Expert pki : Nouveaux consultants inscrits et nouvelles missions déposées

Exemple de missions de Mohamed,
Expert pki habitant ?

• Consultant Sécurité Senior

  Wavatecchez le client d𠆚MD-Consulting (La Française Des Jeux)
  Jan 2009 - aujourd'hui

  Fondateur d’une start-up spécialisée dans le domaine de la sécurité web et du développement d𠆚pplications SaaS. Nous éditons deux applications web mariant technologies web, voix sur IP et applications SaaS, le tout hautement disponible sur une architecture basée sur la solution Amazon EC2.
  * Je préfère ne pas détailler cette partie sur un CV comme ce projet se trouve à une phase embryonnaire et que l�ort marketing nécessaire pour le lancer n𠆚 pas été effectué. L𠆚pplication étant unique à l’heure de la rédaction de ce CV.
  Je maintiens mon rôle de consultant sécurité chez le client d𠆚MD-Consulting (La Française Des Jeux)

• Chef de Projet

  LA FRANCAISE DES JEUX
  Jan 2007 - Jan 2008

  Audit de Jeux en ligne, Intégrateur PKI.
  Projet de sécurisation des nouveaux jeux en ligne en appliquant les principales recommandations d’OWASP.
  
  • Rédaction des cahiers de recette sécurité et suivi des actions avec les différentes
  Équipes de développement.
  
  • Patch des outils précédemment développés afin de prendre en compte les
  Nouveaux vecteurs d𠆚ttaques possibles. Détection de failles en Black Box et en White Box
  • Revue de Code applicatif
  
  Projet de déploiement d’une PKI de 125000 certificats destinée aux terminaux de jeu en ligne.
  • Qualification de 4 solutions dont une outsourcée
  • Mise en place des maquettes techniques
  • Gestion de projet et planification des tâches
  • Coordination des tests de charge avec les équipes techniques.
  • Débuggage des problèmes techniques d’interopérabilité rencontrés entre les clients IPSec et la PKI
  • Optimisation
  - Conception de la PKI avec une CRL de 40 000 entrées pour des certificats d𠆑 an, 3 ans et 5 ans.
  - Dégroupage de la PKI par zone afin d𠆚lléger le nombre de certificats gérés par une autorité donnée (Métropole, agglomérations, dom-tom).
  
  • Etude des différentes approches permettant de certifier les terminaux de Jeu via
  le protocole SCEP, en prenant en compte les particularité techniques de l’infrastructure de La Française Des Jeux

• Chef de Projet - Expert Crypto, Intégrateur PKI

  FUJITSU SIMENS – Cybertrust « Luxembourg »
  Jan 2006 - Jan 2007

  Objectif de la mission:
  • Développement d’une application de détection d�us de l𠆞nsemble des serveurs de la solution
  • Développement de la couche cryptographique d’une application J2EE chez un client d’Ubizen (identité client tenue confidentielle)
  
  Dans le cadre d'un forfait de 45 jours, encadrement d’une équipe de développement
   Intégration des mécanismes de sécurisations applicatifs basés sur les API Cryptographiques d’IAIK
   Développement d’une application de détection d�us sur les différentes plateformes en analysant les évènements chiffrés relevés par les différents modules.
  Cette mission a aboutie à deux livrables.
  
  • Un package ‘sécurité’ encapsulant l𠆚PI d’IAIK, et permettant d�tuer les opérations de signature/chiffrement SMIME, la génération de timeStamps, la signature électronique de records dans les bases de données, le chiffrements d’éléments sensibles en XML, le contrôle d’intégrité de records effectués par les utilisateurs des différentes applications.
  L𠆞nsemble des API gèrent d’une manière transparente les clés privées stockées sur cartes à puces (Ikey 3000 de Rainbow) et Boîtiers HSM (Luna SA de SafeNet).
  
