LISEZ DANS CE NUMÉRO :

MOTS DES ÉDITEURS

CYBERATTAQUE CONTRE LE CANADA : QUELLE LEÇON EN TIRER?

Samuel Bonneau

RÔLES DES INTERVENANTS EN SÉCURITÉ INFORMATIQUE

Eric Morency

ENTREVUE

EN TOUTE SÉCURITÉ AVEC CLAUDE M. LANDRY

Samuel Bonneau

EXPERTISE

GOÛTEZ À LA MOBILITÉ EN TOUTE SÉCURITÉ !

Christophe Reverd

CYBERCRIMINALITÉ

CYBERCRIMINALITÉ ET CYBERSÉCURITÉ : COMMENT S’Y RETROUVER ?

Julie Horn

SÉCURITÉ APPLICATIVE

LE XSS EST UN RÉEL DANGER POUR LES ENTREPRISES

Benoît Guérette

PRODUIT

LE MINIPORTATIF PENETRATOR DE SECPOINT, UN GRAND GARDIEN DE RÉSEAU!

Yannick Lepage

CONFÉRENCES

CQSI 2010: RENDEZ-VOUS RÉUSSI !

Dimitri Souleliac

UN HACKFEST EN GRAND !

Comité Hackfest

ASSOCIATIONS

DES NOUVELLES DE L’ASIQ

Alex Bédard

L’AQIII : LE RÉSEAU DES TRAVAILLEURS AUTONOMES EN TIC

Cherryl Byrns

Rendez-vous sur le site www.secus.ca pour accéder gratuitement au magazine électronique SÉCUS.

SÉCUS – Magazine pour les organisations et les gens qui s’intéressent à la sécurité informatique

Site Web : www.secus.ca

Courriel : nouvelles@secus.ca

La deuxième édition de l'ouvrage "La fonction RSSI" Guide des pratiques et retours d'expérience est parue le 9 février dernier.

Elle s'enrichit de nouveaux retours d'expérience sur la continuité de service, les conformités liées à la vie privée et la sensibilisation utilisateur.
Vous trouverez plus d'informations au lien suivant

http://www.dunod.com/informatique-multimedia/systemes-dinformation-et-reseaux/strategie-et-systemes-dinformation/manageme/la-fonction-rssi

Bonne lecture

Un outil d'audit de sécurité en français vient de faire son apparition et se nomme AUDITSec vs 3.0 (fichier Excel).  Il prend ISO 27002 et le CMM comme modèle.

Voici le lien pour avoir un aperçu de l'outil, c'est le guide d'utilisation:

http://pages.videotron.com/elcoqui/Guide-AUDITSec.pdf

N'hésitez pas à me contacter:

Éric Clairvoyant

ecclairvoyant@hotmail.com

si ce n’est déjà fait, inscrivez-vous dès maintenant !

Mardi, 16 novembre 2010, à l’Auberge St-Antoine – un « 5 à 7 » des plus original présenté en partenariat avec la VETIQ

 « La sécurité de l’information vs votre entreprise : un combat à finir ! ». Cette conférence technique fera état des risques de sécurité au niveau des entreprises et présentera des cas vécus avec des démonstrations à l’appui. 

Pour plus de détails :

http://www.asiq.org/conferences.php#C012

Mercredi 17 novembre 2010, au Musée national des beaux-arts du Québec, de 17 h à 18 h

Conférence de M. Robert Chikarians, CA Canada - La racine du problème : « Accès privilégié des utilisateurs ».

Pour plus de détails :

http://www.asiq.org/conferences.php#C002

Ces deux activités sont gratuites pour les membres de l’ASIQ – administration@asiq.org

Merci !

C’est avec plaisir que l’ASIQ vous convie à sa prochaine conférence mensuelle.

