Ayant récemment intégré le milieu de la sécurité, sa biographie se résume à son CV:
## Depuis Décembre 2010 : Stage Consultant Sécurité chez MARET Consulting ##
Etude du système de scoring CVSS, Risk Scoring, Pen Tests
Travaux sur le système d’authentification forte OTP (OATH) et son implantation dans diverses applications (Webmin, PHPMyAdmin, SSH, SVN, etc.)
Dev d’un “Authentifieur” Software OTP (OATH-TOTP) en Java.
Travaux/Etude du hardening de diverses applications et systèmes d’exploitation
## 2010 : Ingénieur Cryptologue chez NTX Research ##
Conception d’une bibliothèque de cryptographie en C pour l’embarqué ZigBee.
Elaboration et implantation de protocoles de sécurité (dont un concernant l’authentification forte) pour une solution propriétaire en environnement ZigBee (réseau maillé sans fil) en Java et C.
## Formation : Master en Mathématiques et Applications, Ingénierie - Mathématique, Ingénierie du Risque, parcours Codage Cryptage et Sécurité.
## Publications : OpenSSH: Furtivité et Hardening avec une authentification forte OTP (OATH - TOTP) - HOW TO : Intégrer une authentification forte par OTP dans PhpMyAdmin
## Intégrer un système d’authentification forte (One Time Password) dans vos applications ##
Intéressé très tôt par l’électronique et l’informatique (il a écrit ses premières lignes de codes à l’âge de 12 ans), André Liechti a tout d’abord obtenu un diplôme d’Ingénieur ETS (HES) en électronique à Saint-Imier (Suisse) avant de poursuivre par un diplôme d’Ingénieur EPF en Systèmes de Communication à Lausanne (Suisse) et à l’Institut Eurécom de Sophia-Antipolis (France). Son travail de diplôme effectué dans la Silicon Valley en 1997 le conforte dans l’idée de créer une entreprise dans le domaine des systèmes de communication à son retour.
Directeur technique de SysCo systèmes de communication sa depuis 1998, André Liechti est également chargé des cours “Applications Internet” pendant une dizaine d’années à l’Ecole d’Ingénieurs de Saint-Imier (actuellement HES-SO) ainsi que pour des études post-grades. Il est aussi actif dans la communauté open source, et principalement en PHP. Son expertise en sécurité informatique l’amène notamment à développer la librairie multiOTP, une librairie open source en PHP permettant d’intégrer de l’authentification forte selon des protocoles standards dans de nombreuses applications, offrant ainsi une alternative libre facile à mettre en œuvre.
## Intégrer un système d’authentification forte (One Time Password) dans vos applications ##
Alban Meunier a commencé sa carrière informatique en 1992. Dès 1994, il entame ses premiers projets d’annuaire avec Novell NDS. Dès cette époque il est confronté à des intégrations avec des environnements hétérogènes comme Netware, Unix, Windows et mainframe.
En 1998, il élargit son champ d’activité avec les annuaires et méta annuaires Netscape. Cette orientation technique l’amène à travailler dans nombre de pays pour y aborder plus de 150 environnements client et quasiment autant de visions des bonnes pratiques….
Il étend ainsi son expérience sur une large gamme de produits parmi:
- les annuaires comme ForgeRock OpenDJ, IBM SecureWay et Tivoli Directory Server, Isode, iPlanet et Sun directories, Microsoft Active Directory, Microsoft ADAM/LDS, Novell eDirectory, OpenLDAP, Oracle OID, RedHat / CentOS / fedora 389 DS, Siemens DirX
- divers proxy et annuaires virtuels
- les produits et suite de gestion des identités tels que ceux de Avencis, Calendra, Evidian, IBM, MaxWare, Microsoft, Novell, Oracle, Sun
Sur ces briques fondamentales, il apporte de la valeur ajoutée à des projets tels que:
- authentification/autorisation centralisée pour applications, Unix/Linux/Mac/Windows,
- intégration Windows, Samba, et Unix/Linux
- simplification et rationalisation d’infrastructure
- coexistence de messageries
- Web SSO, eSSO
- renforcement de sécurité
- et de nombreuses interfaces utilisateur (pages blanches, organigrammes, self service, administration de compte, etc…
En décembre 2000, il participe à la création de SmartWave SA à Genève. Depuis il dirige une équipe de consultants et est toujours actif en tant qu’expert
IDM et LDAP.
