pratique? Quelle est la réalité lorsque l’on s’assis derrière son bureau et que l’on se dit « Commençons à implémenter notre SecDevOps »?
  
==4 octobre 2016 - Conférence - Patrick Leclerc<br/>Cybercrime==
+
Lors de cette présentation, nous parlerons de la transformation interne de Bentley Systems vers le DevOps et par conséquent, l’implémentation du SecDevOps. Nous traverserons ensemble une année de travail à travers une personne qui a fait part de ce changement. Nous aborderons le début cahoteux, les bons et les moins bons coups, les défis rencontrés, etc.
===Nos données personnelles sont à risque, entre autres parce que nos mots de passe sont inadéquats et mal protégés===
 
  
Présentation: '''[http://fr.slideshare.net/PatrickLeclerc/owasp-quebec-octobre-2016-presentation-sur-les-mots-de-passe L'usage non sécuritaire des mots de passe]'''
+
Le but de cette présentation n’est pas d’expliquer ce qu’est un bon SecDevOps et comment l’implémenter. Il s’agit d’un témoignage d’une équipe de sécurité applicative qui a vécue et participée à son implémentation dans une entreprise de 30 ans d’âge.
 +
 
 +
Voici la présentation "[https://www.slideshare.net/secret/uw1RBZ1Uike7Cp Histoire vraie : Implémenter le SecDevOps en entreprise]"
 +
 
 +
 
 +
 
 +
== 5 juin 2019: Moderne Identification et AuthN/AuthZ : Comprenons-nous tous les enjeux? ==
 +
[[image:Franck Desert.jpg|100px|left]]
 +
'''Franck Desert'''<br />
 +
Analyste en sécurité applicative <br />
 +
CGI Inc <br />
 +
<br />
 +
 
 +
 
 +
====Description====
 +
 
 +
Description:
 +
À l'heure où le Cloud devient omniprésent les enjeux d’authentification et d'autorisation deviennent incontournables!
 +
Tous les protocoles, frameworks, standards, etc. se chevauchent et s'entrecroisent!
 +
* Comment utiliser les IdP, les "relaying parties", les ADs (b2b, b2c)?
 +
* Qu'en est-il alors du SSO?
 +
* Comment s'y retrouver dans les différents JWTs & JWKs?
 +
* SAML? WS-*?
 +
* Et enfin toutes les fédérations possibles?
 +
Bref, vous l'aurez compris, j'essayerai de passer en revue tout cela!
 +
Cas concrets et exemples de codes réels seront présents (Azure, AWS, peut-être GCP)
 +
 
 +
 
 +
== 23 avril 2019: Introduction au CTF avec OWASP Juice-Shop ***chez Bentley Systems*** ==
 +
[[image:Vincent_L-Garant_2.png|100px|left]]
 +
'''Vincent L-Garant'''<br />
 +
Application Security Engineer <br />
 +
Bentley Systems <br />
 +
<br />
 +
 
 +
 
 +
====Description====
 +
 
 +
Il s’agit d’une activité de style « workshop », semi-dirigée, pour débuter en CTF (Capture The Flag). Tout au long de la soirée, vous pourrez vous « faire les dents » sur la plateforme d’apprentissage Juice-Shop d’OWASP, qui permet entre autres le déroulement local d’une activité complète de style CTF, avec des challenges et astuces. Juice-Shop permet de pratiquer vos talents de « l337 h4ck3r » dans un environnement contrôlé, similaire à un vrai site de vente.
 +
Des animateurs seront disponibles pour répondre à vos questions si jamais vous êtes dans une impasse. Il y aura également des défis en groupes. Une bonne occasion de vous initier au hacking web!
 +
 
 +
Instructions :
 +
Vous devez apporter votre propre portable et un câble ethernet. Votre ordinateur doit être en mesure de fonctionner avec Docker. Il n’est pas nécessaire d’avoir des outils de « pentest » complets, mais un proxy tel que Fiddler, OWASP ZAP ou Burp, etc. est fortement recommandé.
  
De nos jours, la majorité d'entre nous avons une ou plusieurs identité(s) sur Internet (médias sociaux, courriels, fournisseurs de services, services en lignes, etc.).  Cette nouvelle réalité signifie également de nouvelles opportunités de fraude pour les acteurs du crime organisé.  Un nombre sans cesse croissant de fraudes Internet sont rapportées dans les manchettes, tant les individus (oui, vous!) que les compagnies sont ciblés.
 
  
Empruntant quelques « slides » de la présentation de David Caissy d’avril dernier, qui expliquait que plus de 90 % des mots de passe sont encore trop faibles même lorsqu'ils répondent aux critères de complexité actuels, je vous présenterai les principaux risques, pourquoi nos données sont encore trop souvent mal protégées ainsi que quelques trucs pour vous aider à préserver votre identité en ligne et celles de vos clients.
+
== 19 mars 2019: Portrait de la sécurité applicative et outils OWASP ==
{| border="0"
 
 
[[image:100px-PatrickLeclerc.png|100px|left]]
 
[[image:100px-PatrickLeclerc.png|100px|left]]
|
 
 
'''Patrick Leclerc'''<br />
 
'''Patrick Leclerc'''<br />
 
Leader du chapitre OWASP Ville de Québec <br />
 
Leader du chapitre OWASP Ville de Québec <br />
Line 109: Line 182:
 
Conseiller en sécurité des actifs informationnels <br />
 
Conseiller en sécurité des actifs informationnels <br />
 
La Capitale
 
La Capitale
 +
<br />
 +
 +
 +
====Description====
 +
 +
Les applications Web sont des cibles prisées des pirates informatiques, très fréquemment ils s’y faufilent sans être détectés ou arrêtés.  Parfois même, ces applications représentent un vecteur par lequel un pirate parvient à une compromission complète des systèmes de mission d’une organisation.
 +
Vol d’informations confidentielles, fraude, bris de disponibilité, falsification des données, sabotage, atteinte à la réputation, sont tous des risques que les organisations doivent tenter de prévenir.
 +
Dans cette conférence, nous vous ferons connaître quelques stratégies et outils gratuitement disponibles qui vous aideront à prendre en main efficacement le développement et l’exploitation d’applications sécuritaires.
 +
 +
Voici la présentation "[https://www.slideshare.net/secret/iZaWiyZUOM19Xn Portrait de la sécurité applicative et outils OWASP]"
 +
 +
 +
== 19 février 2019: Concevoir et implémenter un plan de formation et de sensibilisation à la sécurité ==
 +
[[image:Vincent_L-Garant_2.png|100px|left]]
 +
'''Vincent L-Garant'''<br />
 +
Application Security Engineer <br />
 +
Bentley Systems <br />
 +
<br />
 +
 +
 +
====Description====
 +
 +
Avoir des antivirus sur tous les postes et des firewalls devant chaque serveur, c’est bien, mais si tout le monde ouvre Trust_me.exe en attachement de la part d’un prince nigérien, ça ne sert à rien. Comme la sécurité suit le principe du maillon faible et que dans la plupart des systèmes, le maillon faible c’est l’humain, il est important de bien former ses employées.
 +
 +
La présentation parlera des étapes pour concevoir et implémenter un plan de formation et de sensibilisation à la sécurité. Pour enclencher un processus de formation interne, il est important de :
 +
 +
Voici la présentation "[https://www.slideshare.net/secret/9slxoP7OBssVLk Concevoir et implémenter un plan de formation et de sensibilisation à la sécurité]"
 +
 +
* Définir sa « clientèle »
 +
* Identifier nos forces et nos faiblesses
 +
* Définir un plan de déploiement
 +
* Préparer la(les) formation(s)
 +
* Stimuler et calculer la complétude
 +
* Se tenir à jour
 +
 +
 +
== 5 décembre 2018: CTF What? Présentation du monde CTF! « Capture The Flag » ==
 +
[[image:Franck Desert.jpg|100px|left]]
 +
'''Franck Desert'''<br />
 +
Analyste en sécurité applicative <br />
 +
CGI Inc <br />
 +
<br />
 +
 +
 +
====Description====
 +
 +
Attaque/Défense, Jeopardy, Puzzle Technique, Retro ou New Tech, nous allons vous raconter l'histoire, l'existant, ce qui s'en vient dans le monde du CTF et présenter également le devant et le derrière du miroir.
 +
 +
Mais ne vous y trompez pas!  Le CTF devient la nouvelle façon de se former, de rester sur le "Edge", de recruter, etc. Donc, que vous soyez développeur, pentester, defender, chargé de projet, manager ou tout simplement curieux, cette présentation est pour vous!
 +
En effet, l’apprentissage ludique qu’est le CTF doit prendre une place importante dans votre quotidien, que vous le fassiez à titre personnel ou afin de convaincre votre entreprise de l'intégrer, il est temps de s’y mettre!
 +
 +
Voici la présentation "[https://fr.slideshare.net/secret/5MG3Lmv9Rv08AJ CTF What? Présentation du monde CTF!]"
 +
 +
====Bio====
 +
 +
Franck est architecte organique mais avant tout un enthousiaste de la sécurité impliqués dans l’organisation du Hackfest. Très motivé à partager ses 24 ans d’expérience en développement de systèmes, Franck est excellent présentateur et n’a pas peur d’apporter du contenu dans ses échanges avec les autres. Franck est aussi à surveiller avec ses idées/projets/initiatives orienté communauté qui sont particulièrement à la fine pointe
 +
 +
 +
== 2 et 3 novembre 2018: kiosque et CTF OWASP au HackFest Decade (10 ans déjà!) ==
 +
[[Image:Hackfest2018.png|200x62px|left|link=http://www.hackfest.ca]]
 +
{| border="0"
  
 +
|
 
|}
 
|}
 +
Le chapitre OWASP Ville de Québec et OWASP Montréal ont collaborés encore une fois pour assurer une présence OWASP au '''[http://www.hackfest.ca HackFest Decade]'''. 
 +
Merci aux organisateurs et participants du CTF OWASP qui font de cet événement un succès année après année!
 +
 +
 +
== 17 octobre 2018: Survol de la sécurité de Microsoft Azure ==
 +
[[image:Maxime Coquerel.png|100px|left]]
 +
'''Maxime Coquerel'''<br />
 +
Architecte de sécurité Cloud / MVP Azure<br />
 +
Logibec <br />
 +
<br />
 +
  
 +
====Description====
  
==6 septembre 2016 - Conférence - Louis Nadeau==
+
Dans cette présentation nous parcourrons ensemble les principaux services de sécurité offerts par la plateforme Cloud Azure. Cette présentation sera appuyée par des démos live.
===Attaques et techniques de défense des sessions Web===
+
 
Présentation: '''[http://www.slideshare.net/PatrickLeclerc/owasp-qubec-attaques-et-techniques-de-dfense-des-sessions-web-par-louis-nadeau Attaques et techniques de défense des sessions Web]'''
+
Voici la présentation "[http://zigmax.net/wp-content/uploads/2018/10/Azure-Security-OWASP.pdf Survol de la sécurité de Microsoft Azure]" 
 +
 
 +
====Bio====
 +
 
 +
Fort de 10 ans d’expérience, Maxime intervient dans des secteurs d'activités aussi variés que : la défense, l'aéronautique, les assurances et le bancaire, le médical ainsi que pour des start-ups technologiques
 +
Diplômé en Cyber Sécurité de l’Institut National des Sciences Appliqués de Lyon (France) et du Massachusetts Institute of Technologie (Cambridge, USA), Maxime est également certifié auprès d’Amazon Web Services, Microsoft, IBM, Apple, Pao-Alto et VMware.
 +
En parallèle à ses activités professionnelles, Maxime est un conférencier international reconnu. Il est notamment intervenu lors de l'IBM InterConnect 2016 à Las Vegas (Nevada, États-Unis) et lors du Microsoft Global Azure BootCamp (Québec, Canada). Maxime intervient fréquemment comme conférencier technique au Canada.
 +
Maxime contribue également au développement de logiciels open source comme Kubernetes, Microsoft Visual Code, en plus d’être l’auteur depuis 2012 du blog « l’Infrastructure pour tous » https://zigmax.net)
 +
 
 +
 
 +
== 12 septembre 2018: Pourquoi le SPA (Single Page Application) est faillible? ==
 +
[[image:Franck Desert.jpg|100px|left]]
 +
'''Franck Desert'''<br />
 +
Analyste en sécurité applicative <br />
 +
CGI Inc <br />
 +
<br />
 +
 
 +
 
 +
====Description====
 +
 
 +
La plupart des organisations faisant du développement web ont déjà ou veulent introduire cette "nouvelle" technique qu’est le SPA… toutefois est-ce fait de façon sécuritaire?
 +
Une brève exploration du passé nous montrera ce que nous avons appris et probablement oublié avec cette nouvelle guerre du « Front-End ».
 +
Par la suite, nous allons voir ce qu’est une SPA, les changements que ça apporte aux étapes de développement ainsi que les avantages et inconvénients pour les développeurs et les utilisateurs.
 +
Le tout sera accompagné d’exemples vous montrant que les directions initialement prises doivent changer.
 +
Finalement, nous verrons ce qu’il faut retenir du passé pour ne pas répéter les mêmes erreurs.
 +
 
 +
Voici la présentation "[https://fr.slideshare.net/secret/5bW5HeT2C5BEum Pourquoi le SPA (Single Page Application) est faillible?]" 
 +
 
 +
====Bio====
 +
 
 +
Franck est architecte organique mais avant tout un enthousiaste de la sécurité impliqués dans l’organisation du Hackfest. Très motivé à partager ses 24 ans d’expérience en développement de systèmes, Franck est excellent présentateur et n’a pas peur d’apporter du contenu dans ses échanges avec les autres. Franck est aussi à surveiller avec ses idées/projets/initiatives orienté communauté qui sont particulièrement à la fine pointe
 +
 
 +
 
 +
== 5 juin 2018: Introduction OAuth 2.0 et OpenId Connect 1.0 ==
 +
[[image:Marc-André Tousignant.jpg|100px|left]]
 +
'''Marc-André Tousignant'''<br />
 +
Analyste en sécurité de l'information <br />
 +
iA Groupe financier <br />
 +
<br />
 +
 
 +
 
 +
====Description====
 +
 
 +
Dans un monde où la mobilité devient omniprésente, où les applications et les services en ligne ont un besoin grandissant de s’échanger de l’information, des technologies qui permettent de soutenir cette transformation de façon sécuritaire sont nécessaires. Pour faire face à cette nouvelle réalité, Oauth et OpenID Connect ont vu le jour et en raison de leur adoption par des acteurs influents de l’industrie, leur utilisation est pratiquement devenue un incontournable.
 +
Cette présentation se veut un survol du « framework » Oauth 2.0 ainsi que du protocole OpenID Connect 1.0. Ensemble, nous prendrons connaissance des raisons d’être de chacune de ces technologies, de leurs particularités et de leur fonctionnement. Nous poursuivrons avec des mises en contexte concrètes et terminerons avec un survol des vulnérabilités associées.
 +
 
 +
Voici la présentation "[https://www.slideshare.net/MarcAndrTousignant/introduction-oauth-20-et-openid-connect-10-102478531 Introduction OAuth 2.0 et OpenId Connect 1.0]" 
 +
 