  • Un outil basé sur Eclipse RCP permettant de contrôler les abus sur le système. L’utilisateur est authentifié en SSL Client sur l’outil à l𠆚ide d’une Carte à puce, déchiffre une configuration qui lui est distribuée et qui contient le mot de passe de la partition HSM, charge la partition et ces clés et effectue les opérations de déchiffrement des records directement sur le HSM. L’outil effectue occasionnellement des opérations d𠆚udit en signant ces opérations et en les insérant dans une base dédiée. Cet outil intègre en effet le principe du ‘Triple Eye’ en séparant les rôles des administrateurs de ceux des contrôleurs applicatifs (une sorte de police des polices).

• Directeur Technique,

  AMD Consulting
  Jan 2006 - Jan 2009

  - Conception et développement d’une application de gestion de TAN Listes. Ces cartes en plastique permettant de doter une application d’un système renforcé de sécurisation à double facteur. Une solution d𠆚uthentification forte à faible coût, destinée aux applications très grand public (Banques, assurances, opérateurs, Impôts …). La solution se positionne au niveau de la couche authentification d’une application.
  - Conception et livraison de l𠆚pplication DATS destinée à optimiser la gestion des candidats dans une société de service. Un véritable workflow de suivi de parcours de recrutement/rappel intégrant aussi les appels d’offres client et les CVs au format XML-HR.
  - Conception et amélioration du framework de la société, conjointement avec les efforts effectués notre partenaire R&D Setic
  - Conception d’une application de scoring de tests de vulnérabilités basée sur un projet de recherche. La méthode CCWAPPS m𠆚 semblé être la plus adaptée au besoin.

• Fondation de la société Setic (2 Salariés à ce jour)
  Jan 2006 - aujourd'hui

  Fondation de la société Setic, spécialisée dans le domaine du développement J2EE. Cette société deviendra plus tard le partenaire stratégique de notre département R&D chez AMD Consulting, et est actuellement le partenaire stratégique de Wavatec aussi dans le sens ou nos trois sociétés partagent les mêmes socles techniques de développements et optimisent ensemble le rendement de ce noyau.
  Setic sera (voir plus haut), le pilier responsable des développement des deux applications SaaS qui sont actuellement en cours de livraison chez Amazon.

• Intégrateur PKI – Auditeur Wava

  LA FRANCAISE DES JEUX
  Jan 2005 - Jan 2006

  Dans le cadre du projet de la mise en place de l𠆚pplication d’offre de Jeu en ligne.
  
  Conseil et accompagnement du responsable sécurité dans sa démarche de sécurisation de l𠆚pplication de prise de jeu Online.
  
  Cette mission a aboutie à la rédaction d’un ensemble de documents et recommandations, et à l’édition d’un outil d’intrusion spécifique à l𠆚pplication en ligne capable de générer plusieurs milliers de vecteurs d𠆚ttaques web en partant du code même de l𠆚pplication. Cet outil a permis de détecter plusieurs failles graves dans l𠆚pplication en ligne et de les remédier.
  
  L’outil en question se basait sur le Guide OWASP V2 (aujourd’hui mis à jour vers les recommandations du Guide V3). Un port du code de l’outil vers une nouvelle version est actuellement en cours de développement et sera généralisé pour l𠆞nsemble des nouveaux Jeux proposés par l𠆚pplication de prise de jeu en ligne (Bingo, Jeux Temps réel, Jeux de Grattage, et les autres ).
  
  Dans le cadre de cette même mission, et du projet de migration X.25 > IP :
   Etude et mise en place d’une PKI pour authentifier d’une manière sécurisée
  l𠆞nsemble des terminaux de prise de Jeu de la société.
  Un projet ambitieux, un des plus grand déploiement IPSec au monde (non mis en production à l’heure actuelle). Cette étude s𠆞st concrétisée par le développement d’une PKI utilisant le code d𠆞JBCA (en partie), et l’implémentation du protocole SCEP d’une manière à ce qu’il puisse interagir avec les concentrateurs VPN propriétaires retenus par le client. Le projet de PKI a aussi abouti à la rédaction des documents d𠆚rchitecture et de déploiement de la PKI.

