Application Security Forum 2011 – Western Switzerland schedule

Thursday 27th October 2011

  • Harmonizing Identity and Privacy in Digital Identity and Authentication technologies

    by Simon Blanchet

    Sujet: Harmonizing Identity and Privacy in Digital Identity and Authentication technologies
    Thème : Digital Identity
    Niveau technique : 300
    Abstract : When we think about authentication and more specifically about strong authentication mechanisms based on cryptographic primitives, we first think about techniques generating non-repudiable identity proofs. It seems like the more “secure” an authentication scheme is, the less control the Subject have over its privacy using it. Facing the Security vs Privacy debate, we might be tempted to intuitively (but wrongly) assume that those concepts are diametrically opposed.
    In this talk, the presenter will introduce some concepts and associated techniques which
    could be leveraged to provide secure authentication without sacrificing privacy. This talk
    will first highlight the privacy side effects associated with the classical authentication
    schemes based on X.509 certificates before having a closer look at selective disclosure,
    ZKIP, Digital Credential and their implementations in the real world.

    At 2:10pm to 3:00pm, Thursday 27th October

    Coverage slide deck

Unscheduled

  • Audit d’applications PHP

    by Philippe Gamache

    Sujet : Audit statique PHP
    Abstract : Durant ce laboratoire, nous allons réaliser un audit sécurité d’une application Web en logiciel libre. L’objectif technique est de dresser un rapport complet, et d’assimiler toutes les phases du travail d’enquête : analyse boîte noire, analyse à code ouvert, analyse statique, recensement des vulnérabilités (XSS, injections, dévoilement, etc.), recommandations de renforcement, priorisation des tâches. Toutes les compétences seront mises à l’épreuve dans cet exercice complexe.
    Nous travaillerons sur une application réelle : (Application fournie par un participant, au préalable). Le laboratoire se terminera avec la remise du rapport aux auteurs de l’application pour qu’ils puissent avoir un regard extérieur sur le niveau de sécurité de l’application.

    Coverage link

  • Audit statique de code PHP

    by Philippe Gamache

    Sujet : Audit statique de code PHP
    Abstract : L’analyse de code PHP se fait le plus souvent manuellement : il faut lire le code pour le comprendre.
    L’analyse statique permet d’aller plus vite, et dans tous les recoins de l’application : elle travaille sans se lasser, exhaustivement, mais sous direction.
    Durant la session, nous mettrons en place un analyseur statique pour PHP, pour détecter automatiquement l’arbre des inclusions, les arguments jamais utilisés, les affectations de GPC, et produire un inventaire à la Prévert du code.

    Coverage link

  • CAS, OpenID, SAML : concepts, différences et exemples

    by Clément OUDOT

    Sujet : CAS, OpenID, SAML : concepts, différences et exemples
    Abstract : Avec la multiplication des applications Web, la question de l’authentification à ces applications est devenue primordiale. Pour simplifier la vie de l’utilisateur, le concept de SSO (Single Sign On) a été inventé. Dans ce domaine, plusieurs protocoles et standards existent, comme CAS, OpenID, Liberty Alliance, Shibboleth ou SAML.
    Quelles sont les différences ? Comment utiliser ces protocoles dans les applications ? Cette conférence tentera de répondre à ces questions en présentant des cas concrets d’implémentation.

    Coverage link

  • Comment centraliser ses logs ? Créer votre collecteur de logs et apprenez à parler à vos applications

    by Sébastien Pasche

    Sujet : Comment centraliser ses logs ? Créer votre collecteur de logs et apprenez à parler à vos applications.
    Abstract : Les besoins en termes de traçabilité, de monitoring, de suivi d’environnement de production et de compatibilité avec les standards actuels sont aujourd’hui de plus en plus présents et mis en avant dans la gouvernance d’entreprise. Beaucoup de ces besoins (mitigation des risques, traçabilité des activités, reporting IT, etc.) peuvent être techniquement, en partie ou complètement, traités à l’aide de la centralisation des traces d’informations.
    La centralisation des logs est donc un sujet d’actualité, mais son implémentation est souvent complexe comme par exemple :

    Difficultés dans la récolte des traces ;

    Traces indisponibles ;

    Méthode de rapatriement ;

    Compréhension des traces ;

    etc.

