OWASP Quebec City

Évènements passés

21 janvier 2020: Escalade de privilèges dans le Cloud: D’une simple vulnérabilité SSRF à “Administrateur Cloud Global”

100px Maxime Leblanc Information Security Specialist (SecOps) Poka

Description

Au cours des derniers mois, j’ai exploré différentes techniques d’exploitation de vulnérabilités de type SSRF (Server-Side Request Forgery), qui peuvent mener à l’accès non autorisé à des ressources réseau auxquelles seul le serveur Web devrait avoir accès. Dans certaines circonstances, les vulnérabilités SSRF peuvent mener à la fuite de clés d’API ou d’accès à la base de données. Dans cette présentation, je démontrerai que dans le contexte d’une application hébergée sur le Cloud, la puissance d’une attaque SSRF a le potentiel d’être décuplée: Un attaquant réussissant ce type d’attaque pourrait prendre le contrôle complet du compte Cloud, les dommages potentiels étant uniquement limités par les capacités du compte administrateur. On peut ainsi imaginer un attaquant ayant accès à l’ensemble des unités de stockage S3 et y hébergeant des logiciels malveillants, ou encore exploitant de puissantes machines pour miner des crypto-monnaies au frais de la victime. La présentation sera accompagnée d’un projet open-source permettant de tester différents scénarios d’exploitation SSRF sur le Cloud: Le Damn Vulnerable Cloud Application Project.

Plan

• Intro
• Qu’est-ce qu’une vulnérabilité SSRF (Web)
• Organisation du système de permissions dans le Cloud
• Utilisation d’une vulnérabilité SSRF pour l’obtention de clés d’authentification au cloud
• Escalade de privilèges vers un compte administrateur
• Démonstration
• Défense et contre-mesures
• Conclusion - “The Damn Vulnerable Cloud Application project”

19 novembre 2019: “Securing open sources libraries in open source code package” ***chez Coveo***

Jean-Alexandre Beaumont Louis-Philippe Déry Coveo

Description

Learn how to find and fix vulnerabilities in open source libraries, where to integrate testing to prevent adding new vulnerable libraries to your code and how to respond to newly disclosed vulnerabilities in libraries you already use.

Voici la présentation “Securing open sources libraries in open source code package”

1 et 2 novembre 2019: kiosque et CTF OWASP au HackFest UpsideDown

Le chapitre OWASP Ville de Québec et OWASP Montréal ont collaborés encore une fois pour assurer une présence OWASP au HackFest. Merci aux organisateurs et participants du CTF OWASP qui font de cet événement un succès année après année!

3 septembre 2019 - Conférence - Histoire vraie : Implémenter le SecDevOps en entreprise

100px Guillaume Croteau Ingénieur Logiciel Bentley Systems

Description

Lorsque l’on parle de DevOps, on parle aussi de l’importance d’avoir du SecDevOps, l’intégration de la sécurité dans le processus DevOps. Plusieurs sources, tel que le SANS, offrent des lignes directrices sur ce que devrait avoir un bon SecDevOps.

La théorie c’est bien, mais qu’en est-il en pratique? Quelle est la réalité lorsque l’on s’assis derrière son bureau et que l’on se dit « Commençons à implémenter notre SecDevOps »?

Lors de cette présentation, nous parlerons de la transformation interne de Bentley Systems vers le DevOps et par conséquent, l’implémentation du SecDevOps. Nous traverserons ensemble une année de travail à travers une personne qui a fait part de ce changement. Nous aborderons le début cahoteux, les bons et les moins bons coups, les défis rencontrés, etc.

Le but de cette présentation n’est pas d’expliquer ce qu’est un bon SecDevOps et comment l’implémenter. Il s’agit d’un témoignage d’une équipe de sécurité applicative qui a vécue et participée à son implémentation dans une entreprise de 30 ans d’âge.

Voici la présentation “Histoire vraie : Implémenter le SecDevOps en entreprise”

5 juin 2019: Moderne Identification et AuthN/AuthZ : Comprenons-nous tous les enjeux?

100px Franck Desert Analyste en sécurité applicative CGI Inc

Description

Description: À l’heure où le Cloud devient omniprésent les enjeux d’authentification et d’autorisation deviennent incontournables! Tous les protocoles, frameworks, standards, etc. se chevauchent et s’entrecroisent!

• Comment utiliser les IdP, les “relaying parties”, les ADs (b2b, b2c)?
• Qu’en est-il alors du SSO?
• Comment s’y retrouver dans les différents JWTs & JWKs?
• SAML? WS-*?
• Et enfin toutes les fédérations possibles?

