SlideShare une entreprise Scribd logo
Et	
  pour	
  quelques	
  lignes	
  de	
  code	
  sécurisé	
  
(oubliées...)
RSSIA	
  -­‐	
  Bordeaux
21	
  Juin	
  2013
Sébas&en	
  Gioria
SebasCen.Gioria@owasp.org
Chapter	
  Leader	
  OWASP	
  France
Friday, June 21, 13
http://www.google.fr/#q=sebastien gioria
‣OWASP France Leader & Founder &
Evangelist
‣Application Security freelance consultant.
Twitter :@SPoint / @OWASP_France
2
‣Application Security group leader for the
CLUSIF
‣Proud father of youngs kids trying to hack my
digital life.
Ne	
  vous	
  inquietez	
  pas	
  c’est	
  le	
  seul	
  slide	
  en	
  anglais,	
  par	
  contre	
  il	
  y	
  aura	
  des	
  trucs	
  d’écrits	
  partout	
  en	
  bas...
Friday, June 21, 13
Agenda
• Remise	
  a	
  plat	
  du	
  problème
• Quelques	
  exemples	
  récents
• Pour	
  aller	
  plus	
  loin	
  
• L’écosystème	
  OWASP
3Déja	
  je	
  remercie	
  Hervé,	
  car	
  graçe	
  a	
  lui,	
  je	
  me	
  suis	
  levé	
  de	
  bonne	
  heure....
Friday, June 21, 13
Jeu	
  1	
  
4
?????
Friday, June 21, 13
Jeu	
  2	
  
5
????
un	
  indice	
  :	
  c’est	
  a	
  la	
  mode.....
Friday, June 21, 13
Jeu	
  3	
  
6
?
Friday, June 21, 13
Jeu	
  3	
  
6
?
Friday, June 21, 13
Jeu	
  4	
  ?	
  
7
????
Moi	
  j’aurai	
  pas	
  confiance	
  a	
  filer	
  mes	
  idenCfiants	
  a	
  des	
  gens	
  Cers....
Friday, June 21, 13
Game	
  Over....
• Un	
  Téléphone	
  VoIP	
  ?	
  
• Une	
  {Free	
  ı	
  B	
  ı	
  Live	
  ı	
  SFR	
  ı	
  *	
  }	
  box	
  ?
• Des	
  applicaCons	
  sur	
  des	
  ordiphones	
  ?	
  
• Clients	
  ?	
  partenaires	
  sur	
  	
  Internet	
  ?
8Ah....j’ai	
  réussi	
  a	
  le	
  caser	
  ce	
  mot...I?
Friday, June 21, 13
Nous	
  vivons	
  dans	
  un	
  environnement	
  fortement	
  digital,	
  connecté	
  
en	
  quasi-­‐permanence	
  au	
  monde	
  enCer
Sécurité	
  ApplicaCve	
  ?	
  
9
Friday, June 21, 13
Nous	
  vivons	
  dans	
  un	
  environnement	
  fortement	
  digital,	
  connecté	
  
en	
  quasi-­‐permanence	
  au	
  monde	
  enCer
Sécurité	
  ApplicaCve	
  ?	
  
Age	
  de	
  l’	
  AnCvirus
9
Friday, June 21, 13
Nous	
  vivons	
  dans	
  un	
  environnement	
  fortement	
  digital,	
  connecté	
  
en	
  quasi-­‐permanence	
  au	
  monde	
  enCer
Sécurité	
  ApplicaCve	
  ?	
  
Age	
  de	
  l’	
  AnCvirus
9
Friday, June 21, 13
Nous	
  vivons	
  dans	
  un	
  environnement	
  fortement	
  digital,	
  connecté	
  
en	
  quasi-­‐permanence	
  au	
  monde	
  enCer
Sécurité	
  ApplicaCve	
  ?	
  
9
Friday, June 21, 13
Nous	
  vivons	
  dans	
  un	
  environnement	
  fortement	
  digital,	
  connecté	
  
en	
  quasi-­‐permanence	
  au	
  monde	
  enCer
Sécurité	
  ApplicaCve	
  ?	
  
Age	
  de	
  la	
  	
  
sécurité	
  
périmétrique
9
Friday, June 21, 13
Nous	
  vivons	
  dans	
  un	
  environnement	
  fortement	
  digital,	
  connecté	
  
en	
  quasi-­‐permanence	
  au	
  monde	
  enCer
Sécurité	
  ApplicaCve	
  ?	
  
Age	
  de	
  la	
  	
  
sécurité	
  
périmétrique
9
Friday, June 21, 13
Nous	
  vivons	
  dans	
  un	
  environnement	
  fortement	
  digital,	
  connecté	
  
en	
  quasi-­‐permanence	
  au	
  monde	
  enCer
Sécurité	
  ApplicaCve	
  ?	
  
9
Friday, June 21, 13
Nous	
  vivons	
  dans	
  un	
  environnement	
  fortement	
  digital,	
  connecté	
  
en	
  quasi-­‐permanence	
  au	
  monde	
  enCer
Sécurité	
  ApplicaCve	
  ?	
  
Age	
  de	
  la	
  sécurité	
  
applicaCve
9
Friday, June 21, 13
Nous	
  vivons	
  dans	
  un	
  environnement	
  fortement	
  digital,	
  connecté	
  
en	
  quasi-­‐permanence	
  au	
  monde	
  enCer
Sécurité	
  ApplicaCve	
  ?	
  
Age	
  de	
  la	
  sécurité	
  
applicaCve
9Et	
  la	
  mon	
  fils	
  me	
  dit	
  :	
  “Papa,	
  t’a	
  pas	
  mis	
  l’age	
  de	
  glace	
  sur	
  ton	
  slide....”
Friday, June 21, 13
Nous	
  vivons	
  dans	
  un	
  environnement	
  fortement	
  digital,	
  connecté	
  
en	
  quasi-­‐permanence	
  au	
  monde	
  enCer
vLa	
  plupart	
  des	
  sites-­‐web	
  sont	
  vulnérables	
  a	
  des	
  aoaques
vUne	
   part	
   importante	
   du	
   business	
   est	
   effectué	
   via	
   des	
   applicaCons	
   Web	
  
(Services,	
  e-­‐commerce,	
  Telcos,	
  SCADA,	
  ...)
Sécurité	
  ApplicaCve	
  ?	
  
Age	
  de	
  la	
  sécurité	
  
applicaCve
9Et	
  la	
  mon	
  fils	
  me	
  dit	
  :	
  “Papa,	
  t’a	
  pas	
  mis	
  l’age	
  de	
  glace	
  sur	
  ton	
  slide....”
Friday, June 21, 13
10
(c)	
  WhiteHatSecurity	
  2013
Friday, June 21, 13
11
(c)	
  WhiteHatSecurity	
  2013
Friday, June 21, 13
11
(c)	
  WhiteHatSecurity	
  2013
Friday, June 21, 13
11
(c)	
  WhiteHatSecurity	
  2013
Friday, June 21, 13
11
(c)	
  WhiteHatSecurity	
  2013
Friday, June 21, 13
Quelques	
  exemples	
  récents
12
Friday, June 21, 13
‘OR	
  1==1	
  -­‐-­‐’
13
Friday, June 21, 13
‘OR	
  1==1	
  -­‐-­‐’
13
Friday, June 21, 13
‘OR	
  1==1	
  -­‐-­‐’
13
L’injecCon	
  SQL	
  fait	
  beaucoup	
  parler	
  d’elle.	
  