Date :

Le mercredi 17 novembre 2010

Conférencier invité :

Robert Chikarians

CA Canada

Titre de la présentation :

La racine du problème : « Accès privilégié des utilisateurs »

Lieu :

Musée national des beaux-arts du Québec, Parc des Champs-de-Bataille, salon Paul-Rainville, rez-de-chaussée

HORAIRE PROPOSÉ :

Inscription : 16 h 30

Conférence : 17 h à 18 h suivi d’un léger repas

COÛT :

Membres de l’ASIQ : gratuit

Non-membres : 56,44 $ (50 $ + taxes)

À noter que le stationnement est situé à gauche du Musée. Il est gratuit pour les membres de l’ASIQ.

POUR VOUS INSCRIRE (au moins 48 heures à l’avance) :

http://www.asiq.org/inscription-conference.php

administration@asiq.org

Téléphone : (418) 621-0464

Une confirmation de votre inscription vous sera transmise par courriel.

Pour plus de détails sur le conférencier et le contenu de sa présentation, veuillez suivre le lien suivant : http://www.asiq.org/conferences.php#C002

Merci et au plaisir de vous y accueillir !

Bonjour à tous,

Le Hackfest 2010 (http://www.hackfest.ca) arrive à grands pas, dans exactement un mois l’un des plus gros évènements en sécurité et hacking au Québec aura lieu à Québec (Ste-Foy) à l’hôtel Classique (http://bit.ly/8ZbXi7) les 5 et 6 novembre prochain.

Cette année, nous avons une formule améliorée telle que le dit notre slogan 2010 : “harder, better, longer, stronger”. L’évènement est maintenant sur une période de deux jours, le vendredi contient des présentations pour un public plus élargi. Le samedi quant à lui reste dans l’ambiance underground et hacking avec des conférences plus techniques et pointues. http://www.hackfest.ca/?a=horaire

Mais le Hackfest c’est plus que ça! Les deux soirées de 18h00 à 03h00 comportent des concours de sécurité, de piratage informatique et de lockpicking. Le vendredi, nous avons pour vous une formule réalité entreprise. Inscrivez-vous pour participer en tant qu’employer d’une entreprise qui doit effectuer de l’espionnage industriel tout en protégeant sa propre compagnie. Le samedi, venez participer à notre Capture The Flag (CTF) original avec 3 tracks. Tout ceci est bien sûr accompagné d’une ambiance qui sera vous surprendre avec des DJs, des rafraîchissements et plus encore!

http://www.hackfest.ca/?a=games1 / http://www.hackfest.ca/?a=games2 / http://www.hackfest.ca/?a=games3

Cours SANS

Par contre si vous êtes un vrai de vrai qui aime avoir une fin de semaine 100% technique. Inscrivez-vous AVANT le 14 octobre à notre cours du SANS : Comprehensive Packet Analysis qui aura lieu le vendredi 5 novembre de 09h00 à 17h00 au coût de 995$ jusqu'au 6 octobre, par la suite 1095$, et ce, avec un rabais de 10% avec le discount code “COINS10” et l’inscription au Hackfest gratuite pour le vendredi soir et le samedi.

Inscrivez-vous ici:  http://www.sans.org/quebec-2010-cs-2/

Et pour plus de détails: http://hackfest.ca/?a=training

Hackfest et la communauté

En plus du Hackfest, impliquez-vous dans la communauté de sécurité et hacking du Québec en participant au Hackfest HackerSpace et au Hackfest Média:

http://community.hackfest.ca

http://media.hackfest.ca

Tout le monde peut participer, effectuer des présentations, écrire un article, venir assister aux rencontres et participer aux projets en cours!

Suivez-nous

Facebook: http://www.facebook.com/pages/Hackfest/133851126984

Twitter: http://www.twitter.com/hackfest_ca

LinkedIn: http://www.linkedin.com/groupRegistration?gid=2007109

Hacking Games 2010: Vendredi & Samedi

L'édition 2010 du Hackfest comporte 2 soirées d'environ 8 heures de sécurité et de hacking games!

Les inscriptions et règlements seront annoncées bientôt! 

Pour plus d'informations et de détails: http://hackfest.ca/?a=games2

---------------------------
::VENDREDI SOIR:
---------------------------

H4rd R3b00t présente: Reality Enterprise Hacking & Security :AKA: RedBlue/BlueRed CTF

Infos
-------

* Participant recherché*

Professionnel de la sécurité informatique (entreprise et gouvernement) et amateur/l33t de securité/hacking.