 +
====Bio====
 +
 
 +
Marc-André est passionné par la sécurité informatique depuis plusieurs années. Il œuvre dans le domaine des TI depuis 10 ans et à titre d'analyste en sécurité de l'information depuis 5 ans. Il a un intérêt manifeste pour la sécurité applicative, la mobilité et tout ce qui touche l'identité numérique.
 +
 
 +
 
 +
==24 avril 2018: La sécurité dans un environnement docker/kubernetes/cloud avec micro-services==
 +
[[image:VincentCrepin.png|100px|left]]
 +
'''Vincent Crépin'''<br />
 +
Architecte logiciel <br />
 +
Elapse Technologies <br />
 +
<br />
 +
 
 +
 
 +
====Description====
 +
 
 +
L'architecture micro-services gagne en popularité depuis les deux dernières années, mais elle comporte son lot de défis particulièrement au niveau de la visibilité sur le service mesh et de la sécurité. Afin de pouvoir bénéficier des avantages de cette architecture, il est nécessaire d’utiliser une plateforme appropriée permettant des déploiements rapides et simplifiés. docker en combinaison avec kubernetes dans un environnement cloud est un exemple de ce type de plateforme. Cette courte présentation se veut un survol des défis reliés à la sécurité dans un tel contexte et propose des solutions pour en mitiger les risques. À partir d'une implémentation réelle, on présente les différentes approches utilisées et les outils mis en place pour adresser plusieurs aspects de sécurité.
 +
Les grands thèmes abordés sont:
 +
*Technologies par containers (docker)
 +
*Plateforme d'orchestration (gcloud, kubernetes, Istio, Forsety)
 +
*Authentification et autorisation (Firebase, JWT)
 +
*API Gateway (Kong)
 +
*CI/CD (Jenkins, outils d'analyse statique, vérifications de sécurité)
 +
*Registre d'images
 +
 
 +
Voici la présentation "[https://www.slideshare.net/secret/ujqB3BEeTQ4Gkx La sécurité dans un environnement docker/kubernetes/cloud avec micro-services]"
 +
 
 +
====Bio====
 +
 
 +
Vincent est un architecte logiciel passionné et comptant plus de 25 années d'expérience.  Il est spécialisé en intégration, conception logicielle et architecture cloud. Intéressé par la mobilité, la sécurité et le DevOps, il travaille dans plusieurs grandes entreprises à titre de conseiller en architecture.  Il est fondateur de Elapse Technologies.
 +
 
 +
 
 +
==13 avril 2018: OWASP Québec au CQSI 2018: "Buzzwords et enjeux de sécurité"==
 +
[[Image:CQSI-logo.jpg|205x100px|left|link=https://www.cqsi.org/]]
 +
<br />
 +
 
 +
 
 +
 
 +
 
 +
 
 +
Dans le cadre du '''"[https://www.cqsi.org/ CQSI]"''', OWASP Québec (Patrick Leclerc et Louis Nadeau) ont donné une conférence: '''"Buzzwords et enjeux de sécurité"'''
 +
 
 +
====Description====
 +
Cloud, DevOps, CI/CD, Microservices... Ces paradigmes à la mode engendrent leur lot d’enjeux de sécurité. Mieux vaut connaitre ces derniers à l’avance que de les découvrir trop tard dans le parcours.  Nous avons discuté des divers aspects de sécurité que vous aurez à considérer lors de l’adoption de ces paradigmes
 +
 
 +
Voici la présentation "[https://www.slideshare.net/secret/CsgTS3JLxdsXPC Buzzwords et enjeux de sécurité]"
  
Le concept de session est extrêmement important pour permettre aux applications Web de fournir une expérience personnalisée à ses utilisateurs. La session permet à l’utilisateur de ne pas avoir à faire transiger ses informations d’authentification à chaque requête, ce qui serait risqué. Par contre, la (mauvaise) gestion de la session ouvre la porte à plusieurs sortes de menaces. Durant cette présentation, quatre types d’attaques sur les sessions seront présentés ainsi que les bonnes pratiques pour se prémunir de ces problèmes. Entre autres, il sera question de « session hijacking » (différentes variantes), de « session fixation », de « session donation » et de « session puzzling ». D’autres sujets connexes seront aussi abordés comme le temps d’expiration des sessions et les complications liées à l’authentification de type authentification unique.
+
==20 mars 2018: Explication des nouveaux risques "OWASP Top 10 2017"==
{| border="0"
 
 
[[image:LouisNadeau.png|100px|left]]
 
[[image:LouisNadeau.png|100px|left]]
|
 
 
'''Louis Nadeau'''<br />
 
'''Louis Nadeau'''<br />
 +
Co-leader du chapitre OWASP Ville de Québec <br />
 
Responsable de la sécurité <br />
 
Responsable de la sécurité <br />
 
Bentley Systems
 
Bentley Systems
 
  
|}
 
  
 +
====Description====
 +
Dans cette conférence, nous allons analyser le nouveau Top 10 OWASP et les différences avec les versions précédentes. Nous allons par la suite regarder des exemples de A4 XML External Entity (XXE) et de A8 Insecure Deserialization.  En bonus, quelques activités avec l’outil YSoSerial.Net
 +
 +
Voici la présentation "[https://www.slideshare.net/secret/nfpdBSCfXxVlF5 Explication des nouveaux risques OWASP Top 10 2017]"
  
==6 au 8 avril 2016 - Collaboration - OWASP Québec & Web à Québec 2016==
+
==20 février 2018: La sécurité web pour les développeurs .NET==
===Conférence de David Caissy==
+
[[image:Philippe_Arteau.jpg|100px|left]]
 +
'''Philippe Arteau'''<br />
 +
Chercheur en sécurité<br />
 +
GoSecure<br />
  
{| border="0"
 
[[Image:WAQsmall.png|289x150px|left|link=http://webaquebec.org/]]
 
|
 
  
  
 +
'''Description''':
  
 +
Les meilleures pratiques en sécurité sont souvent génériques et agnostiques du langage de programmation. Cela rend la vie difficile aux développeurs. Dans cette présentation, les vulnérabilités les plus communes dans le contexte .NET seront présentées. Différentes classes de vulnérabilités seront explorées dont les XSS, les injections et la cryptographie.
  
 +
'''Bio''':
  
|}
+
Philippe est chercheur en sécurité pour GoSecure. Sa recherche porte principalement sur la sécurité des applications Web. Ces expériences présentes incluent les tests d'intrusion, la revue de code et le développement logiciel. Il est l'auteur de l'outil d'analyse statique  Java "Find Security Bugs". Il a créé un outil d'analyse statique pour .NET appelé "Roslyn Security Guard". Il a développé plusieurs plugins pour les proxy Burp et ZAP: Retire.js, Reissue Request Scripter, CSP Auditor et quelques autres. Il a présenté dans plusieurs conférences dont Black Hat Arsenal, ATLSecCon, NorthSec, Hackfest (QC) et JavaOne.
  
 +
Voici la présentation "[https://gosecure.github.io/presentations/2018-03-18-confoo_mtl/Security_boot_camp_for_.NET_developers_Confoo_v2.pdf La sécurité web pour les développeurs .NET]"
  
 +
== 29 novembre 2017 - Journée de 6 conférences sur la sécurité applicative à L'Université Laval ==
 +
[[image:AppSecULaval.png|310x88px|left|link=http://www.isaca-quebec.ca/activites/conference/2017/11/29/colloque-securite-applicative/]]
  
 +
Afin de mettre en avant plan la sécurité applicative à Québec, vos leaders bénévoles d'OWASP Québec se sont joint à d'autres conférenciers spécialistes pour cet événement.<br />
 +
'''"[http://www.isaca-quebec.ca/ ISACA Québec]"''' en partenariat avec le '''"[https://www.bsi.ulaval.ca/ Bureau de sécurité de l’information de l’Université Laval]"''' ont organisé cette fantastique journée sur la '''sécurité applicative'''.<br />
  
  
  
 +
'''Merci aux organisateurs! Nous étions "sold out" avec 165 inscriptions!'''
  
OWASP Québec au [http://webaquebec.org/ '''Web à Québec 2016''']
+
[[Image:AppSec-ULAVAL-29-nov-17-1.png ]]
 +
[[Image:AppSec-ULAVAL-29-nov-17-2.png ]]
 +
<br />
  
Conférence de David Caissy '''[http://webaquebec.org/#!la-securite-des-applications-web-en-2016 Sécurité des applications Web en 2016]'''
+
'''Conférenciers et présentations:'''<br />
 +
Patrick Leclerc : "[http://www.isaca-quebec.ca/assets/presentations/2017-11-29-Fondements%20de%20la%20s%C3%A9curit%C3%A9%20applicative%20et%20prise%20en%20charge%20avec%20les%20outils%20OWASP.pdf Fondements de la sécurité applicative et prise en charge avec les outils OWASP]" <br />
 +
Martin Renaud : "[http://www.isaca-quebec.ca/assets/presentations/2017-11-29-La%20s%C3%A9curit%C3%A9%20en%20cours%20de%20d%C3%A9veloppementF.pdf La sécurité en cours de développement]" <br />
 +
François Lajeunesse-Robert : "[http://www.isaca-quebec.ca/assets/presentations/2017-11-29-S%C3%A9curiser%20avec%20de%20bonnes%20pratiques%20de%20testF.pdf Sécuriser avec de bonnes pratiques de test]" <br />
 +
François Harvey : "[http://www.isaca-quebec.ca/assets/presentations/2017-11-29-La%20revue%20de%20codeF.pdf Revue de code]" <br />
 +
Patrick Chevalier : "[http://www.isaca-quebec.ca/assets/presentations/2017-11-29-Tests%20de%20s%C3%A9curit%C3%A9%20dans%20le%20cadre%20du%20cycle%20de%20d%C3%A9veloppementF.pdf Les tests d’intrusion dans le cadre du cycle de développement applicatif]" <br />
 +
Louis Nadeau : "[http://www.isaca-quebec.ca/assets/presentations/2017-11-29-OWASP%20SAMM%20et%20les%20mod%C3%A8les%20de%20maturit%C3%A9.pdf Modèles de maturité]" <br />
  
 +
== 21 novembre 2017 - Conférence - Security Stories: Comment intégrer la sécurité dans un cycle de développement logiciel rapide ==
 +
[[image:GuillaumeCroteau.jpg|100px|left]]
 +
'''Guillaume Croteau'''<br />
  
 +
Ingénieur Logiciel Junior <br />
 +
Bentley Systems
  
==7 avril 2016 - Conférence - David Caissy==
 
===La sécurité des applications Web en 2016===
 
  
Les vulnérabilités reliées aux applications Web ont été un facteur important dans la plupart des cybers attaques dans le monde en 2015. Malgré cela, l’industrie tarde à réaliser où se trouve le vrai problème : les entreprises investissent massivement dans la protection de leurs réseaux sans savoir que les applications Web ne sont que partiellement protégées par ces mesures. C'est pourquoi 15.1% des applications Web en 2015 possédaient au moins une vulnérabilité de niveau élevé…
 
  
Mais la bonne nouvelle est que si certains principes de sécurité sont appliqués dès le début du développement des applications et si les bonnes mesures d’atténuation sont mises en place lors de leur déploiement, il est possible d’obtenir un très haut niveau de sécurité à faible coût.
+
Le développement continu et la livraison continue sont des pratiques de plus en plus répandus. Intégrer la sécurité dans ces cycles de développement rapide peut être un défi de taille. Lors de cette présentation, vous découvrirez une approche exprimée dans la publication de SAFECode : «Practical Security Stories and Security Tasks for Agile Development Environments». Cette approche peut être adaptée à votre contexte et permet d’intégrer des tâches ou des fonctionnalités liées à la sécurité dans votre Sprint. Cette approche offre une réponse à la question : Comment faire en sorte que les requis de sécurité ne soient pas seulement appliqués juste avant la sortie officielle du produit?
  
Alors quelles stratégies devrions-nous adopter pour nous prémunir de ces cybers attaques? Quelles ont été les principales vulnérabilités recensées en 2015? Quels sont les exemples à suivre dans l’industrie et plus important encore, quels sont les pièges à éviter?
+
Voici la présentation "[https://www.slideshare.net/PatrickLeclerc/owasp-quebec-security-stories-par-guillaume-croteau Security Stories: Comment intégrer la sécurité dans un cycle de développement logiciel rapide]"
  
 +
==3 et 4 novembre 2017: kiosque et CTF OWASP au HackFest 2017==
 +
[[Image:Hackfest2017 small.png|200x62px|left|link=http://www.hackfest.ca]]
 
{| border="0"
 
{| border="0"
[[image:DavidCaissy2.png|200px|left]]
+
 
 
|
 
|
'''David Caissy'''<br />
+
|}
Security Consultant <br />
+
Le chapitre OWASP Ville de Québec et OWASP Montréal ont collaborés encore une fois pour assurer une présence OWASP au '''[http://www.hackfest.ca HackFest 2017]'''. 
Department of National Defense
+
Félicitations à tous les participants du CTF OWASP!
 +
 
 +
 
 +
== 24 octobre 2017 - Présentation - Retour sur OWASP AppSecUSA 2017 ==
 +
[[image:100px-PatrickLeclerc.png|100px|left]]
 +
'''Patrick Leclerc'''<br />
 +
Leader du chapitre OWASP Ville de Québec <br />
 +
 
 +
Conseiller en sécurité des actifs informationnels <br />
 +
La Capitale
 +
 
 +
[[image:VincentGoulet100PX.jpg|100px|left]]
 +
'''Vincent Goulet'''<br />
 +
Conseiller principal en Sécurité de l'information<br />
 +
In Fidem<br />
 +
 
 +
 
 +
 
 +
== 3 Octobre 2017 - Conférence - Comment bien gérer les incidents de sécurité ==
 +
[[image:Vincent L-Garant.jpg|100px|left]]
 +
'''Vincent L-Garant'''<br />
 +
Application Security Engineer at Bentley Systems
 +
 
 +
 
 +
 
 +
 
 +
Sony, Microsoft, CCleaner, Equifax : Le point commun de toutes ces compagnies est leur apparition, parfois répétée, dans les médias en raison de brèche de sécurité. Dans un monde constamment connecté, comment faire pour ne pas perdre la face ni nos données? Bien qu’une procédure de réponse aux incidents n’empêche pas nécessairement un acteur malicieux de briser vos défenses, cela permet de minimiser les dégâts. Cette présentation se penche sur les éléments de base dans la création d’une procédure de réponse aux incidents, de la détection à la résolution
 +
 
 +
==6 juin 2017 - Conférence - Quelques outils de modélisation des menaces==
 +
[[image:JonathanMarcil100PX.jpg|100px|left]]
 +
'''Jonathan Marcil'''<br />
 +
Ancien dirigeant du chapitre OWASP Montréal<br />
 +
Senior Application Security Engineer, Blizzard Entertainment<br />
 +
 
 +
 
 +
 
 +
Suite à la présentation sur la modélisation des menaces du mois précédent, voici certaines méthodologies qui aideront les projets de toutes de tailles à organiser les menaces et visualiser graphiquement les systèmes en place. L’audience sera donc invitée à prendre part à l’introduction avec les acquis de la dernière présentation. De plus, la discussion sera dirigée vers un point de vue pragmatique qui sera potentiellement différent pour stimuler la pensée critique.
 