Bref, vous l’aurez compris, j’essayerai de passer en revue tout cela! Cas concrets et exemples de codes réels seront présents (Azure, AWS, peut-être GCP)

23 avril 2019: Introduction au CTF avec OWASP Juice-Shop ***chez Bentley Systems***

100px Vincent L-Garant Application Security Engineer Bentley Systems

Description

Il s’agit d’une activité de style « workshop », semi-dirigée, pour débuter en CTF (Capture The Flag). Tout au long de la soirée, vous pourrez vous « faire les dents » sur la plateforme d’apprentissage Juice-Shop d’OWASP, qui permet entre autres le déroulement local d’une activité complète de style CTF, avec des challenges et astuces. Juice-Shop permet de pratiquer vos talents de « l337 h4ck3r » dans un environnement contrôlé, similaire à un vrai site de vente. Des animateurs seront disponibles pour répondre à vos questions si jamais vous êtes dans une impasse. Il y aura également des défis en groupes. Une bonne occasion de vous initier au hacking web!

Instructions : Vous devez apporter votre propre portable et un câble ethernet. Votre ordinateur doit être en mesure de fonctionner avec Docker. Il n’est pas nécessaire d’avoir des outils de « pentest » complets, mais un proxy tel que Fiddler, OWASP ZAP ou Burp, etc. est fortement recommandé.

19 mars 2019: Portrait de la sécurité applicative et outils OWASP

100px Patrick Leclerc Leader du chapitre OWASP Ville de Québec Conseiller en sécurité des actifs informationnels La Capitale

Description

Les applications Web sont des cibles prisées des pirates informatiques, très fréquemment ils s’y faufilent sans être détectés ou arrêtés. Parfois même, ces applications représentent un vecteur par lequel un pirate parvient à une compromission complète des systèmes de mission d’une organisation. Vol d’informations confidentielles, fraude, bris de disponibilité, falsification des données, sabotage, atteinte à la réputation, sont tous des risques que les organisations doivent tenter de prévenir. Dans cette conférence, nous vous ferons connaître quelques stratégies et outils gratuitement disponibles qui vous aideront à prendre en main efficacement le développement et l’exploitation d’applications sécuritaires.

Voici la présentation “Portrait de la sécurité applicative et outils OWASP”

19 février 2019: Concevoir et implémenter un plan de formation et de sensibilisation à la sécurité

100px Vincent L-Garant Application Security Engineer Bentley Systems

Description

Avoir des antivirus sur tous les postes et des firewalls devant chaque serveur, c’est bien, mais si tout le monde ouvre Trust_me.exe en attachement de la part d’un prince nigérien, ça ne sert à rien. Comme la sécurité suit le principe du maillon faible et que dans la plupart des systèmes, le maillon faible c’est l’humain, il est important de bien former ses employées.

La présentation parlera des étapes pour concevoir et implémenter un plan de formation et de sensibilisation à la sécurité. Pour enclencher un processus de formation interne, il est important de :

Voici la présentation “Concevoir et implémenter un plan de formation et de sensibilisation à la sécurité”

• Définir sa « clientèle »
• Identifier nos forces et nos faiblesses
• Définir un plan de déploiement
• Préparer la(les) formation(s)
• Stimuler et calculer la complétude
• Se tenir à jour

5 décembre 2018: CTF What? Présentation du monde CTF! « Capture The Flag »

100px Franck Desert Analyste en sécurité applicative CGI Inc

Description

Attaque/Défense, Jeopardy, Puzzle Technique, Retro ou New Tech, nous allons vous raconter l’histoire, l’existant, ce qui s’en vient dans le monde du CTF et présenter également le devant et le derrière du miroir.

Mais ne vous y trompez pas! Le CTF devient la nouvelle façon de se former, de rester sur le “Edge”, de recruter, etc. Donc, que vous soyez développeur, pentester, defender, chargé de projet, manager ou tout simplement curieux, cette présentation est pour vous! En effet, l’apprentissage ludique qu’est le CTF doit prendre une place importante dans votre quotidien, que vous le fassiez à titre personnel ou afin de convaincre votre entreprise de l’intégrer, il est temps de s’y mettre!

Voici la présentation “CTF What? Présentation du monde CTF!”

Bio

Franck est architecte organique mais avant tout un enthousiaste de la sécurité impliqués dans l’organisation du Hackfest. Très motivé à partager ses 24 ans d’expérience en développement de systèmes, Franck est excellent présentateur et n’a pas peur d’apporter du contenu dans ses échanges avec les autres. Franck est aussi à surveiller avec ses idées/projets/initiatives orienté communauté qui sont particulièrement à la fine pointe

2 et 3 novembre 2018: kiosque et CTF OWASP au HackFest Decade (10 ans déjà!)

Le chapitre OWASP Ville de Québec et OWASP Montréal ont collaborés encore une fois pour assurer une présence OWASP au HackFest Decade. Merci aux organisateurs et participants du CTF OWASP qui font de cet événement un succès année après année!

17 octobre 2018: Survol de la sécurité de Microsoft Azure

100px Maxime Coquerel Architecte de sécurité Cloud / MVP Azure Logibec

Description

Dans cette présentation nous parcourrons ensemble les principaux services de sécurité offerts par la plateforme Cloud Azure. Cette présentation sera appuyée par des démos live.