Mais	
  il	
  existe	
  d’autres	
  formes	
  d’injecCons	
  :	
  
•XML
•XPath
•LDAP
•ORB(Hibernate)
•...
Friday, June 21, 13
‘OR	
  1==1	
  -­‐-­‐’
13
L’injecCon	
  SQL	
  fait	
  beaucoup	
  parler	
  d’elle.	
  
Mais	
  il	
  existe	
  d’autres	
  formes	
  d’injecCons	
  :	
  
•XML
•XPath
•LDAP
•ORB(Hibernate)
•...
Friday, June 21, 13
‘OR	
  1==1	
  -­‐-­‐’
13
L’injecCon	
  SQL	
  fait	
  beaucoup	
  parler	
  d’elle.	
  
Mais	
  il	
  existe	
  d’autres	
  formes	
  d’injecCons	
  :	
  
•XML
•XPath
•LDAP
•ORB(Hibernate)
•...
A1	
  
Injec&on	
  de	
  
données	
  
serveur
Friday, June 21, 13
<script>alert(/XSS/);</script>
14
Vous	
  préférez	
  InjecCon	
  de	
  code	
  indirect	
  ?
Friday, June 21, 13
<script>alert(/XSS/);</script>
14
Vous	
  préférez	
  InjecCon	
  de	
  code	
  indirect	
  ?
Friday, June 21, 13
<script>alert(/XSS/);</script>
14
Vous	
  préférez	
  InjecCon	
  de	
  code	
  indirect	
  ?
Friday, June 21, 13
<script>alert(/XSS/);</script>
14
Le	
  Cross	
  Site	
  ScripCng	
  est	
  souvent	
  mal	
  
considéré.	
  Sa	
  puissance	
  peut	
  aller	
  jusqu’a	
  la	
  
prise	
  de	
  contrôle	
  sur	
  le	
  poste	
  client...
Vous	
  préférez	
  InjecCon	
  de	
  code	
  indirect	
  ?
Friday, June 21, 13
<script>alert(/XSS/);</script>
14
Le	
  Cross	
  Site	
  ScripCng	
  est	
  souvent	
  mal	
  
considéré.	
  Sa	
  puissance	
  peut	
  aller	
  jusqu’a	
  la	
  
prise	
  de	
  contrôle	
  sur	
  le	
  poste	
  client...
Vous	
  préférez	
  InjecCon	
  de	
  code	
  indirect	
  ?
Friday, June 21, 13
<script>alert(/XSS/);</script>
14
Le	
  Cross	
  Site	
  ScripCng	
  est	
  souvent	
  mal	
  
considéré.	
  Sa	
  puissance	
  peut	
  aller	
  jusqu’a	
  la	
  
prise	
  de	
  contrôle	
  sur	
  le	
  poste	
  client...
A3	
  
Cross	
  Site	
  
Scrip&ng
Vous	
  préférez	
  InjecCon	
  de	
  code	
  indirect	
  ?
Friday, June 21, 13
Vous	
  reprendrez	
  bien	
  un	
  peu	
  de	
  cookie	
  ?
15
Friday, June 21, 13
Vous	
  reprendrez	
  bien	
  un	
  peu	
  de	
  cookie	
  ?
15
Friday, June 21, 13
Vous	
  reprendrez	
  bien	
  un	
  peu	
  de	
  cookie	
  ?
15
Les développeurs peuvent être tentés de créer leur
propre gestionnaire de sessions et d'authentification,
mais il s'agit d'une tâche complexe. Il en résulte
souvent des implémentations contenant des faiblesses
de sécurité dans des fonctions telles que: la
déconnexion, la gestion des profils, etc. La a diversité
des implémentations rend la recherche de
vulnérabilités complexe.
Friday, June 21, 13
Vous	
  reprendrez	
  bien	
  un	
  peu	
  de	
  cookie	
  ?
15
Les développeurs peuvent être tentés de créer leur
propre gestionnaire de sessions et d'authentification,
mais il s'agit d'une tâche complexe. Il en résulte
souvent des implémentations contenant des faiblesses
de sécurité dans des fonctions telles que: la
déconnexion, la gestion des profils, etc. La a diversité
des implémentations rend la recherche de
vulnérabilités complexe.
Friday, June 21, 13
Vous	
  reprendrez	
  bien	
  un	
  peu	
  de	
  cookie	
  ?
15
Les développeurs peuvent être tentés de créer leur
propre gestionnaire de sessions et d'authentification,
mais il s'agit d'une tâche complexe. Il en résulte
souvent des implémentations contenant des faiblesses
de sécurité dans des fonctions telles que: la
déconnexion, la gestion des profils, etc. La a diversité
des implémentations rend la recherche de
vulnérabilités complexe.
A2	
  
viola&on	
  de	
  
session	
  
et/ou	
  
d’authen&fi
ca&on
Friday, June 21, 13
Que	
  se	
  passe-­‐t-­‐il	
  ?
16
Friday, June 21, 13
Que	
  se	
  passe-­‐t-­‐il	
  ?
16
Friday, June 21, 13
Que	
  se	
  passe-­‐t-­‐il	
  ?
16
Friday, June 21, 13
Que	
  se	
  passe-­‐t-­‐il	
  ?
16
Session	
  authen&fiée
Friday, June 21, 13
Que	
  se	
  passe-­‐t-­‐il	
  ?
16
Session	
  authen&fiée
Friday, June 21, 13
Que	
  se	
  passe-­‐t-­‐il	
  ?
16
Session	
  authen&fiée
Surf	
  the	
  Web
Friday, June 21, 13
Que	
  se	
  passe-­‐t-­‐il	
  ?
16
Session	
  authen&fiée
Friday, June 21, 13
Que	
  se	
  passe-­‐t-­‐il	
  ?
16
Session	
  authen&fiée
Friday, June 21, 13
Que	
  se	
  passe-­‐t-­‐il	
  ?
16
Session	
  authen&fiée
Friday, June 21, 13
Que	
  se	
  passe-­‐t-­‐il	
  ?
16
Session	
  authen&fiée
Friday, June 21, 13
Que	
  se	
  passe-­‐t-­‐il	
  ?
16
Session	
  authen&fiée
Friday, June 21, 13
CSRF	
  démysCfié
• Le	
  problème
– Les	
  navigateurs	
  Web	
  incluent	
  automaCquement	
  la	
  plupart	
  des	
  idenCfiants	
  dans	
  chaque	
  
requête.
– Que	
  cela	
  soit	
  des	
  requêtes	
  venant	
  d’un	
  formulaire,	
  d’une	
  image	
  ou	
  d’un	
  autre	
  site.
• Tous	
  les	
  sites	
  basés	
  uniquement	
  sur	
  les	
  idenCfiants	
  automaCques	
  
sont	
  vulnérables
– ApproximaCvement	
  100%	
  des	
  sites	
  le	
  sont…
• C’est	
  quoi	
  un	
  idenCfiant	
  automaCque?
– Cookie	
  de	
  session
– Une	
  entête	
  d’authenCficaCon	
  HTTP
– Une	
  adresse	
  IP
– Les	
  cerCficats	
  SSL	
  client
– L’authenCficaCon	
  de	
  domaine	
  Windows.
Friday, June 21, 13
CSRF	
  ?	
  
18injections de requêtes illégitimes par rebond pour la vrai terminologie
Friday, June 21, 13
CSRF	
  ?	
  
18
L’attaquant forge une requête HTTP et
amène une victime à la soumettre via une
balise d’image, XSS, ou de nombreuses
autres techniques. Si l’utilisateur est
authentifié , l’attaque est un succès.
injections de requêtes illégitimes par rebond pour la vrai terminologie
Friday, June 21, 13
CSRF	
  ?	
  