## Retour sur les fondamentaux LDAP trop souvent dangereusement malmenés ##
Après avoir acquis son master en informatique à l’EPFL de Lausanne, Alain travaille désormais en tant qu’ingénieur sécurité pour SCRT où il effectue régulièrement des missions de piratage éthique. Il porte une attention toute particulière au fonctionnement et dysfonctionnement des applications Web.
##Références
Conférencier au SAC’08
Conférencier aux Global Security Days ’10
Rédacteur sur blog.scrt.ch
Depuis 2007, co-fondateur et Dirigeant de Nouvel Strategies (SARL, Genève, Suisse) puis fondateur et Dirigeant de INOVEMENT (SARL, Genève, Suisse).
- Information security and risk management consulting and training provider.
- Plan, develop, and implement ISO 27001/27002 and PCI--DSS compliant Information Security Management Systems(ISMS).
- Perform information risk assessments and information security audits in national and multinational environments.
- Missions auprès de grands comptes et de PME, dans diférents secteurs d’activité (banques, tourisme, industrie)
Centre de Compétences pour la Sécurité des Entreprises (CCSIE), Genève, Suisse.
De 1999 à 2007, multiples expériences dans les Systèmes d’Information puis la Sécurité des Systèmes d’Information, à différents postes.
Certifié CISSP n°62736.
MBA Management de la Sécurité des Systèmes d’Information (IAE Aix en Provence / Haute Ecole de Genève)
## Comprendre les exigences PCI-DSS en terme de développement applicatif ##
Clément Oudot est le leader des projets LemonLDAP ::NG (WebSSO) et LDAP Tool Box (outils de gestion d’annuaires LDAP),
Clément Oudot est fortement impliqué dans le logiciel libre et plus particulièrement dans l’écosystème de la gestion et fédération des identités (OpenLDAP, LSC, Lasso, etc.)
Il travaille pour la société LINAGORA et est impliqué dans le projet LinID, une offre libre complète de gestion d’identité.
Références: conférences et publications présentées antérieurement
Voir http://lanyrd.com/profile/clementoudot/, en particulier :
- ConFoo
- LDAPcon
- Solution Linux
- Linux Tag
- RMLL
## CAS, OpenID, SAML : concepts, différences et exemples ##
Il est diplômé d’un Master en management de la sécurité des systèmes d’information de Concordia University of Alberta (Edmonton, Canada) et d’un diplôme d’ingénieur en systèmes d’information et réseaux de l’Ecole Centrale d’Electronique (Paris, France).
Chez Deloitte, Emmanuel exerce ses compétences en sécurité des systèmes d’information au travers de réalisation de nombreuses missions basées sur les référentiels ISO 2700x, PCI-DSS Il réalise également des tests d’intrusion externe et interne.
## Evaluation de la sécurité des applications mobiles ##
Franck Franchin (FR)
Franck Franchin travaille à la Direction de la Sécurité Groupe du Groupe France Telecom - Orange.
Spécialiste depuis 20 ans en architectures sécurisées de systèmes civils ou militaires et en cybercriminalité, il est ingénieur en systèmes d’information diplômé de SUPELEC, ingénieur en électronique et traitement du signal diplômé de l’ENSEEIHT et titulaire d’un MBA de l’ESCP.
Il mène aussi actuellement des recherches sur la cybersécurité et plus particulièrement sur la résilience des infrastructures vitales dans l’équipe de la Professeure Solange Ghernaouti-Hélie à HEC Lausanne.