    Cette formation propose de réaliser de manière simple le processus de mise en place d’un collecteur de traces. Cette démarche permet de sensibiliser les personnes aux difficultés qui peuvent être rencontrées et comment les éviter.
    Via cette formation, vous serez capable de comprendre, générer, récolter, classifier des
    traces d’informations.
    La seconde partie de cette formation s’intéresse à la partie applicative de l’approche et vise à sensibiliser les développeurs afin de prendre en considération les aspects de logging pour que leurs applications s’intègrent plus facilement dans les politiques sécuritaires des entreprises.

    Coverage link

  • Comprendre les exigences PCI-DSS en terme de développement applicatif

  • Concevoir une application JAVA sécurisée grâce à l’OWASP ASVS

    by Sebastien Gioria

    Sujet : Concevoir une application JAVA sécurisée grâce à l’OWASP ASVS
    Abstract : L’OWASP Application Security Verification Standard(OWASP ASVS définit
    14 familles d’exigences fonctionnelles permettant de vérifier la
    sécurité d’une application Web. Nous utiliserons ce guide de l’OWASP
    pour concevoir l’application. Nous parcourrons l’ensemble des 14
    familles et verront comment concrètement coder les bonnes pratiques et
    surtout éviter les mauvaises pratiques de développements Java.
    Chacun des participants disposera d’un exemplaire de l’OWASP ASVS.

    Coverage link

  • Cyberguerre et Infrastructures critiques : Menaces & Risques

    Sujet: Cyberguerre et Infrastructures critiques : Menaces & Risques
    Thème : Intelligence
    Niveau technique : 100
    Abstract : Cibles potentielles de sabotages humains ou de vers informatiques sophistiqués comme Stuxnet, les systèmes de supervision et de contrôle (SCADA) propres aux infrastructures critiques ou vitales sont concernés par toute doctrine de cyberguerre.
    Cette présentation a pour but d’analyser le coût d’opportunité pour un assaillant entre les différents types d’attaques : modes opératoires, dégâts potentiels, traces laissées, ressources nécessaires. Elle propose aussi des méthodes générales de mitigation (facteur humain, prévention, politiques de sécurité, contrôle d’intégrité des codes, double-source, …)

  • Développement applicatif & sécurité: Menaces, bonnes pratiques, retour d’expérience

    Sujet : Développement applicatif & sécurité: Menaces, bonnes pratiques, retour d’expérience.
    Abstract :

    Développement applicatif: parent pauvre de la sécurité de l’information.

    Intégrer la sécurité dans le développement applicatif.

    Sécuriser un développement pour smartphone.

    Coverage link

  • Développement sécurisé d’applications pour terminaux iOS

    Sujet:
    Développement sécurisé d’applications pour terminaux iOS.

    Abstract:
    Le monde des smartphones a connu une forte croissance ces dernières années et ce notamment via l’iPhone et plus récemment l’iPad. Les utilisateurs y stockent une part de plus en plus importante de leur vie privée et le nombre d’applications est sans cesse croissant.

    Bien que le framework de développement et le langage Objective-C restreignent les actions du développeur, des erreurs peuvent produire des vulnérabilités. Cette formation a ainsi pour but de présenter les bonnes pratiques, coté sécurité, lors du développement d’applications pour la plateforme iOS. Les points suivants y sont couvert:
    * implémentation de protocoles
    * connexions sécurisées
    * stockage sécurisé des données
    * IPC
    * PUSH notifications
    * utilisation de contrôleur de navigation
    * vulnérabilités permettant l’exécution de code

    Connaissances techniques:
    Développement d’applications iOS.

    Coverage link

  • Développement sécurisé d’applications sur dispositifs mobiles

    Sujet : Développement sécurisé d’applications sur dispositifs mobiles
    Abstract : Suite à la démocratisation des technologies mobiles, de plus en plus de personnes utilisent un Smartphone ou une tablette pour accéder en tout temps à l’ensemble de leurs informations. Cela représente une excellente opportunité pour les entreprises qui fournissent des applications mobiles pour accéder à leurs services. Dans un premier temps, cet accès a souvent été limité à des données considérées comme non confidentielles. Puis, fort du succès de ces application et suivant leur stratégie mobile, plusieurs de ces entreprises souhaitent maintenant étendre l’accès à des données sensibles. Cependant, avant de développer une telle application, il est nécessaire de comprendre le fonctionnement d’un système d’exploitation mobile ainsi que les menaces et vulnérabilités potentielles pour déterminer les contre-mesures à implémenter.
    A cet effet, la présente conférence vise à réaliser une modélisation des menaces sur un système d’exploitation mobile et à décortiquer son fonctionnement. L’objectif est de mettre en évidence les parties critiques, telles que le stockage d’information, la gestion des identités numériques, les communications ainsi que les caches systèmes, pour présenter leurs vulnérabilités et limitations potentielles. Cela afin de mieux comprendre les risques liés à la mobilité et de concevoir des contre-mesures adaptées au niveau de sécurité souhaité.