   
 
   
 +
Voici la présentation "[https://www.slideshare.net/JonathanMarcil/owasp-qubec-threat-modeling-toolkit-jonathan-marcil Threat Modeling Toolkit]" et sa description originale anglaise :
 +
 +
====Threat Modeling Toolkit====
 +
Threat Modeling is a great way to analyze security early in software development by structuring possible attacks, bad actors and countermeasures over a broad view of the targeted system. This talk will describe basic components of a threat model and how to use them effectively.
 +
Threat Intelligence is where you gather knowledge about the environment and business assets to determine what are the actual threats. But how do you reconcile that with the current architecture in a useful manner?
 +
The toolkit presented in this talk will enable you to systematically structure related information using graphical notations such as flow diagram and attack tree. In case you are wondering where to start in your organization, a quick lightweight risk rating methodology will also be proposed.
 +
And in the end, you’ll see how we can all tie those together and get threat modeling to a point where it’s an efficient application security activity for communication. Doing this will prevent security reviews from missing important things even when chaos prevails during the realization of a project.
 +
Modeling concepts will be demonstrated with an actual IoT device used as example.
  
|}
+
==9 mai 2017 - Conférence - La modélisation des menaces : Comment éviter que votre frigo Internet ne se retourne contre vous?==
 +
[[image:VincentGoulet100PX.jpg|100px|left]]
 +
'''Vincent Goulet'''<br />
 +
Conseiller principal en Sécurité de l'information<br />
 +
In Fidem<br />
  
  
  
 +
Après avoir discuté des fondements du processus de modélisation des menaces (threat modeling), vous serez invités à tester vos connaissances sur un exemple actuel et amusant. Ensemble, nous déterminerons les principales menaces qui guettent les prochaines générations de frigos connectés et proposerons des pistes de solution.<br />
 +
Afin de stimuler notre créativité, nous utiliserons deux méthodes complémentaires d’analyse des menaces : STRIDE, le standard de l’industrie (Microsoft) et Security Cards, qui saura vous surprendre par son approche ludique (Université de Washington). Finalement, nous discuterons des principaux défis qui devront être relevés pour favoriser une plus grande adoption de la pratique de modélisation des menaces en entreprise.
  
 +
==7 mars 2017 - Conférence - Les logiciels malveillants sur les objets connectés (IoT)==
 +
[[image:OlivierBilodeau.png|100px|left]]
 +
'''Olivier Bilodeau'''<br />
 +
Leader du département de recherche en cybersécurité<br />
 +
GoSecure<br />
  
  
  
 +
On peut trouver des logiciels malveillants partout où du code s'exécute. Les systèmes embarqués, plus communément appelés les objets connectés (Internet of Things - IoT), n'en font pas exception. De leur popularité découle une nouvelle vague de virus et de tactiques. À travers cette présentation, nous verrons comment chasser ce genre de menaces.
  
 +
Les sujets couverts seront:
  
==16 mars 2016 - Conférence - Patrick Leclerc==
+
* La difficulté de collecte de logiciels malveillants de type IoT
===Stratégies pour développer et exploiter des applications sécuritaires à [https://asiq.org/ l'ASIQ]===
+
* Les pots de miel (honeypots)
Présentation: '''[https://asiq.org/evenement/strategies-pour-developper-et-exploiter-applications-securitaires/ Stratégies pour développer et exploiter des applications sécuritaires]'''
+
* Pots de miel hybrides (émulation et réelle exécution)
 +
* Problèmes de rétro-ingénierie et solutions pratiques
 +
* Étude de 3 cas réels: Linux/Moose, MIPS Dropper et LizardStresser DDoS (Linux/Gafgyt)
 +
* Source du problème et pistes de solutions
  
De nos jours les applications Web sont des cibles prisées des pirates informatiques, puisque très fréquemment ils s’y faufilent sans être détectés ou arrêtés.  Parfois même, ces applications représentent un vecteur par lequel un pirate parvient à une compromission complète des systèmes de mission d’une organisation.
+
L'auditoire sortira mieux équipé pour affronter cette prochaine génération de logiciels malveillants, et ce en utilisant principalement des outils libres (open source).
  
Vol d’informations confidentielles, fraude, bris de disponibilité, falsification des données, sabotage, sont tous des risques que les organisations doivent tenter de prévenir.
+
====Bio====
  
Dans cette conférence, nous vous ferons connaître quelques stratégies et outils qui vous aideront à prendre en main efficacement le développement et l’exploitation d’applications sécuritaires.
+
Olivier Bilodeau est à la tête du département de recherche en cybersécurité de GoSecure. Avec plus de 10 ans d’expérience en sécurité informatique.
 +
Il a présenté à plusieurs conférences telles que BlackHat Europe, Defcon, Botconf, SecTor, Derbycon, NorthSec et bien d’autres.
 +
*  https://ca.linkedin.com/in/olivierbilodeau
  
{| border="0"
+
==7 février 2017 - Conférence - Rétro-ingénierie de protocole crypto: Un "starter pack"==
[[image:PatrickLeclerc.png|100px|left]]
+
[[image:MaximeLeblanc.png|100px|left]]
|
+
'''Maxime Leblanc'''<br />
'''Patrick Leclerc'''<br />
+
Information Security Specialist (SecOps)<br />
Leader du chapitre OWASP Québec <br />
+
Poka<br />
OWASP Ville de Québec
 
 
  
|}
 
  
  
==2 février 2016 - Conférence - Louis Nadeau==
+
Dans cette présentation, vous apprendrez les bases de l'analyse de protocole cryptographique, et quelques pistes pouvant aider à détecter une faille au sein de ces protocoles. Aucune connaissance crypto n'est nécessaire a priori (il ne s'agit pas ici de briser des protocoles éprouvés, mais de voir comment leur mauvaise utilisation peut les rendre inefficaces). On fera par le fait même un survol des outils utiles pour la rétro-ingénierie réseau, comme "Wireshark". La présentation sera basée sur un exemple réel d'un protocole VoIP brisé et corrigé récemment.
===Comprendre l'usage de la crypto pour les développeurs : choses à faire et à ne pas faire===
 
  
Souvent, la cryptographie (encryptions, hashing, etc.) est enseignée et présentée d'un point de vue mathématique. Par contre, dans l'industrie, les problèmes les plus fréquents qui sont rencontrés n'ont rien à voir avec les mathématiques, mais sont plutôt dus à une mauvaise utilisation pratique des techniques de cryptographie. Dans cette présentation, je ferai un rappel des différents outils de cryptographie et de leur raison d'être, et je parlerai des problèmes fréquents rencontrés avec leur utilisation. Je ne parlerai pas des algorithmes mathématiques, mais plutôt de l'aspect pratique de l'utilisation de ces algorithmes.
+
Présentation: [http://bit.ly/presentation7fevrier Rétro-ingénierie de protocole crypto]
  
{| border="0"
+
==29 novembre 2016 - Conférences - Louis Nadeau & Patrick Leclerc==
 +
===Retour sur les conférences OWASP AppSecUSA 2016===
 
[[image:LouisNadeau.png|100px|left]]
 
[[image:LouisNadeau.png|100px|left]]
|
 
 
'''Louis Nadeau'''<br />
 
'''Louis Nadeau'''<br />
 +
Co-leader du chapitre OWASP Ville de Québec <br />
 
Responsable de la sécurité <br />
 
Responsable de la sécurité <br />
 
Bentley Systems
 
Bentley Systems
   
+
[[image:100px-PatrickLeclerc.png|100px|left]]
 +
'''Patrick Leclerc'''<br />
 +
Leader du chapitre OWASP Ville de Québec <br />
 +
 
 +
Conseiller en sécurité des actifs informationnels <br />
 +
La Capitale
 +
 
 +
 
 +
Nous avons fait un retour sur quelques sujets intéressants des conférences [https://2016.appsecusa.org/ OWASP AppSecUSA 2016]
 +
 
 +
==4 octobre 2016 - Conférence - Patrick Leclerc==
 +
===Cybercrime: Nos données personnelles sont à risque, entre autres parce que nos mots de passe sont inadéquats et mal protégés===
 +
[[image:100px-PatrickLeclerc.png|100px|left]]
 +
'''Patrick Leclerc'''<br />
 +
Conseiller en sécurité des actifs informationnels <br />
 +
La Capitale
 +
 
 +
 
 +
 
 +
De nos jours, la majorité d'entre nous avons une ou plusieurs identité(s) sur Internet (médias sociaux, courriels, fournisseurs de services, services en lignes, etc.). Cette nouvelle réalité signifie également de nouvelles opportunités de fraude pour les acteurs du crime organisé.  Un nombre sans cesse croissant de fraudes Internet sont rapportées dans les manchettes, tant les individus (oui, vous!) que les compagnies sont ciblés.
 +
 
 +
Empruntant quelques « slides » de la présentation de David Caissy d’avril dernier, qui expliquait que plus de 90 % des mots de passe sont encore trop faibles même lorsqu'ils répondent aux critères de complexité actuels, je vous présenterai les principaux risques, pourquoi nos données sont encore trop souvent mal protégées ainsi que quelques trucs pour vous aider à préserver votre identité en ligne et celles de vos clients.
  
|}
+
Présentation: [http://fr.slideshare.net/PatrickLeclerc/owasp-quebec-octobre-2016-presentation-sur-les-mots-de-passe L'usage non sécuritaire des mots de passe]
  
 +
==2012 à 2016 - Partenariats - OWASP & Hackfest==
 +
[[Image:Hackfest2016 small.png|200x88px|left|link=http://www.hackfest.ca]]
  
==6 au 7 novembre 2015- Collaboration - OWASP & HackFest==
 
===Kiosque et mini CTF OWASP au Hackfest 2015===
 
 
[[Image:Hackfest_lucky.png|200x75px|left|link=http://www.hackfest.ca]]
 
Le chapitre OWASP Québec et OWASP Montréal collaborent pour animer un kiosque OWASP lors des 2 jours de conférences et de jeux de hacking au [http://www.hackfest.ca HackFest 2015]. 
 
  
Nous aurons également un '''mini CTF OWASP''' au "HackFest Party" du samedi soir 7 novembre.
 
  
Le mini-CTF (Capture The Flag) OWASP est une compétition de sécurité Web avec des défis très accessibles. La finale sera diffusée sur grand écran et commentée en direct!
+
Le chapitre OWASP Ville de Québec et OWASP Montréal ont collaborés encore une fois pour assurer une présence OWASP au [http://www.hackfest.ca HackFest 2016]. Formation « Secure Coding and Testing Webservices and Web Applications » de 2 jours dispensée par Jim Manico, kiosque OWASP et Mini CTP OWASP au HackFest party.
Pour se qualifier, obtenez le plus de points et ce, le plus rapidement possible.  
+
----
 +
[[Image:Hackfest_lucky.png|200x75px|left|link=http://www.hackfest.ca]]
  
  
  
 +
Le chapitre OWASP Québec et OWASP Montréal ont collaborés pour animer un kiosque OWASP lors des 2 jours de conférences et de jeux de hacking au [http://www.hackfest.ca HackFest 2015]. 
 +
Nous avons également animé un '''mini CTF OWASP''' au "HackFest Party".
  
 +
Le mini-CTF (Capture The Flag) OWASP est une compétition de sécurité Web avec des défis très accessibles. La finale a est diffusée sur grand écran et commentée en direct!
 +
Pour se qualifier, obtenez le plus de points et ce, le plus rapidement possible!
 +
----
 +
[[Image:Hackfest_return.png|200x75px|left|link=http://www.hackfest.ca]]
  
==20 au 21 octobre 2015 - Participation - OWASP==
 
===OWASP Quebec City au CQSI, Le Carrefour de l'industrie de la sécurité===
 
{| border="0"
 
[[Image:CQSI.png|200x75px|left|link=http://http://www.cqsi.org/]]
 
|
 
|}
 
  
 
  
 +
Le chapitre OWASP Québec et OWASP Montréal ont collaboré avec le Hackfest.ca pour animer un kiosque OWASP lors des 2 jours de conférences (7-8 novembre 2014) au [http://www.hackfest.ca HackFest 2014].  Nous avons également tenu un '''mini CTF sécurité applicative''' au "HackFest Party".
  
 +
----
 +
[[Image:Hackfest_comm.png|200x75px|left|link=http://www.hackfest.ca]]
  
  
Le chapitre OWASP Ville de Québec est heureux d'annoncer sa participation au '''[http://www.cqsi.org/ CQSI 2015 (Carrefour de l'industrie de sécurité)]''' qui aura lieu du 20 au 21 octobre au Centre des congrès de Québec.
 
  
 +
Le chapitre OWASP Québec a collaboré avec le '''[http://www.hackfest.ca Hackfest.ca]''' pour obtenir les services de '''[https://www.owasp.org/index.php/User:Jmanico Jim Manico]''', membre actif OWASP et VP Architecture sécurité chez [https://www.whitehatsec.com/ WhiteHat Security] pour présenter une conférence sur '''les 10 meilleures techniques de programmation pour protéger les applications Web'''.
  
 +
==6 septembre 2016 - Conférence - Louis Nadeau==
 +
===Attaques et techniques de défense des sessions Web===
 +
[[image:LouisNadeau.png|100px|left]]
 +
'''Louis Nadeau'''<br />
 +
Responsable de la sécurité <br />
 +
Bentley Systems
  
==Rencontre du 2 juin 2015==
 
 
===SSL et les problèmes de validation de certificats dans les applications mobiles===
 
 
Les protocoles SSL/TLS et les certificats X.509 sont des éléments essentiels de la sécurité sur internet. Jusqu'à "récemment", la grande majorité des développeurs n'avaient à se soucier de cette composante que lors du déploiement de leur application: on met un certificat sur le serveur, et voilà! Mais aujourd'hui, c'est fort différent.
 
  
Pourquoi ? Les applications mobiles.
 
  
Dans un monde PC, la validation du côté client du certificat SSL renvoyé par le server se fait presque toujours par le navigateur web. Par contre, dans le monde mobile, chaque application doit elle-même faire la validation du certificat serveur pour éviter les "Man-in-the-middle". Cependant, vérifier correctement un certificat SSL ne semble pas être une tâche simple.
+
Le concept de session est extrêmement important pour permettre aux applications Web de fournir une expérience personnalisée à ses utilisateurs. La session permet à l’utilisateur de ne pas avoir à faire transiger ses informations d’authentification à chaque requête, ce qui serait risqué. Par contre, la (mauvaise) gestion de la session ouvre la porte à plusieurs sortes de menaces. Durant cette présentation, quatre types d’attaques sur les sessions seront présentés ainsi que les bonnes pratiques pour se prémunir de ces problèmes. Entre autres, il sera question de « session hijacking » (différentes variantes), de « session fixation », de « session donation » et de « session puzzling ». D’autres sujets connexes seront aussi abordés comme le temps d’expiration des sessions et les complications liées à l’authentification de type authentification unique.
  