Voici la présentation “Survol de la sécurité de Microsoft Azure”

Bio

Fort de 10 ans d’expérience, Maxime intervient dans des secteurs d’activités aussi variés que : la défense, l’aéronautique, les assurances et le bancaire, le médical ainsi que pour des start-ups technologiques Diplômé en Cyber Sécurité de l’Institut National des Sciences Appliqués de Lyon (France) et du Massachusetts Institute of Technologie (Cambridge, USA), Maxime est également certifié auprès d’Amazon Web Services, Microsoft, IBM, Apple, Pao-Alto et VMware. En parallèle à ses activités professionnelles, Maxime est un conférencier international reconnu. Il est notamment intervenu lors de l’IBM InterConnect 2016 à Las Vegas (Nevada, États-Unis) et lors du Microsoft Global Azure BootCamp (Québec, Canada). Maxime intervient fréquemment comme conférencier technique au Canada. Maxime contribue également au développement de logiciels open source comme Kubernetes, Microsoft Visual Code, en plus d’être l’auteur depuis 2012 du blog « l’Infrastructure pour tous » https://zigmax.net)

12 septembre 2018: Pourquoi le SPA (Single Page Application) est faillible?

100px Franck Desert Analyste en sécurité applicative CGI Inc

Description

La plupart des organisations faisant du développement web ont déjà ou veulent introduire cette “nouvelle” technique qu’est le SPA… toutefois est-ce fait de façon sécuritaire? Une brève exploration du passé nous montrera ce que nous avons appris et probablement oublié avec cette nouvelle guerre du « Front-End ». Par la suite, nous allons voir ce qu’est une SPA, les changements que ça apporte aux étapes de développement ainsi que les avantages et inconvénients pour les développeurs et les utilisateurs. Le tout sera accompagné d’exemples vous montrant que les directions initialement prises doivent changer. Finalement, nous verrons ce qu’il faut retenir du passé pour ne pas répéter les mêmes erreurs.

Voici la présentation “Pourquoi le SPA (Single Page Application) est faillible?”

Bio

Franck est architecte organique mais avant tout un enthousiaste de la sécurité impliqués dans l’organisation du Hackfest. Très motivé à partager ses 24 ans d’expérience en développement de systèmes, Franck est excellent présentateur et n’a pas peur d’apporter du contenu dans ses échanges avec les autres. Franck est aussi à surveiller avec ses idées/projets/initiatives orienté communauté qui sont particulièrement à la fine pointe

5 juin 2018: Introduction OAuth 2.0 et OpenId Connect 1.0

100px Marc-André Tousignant Analyste en sécurité de l’information iA Groupe financier

Description

Dans un monde où la mobilité devient omniprésente, où les applications et les services en ligne ont un besoin grandissant de s’échanger de l’information, des technologies qui permettent de soutenir cette transformation de façon sécuritaire sont nécessaires. Pour faire face à cette nouvelle réalité, Oauth et OpenID Connect ont vu le jour et en raison de leur adoption par des acteurs influents de l’industrie, leur utilisation est pratiquement devenue un incontournable. Cette présentation se veut un survol du « framework » Oauth 2.0 ainsi que du protocole OpenID Connect 1.0. Ensemble, nous prendrons connaissance des raisons d’être de chacune de ces technologies, de leurs particularités et de leur fonctionnement. Nous poursuivrons avec des mises en contexte concrètes et terminerons avec un survol des vulnérabilités associées.

Voici la présentation “Introduction OAuth 2.0 et OpenId Connect 1.0”

Bio

Marc-André est passionné par la sécurité informatique depuis plusieurs années. Il œuvre dans le domaine des TI depuis 10 ans et à titre d’analyste en sécurité de l’information depuis 5 ans. Il a un intérêt manifeste pour la sécurité applicative, la mobilité et tout ce qui touche l’identité numérique.

24 avril 2018: La sécurité dans un environnement docker/kubernetes/cloud avec micro-services

100px Vincent Crépin Architecte logiciel Elapse Technologies

Description

L’architecture micro-services gagne en popularité depuis les deux dernières années, mais elle comporte son lot de défis particulièrement au niveau de la visibilité sur le service mesh et de la sécurité. Afin de pouvoir bénéficier des avantages de cette architecture, il est nécessaire d’utiliser une plateforme appropriée permettant des déploiements rapides et simplifiés. docker en combinaison avec kubernetes dans un environnement cloud est un exemple de ce type de plateforme. Cette courte présentation se veut un survol des défis reliés à la sécurité dans un tel contexte et propose des solutions pour en mitiger les risques. À partir d’une implémentation réelle, on présente les différentes approches utilisées et les outils mis en place pour adresser plusieurs aspects de sécurité. Les grands thèmes abordés sont:

• Technologies par containers (docker)
• Plateforme d’orchestration (gcloud, kubernetes, Istio, Forsety)
• Authentification et autorisation (Firebase, JWT)
• API Gateway (Kong)
• CI/CD (Jenkins, outils d’analyse statique, vérifications de sécurité)
• Registre d’images

Voici la présentation “La sécurité dans un environnement docker/kubernetes/cloud avec micro-services”

Bio

Vincent est un architecte logiciel passionné et comptant plus de 25 années d’expérience. Il est spécialisé en intégration, conception logicielle et architecture cloud. Intéressé par la mobilité, la sécurité et le DevOps, il travaille dans plusieurs grandes entreprises à titre de conseiller en architecture. Il est fondateur de Elapse Technologies.