18
L’attaquant forge une requête HTTP et
amène une victime à la soumettre via une
balise d’image, XSS, ou de nombreuses
autres techniques. Si l’utilisateur est
authentifié , l’attaque est un succès.
injections de requêtes illégitimes par rebond pour la vrai terminologie
Friday, June 21, 13
CSRF	
  ?	
  
18
L’attaquant forge une requête HTTP et
amène une victime à la soumettre via une
balise d’image, XSS, ou de nombreuses
autres techniques. Si l’utilisateur est
authentifié , l’attaque est un succès.
A8
Cross	
  Site	
  
Request	
  
Forgery
injections de requêtes illégitimes par rebond pour la vrai terminologie
Friday, June 21, 13
site:gouv.fr....
19
Friday, June 21, 13
site:gouv.fr....
19
Friday, June 21, 13
site:gouv.fr....
19
Friday, June 21, 13
site:gouv.fr....
19
Une	
  simple	
  recherche
	
  google	
  permet	
  d’avoir	
  accès	
  a	
  
des	
  documents	
  confidenCels	
  ou	
  
internes
Friday, June 21, 13
site:gouv.fr....
19
Une	
  simple	
  recherche
	
  google	
  permet	
  d’avoir	
  accès	
  a	
  
des	
  documents	
  confidenCels	
  ou	
  
internes
Friday, June 21, 13
site:gouv.fr....
19
Une	
  simple	
  recherche
	
  google	
  permet	
  d’avoir	
  accès	
  a	
  
des	
  documents	
  confidenCels	
  ou	
  
internes
A5	
  
Mauvaise	
  
config	
  
sécurité
Friday, June 21, 13
Qu’est-­‐ce	
  qu’un	
  risque	
  de	
  sécurité	
  
applicaCf?
20La	
  c’etait	
  le	
  slide	
  qui	
  tue
Friday, June 21, 13
OWASP	
  Top10	
  2013
21
A1:	
  Injec&on
A2:	
  Viola&on	
  de	
  
Ges&on	
  
d’authen&fica&on	
  et	
  
de	
  session
A3:	
  Cross	
  Site	
  
Scrip&ng	
  (XSS)
A4:Référence	
  directe	
  
non	
  sécurisée	
  à	
  un	
  
objet
A5:	
  Mauvaise	
  
configura&on	
  sécurité	
  
A6	
  :	
  Exposi&on	
  de	
  
données	
  sensibles
A8:	
  Cross	
  Site	
  Request	
  
Forgery	
  (CSRF)	
  
A10:	
  	
  Redirec&ons	
  	
  et	
  
transferts	
  non	
  validés
A7:	
  Manque	
  de	
  
contrôle	
  d’accès	
  
fonc&onnel
A9:	
  U&lisa&on	
  de	
  
composants	
  avec	
  des	
  
vulnérabilités	
  connues
Friday, June 21, 13
OWASP	
  Top10	
  2013
21
A1:	
  Injec&on
A2:	
  Viola&on	
  de	
  
Ges&on	
  
d’authen&fica&on	
  et	
  
de	
  session
A3:	
  Cross	
  Site	
  
Scrip&ng	
  (XSS)
A4:Référence	
  directe	
  
non	
  sécurisée	
  à	
  un	
  
objet
A5:	
  Mauvaise	
  
configura&on	
  sécurité	
  
A6	
  :	
  Exposi&on	
  de	
  
données	
  sensibles
A8:	
  Cross	
  Site	
  Request	
  
Forgery	
  (CSRF)	
  
A10:	
  	
  Redirec&ons	
  	
  et	
  
transferts	
  non	
  validés
A7:	
  Manque	
  de	
  
contrôle	
  d’accès	
  
fonc&onnel
A9:	
  U&lisa&on	
  de	
  
composants	
  avec	
  des	
  
vulnérabilités	
  connues
ex-­‐A9(transport	
  non	
  sécurisé)	
  
+	
  A7(Stockage	
  crypto)
Friday, June 21, 13
OWASP	
  Top10	
  2013
21
A1:	
  Injec&on
A2:	
  Viola&on	
  de	
  
Ges&on	
  
d’authen&fica&on	
  et	
  
de	
  session
A3:	
  Cross	
  Site	
  
Scrip&ng	
  (XSS)
A4:Référence	
  directe	
  
non	
  sécurisée	
  à	
  un	
  
objet
A5:	
  Mauvaise	
  
configura&on	
  sécurité	
  
A6	
  :	
  Exposi&on	
  de	
  
données	
  sensibles
A8:	
  Cross	
  Site	
  Request	
  
Forgery	
  (CSRF)	
  
A10:	
  	
  Redirec&ons	
  	
  et	
  
transferts	
  non	
  validés
A7:	
  Manque	
  de	
  
contrôle	
  d’accès	
  
fonc&onnel
A9:	
  U&lisa&on	
  de	
  
composants	
  avec	
  des	
  
vulnérabilités	
  connues
ex-­‐A9(transport	
  non	
  sécurisé)	
  
+	
  A7(Stockage	
  crypto)
Friday, June 21, 13
Pour	
  aller	
  plus	
  loin
22
Friday, June 21, 13
23
Friday, June 21, 13
23
Apprendre
Friday, June 21, 13
23
Apprendre
Friday, June 21, 13
23
Apprendre Contractualiser
Friday, June 21, 13
23
Apprendre Contractualiser
Friday, June 21, 13
23
Apprendre Contractualiser Concevoir
Friday, June 21, 13
23
Apprendre Contractualiser Concevoir
Friday, June 21, 13
23
Apprendre Contractualiser Concevoir
Coder
Friday, June 21, 13
23
Apprendre Contractualiser Concevoir
Coder
Friday, June 21, 13
23
Apprendre Contractualiser
Tester	
  et	
  vérifier
Concevoir
Coder
Friday, June 21, 13
23
Apprendre Contractualiser
Tester	
  et	
  vérifier
Concevoir
Coder
Friday, June 21, 13
23
Apprendre Contractualiser
Tester	
  et	
  vérifier
Concevoir
AméliorerCoder
Friday, June 21, 13
23
Apprendre Contractualiser
Tester	
  et	
  vérifier
Concevoir
AméliorerCoder
Friday, June 21, 13
 NEWS
A	
  BLOG
A	
  PODCAST
MEMBERSHIPS
MAILING	
  LISTS
A	
  NEWSLETTER
APPLE	
  APP	
  STORE
VIDEO	
  TUTORIALS
TRAINING	
  SESSIONS
SOCIAL	
  NETWORKING
24
Friday, June 21, 13
Dates
• OWASP	
  EU	
  Tour	
  2013	
  :	
  
–24	
  Juin	
  -­‐	
  Sophia	
  AnCpolis
–25	
  Juin	
  -­‐	
  Geneve
• Java	
  User	
  Group	
  Poitou	
  Charentes	
  	
  -­‐	
  Niort	
  :	
  27	
  Juin
–Secure	
  Coding	
  for	
  Java	
  
• AppSec	
  Research	
  Europe	
  2013	
  :	
  20/23	
  Aout	
  –	
  
Hambourg	
  –	
  Allemagne
• 	
  OWASP	
  Benelux	
  :	
  28/29	
  Novembre	
  2013
25
Friday, June 21, 13
Soutenir	
  l’OWASP
• Différentes	
  soluCons	
  :	
  
–Membre	
  Individuel	
  :	
  50	
  $
–Membre	
  Entreprise	
  :	
  5000	
  $
–DonaCon	
  Libre
• Soutenir	
  uniquement	
  	
  le	
  chapitre	
  France	
  :
–Single	
  MeeCng	
  supporter	
  
• Nous	
  offrir	
  une	
  salle	
  de	
  meeCng	
  !	
  