Dans cette présentation, nous aborderons rapidement les grandes lignes de la mécanique de validation des certificats SSL. Par la suite, nous présenterons un prototype de laboratoire virtuel permettant de tester automatiquement si une application Android valide bien les certificats SSL qu'elle reçoit (ou si elle expose ses usagers à du vol d’information sensible par une attaque Man-in-the-middle). Finalement, nous terminerons avec les résultats préliminaires d'une étude sur la qualité des implémentations SSL dans les applications Android existantes.
+
Présentation: [http://www.slideshare.net/PatrickLeclerc/owasp-qubec-attaques-et-techniques-de-dfense-des-sessions-web-par-louis-nadeau Attaques et techniques de défense des sessions Web]
  
====Conférenciers====
+
==6 au 8 avril 2016 - Collaboration - OWASP Québec & Web à Québec 2016==
{| border="0"
+
===Conférence de David Caissy: Sécurité des applications Web en 2016===
[[image:Team1CegepSteFoy.png|600x225px|left]]
+
[[Image:WAQsmall.png|left|link=http://webaquebec.org/]]
|
 
'''Marc-Antoine Fortier, Marc-Antoine Ferland, Simon Desloges et Jonathan Ouellet'''<br />
 
Étudiants en informatique au Cégep Sainte-Foy <br />
 
  
'''François Gagnon'''<br />
 
Professeur-Chercheur au '''[http://www.cegep-ste-foy.qc.ca/cybersecurite Laboratoire de recherche en cybersécurité du Cégep Ste-Foy]''' <br />
 
  
+
OWASP Québec au [http://webaquebec.org/ Web à Québec 2016]
  
  
  
 +
==7 avril 2016 - Conférence - David Caissy==
 +
===La sécurité des applications Web en 2016===
 +
[[image:DavidCaissy2.png|left]]
 +
'''David Caissy'''<br />
 +
Security Consultant <br />
 +
Department of National Defense
  
|}
 
  
  
 +
Les vulnérabilités reliées aux applications Web ont été un facteur important dans la plupart des cybers attaques dans le monde en 2015. Malgré cela, l’industrie tarde à réaliser où se trouve le vrai problème : les entreprises investissent massivement dans la protection de leurs réseaux sans savoir que les applications Web ne sont que partiellement protégées par ces mesures. C'est pourquoi 15.1% des applications Web en 2015 possédaient au moins une vulnérabilité de niveau élevé…
  
 +
Mais la bonne nouvelle est que si certains principes de sécurité sont appliqués dès le début du développement des applications et si les bonnes mesures d’atténuation sont mises en place lors de leur déploiement, il est possible d’obtenir un très haut niveau de sécurité à faible coût.
  
 +
Alors quelles stratégies devrions-nous adopter pour nous prémunir de ces cybers attaques? Quelles ont été les principales vulnérabilités recensées en 2015? Quels sont les exemples à suivre dans l’industrie et plus important encore, quels sont les pièges à éviter?
  
==OWASP Ottawa & OWASP Quebec at ICCE 2014 : "The Insider Threats"==
+
==16 mars 2016 - Conférence - Patrick Leclerc==
 +
===Stratégies pour développer et exploiter des applications sécuritaires à [https://asiq.org/ l'ASIQ]===
 +
[[image:100px-PatrickLeclerc.png|100px|left]]
 +
'''Patrick Leclerc'''<br />
 +
Leader du chapitre OWASP Québec <br />
 +
OWASP Ville de Québec
 
   
 
   
===OWASP booth at International Conference on Corporate Espionage and Industrial Security (ICCE)===
+
 
 +
 
 +
De nos jours les applications Web sont des cibles prisées des pirates informatiques, puisque très fréquemment ils s’y faufilent sans être détectés ou arrêtés.  Parfois même, ces applications représentent un vecteur par lequel un pirate parvient à une compromission complète des systèmes de mission d’une organisation.
 +
 
 +
Vol d’informations confidentielles, fraude, bris de disponibilité, falsification des données, sabotage, sont tous des risques que les organisations doivent tenter de prévenir.
 +
 
 +
Dans cette conférence, nous vous ferons connaître quelques stratégies et outils qui vous aideront à prendre en main efficacement le développement et l’exploitation d’applications sécuritaires.
 +
 
 +
Présentation: [https://asiq.org/evenement/strategies-pour-developper-et-exploiter-applications-securitaires/ Stratégies pour développer et exploiter des applications sécuritaires]
 +
 
 +
==2 février 2016 - Conférence - Louis Nadeau==
 +
===Comprendre l'usage de la crypto pour les développeurs : choses à faire et à ne pas faire===
 +
[[image:LouisNadeau.png|100px|left]]
 +
'''Louis Nadeau'''<br />
 +
Responsable de la sécurité <br />
 +
Bentley Systems
 
   
 
   
 
 
 
[[Image:ICCE_Logo_small.png|200x53px|left|link=http://icceconferences.com/app.php/]] OWASP Ottawa and OWASP Quebec City chapters, are proud to announce their participation at the new and improved International Conference on Corporate Espionage and Industrial Security (ICCE 2014), taking place on December 1-2, at the Hilton Lac-Leamy Conference Centre. There, we'll hold an OWASP booth.
 
  
  
This year, the conference will provide exclusive solutions and security practices to help you and your company to counter the “Insider Threats”.
+
Souvent, la cryptographie (encryptions, hashing, etc.) est enseignée et présentée d'un point de vue mathématique. Par contre, dans l'industrie, les problèmes les plus fréquents qui sont rencontrés n'ont rien à voir avec les mathématiques, mais sont plutôt dus à une mauvaise utilisation pratique des techniques de cryptographie. Dans cette présentation, je ferai un rappel des différents outils de cryptographie et de leur raison d'être, et je parlerai des problèmes fréquents rencontrés avec leur utilisation. Je ne parlerai pas des algorithmes mathématiques, mais plutôt de l'aspect pratique de l'utilisation de ces algorithmes.  
  
This edition promises to be even greater than the last (CISC2011) with exclusives highlights such as:
+
==20 au 21 octobre 2015 - Participation - OWASP==
 +
===OWASP Quebec City au CQSI, Le Carrefour de l'industrie de la sécurité===
 +
[[Image:CQSI.png|200x75px|left|link=http://http://www.cqsi.org/]]
  
*Two days of “Secret” Level Briefings
+
Le chapitre OWASP Ville de Québec a participé au [http://www.cqsi.org/ CQSI 2015 (Carrefour de l'industrie de sécurité)] le 20 au 21 octobre 2015 au Centre des congrès de Québec.
*The “Bugged Room” Challenge
 
*Presentations of Surveillance and Counter-Surveillance Equipment that could be used by or against you
 
*Opportunity to visit the [http://icceconferences.com/app.php/venue Casino Lac-Leamy Security Centre]
 
*Keynotes by former foreign spies
 
*And much more!
 
  
ICCE 2014 has a team of renowned international speakers. Among them, we can find:
 
  
*Renee Guttmann – Vice President, Office of the CISO at Accuvant (United States)
 
*John E. McClurg – Chief Security Officer, Dell (United States)
 
*Lt-Colonel Rene Lopez – Former Cuban Intelligence Officer (Cuba)
 
*Brian Shields – Former Senior Advisor System Security, Nortel (United States)
 
*Richard Olszewski – Chief of Staff, Haut Comité Français pour la Défense Civile (France)
 
*Michel Juneau-Katsuya – CEO, Northgate (Canada)
 
*And many other (visit our Speaker  page for more information)
 
  
 +
==2 juin 2015 - Conférence - François Gagnon==
 +
===SSL et les problèmes de validation de certificats dans les applications mobiles===
 +
[[image:Team1CegepSteFoy.png|left]]
 +
'''Marc-Antoine Fortier, Marc-Antoine Ferland, Simon Desloges et Jonathan Ouellet'''<br />
 +
Étudiants en informatique au Cégep Sainte-Foy <br />
 +
 +
'''François Gagnon'''<br />
 +
Professeur-Chercheur au [http://www.cegep-ste-foy.qc.ca/cybersecurite Laboratoire de recherche en cybersécurité du Cégep Ste-Foy] <br />
  
==Collaboration OWASP Montréal & OWASP Québec au HackFest 2014==
+
Les protocoles SSL/TLS et les certificats X.509 sont des éléments essentiels de la sécurité sur internet. Jusqu'à "récemment", la grande majorité des développeurs n'avaient à se soucier de cette composante que lors du déploiement de leur application: on met un certificat sur le serveur, et voilà! Mais aujourd'hui, c'est fort différent.
 
===Kiosque OWASP et OWASP mini CTF===
 
  
 +
Pourquoi ? Les applications mobiles.
  
 +
Dans un monde PC, la validation du côté client du certificat SSL renvoyé par le server se fait presque toujours par le navigateur web. Par contre, dans le monde mobile, chaque application doit elle-même faire la validation du certificat serveur pour éviter les "Man-in-the-middle". Cependant, vérifier correctement un certificat SSL ne semble pas être une tâche simple.
  
[[Image:Hackfest_return.png|200x75px|left|link=http://www.hackfest.ca]] Le chapitre OWASP Québec et OWASP Montréal ont collaboré avec le Hackfest.ca pour animer un kiosque OWASP lors des 2 jours de conférences (7-8 novembre 2014) au [http://www.hackfest.ca HackFest 2014].  Nous avons également tenu un '''mini CTF sécurité applicative''' au "HackFest Party" du samedi soir 8 novembre.
+
Dans cette présentation, nous aborderons rapidement les grandes lignes de la mécanique de validation des certificats SSL. Par la suite, nous présenterons un prototype de laboratoire virtuel permettant de tester automatiquement si une application Android valide bien les certificats SSL qu'elle reçoit (ou si elle expose ses usagers à du vol d’information sensible par une attaque Man-in-the-middle). Finalement, nous terminerons avec les résultats préliminaires d'une étude sur la qualité des implémentations SSL dans les applications Android existantes.
  
 +
==1 au 2 decembre 2014 - Partenariat - OWASP au ICCE 2014 "The Insider Threats"==
 +
===OWASP booth at International Conference on Corporate Espionage and Industrial Security (ICCE)===
 +
[[Image:ICCE_Logo_small.png|200x53px|left|link=http://icceconferences.com/app.php/]]
  
  
==Rencontre du 30 septembre 2014==
 
 
===Ce que vous devriez savoir sur le Cloud computing===
 
 
Vous songez à réduire vos coûts liés à la gestion de vos infrastructures ?technologiques et de vos applications?  Vous avez entendu dire que le Cloud Computing (pour certains l'infonuagique ou informatique en nuage) permettait d’augmenter la disponibilité, la performance et l'extensibilité de vos applications tout en protégeant vos actifs informationnels?  En consommateur avisé, vous êtes méfiants et aimeriez en savoir davantage avant de vous lancer dans une aventure ou seuls les plus aguerris s’en sortent sans y laisser de plumes.  Si tel est votre cas, ou si vous êtes tout simplement curieux de voir l'envers de la médaille, cette conférence est pour vous!
 
Nous vous apporterons des pistes de solutions ainsi qu’un retour sur nos expériences de travail vécues sur la sécurité dans le Cloud.
 
  
Voici la '''[http://www.slideshare.net/PatrickLeclerc/ce-que-vous-devriez-savoir-sur-le-cloud-computing-owasp-quebec présentation]'''
+
OWASP Ottawa and OWASP Quebec City chapters had a booth at the International Conference on Corporate Espionage and Industrial Security (ICCE 2014) that took place on December 1-2 2014, at the Hilton Lac-Leamy Conference Centre.  Renee Guttmann, Vice President, Office of the CISO at Accuvant was our invitee. The conferences provided exclusive solutions and security practices to help counter the “Insider Threats”.
  
====Conférenciers====
+
==30 septembre 2014 - Conférence - Yann Rivière & Patrick Leclerc==
{| border="0"
+
===Ce que vous devriez savoir sur le Cloud computing===
 
[[image:YannRivière.png|100px|left]]
 
[[image:YannRivière.png|100px|left]]
|
 
 
'''Yann Rivière'''<br />
 
'''Yann Rivière'''<br />
 
Consultant senior en sécurité <br />
 
Consultant senior en sécurité <br />
Line 343: Line 695:
  
  
|}
+
[[image:100px-PatrickLeclerc.png|100px|left]]
{| border="0"
 
[[image:PatrickLeclerc.png|100px|left]]
 
|
 
 
'''Patrick Leclerc'''<br />
 
'''Patrick Leclerc'''<br />
 
Architecte logiciel et sécurité applicative <br />
 
Architecte logiciel et sécurité applicative <br />
Line 352: Line 701:
 
   
 
   
  
|}
 
  
 +
Vous songez à réduire vos coûts liés à la gestion de vos infrastructures ?technologiques et de vos applications?  Vous avez entendu dire que le Cloud Computing (pour certains l'infonuagique ou informatique en nuage) permettait d’augmenter la disponibilité, la performance et l'extensibilité de vos applications tout en protégeant vos actifs informationnels?  En consommateur avisé, vous êtes méfiants et aimeriez en savoir davantage avant de vous lancer dans une aventure ou seuls les plus aguerris s’en sortent sans y laisser de plumes.  Si tel est votre cas, ou si vous êtes tout simplement curieux de voir l'envers de la médaille, cette conférence est pour vous!
 +
Nous vous apporterons des pistes de solutions ainsi qu’un retour sur nos expériences de travail vécues sur la sécurité dans le Cloud.
  
==Rencontre du 10 juin 2014==
+
Présentation: http://www.slideshare.net/PatrickLeclerc/ce-que-vous-devriez-savoir-sur-le-cloud-computing-owasp-quebec
  
 +
==10 juin 2014 - Conférence - Johan Renaut==
 
===Avez-vous dit XSS ? (Cross-site Scripting)===
 
===Avez-vous dit XSS ? (Cross-site Scripting)===
 +
[[image:johanRenaut.png|100px|left]]
 +
'''Johan Renaut'''<br />
 +
Analyste en sécurité de l'information <br />
 +
EGYDE Services & Conseils en sécurité de l'information
 
   
 
   
 +
 +
 
La faille dite de '''Cross-site scripting (XSS)''' est une faille web bien connue des pirates informatiques.  Sur un site web vulnérable, elle permet d’y injecter du code malicieux qui sera exécuté à partir du navigateur des visiteurs, ou plutôt, des victimes...
 
La faille dite de '''Cross-site scripting (XSS)''' est une faille web bien connue des pirates informatiques.  Sur un site web vulnérable, elle permet d’y injecter du code malicieux qui sera exécuté à partir du navigateur des visiteurs, ou plutôt, des victimes...
 
   
 
   
Line 373: Line 730:
 
- Comment s'en prémunir<br />
 
- Comment s'en prémunir<br />
  
{| border="0"
+
==15 avril 2014 - Conférence - Patrick Leclerc==
[[image:johanRenaut.png|100px|left]]
+
===La sécurité applicative et le cycle de développement===
|
+
[[image:100px-PatrickLeclerc.png|100px|left]]
'''Johan Renaut'''<br />
+
'''Patrick Leclerc'''<br />
Analyste en sécurité de l'information <br />
+
Architecte logiciel et sécurité applicative <br />
 
EGYDE Services & Conseils en sécurité de l'information
 
EGYDE Services & Conseils en sécurité de l'information
 
   
 
   
  
  
|}
 
 
 
==Rencontre du 15 avril 2014==
 
 
===La sécurité applicative et le cycle de développement===
 
 
 
Encore de nos jours la majorité des applications Web comportent des vulnérabilités, ces dernières représentent plus souvent qu'autrement des risques dont les organisations ignorent encore l'existence.
 
