Nicolas Hanteville (Devoteam) « Forensics Windows »edit: slidesPourquoi faire du Forensic : parce qu’on s’est fait pwner !!! L’objectif est alors simple, identifier le scénario d’intrusion et comprendre les actions de l’attaquant sur le système. Les sources d’investigations sont l’état instantanné, le système de fichier, la base de registres etc… La journalisation du système de fichier aide […]
Nicolas Grégoire (Agarri) « XML et sécurité »edit: slides@Agarri_FR Petit rappel sur les technologies XML et leur fonctionnement pour ceux qui ne connaissent pas, puis on va plonger dans le sujet. Le rendu fait par les navigateurs dépend fortement du namespace, ça permet par exemple d’étendre les fonctionnalités d’une balise donnée. Ainsi, il est possible d’intégrer un […]
Nicolas Viot (NGM Security) « Les injections No-SQL »edit:slidesLes bases de données NO-SQL regroupent toutes les BDD non relationelles, mongoDB, CouchDB, SimpleDB etc… Les grands acteurs du web travaillent sur le sujet et l’utilisent dans certains cas. Les avantages de ces technologies, c’est la suppression des contraintes d’intégrité qui permet le découpage des données avec une bonne […]
Laurent Butti (Orange Portals)edit:slides« Retour d’expérience sur les outils d’audit d’applications Web en boite noire » (une publication académique sur le sujet est disponible ici : http://www.cs.ucsb.edu/~adoupe/static/black-box-scanners-dimva2010.pdf ) Travaille à Orange Portail, qui fait des applications pour Orange.fr et qui héberge aussi les sites. Laurent à pour mission d’améliorer la sécurité dans le cycle de développement de […]
Table ronde Avec: Philippe Bernard (RSSI MBDA)Olivier Caleff (Fédération des Professionnels des Tests Intrusifs)Olivier Dembour (ARJEL)« Faut-il réglementer la prestation de services en sécurité ? » Philippe Bernard, le RSSI de la première présentationOlivier Dembour, évaluateur de l’ARJEL qui s’occupe du suivis des certifications des opérateurs de jeu. Olivier Caleff, dont la fédération à pour objectif de […]
Frédéric Connes (HSC) « Aspects juridiques des tests d’intrusion »edit: slidesSujet très intéressant et souvent négligé que le cadre juridique dans les audits. Qu’a-t-on le droit de faire dans le cadre d’un audit ? Limites légales, hébergement de l’application par un tiers, non respect du périmètre, constatation d’infraction, secret professionnel, etc. Le cadre juridique :Système de traitement […]
Thibault Koechlin (NBS) « Protection du site Charlie Hebdo par le logiciel NAXSI » Bon, la sécurité web, c’est super facile à exploiter, et les SQLi requièrent peut de compétences techniques. La tendance au « deface » et au « leaks » est en forte augmentation, mais ça reste la partie émergée de l’Iceberg. D’un coté on à des scanners de […]
Philippe Bernard (RSSI MBDA) « Le rôle de la prestation de services en sécurité » L’objectif d’un audit est de faire un point, un bilan, vérifier l’évolution (positive ou non) de son SI et s’en servir comme argument pour justifier des investissements dans tel ou tel projet afin de le sécuriser. Les RSSI sont souvent obligés de […]