Conférenciers 2012

Horaire 2012

Horaire disponible ici




Index des conférenciers

  • Dave Lewis, War Stories: Lessons Learned From Falling On Swords English talk
  • Nicolas Bouliane, Télécommunication libre: sécurité et avancement Conférence en français
  • Marc-André Bélanger, Parrallèle historique entre la sécurité privée et celle des TI Conférence en français
  • Gabriel Tremblay & Laurent Desaulniers, Détection et exploitation d'implémentations de chiffrage et de hachage défectueuses en situation réelles Conférence en français
  • Dave Kennedy, Breaking the Comfort Zone: Penetration Testing English talk
  • Rafal Los, House of cards - Preparing the unprepared enterprise (red teaming, testing defenses) English talk
  • Jim Manico, Top Ten Web Defenses English talk
  • Benoît H. Dicaire, La vigie en sécurité de l'informationConférence en français
  • Anonym Speaker, Arrested by the RCMP in high school to becoming a CISO 15 years later - it doesn't get more lucky than me EnglishFrench talk
  • Ben Sapiro, Fear, loathing & infosec in legal contracts English talk
  • Dimitri Souleliac, Hacking : la revanche du hardware Conférence en français
  • Nadeem Douba, Sploitego - Maltego's (Local) Partner in Crime English talk
  • Michel Juneau-Katsuya, Cyber-Espionage: The Power and The Limits of Technology English talk
  • PANEL par Olivier Bilodeau , Préparer le futur: État de la situation de l'enseignement de l'InfoSec au Québec Conférence en français
  • Jean-Pier Talbot, Avez-vous déjà acheté un faux logiciel antivirus? Moi oui! Conférence en français
  • Lieutenant Jacques Ouellet, Le printemps Anonymous Conférence en français
  • Daniel Buteanu & Michael Lahaye, Techniques d’intrusion physique Conférence en français
  • Benoît Guérette, BYODeception Conférence en français




  • Index des workshops

  • Benoît H. Dicaire, La vigie 2.0 appliquée Workshop en français
  • David Girard, Techniques de base pour l’analyse de code malicieux en entreprise. Workshop en français/anglais




  • Index des DJs

  • Psychnerd, DJ Set DubStep, Electro House, PsyTrance, Downtempo, Electro Live Act, Downtempo Live Act...and more!
  • DJ Fisher, Ambient, lounge, chillout, upbeat, uplifting trance, psy-trance, goa, and more!!




  • Dave Kennedy


    dave kennedy



    Slides not yet available


    Dave Kennedy is the Chief Security Officer (CSO) for a Fortune 1000 company. Kennedy is the author of the book “Metasploit: The Penetration Testers Guide,” the creator of the Social-Engineer Toolkit (SET), and the creator of Fast-Track. Kennedy has presented on a number of occasions at Blackhat, Defcon, ShmooCon, BSIDES, Infosec World, Notacon, AIDE, Hashdays, Infosec Summit, and a number of other conferences. Kennedy is on the Back|Track and Exploit-DB development team and co-host of the Social-Engineer.org and ISDPodcast podcast. Kennedy is one of the co-authors of the Penetration Testing Execution Standard (PTES); a framework designed to fix the penetration testing industry. Kennedy is a co-founder of DerbyCon, a large-scale security conference in Louisville Kentucky. Kennedy is a co-founder of DerbyCon, a large-scale security conference in Louisville Kentucky. Kennedy <3's Python.


    Breaking the Comfort Zone: Penetration Testing


    Being creative is what we are all about as hackers. Going into different companies, we typically fall into the cycle of doing what we're comfortable with. OK - SQLi --> Gain access --> MS08-067 --> Domain Admin. Let's take a step back and look at coming out of the comfort zone, doing things we've never done before.. Finding that next great hack that changes the way we look at things and takes an incredible amount of time and persistence. Here are my war stories, new ways of getting creative and dirty during penetration testing. Way's that I've never done things before and trying something new each and every time. It's time to break the comfort zone and plunge into a new way of thinking.





