8 novembre 2018 : 16ème journée thématique “Sécu”
par Jonathan CHATRIOT le 20/09/2018 dans Evénements, Journées MIn2RIEN
|
Le réseau métier Min2rien organise sa
|
L’inscription est gratuite mais obligatoire Formulaire d’inscription
Programme prévisionnel (maj le 21/09/2018):
8h30 – 9h00 – Accueil café
9h00 – 10h00 : Keynote de Jean Paul Pinte
Docteur en information scientifique et technique, Maître de conférences à l’Université Catholique de Lille et spécialiste de la veille et de la cybercriminalité – https://cybercriminalite.blog
10h00 – 10h45 : Automatiser la gestion des configurations de son SI par le biais de SCAP
Par Nabil Diab
Résumé : Comptes et mots de passe par défaut, fichiers sensibles et interfaces d’administration accessibles par beaucoup trop d’utilisateurs, applications non mises à jour ou obsolètes… Quelques failles de sécurité qui pourraient être évitées par une bonne gestion des configurations. Une gestion qui pourrait sembler simple, peu coûteuse et ne nécessitant pas nécessairement de ressources humaines hautement qualifiées dans le domaine de la cybersécurité, s’est en réalité rendue de plus en plus difficile face à la complexité et la diversité des technologies grandissantes utilisées. Comment gérer l’ensemble des configurations systèmes et applicatifs de tout un système d’information de façon fiable, continue et efficace ? Le Security Content Automation Protocol (SCAP) a été créé à cet effet.
10h45 – 11h00 : pause
11h00 – 11h45 : Blockchains et logiciels de minage indésirables
Par Doriane Perard – isae-supaéro Toulouse
Résumé : L’engouement croissant pour la technologie blockchain se traduit par une explosion du cours des différentes crypto-monnaies. Ainsi, acquérir du bitcoin ou autre altcoin n’a jamais été aussi attractif. En parallèle, l’activité de minage s’est elle aussi développée, et il est devenu très compliqué d’acquérir suffisamment de matériel pour pouvoir s’y adonner de façon rentable. C’est pourquoi des personnes peu scrupuleuses ont mis au point des logiciels de minage indésirables, utilisant les ressources matérielles d’utilisateurs non avertis dans le but de générer des crypto-monnaies pour leurs concepteurs.
11h45 – 12h15 : IDOR, IDOR, le RSSI…
Par Thomas Bouzerar – Telecom Lille
Résumé : Retour d’expérience sur une prise de contact difficile avec le responsable de la sécurité d’une application après la découverte d’une vulnérabilité IDOR compromettant les données personnelles de l’ensemble des utilisateurs de la plateforme. Nous détaillerons d’abord la vulnérabilité, puis nous nous attarderons sur la prise de contact et sur l’évolution de l’application après la divulgation de la faille de sécurité.
12h15 – 14h00 : pause déjeuner
14h00 – 14h45 : Tour d’horizon des mécanismes d’authentification à double facteurs
14h45 – 15h30 : Browser fingerprinting: uses, risks and defenses
Par Walter Rudametkin – INRIA
Résumé : Browser fingerprinting is a new identification technique used to complement, or even replace, cookies. It is a risk to privacy because it is relatively effective, yet difficult to detect and more so to evade. The AmIUnique umbrella project studies the risks and uses of browser fingerprinting. We’ll talk about it’s strengths and weaknesses, how it can be used for tracking, as well as some defenses and a quick glance into our early work on helping to build privacy friendly browsers and extensions.
15h30 – 16h00 : Vault, une sécurité pour Docker en production
Par Benjamin Lecha – IEMN – IMT-Lille-Douai
Résumé : Docker prend de plus en plus d’importance dans le déploiement des applications web. Pourtant, cette technologie reste récente et peut souffrir de failles de sécurité. Les risques freinent énormément le déploiement des applications en production avec Docker. Les avis sur la gestion de la sécurité avec Docker en production fait encore débat tout comme les bonnes pratiques qui évoluent d’une mise à jour à l’autre. Afin de renforcer la sécurité de ses conteneurs, il est possible de mettre plusieurs solutions techniques. Cette présentation sera axée sur l’une d’entre elles, Vault, un gestionnaire de secrets.