• ParCciper	
  par	
  un	
  talk	
  ou	
  autre	
  !	
  
• DonaCon	
  simple	
  
–Local	
  Chapter	
  supporter	
  :	
  
• 500	
  $	
  à	
  2000	
  $	
   26
Friday, June 21, 13
Prochains	
  meeCngs
• Septembre	
  2013	
  
–Salle	
  :	
  Mozilla	
  Center	
  Paris
–Speaker	
  :	
  
• Security	
  on	
  Firefox	
  OS
• A	
  définir
• Novembre	
  2013
–Salle	
  :	
  a	
  définir
–Speaker	
  :	
  a	
  définir
Friday, June 21, 13
License
28
@SPoint
sebasCen.gioria@owasp.org
Friday, June 21, 13

Contenu connexe

Tendances

Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Patrick Leclerc
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
Sébastien GIORIA
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuelles
Xavier Kress
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectés
Kévin Guérin
 
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017
Gaudefroy Ariane
 
Owasp top 10 2010 Resist toulouse
Owasp top 10   2010  Resist toulouseOwasp top 10   2010  Resist toulouse
Owasp top 10 2010 Resist toulouse
Sébastien GIORIA
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la Sécurité
Sébastien GIORIA
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
Klee Group
 
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume Croteau
Patrick Leclerc
 
2012 03-01-ror security v01
2012 03-01-ror security v012012 03-01-ror security v01
2012 03-01-ror security v01
Sébastien GIORIA
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSource
Sébastien GIORIA
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
Cyber Security Alliance
 
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
Sébastien GIORIA
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
Cyrille Grandval
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicatives
Bee_Ware
 
Les firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFLes firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAF
Sylvain Maret
 
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
Patrick Leclerc
 
OWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passeOWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passe
Patrick Leclerc
 

Tendances (19)

Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuelles
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectés
 
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017
 
Présentation au CRI-Ouest
Présentation au CRI-OuestPrésentation au CRI-Ouest
Présentation au CRI-Ouest
 
Owasp top 10 2010 Resist toulouse
Owasp top 10   2010  Resist toulouseOwasp top 10   2010  Resist toulouse
Owasp top 10 2010 Resist toulouse
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la Sécurité
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
 
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume Croteau
 
2012 03-01-ror security v01
2012 03-01-ror security v012012 03-01-ror security v01
2012 03-01-ror security v01
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSource
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
 
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicatives
 
Les firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFLes firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAF
 
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
 
OWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passeOWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passe
 

En vedette

Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration
Bee_Ware
 
Dispositivos De Entrada
Dispositivos De EntradaDispositivos De Entrada
Dispositivos De Entrada
Juan Carlos Orobio Cortes
 
Generación Y
Generación YGeneración Y
Generación Y
Victor Wong
 
Curs Ofimàtica 2004-2005. Bloc OOSheets
Curs Ofimàtica 2004-2005. Bloc OOSheetsCurs Ofimàtica 2004-2005. Bloc OOSheets
Curs Ofimàtica 2004-2005. Bloc OOSheets
Alex Araujo
 
La Veille de Né Kid du 16 12 09 : naughty noughties
La Veille de Né Kid du 16 12 09 : naughty noughtiesLa Veille de Né Kid du 16 12 09 : naughty noughties
La Veille de Né Kid du 16 12 09 : naughty noughties
Né Kid
 
Uicn forum régional sur la conservation - paco 2015 - rapport jour 2 by cec...
Uicn   forum régional sur la conservation - paco 2015 - rapport jour 2 by cec...Uicn   forum régional sur la conservation - paco 2015 - rapport jour 2 by cec...
Uicn forum régional sur la conservation - paco 2015 - rapport jour 2 by cec...
Center for Communication and Sustainable Development for All
 
La Veille De Né Kid du 10 01 27 : la rumeur
La Veille De Né Kid du 10 01 27 : la rumeurLa Veille De Né Kid du 10 01 27 : la rumeur
La Veille De Né Kid du 10 01 27 : la rumeur
Né Kid
 
23/09/2015 - Communiqué de presse Orpéa
23/09/2015 - Communiqué de presse Orpéa 23/09/2015 - Communiqué de presse Orpéa
23/09/2015 - Communiqué de presse Orpéa
Yves Le Masne
 
Reflexiones finales
Reflexiones finalesReflexiones finales
Reflexiones finales
Lambrina
 
G U I L L E RM O
G U I L L E RM OG U I L L E RM O
G U I L L E RM O
punkilove
 
LAS TIC EN EL APRENDIZAJE DE LOS ALUMNOS
LAS TIC EN EL APRENDIZAJE DE LOS ALUMNOSLAS TIC EN EL APRENDIZAJE DE LOS ALUMNOS
LAS TIC EN EL APRENDIZAJE DE LOS ALUMNOS
Carola68
 
Victor Hugo
Victor HugoVictor Hugo
Victor Hugo
Cris Araújo
 
Projet de recension des programmes de prévention en dépendance pour les jeune...
Projet de recension des programmes de prévention en dépendance pour les jeune...Projet de recension des programmes de prévention en dépendance pour les jeune...
Projet de recension des programmes de prévention en dépendance pour les jeune...
Aqcidependance
 
Club digital
Club digitalClub digital
Club digital
Juliabravo
 
Test jehova
Test jehovaTest jehova
WUD 2009 Paris : Introduction
WUD 2009 Paris : IntroductionWUD 2009 Paris : Introduction
WUD 2009 Paris : Introduction
Frederic CAVAZZA
 
Mundo CláSico
Mundo CláSicoMundo CláSico
Mundo CláSico
Enrique Palacios
 
GSmart Certs Part 1
GSmart Certs Part 1GSmart Certs Part 1
GSmart Certs Part 1
Graham Smart
 

En vedette (20)

Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration
 
20100114 Waf V0.7
20100114 Waf V0.720100114 Waf V0.7
20100114 Waf V0.7
 
Dispositivos De Entrada
Dispositivos De EntradaDispositivos De Entrada
Dispositivos De Entrada
 
Angelee
AngeleeAngelee
Angelee
 
Generación Y
Generación YGeneración Y
Generación Y
 
Curs Ofimàtica 2004-2005. Bloc OOSheets
Curs Ofimàtica 2004-2005. Bloc OOSheetsCurs Ofimàtica 2004-2005. Bloc OOSheets
Curs Ofimàtica 2004-2005. Bloc OOSheets
 
La Veille de Né Kid du 16 12 09 : naughty noughties
La Veille de Né Kid du 16 12 09 : naughty noughtiesLa Veille de Né Kid du 16 12 09 : naughty noughties
La Veille de Né Kid du 16 12 09 : naughty noughties
 
Uicn forum régional sur la conservation - paco 2015 - rapport jour 2 by cec...
Uicn   forum régional sur la conservation - paco 2015 - rapport jour 2 by cec...Uicn   forum régional sur la conservation - paco 2015 - rapport jour 2 by cec...
Uicn forum régional sur la conservation - paco 2015 - rapport jour 2 by cec...
 