Encore de nos jours la majorité des applications Web comportent des vulnérabilités, ces dernières représentent plus souvent qu'autrement des risques dont les organisations ignorent encore l'existence.
 
Certaines organisations croient qu'un simple balayage de vulnérabilités parfois accompagné d'un test d'intrusion sont les seuls moyens d'identifier les risques, mais encore faut-il les corriger après!
 
Certaines organisations croient qu'un simple balayage de vulnérabilités parfois accompagné d'un test d'intrusion sont les seuls moyens d'identifier les risques, mais encore faut-il les corriger après!
 
S'il y a des coûts à prévenir et mitiger les risques, ils sont décuplés lorsque nous avons à les corriger!
 
S'il y a des coûts à prévenir et mitiger les risques, ils sont décuplés lorsque nous avons à les corriger!
  
Dans cette '''[http://www.slideshare.net/PatrickLeclerc/securite-applicative-et-sdlc-owasp-quebec-15-avril-2014-diffusion présentation]''', découvrez comment identifier et mitiger vos risques de sécurité en les prenant en charge tout au long du cycle de développement.  Vous avez intérêts, puisque depuis quelques années déjà, Gartner identifiait que 75% des attaques étaient dirigées sur les applications Web.  Plusieurs firmes ont fait les manchettes ces dernières années, n'attendez pas votre tour.
+
Dans cette [http://www.slideshare.net/PatrickLeclerc/securite-applicative-et-sdlc-owasp-quebec-15-avril-2014-diffusion présentation], découvrez comment identifier et mitiger vos risques de sécurité en les prenant en charge tout au long du cycle de développement.  Vous avez intérêts, puisque depuis quelques années déjà, Gartner identifiait que 75% des attaques étaient dirigées sur les applications Web.  Plusieurs firmes ont fait les manchettes ces dernières années, n'attendez pas votre tour.
 
 
{| border="0"
 
[[image:PatrickLeclerc.png|100px|left]]
 
|
 
'''Patrick Leclerc'''<br />
 
Architecte logiciel et sécurité applicative <br />
 
EGYDE Services & Conseils en sécurité de l'information
 
 
 
 
 
 
|}
 
  
 +
Présentation: http://www.slideshare.net/PatrickLeclerc/securite-applicative-et-sdlc-owasp-quebec-15-avril-2014-diffusion
  
==Rencontre du 19 février 2014==
+
==19 février 2014 - Conférence - Eric Chartré==  
 
 
===Développement d’une application sécurisée : étanchéité par le pipeline Web et le cadre d’application===
 
===Développement d’une application sécurisée : étanchéité par le pipeline Web et le cadre d’application===
 
Par le biais de techniques fort simples, l’application de règles applicatives centralisées très sévères et l’utilisation d’un cadre d’application (framework) approprié, il n’est pas utopique d’éliminer 100% des vulnérabilités d’une application Web et de son infrastructure sous-jacente. Mais, pour cela, l’application et son infrastructure doivent respecter un ensemble de conditions bien précises. Cette présentation très concrète fera un survol de la recette pour développer une application sécuritaire, même contre les erreurs des développeurs.
 
 
'''Cette [http://prezi.com/ivp3kylabx32 présentation] veut provoquer la discussion sur certaines pratiques de développement et d’implantation de sites Web.'''
 
 
{| border="0"
 
 
[[image:Eric Chartré.png|100px|left]]
 
[[image:Eric Chartré.png|100px|left]]
|
 
 
'''Eric Chartré'''<br />
 
'''Eric Chartré'''<br />
 
Spécialiste technique en architecture Web <br />
 
Spécialiste technique en architecture Web <br />
Line 423: Line 755:
  
  
|}
 
  
== Première rencontre 2013 des membres OWASP Quebec City ==
+
Par le biais de techniques fort simples, l’application de règles applicatives centralisées très sévères et l’utilisation d’un cadre d’application (framework) approprié, il n’est pas utopique d’éliminer 100% des vulnérabilités d’une application Web et de son infrastructure sous-jacente. Mais, pour cela, l’application et son infrastructure doivent respecter un ensemble de conditions bien précises. Cette présentation très concrète fera un survol de la recette pour développer une application sécuritaire, même contre les erreurs des développeurs.
 +
 +
Cette [http://prezi.com/ivp3kylabx32 présentation] veut provoquer la discussion sur certaines pratiques de développement et d’implantation de sites Web.
 +
Présentation: http://prezi.com/ivp3kylabx32
 +
 
 +
----
 +
----
 +
== 2013 - Première rencontre des membres OWASP Quebec City ==
  
 
Voici le contenu de la rencontre de lancement: http://www.slideshare.net/PatrickLeclerc/premire-rencontre-dowasp-qubec
 
Voici le contenu de la rencontre de lancement: http://www.slideshare.net/PatrickLeclerc/premire-rencontre-dowasp-qubec
 
== Une première collaboration pour OWASP Quebec City et le Hackfest 2012 ==
 
 
[[Image:Hackfest_comm.png|200x75px|left|link=http://www.hackfest.ca]]Le chapitre OWASP Québec a collaboré avec le '''[http://www.hackfest.ca Hackfest.ca]''' pour obtenir les services de '''[https://www.owasp.org/index.php/User:Jmanico Jim Manico]''', membre actif OWASP et VP Architecture sécurité chez [https://www.whitehatsec.com/ WhiteHat Security] pour présenter une conférence sur '''les 10 meilleures techniques de programmation pour protéger les applications Web'''.
 
 
 
 
  
 
== Conférence de Jim Manico au Hackfest 2012 ==
 
== Conférence de Jim Manico au Hackfest 2012 ==
Line 440: Line 771:
 
'''Top Ten Web Defenses:''' We cannot hack or firewall our way secure. Application programmers need to learn to code in a secure fashion if we have any chance of providing organizations with proper defenses in the current threatscape. This talk will discuss '''the 10 most important security-centric computer programming techniques''' necessary to build low-risk web-based applications.
 
'''Top Ten Web Defenses:''' We cannot hack or firewall our way secure. Application programmers need to learn to code in a secure fashion if we have any chance of providing organizations with proper defenses in the current threatscape. This talk will discuss '''the 10 most important security-centric computer programming techniques''' necessary to build low-risk web-based applications.
  
 +
[[image:AppSecDC12-manico.jpg|100px|left|link=https://www.owasp.org/index.php/User:Jmanico]]
 
{| border="0"
 
{| border="0"
[[image:AppSecDC12-manico.jpg|100px|left|link=https://www.owasp.org/index.php/User:Jmanico]]
+
 
 
|
 
|
 
'''Jim Manico'''<br />
 
'''Jim Manico'''<br />
Line 447: Line 779:
 
VP Security Architecture at WhiteHat Security <br />
 
VP Security Architecture at WhiteHat Security <br />
 
|}
 
|}
 
+
<br /><br />
 
 
 
 
 
 
 
 
  
 
= Participation =
 
= Participation =
 +
==Communauté==
 
Les rencontres OWASP sont ouvertes à tous et gratuites. Nous encourageons l'échange informel sur tous sujets relatifs à la sécurité applicative. Toute personne intéressée par la sécurité applicative est la bienvenue aux rencontres.
 
Les rencontres OWASP sont ouvertes à tous et gratuites. Nous encourageons l'échange informel sur tous sujets relatifs à la sécurité applicative. Toute personne intéressée par la sécurité applicative est la bienvenue aux rencontres.
 
   
 
   
Line 464: Line 793:
 
*Gouvernance de la sécurité logicielle dans les organisations
 
*Gouvernance de la sécurité logicielle dans les organisations
  
 
+
==Devenez conférencier!==
'''Conférenciers / Intervenants'''<br>
 
 
Si vous souhaitez présenter un sujet lors d'une prochaine rencontre OWASP ou avez une question relative aux rencontres de la section OWASP Ville de Québec, n'hésitez pas à envoyer un email à [mailto:[email protected] Patrick Leclerc]. Toute intervention orale (présentation, formation) lors d'un meeting OWASP est soumise à l'acceptation préalable du [https://www.owasp.org/index.php/Speaker_Agreement règlement des conférenciers].
 
Si vous souhaitez présenter un sujet lors d'une prochaine rencontre OWASP ou avez une question relative aux rencontres de la section OWASP Ville de Québec, n'hésitez pas à envoyer un email à [mailto:[email protected] Patrick Leclerc]. Toute intervention orale (présentation, formation) lors d'un meeting OWASP est soumise à l'acceptation préalable du [https://www.owasp.org/index.php/Speaker_Agreement règlement des conférenciers].
  
 +
==Responsables du chapitre==
 +
Leader: [mailto:[email protected] Patrick Leclerc]<br />
 +
Vice-leader: [mailto:[email protected] Louis Nadeau]
  
----
+
=Supports & Commandites=
 
+
==Supportez-nous!==
'''Nos activités sont pour la plupart gratuites pour tous. Soyez plus que participants, devenez membre de notre communauté! Pour [https://www.owasp.org/index.php/Membership_Map devenir membre OWASP]'''
+
Pour [https://www.owasp.org/index.php/Membership supporter OWASP Quebec City]:
 +
*En devenant membre ($50 US / 1 an), sélectionnez notre chapitre pour lui verser 40% du montant: https://www.owasp.org/index.php/Membership
 +
*En faisant un don via Paypal en cliquant sur le bouton " Donate " juste au bas de cette page
 +
Pour [https://www.owasp.org/index.php/Membership_Map devenir membre OWASP]
  
= Commandites =
+
==Devenez commanditaire de notre communauté!==
 
Quatre formules de sponsoring sont actuellement proposées aux organisations désireuses de soutenir la mission de l'OWASP:
 
Quatre formules de sponsoring sont actuellement proposées aux organisations désireuses de soutenir la mission de l'OWASP:
 
* Chapter Supporter: soutien financier annuel du chapitre OWASP Ville de Québec
 
* Chapter Supporter: soutien financier annuel du chapitre OWASP Ville de Québec
Line 481: Line 815:
 
   
 
   
 
Pour toute information relative au sponsoring affilié à la section, merci de contacter [mailto:[email protected] Patrick Leclerc] ou consulter la page [https://www.owasp.org/index.php/Membership memberships] dédiée à cet effet.
 
Pour toute information relative au sponsoring affilié à la section, merci de contacter [mailto:[email protected] Patrick Leclerc] ou consulter la page [https://www.owasp.org/index.php/Membership memberships] dédiée à cet effet.
 +
<headertabs></headertabs>
 +
 +
== Chapter Supporters / Commanditaires du chapitre ==
  
<headertabs />
+
=== Gold / Or ===
  
Abonnement:<br/>
+
[[Image:Bentley_Logo_RGB_200px.png|Bentley|link=https://www.bentley.com/]]
[[Image:Mailing-list.jpg | liste de distribution OWASP Ville de Québec | link=http://lists.owasp.org/mailman/listinfo/owasp-quebeccity]]
+
[[Image:Spacer-horiz.gif‎]]
[[Image:TwitterLogo.png| Twitter: @owaspquebec |link=https://twitter.com/owaspquebec]]
+
[[Image:IAGF_150x80.jpg|iA Groupe Financier|link=https://ia.ca/]]
 +
<br />
 +
<br />
 +
 
 +
==Commandites et options d'adhésion==
 +
 
 +
[[Image:Btn_donate_SM.gif|link=https://www.owasp.org/index.php/Local_Chapter_Supporter]] Donnez, commanditez notre chapitre.
 +
 
 +
Ou considérez devenir membre OWASP [[Membership | individuel, corporatif, ou académique]]. Prêt à devenir membre? [[Image:Join_Now_BlueIcon.JPG|75px|link=https://www.owasp.org/index.php/Membership]]
 +
 
 +
[[Category:OWASP Chapter]]
 +
 
 +
==Recevez les invitations à nos événements OWASP en nous suivant sur nos médias sociaux!==
 
[[Image:FacebookLogo.png| Facebook: /OwaspQuebec |link=https://www.facebook.com/OwaspQuebec]]
 
[[Image:FacebookLogo.png| Facebook: /OwaspQuebec |link=https://www.facebook.com/OwaspQuebec]]
 
[[Image:Linkdin.png| LinkedIn: /Owasp-Quebec-4338809 |link=http://www.linkedin.com/groups/OWASP-Quebec-4338809]]
 
[[Image:Linkdin.png| LinkedIn: /Owasp-Quebec-4338809 |link=http://www.linkedin.com/groups/OWASP-Quebec-4338809]]
[[Category:OWASP_Chapter]] [[Category:Canada]]
+
[[Image:Mailing-list.jpg | liste de distribution OWASP Ville de Québec | link=https://groups.google.com/a/owasp.org/forum/#!forum/quebec-city-chapter/join]]
 +
[[Image:TwitterLogo.png| Twitter: @owaspquebec |link=https://twitter.com/owaspquebec]]<br />
  
 +
Pour nous contacter : [mailto:[email protected] OWASP Ville de Québec]
 
----
 
----
Pour nous contacter : [mailto:[email protected] OWASP Ville de Québec]<br>
 
<br/>
 
Pour '''[https://www.owasp.org/index.php/Membership supporter OWASP Quebec City]''' :
 
*En devenant membre ($50 US / 1 an), sélectionnez notre chapitre pour lui verser 40% du montant: https://www.owasp.org/index.php/Membership
 
*En faisant un don via Paypal en cliquant sur le bouton " Donate " juste au bas de cette page
 
<paypal>Quebec City (Canada) Chapter</paypal><br/>
 

Latest revision as of 19:54, 1 January 2020


OWASPQcCity.png

21 janvier 2020: Escalade de privilèges dans le Cloud: D'une simple vulnérabilité SSRF à "Administrateur Cloud Global"

MaximeLeblanc.png

Maxime Leblanc
Information Security Specialist (SecOps)
Poka


Description

Au cours des derniers mois, j'ai exploré différentes techniques d'exploitation de vulnérabilités de type SSRF (Server-Side Request Forgery), qui peuvent mener à l'accès non autorisé à des ressources réseau auxquelles seul le serveur Web devrait avoir accès. Dans certaines circonstances, les vulnérabilités SSRF peuvent mener à la fuite de clés d'API ou d'accès à la base de données. Dans cette présentation, je démontrerai que dans le contexte d'une application hébergée sur le Cloud, la puissance d'une attaque SSRF a le potentiel d'être décuplée: Un attaquant réussissant ce type d'attaque pourrait prendre le contrôle complet du compte Cloud, les dommages potentiels étant uniquement limités par les capacités du compte administrateur. On peut ainsi imaginer un attaquant ayant accès à l'ensemble des unités de stockage S3 et y hébergeant des logiciels malveillants, ou encore exploitant de puissantes machines pour miner des crypto-monnaies au frais de la victime. La présentation sera accompagnée d'un projet open-source permettant de tester différents scénarios d'exploitation SSRF sur le Cloud: Le Damn Vulnerable Cloud Application Project.