* Équipes*

2 équipes de 10 personnes (inscription individuelle) : Comme un vrai emploi, on ne choisit pas ces collègues.

Concept
------------

C'est avec grand plaisir que l'équipe du Hackfest vous annonce la tenue d'une épreuve inédite dans le monde des compétitions de hacking au Québec. Cette épreuve est le fruit d'une collaboration spéciale avec des membres des équipes Blackout et R3b00t du Hackus 2010 qui, à cette occasion, se sont réunis pour former H4rd R3b00t. Ceux-ci ont eu comme mandat de mettre sur pied, de façon indépendante, une épreuve dans laquelle les participants devront jouer aussi bien le rôle de la Blue Team (protection contre les attaques) que le rôle de la Red Team (exploitation des vulnérabilités).

Scénario
-------------

« Dans le monde ultra compétitif de la pharmaceutique, deux compagnies émergentes se vouent une lutte sans merci pour augmenter leur part de marché. Elles sont prêtes à utiliser tous les moyens dont elles disposent pour arriver à leur fin, et ce, même si elles sont à la limite de la légalité. Leurs employés sont donc soumis à un ensemble de règles très strictes visant à limiter au plus possible les possibilités d'espionnage industriel. Toutefois, malgré toutes les précautions qu'elles prennent, elles ne réussissent pas à sécuriser totalement leurs informations. Parmi les raisons de ces faiblesses, il semble que leur infrastructure informatique soit la première responsable.

Pour plus d'informations et de détails sur le scénario: http://hackfest.ca/?a=games1

---------------------------
:: SAMEDI SOIR ::
---------------------------

L'ambiance des Hacking Games original revient cette année. Voici les 3 track!

* WebCTF / CTF Application Web, Par Philippe Arteau*
--------------------------------------------------------------------------
Une application web vulnérable sera présentée aux participants. Pour chaque vulnérabilité trouvée, un drapeau sera dévoilé. Les types de failles seront très diversifiés et le niveau de difficulté variera également pour offrir un défi à tous.

* Sploits kiddie pr0n :AKA: ExecUS edition Hackfest 2010, Par Alexandre Létourneau*
--------------------------------------------------------------------------------------------------------------------
ExecUS contient des épreuves qui sont idéales pour les néophytes désireux d’apprendre comment exploiter les: Race conditions, Buffer overflows (stack/heap), Integer overflows, les ommissions de format strings, etc.

Afin de réduire la courbe d’apprentissage, la plupart des mécanismes de sécurité moderne, tels que: stack/mmap/libs/exec/vdso ASLR, Stack/Heap protector, PIE, relro, non-executable memory segments ou encore l’obfuscation de pointeurs libc, seront désactivés pour l’ensemble de ces épreuves.

* Mini CTF: Toues les chemins mènent à Rome*
------------------------------------------------------------------
Le concours consiste à pénétrer un réseau par les failles applicatives et système présente sur le parcours et récolter les flags. Plusieurs chemins mènent à Rome mais un seul mène au trésor de César.

Pour plus d'informations et de détails: http://hackfest.ca/?a=games2

As seen on LinkedIn from my friend Marc-Andre Leger:

Marc-Andre Leger has sent you a message.

Date: 9/01/2010

Subject: WiFiCamp Montreal @ iMusée

Bonjour / Hi

English text follows French

Un WiFiCamp aura lieu à Montréal le 6 novembre 2010 au iMusée, le musée de la micro-informatique du Québec. Dans l'esprit des BarCamp, il s'agit d'un événement gratuit sur le thème des WLAN, les réseaux sans fil. Les manufacturiers et les consultants sont invités à présenter leurs produits et services. Les utilisateurs et gestionnaires de réseaux auront une opportunité de discuter des WLAN. L'événement sera diffusé en direct sur LégerTV

Pour plus d'information, visitez la page LinkedIN
http://events.linkedin.com/WiFi-Camp-Montreal/pub/370238
ou le site de l'événement WiFiCamp: http://www.wificamp.info/

Vous pouvez aussi voir ce message sur mon blogue http://crhoma.org/blogue/archives/12949

=========
In English:
=========

There will be a WiFiCamp in Montréal on November 6th 2010 at the iMuseum, Québec’s micro-computer history museum. This is a free event on WLAN, Wireless Networking. Vendors are invited to showcase their WLAN products and services. Vendors can also have a table to use as a display. There will be a space available for WLAN consultants to present their offering to potential customers. WLAN Users will have an opportunity to exchange information on the issues that interest them. The event will be broadcast live on LegerTV.