• Consultant Sécurité, Expert PKI

  NATIXIS Banques Populaires
  Jan 2004 - Jan 2005

  Objectif : Intégrer une solution de certification du marché en respectant les directives de la Politique de Référencement Intersectorielle de Sécurité (voir ADAE)
  Dans le cadre de projet de mise en place de l'offre de certification Nexus Smart Trust Certificate Manager de la société Nexus technologies.
  
  Accompagner la MOA, en temps que maîtrise d'Œuvre,
  Cette mission a aboutie à l'élaboration de 8 livrables, notamment :
  1. Présentation aux équipes concernées des avantages des PKI et de l'offre de certification de la solution retenue de Nexus
  2. Elaboration d'une documentation synthétisant l'ensemble des fonctionnalités offertes par la solution SmartTrust
  3. Présentation d'un dossier de Qualification d'une maquette pour validation par les équipes techniques
  4. Elaboration d'un certain nombre de benchmarks sur la solution, qualification et synthèse d'un bilan de maquette
  5. Rédaction d'un 'Fiche de Candidature' pour démarrer officiellement le cycle de validation du produit
  6. Rédaction d'un 'Document d'architecture technique' résumant l'ensemble des éléments nécessaires à la mise en place de la solution en production
  7. Rédaction d'un 'Contrat d'Avant Projet' expliquant les avantages fonctionnels offert par l'intégration de cette solution dans la maison
  8. Rédaction d'un plan de migration entre la solution actuelle de certification et la solution retenue
  
  Sécurité des projets
  • Analyse des risques liés à la sécurité en phase avant projet
  • Préconisations pour limiter les risques
  • Accompagnement des projets dans la mise en place des éléments de sécurité
  • Vérification de l'application des normes internes de la maison et des préconisations de sécurité du département SSI
  
  Développements systèmes distribués
  • Maintenance d'une application J2EE/MVC2 de certification interne
  • Développement de modules cryptographiques abstrait pour exploitation par les métiers
  • Développement intégration et support d'une solution d'authentification forte en SSL avec JSSE, intégrant la vérification OCSP de la validité des certificats
  • Développement d'un client SSH/SFTP en Java pour les systèmes distribués avec JSch
  • Maintenance d'un protocole d'authentification forte interne sur site central via des certificats X.509
  • Développement d'un gestionnaire abstrait de fournisseurs cryptographiques
  • Developpement d'une application web set servant d'un WebService offert par la société Dictao afin d'effectuer des opérations de vérification de signatures XMLDsig
  
  Sécurité des réseaux
  • Résolution de plusieurs incidents de production sur une infrastructure IDS en J2EE à base de RealSecure Site Protector
  • Assistance à l'élaboration d'un livrable sur les solutions d'authentification forte à base de EAP/TTLS et de 802.11i sur les réseaux sans fils
  • Suivi des évolutions sécuritaires et proposition de solutions
  
  Sécurité des systèmes distribués
  • Suivi des incidents 'techniques' et 'sécurité' sur deux applications web de sécurité en production
  • Suivi des incidents 'sécurité' ayant lieu sur les serveusr WAS de production de plusieurs applications
  • Gestion d'un parc de certificats pour les environnements DEV et REC pour les services web intra-groupes et internes

• Formateur en Sécurité

  POINT COM
  Jan 2004 - Jan 2004

  Elaboration d’une offre de formation sur les sujets de sécurité suivant (support des cours disponible)
  • Sensibilisation sur la sécurité des SI
  • La messagerie Internet
  • Mise en place de Postfix Redhat 9.0
  • Sécurisation de POP3 via SSL
  • Mise en place d’un serveur IMAP
  • Introduction à la cryptographie
  Les Annuaires LDAP
  • La signature numérique
  • Le chiffrement de données

• MOE Développeur Crypto et J2EE

  Francert « Start-Up Sécurité »
  Jan 2002 - Jan 2004

  Conception de Produit
  • Recensement de l𠆞tat de l𠆚rt du marché des produits de chiffrement et de signature de données et analyse qualitative de leurs fonctionnalités
  • Prise de contact avec les clients potentiels et recensement de leurs besoins
  • Conception des produits et regroupement des fonctionnalités
  • Elaboration des plans d�tion et des délais de livraison des produits