13 avril 2018: OWASP Québec au CQSI 2018: “Buzzwords et enjeux de sécurité”

Dans le cadre du “CQSI“, OWASP Québec (Patrick Leclerc et Louis Nadeau) ont donné une conférence: “Buzzwords et enjeux de sécurité”

Description

Cloud, DevOps, CI/CD, Microservices… Ces paradigmes à la mode engendrent leur lot d’enjeux de sécurité. Mieux vaut connaitre ces derniers à l’avance que de les découvrir trop tard dans le parcours. Nous avons discuté des divers aspects de sécurité que vous aurez à considérer lors de l’adoption de ces paradigmes

Voici la présentation “Buzzwords et enjeux de sécurité”

20 mars 2018: Explication des nouveaux risques “OWASP Top 10 2017”

100px Louis Nadeau Co-leader du chapitre OWASP Ville de Québec Responsable de la sécurité Bentley Systems

Description

Dans cette conférence, nous allons analyser le nouveau Top 10 OWASP et les différences avec les versions précédentes. Nous allons par la suite regarder des exemples de A4 XML External Entity (XXE) et de A8 Insecure Deserialization. En bonus, quelques activités avec l’outil YSoSerial.Net

Voici la présentation “Explication des nouveaux risques OWASP Top 10 2017”

20 février 2018: La sécurité web pour les développeurs .NET

100px Philippe Arteau Chercheur en sécurité GoSecure

Description:

Les meilleures pratiques en sécurité sont souvent génériques et agnostiques du langage de programmation. Cela rend la vie difficile aux développeurs. Dans cette présentation, les vulnérabilités les plus communes dans le contexte .NET seront présentées. Différentes classes de vulnérabilités seront explorées dont les XSS, les injections et la cryptographie.

Bio:

Philippe est chercheur en sécurité pour GoSecure. Sa recherche porte principalement sur la sécurité des applications Web. Ces expériences présentes incluent les tests d’intrusion, la revue de code et le développement logiciel. Il est l’auteur de l’outil d’analyse statique Java “Find Security Bugs”. Il a créé un outil d’analyse statique pour .NET appelé “Roslyn Security Guard”. Il a développé plusieurs plugins pour les proxy Burp et ZAP: Retire.js, Reissue Request Scripter, CSP Auditor et quelques autres. Il a présenté dans plusieurs conférences dont Black Hat Arsenal, ATLSecCon, NorthSec, Hackfest (QC) et JavaOne.

Voici la présentation “La sécurité web pour les développeurs .NET”

29 novembre 2017 - Journée de 6 conférences sur la sécurité applicative à L’Université Laval

310x88px

Afin de mettre en avant plan la sécurité applicative à Québec, vos leaders bénévoles d’OWASP Québec se sont joint à d’autres conférenciers spécialistes pour cet événement. “ISACA Québec“ en partenariat avec le “Bureau de sécurité de l’information de l’Université Laval“ ont organisé cette fantastique journée sur la sécurité applicative.

Merci aux organisateurs! Nous étions “sold out” avec 165 inscriptions!

Conférenciers et présentations: Patrick Leclerc : “Fondements de la sécurité applicative et prise en charge avec les outils OWASP” Martin Renaud : “La sécurité en cours de développement” François Lajeunesse-Robert : “Sécuriser avec de bonnes pratiques de test” François Harvey : “Revue de code” Patrick Chevalier : “Les tests d’intrusion dans le cadre du cycle de développement applicatif” Louis Nadeau : “Modèles de maturité”

21 novembre 2017 - Conférence - Security Stories: Comment intégrer la sécurité dans un cycle de développement logiciel rapide

100px Guillaume Croteau Ingénieur Logiciel Junior Bentley Systems

Le développement continu et la livraison continue sont des pratiques de plus en plus répandus. Intégrer la sécurité dans ces cycles de développement rapide peut être un défi de taille. Lors de cette présentation, vous découvrirez une approche exprimée dans la publication de SAFECode : «Practical Security Stories and Security Tasks for Agile Development Environments». Cette approche peut être adaptée à votre contexte et permet d’intégrer des tâches ou des fonctionnalités liées à la sécurité dans votre Sprint. Cette approche offre une réponse à la question : Comment faire en sorte que les requis de sécurité ne soient pas seulement appliqués juste avant la sortie officielle du produit?

Voici la présentation “Security Stories: Comment intégrer la sécurité dans un cycle de développement logiciel rapide”

3 et 4 novembre 2017: kiosque et CTF OWASP au HackFest 2017

Le chapitre OWASP Ville de Québec et OWASP Montréal ont collaborés encore une fois pour assurer une présence OWASP au HackFest 2017. Félicitations à tous les participants du CTF OWASP!

