Conférenciers 2012
Horaire 2012
Index des conférenciers
Index des workshops
Index des DJs
Slides not yet available
Dave Kennedy is the Chief Security Officer (CSO) for a Fortune 1000 company. Kennedy is the author of the book “Metasploit: The Penetration Testers Guide,” the creator of the Social-Engineer Toolkit (SET), and the creator of Fast-Track. Kennedy has presented on a number of occasions at Blackhat, Defcon, ShmooCon, BSIDES, Infosec World, Notacon, AIDE, Hashdays, Infosec Summit, and a number of other conferences. Kennedy is on the Back|Track and Exploit-DB development team and co-host of the Social-Engineer.org and ISDPodcast podcast. Kennedy is one of the co-authors of the Penetration Testing Execution Standard (PTES); a framework designed to fix the penetration testing industry. Kennedy is a co-founder of DerbyCon, a large-scale security conference in Louisville Kentucky. Kennedy is a co-founder of DerbyCon, a large-scale security conference in Louisville Kentucky. Kennedy <3's Python.
Breaking the Comfort Zone: Penetration Testing
Being creative is what we are all about as hackers. Going into different companies, we typically fall into the cycle of doing what we're comfortable with. OK - SQLi --> Gain access --> MS08-067 --> Domain Admin. Let's take a step back and look at coming out of the comfort zone, doing things we've never done before.. Finding that next great hack that changes the way we look at things and takes an incredible amount of time and persistence. Here are my war stories, new ways of getting creative and dirty during penetration testing. Way's that I've never done things before and trying something new each and every time. It's time to break the comfort zone and plunge into a new way of thinking.
No Slide available
Dave has over 15 years industry experience. He has extensive experience in IT operations and management. Currently, Dave works in information security for AMD. Dave is the founder of the popular security site Liquidmatrix Security Digest. Prior to his current role, Dave worked in the finance, healthcare, entertainment and critical infrastructure verticals. He has worked for a defense contractor as a security consultant to clients such as the FBI, US Navy, Social Security Administration, US Postal Service and the US Department of Defense to name a few. When not at work Dave can be found spending time with his family, playing bass guitar and polishing his “brick of enlightenment”.
War Stories: Lessons Learned From Falling On Swords
Description à venir
No slide available
Arrested by the RCMP in high school to becoming a CISO 15 years later - it doesn't get more lucky than me
They say luck is not just some random event - it's the intersection between opportunity and preparation. You could be prepared but never have an opportunity or you can have an opportunity and not be prepared.
For the first time ever, I will give you a behind-the-scenes look at how on one fateful day in May 1990, the RCMP raided my house and changed my life forever. Faced with multiple challenges ahead of me, I managed to navigate my way out of a negative situation to what would become a great career full of rewarding experiences in the business and security world.
With lots of opportunity, a little preparation and a positive attitude, I'll share the lessons I have learned throughout my journey over the last 20 years when it comes to the security industry.
Clicker ici pour télécharger la présentation
Marc-André Bélanger agît a titre d’analyste principal en sécurité et gestion des risques TI et ère principalement dans les enquêtes juridico-informatique et la gestion des incidents. Fan fini d’ethical hacking et titulaire d’une licence de pilote privé – avion, il détient les certifications CISSP, CEPT, CHFI, ECSA, C|EH et CPO.
Parallèle historique entre la sécurité privée et celle des TI
3300 ans d’évolution de la sécurité privée et 40 ans d’évolution de la sécurité TI.
Il existe d’étonnantes similitudes entre l’évolution des services de sécurité physique et ceux de protection dans le monde TI. La sécurité dit « physique » à évoluer sur des milliers d’années d’histoire. La sécurité TI, elle, n’a qu’une quarantaine d’années.
Certains incidents ont modifiés la perspective de protection et l’évolution de ceux-ci ont toujours été liée aux changements de besoins associés à ces incidents. De la protection des caves aux temps préhistoriques, les châteaux médiévaux, l’industrialisation et l’arrivée de la syndicalisation, les guerres et l’arrivée de l’ère de l’information numérique ont tous précédé un changement marqué dans l’avancement des services privés de protection. Sous ce parallèle historique, la sécurité de l’information aujourd’hui a la maturité qu’avaient les services de protection physique au temps du far-west.