For more information, visit the event page on LinkedIN http://events.linkedin.com/WiFi-Camp-Montreal/pub/370238 or the WiFiCamp website: http://www.wificamp.info/

Also see this message on my blog http://crhoma.org/blogue/archives/12949


Marc-Andre Leger
===============
Lecturer, Université de Sherbrooke
Professor, Champlain College (Saint-Lambert)
Custodian, iMusée de la micro-informatique du Québec
===============
http://www.leger.ca

Linux Identity annonce la sortie de l'édition dédiée à la nouvelle version de Debian Lenny : 5.0.5. Elle apporte un bon nombre de nouveautés liées, entre autres, à la mise à jour de sécurité et de logiciels.
Le magazine arrive avec 2 DVD d'installation optimisés pour les processeurs 32 et 64 bits respectivement. A l'intérieur vous trouverez l'ensemble des articles pratiques confirmant
que cette distribution Linux est solide et évolutive.

Pour en savoir plus

NOTE FROM CLEMENT:

Pour faire de grande chose on ne doit pas etre au dessus des gens, on doit etre avec eux.

Comme vous l'avez certainement remarqué sur notre site, des liens vers l'ASIQ et l'ASIMM sont présent et on ne retrouve pas de lien vers L`ISIQ.   Cela n'est pas une omission,  dès le début de l'ISIQ il y avait des choses qui laissait presager une courte vie.   Le lien direct avec les joueurs de la commauté n'y était pas.

Cela est très décevant,  car il avait des employés très très talentueux.    Le talent était toutefois relenti pour un arrimage un peu trop lourd.   Voici l'article publié dans le magazine Direction Informatique en ligne:

L'ISIQ ferme ses portes

02/06/2010 - L'institut de la sécurité de l'information du Québec (ISIQ), n'existera plus après le 4 juin 2010, faute de financement.

Jean-François Ferland

L'institut de la sécurité de l'information du Québec (ISIQ), un organisme à but non lucratif qui était défini comme une plateforme publique privée d'échange d'information et de connaissances en sécurité de l'information, cesse ses activités un an après avoir été essaimé du Centre de recherche informatique de Montréal (CRIM), où elle était encore hébergée à Québec et à Montréal.

«Face à l'impossibilité de mettre en place des conditions financières acceptables pour la poursuite de son mandat, la cessation des activités de l'ISIQ est devenue la seule solution », a déclaré Yves Sanssouci, le président du conseil d'administration de l'ISIQ, par voie de communiqué.

Selon nos informations, cinq ou six personnes, qui travaillaient encore à l'ISIQ jusqu'à ce jour, devront chercher un nouvel emploi dès lundi prochain.

Désistements

L'ISIQ aurait été contraint de mettre un terme à ses activités en raison de non-renouvellements de contributions financières de la part de ses partenaires.

Dans la section « Partenaires » qui est publiée sur le site Web de l'ISIQ en 2010, on retrouve les organisations qui ont « épaulé » l'organisme depuis sa fondation. Il s'agit du CRIM, de l'Institut de recherche d'Hydro-Québec, du ministère des Services gouvernementaux, de la Sûreté du Québec, de l'Université Laval et de la Ville de Québec. Deux autres organisations s'étaient ajoutés en cours de route à la liste des partenaires de l'ISIQ, soit la firme d'assurance et d'investissement SSQ Groupe Financier et le ministère du Développement économique, de l'Innovation et de l'Exportation .