24 octobre 2017 - Présentation - Retour sur OWASP AppSecUSA 2017

100px Patrick Leclerc Leader du chapitre OWASP Ville de Québec Conseiller en sécurité des actifs informationnels La Capitale

100px Vincent Goulet Conseiller principal en Sécurité de l’information In Fidem

3 Octobre 2017 - Conférence - Comment bien gérer les incidents de sécurité

100px Vincent L-Garant Application Security Engineer at Bentley Systems

Sony, Microsoft, CCleaner, Equifax : Le point commun de toutes ces compagnies est leur apparition, parfois répétée, dans les médias en raison de brèche de sécurité. Dans un monde constamment connecté, comment faire pour ne pas perdre la face ni nos données? Bien qu’une procédure de réponse aux incidents n’empêche pas nécessairement un acteur malicieux de briser vos défenses, cela permet de minimiser les dégâts. Cette présentation se penche sur les éléments de base dans la création d’une procédure de réponse aux incidents, de la détection à la résolution

6 juin 2017 - Conférence - Quelques outils de modélisation des menaces

100px Jonathan Marcil Ancien dirigeant du chapitre OWASP Montréal Senior Application Security Engineer, Blizzard Entertainment

Suite à la présentation sur la modélisation des menaces du mois précédent, voici certaines méthodologies qui aideront les projets de toutes de tailles à organiser les menaces et visualiser graphiquement les systèmes en place. L’audience sera donc invitée à prendre part à l’introduction avec les acquis de la dernière présentation. De plus, la discussion sera dirigée vers un point de vue pragmatique qui sera potentiellement différent pour stimuler la pensée critique.

Voici la présentation “Threat Modeling Toolkit” et sa description originale anglaise :

Threat Modeling Toolkit

Threat Modeling is a great way to analyze security early in software development by structuring possible attacks, bad actors and countermeasures over a broad view of the targeted system. This talk will describe basic components of a threat model and how to use them effectively. Threat Intelligence is where you gather knowledge about the environment and business assets to determine what are the actual threats. But how do you reconcile that with the current architecture in a useful manner? The toolkit presented in this talk will enable you to systematically structure related information using graphical notations such as flow diagram and attack tree. In case you are wondering where to start in your organization, a quick lightweight risk rating methodology will also be proposed. And in the end, you’ll see how we can all tie those together and get threat modeling to a point where it’s an efficient application security activity for communication. Doing this will prevent security reviews from missing important things even when chaos prevails during the realization of a project. Modeling concepts will be demonstrated with an actual IoT device used as example.

9 mai 2017 - Conférence - La modélisation des menaces : Comment éviter que votre frigo Internet ne se retourne contre vous?

100px Vincent Goulet Conseiller principal en Sécurité de l’information In Fidem

Après avoir discuté des fondements du processus de modélisation des menaces (threat modeling), vous serez invités à tester vos connaissances sur un exemple actuel et amusant. Ensemble, nous déterminerons les principales menaces qui guettent les prochaines générations de frigos connectés et proposerons des pistes de solution. Afin de stimuler notre créativité, nous utiliserons deux méthodes complémentaires d’analyse des menaces : STRIDE, le standard de l’industrie (Microsoft) et Security Cards, qui saura vous surprendre par son approche ludique (Université de Washington). Finalement, nous discuterons des principaux défis qui devront être relevés pour favoriser une plus grande adoption de la pratique de modélisation des menaces en entreprise.

7 mars 2017 - Conférence - Les logiciels malveillants sur les objets connectés (IoT)

100px Olivier Bilodeau Leader du département de recherche en cybersécurité GoSecure

On peut trouver des logiciels malveillants partout où du code s’exécute. Les systèmes embarqués, plus communément appelés les objets connectés (Internet of Things - IoT), n’en font pas exception. De leur popularité découle une nouvelle vague de virus et de tactiques. À travers cette présentation, nous verrons comment chasser ce genre de menaces.

Les sujets couverts seront:

• La difficulté de collecte de logiciels malveillants de type IoT
• Les pots de miel (honeypots)
• Pots de miel hybrides (émulation et réelle exécution)
• Problèmes de rétro-ingénierie et solutions pratiques
• Étude de 3 cas réels: Linux/Moose, MIPS Dropper et LizardStresser DDoS (Linux/Gafgyt)
• Source du problème et pistes de solutions

L’auditoire sortira mieux équipé pour affronter cette prochaine génération de logiciels malveillants, et ce en utilisant principalement des outils libres (open source).

Bio

Olivier Bilodeau est à la tête du département de recherche en cybersécurité de GoSecure. Avec plus de 10 ans d’expérience en sécurité informatique. Il a présenté à plusieurs conférences telles que BlackHat Europe, Defcon, Botconf, SecTor, Derbycon, NorthSec et bien d’autres.

