•  

Sessions at Application Security Forum - Western Switzerland on Wednesday 7th November Conférences

View as grid

Your current filters are…

  • Keynote: Gestion opérationnelle de la sécurité logicielle sur la plateforme Facebook par Alok Menghrajani

    At 9:15am to 10:05am, Wednesday 7th November

    Coverage slide deck

  • Initiation à la sécurité des Web Services

    by Sylvain Maret

    Avec l’expansion des services en lignes via le cloud ou tout simplement l’interconnexion des SI, le besoin d’exposer des services vers l’extérieur est croissant. Les WebServices sont une solution
    maintenant éprouvée depuis longtemps pour répondre à ce besoin.
    Que l’on utilise SOAP ou REST un problème se pose toujours : comment faire pour sécuriser l’accès à mon SI alors que j’en ouvre une porte en exposant mon métier ? Cette conférence tentera de répondre à ces questions en présentant des cas concrets d’implémentation.

    At 10:35am to 11:25am, Wednesday 7th November

    Coverage slide deck

  • Obfuscator, ou comment durcir un code source ou un binaire contre le reverse-engineering par Pascal Junod / Jean-Roland Schuler

    by Pascal Junod

    Le projet Obfuscator, mené conjointement par des équipes de l’HEIG-VD et de l’EIA-FR, vise à explorer des techniques de durcissement de logiciel, sous forme de code source ou d’exécutable, contre le reverse-engineering. Le but de cette présentation est de décrire les résultats obtenus. Cet exposé sera structurée en plusieurs parties:
    - Rapide présentation de la problématique de la sécurité du logiciel par rapport au reverse-engineering;
    - Description de quelques techniques d’obfuscation implémentées sous forme de “passes” pour le compilateur LLVM (substitution de code, injection de branchements factices, applatissement de code, …), et présentation des résultats obtenus ainsi que des difficultés rencontrées.
    - Présentation de quelques techniques d’obfuscation de binaires pour processeurs ARM. Méthodes d’insertions de code dans un fichier binaire au format ELF. Présentation de méthodes d’obfuscation sur processeur ARM avec leurs particularités d’implémentation.

    At 10:35am to 11:25am, Wednesday 7th November

    Coverage slide deck

  • Mimikatz par Benjamin Delpy

    by Benjamin Delpy

    Présentation de l’outil mimikatz et des techniques utilisées pour récupérer des données d’authentifications Windows (mots de passe, hashes, certificats, …)
    – Faiblesse des gestionnaires de sécurités TsPkg, WDigest, LiveSSP, Kerberos, MSV1_0, …
    – Secrets d’authentification Windows
    – CryptoAPI et CNG

    At 11:40am to 12:30pm, Wednesday 7th November

    Coverage slide deck

  • OWASP Top 10 Mobile, risques et solutions

    by Sebastien Gioria

    Présentation du projet autour des risques mobile de l’OWASP. Cette présentation s’attelera à présnter des risques génériques sur les différentes plateformes (IOS, Android, Windows, RIM, …) et n’est en aucun cas une présentation focus sur une plateforme.
    Il s’agira de la mise a jour de la présentation que j’ai pu effectuer à Confoo 2012.

    At 11:40am to 12:30pm, Wednesday 7th November

    Coverage slide deck

  • Les utilités d’un pare-feu applicatif Web (WAF)

    by Jonathan Marcil

    Vous hébergez des applications Web et votre défense se limite à un coupe-feu réseau. Cependant, une grande partie des attaques sont menées directement via le protocole HTTP et l’utilisation d’un coupe-feu traditionnel s’avère inutile.

    Le coupe-feu applicatif Web (Web Application Firewall, WAF) se veut une solution à cette problématique. La présentation, basée sur mon expérience des dernières années, fait le point sur les diverses utilités de cette technologie :
    Les choix d’implémentations. Les diverses modes de fonctionnements. L’importance et le choix des types de règles à implémenter. Rapports et collection des alertes. Méthodologie de développement de règles. Bonus: Contournement de règles et exceptions.

    Le logiciel Open Source ModSecurity sera utilisé comme exemple ainsi que les règles OWASP CRS. D’autres règles conçues pour la présentation seront aussi présentées dans le but de démontrer une utilisation sur mesure du WAF.