Il donne périodiquement des conférences (sécurité, cybercriminalité, doctrines de cyberdéfense, entrepreneuriat) à l’IHEDN/CESD, à HEC Lausanne et à
l’ESCP-EAP.
## Cyberguerre et Infrastructures critiques : Menaces & Risques ##
Grégory Ruch est un ingénieur titulaire d’un Bachelor of Science
HES-SO en télécomunications, orientation réseaux et services. Il a obtenu son diplôme en septembre 2009 à la Haute Ecole d’Ingénierie et de Gestion du canton de Vaud (HEIG-VD) à Yverdon-Les-Bains. Depuis septembre 2009, il partage son temps entre son travail en qualité de collaborateur scientifique à l’institut ICT de la HEIG-VD et ses études à la HES-SO dans la filière Master of Science en technologies de l’information et de la communication. Grégory travaille actuellement sur le développement de nouvelles solutions d’obfuscation. Passionné par le domaine de l’ethical hacking, il pratique cette activité professionnellement et également à titre privé en participant à diverses compétitions.
## Obfuscation Logicielle: Quid Novi ? ##
Jean-Marc Bost dirige la Division Sécurité chez ELCA.
Il est en charge des diverses solutions sécurité éditées par ELCA ou par des partenaires, et déployées chez les clients d’ELCA.
Après avoir conçu et développé pendant des années diverses applications pour Internet, il a commencé, il y a 10 ans environ, à s’intéresser au besoin de sécurité particulier dans ce monde très ouvert et donc très exposé.
Depuis, il est très actif dans le domaine en:
- Illustrant et démontrant la menace, notamment autour de l’eBanking.
- Concevant et brevetant des solutions pragmatiques pour l’authentification forte,
- les transactions en lignes, la signature électronique ou encore la sécurisation de documents électroniques nécessitant une re-matérialisation.
- Présentant les principaux résultats dans différents événements liés à la sécurité.
Références
Articles et interviews dans les médias relatifs à divers domaines de
la sécurité de l’information (Agefi, Schweizer Bank, ICT journal, Infoweek, Point Banque, Computer World, Swiss IT Mag, etc.).
Participation à des conférences sur le thème de la sécurité (EuroSec,
Cartes, Banque sur Internet, Salon Sécurité
Informatique, Momentum, Internet Expo, …)
## Les limites de l’eBanking face à la menace des malwares ##
Julien Bachmann, ingénieur en sécurité diplômé d’EPITA est actuellement ingénieur sécurité au sein de SCRT. Il intervient principalement sur des tests intrusifs (ou Ethical Hacking) en Suisse comme à l’étranger ainsi que dans des missions d’analyse post-incidant impliquants des environnements Windows.
Julien est également auteur pour le magasine de sécurité MISC, dans lequel il a publié des articles sur la recherche de vulnérabilités, les rootkits ou encore le framework metasploit. Dernièrement, il a présenté des recherches sur les terminaux mobiles Apple aux GSDays (Paris) ainsi qu’à la SwissCyberStorm (Zurich).
Références
- MISC #33 : rootkits et virtualisation
- MISC #48 : in-memory fuzzing
- MISC #52 : le framework metasploit
- MISC #57 : introduction au reverse engineering d’applications iOS
- GsDays 2011 : introduction au reverse engineering d’applications iOS
- SwissCyberStorm 2011 : iOS applications reverse engineering
## Développement sécurisé d’applications pour terminaux iOS ##
Suite à l’obtention de son diplôme d’ingénieur HES en Télécommunications en 2008 à la HEIG-VD d’Yverdon-les-Bains, Julien est engagé à l’institut ICT de la HEIG-VD en qualité de collaborateur scientifique. Son rôle est de poursuivre les recherches débutées lors de son travail diplôme visant à développer une plateforme mobile sécurisée. Pendant cette période, Julien rencontre les responsables de sécurité de différents établissements bancaires afin de comprendre les besoins en termes de sécurité mobile dans des environnements sensibles. En 2010, les recherches aboutissent, le résultat est concluant et correspond à un besoin réel du marché. Afin d’assurer le suivi commercial de cette nouvelle solution, Julien fonde Sysmosoft SA en 2010 avec Mark Vincent. En dehors des aspects de gestion d’entreprise, Julien s’occupe des aspects de sécurité, tels que la modélisation des menaces, les spécifications des contre-mesures, la cryptographie, et l’intégration du processus SDL au sein de Sysmosoft.