• https://ca.linkedin.com/in/olivierbilodeau

7 février 2017 - Conférence - Rétro-ingénierie de protocole crypto: Un “starter pack”

100px Maxime Leblanc Information Security Specialist (SecOps) Poka

Dans cette présentation, vous apprendrez les bases de l’analyse de protocole cryptographique, et quelques pistes pouvant aider à détecter une faille au sein de ces protocoles. Aucune connaissance crypto n’est nécessaire a priori (il ne s’agit pas ici de briser des protocoles éprouvés, mais de voir comment leur mauvaise utilisation peut les rendre inefficaces). On fera par le fait même un survol des outils utiles pour la rétro-ingénierie réseau, comme “Wireshark”. La présentation sera basée sur un exemple réel d’un protocole VoIP brisé et corrigé récemment.

Présentation: Rétro-ingénierie de protocole crypto

29 novembre 2016 - Conférences - Louis Nadeau & Patrick Leclerc

Retour sur les conférences OWASP AppSecUSA 2016

100px Louis Nadeau Co-leader du chapitre OWASP Ville de Québec Responsable de la sécurité Bentley Systems 100px Patrick Leclerc Leader du chapitre OWASP Ville de Québec Conseiller en sécurité des actifs informationnels La Capitale

Nous avons fait un retour sur quelques sujets intéressants des conférences OWASP AppSecUSA 2016

4 octobre 2016 - Conférence - Patrick Leclerc

Cybercrime: Nos données personnelles sont à risque, entre autres parce que nos mots de passe sont inadéquats et mal protégés

100px Patrick Leclerc Conseiller en sécurité des actifs informationnels La Capitale

De nos jours, la majorité d’entre nous avons une ou plusieurs identité(s) sur Internet (médias sociaux, courriels, fournisseurs de services, services en lignes, etc.). Cette nouvelle réalité signifie également de nouvelles opportunités de fraude pour les acteurs du crime organisé. Un nombre sans cesse croissant de fraudes Internet sont rapportées dans les manchettes, tant les individus (oui, vous!) que les compagnies sont ciblés.

Empruntant quelques « slides » de la présentation de David Caissy d’avril dernier, qui expliquait que plus de 90 % des mots de passe sont encore trop faibles même lorsqu’ils répondent aux critères de complexité actuels, je vous présenterai les principaux risques, pourquoi nos données sont encore trop souvent mal protégées ainsi que quelques trucs pour vous aider à préserver votre identité en ligne et celles de vos clients.

Présentation: L’usage non sécuritaire des mots de passe

2012 à 2016 - Partenariats - OWASP & Hackfest

Le chapitre OWASP Ville de Québec et OWASP Montréal ont collaborés encore une fois pour assurer une présence OWASP au HackFest 2016. Formation « Secure Coding and Testing Webservices and Web Applications » de 2 jours dispensée par Jim Manico, kiosque OWASP et Mini CTP OWASP au HackFest party.

Le chapitre OWASP Québec et OWASP Montréal ont collaborés pour animer un kiosque OWASP lors des 2 jours de conférences et de jeux de hacking au HackFest 2015. Nous avons également animé un mini CTF OWASP au “HackFest Party”.

Le mini-CTF (Capture The Flag) OWASP est une compétition de sécurité Web avec des défis très accessibles. La finale a est diffusée sur grand écran et commentée en direct! Pour se qualifier, obtenez le plus de points et ce, le plus rapidement possible!

Le chapitre OWASP Québec et OWASP Montréal ont collaboré avec le Hackfest.ca pour animer un kiosque OWASP lors des 2 jours de conférences (7-8 novembre 2014) au HackFest 2014. Nous avons également tenu un mini CTF sécurité applicative au “HackFest Party”.

Le chapitre OWASP Québec a collaboré avec le Hackfest.ca pour obtenir les services de Jim Manico, membre actif OWASP et VP Architecture sécurité chez WhiteHat Security pour présenter une conférence sur les 10 meilleures techniques de programmation pour protéger les applications Web.

6 septembre 2016 - Conférence - Louis Nadeau

Attaques et techniques de défense des sessions Web

100px Louis Nadeau Responsable de la sécurité Bentley Systems

Le concept de session est extrêmement important pour permettre aux applications Web de fournir une expérience personnalisée à ses utilisateurs. La session permet à l’utilisateur de ne pas avoir à faire transiger ses informations d’authentification à chaque requête, ce qui serait risqué. Par contre, la (mauvaise) gestion de la session ouvre la porte à plusieurs sortes de menaces. Durant cette présentation, quatre types d’attaques sur les sessions seront présentés ainsi que les bonnes pratiques pour se prémunir de ces problèmes. Entre autres, il sera question de « session hijacking » (différentes variantes), de « session fixation », de « session donation » et de « session puzzling ». D’autres sujets connexes seront aussi abordés comme le temps d’expiration des sessions et les complications liées à l’authentification de type authentification unique.

Présentation: Attaques et techniques de défense des sessions Web

6 au 8 avril 2016 - Collaboration - OWASP Québec & Web à Québec 2016

Conférence de David Caissy: Sécurité des applications Web en 2016

OWASP Québec au Web à Québec 2016

7 avril 2016 - Conférence - David Caissy

La sécurité des applications Web en 2016

left David Caissy Security Consultant Department of National Defense

Les vulnérabilités reliées aux applications Web ont été un facteur

important dans la plupart des cybers attaques dans le monde en 2015.