La Veille De Né Kid du 10 01 27 : la rumeur
La Veille De Né Kid du 10 01 27 : la rumeurLa Veille De Né Kid du 10 01 27 : la rumeur
La Veille De Né Kid du 10 01 27 : la rumeur
 
23/09/2015 - Communiqué de presse Orpéa
23/09/2015 - Communiqué de presse Orpéa 23/09/2015 - Communiqué de presse Orpéa
23/09/2015 - Communiqué de presse Orpéa
 
Reflexiones finales
Reflexiones finalesReflexiones finales
Reflexiones finales
 
G U I L L E RM O
G U I L L E RM OG U I L L E RM O
G U I L L E RM O
 
LAS TIC EN EL APRENDIZAJE DE LOS ALUMNOS
LAS TIC EN EL APRENDIZAJE DE LOS ALUMNOSLAS TIC EN EL APRENDIZAJE DE LOS ALUMNOS
LAS TIC EN EL APRENDIZAJE DE LOS ALUMNOS
 
Victor Hugo
Victor HugoVictor Hugo
Victor Hugo
 
Projet de recension des programmes de prévention en dépendance pour les jeune...
Projet de recension des programmes de prévention en dépendance pour les jeune...Projet de recension des programmes de prévention en dépendance pour les jeune...
Projet de recension des programmes de prévention en dépendance pour les jeune...
 
Club digital
Club digitalClub digital
Club digital
 
Test jehova
Test jehovaTest jehova
Test jehova
 
WUD 2009 Paris : Introduction
WUD 2009 Paris : IntroductionWUD 2009 Paris : Introduction
WUD 2009 Paris : Introduction
 
Mundo CláSico
Mundo CláSicoMundo CláSico
Mundo CláSico
 
GSmart Certs Part 1
GSmart Certs Part 1GSmart Certs Part 1
GSmart Certs Part 1
 

Similaire à OWASP Top10 2013 - Présentation aux RSSIA 2013

OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
Microsoft
 
Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesDrupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptes
Skilld
 
Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesDrupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptes
Jean-Baptiste Guerraz
 
Sauvegarder et restaurer l'état des applications mobiles
Sauvegarder et restaurer l'état des applications mobilesSauvegarder et restaurer l'état des applications mobiles
Sauvegarder et restaurer l'état des applications mobiles
pprem
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 -  Les 10 risques sur les mobilesOWASP Mobile Top10 -  Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
Sébastien GIORIA
 
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
Lisa Lombardi
 
Mes bonnes résolutions cybersécurité pour 2024
Mes bonnes résolutions cybersécurité pour  2024Mes bonnes résolutions cybersécurité pour  2024
Mes bonnes résolutions cybersécurité pour 2024
Lisa Lombardi
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
Sébastien GIORIA
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
waggaland
 
Paris Chaos Engineering Meetup #6
Paris Chaos Engineering Meetup #6Paris Chaos Engineering Meetup #6
Paris Chaos Engineering Meetup #6
Christophe Rochefolle
 
La sécurité sur le web
La sécurité sur le webLa sécurité sur le web
La sécurité sur le web
Softeam agency
 
PRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATION
PRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATIONPRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATION
PRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATION
JUNIOR SORO
 
Les Outils de l'Agile
Les Outils de l'AgileLes Outils de l'Agile
Les Outils de l'Agile
aragot1
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...
Antonio Fontes
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettre
NRC
 
meetup devops 2023-06-15
meetup devops 2023-06-15meetup devops 2023-06-15
meetup devops 2023-06-15
Frederic Leger
 
M365 virtualmarathon gestion des pc windows 10 - l gebeau - jy trarbach
M365 virtualmarathon   gestion des pc windows 10 - l gebeau - jy trarbachM365 virtualmarathon   gestion des pc windows 10 - l gebeau - jy trarbach
M365 virtualmarathon gestion des pc windows 10 - l gebeau - jy trarbach
jean-yves Trarbach
 
Le poste de travail Libre
Le poste de travail LibreLe poste de travail Libre
Le poste de travail Libre
LINAGORA
 
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
OCTO Technology
 

Similaire à OWASP Top10 2013 - Présentation aux RSSIA 2013 (20)

OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
 
Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesDrupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptes
 
Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesDrupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptes
 
Sauvegarder et restaurer l'état des applications mobiles
Sauvegarder et restaurer l'état des applications mobilesSauvegarder et restaurer l'état des applications mobiles
Sauvegarder et restaurer l'état des applications mobiles
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 -  Les 10 risques sur les mobilesOWASP Mobile Top10 -  Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
 
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
 
Mes bonnes résolutions cybersécurité pour 2024
Mes bonnes résolutions cybersécurité pour  2024Mes bonnes résolutions cybersécurité pour  2024
Mes bonnes résolutions cybersécurité pour 2024
 
2010 03-11-sdlc-v02
2010 03-11-sdlc-v022010 03-11-sdlc-v02
2010 03-11-sdlc-v02
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
 
Paris Chaos Engineering Meetup #6
Paris Chaos Engineering Meetup #6Paris Chaos Engineering Meetup #6
Paris Chaos Engineering Meetup #6
 
La sécurité sur le web
La sécurité sur le webLa sécurité sur le web
La sécurité sur le web
 
PRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATION
PRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATIONPRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATION
PRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATION
 
Les Outils de l'Agile
Les Outils de l'AgileLes Outils de l'Agile
Les Outils de l'Agile
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettre
 
meetup devops 2023-06-15
meetup devops 2023-06-15meetup devops 2023-06-15
meetup devops 2023-06-15
 
M365 virtualmarathon gestion des pc windows 10 - l gebeau - jy trarbach
M365 virtualmarathon   gestion des pc windows 10 - l gebeau - jy trarbachM365 virtualmarathon   gestion des pc windows 10 - l gebeau - jy trarbach
M365 virtualmarathon gestion des pc windows 10 - l gebeau - jy trarbach
 
Le poste de travail Libre
Le poste de travail LibreLe poste de travail Libre
Le poste de travail Libre
 
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
 

Plus de Sébastien GIORIA

OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
Sébastien GIORIA
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
Sébastien GIORIA
 
2014 09-04-pj
2014 09-04-pj2014 09-04-pj
2014 09-04-pj
Sébastien GIORIA
 
2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch
Sébastien GIORIA
 
OWASP, the life and the universe
OWASP, the life and the universeOWASP, the life and the universe
OWASP, the life and the universe
Sébastien GIORIA
 
2013 04-04-html5-security-v2
2013 04-04-html5-security-v22013 04-04-html5-security-v2
2013 04-04-html5-security-v2
Sébastien GIORIA
 
2013 02-27-owasp top10 javascript
 2013 02-27-owasp top10 javascript 2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript
Sébastien GIORIA
 
Secure Coding for Java
Secure Coding for JavaSecure Coding for Java
Secure Coding for Java
Sébastien GIORIA
 
2012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v032012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v03
Sébastien GIORIA
 
2011 02-07-html5-security-v1
2011 02-07-html5-security-v12011 02-07-html5-security-v1
2011 02-07-html5-security-v1
Sébastien GIORIA
 
Top10 risk in app sec
Top10 risk in app secTop10 risk in app sec
Top10 risk in app sec
Sébastien GIORIA
 
2010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.82010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.8
Sébastien GIORIA
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
Sébastien GIORIA
 
Owasp Top 10 2010 Rc1 French Version V02
Owasp Top 10   2010 Rc1   French Version V02Owasp Top 10   2010 Rc1   French Version V02
Owasp Top 10 2010 Rc1 French Version V02
Sébastien GIORIA
 

Plus de Sébastien GIORIA (17)

OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
2014 09-04-pj
2014 09-04-pj2014 09-04-pj
2014 09-04-pj
 
2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch
 
OWASP, the life and the universe
OWASP, the life and the universeOWASP, the life and the universe
OWASP, the life and the universe
 
2013 04-04-html5-security-v2
2013 04-04-html5-security-v22013 04-04-html5-security-v2
2013 04-04-html5-security-v2
 
2013 02-27-owasp top10 javascript
 2013 02-27-owasp top10 javascript 2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript
 