Nous explorerons aussi, en maintenant le parallèle physique/information, la différence entre la sécurité et la sureté. Deux termes qui présentent des enjeux totalement différents, mais qui ne peuvent exister un sans l’autre. La présentation sera conclue avec une légère prise de conscience sur la loi 88 « Loi sur la sécurité privée » qui, bien que conçu pour la sécurité physique, devrait couvrir la sécurité de l’information.
Télécharger la présentation
Détection et exploitation d'implémentations de chiffrage et de hachage défectueuses en situation réelles.
La présentation portera sur des techniques intégrées de détections dynamique de données et jetons chiffrés ou hachés dans les plateformes applicative web ainsi qu'une revue des diverses techniques pour les briser. Nous cibleront en outre des schémas de chiffrement faible tel que XOR mais la présentation se concentrera principalement sur des techniques d'exploitation d'AES-CBC, AES-ECB, RSA, SHA1, HPP dans le cas de SSO et quelques autres attaques de "lenght-extension" contre les algorithmes de type Merkle–Damgård. Cette présentation sera bien évidemment loufoque et contiendra des éléments superflus de magie.
Clicker ici pour télécharger la présentation (Top Ten Defenses)
M. Manico is the VP of Security Architecture at WhiteHat Security. He has been an active member of OWASP since 2008. Is main passion is supporting projects that help developers write secure code. You can reach him on twitter @manicode or via @owasp_podcast for OWASP Podcast updates. I also manage the @owasp twitter feed.
- He is the founder, producer and host of the OWASP Podcast Series. As of May 2011 he have published 84 shows and have spent over 500 hours making the OWASP Podcast a reality. He is really grateful to my many guests who have made the show a success.
- He is also the chair of the OWASP Connections Committee where I manage the OWASP Blog, twitter feed and press communications for OWASP. He feel that these activities are directly inline with the OWASP core mission of spreading awareness.
- He is also spearheading several ESAPI-like projects that provide modular single-use controls for ease of use. He have only begun these efforts, but have started to manage the OWASP Encoder , the OWASP validator and the OWASP HTML Sanitizer project with a variety of very talented developers.
- He also have been a significant contributor and manager of the OWASP Cheatsheet Series. He have worked on the XSS, DOM XSS, SQL Injection, Cryptographic Storage, Forgot Password and other topics in this series.
Top Ten Web Defenses
We cannot hack or firewall our way secure. Application programmers need to learn to code in a secure fashion if we have any chance of providing organizations with proper defenses in the current threatscape. This talk will discuss the 10 most important security-centric computer programming techniques necessary to build low-risk web-based applications.
Télécharger la présentation
Nicolas Bouliane est un ancient consultant en système embarqué basé sur linux. Auteur du module GeoIP pour Netfilter. Il a travaillé en Inde en tant que responsable de la R&D pour l'entreprise de télécommunication Airjaldi, puis comme conseillé technologique en Afrique (Guinée). Dans le poste de CTO pour l'entreprise Mind4Networks il a développé un système de VPN p2p auto-provisioné. Il travaille présentement pour Avencall, une entreprise spécialisé en téléphonie IP, chez qui il implémente présentement le protocole SCCP «skinny call control protocol» dans Asterisk.
Télécommunication libre: sécurité et avancement
L'industrie des télécommunications a depuis ses débuts toujours eu un impact très fort tant au niveau social, culturel et économique. La radio et la télévision ont connu un engouement sans précédent et la quantité de gens qui en possède est phénoménal. L'arrivée du télégraphe et plus récemment du téléphone a complètement bouleversé la manière dont on communique. Aujourd'hui avec Internet, la planète tout entière est rejoignable en temps réel via un réseau sophistiqué de satellites et de fibres optiques. Malheureusement, ces technologies sont souvent contrôlées par une poignée d'entreprises privées. Il est difficile voir même impossible d'en étudier librement les rouages. Les protocoles sont fermés et la documentation inaccessible au public. L'industrie nous enferme donc dans des technologies propriétaires, et nous balise dans des offres de services restreintes. En contrôlant nos communications, les entreprises peuvent facilement nous espionner pour toute sorte de raisons commercial et politique et ainsi accumuler des tonnes d'informations sur notre vie privée. Heureusement, de plus en plus d'outils et de systèmes de télécommunication ouverts et libres voient le jour. Bien que des groupes de hackers s'attaquent au problème, serons nous en mesure de renverser le modèle actuel ?