Malgré cela, l’industrie tarde à réaliser où se trouve le vrai problème

les entreprises investissent massivement dans la protection de leurs réseaux sans savoir que les applications Web ne sont que partiellement protégées par ces mesures. C’est pourquoi 15.1% des applications Web en 2015 possédaient au moins une vulnérabilité de niveau élevé…

Mais la bonne nouvelle est que si certains principes de sécurité sont appliqués dès le début du développement des applications et si les bonnes mesures d’atténuation sont mises en place lors de leur déploiement, il est possible d’obtenir un très haut niveau de sécurité à faible coût.

Alors quelles stratégies devrions-nous adopter pour nous prémunir de ces cybers attaques? Quelles ont été les principales vulnérabilités recensées en 2015? Quels sont les exemples à suivre dans l’industrie et plus important encore, quels sont les pièges à éviter?

16 mars 2016 - Conférence - Patrick Leclerc

Stratégies pour développer et exploiter des applications sécuritaires à l’ASIQ

100px Patrick Leclerc Leader du chapitre OWASP Québec OWASP Ville de Québec

De nos jours les applications Web sont des cibles prisées des pirates informatiques, puisque très fréquemment ils s’y faufilent sans être détectés ou arrêtés. Parfois même, ces applications représentent un vecteur par lequel un pirate parvient à une compromission complète des systèmes de mission d’une organisation.

Vol d’informations confidentielles, fraude, bris de disponibilité, falsification des données, sabotage, sont tous des risques que les organisations doivent tenter de prévenir.

Dans cette conférence, nous vous ferons connaître quelques stratégies et outils qui vous aideront à prendre en main efficacement le développement et l’exploitation d’applications sécuritaires.

Présentation: Stratégies pour développer et exploiter des applications sécuritaires

2 février 2016 - Conférence - Louis Nadeau

Comprendre l’usage de la crypto pour les développeurs : choses à faire et à ne pas faire

100px Louis Nadeau Responsable de la sécurité Bentley Systems

Souvent, la cryptographie (encryptions, hashing, etc.) est enseignée et présentée d’un point de vue mathématique. Par contre, dans l’industrie, les problèmes les plus fréquents qui sont rencontrés n’ont rien à voir avec les mathématiques, mais sont plutôt dus à une mauvaise utilisation pratique des techniques de cryptographie. Dans cette présentation, je ferai un rappel des différents outils de cryptographie et de leur raison d’être, et je parlerai des problèmes fréquents rencontrés avec leur utilisation. Je ne parlerai pas des algorithmes mathématiques, mais plutôt de l’aspect pratique de l’utilisation de ces algorithmes.

20 au 21 octobre 2015 - Participation - OWASP

OWASP Quebec City au CQSI, Le Carrefour de l’industrie de la sécurité

Le chapitre OWASP Ville de Québec a participé au CQSI 2015 (Carrefour de l’industrie de sécurité) le 20 au 21 octobre 2015 au Centre des congrès de Québec.

2 juin 2015 - Conférence - François Gagnon

SSL et les problèmes de validation de certificats dans les applications mobiles

left Marc-Antoine Fortier, Marc-Antoine Ferland, Simon Desloges et Jonathan Ouellet Étudiants en informatique au Cégep Sainte-Foy François Gagnon Professeur-Chercheur au Laboratoire de recherche en cybersécurité du Cégep Ste-Foy Les protocoles SSL/TLS et les certificats X.509 sont des éléments essentiels de la sécurité sur internet. Jusqu’à “récemment”, la grande majorité des développeurs n’avaient à se soucier de cette composante que lors du déploiement de leur application: on met un certificat sur le serveur, et voilà! Mais aujourd’hui, c’est fort différent.

Pourquoi ? Les applications mobiles.

Dans un monde PC, la validation du côté client du certificat SSL renvoyé par le server se fait presque toujours par le navigateur web. Par contre, dans le monde mobile, chaque application doit elle-même faire la validation du certificat serveur pour éviter les “Man-in-the-middle”. Cependant, vérifier correctement un certificat SSL ne semble pas être une tâche simple.

Dans cette présentation, nous aborderons rapidement les grandes lignes de la mécanique de validation des certificats SSL. Par la suite, nous présenterons un prototype de laboratoire virtuel permettant de tester automatiquement si une application Android valide bien les certificats SSL qu’elle reçoit (ou si elle expose ses usagers à du vol d’information sensible par une attaque Man-in-the-middle). Finalement, nous terminerons avec les résultats préliminaires d’une étude sur la qualité des implémentations SSL dans les applications Android existantes.

1 au 2 decembre 2014 - Partenariat - OWASP au ICCE 2014 “The Insider Threats”

OWASP booth at International Conference on Corporate Espionage and Industrial Security (ICCE)

OWASP Ottawa and OWASP Quebec City chapters had a booth at the International Conference on Corporate Espionage and Industrial Security (ICCE 2014) that took place on December 1-2 2014, at the Hilton Lac-Leamy Conference Centre. Renee Guttmann, Vice President, Office of the CISO at Accuvant was our invitee. The conferences provided exclusive solutions and security practices to help counter the “Insider Threats”.