    Dave Lewis


    dave lewis



    No Slide available


    Dave has over 15 years industry experience. He has extensive experience in IT operations and management. Currently, Dave works in information security for AMD. Dave is the founder of the popular security site Liquidmatrix Security Digest. Prior to his current role, Dave worked in the finance, healthcare, entertainment and critical infrastructure verticals. He has worked for a defense contractor as a security consultant to clients such as the FBI, US Navy, Social Security Administration, US Postal Service and the US Department of Defense to name a few. When not at work Dave can be found spending time with his family, playing bass guitar and polishing his “brick of enlightenment”.


    War Stories: Lessons Learned From Falling On Swords


    Description à venir



    Anonym Speaker


    anon



    No slide available


    Arrested by the RCMP in high school to becoming a CISO 15 years later - it doesn't get more lucky than me
    They say luck is not just some random event - it's the intersection between opportunity and preparation. You could be prepared but never have an opportunity or you can have an opportunity and not be prepared.


    For the first time ever, I will give you a behind-the-scenes look at how on one fateful day in May 1990, the RCMP raided my house and changed my life forever. Faced with multiple challenges ahead of me, I managed to navigate my way out of a negative situation to what would become a great career full of rewarding experiences in the business and security world.


    With lots of opportunity, a little preparation and a positive attitude, I'll share the lessons I have learned throughout my journey over the last 20 years when it comes to the security industry.



    Marc-André Bélanger





    Clicker ici pour télécharger la présentation


    Marc-André Bélanger agît a titre d’analyste principal en sécurité et gestion des risques TI et ère principalement dans les enquêtes juridico-informatique et la gestion des incidents. Fan fini d’ethical hacking et titulaire d’une licence de pilote privé – avion, il détient les certifications CISSP, CEPT, CHFI, ECSA, C|EH et CPO.


    Parallèle historique entre la sécurité privée et celle des TI

    3300 ans d’évolution de la sécurité privée et 40 ans d’évolution de la sécurité TI.


    Il existe d’étonnantes similitudes entre l’évolution des services de sécurité physique et ceux de protection dans le monde TI. La sécurité dit « physique » à évoluer sur des milliers d’années d’histoire. La sécurité TI, elle, n’a qu’une quarantaine d’années.


    Certains incidents ont modifiés la perspective de protection et l’évolution de ceux-ci ont toujours été liée aux changements de besoins associés à ces incidents. De la protection des caves aux temps préhistoriques, les châteaux médiévaux, l’industrialisation et l’arrivée de la syndicalisation, les guerres et l’arrivée de l’ère de l’information numérique ont tous précédé un changement marqué dans l’avancement des services privés de protection. Sous ce parallèle historique, la sécurité de l’information aujourd’hui a la maturité qu’avaient les services de protection physique au temps du far-west.
    Nous explorerons aussi, en maintenant le parallèle physique/information, la différence entre la sécurité et la sureté. Deux termes qui présentent des enjeux totalement différents, mais qui ne peuvent exister un sans l’autre. La présentation sera conclue avec une légère prise de conscience sur la loi 88 « Loi sur la sécurité privée » qui, bien que conçu pour la sécurité physique, devrait couvrir la sécurité de l’information.



    Gabriel Tremblay & Laurent Desaulniers


    Temporaire



    Télécharger la présentation


    Détection et exploitation d'implémentations de chiffrage et de hachage défectueuses en situation réelles.


    La présentation portera sur des techniques intégrées de détections dynamique de données et jetons chiffrés ou hachés dans les plateformes applicative web ainsi qu'une revue des diverses techniques pour les briser. Nous cibleront en outre des schémas de chiffrement faible tel que XOR mais la présentation se concentrera principalement sur des techniques d'exploitation d'AES-CBC, AES-ECB, RSA, SHA1, HPP dans le cas de SSO et quelques autres attaques de "lenght-extension" contre les algorithmes de type Merkle–Damgård. Cette présentation sera bien évidemment loufoque et contiendra des éléments superflus de magie.



    Jim Manico


    JManico



    Clicker ici pour télécharger la présentation (Top Ten Defenses)


    M. Manico is the VP of Security Architecture at WhiteHat Security. He has been an active member of OWASP since 2008. Is main passion is supporting projects that help developers write secure code. You can reach him on twitter @manicode or via @owasp_podcast for OWASP Podcast updates. I also manage the @owasp twitter feed.