Slides not yet available
Rafal Los, Chief Security Evangelist for Hewlett-Packard Software, combines nearly 15 years of subject-matter expertise in information security with a critical business risk management perspective. From technical research to building and implementing enterprise application security programs, Rafal has a track record with organizations of diverse sizes and verticals, and is a featured speaker at events around the globe, and has presented at events produced by OWASP, ISSA, Black Hat, and SANS among many others. He stays active in the community by writing, speaking and contributing research, representing HP in OWASP, the Cloud Security Alliance and other industry groups. His blog, Following the White Rabbit, with his unique perspective on security and risk management has amassed a following from his industry peers, business professionals, and even the media and can be found at http://hp.com/go/white-rabbit.
Prior to joining HP, Los defined what became the software security program and served as a regional security lead at a Global Fortune 100 contributing to the global organization's security and risk-management strategy internally and externally. Rafal prides himself on being able to add a 'tint of corporate realism' to information security.
Rafal received his B. S. in Computer Information Systems from Concordia University, River Forest, Ill.
House of cards - Preparing the unprepared enterprise (red teaming, testing defenses)
An unfortunate number of enterprises build their foundations on a false sense of security. They've implemented technical defensive measures, written policies, and have procedures for response - and they feel ‘secure’. The problem is - until they’ve actively tested these out in real-world scenarios much like disaster recovery drills, they have no idea how well-prepared they really are for when the worst strikes. As Information Security leaders often find themselves playing whack-a-mole with compliance, business requirements and resource challenges it can be easy to fall into a sense that everything is under control because on paper the security posture looks good - but how certain are you? Validating human and technical controls, policy elements and response procedures is vital to the prepared enterprise.
This talk will expose the audience to the issues of having unproven security and untested defenses in today’s threat landscape… and encourage CISOs to “break more” to provide their leadership with a better level of assurance of preparedness than they have today.
Télécharger la présentation
Benoît H Dicaire est un expert indépendant chez Dicaire Stratégies. Il accompagne les organisations confrontées à des décisions stratégiques difficiles.[see attached file: BHD debout.jpg]
Benoît est un expert en sécurité informationnelle et un conférencier pleinement bilingue. À titre de conseiller en gestion depuis plus de 25 ans, il a dirigé plus de 165 mandats de planification stratégique, d'élaboration de cadre de gouvernance et d'architecture en technologie de l'information pour le compte de 35 organisations.
Avant de mettre sur pied Dicaire Stratégie, il a assuré l’intérim de la sécurité pour IBM, la Sûreté du Québec et Transat. Dans son parcours, il a conçu des stratégies pour Alstom et TELUS, des agences du gouvernement canadien ainsi que des institutions financières. Benoît est à l’aise aussi bien dans une salle de serveurs que dans une salle de conférence. Il travaille en collaboration avec des cadres supérieurs et des spécialistes à l'opérationnalisation de stratégies.
La vigie 2.0 en sécurité de l'information
L'activité de vigie doit prendre le virage du numérique et être à l'affut des tendances et les grands évènements ayant un impact sur nos pratiques en sécurité.
La veille permet de tirer le meilleur parti des ressources d'information publiquement accessible afin d'améliorer la gouvernance de notre système de gestion de la sécurité de l’information (SGSI). L'internet possède une grande mémoire et il faut savoir l'utiliser à notre avantage!
La conférence identifie les leçons acquises lors de la vigie et partage avec vous les choses à faire et celle à évite.
WORKSHOP: La vigie 2.0 en sécurité de l'information
Vous avez participé à la conférence sur la Vigie 2.0 et vous désirez mettre en place votre "Personal Knowledge System"?
