Pour la 3ème année consécutive, la conférence Hack In Paris se déroulera au Centre des Conférences de Disneyland Paris. Du 17 au 21 juin, des experts, des passionnés ou encore des novices de la sécurité informatique pourront se rencontrer et échanger.
Les 3 premiers jours (du 17 au 19 juin) seront exclusivement dédiés aux ateliers de formations, suivis des conférences les 20 et 21 juin.
XMCO sera partenaire média et proposera un résumé des conférences au sein du numéro #35 de l’ActuSécu.
Aperçu des Conférences
BYOD – The Privacy and Compliance Risks from Bringing Your Own Mobile Device to Work (Winn Schwartau)
Une conférence animée par le fondateur de la société SecurityExperts.com sur les risques liés au phénomène BYOD, qui prend de plus en plus d’ampleur.
Remoting android applications for fun and profit (Damien Cauquil & Pierre Jaury)
L’occasion pour les 2 experts en sécurité de Sysdream de présenter leur nouveau projet baptisé Fino, un outil qui permet de réaliser du « reverse engineering » sur des applications Androïd, et d’interagir dynamiquement avec ces dernières via du code en Python. La conférence mettra principalement l’accent sur les aspects pratiques de cet outil, d’un point de vue rétro-ingénierie.
The Control of technology by nation state : Past, Present and Future – The Case of Cryptology and information security (Eric Filiol)
Éric Filiol, ancien officier de l’armée, expert en sécurité informatique et spécialiste en cryptanalyse, présentera un historique du contrôle des technologies par différents états depuis la Seconde Guerre mondiale. En effet, principalement dans le cadre de la lutte antiterroriste, plusieurs nations mettent différents moyens en oeuvre afin de se protéger. Ce contrôle de technologies est organisé autour de 4 acteurs majeurs : les États, l’Industrie, les Universitaires et les Pirates.
Windows Phone 8 application security (Dmitriy Evdokimov & Andrey Chasovskikh)
Les 2 experts en sécurité russes présenteront la plateforme mobile Windows Phone 8 et ses nombreuses fonctionnalités, ainsi que les aspects sécurité qui lui sont liés. Un outil sera également présenté, permettant aux développeurs et aux auditeurs d’analyser des applications sous Windows Phone 8.
Analysis of a Windows Kernel vulnerability : from espionage to criminal use (Julia Wolf)
Cette conférence détaillera la technique mise en oeuvre par le code d’exploitation tirant parti de la faille référencée CVE-2011-3402 (Windows TrueType Font 0-day vulnerability) affectant le noyau Windows. Cet exploit a beaucoup fait parler de lui. En effet, il a été utilisé par le malware « Duqu » (présenté dans l’ActuSecu #33) et intégré dans de nombreux kits d’exploitations russes.
The Security of MDM (Mobile Device Management) systems (Sebastien Andrivet)
Le but de cette présentation sera de présenter les systèmes de Gestion des Terminaux Mobiles et les différentes vulnérabilités les affectant.
Burp Pro : Real-life tips and tricks (Nicolas Grégoire)
L’expert en sécurité et pentester Nicolas Grégoire profitera de cette conférence pour présenter l’un des outils les plus utilisés par les pentesteurs Web : Burp. Des « trucs et astuces » seront dévoilés, concernant la version Pro de l’outil ainsi que ces différents avantages.
I’m in your browser, powning your stuff – Attacking Google Chrome extensions (Krzysztof Kotowicz)
Krzysztof Kotowicz, chercheur en sécurité web et spécialiste du HTML5, présentera ses dernières trouvailles concernant les extensions du navigateur Google Chrome : leurs architectures, leurs mécanismes de sécurité, et bien d’autres. Des exemples concrets seront montrés : XSS des sites visités, screenshots réalisés à l’insu de l’utilisateur, infiltration dans la boite mail de l’utilisateur, etc.
Are we getting better? – Hacking Todays Technology (Dave Kennedy)
D’un côté nous avons de plus en plus de technologies de prévention et détection d’intrusions informatiques, et de l’autre, nous pouvons constater une recrudescence de vols de données. Où en est-on aujourd’hui en matière de sécurité ? Est-ce que nous nous améliorons ? Dave Kennedy, fondateur du cabinet américain de conseil en sécurité TrustedSec et auteur du livre « Metasploit: The Penetration Testers Guide », tentera de répondre à ces différentes questions.
Origin policy enforcement in modern browsers (Frederik Braun)
La « Same Origin Policy » est un concept de sécurité informatique, implémenté dans les navigateurs Web. Avec l’apparition et l’utilisation accrue du langage HTML5, les navigateurs web récents doivent mettre en place des changements nécessaires au maintien de ce concept de sécurité. Durant cette conférence, le spécialiste en sécurité des applications web de Mozilla fera état du renforcement de la « same origin policy » au sein de différents navigateurs web.
Malware vs Virtualization : The endless cat and mouse play (Aurélien Wailly)
Le but de cette présentation sera de montrer comment certains malwares adoptent des comportements furtifs dans des environnements virtuels afin de ne pas se faire détecter. Un jeu de « cache-cache » se déroule en effet entre les malwares et les outils de virtualisation.
Web Applications Forensics (Jens Müller)
Au cours de cette conférence, les méthodes d’analyse inforensique seront passées au crible. Basée principalement sur les données présentes dans les fichiers de log, cette analyse qui a pour but de détecter des attaques menées à l’encontre d’applications Web n’est pas toujours aisée. Différentes approches et retours d’expériences sur l’analyse inforensique seront donc présentés.
Next generation rootkits for ARM based devices (Thomas Roth)
Avec l’utilisation de plus en plus croissante des smartphones, la sécurité de ces derniers est donc devenue un enjeu majeur. Une nouvelle approche, utilisant directement les intrustructions système du CPU sera présentée. En effet, ces instructions seront utilisées afin de réaliser un rootkit pour terminaux ARM .
DBI Frameworks applied to computer security: Uses and comparative (Ricardo Rodriguez)
Le but de cette conférence sera de montrer comment l’Instrumentation Binaire Dynamique (ou DBI pour Dynamic Binary Instrumentation) fonctionne et peut être appliquée au domaine de la sécurité informatique.
The inner HTML Apocalypse : How mXSS attacks change everything we believed to know so far (Mario Heiderich)
Comment contourner les meilleures protections XSS actuelles ? Mario Heiderich présentera une nouvelle technique baptisée Mutation-XSS (mXSS).
The Realex payments application security story, narrated by Security Ninja (David Rook)
Cette conférence sera l’occasion d’avoir un retour d’expérience de David Rook (auteur du blog Security Ninja), sur 5 années de gestion de la sécurité applicative de Realex Payments (une société proposant des solutions de paiement en ligne sécurisées).
Informations complémentaires
- La liste des conférences : http://www.hackinparis.com/talk
- La liste des ateliers pratiques : http://www.hackinparis.com/trainings
- Le programme complet : http://www.hackinparis.com/schedule
- Le site officiel de Hack In Paris : http://www.hackinparis.com/
Rendez-vous dans les prochains ActuSécu pour les résumés des conférences auxquelles XMCO assistera.
