Received: from p-mail1.rd.francetelecom.com (p-mail1.rd.francetelecom.com [195.101.245.15]) by www.ossir.org (8.13.1/8.13.1) with ESMTP id l2RDQUCk001418; Tue, 27 Mar 2007 15:26:30 +0200 Received: from ftrdmel10.rd.francetelecom.fr ([10.193.117.156]) by ftrdsmtp2.rd.francetelecom.fr with Microsoft SMTPSVC(6.0.3790.1830); Tue, 27 Mar 2007 15:27:36 +0200 Received: from [10.193.161.18] ([10.193.161.18]) by ftrdmel10.rd.francetelecom.fr with Microsoft SMTPSVC(6.0.3790.1830); Tue, 27 Mar 2007 15:27:35 +0200 Message-ID: <46091BCA.4080501@orange-ftgroup.com> Date: Tue, 27 Mar 2007 15:27:38 +0200 From: Franck Veysset Reply-To: JSSI Organization: France Telecom R&D User-Agent: Thunderbird 1.5.0.8 (Windows/20061025) MIME-Version: 1.0 To: sec@ossir.org, nt-securite@ossir.org, adherents@ossir.org, resist@ossir.org, annonce@ossir.org CC: JSSI Subject: [JSSI2007] Programme de la journee, ouverture des inscriptions Content-Type: text/plain; charset=ISO-8859-1; format=flowed Content-Transfer-Encoding: 8bit X-OriginalArrivalTime: 27 Mar 2007 13:27:35.0845 (UTC) FILETIME=[AEBBED50:01C77073] X-Loop: annonce@ossir.org X-Sequence: 90 Errors-to: annonce-owner@ossir.org Precedence: list X-no-archive: yes List-Id: List-Help: List-Subscribe: List-Unsubscribe: List-Post: List-Owner: List-Archive:
Programme de la JSSI 2007 -------------------------- La journée de la Sécurité des Systèmes d'Information, un évènement sécurité organisé par l'OSSIR, aura lieu le mardi 22 mai 2007. FIAP JEAN MONNET 30 rue Cabanis 75014 Paris http://www.fiap.asso.fr/guide/plan_acces.htm Modalités de participation : - 75 Euros pour les non adhérents - 15 Euros pour les adhérents de l'OSSIR Une inscription par mail avant le 27 avril 2007 est indispensable pour pouvoir assister à cette journée. Votre inscription ne sera validée qu'après réception du règlement ou du bon de commande (par courrier postal adressé à l'OSSIR) OSSIR 45 rue d'Ulm 75230 Paris cedex 05 Le nombre de places disponibles pour cette journée étant limité, les premiers inscrits seront les premiers servis. Adresse pour l'inscription : jssi@ossir.org L'OSSIR ne dispose pas de fax, ni de téléphone. Le MAIL, ainsi que le courrier papier, sont les seuls contacts possibles pour l'inscription à la JSSI. Ce programme est disponible à l'adresse Web : http://www.ossir.org/jssi2007/programme-jssi2007.html *Programme de la journée* ------------------------- "Le SI 2.0 : une évolution ou un bouleversement... pour la sécurité ?" ----------------------------------------------------------------------- 8h30 : accueil des participants et café 9h00 : ouverture de la journée 9h10-10h10, 1A, Nicolas Ruff (chercheur en sécurité, EADS), bienvenue dans le Web 2.0 10h10-10h40 : Pause café 10h40-11h40 : 2A, Eric Barbry (Avocat au Barreau de Paris), L'impact du Web 2.0 sur les aspects juridiques 11h40-12h40 : 2B, Table Ronde, animée par Michel Miqueu (CNES), Nouveaux services, nouvelles (ir)responsabilités ? 12h45-14h00 : Déjeuner 14h00-14h40 : 3A, Renaud Feil (Consultant en sécurité, HSC), "Le Web 2.0 : plus d'ergonomie... et moins de sécurité ?" 14h40-15h20 : 3B, Nicolas Fischbach (Senior manager, COLT), "L'opérateur passe au 2.0: la sécurité des réseaux de nouvelle génération". 15h20-15h50 : Pause café 15h50-16h30 : 4A, Cedric Blancher ("Responsable du Département de Recherche en Sécurité Informatique d'EADS"), Blogs, un concentré de problèmes à l'usage de tous ? 