Venez me rejoindre avec votre ordinateur! Nous allons définir notre taxonomie et configurer notre système de veille en temps réel. Je vous recommande de créer des comptes sur Protopage.com, Evernote.com et Google Reader (i.e. un compte gmail) avant le début de l'atelier.
Slides not yet available
Ben Sapiro is the head of Security & Contingency for The Dominion, one of Canada’s oldest insurance companies. Prior to this role Ben worked as an independent consultant with Kinross Gold and other Canadian companies. Ben served as a research director at TELUS Security Labs and helped publish multiple studies on Canadian IT Security practices. Ben's is a regular contributor on the LiquidMatrix Security Digest and Podcast. In his spare time he likes to get into pointless arguments with telemarketers, banks and cable companies.
Fear, loathing & infosec in legal contracts
Security in IT projects starts well before the requirements and design stages of the SDLC. It starts when somebody decides to buy something, whether it’s software or services. This talk will cover the basics that infosec folk need to know about getting security into (vendor) contracts. Remember, if the vendor has no obligation to make it secure, they probably won’t.
Talk Outline:
- IANAL
- Why contracts matter to infosec people
- The contracting process (it’s a negotiation)
- Let’s revisit CIA
- Just because the other idiots signed this... (“we promise we’re secure”)
- Standards and policy bring clarity
- Audit rights, reality versus practice, and why they’re not enough (also, minimize your work)
- Buying stuff the secure way (or how to sandbag a vendor for weeks)
- Remember, it’s your (employers) money
- Drown them (aka negotiation tactics)
- Definitions (owning the contract)
- Force Majeure
- Commercially reasonable attempts at security (again with the definitions)
- Warranties, carve outs and exclusions
- You said it was secure, fix it!
- Your security policy as an addendum
- Proprietary documents as addendums (secret squirrel security)
- Notification of deficiencies or breaches
- Responsible disclosure vs. {intellectual property | confidentiality}
- RFPs - is that cool feature secure?
- That old warning about outsourcing security
- Always own process control
Présentation en attente
Dimitri a commencé à développer du code en C et Java pour des micro-serveurs Web embarqués (IPC@CHIP) en 1999 dans une start-up. L’éclatement de la « bulle Internet » en 2001 et les nouveaux enjeux TI l’on emmené à concevoir des architectures de sécurité réseaux, installer des coupe-feux, ainsi que de réaliser des mandats de consultation en sécurité des TI en France, Allemagne, Suisse et aux États-Unis. Après une mission en Haïti pour fiabiliser et sécuriser un réseau bancaire suite au séisme de 2010, Dimitri travaille maintenant comme Conseiller en stratégie et gouvernance de la sécurité dans le premier groupe financier coopératif au Canada.
Hacking : la revanche du hardware
Depuis quelques années nous assistons à une véritable renaissance des plateformes matérielles ouvertes et peu coûteuses. Cette conférence vous propose d'explorer le monde du hacking hardware et des plateformes portables, autonomes, peu coûteuses... et redoutablement efficaces !
PlugBot, NeoPwn, Raspberry Pi, Arduino, BeagleBoard, Pwnie Express, Ubertooth One, WiFi Pineapple, sont autant des jouets pour geeks et hackers que des plateformes de fabrication d’outils de sécurité spécialisés (tests d'intrusion, investigation, sensibilisation et recherche de vulnérabilités).
En plus de vous expliquer comment convertir un routeur wi-fi de poche en « Pirate Box », vous initier aux injecteurs USB Atmel 8-bits ou à la fabrication de votre Pwn Plug, des applications réelles et à valeur ajoutées dans un contexte professionnel vous seront présentées.
La présentation sera faite en 3 parties :
- Historique et exploration des différentes plateformes hardwares disponibles et des
projets de hacking actuels, - Les requis du hacking « hardware based » (énergie électrique, connectivité, intégration
des outils spécialisés, fiabilité, ergonomie), - Mise en contexte entreprise : possibilités d’utilisation à des fins professionnelles (Red
Teaming, Covert Penetration Testing, etc.).
Avertissement : il est possible que cette conférence vous donne des idées et l'envie de
développer vos propres outils de hacking hardware ou fasse naître plusieurs projets excitants !