    Coverage link

  • Embedded web applications: horror stories

    by newsoft - Nicolas Ruff

    Sujet : Embedded web applications : horror stories
    Abstract : Un retour d’expérience sur les pires audits d’applications Web – et en général il s’agit souvent d’applications embarquées (ou alors de SAP).

    Coverage link

  • Intégrer un système d’authentification forte (One Time Password) dans vos applications

    Sujet:
    Intégrer un système d’authentification forte (One Time Password) dans vos applications

    Abstract :
    La nécessité d’abandonner les phases d’authentification simple vers de l’authentification forte n’est plus à démontrer, cependant ce système d’authentification n’est pas pour autant aussi répandu qu’il ne le devrait. Les préjugés de la difficulté de mise en place d’un tel système peuvent représenter un frein à son déploiement.

    L’objectif de ce workshop est de démontrer qu’il peut être simple de mettre en place un système d’authentification forte sans pour autant avoir de grosses connaissances techniques. Cette démonstration sera effectuée à travers la réalisation de plusieurs ateliers, de différents niveaux, d’intégration de système d’authentification forte sur divers applications.

    A titre d’exemple :
    - Mise en place d’authentification par OTP pour ssh (par radius et pam)
    - Mise en place d’authentification par OTP pour PhpMyAdmin (modification de code php encadrée)
    - Gestion des utilisateurs dans le cas pratique d’un mini-serveur d’authentification en php (deux sujets de difficulté variable)
    - Autres : webmin, wordpress, …

    Connaissances techniques :
    aucune, à l’exception d’une familiarisation avec les commandes de base linux

    Matériel participants :
    Votre Laptop avec vmware et le JRE, Client SSH, SmartPhone en option (IPhone, Tablette, Android, etc.) – 1 Token Hardware par participant de type OTP Time Based (OATH-TOTP — Style C200 ) inclus dans le prix du Workshop.

  • L'importance du protocole HTTP dans les APT (Advanced Persistent Threat)

    Depuis plusieurs mois, les APT font la une de la presse spécialisée en sécurité. Les plus grands noms de l'industrie tombent les uns après les autres et voient leur données compromises et affichées au yeux de tous.
    Les APT ne sont pas nouvelles et représentent une intrusion calculée, orchestrée et avec un objectif bien plus ciblé que les attaques classiques. Nous verrons comment le Web et le protocole HTTP prennent une place importante dans la réalisation d'une APT, du début de l'intrusion, en passant par le maintient et l'évolution dans l'infrastructure pour finir par l'extraction des données.

  • Learn Crypto & PKI – 101

    by Sylvain Maret

    Sujet: Learn Crypto & PKI – 101 – A technology for protecting you digital asset
    And then design Security Solution

    Programme de la formation :
    - Les principes essentiels de la cryptographie
    - La cryptographie symétrique (AES, DES, etc)
    - La cryptographie asymétrique ou cryptographie à clef publique (RSA, DSA, etc.)
    - Fonction de hash (MD5, SHA, etc.)
    - Nombres aléatoires
    - Signature – Non répudiation
    - Notion de Trust
    - Les certificats numériques – PKI
    - C’est quoi un certificat ?
    - Norme X509
    - Architecture PKI (CA, RA, VA)
    - Validation des certificats (CRL, OCSP, etc.)
    - HSM, SmartCard, etc.
    - CP / CPS
    - Applications Cryptographiques
    - SSL/TLS
    - XML Signature
    - XML Encryption
    - Authentification forte OATH

