Conférences

Voici le descriptif des différentes conférences proposées le Mercredi 16 Octobre 2013 à Y-Parc.

Tarif Conférences : CHF 120
Tarif Pass Journée (AppSec Lab + Conférences) : CHF 150

GooglePlay
Keynote – Cyberdéfense(s) – Au-delà de la technique, quels défis pour demain par Gérald Vernez

cyber
Langage : fr
Les efforts de sécurité de chacun s’inscrivent dans un grand ensemble qui vise finalement à la sécurité collective, dans le cyberespace aussi. Il s’agira d’esquisser cette sorte de finalité vers laquelle tendent tous les acteurs de la cybersécurité / cyberdéfense, pour le bien commun (Etat) et des particuliers (individus et entreprises). A quoi faut-il s’attendre à l’avenir ? De quelle intensité pourraient être les crises dans le cyberespace ou à cause de lui ? Quel rôle pour l’armée ? Tels sont les défis que souhaite développer l’orateur.

C_1 - Cryptocat: récents défis en faisant la cryptographie plus facile à utiliser par Kobeissi Nadim

cryptocatLangage : Fr

La mission de Cryptocat pour faire les conversations cryptées accessible aux masses a été couronnée de succès – mais quels sont les dangers cryptographiques et les limitations techniques?

Avec plus que 65,000 utilisateurs réguliers, Cryptocat a réussi à rendre le chat crypté accessible à toute personne qui sait comment utiliser Facebook Chat ou Skype. Mais avec l’accessibilité, nous avons rencontré de nombreux problèmes de sécurité que nous avons besoin de répondre. Cette conférence traite de ces défis et pourquoi la poursuite des travaux sur Cryptocat est nécessaire, compte tenu d’eux.

C_2 – Critical Infrastructures in the Age of Cyber Insecurity par Andrea Zapparoli Manzoni

Cyber Security SCADA
Language: English

Threats, risks, actors, trends, attack techniques, defense issues and possible future scenarios for Critical Infrastructures in the age of cyber insecurity.

C_3 – CSRF and state mutation on GET requests par Alok Menghrajani

imagesLangage : Fr

CSRF is a web security flaw which has been around for a long time. A lot of the work has been focused on protection POST requests against malicous state mutation. In this talk, I will go over the often overlooked state mutation on GET requests problem. I will explain why web application end up having to mutate state on GET requests, what this implies in terms of CSRF and various ways to defend against this issue.

C_4 – Advances in secure (ASP).NET development – break the hackers’ spirit par Alexandre Herzog

dotnetLangage : Fr

The aim of this talk is to give the audience a full overview of the current and upcoming key points to respect in (ASP).NET development. The focus of the talk will mainly reside on ASP.NET web application while still being generalizable for the whole ASP.NET framework:
- Short introduction to .NET
- Features of .NET
- Overview of a few cryptographic keypoints of the framework
- Configuration of (ASP).NET applications
- Details about the configuration tree model
- Important points in configuration files
- Key security points of application lifecycle
- Development
- Third party component review
- Deployment
- Operations
- New cryptographic features of (ASP).NET 4.5
- General security advices for .NET applications

C_5 – Sécurité et extension d’infrastructure vers le cloud: retour d’expérience par Christophe Sahut

cloudSur fond d’affaire PRISM, lier les mots sécurité et cloud semble de prime abord osé, nous verrons pourquoi cela ne l’est pas forcément. Cette conférence présentera le retour d’expérience concret d’un grand compte sur l’intégration d’infrastructures cloud (IaaS, PaaS et SaaS) dans une architecture existante, ainsi que les différents mécanismes de sécurité qu’il est sage d’utiliser. Nous aborderons techniquement des sujets tels que l’interconnexion de datacenters, les Virtual Private Clouds, l’authentification forte, la segmentation, la défense périmétrique ou la fédération d’identités.

C_6 – Prévention et analyse de cyber attaques : Import-Module IncidentDetection par Julien Bachmann et Sylvain Pionchon

attackD’un coté nous avons les attaques avancées (ou pas), persistantes (ou pas) et de l’autre des administrateurs Windows. Cette présentation a pour but de fournir aux derniers une liste de points clefs leur permettant de détecter ces attaques et défendre leur infrastructure. Cette présentation suit les étapes qu’un attaquant pourrait suivre, à savoir, la prise d’empreintes, les tentatives d’accès, l’utilisation d’exploits et la post-exploitation avec exfiltration de données. Le tout en associant les points à surveiller pour chaque étapes. PowerShell étant voué à remplacer complétement les scripts bat et vbs, nous présenterons des scripts développés dans ce language pour la surveillance et défense d’un environnement Microsoft.

Note : Les scripts/outils seront mis à disposition à l’issue de la présentation.

C_7 – Quels sont les défis de la fédération d’identité dans le Cloud ? par Sebastien Bischof

identiteDe plus en plus d’organisations mettent en place un point d’accès unique pour l’accès à leurs portails web et à leurs applications internes. Un seul point d’accès est plus simple à gérer et sécuriser. Autre avantage pour la convivialité et la sécurité, les utilisateurs n’ont plus besoin de recourir aux post-its (habilement cachés sous leur clavier) pour se souvenir de leur (trop) nombreux mots de passe. Toutefois, avec l’essor des services dans le “cloud”, on voit de plus en plus d’applications être hébergées sur des serveurs distants, souvent pour ses propres applications, quelque fois par des partenaires ou simplement sur des plateformes de service type SalesForce. Et donc, retour à la case départ. Les développeurs doivent créer et maintenir du code SSO custom pour chaque application; les utilisateurs doivent réinvestir dans les postits (sauf si, consciencieux de réutiliser le même mot de passe partout, il préfère les exposer sur des plateformes non maitrisées); les help desks doivent intervenir sur de multiples systèmes avec des outils plus ou moins adaptés.

Pour unifier tous ces nouveaux fournisseurs d’identité et services, et permettre le SSO sur des plateformes de tiers, il faut relever de nouveaux défis et résoudre de nouveaux problèmes. Ainsi, si une entreprise veut implémenter le SSO dans un tel contexte, il est peu probable de trouver une solution du marché capable de couvrir tous les besoins. Très vite, on se heurte à la multiplicité et l’hétérogénéité des protocoles d’authentification et au manque de souplesse des solutions qui ciblent très souvent des cas d’utilisation trop particuliers. Il faut alors avoir recours à un panachage de solution. Mais pas n’importe comment! Non seulement, il faut que le panachage couvre l’ensemble des besoins mais aussi il faut que les fonctionnalités retenues puissent cohabiter, l’une avec l’autre, avec les applications et services à intégrer, et enfin, avec l’infrastructure et l’organisation de l’entreprise.

C_8 – Optimiser ses attaques Web avec Burp par Nicolas Grégoire

portswiggerBurpSuite est un proxy utilisé (entre autres) pour l’audit d’applications Web. Ce couteau suisse (sans jeu de mot) de l’interception, de la modification et du rejeu de trafic HTTP(S) est très puissant et peut être utilisée dans de nombreux scénarios. Plusieurs cas d’usages tirés de tests intrusifs récents seront présentés, illustrant un principe basique : l’humain identifie des motifs, fait des recoupements, conçoit des pistes d’attaque et configure son outil. Toute le reste (émission en masse de requêtes, stockage des résultats, accès graphique intuitif, classification et manipulation de données, …) est délégué à l’outil.

Contact et informations supplémentaires
Pour toute information supplémentaire concernant le Forum, merci de contacter directement le team d’organisation à l’adresse: 2013@appsec-forum.ch