Télécharger la présentation
Nadeem Douba - GWAPT, GPEN: Currently situated in the Ottawa (Ontario, Canada) valley, Nadeem provides technical security consulting services primarily to clients in the health, education, and public sectors. Nadeem has been involved within the security community for over 10 years and has frequently presented talks in his local ISSA chapter, and most recently at DEF CON 20 on the topics of Open Source Intelligence and mobile security. He is also an active member of the open source software community and has contributed to projects such as libnet, Backtrack, and Maltego.
Sploitego - Maltego's (Local) Partner in Crime
Have you ever wished for the power of Maltego when performing internal assessments? Ever hoped to map the internal network within seconds? Or that Maltego had a tad more aggression? Sploitego is the answer. In the presentation we'll show how we've carefully crafted several local transforms that gives Maltego the ooomph to operate nicely within internal networks. Can you say Metasploit integration? ARP spoofing? Passive fingerprinting? SNMP hunting? This all is Sploitego. But wait - there's more. Along the way we'll show you how to use our awesome Python framework that makes writing local transforms as easy as 'Hello World'.
Sploitego makes it easy to quickly develop, install, distribute, and maintain Maltego Local transforms. The framework comes with a rich set of auxiliary libraries to aid transform developers with integrating attack, reconnaissance, and post exploitation tools. It also provides a slew of web tools for interacting with public repositories.
Sploitego and its underlying Python framework is open source - yup - you can extend it to your heart's content. During the presentation we'll show the awesome power of the tool with live demos and scenarios as well as fun and laughter
No slides available
With over 33 years of experience, Michel is internationally recognized as one of our country’s foremost experts in international and national security and intelligence, and economic and industrial espionage. He began his career with the Royal Canadian Mounted Police (RCMP) before transferring to the Canadian Security and Intelligence Service (CSIS). He has performed duties as Criminal Investigator, as well as Intelligence Officer in both Counter Intelligence and Counter Terrorism. He has held several senior management positions, including amongst them Chief of the Strategic Analysis Unit, Asia/Pacific. During this assignment, his unit focused on issues of economic and industrial espionage against Canada, and the ramifications for Canadian society and its economy, leading to his team becoming rapidly recognized among international intelligence services for their expertise in that domain. Now in the private sector, Michel is in demand across all continents to perform Threat and Risk Assessments and security audits. He received a BA in International Relations from UQAM (Canada), and an MA in Social and Political Thought from the University of Sussex (England). Michel is the co-author of the books: « Nest of Spies: The Startling Truth About Foreign Agents at Work Within Canada’s Borders » published by Harper-Collins 2009 and “Ces espions venus d'ailleurs” published by Stanké 2009. He is currently working on two new books on espionage activities.
Cyber-Espionage: The Power and The Limits of Technology
With the end of the Cold War, we moved from a military to an economic confrontation. Information is the new gold. By every expert account, espionage activities have now increased to a level 10 times higher than what it was at the peak of nuclear tension. Countries and companies alike are now using cyber-espionage as a new tool to achieve their objectives. But they are not the only ones. Who are the other threat agents? What are they targeting? Only a good Threat and Risk Assessment (TRA) can help you identify them. But we’re all doing TRAs, right? So why are we still missing them? Is there a way to be more proactive, more accurate? This presentation will offer a very effective way to assess the value of your current TRAs and discover if your security specialists are giving you value or a ride for your money.
En attente de contenu
Hackfest, HackUS Hacker Jeopardy, GoSec, Amish Security, CISSP Groupies, Defcon, (In)secure Mag, ÉTS, PacketFence, Fingerbank et maintenant chez ESET. J'ai participé, présenté, travaillé ou contribué à plusieurs initiatives touchant de près ou de loin la sécurité informatique et ce n'est pas fini!
