Pass the SALT (Security And Libre Talks) est une conférence gratuite dédiée à la sécurité et aux logiciels libres se déroulant à Lille du 2 au 4 juillet 2018. La billetterie sera ouverte le 16 mai à 10 h, 200 places (orateurs et organisateurs compris), toutes gratuites, seront disponibles.
Son programme est désormais en ligne : 28 présentations pour en apprendre plus sur huit thématiques sécurité : sécurité des distributions, rétro‐ingénierie et bas niveau, sécurité réseau, sécurité Web, gestion d’accès et identité, blue team (équipe sécurité défensive), code et administration sécurisé, sécurité de l’Internet des objets et red team (équipe sécurité offensive). Cinq ateliers pour mettre les mains dans les octets de FreeIPA, Suricata et Scirius, Bro, AIL et Faup. Nous détaillons les différentes thématiques et quelques unes des présentations dans la suite de la dépêche.
Quelques présentations que l’on peut mettre en avant :
- la keynote de Pablo Neira Ayuso, le leader de l’équipe Netfilter : "a 10 years journey in Linux firewalling" ;
- la conférence sur r2frida par les leaders des deux projets Radare2 et Frida, Sergi Alvarez aka Pancake et Ole André V. Ravnås ;
- la venue de Stefan Eissing, le développeur de Mod_md qui implémente le prise en charge de Let’s Encrypt dans Apache sous forme de module.
Tout d’abord, les cinq ateliers occuperont chacun une demi‐journée. L’inscription (gratuite) se fera sur place. Les sujets des ateliers seront : l’IDS Bro, l’analyseur d’URL Faup, FreeIPA le gestionnaire d’identités et de droits, le cadriciel AIL de détection des fuites de données et, enfin, l’IDS/IPS Suricata et SELKS.
La première demi‐journée des conférences, lundi 2 juillet après‐midi, commencera, quant à elle, par une présentation du fonctionnement de l’équipe de sécurité de la distribution Debian par un de ses membres, Yves‐Alexis Perez.
L’après‐midi se poursuivra avec plusieurs conférences sur la rétro‐ingénierie et la sécurité de bas niveau :
- avec notamment Axelle Apvrille pour l’évaluation du risque de Spectre en environnement ARM ;
- Jakub Kroustek, concepteur de RetDec, pour présenter ce décompilateur dont Avast a libéré le code source fin 2017 ;
- Romain Thomas nous parlera d’instrumentation statique de binaires ;
- ou Antide Petit pour Cutter, l’interface graphique de Radare 2.
Le mardi matin sera entièrement dédié à la sécurité réseau avec notamment des présentations abordant les problématiques de filtrage sous forte charge :
- si vous aviez des questions sur BPF, XDP et consorts, Éric Leblond (Suricata core team) et François Serman (OVH) seront là pour vous éclairer ;
- on finira avec Xavier Mertens qui vous proposera de faire de la capture de masse avec des solutions libres.
L’après‐midi enchaînera sur la sécurité Web avec des présentations sur :
- Snuffleupagus et la sécurité de PHP 7 ;
- le pare‐feu applicatif Vulture ;
- ou les outils à destination des sources des journalistes avec les développeurs de SecureDrop.
On clôturera cette seconde journée sur de la gestion d’identités :
- de l’authentification à deux facteurs avec LemonLDAP::NG et FreeIPA ;
- et un retour d’expérience sur la conception de librairies cryptographiques, ici JOSE.
La dernière journée démarrera sur :
- collaboration et Threat Intel, avec Alexandre Dulaunoy et Andras Iklody du CIRCL ;
- et un voyage au sein de l’automatisation de l’investigation numérique, par Thomas Chopitea.
Développeurs et architectes trouveront ensuite leur bonheur :
- Landlock, par Mickaël Salaün ;
- optimisation de programmation sécurisée, par Pierre Chifflier ;
- et immutable architecture and zero trust networking, par Geoffroy Croupie.
La dernière demi‐journée verra d’abord trois conférences autour de l’Internet des objets :
- une plongée dans les honeypots IoT (simulation d’une station‐service ici) par Sébastien Tricaud ;
- une année d’investigation sur des objets connectés, par Rayna Stamboliyska ;
- et un cadriciel d’attaque d’IoT par Aseem Jakhar.
Nous terminerons avec de la sécurité offensive avec des conférences sur :
- Freedom Fighting Mode, par Ivan Kwiatkowski, un cadriciel facilitant le travail du pentester ;
- des vulnérabilités trouvées dans ShadowSocks, par Niklas Abel, et dans Glassfish, par Jérémy Mousset ;
- et les possibilités offertes par le matériel libre pour les pentesters, par Antoine Cervoise.
Aller plus loin
- Site Web de Pass the SALT (349 clics)
- Le programme en ligne (297 clics)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.