Plan

  • Intro
  • Qu'est-ce qu'une vulnérabilité SSRF (Web)
  • Organisation du système de permissions dans le Cloud
  • Utilisation d'une vulnérabilité SSRF pour l'obtention de clés d'authentification au cloud
  • Escalade de privilèges vers un compte administrateur
  • Démonstration
  • Défense et contre-mesures
  • Conclusion - The Damn Vulnerable Cloud Application project

Lieu

Local A225 du Cégep de Sainte-Foy

Horaire

18:15 - 18:30 Accueil
18:30 - 20:00 Conférence
20:00 - Réseautage et sortie dans un pub pour les intéressés

Stationnement

Le stationnement accessible à partir de la rue Nicolas Pinel est gratuit à partir de 18h00

Ouvert à tous! Inscription gratuite! RSVP!

Eventbrite.png



Merci à notre partenaire académique pour l'événement

Cégep de Sainte-Foy


Prochaines activités OWASP Québec

  • 17 mars 2020: sujet à confirmer
  • 28 avril 2020: sujet à confirmer
  • 4 juin 2020: sujet à confirmer


OWASP Ville de Québec est toujours à la recherche de conférenciers!

Si vous souhaiteriez présenter, pour l’avancement de la science et de la connaissance en sécurité applicative, un sujet lors d'une prochaine rencontre OWASP, SVP communiquez avec nous!

Patrick Leclerc
Louis Nadeau


Voici à titre indicatif quelques idées de présentations en lien avec la sécurité applicative, vos sujets nous intéressent également, alors faites-nous en part! :

  • Démonstration d’utilisation d’outils de sécurité disponibles gratuitement ou open source (ex : ZAP, AppSensor, FindSecBugs, Burp, BeEF, ModSecurity, etc.).
  • Les démonstrations et/ou retours d’expérience d’outils de sécurité applicative commerciaux sont permis, toutefois dans un souci de neutralité et d’indépendance, nous demandons à ce que ces présentations demeurent impartiales
  • Couverture d’un élément du Top 10 OWASP 2017 (ex : XXE, Insecure deserialization, Insufficient logging and monitoring)
  • Méthodes et outils de vérifications du code
  • Exploitations de vulnérabilités, contournements de mécanismes de sécurité, comment les prévenir
  • Sécurité des applications dans les architectures Web n-tiers et micro-services
  • Retour sur expériences dans la résolution et/ou l’implantation de fonctions de sécurité
  • Les pièges à éviter dans les configurations CORS
  • L’usage sécuritaire des JWT
  • Projets de recherches, discussions ouvertes, workshops, brainstorming


Logistique :

  • Les présentations devraient être de 45 minutes à 75 minutes maximum.
  • Elles débutent généralement après 18h, en fonction des institutions qui nous fourniront les locaux.


Notes :

  • La neutralité et l’impartialité sont de mise, vos opinions sont bienvenues en autant qu'elles soient exprimées dans le respect
  • Toute intervention orale (présentation, formation) lors d'un meeting OWASP est soumise à l'acceptation préalable du règlement des conférenciers
  • La vente de produits est strictement interdite


19 novembre 2019: "Securing open sources libraries in open source code package" ***chez Coveo***

Coveo.jpg

Jean-Alexandre Beaumont
Louis-Philippe Déry
Coveo

Description

Learn how to find and fix vulnerabilities in open source libraries, where to integrate testing to prevent adding new vulnerable libraries to your code and how to respond to newly disclosed vulnerabilities in libraries you already use.

Voici la présentation "Securing open sources libraries in open source code package"


1 et 2 novembre 2019: kiosque et CTF OWASP au HackFest UpsideDown

Hackfest 2019 200px.jpg

Le chapitre OWASP Ville de Québec et OWASP Montréal ont collaborés encore une fois pour assurer une présence OWASP au HackFest. Merci aux organisateurs et participants du CTF OWASP qui font de cet événement un succès année après année!



3 septembre 2019 - Conférence - Histoire vraie : Implémenter le SecDevOps en entreprise

GuillaumeCroteau.jpg

Guillaume Croteau

Ingénieur Logiciel
Bentley Systems


Description

Lorsque l’on parle de DevOps, on parle aussi de l’importance d’avoir du SecDevOps, l’intégration de la sécurité dans le processus DevOps. Plusieurs sources, tel que le SANS, offrent des lignes directrices sur ce que devrait avoir un bon SecDevOps.

La théorie c’est bien, mais qu’en est-il en pratique? Quelle est la réalité lorsque l’on s’assis derrière son bureau et que l’on se dit « Commençons à implémenter notre SecDevOps »?

Lors de cette présentation, nous parlerons de la transformation interne de Bentley Systems vers le DevOps et par conséquent, l’implémentation du SecDevOps. Nous traverserons ensemble une année de travail à travers une personne qui a fait part de ce changement. Nous aborderons le début cahoteux, les bons et les moins bons coups, les défis rencontrés, etc.

Le but de cette présentation n’est pas d’expliquer ce qu’est un bon SecDevOps et comment l’implémenter. Il s’agit d’un témoignage d’une équipe de sécurité applicative qui a vécue et participée à son implémentation dans une entreprise de 30 ans d’âge.

Voici la présentation "Histoire vraie : Implémenter le SecDevOps en entreprise"


5 juin 2019: Moderne Identification et AuthN/AuthZ : Comprenons-nous tous les enjeux?

Franck Desert.jpg

Franck Desert
Analyste en sécurité applicative
CGI Inc


Description

Description: À l'heure où le Cloud devient omniprésent les enjeux d’authentification et d'autorisation deviennent incontournables! Tous les protocoles, frameworks, standards, etc. se chevauchent et s'entrecroisent!

  • Comment utiliser les IdP, les "relaying parties", les ADs (b2b, b2c)?
  • Qu'en est-il alors du SSO?
  • Comment s'y retrouver dans les différents JWTs & JWKs?
  • SAML? WS-*?
  • Et enfin toutes les fédérations possibles?

Bref, vous l'aurez compris, j'essayerai de passer en revue tout cela! Cas concrets et exemples de codes réels seront présents (Azure, AWS, peut-être GCP)


23 avril 2019: Introduction au CTF avec OWASP Juice-Shop ***chez Bentley Systems***

Vincent L-Garant 2.png

Vincent L-Garant
Application Security Engineer
Bentley Systems


Description

Il s’agit d’une activité de style « workshop », semi-dirigée, pour débuter en CTF (Capture The Flag). Tout au long de la soirée, vous pourrez vous « faire les dents » sur la plateforme d’apprentissage Juice-Shop d’OWASP, qui permet entre autres le déroulement local d’une activité complète de style CTF, avec des challenges et astuces. Juice-Shop permet de pratiquer vos talents de « l337 h4ck3r » dans un environnement contrôlé, similaire à un vrai site de vente. Des animateurs seront disponibles pour répondre à vos questions si jamais vous êtes dans une impasse. Il y aura également des défis en groupes. Une bonne occasion de vous initier au hacking web!

Instructions : Vous devez apporter votre propre portable et un câble ethernet. Votre ordinateur doit être en mesure de fonctionner avec Docker. Il n’est pas nécessaire d’avoir des outils de « pentest » complets, mais un proxy tel que Fiddler, OWASP ZAP ou Burp, etc. est fortement recommandé.


19 mars 2019: Portrait de la sécurité applicative et outils OWASP

100px-PatrickLeclerc.png

Patrick Leclerc
Leader du chapitre OWASP Ville de Québec

Conseiller en sécurité des actifs informationnels
La Capitale


Description

Les applications Web sont des cibles prisées des pirates informatiques, très fréquemment ils s’y faufilent sans être détectés ou arrêtés. Parfois même, ces applications représentent un vecteur par lequel un pirate parvient à une compromission complète des systèmes de mission d’une organisation. Vol d’informations confidentielles, fraude, bris de disponibilité, falsification des données, sabotage, atteinte à la réputation, sont tous des risques que les organisations doivent tenter de prévenir. Dans cette conférence, nous vous ferons connaître quelques stratégies et outils gratuitement disponibles qui vous aideront à prendre en main efficacement le développement et l’exploitation d’applications sécuritaires.

Voici la présentation "Portrait de la sécurité applicative et outils OWASP"


19 février 2019: Concevoir et implémenter un plan de formation et de sensibilisation à la sécurité

Vincent L-Garant 2.png

Vincent L-Garant
Application Security Engineer
Bentley Systems


Description

Avoir des antivirus sur tous les postes et des firewalls devant chaque serveur, c’est bien, mais si tout le monde ouvre Trust_me.exe en attachement de la part d’un prince nigérien, ça ne sert à rien. Comme la sécurité suit le principe du maillon faible et que dans la plupart des systèmes, le maillon faible c’est l’humain, il est important de bien former ses employées.

La présentation parlera des étapes pour concevoir et implémenter un plan de formation et de sensibilisation à la sécurité. Pour enclencher un processus de formation interne, il est important de :

Voici la présentation "Concevoir et implémenter un plan de formation et de sensibilisation à la sécurité"

  • Définir sa « clientèle »
  • Identifier nos forces et nos faiblesses
  • Définir un plan de déploiement
  • Préparer la(les) formation(s)
  • Stimuler et calculer la complétude
  • Se tenir à jour


5 décembre 2018: CTF What? Présentation du monde CTF! « Capture The Flag »

Franck Desert.jpg

Franck Desert
Analyste en sécurité applicative
CGI Inc


Description

Attaque/Défense, Jeopardy, Puzzle Technique, Retro ou New Tech, nous allons vous raconter l'histoire, l'existant, ce qui s'en vient dans le monde du CTF et présenter également le devant et le derrière du miroir.

Mais ne vous y trompez pas! Le CTF devient la nouvelle façon de se former, de rester sur le "Edge", de recruter, etc. Donc, que vous soyez développeur, pentester, defender, chargé de projet, manager ou tout simplement curieux, cette présentation est pour vous! En effet, l’apprentissage ludique qu’est le CTF doit prendre une place importante dans votre quotidien, que vous le fassiez à titre personnel ou afin de convaincre votre entreprise de l'intégrer, il est temps de s’y mettre!

Voici la présentation "CTF What? Présentation du monde CTF!"

Bio

Franck est architecte organique mais avant tout un enthousiaste de la sécurité impliqués dans l’organisation du Hackfest. Très motivé à partager ses 24 ans d’expérience en développement de systèmes, Franck est excellent présentateur et n’a pas peur d’apporter du contenu dans ses échanges avec les autres. Franck est aussi à surveiller avec ses idées/projets/initiatives orienté communauté qui sont particulièrement à la fine pointe


2 et 3 novembre 2018: kiosque et CTF OWASP au HackFest Decade (10 ans déjà!)

Hackfest2018.png

Le chapitre OWASP Ville de Québec et OWASP Montréal ont collaborés encore une fois pour assurer une présence OWASP au HackFest Decade. Merci aux organisateurs et participants du CTF OWASP qui font de cet événement un succès année après année!


17 octobre 2018: Survol de la sécurité de Microsoft Azure

Maxime Coquerel.png

Maxime Coquerel
Architecte de sécurité Cloud / MVP Azure
Logibec


Description

Dans cette présentation nous parcourrons ensemble les principaux services de sécurité offerts par la plateforme Cloud Azure. Cette présentation sera appuyée par des démos live.

Voici la présentation "Survol de la sécurité de Microsoft Azure"

Bio

Fort de 10 ans d’expérience, Maxime intervient dans des secteurs d'activités aussi variés que : la défense, l'aéronautique, les assurances et le bancaire, le médical ainsi que pour des start-ups technologiques Diplômé en Cyber Sécurité de l’Institut National des Sciences Appliqués de Lyon (France) et du Massachusetts Institute of Technologie (Cambridge, USA), Maxime est également certifié auprès d’Amazon Web Services, Microsoft, IBM, Apple, Pao-Alto et VMware. En parallèle à ses activités professionnelles, Maxime est un conférencier international reconnu. Il est notamment intervenu lors de l'IBM InterConnect 2016 à Las Vegas (Nevada, États-Unis) et lors du Microsoft Global Azure BootCamp (Québec, Canada). Maxime intervient fréquemment comme conférencier technique au Canada. Maxime contribue également au développement de logiciels open source comme Kubernetes, Microsoft Visual Code, en plus d’être l’auteur depuis 2012 du blog « l’Infrastructure pour tous » https://zigmax.net)


12 septembre 2018: Pourquoi le SPA (Single Page Application) est faillible?

Franck Desert.jpg

Franck Desert
Analyste en sécurité applicative
CGI Inc


Description

La plupart des organisations faisant du développement web ont déjà ou veulent introduire cette "nouvelle" technique qu’est le SPA… toutefois est-ce fait de façon sécuritaire? Une brève exploration du passé nous montrera ce que nous avons appris et probablement oublié avec cette nouvelle guerre du « Front-End ». Par la suite, nous allons voir ce qu’est une SPA, les changements que ça apporte aux étapes de développement ainsi que les avantages et inconvénients pour les développeurs et les utilisateurs. Le tout sera accompagné d’exemples vous montrant que les directions initialement prises doivent changer. Finalement, nous verrons ce qu’il faut retenir du passé pour ne pas répéter les mêmes erreurs.

Voici la présentation "Pourquoi le SPA (Single Page Application) est faillible?"

Bio

Franck est architecte organique mais avant tout un enthousiaste de la sécurité impliqués dans l’organisation du Hackfest. Très motivé à partager ses 24 ans d’expérience en développement de systèmes, Franck est excellent présentateur et n’a pas peur d’apporter du contenu dans ses échanges avec les autres. Franck est aussi à surveiller avec ses idées/projets/initiatives orienté communauté qui sont particulièrement à la fine pointe


5 juin 2018: Introduction OAuth 2.0 et OpenId Connect 1.0

Marc-André Tousignant.jpg

Marc-André Tousignant
Analyste en sécurité de l'information
iA Groupe financier


Description

Dans un monde où la mobilité devient omniprésente, où les applications et les services en ligne ont un besoin grandissant de s’échanger de l’information, des technologies qui permettent de soutenir cette transformation de façon sécuritaire sont nécessaires. Pour faire face à cette nouvelle réalité, Oauth et OpenID Connect ont vu le jour et en raison de leur adoption par des acteurs influents de l’industrie, leur utilisation est pratiquement devenue un incontournable. Cette présentation se veut un survol du « framework » Oauth 2.0 ainsi que du protocole OpenID Connect 1.0. Ensemble, nous prendrons connaissance des raisons d’être de chacune de ces technologies, de leurs particularités et de leur fonctionnement. Nous poursuivrons avec des mises en contexte concrètes et terminerons avec un survol des vulnérabilités associées.

Voici la présentation "Introduction OAuth 2.0 et OpenId Connect 1.0"

Bio

Marc-André est passionné par la sécurité informatique depuis plusieurs années. Il œuvre dans le domaine des TI depuis 10 ans et à titre d'analyste en sécurité de l'information depuis 5 ans. Il a un intérêt manifeste pour la sécurité applicative, la mobilité et tout ce qui touche l'identité numérique.