PANEL: Préparer le futur: État de la situation de l'enseignement de l'InfoSec au Québec
Un panel de plusieurs enseignants et professeurs d'établissements d'enseignement majeurs du Québec seront présents pour discuter de l'état de la situation de l'enseignement en sécurité informatique au Québec. Quelles sont les différentes approches des institutions? Comment faire pour rester à jour dans un domaine en constante évolution? Quels sont les besoins de l'industrie et de la recherche aujourd'hui et demain? Vous êtes invité à poser vos questions pour le panel à travers le lien suivant: http://goo.gl/mod/YujO
Panélistes:
Télécharger la présentation
Jean-Pier Talbot a travaillé en tant que consultant en TI, traitant quotidiennement avec les préoccupations de sécurité allant de très petites entreprises à des entreprises multinationales possédant plusieurs bureaux dans le monde. Il travaille maintenant en tant que représentant technique pour Watchguard afin d’aider ses partenaires et clients à répondre à leurs besoins et préoccupations en termes de sécurité.
Avez-vous déjà acheté un faux logiciel antivirus? Moi oui!
Joignez-vous à moi, Jean-Pier Talbot, représentant technique chez Watchguard, pour mieux comprendre le monde frauduleux des faux antivirus (fake-AV/Rogue-AV). Je partagerai mon expérience avec vous. Comment je me suis fait infecter, construire une fausse identité : nom, adresse, compagnie, courriel et téléphone pour l’achat du « logiciel antivirus », contacter leur support technique, essayer de revendre le produit frauduleux, tenter de me faire rembourser… le tout avec courriels, vidéos de captures d’écran et enregistrements téléphoniques à l’appui!
Télécharger la présentation
David Girard a commencé la programmation de logiciels en 1982 et ses premiers tests d'intrusions en 1986. Il a travaillé comme officier de sécurité d'une unité des Forces armées canadiennes jusqu'en 1993. En 1994, il débute une carrière de consultant en informatique où il participera à l’élaboration de plusieurs systèmes de sécurité (chiffrement, contrôle d’accès, journalisation et authentification). Durant ces années, il a travaillé en étroite collaboration avec différents corps policiers. En 1996 et 1997, il a évolué comme analyste-programmeur en modélisation mathématique (Radarsat, Small Sat et M-Sat) à l’Agence spatiale canadienne. Par la suite, il fonde en 2001, avec deux partenaires, Sécumetrix, une compagnie de biométrie/sécurité. De 2003 à 2009, il a été conseiller principal en sécurité de l'information au Technocentre national du Réseau de la santé et des services sociaux et coordonnateur du Centre de sécurité opérationnelle. Durant cette période il a agit comme officier de liaison entre le réseau de la santé et la Sûreté du Québec (SQ) pour les enquêtes dans le réseau de la santé. M. Girard est conseiller sénior en sécurité pour la firme Trend Micro depuis mai 2010. Pour terminer, M. Girard détient plusieurs certifications en sécurité et en Technologie de l’Information (CISSP, CWSP, CHFI, ISO 27001 ISMS PA, ITIL).
Workshop 60 minutes: Techniques de base pour l’analyse de code malicieux en entreprise.
Afin d’effectuer une meilleure gestion d’incident en cas d’infection, il parfois nécessaire pour un professionnel en sécurité de faire une analyse d’un exemplaire afin de connaitre ses canaux de distribution, de commandement, mais aussi ses fonctions (est-ce qu’il nous a volé des données?). Bien entendu, une entreprise peut se fier à des fournisseurs et utiliser des « sandbox » publics, mais il arrive un temps ou avoir son propre « sandbox » est nécessaire.
Dans ce court atelier, nous donnerons une recette pour créer un « sandbox » sécuritaire et une liste d’outils à inclure dans son « sandbox ». Ensuite, nous exécuterons un exemplaire de code malicieux et nous le suivrons et analyserons les données recueillies.
Aucun présentation disponible
Benoît H Dicaire est un expert indépendant chez Dicaire Stratégies. Il accompagne les organisations confrontées à des décisions stratégiques difficiles.
Benoît est un expert en sécurité informationnelle et un conférencier pleinement bilingue. À titre de conseiller en gestion depuis plus de 25 ans, il a dirigé plus de 165 mandats de planification stratégique, d'élaboration de cadre de gouvernance et d'architecture en technologie de l'information pour le compte de 35 organisations.