## Développement sécurisé d’applications sur dispositifs mobiles ##
Julien Rinaldini est un ingénieur titulaire d’un Bachelor of Science HES-SO en informatique, orientation logiciel. Il travaille depuis février 2010 en qualité de collaborateur scientifique à l’institut ICT de la HEIG-VD. Dès septembre 2011, il continue sa formation en cours d’emploi à la HES-SO dans le but d’obtenir un Master of Science. Julien a étudié et fait du développement dans le domaine des “rainbow tables”. Actuellement il travaille sur le développement de nouvelles solutions d’obfuscation.
## Obfuscation Logicielle: Quid Novi ? ##
Joël focused on ethical hacking, intrusion detection systems and software engineering along his research activities at HEIG-VD (Haute Ecole d’Ingénierie et de Gestion du Canton de Vaud). After a while, he focused his research activities on the development of the first prototype which led, a few years later, to NetGuardians’ product. In 2007, he co-founded, with Raffael Maio, NetGuardians SA which provides a risk mitigation technology to prevent fraud, data leaks, etc.
Currently Joël is CEO-CTO at NetGuardians, held a CISSP and is an active member of the XDAS standard (Open Group initiative related to audit trails management).
## Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous ? ##
En 2001 Matthieu conçoit pour Axiliance l’un des premiers Firewalls Applicatifs fondés sur la technologie Reverse Proxy Web dont il est un spécialiste reconnu et, à ce titre, intègre l’équipe de développement du serveur Open Source Apache HTTPd. Expert en sécurité Web il contribue à différents projets WASC (Web Application Security Consortium) . Matthieu est également membre de l’OWASP (Open Web Application Security Project).
Références
- Participation au WAFEC (Web Application Firewall Evaluation Criteria) et au WASSEC (Web Application Security Scanner Evaluation Criteria) au sein du WASC (Web Application Security Consorsium)
## L’importance du protocole HTTP dans les APT (Advanced Persistent Threat) ##
Nicolas RUFF est chercheur en sécurité informatique au sein de la société EADS. Ses domaines d’intervention sont très variés, allant de la sécurité des infrastructures Microsoft, la réponse aux incidents, l’analyse de machines compromises (forensics), le test d’intrusion, la lutte contre les intrusions (APT), ainsi que la sécurité des équipements embarqués tels qu’Android ou VxWorks.
Il est l’auteur de nombreuses publications dans des revues spécialisées telles que MISC, dispense régulièrement des formations sur le sujet et participe à des conférences telles que Microsoft TechDays, la JSSI de l’OSSIR et le SSTIC.
## Embedded web applications: horror stories ##
Pascal Junod est professeur de sécurité informatique à l’HEIG-VD à Yverdon-les-Bains depuis fin 2008. Avant, il a travaillé comme cryptologue pour Nagravision SA (groupe Kudelski), un leader mondial dans le domaine de la télévision numérique. Ses centres d’intérêts recouvrent tout ce qui tourne autour de la cryptographie industrielle, le chiffrement en mode broadcast, la conception et l’analyse de primitives cryptographiques, et le hacking en général.
## Obfuscation Logicielle: Quid Novi ? ##
Philippe participe à la communauté de PHP depuis 1999. Coauteur du livre “Sécurité PHP 5 et MySQL 5”. Il est le leader de la section Montréalaise de l’OWASP. Président de Parler Haut, Interagir Librement; une entreprise qui fait des audits de sécurité des applications Web en PHP. Il offre des formations sur la programmation sécuritaire en PHP.