24 avril 2018: La sécurité dans un environnement docker/kubernetes/cloud avec micro-services

VincentCrepin.png

Vincent Crépin
Architecte logiciel
Elapse Technologies


Description

L'architecture micro-services gagne en popularité depuis les deux dernières années, mais elle comporte son lot de défis particulièrement au niveau de la visibilité sur le service mesh et de la sécurité. Afin de pouvoir bénéficier des avantages de cette architecture, il est nécessaire d’utiliser une plateforme appropriée permettant des déploiements rapides et simplifiés. docker en combinaison avec kubernetes dans un environnement cloud est un exemple de ce type de plateforme. Cette courte présentation se veut un survol des défis reliés à la sécurité dans un tel contexte et propose des solutions pour en mitiger les risques. À partir d'une implémentation réelle, on présente les différentes approches utilisées et les outils mis en place pour adresser plusieurs aspects de sécurité. Les grands thèmes abordés sont:

  • Technologies par containers (docker)
  • Plateforme d'orchestration (gcloud, kubernetes, Istio, Forsety)
  • Authentification et autorisation (Firebase, JWT)
  • API Gateway (Kong)
  • CI/CD (Jenkins, outils d'analyse statique, vérifications de sécurité)
  • Registre d'images

Voici la présentation "La sécurité dans un environnement docker/kubernetes/cloud avec micro-services"

Bio

Vincent est un architecte logiciel passionné et comptant plus de 25 années d'expérience. Il est spécialisé en intégration, conception logicielle et architecture cloud. Intéressé par la mobilité, la sécurité et le DevOps, il travaille dans plusieurs grandes entreprises à titre de conseiller en architecture. Il est fondateur de Elapse Technologies.


13 avril 2018: OWASP Québec au CQSI 2018: "Buzzwords et enjeux de sécurité"

CQSI-logo.jpg




Dans le cadre du "CQSI", OWASP Québec (Patrick Leclerc et Louis Nadeau) ont donné une conférence: "Buzzwords et enjeux de sécurité"

Description

Cloud, DevOps, CI/CD, Microservices... Ces paradigmes à la mode engendrent leur lot d’enjeux de sécurité. Mieux vaut connaitre ces derniers à l’avance que de les découvrir trop tard dans le parcours. Nous avons discuté des divers aspects de sécurité que vous aurez à considérer lors de l’adoption de ces paradigmes

Voici la présentation "Buzzwords et enjeux de sécurité"

20 mars 2018: Explication des nouveaux risques "OWASP Top 10 2017"

LouisNadeau.png

Louis Nadeau
Co-leader du chapitre OWASP Ville de Québec
Responsable de la sécurité
Bentley Systems


Description

Dans cette conférence, nous allons analyser le nouveau Top 10 OWASP et les différences avec les versions précédentes. Nous allons par la suite regarder des exemples de A4 XML External Entity (XXE) et de A8 Insecure Deserialization. En bonus, quelques activités avec l’outil YSoSerial.Net

Voici la présentation "Explication des nouveaux risques OWASP Top 10 2017"

20 février 2018: La sécurité web pour les développeurs .NET

Philippe Arteau.jpg

Philippe Arteau
Chercheur en sécurité
GoSecure


Description:

Les meilleures pratiques en sécurité sont souvent génériques et agnostiques du langage de programmation. Cela rend la vie difficile aux développeurs. Dans cette présentation, les vulnérabilités les plus communes dans le contexte .NET seront présentées. Différentes classes de vulnérabilités seront explorées dont les XSS, les injections et la cryptographie.

Bio:

Philippe est chercheur en sécurité pour GoSecure. Sa recherche porte principalement sur la sécurité des applications Web. Ces expériences présentes incluent les tests d'intrusion, la revue de code et le développement logiciel. Il est l'auteur de l'outil d'analyse statique Java "Find Security Bugs". Il a créé un outil d'analyse statique pour .NET appelé "Roslyn Security Guard". Il a développé plusieurs plugins pour les proxy Burp et ZAP: Retire.js, Reissue Request Scripter, CSP Auditor et quelques autres. Il a présenté dans plusieurs conférences dont Black Hat Arsenal, ATLSecCon, NorthSec, Hackfest (QC) et JavaOne.

Voici la présentation "La sécurité web pour les développeurs .NET"

29 novembre 2017 - Journée de 6 conférences sur la sécurité applicative à L'Université Laval

AppSecULaval.png

Afin de mettre en avant plan la sécurité applicative à Québec, vos leaders bénévoles d'OWASP Québec se sont joint à d'autres conférenciers spécialistes pour cet événement.
"ISACA Québec" en partenariat avec le "Bureau de sécurité de l’information de l’Université Laval" ont organisé cette fantastique journée sur la sécurité applicative.


Merci aux organisateurs! Nous étions "sold out" avec 165 inscriptions!

AppSec-ULAVAL-29-nov-17-1.png AppSec-ULAVAL-29-nov-17-2.png

Conférenciers et présentations:
Patrick Leclerc : "Fondements de la sécurité applicative et prise en charge avec les outils OWASP"
Martin Renaud : "La sécurité en cours de développement"
François Lajeunesse-Robert : "Sécuriser avec de bonnes pratiques de test"
François Harvey : "Revue de code"
Patrick Chevalier : "Les tests d’intrusion dans le cadre du cycle de développement applicatif"
Louis Nadeau : "Modèles de maturité"

21 novembre 2017 - Conférence - Security Stories: Comment intégrer la sécurité dans un cycle de développement logiciel rapide

GuillaumeCroteau.jpg

Guillaume Croteau

Ingénieur Logiciel Junior
Bentley Systems


Le développement continu et la livraison continue sont des pratiques de plus en plus répandus. Intégrer la sécurité dans ces cycles de développement rapide peut être un défi de taille. Lors de cette présentation, vous découvrirez une approche exprimée dans la publication de SAFECode : «Practical Security Stories and Security Tasks for Agile Development Environments». Cette approche peut être adaptée à votre contexte et permet d’intégrer des tâches ou des fonctionnalités liées à la sécurité dans votre Sprint. Cette approche offre une réponse à la question : Comment faire en sorte que les requis de sécurité ne soient pas seulement appliqués juste avant la sortie officielle du produit?

Voici la présentation "Security Stories: Comment intégrer la sécurité dans un cycle de développement logiciel rapide"

3 et 4 novembre 2017: kiosque et CTF OWASP au HackFest 2017

Hackfest2017 small.png

Le chapitre OWASP Ville de Québec et OWASP Montréal ont collaborés encore une fois pour assurer une présence OWASP au HackFest 2017. Félicitations à tous les participants du CTF OWASP!


24 octobre 2017 - Présentation - Retour sur OWASP AppSecUSA 2017

100px-PatrickLeclerc.png

Patrick Leclerc
Leader du chapitre OWASP Ville de Québec

Conseiller en sécurité des actifs informationnels
La Capitale

VincentGoulet100PX.jpg

Vincent Goulet
Conseiller principal en Sécurité de l'information
In Fidem


3 Octobre 2017 - Conférence - Comment bien gérer les incidents de sécurité

Vincent L-Garant.jpg

Vincent L-Garant
Application Security Engineer at Bentley Systems



Sony, Microsoft, CCleaner, Equifax : Le point commun de toutes ces compagnies est leur apparition, parfois répétée, dans les médias en raison de brèche de sécurité. Dans un monde constamment connecté, comment faire pour ne pas perdre la face ni nos données? Bien qu’une procédure de réponse aux incidents n’empêche pas nécessairement un acteur malicieux de briser vos défenses, cela permet de minimiser les dégâts. Cette présentation se penche sur les éléments de base dans la création d’une procédure de réponse aux incidents, de la détection à la résolution

6 juin 2017 - Conférence - Quelques outils de modélisation des menaces

JonathanMarcil100PX.jpg

Jonathan Marcil
Ancien dirigeant du chapitre OWASP Montréal
Senior Application Security Engineer, Blizzard Entertainment


Suite à la présentation sur la modélisation des menaces du mois précédent, voici certaines méthodologies qui aideront les projets de toutes de tailles à organiser les menaces et visualiser graphiquement les systèmes en place. L’audience sera donc invitée à prendre part à l’introduction avec les acquis de la dernière présentation. De plus, la discussion sera dirigée vers un point de vue pragmatique qui sera potentiellement différent pour stimuler la pensée critique.

Voici la présentation "Threat Modeling Toolkit" et sa description originale anglaise :

Threat Modeling Toolkit

Threat Modeling is a great way to analyze security early in software development by structuring possible attacks, bad actors and countermeasures over a broad view of the targeted system. This talk will describe basic components of a threat model and how to use them effectively. Threat Intelligence is where you gather knowledge about the environment and business assets to determine what are the actual threats. But how do you reconcile that with the current architecture in a useful manner? The toolkit presented in this talk will enable you to systematically structure related information using graphical notations such as flow diagram and attack tree. In case you are wondering where to start in your organization, a quick lightweight risk rating methodology will also be proposed. And in the end, you’ll see how we can all tie those together and get threat modeling to a point where it’s an efficient application security activity for communication. Doing this will prevent security reviews from missing important things even when chaos prevails during the realization of a project. Modeling concepts will be demonstrated with an actual IoT device used as example.

9 mai 2017 - Conférence - La modélisation des menaces : Comment éviter que votre frigo Internet ne se retourne contre vous?

VincentGoulet100PX.jpg

Vincent Goulet
Conseiller principal en Sécurité de l'information
In Fidem


Après avoir discuté des fondements du processus de modélisation des menaces (threat modeling), vous serez invités à tester vos connaissances sur un exemple actuel et amusant. Ensemble, nous déterminerons les principales menaces qui guettent les prochaines générations de frigos connectés et proposerons des pistes de solution.
Afin de stimuler notre créativité, nous utiliserons deux méthodes complémentaires d’analyse des menaces : STRIDE, le standard de l’industrie (Microsoft) et Security Cards, qui saura vous surprendre par son approche ludique (Université de Washington). Finalement, nous discuterons des principaux défis qui devront être relevés pour favoriser une plus grande adoption de la pratique de modélisation des menaces en entreprise.

7 mars 2017 - Conférence - Les logiciels malveillants sur les objets connectés (IoT)

OlivierBilodeau.png

Olivier Bilodeau
Leader du département de recherche en cybersécurité
GoSecure


On peut trouver des logiciels malveillants partout où du code s'exécute. Les systèmes embarqués, plus communément appelés les objets connectés (Internet of Things - IoT), n'en font pas exception. De leur popularité découle une nouvelle vague de virus et de tactiques. À travers cette présentation, nous verrons comment chasser ce genre de menaces.

Les sujets couverts seront:

  • La difficulté de collecte de logiciels malveillants de type IoT
  • Les pots de miel (honeypots)
  • Pots de miel hybrides (émulation et réelle exécution)
  • Problèmes de rétro-ingénierie et solutions pratiques
  • Étude de 3 cas réels: Linux/Moose, MIPS Dropper et LizardStresser DDoS (Linux/Gafgyt)
  • Source du problème et pistes de solutions

L'auditoire sortira mieux équipé pour affronter cette prochaine génération de logiciels malveillants, et ce en utilisant principalement des outils libres (open source).

Bio

Olivier Bilodeau est à la tête du département de recherche en cybersécurité de GoSecure. Avec plus de 10 ans d’expérience en sécurité informatique. Il a présenté à plusieurs conférences telles que BlackHat Europe, Defcon, Botconf, SecTor, Derbycon, NorthSec et bien d’autres.

7 février 2017 - Conférence - Rétro-ingénierie de protocole crypto: Un "starter pack"

MaximeLeblanc.png

Maxime Leblanc
Information Security Specialist (SecOps)
Poka


Dans cette présentation, vous apprendrez les bases de l'analyse de protocole cryptographique, et quelques pistes pouvant aider à détecter une faille au sein de ces protocoles. Aucune connaissance crypto n'est nécessaire a priori (il ne s'agit pas ici de briser des protocoles éprouvés, mais de voir comment leur mauvaise utilisation peut les rendre inefficaces). On fera par le fait même un survol des outils utiles pour la rétro-ingénierie réseau, comme "Wireshark". La présentation sera basée sur un exemple réel d'un protocole VoIP brisé et corrigé récemment.

Présentation: Rétro-ingénierie de protocole crypto

29 novembre 2016 - Conférences - Louis Nadeau & Patrick Leclerc

Retour sur les conférences OWASP AppSecUSA 2016

LouisNadeau.png

Louis Nadeau
Co-leader du chapitre OWASP Ville de Québec
Responsable de la sécurité
Bentley Systems

100px-PatrickLeclerc.png

Patrick Leclerc
Leader du chapitre OWASP Ville de Québec

Conseiller en sécurité des actifs informationnels
La Capitale


Nous avons fait un retour sur quelques sujets intéressants des conférences OWASP AppSecUSA 2016

4 octobre 2016 - Conférence - Patrick Leclerc

Cybercrime: Nos données personnelles sont à risque, entre autres parce que nos mots de passe sont inadéquats et mal protégés

100px-PatrickLeclerc.png

Patrick Leclerc
Conseiller en sécurité des actifs informationnels
La Capitale


De nos jours, la majorité d'entre nous avons une ou plusieurs identité(s) sur Internet (médias sociaux, courriels, fournisseurs de services, services en lignes, etc.). Cette nouvelle réalité signifie également de nouvelles opportunités de fraude pour les acteurs du crime organisé. Un nombre sans cesse croissant de fraudes Internet sont rapportées dans les manchettes, tant les individus (oui, vous!) que les compagnies sont ciblés.

Empruntant quelques « slides » de la présentation de David Caissy d’avril dernier, qui expliquait que plus de 90 % des mots de passe sont encore trop faibles même lorsqu'ils répondent aux critères de complexité actuels, je vous présenterai les principaux risques, pourquoi nos données sont encore trop souvent mal protégées ainsi que quelques trucs pour vous aider à préserver votre identité en ligne et celles de vos clients.

Présentation: L'usage non sécuritaire des mots de passe

2012 à 2016 - Partenariats - OWASP & Hackfest

Hackfest2016 small.png


Le chapitre OWASP Ville de Québec et OWASP Montréal ont collaborés encore une fois pour assurer une présence OWASP au HackFest 2016. Formation « Secure Coding and Testing Webservices and Web Applications » de 2 jours dispensée par Jim Manico, kiosque OWASP et Mini CTP OWASP au HackFest party.


Hackfest lucky.png


Le chapitre OWASP Québec et OWASP Montréal ont collaborés pour animer un kiosque OWASP lors des 2 jours de conférences et de jeux de hacking au HackFest 2015. Nous avons également animé un mini CTF OWASP au "HackFest Party".

Le mini-CTF (Capture The Flag) OWASP est une compétition de sécurité Web avec des défis très accessibles. La finale a est diffusée sur grand écran et commentée en direct! Pour se qualifier, obtenez le plus de points et ce, le plus rapidement possible!