Avant de mettre sur pied Dicaire Stratégie, il a assuré l’intérim de la sécurité pour IBM, la Sûreté du Québec et Transat. Dans son parcours, il a conçu des stratégies pour Alstom et TELUS, des agences du gouvernement canadien ainsi que des institutions financières. Benoît est à l’aise aussi bien dans une salle de serveurs que dans une salle de conférence. Il travaille en collaboration avec des cadres supérieurs et des spécialistes à l'opérationnalisation de stratégies.
Workshop: La vigie 2.0 appliquée
Vous avez participé à la conférence sur la Vigie 2.0 et vous désirez mettre en place votre "Personal Knowledge System"?
Venez me rejoindre avec votre ordinateur! Nous allons définir notre taxonomie et configurer notre système de veille en temps réel.
Je vous recommande de créer des comptes sur Protopage.com, Evernote.com et Google Reader (i.e. un compte gmail) avant le début de l'atelier.
Présentation non disponible
Lt Jacques Ouellet est responsable du bureau de la surveillance technologique pour l’Est du Québec et il est membre de l’EIMSIG (Équipe intégrée contre les menaces à la sécurité gouvernementale). Cette équipe est composée de représentant de la Sûreté du Québec, du Ministère de la sécurité publique et du CERT/AQ et a pour rôle d’assurer le suivi des menaces contre le gouvernement et d’agir comme conseiller au Secrétariat du Conseil du Trésor.
Le printemps anonymous
Policier depuis 34 ans, il agit présentement comme responsable des équipes du crime technologique et de la surveillance électronique. Ce rôle l’a amené à agir au printemps 2012 comme officier de liaison entre les ministères et les organismes gouvernementaux, le privé et la Sûreté du Québec dans le cadre de ce qui fut appeler le Printemps Érable. Il agissait comme conseiller dans le cadre des enquêtes criminelles qui suivirent les attaques d’Anonymous.
Le Printemps 2012 fut ponctué d’événements marquants avec la crise étudiante. L’entrée en action des hacktivistes d’Anonymous a placé le gouvernement dans une position défensive jamais observée auparavant.
Le Lt Ouellet présentera un bref historique des événements, de leurs impacts et des conclusions qu’en a tiré le gouvernement suite aux attaques d’Anonymous.
Télécharger la présentation
Daniel Boteanu et Michaël Lahaye sont hackers professionnels chez OKIOK. Leur défi est trouver les failles des réseaux, applications Web, serveurs virtuelles, téléphones intelligents, etc., des systèmes informatiques des clients. Ils possèdent des diplômes universitaires ainsi qu’une série de certifications professionnelles.
Techniques d’intrusion physique
La conférence porte principalement sur les techniques d’intrusion physique à l’aide de l’utilisation l'appareil Proxmark III pour rentrer dans les bureaux ou même les centres de données. Nous couvrirons l’utilisation de base du Proxmark, la programmation des fonctions avancées et des techniques pour la retro-ingénierie des cartes actives. Les techniques d’ingénierie sociale dans le contexte d’intrusions physiques seront aussi discutées. Plusieurs cas vécus des tests d’intrusion physiques et d’hameçonnage seront illustrés tout au long de la présentation.
DJ Set DubStep, Electro House, PsyTrance, Downtempo, Electro Live Act, Downtempo Live Act... Non non ce n'est pas un festival, mais bel et bien le "one man army" PsychNerD de retour encore cette année pour la soirée de samedi lors du Hackfest CTF!
Télécharger la présentation
BYODeception
Ce speed talk de 20 minutes expose des situations réelles que j'ai vécu avec des gestionnaires voulant utiliser leurs tablettes en entreprise. Je ne parlerai pas de déploiement de BYOD ou MDM, mais plutôt des outils et techniques pour évaluer la sécurité d'une application mobile. Je vais décrire les vulnérabilités communes décrites dans le OWASP Top Ten Mobile, les échanges avec les développeurs, et finalement la production de code sécuritaire.
Ambient, lounge, chillout, upbeat, uplifting trance, psy-trance, goa, and more!! vous sera offert cette année pour la soirée de vendredi lors du Hackfest Cyberwar!