vendredi 1 novembre 2013

Advens lance, l'Application Security Academy, une série de webinar sur la sécurité des applications

Le Saviez-Vous ?

  • 99% des applications web sont vulnérables ¹
  • 1 application contient 13 failles en moyenne ¹
  • 3,61$ par ligne de code, c'est le coût de la non-qualité / sécurité dans un développement ²

Il devient critique de s'occuper de la sécurité des applications.

qu'elles soient web, mobiles, industrielles ou embarquées dans des objets connectés.
 
C’est pourquoi nous lançons l’ Application Security Academy, une série de webinars où nous réunirons des retours d’expérience, des experts, des bonnes pratiques et des méthodologies pour vous aider à protéger vos applications contre les menaces.

Saison 1 : 5 Séminaires Web de 30 minutes

Exclusivement dédiée aux professionnels du numérique ou de la sécurité et aux développeurs, la saison 1 vous propose 5 épisodes de 30 mn chacun :
Episode 1: Sécurité des applications : état des menaces, état de l’art – 25 octobre à 11h00. Détails et inscription
Episode 2: Sécurité des applications mobiles – 8 novembre à 11h00. Détails et inscription
Episode 3 : Protection des services en ligne – 15 novembre à 11h00. Détails et inscription
Episode 4 : Sécurité des applications dans le Cloud – 29 novembre à 11h00. Détails et inscription
Episode 5 : Panorama des technologies de sécurisation – 10 décembre à 11h00. Détails et inscription
Réservez votre place dès maintenant à 1, 2 ou toutes les sessions qui vous intéressent et rejoignez l' Application SecurityAcademy qui réunit ceux qui veulent tirer profit de la révolution numérique.

¹ Rapport Cenzic 2013
² Cast Software crash reports

mardi 27 août 2013

Meeting OWASP France de Septembre 2013

Le prochain meeting OWASP France aura lieu chez Mozilla Paris. le 16
Septembre 2013 à partir de 17h.

Le Sujet : Firefox OS Security

Le Speaker: Paul Theriault, Mozilla Corporation
Abstract: Paul Theriault, the Firefox OS lead for Mozilla's Security
Assurance team will provide an overview of the security model for
Firefox OS and the design considerations in building a mobile
operating sytem with browser technologies.

Enregistrement nécessaire ici :  https://www.eventbrite.ca/event/8010729307


Le talk sera en anglais. C'est aussi l'occasion de rencontrer
différents acteurs de l'OWASP (tous membre de Mozilla aussi) ; a
priori , sont prévus :

* Michael Coates - Board member & Chair
* Yvan Boily  - OWASP Vancouver chapter lead
* Mark Goodwin - OWASP East Midlands chapter lead
* Raymond Forbes - OWASP Seattle Chapter lead
* Simon Bennetts - OWASP ZAP project lead


mercredi 31 juillet 2013

De la sécurité dans l'agilité du dévelopement

Actuellement, la grande mode dans le monde du développement c'est de dire que tout est fait en mode cycle Agile (RAD, Extreme Programming, SCRUM, ...) plutôt qu'en bon vieux cycle en V (j'ai jamais dit que c'etait mieux....)

L'avantage évoqué par beaucoup d'architectes/CDP,  de l'utilisation de ces méthodes est de pouvoir répondre plus vite au besoin , de corriger vite et de produire donc plus rapidement des choses qui tiennent la route.

Et bien sur, de faire plus facilement l'impasse sur la sécurité ! Et bien, oui, déja que dans les cycles itératifs classiques on oublie les taches sécurité, en méthode agile on a tendance a entendre  :

1/ On va trop vite et on y pense pas
2/ On sait pas comment s'y prendre, les différentes méthodes de développement sécurisé classiques ne sont pas adaptés (facile cette dernière....).
3/ On a pas les compétences,
4/ On s'en fout,
....

Bref, passons toutes ces excuses, pour n'en retenir qu'une seule, la numéro 2 . Et bien Messieurs (et Dames si il y en a ici), sur cette excuse, vous avez tout faux !

Il existe donc (au moins ces deux la)  Microsoft SDL for Agile !

et surtout a mon sens l'excellent document du SAFECODE : Practial Security Stories and Security Tasks for Agile Developement Environnements.

J'aime bien cette dernière approche du SAFECODE qui est assez détaillée et technique pour permettre une implémentation dans un projet de manière assez simple, tout en ayant des métriques et des directives très simples pour les différentes populations.



mardi 30 juillet 2013

Automatiser les tests sécurité lors de la phase de dévelopement

Lors de Confoo 2013, j'ai effectué une présentation permettant de montrer qu'a l'aide de quelques outils simples :



et open source (ou presque), il était possible de facilement automatiser sa phase de tests sécurité. On ne parle ici que des tests de type Tests de vulnérabilités, on ne parle pas du coté revue de code source ;pour la simple bonne raison qu'il n'y a pas réellement d'outils open-source assez avancés a mon sens pour couvrir le sujet (si vous pensez le contraire, je veux bien des pointeurs)

L'équipe de Mozilla, a publié récemment un nouvel outil (Minion) intégrant d'autres outils de sécurité (dont OWASP Zap Proxy ), permettant aussi d'aller plus loin.

Ce que je trouve dommage dans cet approche, c'est qu'une fois encore la sécurité n'est pas prise en compte comme un élément standard de la phase de développement. En effet, la majorité des gros projets de développement sont presque tous dans un principe d'intégration continue et de build régulier. Or Une fois encore, l'outil se démarque comme un outil externe, disposant de sa propre manière de configuration etc...etc.. Au lieu directement de fournir un outil allant s'intégrer avec Jenkins et les outils classiques de bugtracker.

