Pour la première fois, XMCO est partenaire de la conférence BlackAlps qui se déroulera début novembre (8 et 9 novembre) à Yverdon-les-Bains en Suisse. Pour cette seconde édition, les 2 jours de conférence seront répartis sur 2 tracks simultanées. Les sujets sont catégorisés en 4 catégories (Workshop, Lessons learned, Attack, et Keynote).
Voici les présentations retenues par XMCO:
- Group123: Korea in the crosshairs présentée par Paul Rascagneres (aka RootBSD) qu’on ne présente plus. Il revient sur les attaques menées contre les intérêts sud-coréens. Il détaillera notamment les différentes étapes de l’attaque et présentera le 0day utilisé à l’encontre de Flash (CVE-2018-4878).
- Cryptocurrency mobile malware – Axelle Apvrille en charge des recherches sécurité chez Fortinet, présentera la nouvelle menace que sont les cryptominers qui ciblent les téléphones portables. Elle présentera les mécanismes utilisés par les mineurs et précisera quelles cryptomonaies sont utilisées.
- Reversing and vulnerability research of Ethereum smart contracts – Patrick Ventuzelo chercheur au sein de la société QuoScient GmbH réalise un workshop sur la recherche en vulnérabilité au sein des projets basés sur les smart contracts ethereum. Depuis quelques années, le nombre d’applications reposant sur ce concept explose, mais la sécurité n’est pas toujours au rendez-vous. Ce workshop est une introduction aux spécificités requise. Il reviendra notamment sur le bytecode EVM utilisé dans le cadre de ces projets.
- Un workshop assez original est également proposé le vendredi après-midi. Il s’intitule, « recrutez efficacement vos experts en sécurité informatique… ou comment attirer et identifier vos prochains talents tout en limitant les erreurs de casting » présenté par Alexia Gonzalez. Le but de ce workshop est de gagner en efficacité sur toute les étapes du process de recrutement (CV, entretiens …).
Le programme des conférences est disponible sur leur site officiel :
Jeudi 8 novembre
- Bypass Android Security Mechanisms using Custom Android(EN) – SEONGHYEON SONG (FSI (Financial Security Institute))
- Dilemmas Everywhere! Get It Right or Get Pwned(EN) – Ethan Schorer (Check Point Software Technologies)
- Reversing cryptographic primitives using quantum computing(FR) – Renaud Lifchitz (Econocom digital.security)
- Application Level DDoS, the Rise of CDNs and the End of the Free Internet(EN) – Christian Folini (netnea.com)
- 3 years later: a crossed look at Swisscom bounty(EN) – Florian Badertscher (Swisscom) et Nicolas Heiniger (Compass Security AG)
- Nail in the JKS coffin(EN) – Tobias Ospelt (modzero AG)
- Cryptocurrency mobile malware(FR) – Axelle Apvrille (Fortinet)
- Reversing and Vulnerability research of Ethereum Smart Contracts(EN) – Patrick Ventuzelo (QuoScient GmbH)
- Introduction to Bro Network Security Monitor(EN/FR) – Eva Szilagyi et David Szili (Alzette Information Security)
Vendredi 9 novembre
- Challenges and Opportunities in Cloud Security(EN) – Scott Piper (SummitRoute)
- Unlocking secrets of the Proxmark3 RDV4.0(EN) – Christian Herrmann et Kevin Barker (Rfid Research Group RRG)
- Group123: Korea In The Crosshairs(FR) – Paul Rascagneres (Cisco Talos)
- On the Security of Dockless Bike Sharing Services(FR) – Antoine Neuschwander
- Switzerland has bunkers, we have Vault(FR) – Christophe Tafani-Dereeper (Hacknowledge)
- How to provide security fixes in a high constraint ecosystem? Practical examples with the Jenkins project.(FR) – Wadeck Follonier (CloudBees SA)
- Building an Open Source Kubernetes Security Stack(FR) – Henri Dubois-Ferriere (Sysdig)
- Cyber Defence Exercise Locked Shields & Cyber Exercises in the Financial Sector(EN) – Peter Hladky (Credit Suisse)
- Hands-On Security Lab with Hacking-Lab(EN) – Philipp Sieber, Nicolas Heiniger et Sylvain Heiniger
- Recrutez efficacement vos experts en sécurité informatique… ou comment attirer et identifier vos prochains talents tout en limitant les erreurs de casting(FR) – Alexia Gonzalez (Securing Apps Sàrl)
Également un CTF de type Jepoardy nommé Y-NOT-CTF débutera le vendredi 9 novembre à 17h. Il ne durera que 6h, mais sera ouvert à tout le monde. Néanmoins, pour participer vous devez vous munir d’un billet spécifique (gratuit) disponible sur le site de la conférence.
Toutes les informations sur la conférence sont disponibles sur le site officiel :
- Conférence : https://www.blackalps.ch/ba-18/talks.php
- Agenda : https://www.blackalps.ch/ba-18/program.php
- Inscriptions : https://www.blackalps.ch/ba-18/register.php
- Twitter : @BlackAlpsConf
XMCO sera partenaire média et proposera un résumé des conférences au sein d’un prochain numéro de l’ActuSécu.