16h30-17h10 : 4B, Philippe Humeau (NBS system), Passé l'injection, Ajax entre en action 17h10-17h30 : Clôture de la journée, discussions --------------------------------------------------------- Détail des interventions : -------------------------- * Matin ******************* 1A - Bienvenue dans le Web 2.0 Conférencier : Nicolas Ruff Résumé de l'intervention : Bien qu'il n'existe pas de définition "officielle" du Web 2.0, cette conférence d'introduction se propose de faire le tour des technologies couramment acceptées comme "2.0" ... et des menaces associées. Outre l'analyse technique des attaques passées les plus significatives, l'accent sera mis sur les techniques offensives étudiées aujourd'hui dans les labos de recherche et disponibles demain sur Internet. A propos de Nicolas : Connu depuis plusieurs années dans le milieu de la sécurité, Nicolas RUFF est chercheur en sécurité informatique au sein de la société EADS. Ses thèmes de recherche sont : - La sécurité des infrastructures Microsoft - La sécurité Windows Mobile - La réponse aux incidents et l'analyse de machines compromises (forensics) - La lutte contre les codes malveillants (vers, spywares, rootkits) - La sécurité des réseaux sans-fil (WiFi, BlueTooth) Il est l'auteur de nombreuses publications sur la sécurité Windows dans des revues spécialisées telles que MISC, dispense régulièrement des formations sur le sujet et participe à des conférences telles que EuroSec, les Journées Microsoft de la Sécurité, la JSSI et le SSTIC. 2A- L'impact du Web 2.0 sur les aspects juridiques Conférencier : Eric Barbry, Avocat au Barreau de Paris Résumé de l'intervention : Pour les uns le web 2.0 est une "simple" evolution du web actuel ; pour les autres le web 2.0 est une véritable révolution. Le web 2.0 est en fait une "évolution révolutionnaire"... Une "simple" évolution sur un plan technique car le web 2.0 n'est pas une "rupture" technologique et repose essentiellement sur une agrégation de technologies existantes. Cepedant l'impact du web 2.0 est tel que l'on peut affirmer qu'il s'agit d'un évolution qui risque de fort de révolutioner les fondamantaux sociologiques, économiques et juridiques. Cette présentation qui aborde les aspects juridiques du web 2.0 tente d'expliquer que si le web 2.0 n'est pas un "no laws land ", il risque fort de constituer un tsunami juridique. A propos d'Eric : Eric Barbry dirige le pôle "Communications électroniques" du Cabinet Alain Bensoussan qui regroupe les départements "Internet", "télécoms", "sécurité des systèmes d'informations", "Informatique et libertés" et "droit public IT". Il est l'auteur de plusieurs ouvrages et articles consacrés au droit de l'Internet et au multimédia. Il est membre fondateur de Cyberlex et de l'Association française des correspondants informatique et libertés. Membre de l'OSSIR. Il est chargé d'enseignement à l'Ecole nationale supérieure des télécommunications. 1B- Table Ronde : Nouveaux services, nouvelles (ir)responsabilités ? Avec la participation de : Eric Barbry (Avocat au Barreau de Paris), Cédric Blancher (Responsable du Département de Recherche en Sécurité Informatique d'EADS), Gilles BRUSSON (Bâtisseur en sécurité, Renault), Christophe LABOURDETTE (CNRS et OSSIR), Nicolas RUFF (chercheur en sécurité, EADS et OSSIR), animée par Michel MIQUEU (CNES) Sujet : les nouveaux services offerts, tant en matière de travail collaboratif que pour la publication d'opinions personnelles sont générateurs de nouvelles responsabilités qui sont mises en avant par les entreprises pour décider d'offrir ou non ce type de services. Qu'en est-il dans la réalité ? Les participants à la table ronde discuteront des expérimentations menées (ou non) avec ce type de services (wiki, blog, chat,..). * Apres midi ******************* 3A- "Le Web 2.0 : plus d'ergonomie... et moins de sécurité ?" Conférenciers : Renaud Feil (Consultant en sécurité, HSC) Résumé de l'intervention : Cette intervention présente les nouveaux risques de sécurité qui découlent du modèle de développement des applications "Web 2.0". Elle présente les retours d'expérience de plusieurs audits de sécurité de code source et explique la cause des vulnérabilités fréquemment rencontrées. Elle étudie aussi les différents frameworks et outils de développement utilisés pour créer des applications "Web 2.0" et montre leur rôle dans la sécurité (ou l'absence de sécurité) du code produit. A propos de Renaud : Après une première expérience de 2 ans en tant qu'auditeur