Néanmoins, l'approche est tout aussi intéressante, et je vous encourage a regarder comment l'intégrer dans vos différents cycles/Outils (voir d'écrire un plugins Jenkins ;)


vendredi 5 avril 2013

HTML5 et la Sécurité - un point d'étape

Les slides de ma présentation sur l'état (en partie) de la norme HTML5 et la sécurité sont publiés sur mon SlideShare.

L'idée de cette présentation n'était que de faire un premier tout d'horizon sur le sujet. Elle ne se veut pas exhaustive (en 45mns le temps manque). De même, le standard change et donc certains points sont en cours de modification/correction/amélioration.




dimanche 3 mars 2013

Confoo 2013

Comme les années précédentes nous avons été @starbuck3000 sélectionnés comme speakers à la conférence Confoo.

Confoo est une conférence à destination majoritairement d une population de développeurs Web. Pour cela les différentes communautés de Montréal se sont regroupées en association pour monter cette conférence.

Le chapitre Montréalais de l'OWASP faisait donc partie cette année encore des partenaires et son leader Jonathan MARCIL avait prévu diffèrents Talks ainsi qu un meeting spécifique de l'OWASP Montréal qu il a broadcaster en live sur YouTube.

En soi, confoo est une conférence atypique pour la sécurité car on y rencontre pas des gens ayant forcément des très grosses compétences en sécurité. Lors de les deux talks, j ai pu voir que peu de personnes connaissaient l'OWASP et le Top10(pourra avoir demander que cela.), c est pour cela que je pense que l'OWASP ne doit pas se cantonner à aller/obtenir des Talks dans des conférences sécurité.

Il faut que chaque leader aillent dans les conférences développeurs ou apparentées développeur pour "vendre" OWASP. Je le pensais l an dernier déjà, mais cette année à été réellement un déclencheur pour la vision . L'OWASP doit arrêter de vendre aux spécialistes de la sécurité ses guides/méthodes etc....

Il devient urgent d aller dans les conférences de développeurs, utilisateurs!!

Sinon mes slides sont en lignes sur mon slideshare.

Ainsi que le meeting fait à OWASP Montréal sur YouTube

Je remercie Anna, Yann, Jonathan et toute l équipe de Confoo pour l organisation de cette année qui n a, encore une fois, pas failli.

 

mardi 29 janvier 2013

1er Meeting OWASP France de 2013 - 7 Février 2013


Bonjour à tous,

Le premier meeting 2013 du Chapitre OWASP France se tiendra le Jeudi 7 février à 18h30.
Ce sera pour nous l'opportunité de vous présenter les sujets suivants
  • Update sur les Projets OWASP, Ludovic
  • Evolution du Cadre Légal - Developers, Software makers held liable for code? Ludovic
  • Sécurité des Applications & Responsabilité d'entreprise, Thiébaut Devergranne
  • Présentation de l'OWASP France Day que  nous souhaitons organiser en mars, Ludovic & Sébastien (Line-up de speakers de premier ordre. Le programme de cet OWASP France Day va vous plaire!)
Pour nous accompagner lors de ce meeting, Thiébaut Devergranne, docteur en droit et consultant. Thiébaut  travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passés au sein des services du Premier Ministre. http://www.donneespersonnelles.fr
Le meeting aura lieu dans les locaux de Gemalto, membre Corporate de l'OWASP, à l’adresse suivante :
Gemalto - Salle Plazza
6 rue de la Verrerie
92197 Meudon-sur-Seine 
Tel : 01 55 01 50 00
Le site se trouve à proximité de l’arrêt de tramway Meudon sur Seine.
Le plan d’accès détaillé est disponiblehttp://www.gemalto.com/companyinfo/offices/download/meudon.pdf 
Les personnes souhaitant participer à cette réunion sont priées de s’enregistrer en indiquant leur nom, prénom, société. Ces informations seront utilisées pour établir les badges d’entrée sur le site de Gemalto.
La date limite pour l’enregistrement est le mardi 5 février. Pour des raisons de sécurité lié à la circulation sécurisée dans les locaux de gemalto, seules les personnes enregistrées pourront assister à ce meeting OWASP.
Nous vous invitons à réserver votre participation au plus tôt. Il y aura des rafraichissements .


Nous vous conseillons d'arriver sur site dès 18h pour l'enregistrement, afin de nous permettre de commencer le meeting à 18h30 précises et respecter ainsi l'horaire de mise à disposition de la salle par notre hôte.

Bienvenu à tous!

Ludovic Petit && Sébastien Gioria
OWASP France Leaders

mardi 8 janvier 2013

SecureCoding For Java

Il y a maintenant près d'un an j'ai effectué pour OWASP Ottawa une présentation sur le SecureCoding. Cette présentation a été l'occasion d'un certain nombres de challenges pour moi et mes 2 autres acolytes, j'ai nommé :

  • Antonio, Burger , Fontes : @starbuck3000
  • Philippe, Neldor, Gamache : @SecureSymfony

Je ne vais pas vous passez l'ensemble des péripéties que nous avons eu pour cette journée, mais ce fut une superbe expérience (que je suis pret a vous raconter en private et IRL) que je suis prêt à renouveler :).

J'ai décidé de mettre à disposition de tous cette publication. Actuellement je vous la mets en disposition en Anglais, je suis en cours de traduction de ce document.

Je vous laisse libre de la 
  • Corriger
  • Commenter ici
  • Me faire des remarques de modifications/évolutions
  • La réutiliser dans un cadre non commercial; a condition de citer la source et de m'en informer
  • La ré-utiliser dans un cadre universitaire; a condition de citer la source et de m'en informer
Le document est disponible  à l'URL suivante : 



Le document est mise à disposition selon les termes suivants : 



//Activation syntaxhilight