  • Les limites de l’eBanking face à la menace des malwares

    by Sébastien Bischof

    Sujet : Explication de la menace « man-in-the-PC », de ses conséquences et des limites des solutions d’authentification et de signature de transactions.
    Abstract : La télévision suisse allemande SF1 a diffusé fin mai un reportage sur la sécurité de l’eBanking en Suisse.
    L’émission suit une équipe de l’ETH qui a obtenu l’autorisation d’un certain nombre de banques pour mettre leur site à l’étude.
    Après avoir admis qu’un PC peut être infecté par différents moyens (en réalité, 5% des PC testés le sont d’après Microsoft), l’équipe de chercheurs zurichois démontre alors les limites des solutions actuelles.
    Seule la banque qui a recours à la signature de chaque transaction échappe au constat. Nous reviendrons lors de notre présentation sur la nature de la menace.
    Tout d’abord, nous expliquerons comment les plus célèbres malwares, Zeus et SpyEye, arrivent à dépouiller leurs victimes sans que celles-ci ne puissent rien soupçonner. En passant, nous verrons aussi que les eBankings ne sont pas leurs seules cibles, loin s’en faut.
    Ensuite, nous commenterons les techniques les plus récentes qui permettent aux malwares d’échapper aux antivirus et antimalwares, pourtant sans cesse mis à jour. Nous vulgariserons les concepts qui se cachent derrière DKOM et Bootkit pour que chacun soit à même d’apprécier le danger.
    Pour terminer, nous nous demanderons, preuve à l’appui, si la signature de transaction peut effectivement lutter efficacement contre cette menace. En fait, lorsque les attaques sont habilement couplées à du social engineering, elles n’ont potentiellement plus aucune limite. Zeus l’a récemment prouvé en attaquant la validation de transaction par SMS et nous verrons que les mécanismes qui ont résisté aux tests de l’ETH y sont également
    sensibles.

    Coverage link

  • Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous ?

    by joel winteregg

    Sujet : Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous ?
    Abstract : Introduction des risques opérationnels au niveau applicatifs (quels sont-ils, d’où proviennent-ils), comment les traces d’audit permettent de mieux contrôler ces risques, quels sont les initiatives dans le domaine, présentation des initiatives de l’Open Group (XDAS,cf.http://xdas4j.codehaus.org/slides/XDAS_toronto.pdf) et du MITRE (CEE), comment utiliser ces standards aujourd’hui.

    Coverage link

  • Microsoft SDL dans un monde Java

    by Sebastien Gioria

    Sujet : Microsoft SDL dans un monde Java
    Abstract : Présentation de la méthode SDL de Microsoft,et d’une manière simple de pouvoir l’utiliser avec les outils qui vont bien
    dans une société développant en Java.
    Présentation de la SDL,de ses phases.
    Présentation des outils Java permettant de coller à la méthode Microsoft qui ne fournie, elle, que des outils autour du développement .NET/C#/C

    Coverage link

  • Microsoft SDL dans un monde Java

    by Sebastien Gioria

    Sujet : Microsoft SDL dans un monde Java
    Abstract : Présentation de la méthode SDL de Microsoft,et d’une manière simple de pouvoir l’utiliser avec les outils qui vont bien
    dans une société développant en Java.
    Présentation de la SDL,de ses phases.
    Présentation des outils Java permettant de coller à la méthode Microsoft qui ne fournie, elle, que des outils autour du développement .NET/C#/C

    Coverage link

  • Obfuscation Logicielle: Quid Novi ?

    by Pascal Junod

    Dans un premier temps, nous ferons un bref état de l'art dans le
    domaine des protections utiles contre le "reverse-engineering"
    logiciel, en quoi cela peut être utile, contre quel type
    d'adversaire, et à quel prix. Dans la seconde partie, nous
    présenterons le projet "Obfuscator", qui vise à incorporer des
    fonctionnalités d'obfuscation à la chaîne de compilation LLVM.

  • OWASP Entreprise Security API

    by Philippe Gamache

    Sujet : OWASP Entreprise Security API
    Abstract : OWASP Enterprise Security API aide les développeurs de logiciels à protéger leurs applications contre les erreurs de conception et de mise en oeuvre. Comme l’ESAPI est un API, il peut facilement être ajouté à des applications et des services pour se protéger des assaillants. Dans cette présentation, je vais présenter le projet et ses implantations.

    Coverage link

Schedule incomplete?

Add a new session

Filter by Day

Filter by coverage

Filter by Topic