    • He is the founder, producer and host of the OWASP Podcast Series. As of May 2011 he have published 84 shows and have spent over 500 hours making the OWASP Podcast a reality. He is really grateful to my many guests who have made the show a success.
    • He is also the chair of the OWASP Connections Committee where I manage the OWASP Blog, twitter feed and press communications for OWASP. He feel that these activities are directly inline with the OWASP core mission of spreading awareness.
    • He is also spearheading several ESAPI-like projects that provide modular single-use controls for ease of use. He have only begun these efforts, but have started to manage the OWASP Encoder , the OWASP validator and the OWASP HTML Sanitizer project with a variety of very talented developers.
    • He also have been a significant contributor and manager of the OWASP Cheatsheet Series. He have worked on the XSS, DOM XSS, SQL Injection, Cryptographic Storage, Forgot Password and other topics in this series.




    Top Ten Web Defenses


    We cannot hack or firewall our way secure. Application programmers need to learn to code in a secure fashion if we have any chance of providing organizations with proper defenses in the current threatscape. This talk will discuss the 10 most important security-centric computer programming techniques necessary to build low-risk web-based applications.




    Nicolas Bouliane


    Nicolas B



    Télécharger la présentation


    Nicolas Bouliane est un ancient consultant en système embarqué basé sur linux. Auteur du module GeoIP pour Netfilter. Il a travaillé en Inde en tant que responsable de la R&D pour l'entreprise de télécommunication Airjaldi, puis comme conseillé technologique en Afrique (Guinée). Dans le poste de CTO pour l'entreprise Mind4Networks il a développé un système de VPN p2p auto-provisioné. Il travaille présentement pour Avencall, une entreprise spécialisé en téléphonie IP, chez qui il implémente présentement le protocole SCCP «skinny call control protocol» dans Asterisk.


    Télécommunication libre: sécurité et avancement


    L'industrie des télécommunications a depuis ses débuts toujours eu un impact très fort tant au niveau social, culturel et économique. La radio et la télévision ont connu un engouement sans précédent et la quantité de gens qui en possède est phénoménal. L'arrivée du télégraphe et plus récemment du téléphone a complètement bouleversé la manière dont on communique. Aujourd'hui avec Internet, la planète tout entière est rejoignable en temps réel via un réseau sophistiqué de satellites et de fibres optiques. Malheureusement, ces technologies sont souvent contrôlées par une poignée d'entreprises privées. Il est difficile voir même impossible d'en étudier librement les rouages. Les protocoles sont fermés et la documentation inaccessible au public. L'industrie nous enferme donc dans des technologies propriétaires, et nous balise dans des offres de services restreintes. En contrôlant nos communications, les entreprises peuvent facilement nous espionner pour toute sorte de raisons commercial et politique et ainsi accumuler des tonnes d'informations sur notre vie privée. Heureusement, de plus en plus d'outils et de systèmes de télécommunication ouverts et libres voient le jour. Bien que des groupes de hackers s'attaquent au problème, serons nous en mesure de renverser le modèle actuel ?



    Rafal Los


    Rafal Los



    Slides not yet available


    Rafal Los, Chief Security Evangelist for Hewlett-Packard Software, combines nearly 15 years of subject-matter expertise in information security with a critical business risk management perspective. From technical research to building and implementing enterprise application security programs, Rafal has a track record with organizations of diverse sizes and verticals, and is a featured speaker at events around the globe, and has presented at events produced by OWASP, ISSA, Black Hat, and SANS among many others. He stays active in the community by writing, speaking and contributing research, representing HP in OWASP, the Cloud Security Alliance and other industry groups. His blog, Following the White Rabbit, with his unique perspective on security and risk management has amassed a following from his industry peers, business professionals, and even the media and can be found at http://hp.com/go/white-rabbit.


    Prior to joining HP, Los defined what became the software security program and served as a regional security lead at a Global Fortune 100 contributing to the global organization's security and risk-management strategy internally and externally. Rafal prides himself on being able to add a 'tint of corporate realism' to information security.