30 septembre 2014 - Conférence - Yann Rivière & Patrick Leclerc

Ce que vous devriez savoir sur le Cloud computing

100px Yann Rivière Consultant senior en sécurité EGYDE Services & Conseils en sécurité de l’information

100px Patrick Leclerc Architecte logiciel et sécurité applicative EGYDE Services & Conseils en sécurité de l’information

Vous songez à réduire vos coûts liés à la gestion de vos infrastructures ?technologiques et de vos applications? Vous avez entendu dire que le Cloud Computing (pour certains l’infonuagique ou informatique en nuage) permettait d’augmenter la disponibilité, la performance et l’extensibilité de vos applications tout en protégeant vos actifs informationnels? En consommateur avisé, vous êtes méfiants et aimeriez en savoir davantage avant de vous lancer dans une aventure ou seuls les plus aguerris s’en sortent sans y laisser de plumes. Si tel est votre cas, ou si vous êtes tout simplement curieux de voir l’envers de la médaille, cette conférence est pour vous! Nous vous apporterons des pistes de solutions ainsi qu’un retour sur nos expériences de travail vécues sur la sécurité dans le Cloud.

Présentation: http://www.slideshare.net/PatrickLeclerc/ce-que-vous-devriez-savoir-sur-le-cloud-computing-owasp-quebec

10 juin 2014 - Conférence - Johan Renaut

Avez-vous dit XSS ? (Cross-site Scripting)

100px Johan Renaut Analyste en sécurité de l’information EGYDE Services & Conseils en sécurité de l’information

La faille dite de Cross-site scripting (XSS) est une faille web bien connue des pirates informatiques. Sur un site web vulnérable, elle permet d’y injecter du code malicieux qui sera exécuté à partir du navigateur des visiteurs, ou plutôt, des victimes…

Ces failles peuvent sembler bénignes de prime abord, mais lorsqu’elles sont exploitées malicieusement, elles deviennent un vecteur d’attaque puissant pour d’éventuels attaquants.

Cette présentation se veut une introduction aux différents types de failles XSS de base.

Nous couvrirons plusieurs sujets relatifs aux failles XSS: - Qu’est-ce que le XSS? - Pourquoi devons-nous nous en préoccuper? - Comment les découvrir - Comment les tester via des scénarios d’attaques classiques - Comment s’en prémunir

15 avril 2014 - Conférence - Patrick Leclerc

La sécurité applicative et le cycle de développement

100px Patrick Leclerc Architecte logiciel et sécurité applicative EGYDE Services & Conseils en sécurité de l’information

Encore de nos jours la majorité des applications Web comportent des vulnérabilités, ces dernières représentent plus souvent qu’autrement des risques dont les organisations ignorent encore l’existence. Certaines organisations croient qu’un simple balayage de vulnérabilités parfois accompagné d’un test d’intrusion sont les seuls moyens d’identifier les risques, mais encore faut-il les corriger après! S’il y a des coûts à prévenir et mitiger les risques, ils sont décuplés lorsque nous avons à les corriger!

Dans cette présentation, découvrez comment identifier et mitiger vos risques de sécurité en les prenant en charge tout au long du cycle de développement. Vous avez intérêts, puisque depuis quelques années déjà, Gartner identifiait que 75% des attaques étaient dirigées sur les applications Web. Plusieurs firmes ont fait les manchettes ces dernières années, n’attendez pas votre tour.

Présentation: http://www.slideshare.net/PatrickLeclerc/securite-applicative-et-sdlc-owasp-quebec-15-avril-2014-diffusion

19 février 2014 - Conférence - Eric Chartré

Développement d’une application sécurisée : étanchéité par le pipeline Web et le cadre d’application

100px Eric Chartré Spécialiste technique en architecture Web TELUS Communications inc.

Par le biais de techniques fort simples, l’application de règles applicatives centralisées très sévères et l’utilisation d’un cadre d’application (framework) approprié, il n’est pas utopique d’éliminer 100% des vulnérabilités d’une application Web et de son infrastructure sous-jacente. Mais, pour cela, l’application et son infrastructure doivent respecter un ensemble de conditions bien précises. Cette présentation très concrète fera un survol de la recette pour développer une application sécuritaire, même contre les erreurs des développeurs.

Cette présentation veut provoquer la discussion sur certaines pratiques de développement et d’implantation de sites Web. Présentation: http://prezi.com/ivp3kylabx32

2013 - Première rencontre des membres OWASP Quebec City

Voici le contenu de la rencontre de lancement: http://www.slideshare.net/PatrickLeclerc/premire-rencontre-dowasp-qubec

Conférence de Jim Manico au Hackfest 2012

Top Ten Web Defenses: We cannot hack or firewall our way secure. Application programmers need to learn to code in a secure fashion if we have any chance of providing organizations with proper defenses in the current threatscape. This talk will discuss the 10 most important security-centric computer programming techniques necessary to build low-risk web-based applications.

100px