Toutefois, la consultation de la page « Partenaires » dédiée à l'ISIQ qui était encore disponible sur le site du CRIM, on note la présence d'organisations qui ne figurent pas sur la page équivalente sur le site de l'ISIQ.

Il s'agit des partenaires fondateurs Bell, Desjardins, le Fonds de solidarité FTQ, le cabinet d'avocats Heenan Blakie, le ministère de la Santé et des Services sociaux, le ministère de la Sécurité publique, la Régie de l'assurance maladie du Québec et TELUS Québec.

Également, la Conférence régionale des élus de la Capitale-Nationale, qui s'était jointe à la liste des partenaires après la fondation de l'entité, ne figure pas sur la dernière liste des partenaires de l'ISIQ.

Missions

Établi en 2005, l'Institut de sécurité de l'information du Québec procurait aux petites et moyennes entreprises, aux travailleurs autonomes et aux particuliers des services de sensibilisation et de formation, des services de veille et d'information et des services d'élaboration de normes et de pratiques exemplaires en matière de sécurité de l'information.

L'organisme offrait également des services de référencement et de mise en valeur de l'expertise et des solutions de sécurité, des services de suivi de recherche et des services-conseils.

Regroupées sous la bannière « Filière PME », les activités de l'ISIQ qui étaient destinées aux entreprises bénéficiaient de l'adhésion de seize fournisseurs de services commerciaux en sécurité de l'information.

Pour les individus, l'ISIQ avait conçu, en collaboration avec le ministère des Services gouvernementaux et des partenaires publics et privés, une campagne de sensibilisation publique sur la protection des renseignements personnels et la sécurité de l'information.

En 2008 et 2009, de concert avec le gouvernement du Québec l'ISIQ avait réalisé les campagnes « Je protège mon identité sur Internet » qui cherchaient à sensibiliser les internautes au vol d'identité sur la Toile.

Également, l'ISIQ avait produit en 2008 et 2009 des compétitions de sécurité informatique où des équipes d'étudiants des cégeps et universités du Québec tentaient de relever des défis. Ces compétitions avaient eu lieu dans le cadre de la conférence « Boule de cristal » du CRIM.

L'édition 2010 de cette compétition avait été reportée « afin de permettre de rassembler les ressources requises et les conditions appropriées pour présenter cette importante manifestation pédagogique ».

NOTE: Au moment de mettre en ligne, le président du conseil d'administration de l'ISIQ, Yves Sanssouci, a accordé une entrevue à Direction informatique, qui fera l'objet d'un article à paraître sous peu.

Jean-François Ferland est rédacteur en chef adjoint au magazine Direction informatique

Linux Identity Set arrive avec son contenu riche : les disques
d'installation multi-bootables, contenant Ubuntu Lucid Lynx et ses
dérivées : Kubuntu, Xubuntu et Mythbuntu. De plus, le DVD 32 bits
comprend Ubuntu Netbook Edition. Ensuite, l'édition vous propose un
ensemble d'articles pratiques qui aideront l'autilisateur à découvrir,
comprendre et exploiter cette distribution très populaire au maximum de
ces capacités.

Pour en savoir plus:

http://www.linuxidentity.com/index.php?name=News&file=article&sid=77

Dès maintenant, téléchargez gratuitement le numéro 5/2010 dédié à la Sécurité sous Linux.

Au sommaire du numéro online 5/2010 :

*Règles de sécurisation sous Linux
*Le Projet Métasploit
*Attaque spear-phishing
*Mécanismes IPV6 avancés
* Samurai – protégez vos applications WEB

http://www.hakin9.org/fr

Votre magazine sur la sécurité informatique change pour vous !

Dès lors, Hakin9 magazine devient mensuel et en version numérique. Visitez le site web officiel de Hakin9 pour télécharger le numéro gratuit 4/2010.

Chaque mois, nouveau numéro online à télécharger gratuitement !

www.hakin9.org/fr

Mon bon ami Guy Bruneau sera a Nice pour enseigner un cours sur la detection des intrusions.

Guy est une sommité dans le domaine et un super instructeur.

Je vous recommande fortement cette classe.  Vous avec les détails ci-dessous.