    Rafal received his B. S. in Computer Information Systems from Concordia University, River Forest, Ill.


    House of cards - Preparing the unprepared enterprise (red teaming, testing defenses)


    An unfortunate number of enterprises build their foundations on a false sense of security. They've implemented technical defensive measures, written policies, and have procedures for response - and they feel ‘secure’. The problem is - until they’ve actively tested these out in real-world scenarios much like disaster recovery drills, they have no idea how well-prepared they really are for when the worst strikes. As Information Security leaders often find themselves playing whack-a-mole with compliance, business requirements and resource challenges it can be easy to fall into a sense that everything is under control because on paper the security posture looks good - but how certain are you? Validating human and technical controls, policy elements and response procedures is vital to the prepared enterprise.


    This talk will expose the audience to the issues of having unproven security and untested defenses in today’s threat landscape… and encourage CISOs to “break more” to provide their leadership with a better level of assurance of preparedness than they have today.



    Benoît H. Dicaire


    Benoit



    Télécharger la présentation


    Benoît H Dicaire est un expert indépendant chez Dicaire Stratégies. Il accompagne les organisations confrontées à des décisions stratégiques difficiles.[see attached file: BHD debout.jpg]


    Benoît est un expert en sécurité informationnelle et un conférencier pleinement bilingue. À titre de conseiller en gestion depuis plus de 25 ans, il a dirigé plus de 165 mandats de planification stratégique, d'élaboration de cadre de gouvernance et d'architecture en technologie de l'information pour le compte de 35 organisations.


    Avant de mettre sur pied Dicaire Stratégie, il a assuré l’intérim de la sécurité pour IBM, la Sûreté du Québec et Transat. Dans son parcours, il a conçu des stratégies pour Alstom et TELUS, des agences du gouvernement canadien ainsi que des institutions financières. Benoît est à l’aise aussi bien dans une salle de serveurs que dans une salle de conférence. Il travaille en collaboration avec des cadres supérieurs et des spécialistes à l'opérationnalisation de stratégies.


    La vigie 2.0 en sécurité de l'information


    L'activité de vigie doit prendre le virage du numérique et être à l'affut des tendances et les grands évènements ayant un impact sur nos pratiques en sécurité.


    La veille permet de tirer le meilleur parti des ressources d'information publiquement accessible afin d'améliorer la gouvernance de notre système de gestion de la sécurité de l’information (SGSI). L'internet possède une grande mémoire et il faut savoir l'utiliser à notre avantage!


    La conférence identifie les leçons acquises lors de la vigie et partage avec vous les choses à faire et celle à évite.



    WORKSHOP: La vigie 2.0 en sécurité de l'information


    Vous avez participé à la conférence sur la Vigie 2.0 et vous désirez mettre en place votre "Personal Knowledge System"?


    Venez me rejoindre avec votre ordinateur! Nous allons définir notre taxonomie et configurer notre système de veille en temps réel. Je vous recommande de créer des comptes sur Protopage.com, Evernote.com et Google Reader (i.e. un compte gmail) avant le début de l'atelier.



    Ben Sapiro


    BenSapiro



    Slides not yet available


    Ben Sapiro is the head of Security & Contingency for The Dominion, one of Canada’s oldest insurance companies. Prior to this role Ben worked as an independent consultant with Kinross Gold and other Canadian companies. Ben served as a research director at TELUS Security Labs and helped publish multiple studies on Canadian IT Security practices. Ben's is a regular contributor on the LiquidMatrix Security Digest and Podcast. In his spare time he likes to get into pointless arguments with telemarketers, banks and cable companies.


    Fear, loathing & infosec in legal contracts


    Security in IT projects starts well before the requirements and design stages of the SDLC. It starts when somebody decides to buy something, whether it’s software or services. This talk will cover the basics that infosec folk need to know about getting security into (vendor) contracts. Remember, if the vendor has no obligation to make it secure, they probably won’t.