• Développement JAVA

  INEOPKI, INEOWEB, INEOSIGN, INEOBOX
  aujourd'hui

  • Spécification et Développement J2EE d’une partie de INEOPKI, une infrastructure de gestion de clés (PKI) munie d’un concepteur avancé de politiques de certifications et d’un serveur OCSP.
  • Développement des briques d�ministration de la PKI
  • Développement des briques de publication dans les annuaires LDAP
  • Développement d’un répondeur OCSP ayant la nouveauté de recevoir des flux de publication directement du serveur de certification
  • Tests d’interopérabilité du produit avec plusieurs outils exploitant les certificats X.509
  • Tests d’interopérabilité avec plusieurs annuaires LDAP
  • Tests d’interopérabilité avec les magasins d’Internet Explorer et de Netscape Navigator
  
  • Développement de INEOWEB, une application web J2EE/MVC s’interfacant avec le serveur de certification et agissant en tant que autorité d𠆞nregistrement en ligne. Ajout de la fonctionnalité de certification en deux phases
  • Tests de récupération des certificats derrière un serveur apache configuré en mode reverse-proxy
  • Tests de certification de client s sous Internet Explorer(Xenroll) et Netscape Navigator(Keygen)
  
  • Développement de INEOBOX, un coffre fort virtuel permettant le chiffrement de données à l𠆚ide d’une carte à puce respectant le standard PKCS11
  • Ajout du chiffrement sécurisé (AES 128/256, RSA 1024 -> 2048)
  • Tests d’intégration avec plusieurs modèles de cartes à puces
  • Tests de recouvrement de données par un administrateur d’un coffre fort à carte à puce perdue
  
  • Développement de INEOSIGN, un client lourd permettant l’échange de données signées et chiffrées avec un destinataire. Permet aussi l𠆞nvoi de coffre forts au format INEOBOX.
  • Intégration de l’utilisation des cartes à puces pour les opérations de signature
  • Envoi des messages sous le format S/MIME
  • Intégration des fonctionnalités de co-signature et de sur-signature
  • Tests d’intégration avec plusieurs modèles de cartes à puces
  • Tests de recouvrement de données par un administrateur d’un coffre fort à carte à puce perdue
  • Tests d’interopérabilité avec Microsoft Outlook Express
  R&D, Offres de Formations en Sécurité
  • Offre de formations aux entreprises sur les différents sujets de certification
  • Participation au projet national ICARE pour la standardisation de l’utilisation des certificats d𠆚ttributs.
  R&D:
  - Tuteur de Thèse de doctorat sur le sujet de l𠆚nalyse et la corrélation des évènements de logs sur des systèmes hétérogènes – Liris – INSA Lyon
  - Tuteur de thèse de mastère spécialisé sur le sujet d’intégration d’une méthode d𠆚uthentification forte basée sur nos travaux sur SWAT aux systèmes de SSO – ENST Télécom Paritech – Paris
  - R&D sur les next generation apps, ou Web 3.0, basées sur les architectures SOFEA
  
  Points clés
  - Rédaction de guides, de normes et de politiques de sécurité du système d'informations
  - Définition d'architecture système et applicative
  - Elaboration de Roadmap de produits
  - Esprit entrepreneur
  - Web Application Vulnerability Assessment de plusieurs applications grand public
  - Audit sécurité des infrastructures WLAN entreprise
  - Développement de plusieurs clients lourds (SWING, Eclipse RCP)
  - Développement de composants crypto pour des applications Front Office et Back Office (Dématérialisation d’échanges et Chiffrement partiel de données)
  - Développement d’une PKI SCEP basée sur les API de BouncyCastle
  - Développement d'une PKI en Java / JNI / OpenSSL
  - Développement d’une WebRA pour l𠆞nrollement d’utilisateurs finaux
  - Développement d’un système d𠆞nrollement X.509 auprès d’un site central
  - Développement de modules de synchronisation LDAP