Secure Coding for Java
Secure Coding for JavaSecure Coding for Java
Secure Coding for Java
 
2012 07-05-spn-sgi-v1-lite
2012 07-05-spn-sgi-v1-lite2012 07-05-spn-sgi-v1-lite
2012 07-05-spn-sgi-v1-lite
 
2012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v032012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v03
 
2011 02-07-html5-security-v1
2011 02-07-html5-security-v12011 02-07-html5-security-v1
2011 02-07-html5-security-v1
 
2011 03-09-cloud sgi
2011 03-09-cloud sgi2011 03-09-cloud sgi
2011 03-09-cloud sgi
 
Top10 risk in app sec
Top10 risk in app secTop10 risk in app sec
Top10 risk in app sec
 
Top10 risk in app sec fr
Top10 risk in app sec frTop10 risk in app sec fr
Top10 risk in app sec fr
 
2010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.82010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.8
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
 
Owasp Top 10 2010 Rc1 French Version V02
Owasp Top 10   2010 Rc1   French Version V02Owasp Top 10   2010 Rc1   French Version V02
Owasp Top 10 2010 Rc1 French Version V02
 

Dernier

Cours d'Intelligence Artificielle et Apprentissage Automatique.pptx
Cours d'Intelligence Artificielle et Apprentissage Automatique.pptxCours d'Intelligence Artificielle et Apprentissage Automatique.pptx
Cours d'Intelligence Artificielle et Apprentissage Automatique.pptx
Jacques KIZA DIMANDJA
 
Introduction à Crossplane (Talk Devoxx 2023)
Introduction à Crossplane (Talk Devoxx 2023)Introduction à Crossplane (Talk Devoxx 2023)
Introduction à Crossplane (Talk Devoxx 2023)
Adrien Blind
 
Vision de Claude 3.5 SONNET Comment utiliser la vision Utilisez les capacités...
Vision de Claude 3.5 SONNET Comment utiliser la vision Utilisez les capacités...Vision de Claude 3.5 SONNET Comment utiliser la vision Utilisez les capacités...
Vision de Claude 3.5 SONNET Comment utiliser la vision Utilisez les capacités...
Erol GIRAUDY
 
procede de fabrication mecanique et industriel
procede de fabrication mecanique et industrielprocede de fabrication mecanique et industriel
procede de fabrication mecanique et industriel
saadbellaari
 
Meetup LFUG : Cahier de vacances Liferay
Meetup LFUG : Cahier de vacances LiferayMeetup LFUG : Cahier de vacances Liferay
Meetup LFUG : Cahier de vacances Liferay
Sébastien Le Marchand
 
Tutoriel interactif d’ingénierie rapide d’Anthropic.pdf
Tutoriel interactif d’ingénierie rapide d’Anthropic.pdfTutoriel interactif d’ingénierie rapide d’Anthropic.pdf
Tutoriel interactif d’ingénierie rapide d’Anthropic.pdf
Erol GIRAUDY
 
Transformation Digitale - Initiez-vous à l'informatique et à l'utilisation de...
Transformation Digitale - Initiez-vous à l'informatique et à l'utilisation de...Transformation Digitale - Initiez-vous à l'informatique et à l'utilisation de...
Transformation Digitale - Initiez-vous à l'informatique et à l'utilisation de...
Maalik Jallo
 
CLAUDE 3.5 SONNET EXPLICATIONS sur les usages
CLAUDE 3.5 SONNET EXPLICATIONS sur les usagesCLAUDE 3.5 SONNET EXPLICATIONS sur les usages
CLAUDE 3.5 SONNET EXPLICATIONS sur les usages
Erol GIRAUDY
 

Dernier (8)

Cours d'Intelligence Artificielle et Apprentissage Automatique.pptx
Cours d'Intelligence Artificielle et Apprentissage Automatique.pptxCours d'Intelligence Artificielle et Apprentissage Automatique.pptx
Cours d'Intelligence Artificielle et Apprentissage Automatique.pptx
 
Introduction à Crossplane (Talk Devoxx 2023)
Introduction à Crossplane (Talk Devoxx 2023)Introduction à Crossplane (Talk Devoxx 2023)
Introduction à Crossplane (Talk Devoxx 2023)
 
Vision de Claude 3.5 SONNET Comment utiliser la vision Utilisez les capacités...
Vision de Claude 3.5 SONNET Comment utiliser la vision Utilisez les capacités...Vision de Claude 3.5 SONNET Comment utiliser la vision Utilisez les capacités...
Vision de Claude 3.5 SONNET Comment utiliser la vision Utilisez les capacités...
 
procede de fabrication mecanique et industriel
procede de fabrication mecanique et industrielprocede de fabrication mecanique et industriel
procede de fabrication mecanique et industriel
 
Meetup LFUG : Cahier de vacances Liferay
Meetup LFUG : Cahier de vacances LiferayMeetup LFUG : Cahier de vacances Liferay
Meetup LFUG : Cahier de vacances Liferay
 
Tutoriel interactif d’ingénierie rapide d’Anthropic.pdf
Tutoriel interactif d’ingénierie rapide d’Anthropic.pdfTutoriel interactif d’ingénierie rapide d’Anthropic.pdf
Tutoriel interactif d’ingénierie rapide d’Anthropic.pdf
 
Transformation Digitale - Initiez-vous à l'informatique et à l'utilisation de...
Transformation Digitale - Initiez-vous à l'informatique et à l'utilisation de...Transformation Digitale - Initiez-vous à l'informatique et à l'utilisation de...
Transformation Digitale - Initiez-vous à l'informatique et à l'utilisation de...
 
CLAUDE 3.5 SONNET EXPLICATIONS sur les usages
CLAUDE 3.5 SONNET EXPLICATIONS sur les usagesCLAUDE 3.5 SONNET EXPLICATIONS sur les usages
CLAUDE 3.5 SONNET EXPLICATIONS sur les usages
 