    At 2:00pm to 2:50pm, Wednesday 7th November

  • Opa: sécurité et utilisation sécurisée d’un framework Javascript pour entreprises par Alok Menghrajani

    Opa fait partie de la nouvelle génération de plates-formes libres de développement d’applications web, basées sur Javascript. Spécialement conçues pour répondre aux besoins des entreprises, Opa se démarque entre autres par une prise en charge intégrée de la sécurité de l’application.
    Cette session aura pour objectif de parcourir les différentes fonctions offertes par Opa et leur bénéfice pour l’entreprise.

    At 2:00pm to 2:50pm, Wednesday 7th November

    Coverage slide deck

  • Audit d’applications iOS par Julien Bachmann

    by Julien Bachmann

    La sécurité des applications mobiles devient de jour en jour un point plus préoccupant et ce n’est pas une idée sortie d’un Magic Quadrant Gartner, mais bien une réalité que nous pouvons voir lors de nos missions.

    Cette présentation a pour but de partager notre expérience sur le sujet des audits d’applications iOS. La première partie va consister en une revue rapide de l’architecture des terminaux iOS: processeurs ARM, simulateur et les modèles de distributions des applications. Bien entendu, comme il faut savoir quoi chercher avant d’étudier la façon de le faire, nous allons passer en revue les vulnérabilités impactant ce type d’applications.

    Suite à cette introduction, l’environnement à utiliser va être présenté. En effet, pour beaucoup, les plateformes OSX et iOS restent une boite noire et on peut se poser des questions telles que “puis-je utiliser le simulateur?” et “est-ce que Apple distribue des outils permettant de m’aider?”. En utilisant ces outils nous allons voir comment procéder à une récolte d’informations sur l’application, c’est à dire ses fichiers companions, les bundles, etc. Nous expliquerons également comment extraire les informations stockées dans le KeyChain, le magasin de secrets d’iOS.

    L’analyse de l’application elle-même ainsi que ses échanges avec des web-services sera ensuite abordée. Nous verrons comment procéder à une analyse statique et dynamique et tenterons de répondre aux questions telles que “comment extraire les définitions des classes?” et “mais où sont les xrefs?!”. La présentation finira sur une méthode d’instrumentation de processus, à l’aide d’un debugger ou du hooking de méthodes Objective-C, permettant de contourner des cas spécifiques comme celui où les communications ne peuvent pas être interceptées dû à une couche de chiffrement supplémentaire.

    At 3:20pm to 4:10pm, Wednesday 7th November

    Coverage slide deck

  • Sécurité des applications web, analyse technique vs. analyse contextuelle

    by mestrade

    La sécurité informatique et en particulier la sécurité des applications web est un sujet abordé le plus souvent par l’expertise technique.
    Cette expertise requise pour gérer au quotidien les menaces web est assez élevée et est souvent dispersée au sein de l’entreprise.
    Cependant, il existe au quotidien énormément de domaines dans lesquels la sécurité et l’analyse des risques ne repose pas sur cette expertise mais sur une analyse contextuelle.
    Nous verrons comment ce genre d’analyse peut s’adapter, via de nouveaux moteurs de détections d’intrusions, aux applications web et peut permettre d’analyser et comprendre une menace sans se baser sur des éléments techniques.

    At 3:20pm to 4:10pm, Wednesday 7th November

    Coverage slide deck

  • Analyse de la sécurité Dropbox par Nicolas Ruff / Florian Ledoux

    by newsoft

    Dropbox is an online file storage service with at least 50 million users as of October 2011 (source: Forbes). Company market value is estimated over $4 billion. Dropbox is now widely used by mobile workforces for sharing corporate data, as Dropbox started to provide a commercial “team” edition for storing up to 1TB of data “in the Cloud”.

    Dropbox is a mash-up of several Cloud services (including Amazon Storage), therefore Dropbox “externals” are relatively well-known.

    In this paper, we plan to expose Dropbox software internals, protocols, and even worse: security issues. Several alerts were raised in year 2011 (as related on Bruce Schneier’s blog), but nobody really took care to look “under the hood” as deep as we did.

    Dropbox users, as well as the forensics community, will benefit from this analysis.

    At 4:25pm to 5:15pm, Wednesday 7th November

    Coverage slide deck

  • Soirée Château

    Cette soirée est à destination de tous les participants du forum et conférenciers, également dans un but d’échange et de partage d’expérience en lien ou non avec le forum.
    La soirée aura lieu dès 19h30 repas à Yverdon-les-Bains
    Attention places limitées

    At 7:30pm to 11:30pm, Wednesday 7th November

    Coverage photo

Schedule incomplete?

Add a new session

Filter by Day

Filter by coverage