Hackfest return.png


Le chapitre OWASP Québec et OWASP Montréal ont collaboré avec le Hackfest.ca pour animer un kiosque OWASP lors des 2 jours de conférences (7-8 novembre 2014) au HackFest 2014. Nous avons également tenu un mini CTF sécurité applicative au "HackFest Party".


Hackfest comm.png


Le chapitre OWASP Québec a collaboré avec le Hackfest.ca pour obtenir les services de Jim Manico, membre actif OWASP et VP Architecture sécurité chez WhiteHat Security pour présenter une conférence sur les 10 meilleures techniques de programmation pour protéger les applications Web.

6 septembre 2016 - Conférence - Louis Nadeau

Attaques et techniques de défense des sessions Web

LouisNadeau.png

Louis Nadeau
Responsable de la sécurité
Bentley Systems


Le concept de session est extrêmement important pour permettre aux applications Web de fournir une expérience personnalisée à ses utilisateurs. La session permet à l’utilisateur de ne pas avoir à faire transiger ses informations d’authentification à chaque requête, ce qui serait risqué. Par contre, la (mauvaise) gestion de la session ouvre la porte à plusieurs sortes de menaces. Durant cette présentation, quatre types d’attaques sur les sessions seront présentés ainsi que les bonnes pratiques pour se prémunir de ces problèmes. Entre autres, il sera question de « session hijacking » (différentes variantes), de « session fixation », de « session donation » et de « session puzzling ». D’autres sujets connexes seront aussi abordés comme le temps d’expiration des sessions et les complications liées à l’authentification de type authentification unique.

Présentation: Attaques et techniques de défense des sessions Web

6 au 8 avril 2016 - Collaboration - OWASP Québec & Web à Québec 2016

Conférence de David Caissy: Sécurité des applications Web en 2016

WAQsmall.png


OWASP Québec au Web à Québec 2016


7 avril 2016 - Conférence - David Caissy

La sécurité des applications Web en 2016

DavidCaissy2.png

David Caissy
Security Consultant
Department of National Defense


Les vulnérabilités reliées aux applications Web ont été un facteur important dans la plupart des cybers attaques dans le monde en 2015. Malgré cela, l’industrie tarde à réaliser où se trouve le vrai problème : les entreprises investissent massivement dans la protection de leurs réseaux sans savoir que les applications Web ne sont que partiellement protégées par ces mesures. C'est pourquoi 15.1% des applications Web en 2015 possédaient au moins une vulnérabilité de niveau élevé…

Mais la bonne nouvelle est que si certains principes de sécurité sont appliqués dès le début du développement des applications et si les bonnes mesures d’atténuation sont mises en place lors de leur déploiement, il est possible d’obtenir un très haut niveau de sécurité à faible coût.

Alors quelles stratégies devrions-nous adopter pour nous prémunir de ces cybers attaques? Quelles ont été les principales vulnérabilités recensées en 2015? Quels sont les exemples à suivre dans l’industrie et plus important encore, quels sont les pièges à éviter?

16 mars 2016 - Conférence - Patrick Leclerc

Stratégies pour développer et exploiter des applications sécuritaires à l'ASIQ

100px-PatrickLeclerc.png

Patrick Leclerc
Leader du chapitre OWASP Québec
OWASP Ville de Québec


De nos jours les applications Web sont des cibles prisées des pirates informatiques, puisque très fréquemment ils s’y faufilent sans être détectés ou arrêtés. Parfois même, ces applications représentent un vecteur par lequel un pirate parvient à une compromission complète des systèmes de mission d’une organisation.

Vol d’informations confidentielles, fraude, bris de disponibilité, falsification des données, sabotage, sont tous des risques que les organisations doivent tenter de prévenir.

Dans cette conférence, nous vous ferons connaître quelques stratégies et outils qui vous aideront à prendre en main efficacement le développement et l’exploitation d’applications sécuritaires.

Présentation: Stratégies pour développer et exploiter des applications sécuritaires

2 février 2016 - Conférence - Louis Nadeau

Comprendre l'usage de la crypto pour les développeurs : choses à faire et à ne pas faire

LouisNadeau.png

Louis Nadeau
Responsable de la sécurité
Bentley Systems


Souvent, la cryptographie (encryptions, hashing, etc.) est enseignée et présentée d'un point de vue mathématique. Par contre, dans l'industrie, les problèmes les plus fréquents qui sont rencontrés n'ont rien à voir avec les mathématiques, mais sont plutôt dus à une mauvaise utilisation pratique des techniques de cryptographie. Dans cette présentation, je ferai un rappel des différents outils de cryptographie et de leur raison d'être, et je parlerai des problèmes fréquents rencontrés avec leur utilisation. Je ne parlerai pas des algorithmes mathématiques, mais plutôt de l'aspect pratique de l'utilisation de ces algorithmes.

20 au 21 octobre 2015 - Participation - OWASP

OWASP Quebec City au CQSI, Le Carrefour de l'industrie de la sécurité

CQSI.png

Le chapitre OWASP Ville de Québec a participé au CQSI 2015 (Carrefour de l'industrie de sécurité) le 20 au 21 octobre 2015 au Centre des congrès de Québec.


2 juin 2015 - Conférence - François Gagnon

SSL et les problèmes de validation de certificats dans les applications mobiles

Team1CegepSteFoy.png

Marc-Antoine Fortier, Marc-Antoine Ferland, Simon Desloges et Jonathan Ouellet
Étudiants en informatique au Cégep Sainte-Foy

François Gagnon
Professeur-Chercheur au Laboratoire de recherche en cybersécurité du Cégep Ste-Foy

Les protocoles SSL/TLS et les certificats X.509 sont des éléments essentiels de la sécurité sur internet. Jusqu'à "récemment", la grande majorité des développeurs n'avaient à se soucier de cette composante que lors du déploiement de leur application: on met un certificat sur le serveur, et voilà! Mais aujourd'hui, c'est fort différent.

Pourquoi ? Les applications mobiles.

Dans un monde PC, la validation du côté client du certificat SSL renvoyé par le server se fait presque toujours par le navigateur web. Par contre, dans le monde mobile, chaque application doit elle-même faire la validation du certificat serveur pour éviter les "Man-in-the-middle". Cependant, vérifier correctement un certificat SSL ne semble pas être une tâche simple.

Dans cette présentation, nous aborderons rapidement les grandes lignes de la mécanique de validation des certificats SSL. Par la suite, nous présenterons un prototype de laboratoire virtuel permettant de tester automatiquement si une application Android valide bien les certificats SSL qu'elle reçoit (ou si elle expose ses usagers à du vol d’information sensible par une attaque Man-in-the-middle). Finalement, nous terminerons avec les résultats préliminaires d'une étude sur la qualité des implémentations SSL dans les applications Android existantes.

1 au 2 decembre 2014 - Partenariat - OWASP au ICCE 2014 "The Insider Threats"

OWASP booth at International Conference on Corporate Espionage and Industrial Security (ICCE)

ICCE Logo small.png


OWASP Ottawa and OWASP Quebec City chapters had a booth at the International Conference on Corporate Espionage and Industrial Security (ICCE 2014) that took place on December 1-2 2014, at the Hilton Lac-Leamy Conference Centre. Renee Guttmann, Vice President, Office of the CISO at Accuvant was our invitee. The conferences provided exclusive solutions and security practices to help counter the “Insider Threats”.

30 septembre 2014 - Conférence - Yann Rivière & Patrick Leclerc

Ce que vous devriez savoir sur le Cloud computing

YannRivière.png

Yann Rivière
Consultant senior en sécurité
EGYDE Services & Conseils en sécurité de l'information


100px-PatrickLeclerc.png

Patrick Leclerc
Architecte logiciel et sécurité applicative
EGYDE Services & Conseils en sécurité de l'information


Vous songez à réduire vos coûts liés à la gestion de vos infrastructures ?technologiques et de vos applications? Vous avez entendu dire que le Cloud Computing (pour certains l'infonuagique ou informatique en nuage) permettait d’augmenter la disponibilité, la performance et l'extensibilité de vos applications tout en protégeant vos actifs informationnels? En consommateur avisé, vous êtes méfiants et aimeriez en savoir davantage avant de vous lancer dans une aventure ou seuls les plus aguerris s’en sortent sans y laisser de plumes. Si tel est votre cas, ou si vous êtes tout simplement curieux de voir l'envers de la médaille, cette conférence est pour vous! Nous vous apporterons des pistes de solutions ainsi qu’un retour sur nos expériences de travail vécues sur la sécurité dans le Cloud.

Présentation: http://www.slideshare.net/PatrickLeclerc/ce-que-vous-devriez-savoir-sur-le-cloud-computing-owasp-quebec

10 juin 2014 - Conférence - Johan Renaut

Avez-vous dit XSS ? (Cross-site Scripting)

JohanRenaut.png

Johan Renaut
Analyste en sécurité de l'information
EGYDE Services & Conseils en sécurité de l'information


La faille dite de Cross-site scripting (XSS) est une faille web bien connue des pirates informatiques. Sur un site web vulnérable, elle permet d’y injecter du code malicieux qui sera exécuté à partir du navigateur des visiteurs, ou plutôt, des victimes...

Ces failles peuvent sembler bénignes de prime abord, mais lorsqu'elles sont exploitées malicieusement, elles deviennent un vecteur d'attaque puissant pour d'éventuels attaquants.

Cette présentation se veut une introduction aux différents types de failles XSS de base.

Nous couvrirons plusieurs sujets relatifs aux failles XSS:

- Qu’est-ce que le XSS?
- Pourquoi devons-nous nous en préoccuper?
- Comment les découvrir
- Comment les tester via des scénarios d'attaques classiques
- Comment s'en prémunir

15 avril 2014 - Conférence - Patrick Leclerc

La sécurité applicative et le cycle de développement

100px-PatrickLeclerc.png

Patrick Leclerc
Architecte logiciel et sécurité applicative
EGYDE Services & Conseils en sécurité de l'information


Encore de nos jours la majorité des applications Web comportent des vulnérabilités, ces dernières représentent plus souvent qu'autrement des risques dont les organisations ignorent encore l'existence. Certaines organisations croient qu'un simple balayage de vulnérabilités parfois accompagné d'un test d'intrusion sont les seuls moyens d'identifier les risques, mais encore faut-il les corriger après! S'il y a des coûts à prévenir et mitiger les risques, ils sont décuplés lorsque nous avons à les corriger!

Dans cette présentation, découvrez comment identifier et mitiger vos risques de sécurité en les prenant en charge tout au long du cycle de développement. Vous avez intérêts, puisque depuis quelques années déjà, Gartner identifiait que 75% des attaques étaient dirigées sur les applications Web. Plusieurs firmes ont fait les manchettes ces dernières années, n'attendez pas votre tour.

Présentation: http://www.slideshare.net/PatrickLeclerc/securite-applicative-et-sdlc-owasp-quebec-15-avril-2014-diffusion

19 février 2014 - Conférence - Eric Chartré

Développement d’une application sécurisée : étanchéité par le pipeline Web et le cadre d’application

Eric Chartré.png

Eric Chartré
Spécialiste technique en architecture Web
TELUS Communications inc.


Par le biais de techniques fort simples, l’application de règles applicatives centralisées très sévères et l’utilisation d’un cadre d’application (framework) approprié, il n’est pas utopique d’éliminer 100% des vulnérabilités d’une application Web et de son infrastructure sous-jacente. Mais, pour cela, l’application et son infrastructure doivent respecter un ensemble de conditions bien précises. Cette présentation très concrète fera un survol de la recette pour développer une application sécuritaire, même contre les erreurs des développeurs.

Cette présentation veut provoquer la discussion sur certaines pratiques de développement et d’implantation de sites Web. Présentation: http://prezi.com/ivp3kylabx32



2013 - Première rencontre des membres OWASP Quebec City

Voici le contenu de la rencontre de lancement: http://www.slideshare.net/PatrickLeclerc/premire-rencontre-dowasp-qubec

Conférence de Jim Manico au Hackfest 2012

Top Ten Web Defenses: We cannot hack or firewall our way secure. Application programmers need to learn to code in a secure fashion if we have any chance of providing organizations with proper defenses in the current threatscape. This talk will discuss the 10 most important security-centric computer programming techniques necessary to build low-risk web-based applications.

AppSecDC12-manico.jpg

Jim Manico
OWASP Global Board Member
VP Security Architecture at WhiteHat Security



Communauté

Les rencontres OWASP sont ouvertes à tous et gratuites. Nous encourageons l'échange informel sur tous sujets relatifs à la sécurité applicative. Toute personne intéressée par la sécurité applicative est la bienvenue aux rencontres.

Les sujets principalement abordés sont:

  • Analyse et conception d'applications sécurisées
  • Techniques et méthodes de développement sécurisé
  • Évaluation et validation de la sécurité des applications (tests d'intrusion, recherche de vulnérabilités)
  • Sécurité d'architectures et technologies de développement logiciel
  • Gouvernance de la sécurité logicielle dans les organisations

Devenez conférencier!

Si vous souhaitez présenter un sujet lors d'une prochaine rencontre OWASP ou avez une question relative aux rencontres de la section OWASP Ville de Québec, n'hésitez pas à envoyer un email à Patrick Leclerc. Toute intervention orale (présentation, formation) lors d'un meeting OWASP est soumise à l'acceptation préalable du règlement des conférenciers.

Responsables du chapitre

Leader: Patrick Leclerc
Vice-leader: Louis Nadeau

Supportez-nous!

Pour supporter OWASP Quebec City:

  • En devenant membre ($50 US / 1 an), sélectionnez notre chapitre pour lui verser 40% du montant: https://www.owasp.org/index.php/Membership
  • En faisant un don via Paypal en cliquant sur le bouton " Donate " juste au bas de cette page

Pour devenir membre OWASP

Devenez commanditaire de notre communauté!

Quatre formules de sponsoring sont actuellement proposées aux organisations désireuses de soutenir la mission de l'OWASP:

  • Chapter Supporter: soutien financier annuel du chapitre OWASP Ville de Québec
  • Single Meeting Supporter: soutien financier ponctuel, pour un meeting spécifique du chapitre OWASP Ville de Québec
  • Facility Sponsor: publicité des évènements OWASP Quebec City et/ou mise à la disposition de salles équipées pour la tenue des meetings OWASP Ville de Québec
  • Organization Supporter: soutien financier annuel de la fondation OWASP + 40% de la cotisation reversés à la section affiliée (OWASP Quebec City)

Pour toute information relative au sponsoring affilié à la section, merci de contacter Patrick Leclerc ou consulter la page memberships dédiée à cet effet.

Chapter Supporters / Commanditaires du chapitre

Gold / Or

Bentley Spacer-horiz.gif iA Groupe Financier

Commandites et options d'adhésion

Btn donate SM.gif Donnez, commanditez notre chapitre.

Ou considérez devenir membre OWASP individuel, corporatif, ou académique. Prêt à devenir membre? Join Now BlueIcon.JPG

Recevez les invitations à nos événements OWASP en nous suivant sur nos médias sociaux!

Facebook: /OwaspQuebec LinkedIn: /Owasp-Quebec-4338809 liste de distribution OWASP Ville de Québec Twitter: @owaspquebec

Pour nous contacter : OWASP Ville de Québec