OWASP Top10 2013 - Présentation aux RSSIA 2013

  • 1. Et  pour  quelques  lignes  de  code  sécurisé   (oubliées...) RSSIA  -­‐  Bordeaux 21  Juin  2013 Sébas&en  Gioria SebasCen.Gioria@owasp.org Chapter  Leader  OWASP  France Friday, June 21, 13
  • 2. http://www.google.fr/#q=sebastien gioria ‣OWASP France Leader & Founder & Evangelist ‣Application Security freelance consultant. Twitter :@SPoint / @OWASP_France 2 ‣Application Security group leader for the CLUSIF ‣Proud father of youngs kids trying to hack my digital life. Ne  vous  inquietez  pas  c’est  le  seul  slide  en  anglais,  par  contre  il  y  aura  des  trucs  d’écrits  partout  en  bas... Friday, June 21, 13
  • 3. Agenda • Remise  a  plat  du  problème • Quelques  exemples  récents • Pour  aller  plus  loin   • L’écosystème  OWASP 3Déja  je  remercie  Hervé,  car  graçe  a  lui,  je  me  suis  levé  de  bonne  heure.... Friday, June 21, 13
  • 5. Jeu  2   5 ???? un  indice  :  c’est  a  la  mode..... Friday, June 21, 13
  • 8. Jeu  4  ?   7 ???? Moi  j’aurai  pas  confiance  a  filer  mes  idenCfiants  a  des  gens  Cers.... Friday, June 21, 13
  • 9. Game  Over.... • Un  Téléphone  VoIP  ?   • Une  {Free  ı  B  ı  Live  ı  SFR  ı  *  }  box  ? • Des  applicaCons  sur  des  ordiphones  ?   • Clients  ?  partenaires  sur    Internet  ? 8Ah....j’ai  réussi  a  le  caser  ce  mot...I? Friday, June 21, 13
  • 10. Nous  vivons  dans  un  environnement  fortement  digital,  connecté   en  quasi-­‐permanence  au  monde  enCer Sécurité  ApplicaCve  ?   9 Friday, June 21, 13
  • 11. Nous  vivons  dans  un  environnement  fortement  digital,  connecté   en  quasi-­‐permanence  au  monde  enCer Sécurité  ApplicaCve  ?   Age  de  l’  AnCvirus 9 Friday, June 21, 13
  • 12. Nous  vivons  dans  un  environnement  fortement  digital,  connecté   en  quasi-­‐permanence  au  monde  enCer Sécurité  ApplicaCve  ?   Age  de  l’  AnCvirus 9 Friday, June 21, 13
  • 13. Nous  vivons  dans  un  environnement  fortement  digital,  connecté   en  quasi-­‐permanence  au  monde  enCer Sécurité  ApplicaCve  ?   9 Friday, June 21, 13
  • 14. Nous  vivons  dans  un  environnement  fortement  digital,  connecté   en  quasi-­‐permanence  au  monde  enCer Sécurité  ApplicaCve  ?   Age  de  la     sécurité   périmétrique 9 Friday, June 21, 13
  • 15. Nous  vivons  dans  un  environnement  fortement  digital,  connecté   en  quasi-­‐permanence  au  monde  enCer Sécurité  ApplicaCve  ?   Age  de  la     sécurité   périmétrique 9 Friday, June 21, 13
  • 16. Nous  vivons  dans  un  environnement  fortement  digital,  connecté   en  quasi-­‐permanence  au  monde  enCer Sécurité  ApplicaCve  ?   9 Friday, June 21, 13
  • 17. Nous  vivons  dans  un  environnement  fortement  digital,  connecté   en  quasi-­‐permanence  au  monde  enCer Sécurité  ApplicaCve  ?   Age  de  la  sécurité   applicaCve 9 Friday, June 21, 13
  • 18. Nous  vivons  dans  un  environnement  fortement  digital,  connecté   en  quasi-­‐permanence  au  monde  enCer Sécurité  ApplicaCve  ?   Age  de  la  sécurité   applicaCve 9Et  la  mon  fils  me  dit  :  “Papa,  t’a  pas  mis  l’age  de  glace  sur  ton  slide....” Friday, June 21, 13
  • 19. Nous  vivons  dans  un  environnement  fortement  digital,  connecté   en  quasi-­‐permanence  au  monde  enCer vLa  plupart  des  sites-­‐web  sont  vulnérables  a  des  aoaques vUne   part   importante   du   business   est   effectué   via   des   applicaCons   Web   (Services,  e-­‐commerce,  Telcos,  SCADA,  ...) Sécurité  ApplicaCve  ?   Age  de  la  sécurité   applicaCve 9Et  la  mon  fils  me  dit  :  “Papa,  t’a  pas  mis  l’age  de  glace  sur  ton  slide....” Friday, June 21, 13
  • 28. ‘OR  1==1  -­‐-­‐’ 13 L’injecCon  SQL  fait  beaucoup  parler  d’elle.   Mais  il  existe  d’autres  formes  d’injecCons  :   •XML •XPath •LDAP •ORB(Hibernate) •... Friday, June 21, 13
  • 29. ‘OR  1==1  -­‐-­‐’ 13 L’injecCon  SQL  fait  beaucoup  parler  d’elle.   Mais  il  existe  d’autres  formes  d’injecCons  :   •XML •XPath •LDAP •ORB(Hibernate) •... Friday, June 21, 13
  • 30. ‘OR  1==1  -­‐-­‐’ 13 L’injecCon  SQL  fait  beaucoup  parler  d’elle.   Mais  il  existe  d’autres  formes  d’injecCons  :   •XML •XPath •LDAP •ORB(Hibernate) •... A1   Injec&on  de   données   serveur Friday, June 21, 13
  • 31. <script>alert(/XSS/);</script> 14 Vous  préférez  InjecCon  de  code  indirect  ? Friday, June 21, 13
  • 32. <script>alert(/XSS/);</script> 14 Vous  préférez  InjecCon  de  code  indirect  ? Friday, June 21, 13
  • 33. <script>alert(/XSS/);</script> 14 Vous  préférez  InjecCon  de  code  indirect  ? Friday, June 21, 13
  • 34. <script>alert(/XSS/);</script> 14 Le  Cross  Site  ScripCng  est  souvent  mal   considéré.  Sa  puissance  peut  aller  jusqu’a  la   prise  de  contrôle  sur  le  poste  client... Vous  préférez  InjecCon  de  code  indirect  ? Friday, June 21, 13
  • 35. <script>alert(/XSS/);</script> 14 Le  Cross  Site  ScripCng  est  souvent  mal   considéré.  Sa  puissance  peut  aller  jusqu’a  la   prise  de  contrôle  sur  le  poste  client... Vous  préférez  InjecCon  de  code  indirect  ? Friday, June 21, 13
  • 36. <script>alert(/XSS/);</script> 14 Le  Cross  Site  ScripCng  est  souvent  mal   considéré.  Sa  puissance  peut  aller  jusqu’a  la   prise  de  contrôle  sur  le  poste  client... A3   Cross  Site   Scrip&ng Vous  préférez  InjecCon  de  code  indirect  ? Friday, June 21, 13
  • 37. Vous  reprendrez  bien  un  peu  de  cookie  ? 15 Friday, June 21, 13
  • 38. Vous  reprendrez  bien  un  peu  de  cookie  ? 15 Friday, June 21, 13
  • 39. Vous  reprendrez  bien  un  peu  de  cookie  ? 15 Les développeurs peuvent être tentés de créer leur propre gestionnaire de sessions et d'authentification, mais il s'agit d'une tâche complexe. Il en résulte souvent des implémentations contenant des faiblesses de sécurité dans des fonctions telles que: la déconnexion, la gestion des profils, etc. La a diversité des implémentations rend la recherche de vulnérabilités complexe. Friday, June 21, 13
  • 40. Vous  reprendrez  bien  un  peu  de  cookie  ? 15 Les développeurs peuvent être tentés de créer leur propre gestionnaire de sessions et d'authentification, mais il s'agit d'une tâche complexe. Il en résulte souvent des implémentations contenant des faiblesses de sécurité dans des fonctions telles que: la déconnexion, la gestion des profils, etc. La a diversité des implémentations rend la recherche de vulnérabilités complexe. Friday, June 21, 13