    Talk Outline:

    • IANAL
    • Why contracts matter to infosec people
    • The contracting process (it’s a negotiation)
    • Let’s revisit CIA
    • Just because the other idiots signed this... (“we promise we’re secure”)
    • Standards and policy bring clarity
    • Audit rights, reality versus practice, and why they’re not enough (also, minimize your work)
    • Buying stuff the secure way (or how to sandbag a vendor for weeks)
    • Remember, it’s your (employers) money
    • Drown them (aka negotiation tactics)
    • Definitions (owning the contract)
    • Force Majeure
    • Commercially reasonable attempts at security (again with the definitions)
    • Warranties, carve outs and exclusions
    • You said it was secure, fix it!
    • Your security policy as an addendum
    • Proprietary documents as addendums (secret squirrel security)
    • Notification of deficiencies or breaches
    • Responsible disclosure vs. {intellectual property | confidentiality}
    • RFPs - is that cool feature secure?
    • That old warning about outsourcing security
    • Always own process control




    Dimitri Souleliac


    Dimitri Souleliac



    Présentation en attente


    Dimitri a commencé à développer du code en C et Java pour des micro-serveurs Web embarqués (IPC@CHIP) en 1999 dans une start-up. L’éclatement de la « bulle Internet » en 2001 et les nouveaux enjeux TI l’on emmené à concevoir des architectures de sécurité réseaux, installer des coupe-feux, ainsi que de réaliser des mandats de consultation en sécurité des TI en France, Allemagne, Suisse et aux États-Unis. Après une mission en Haïti pour fiabiliser et sécuriser un réseau bancaire suite au séisme de 2010, Dimitri travaille maintenant comme Conseiller en stratégie et gouvernance de la sécurité dans le premier groupe financier coopératif au Canada.


    Hacking : la revanche du hardware


    Depuis quelques années nous assistons à une véritable renaissance des plateformes matérielles ouvertes et peu coûteuses. Cette conférence vous propose d'explorer le monde du hacking hardware et des plateformes portables, autonomes, peu coûteuses... et redoutablement efficaces !


    PlugBot, NeoPwn, Raspberry Pi, Arduino, BeagleBoard, Pwnie Express, Ubertooth One, WiFi Pineapple, sont autant des jouets pour geeks et hackers que des plateformes de fabrication d’outils de sécurité spécialisés (tests d'intrusion, investigation, sensibilisation et recherche de vulnérabilités).


    En plus de vous expliquer comment convertir un routeur wi-fi de poche en « Pirate Box », vous initier aux injecteurs USB Atmel 8-bits ou à la fabrication de votre Pwn Plug, des applications réelles et à valeur ajoutées dans un contexte professionnel vous seront présentées.


    La présentation sera faite en 3 parties :

    • Historique et exploration des différentes plateformes hardwares disponibles et des
      projets de hacking actuels,
    • Les requis du hacking « hardware based » (énergie électrique, connectivité, intégration
      des outils spécialisés, fiabilité, ergonomie),
    • Mise en contexte entreprise : possibilités d’utilisation à des fins professionnelles (Red
      Teaming, Covert Penetration Testing, etc.).





    Avertissement : il est possible que cette conférence vous donne des idées et l'envie de
    développer vos propres outils de hacking hardware ou fasse naître plusieurs projets excitants !



    Nadeem Douba


    nadeem



    Télécharger la présentation


    Nadeem Douba - GWAPT, GPEN: Currently situated in the Ottawa (Ontario, Canada) valley, Nadeem provides technical security consulting services primarily to clients in the health, education, and public sectors. Nadeem has been involved within the security community for over 10 years and has frequently presented talks in his local ISSA chapter, and most recently at DEF CON 20 on the topics of Open Source Intelligence and mobile security. He is also an active member of the open source software community and has contributed to projects such as libnet, Backtrack, and Maltego.


    Sploitego - Maltego's (Local) Partner in Crime


    Have you ever wished for the power of Maltego when performing internal assessments? Ever hoped to map the internal network within seconds? Or that Maltego had a tad more aggression? Sploitego is the answer. In the presentation we'll show how we've carefully crafted several local transforms that gives Maltego the ooomph to operate nicely within internal networks. Can you say Metasploit integration? ARP spoofing? Passive fingerprinting? SNMP hunting? This all is Sploitego. But wait - there's more. Along the way we'll show you how to use our awesome Python framework that makes writing local transforms as easy as 'Hello World'.
     