## OWASP Entreprise Security API ##
## Audit statique de code PHP ##
## Audit d’applications PHP ##
Philippe LEOTHAUD (FR)
Après 7 ans passés chez Bee-Ware, d’abord en tant que créateur du produit de Web-SSO i-Trust puis en tant que CTO, Philippe Leothaud est aujourd’hui Senior Technical Architect pour la société Irlandaise Vordel, éditeur d’une Gateway XML, où il a notamment en charge les problématiques de sécurité applicative.
## Fiabilisation et sécurisation des Web Services – Etat de l’Art ##
Rémi Mollon (CH)
Expert en Sécurité Informatique pour le CERN, Rémi Mollon a également travaillé dans le domaine des Grilles Informatiques, notamment pour le projet EGEE (Enabling Grids for E-sciencE).
Il a ainsi participé à des projets dans le domaine de la bio-informatique, pour le compte du CNRS IBCP et de MaatG France, où il a contribué à l’intégration des applications avec les Grilles, la sécurité des données étant une priorité dans ce domaine.
Au CERN, Rémi a assumé plusieurs rôles. Il a d’abord été développeur Data Management et membre de l’équipe de Sécurité Opérationnelle pour le projet EGEE. Il a ensuite intégré l’équipe de Sécurité du CERN, pour laquelle il est le responsable de l’infrastructure informatique, et contribue à la gestion opérationnelle des évènements de sécurité.
Références
* “Security Awareness Campaign At CERN”, SWITCH Security Working Group, 26-27 Octobre 2010 ;
* “Attaques informatiques au CERN : enjeux, conséquences et solutions”, CERN Computer Security Day, 10 Juin 2010 ;
* “Storage Element Security” EGEE’08, 22-26 Septembre 2008 ;
* “Introduction: Grid & Security”, EGEE’07, 1 Octobre 2007.
## Sur le chemin de l’authentification multi-facteurs… ##
Sébastien Bischof travaille dans la division sécurité chez ELCA où il est spécialisé dans la sécurité des systèmes et des communications.
Parmi les principaux travaux effectués depuis son arrivée dans la société, il a, en particulier, développé une démonstration fonctionnelle d’une attaque contre une solution sophistiquée de safebrowsing (Token USB).
Il a obtenu son Master of Science in Engineering à l’école HEIG-VD/HES-SO avec une implication soutenue dans les volets sécurité informatique du cursus.
Il a ainsi étudié en profondeur les mécanismes d’obfuscation et de rootkits.
Passionné de sécurité informatique, il participe aux compétitions de hacking locales comme Insomni’hack et se tient informé des menaces les plus récentes en participant activement sur les forums de sécurité.
## Les limites de l’eBanking face à la menace des malwares ##
Sebastien Gioria est consultant senior en Sécurité des Systèmes d’Informations au sein du cabinet d’audit GroupeY, Chapter Leader de l’OWASP pour la France, membre du OWASP Global Education Committee et membre du CLUSIF.
Il a une expériencede plus de 13 ans dans la sécurité des Systèmes d’Informations au sein de postes techniques ou à responsabilité dans des banques, assurances, telecoms. Sebastien est certifié CISA et ISO27005.
## Microsoft SDL dans un monde Java ##
## Concevoir une application JAVA sécurisée grâce à l’OWASP ASVS ##
Sebastien holds a BS degree in Computer Sciences with a major in telecommunication and pursues an MSE in security. He works, since 2009, as a Security Engineer at NetGuardians SA. His role is to design and integrate a risk mitigation technology to prevent fraud, data leaks and threats.
As hobby, Sebastien actively contributes to open source project such as Fedora and he’s involved in the scene of ethical hacking by participating in contest such as (Insomni’hack, swissstorm, etc.). Sebastien is also redactor of a security blog called Pycured.