  • 41. Vous  reprendrez  bien  un  peu  de  cookie  ? 15 Les développeurs peuvent être tentés de créer leur propre gestionnaire de sessions et d'authentification, mais il s'agit d'une tâche complexe. Il en résulte souvent des implémentations contenant des faiblesses de sécurité dans des fonctions telles que: la déconnexion, la gestion des profils, etc. La a diversité des implémentations rend la recherche de vulnérabilités complexe. A2   viola&on  de   session   et/ou   d’authen&fi ca&on Friday, June 21, 13
  • 42. Que  se  passe-­‐t-­‐il  ? 16 Friday, June 21, 13
  • 43. Que  se  passe-­‐t-­‐il  ? 16 Friday, June 21, 13
  • 44. Que  se  passe-­‐t-­‐il  ? 16 Friday, June 21, 13
  • 45. Que  se  passe-­‐t-­‐il  ? 16 Session  authen&fiée Friday, June 21, 13
  • 46. Que  se  passe-­‐t-­‐il  ? 16 Session  authen&fiée Friday, June 21, 13
  • 47. Que  se  passe-­‐t-­‐il  ? 16 Session  authen&fiée Surf  the  Web Friday, June 21, 13
  • 48. Que  se  passe-­‐t-­‐il  ? 16 Session  authen&fiée Friday, June 21, 13
  • 49. Que  se  passe-­‐t-­‐il  ? 16 Session  authen&fiée Friday, June 21, 13
  • 50. Que  se  passe-­‐t-­‐il  ? 16 Session  authen&fiée Friday, June 21, 13
  • 51. Que  se  passe-­‐t-­‐il  ? 16 Session  authen&fiée Friday, June 21, 13
  • 52. Que  se  passe-­‐t-­‐il  ? 16 Session  authen&fiée Friday, June 21, 13
  • 53. CSRF  démysCfié • Le  problème – Les  navigateurs  Web  incluent  automaCquement  la  plupart  des  idenCfiants  dans  chaque   requête. – Que  cela  soit  des  requêtes  venant  d’un  formulaire,  d’une  image  ou  d’un  autre  site. • Tous  les  sites  basés  uniquement  sur  les  idenCfiants  automaCques   sont  vulnérables – ApproximaCvement  100%  des  sites  le  sont… • C’est  quoi  un  idenCfiant  automaCque? – Cookie  de  session – Une  entête  d’authenCficaCon  HTTP – Une  adresse  IP – Les  cerCficats  SSL  client – L’authenCficaCon  de  domaine  Windows. Friday, June 21, 13
  • 54. CSRF  ?   18injections de requêtes illégitimes par rebond pour la vrai terminologie Friday, June 21, 13
  • 55. CSRF  ?   18 L’attaquant forge une requête HTTP et amène une victime à la soumettre via une balise d’image, XSS, ou de nombreuses autres techniques. Si l’utilisateur est authentifié , l’attaque est un succès. injections de requêtes illégitimes par rebond pour la vrai terminologie Friday, June 21, 13
  • 56. CSRF  ?   18 L’attaquant forge une requête HTTP et amène une victime à la soumettre via une balise d’image, XSS, ou de nombreuses autres techniques. Si l’utilisateur est authentifié , l’attaque est un succès. injections de requêtes illégitimes par rebond pour la vrai terminologie Friday, June 21, 13
  • 57. CSRF  ?   18 L’attaquant forge une requête HTTP et amène une victime à la soumettre via une balise d’image, XSS, ou de nombreuses autres techniques. Si l’utilisateur est authentifié , l’attaque est un succès. A8 Cross  Site   Request   Forgery injections de requêtes illégitimes par rebond pour la vrai terminologie Friday, June 21, 13
  • 61. site:gouv.fr.... 19 Une  simple  recherche  google  permet  d’avoir  accès  a   des  documents  confidenCels  ou   internes Friday, June 21, 13
  • 62. site:gouv.fr.... 19 Une  simple  recherche  google  permet  d’avoir  accès  a   des  documents  confidenCels  ou   internes Friday, June 21, 13
  • 63. site:gouv.fr.... 19 Une  simple  recherche  google  permet  d’avoir  accès  a   des  documents  confidenCels  ou   internes A5   Mauvaise   config   sécurité Friday, June 21, 13
  • 64. Qu’est-­‐ce  qu’un  risque  de  sécurité   applicaCf? 20La  c’etait  le  slide  qui  tue Friday, June 21, 13
  • 65. OWASP  Top10  2013 21 A1:  Injec&on A2:  Viola&on  de   Ges&on   d’authen&fica&on  et   de  session A3:  Cross  Site   Scrip&ng  (XSS) A4:Référence  directe   non  sécurisée  à  un   objet A5:  Mauvaise   configura&on  sécurité   A6  :  Exposi&on  de   données  sensibles A8:  Cross  Site  Request   Forgery  (CSRF)   A10:    Redirec&ons    et   transferts  non  validés A7:  Manque  de   contrôle  d’accès   fonc&onnel A9:  U&lisa&on  de   composants  avec  des   vulnérabilités  connues Friday, June 21, 13
  • 66. OWASP  Top10  2013 21 A1:  Injec&on A2:  Viola&on  de   Ges&on   d’authen&fica&on  et   de  session A3:  Cross  Site   Scrip&ng  (XSS) A4:Référence  directe   non  sécurisée  à  un   objet A5:  Mauvaise   configura&on  sécurité   A6  :  Exposi&on  de   données  sensibles A8:  Cross  Site  Request   Forgery  (CSRF)   A10:    Redirec&ons    et   transferts  non  validés A7:  Manque  de   contrôle  d’accès   fonc&onnel A9:  U&lisa&on  de   composants  avec  des   vulnérabilités  connues ex-­‐A9(transport  non  sécurisé)   +  A7(Stockage  crypto) Friday, June 21, 13
  • 67. OWASP  Top10  2013 21 A1:  Injec&on A2:  Viola&on  de   Ges&on   d’authen&fica&on  et   de  session A3:  Cross  Site   Scrip&ng  (XSS) A4:Référence  directe   non  sécurisée  à  un   objet A5:  Mauvaise   configura&on  sécurité   A6  :  Exposi&on  de   données  sensibles A8:  Cross  Site  Request   Forgery  (CSRF)   A10:    Redirec&ons    et   transferts  non  validés A7:  Manque  de   contrôle  d’accès   fonc&onnel A9:  U&lisa&on  de   composants  avec  des   vulnérabilités  connues ex-­‐A9(transport  non  sécurisé)   +  A7(Stockage  crypto) Friday, June 21, 13
  • 68. Pour  aller  plus  loin 22 Friday, June 21, 13
  • 78. 23 Apprendre Contractualiser Tester  et  vérifier Concevoir Coder Friday, June 21, 13
  • 79. 23 Apprendre Contractualiser Tester  et  vérifier Concevoir Coder Friday, June 21, 13
  • 80. 23 Apprendre Contractualiser Tester  et  vérifier Concevoir AméliorerCoder Friday, June 21, 13
  • 81. 23 Apprendre Contractualiser Tester  et  vérifier Concevoir AméliorerCoder Friday, June 21, 13
  • 82.  NEWS A  BLOG A  PODCAST MEMBERSHIPS MAILING  LISTS A  NEWSLETTER APPLE  APP  STORE VIDEO  TUTORIALS TRAINING  SESSIONS SOCIAL  NETWORKING 24 Friday, June 21, 13
  • 83. Dates • OWASP  EU  Tour  2013  :   –24  Juin  -­‐  Sophia  AnCpolis –25  Juin  -­‐  Geneve • Java  User  Group  Poitou  Charentes    -­‐  Niort  :  27  Juin –Secure  Coding  for  Java   • AppSec  Research  Europe  2013  :  20/23  Aout  –   Hambourg  –  Allemagne •  OWASP  Benelux  :  28/29  Novembre  2013 25 Friday, June 21, 13
  • 84. Soutenir  l’OWASP • Différentes  soluCons  :   –Membre  Individuel  :  50  $ –Membre  Entreprise  :  5000  $ –DonaCon  Libre • Soutenir  uniquement    le  chapitre  France  : –Single  MeeCng  supporter   • Nous  offrir  une  salle  de  meeCng  !   • ParCciper  par  un  talk  ou  autre  !   • DonaCon  simple   –Local  Chapter  supporter  :   • 500  $  à  2000  $   26 Friday, June 21, 13
  • 85. Prochains  meeCngs • Septembre  2013   –Salle  :  Mozilla  Center  Paris –Speaker  :   • Security  on  Firefox  OS • A  définir • Novembre  2013 –Salle  :  a  définir –Speaker  :  a  définir Friday, June 21, 13