    Sploitego makes it easy to quickly develop, install, distribute, and maintain Maltego Local transforms. The framework comes with a rich set of auxiliary libraries to aid transform developers with integrating attack, reconnaissance, and post exploitation tools. It also provides a slew of web tools for interacting with public repositories.
     

    Sploitego and its underlying Python framework is open source - yup - you can extend it to your heart's content. During the presentation we'll show the awesome power of the tool with live demos and scenarios as well as fun and laughter



    Michel Juneau-Katsuya


    nadeem



    No slides available


    With over 33 years of experience, Michel is internationally recognized as one of our country’s foremost experts in international and national security and intelligence, and economic and industrial espionage. He began his career with the Royal Canadian Mounted Police (RCMP) before transferring to the Canadian Security and Intelligence Service (CSIS). He has performed duties as Criminal Investigator, as well as Intelligence Officer in both Counter Intelligence and Counter Terrorism. He has held several senior management positions, including amongst them Chief of the Strategic Analysis Unit, Asia/Pacific. During this assignment, his unit focused on issues of economic and industrial espionage against Canada, and the ramifications for Canadian society and its economy, leading to his team becoming rapidly recognized among international intelligence services for their expertise in that domain. Now in the private sector, Michel is in demand across all continents to perform Threat and Risk Assessments and security audits. He received a BA in International Relations from UQAM (Canada), and an MA in Social and Political Thought from the University of Sussex (England). Michel is the co-author of the books: « Nest of Spies: The Startling Truth About Foreign Agents at Work Within Canada’s Borders » published by Harper-Collins 2009 and “Ces espions venus d'ailleurs” published by Stanké 2009. He is currently working on two new books on espionage activities.


    Cyber-Espionage: The Power and The Limits of Technology


    With the end of the Cold War, we moved from a military to an economic confrontation. Information is the new gold. By every expert account, espionage activities have now increased to a level 10 times higher than what it was at the peak of nuclear tension. Countries and companies alike are now using cyber-espionage as a new tool to achieve their objectives. But they are not the only ones. Who are the other threat agents? What are they targeting? Only a good Threat and Risk Assessment (TRA) can help you identify them. But we’re all doing TRAs, right? So why are we still missing them? Is there a way to be more proactive, more accurate? This presentation will offer a very effective way to assess the value of your current TRAs and discover if your security specialists are giving you value or a ride for your money.



    Olivier Bilodeau


    nadeem



    En attente de contenu


    Hackfest, HackUS Hacker Jeopardy, GoSec, Amish Security, CISSP Groupies, Defcon, (In)secure Mag, ÉTS, PacketFence, Fingerbank et maintenant chez ESET. J'ai participé, présenté, travaillé ou contribué à plusieurs initiatives touchant de près ou de loin la sécurité informatique et ce n'est pas fini!



    PANEL: Préparer le futur: État de la situation de l'enseignement de l'InfoSec au Québec


    Un panel de plusieurs enseignants et professeurs d'établissements d'enseignement majeurs du Québec seront présents pour discuter de l'état de la situation de l'enseignement en sécurité informatique au Québec. Quelles sont les différentes approches des institutions? Comment faire pour rester à jour dans un domaine en constante évolution? Quels sont les besoins de l'industrie et de la recherche aujourd'hui et demain? Vous êtes invité à poser vos questions pour le panel à travers le lien suivant: http://goo.gl/mod/YujO


    Panélistes:

  • Laurent Desaulniers, B. Ing., CISSP, CISM, CISA, OSCP, École de technologie supérieure (ÉTS)
  • José M. Fernandez, PhD, Ing., École Polytechnique de Montréal
  • François Gagnon, PhD, Cégep Sainte-Foy
  • Nadia Tawbi, PhD, Ing., Université Laval



  • Jean-Pier Talbot


    watchguard



    Télécharger la présentation


    Jean-Pier Talbot a travaillé en tant que consultant en TI, traitant quotidiennement avec les préoccupations de sécurité allant de très petites entreprises à des entreprises multinationales possédant plusieurs bureaux dans le monde. Il travaille maintenant en tant que représentant technique pour Watchguard afin d’aider ses partenaires et clients à répondre à leurs besoins et préoccupations en termes de sécurité.