Simon Blanchet have been professionally working in the fields of Information Systems Security and Security Software Design & Development for the past 11 years. He holds a B.Sc. in Computer Science from Université Laval in Canada and he is a Certified Information Systems Security Professional (CISSP).
Currently working as an Application Security Team Leader for a Private Bank, Simon has written his first lines of code in GW-BASIC on a TRS-80 at the age of 6. Originally from Canada, where he spent most of his teenage years hooked on North American BBSes and became fascinated with the so-called “underground hacking scene”, Simon is now living in Switzerland. Based in Geneva since 2005, he have previously worked as the primary
Application Security Architect for a Swiss Private Bankers establishment.
Simon started his professional career as a Security Software Designer at Matrox in Montreal where he helped developing a secure email solution for the masses. He gained experience with pretty much all the cryptographic libraries someone can think of (OpenSSL, Crypto++, MS CAPI, Bouncy Castle, SFL, CML, …). In early 2000, He also worked as a Development Team Leader for a security company based in Montreal were he was leading the design & development of a Meta-IDS (real time log collection, aggregation & correlation) built on top of OpenBSD. Later, in 2004 at Credentica, Simon had the chance to contribute to the first version of the SDK implementing Stefan Brands’ Digital Credential leveraging blind signature & selective disclosure to implement anonymous credentials upon which is now built Microsoft U-Prove.
Having started in the IT Security field as a software developer (cryptographic & security related software) than moved toward application security architecture, software security and software exploitation techniques, Simon likes to solve security related problems at the crossroads of software development and IT Security. Nowadays, his primary fields of interests are:
• Software Security / Secure Coding / Secure Programming / SDL
• Mobile Security / Secure Mobile Application Development
• Application Security Architecture / Web Application Security
• Cryptographic Software Development
• Public Key Infrastructure / Identity and Access Management / Authentication Technologies
• Network Security
• Object Oriented Software Design, Development & Programming (C++, Java & C#)
• Smartcard Programming and Integration
Simon Blanchet is fluent in C, C++ and Java.
## Identité numérique: harmoniser l’authentification forte avec la protection de la sphère privées ##
Spécialiste en Sécurité des Systèmes d’Information au sein de la division Business Consulting de la société ELCA informatique (Suisse).
A été le Directeur Opérationnel d’une société spécialisée dans l’audit de sécurité des systèmes d’information, gérant l’activité de cinq auditeurs (Suisse).
A travaillé auparavant comme consultant/auditeur sécurité pour un Big4 (Luxembourg).
## Développement applicatif & sécurité: Menaces, bonnes pratiques, retour d’expérience ##
Stefan Marzohl heads up IT Security Architecture globally for Credit Suisse. Security Architecture provides security strategies, standards and guidelines to all business units globally. The technology areas covered include Identity and Access Management, Data Security, Application Security and Infrastructure Security. Security Architecture collaborates closely with the Credit Suisse Chief Architects, the Risk departments, Application Developers and Systems Engineers to provide solutions mitigating key risks.
Stefan Marzohl has an extensive background in Software Development and Systems Engineering. He joined Credit Suisse in 2002 and has built a career in infrastructure and security architecture globally.
## Securing applications at Credit Suisse, a world-leading financial services company##
S.MARET has over 17 years experience in the field on information security with financial and private organizations. Member of the OWASP Switzerland, Co-Founder at AppSec Forum WS, OpenID Swiss Chapter and Strong Authentication, S. Maret contributes in several conferences. As principal consultant for MARET Consulting, his work strongly emphasizes on helping organizations integrate security activities in their internal Web app and Strong Authentication.
Références
- ConFoo 2011
- Swiss Cyber Storm 2011
- Geneva Application Security Forum 2010
- Security Summit Italy 2010 - Match On Card for Strong Authentication - Biometry
- Insctructor Crypto & PKI - 1997 à 2000 / Datelec - Dimenssion Data - Switzerland
## Learn Crypto & PKI - 101 ##
Suivre les conférenciers sur notre page du ASF-WS 2011 LANYRD