sécurité, Renaud Feil a rejoint HSC en 2007. Il a acquis une expérience significative dans la réalisation d'audits de sécurité de code source, notamment sur des technologies Web et sur plusieurs frameworks utilisés dans des projets atteignant plusieurs dizaines de milliers de jours / homme de développement. Il a déjà présenté par le passé le résultat de ses recherches lors de la conférence SSTIC et dans le magazine MISC. Il est diplômé du mastère SSIR de l'ENST. 3B- L'opérateur passe au 2.0: la sécurité des réseaux de nouvelle génération Conférencier : Nicolas Fischbach (Senior manager, COLT) Résumé de l'intervention : Beaucoup d'opérateurs sont en train de modifier des technologies critiques et éprouvées dans leurs réseaux: la voix devient voix sur IP. Les réseaux de transports passent à l'Ethernet et les DSLAMs à IP. La virtualisation progresse jusqu'à devenir un enjeu: réseaux MPLS, VLANs, pare-feux et PBX IP, etc. La convergence est elle aussi en marche. Quel est l'impact sur la sécurité de ces réseaux de nouvelle génération ? C'est ce que nous allons tenter de présenter. A propos de Nicolas : Nicolas FISCHBACH est Senior Manager chez COLT Telecom et dirige l'équipe sécurité au sein du département européen d'ingénierie réseau. Il gère Sécurité.Org et est actif au sein du Honeynet Project. Nicolas participe à de nombreuses conférences, publie des articles et donne des cours dans différentes écoles et universités. Pour plus d'informations: http://www.securite.org/nico/ 4A- Blogs, un concentré de problèmes à l'usage de tous ? Conférencier : Cedric Blancher (Computer Security Research Team Leader, EADS) Résumé de l'intervention : 2006 aura été l'année des blogs. Bien que la blogosphère existe depuis longtemps, cette année aura vu l'explosion du nombre de ces tribunes ouvertes et la forte médiatisation du phénomène comme de ses chroniqueurs les plus en vue. Vus sous l'angle de la sécurité informatique, ces blogs ne sont que de nouvelles applications Web, présentant des failles plus ou moins graves. Au delà de cette simple constatation technique, les blogs, en ce qu'ils offrent une capacité de publication encore inégalée, posent plus largement le problème de la maîtrise de l'information. A propos de Cedric : Après avoir été consultant en SSI pendant 4 ans, réalisant principalement des audits et tests d'intrusion, Cédric Blancher est aujourd'hui à la tête du Département de Recherche en Sécurité Informatique d'EADS. Ingénieur-chercheur spécialisé sur les problématiques réseau et sans-fil, il est également rédacteur pour MISC conférencier et blogger à ses heures. Il participe en outre à la promotion du logiciel libre en SSI et enseigne en mastères spécialisés. 4B- Passé l'injection, Ajax entre en action Conférencier : Philippe Humeau (NBS system) Résumé de l'intervention : Les utilisateurs sont désormais "éduqués" et le Web est à la fois devenu un outil de travail, une source d'information, mais il présente un intérêt à titre privé. Ces utilisateurs, souvent peut avertis, ont vu leurs vies transformées par l'utilisation croissante du Web. L'émergence de techniques de pointes pour attaquer ces nouveaux consommateurs, ou les entreprises dans lesquelles ils travaillent, par l'intermédiaire du Web devient un axe majeur pour les pirates. Si le Web "2.0" Javascript et ajax sont des mystères pour eux, les entreprises et leurs dirigeants informatiques doivent eux maitriser ces nouveaux vecteurs de compromission tout à fait réels et efficaces. A propos de Philippe : Philippe Humeau est l'un des fondateur en 1999 de la société NBS System. Cette société évolue depuis 8 années dans les tests de sécurité, les audits, la conception d'architectures sécurisés, le conseil et l'infogérance. En complément de son travail de consultant, il intervient en tant que conférencier, qu'auteur d'article dans plusieurs magazines et participe à la rédaction d'Howto publiques concernants la sécurité informatique.