    Avez-vous déjà acheté un faux logiciel antivirus? Moi oui!


    Joignez-vous à moi, Jean-Pier Talbot, représentant technique chez Watchguard, pour mieux comprendre le monde frauduleux des faux antivirus (fake-AV/Rogue-AV). Je partagerai mon expérience avec vous. Comment je me suis fait infecter, construire une fausse identité : nom, adresse, compagnie, courriel et téléphone pour l’achat du « logiciel antivirus », contacter leur support technique, essayer de revendre le produit frauduleux, tenter de me faire rembourser… le tout avec courriels, vidéos de captures d’écran et enregistrements téléphoniques à l’appui!



    David Girard


    malware



    Télécharger la présentation


    David Girard a commencé la programmation de logiciels en 1982 et ses premiers tests d'intrusions en 1986. Il a travaillé comme officier de sécurité d'une unité des Forces armées canadiennes jusqu'en 1993. En 1994, il débute une carrière de consultant en informatique où il participera à l’élaboration de plusieurs systèmes de sécurité (chiffrement, contrôle d’accès, journalisation et authentification). Durant ces années, il a travaillé en étroite collaboration avec différents corps policiers. En 1996 et 1997, il a évolué comme analyste-programmeur en modélisation mathématique (Radarsat, Small Sat et M-Sat) à l’Agence spatiale canadienne. Par la suite, il fonde en 2001, avec deux partenaires, Sécumetrix, une compagnie de biométrie/sécurité. De 2003 à 2009, il a été conseiller principal en sécurité de l'information au Technocentre national du Réseau de la santé et des services sociaux et coordonnateur du Centre de sécurité opérationnelle. Durant cette période il a agit comme officier de liaison entre le réseau de la santé et la Sûreté du Québec (SQ) pour les enquêtes dans le réseau de la santé. M. Girard est conseiller sénior en sécurité pour la firme Trend Micro depuis mai 2010. Pour terminer, M. Girard détient plusieurs certifications en sécurité et en Technologie de l’Information (CISSP, CWSP, CHFI, ISO 27001 ISMS PA, ITIL).


    Workshop 60 minutes: Techniques de base pour l’analyse de code malicieux en entreprise.


    Afin d’effectuer une meilleure gestion d’incident en cas d’infection, il parfois nécessaire pour un professionnel en sécurité de faire une analyse d’un exemplaire afin de connaitre ses canaux de distribution, de commandement, mais aussi ses fonctions (est-ce qu’il nous a volé des données?). Bien entendu, une entreprise peut se fier à des fournisseurs et utiliser des « sandbox » publics, mais il arrive un temps ou avoir son propre « sandbox » est nécessaire.


    Dans ce court atelier, nous donnerons une recette pour créer un « sandbox » sécuritaire et une liste d’outils à inclure dans son « sandbox ». Ensuite, nous exécuterons un exemplaire de code malicieux et nous le suivrons et analyserons les données recueillies.



    Benoît H Dicaire


    vigie



    Aucun présentation disponible


    Benoît H Dicaire est un expert indépendant chez Dicaire Stratégies. Il accompagne les organisations confrontées à des décisions stratégiques difficiles.


    Benoît est un expert en sécurité informationnelle et un conférencier pleinement bilingue. À titre de conseiller en gestion depuis plus de 25 ans, il a dirigé plus de 165 mandats de planification stratégique, d'élaboration de cadre de gouvernance et d'architecture en technologie de l'information pour le compte de 35 organisations.


    Avant de mettre sur pied Dicaire Stratégie, il a assuré l’intérim de la sécurité pour IBM, la Sûreté du Québec et Transat. Dans son parcours, il a conçu des stratégies pour Alstom et TELUS, des agences du gouvernement canadien ainsi que des institutions financières. Benoît est à l’aise aussi bien dans une salle de serveurs que dans une salle de conférence. Il travaille en collaboration avec des cadres supérieurs et des spécialistes à l'opérationnalisation de stratégies.


    Workshop: La vigie 2.0 appliquée


    Vous avez participé à la conférence sur la Vigie 2.0 et vous désirez mettre en place votre "Personal Knowledge System"?


    Venez me rejoindre avec votre ordinateur! Nous allons définir notre taxonomie et configurer notre système de veille en temps réel.
    Je vous recommande de créer des comptes sur Protopage.com, Evernote.com et Google Reader (i.e. un compte gmail) avant le début de l'atelier.



    Lt Jacques Ouellet


    Lt Jacques Ouellet



    Présentation non disponible


    Lt Jacques Ouellet est responsable du bureau de la surveillance technologique pour l’Est du Québec et il est membre de l’EIMSIG (Équipe intégrée contre les menaces à la sécurité gouvernementale). Cette équipe est composée de représentant de la Sûreté du Québec, du Ministère de la sécurité publique et du CERT/AQ et a pour rôle d’assurer le suivi des menaces contre le gouvernement et d’agir comme conseiller au Secrétariat du Conseil du Trésor.


    Le printemps anonymous


    Policier depuis 34 ans, il agit présentement comme responsable des équipes du crime technologique et de la surveillance électronique. Ce rôle l’a amené à agir au printemps 2012 comme officier de liaison entre les ministères et les organismes gouvernementaux, le privé et la Sûreté du Québec dans le cadre de ce qui fut appeler le Printemps Érable. Il agissait comme conseiller dans le cadre des enquêtes criminelles qui suivirent les attaques d’Anonymous.



    Le Printemps 2012 fut ponctué d’événements marquants avec la crise étudiante. L’entrée en action des hacktivistes d’Anonymous a placé le gouvernement dans une position défensive jamais observée auparavant.


    Le Lt Ouellet présentera un bref historique des événements, de leurs impacts et des conclusions qu’en a tiré le gouvernement suite aux attaques d’Anonymous.



    Daniel Buteanu & Michael Lahaye


    db



    ml



    Télécharger la présentation


    Daniel Boteanu et Michaël Lahaye sont hackers professionnels chez OKIOK. Leur défi est trouver les failles des réseaux, applications Web, serveurs virtuelles, téléphones intelligents, etc., des systèmes informatiques des clients. Ils possèdent des diplômes universitaires ainsi qu’une série de certifications professionnelles.


    Techniques d’intrusion physique


    La conférence porte principalement sur les techniques d’intrusion physique à l’aide de l’utilisation l'appareil Proxmark III pour rentrer dans les bureaux ou même les centres de données. Nous couvrirons l’utilisation de base du Proxmark, la programmation des fonctions avancées et des techniques pour la retro-ingénierie des cartes actives. Les techniques d’ingénierie sociale dans le contexte d’intrusions physiques seront aussi discutées. Plusieurs cas vécus des tests d’intrusion physiques et d’hameçonnage seront illustrés tout au long de la présentation.



    Psychnerd


    psy

    Psychnerd electronic music night


    DJ Set DubStep, Electro House, PsyTrance, Downtempo, Electro Live Act, Downtempo Live Act... Non non ce n'est pas un festival, mais bel et bien le "one man army" PsychNerD de retour encore cette année pour la soirée de samedi lors du Hackfest CTF!



    Benoît Guérette


    benoit



    Télécharger la présentation


    BYODeception


    Ce speed talk de 20 minutes expose des situations réelles que j'ai vécu avec des gestionnaires voulant utiliser leurs tablettes en entreprise. Je ne parlerai pas de déploiement de BYOD ou MDM, mais plutôt des outils et techniques pour évaluer la sécurité d'une application mobile. Je vais décrire les vulnérabilités communes décrites dans le OWASP Top Ten Mobile, les échanges avec les développeurs, et finalement la production de code sécuritaire.



    DJ Fisher


    fisher

    DJ Fisher electronic music night


    Ambient, lounge, chillout, upbeat, uplifting trance, psy-trance, goa, and more!! vous sera offert cette année pour la soirée de vendredi lors du Hackfest Cyberwar!