diff --git a/README.md b/README.md
index 9d2ca6574d006829181c55c296e17ecc5d837254..f81eaa8a87f4cc1ec34ecca2db62c9e26fd3f842 100644
--- a/README.md
+++ b/README.md
@@ -12,6 +12,19 @@ git submodule update --recursive --remote
bash develop_server.sh start
```
+## faire tourner les slides en local
+
+```bash
+cd content && npm install
+```
+
+```bash
+<VirtualHost *:80>
+ DocumentRoot "/opt/lampp/htdocs/limos/content"
+ ServerName slides
+</VirtualHost>
+```
+
## see also
* [https://limos.isima.fr/~mazenod/blog-et-pages-perso-au-limos.html](https://limos.isima.fr/~mazenod/blog-et-pages-perso-au-limos.html)
diff --git a/content/Etudiants/zz2-f5-privacy-crypto.md b/content/Etudiants/zz2-f5-privacy-crypto.md
index c0be9fd9dbbcafee36d0bbff6067f577b409683a..f157cd3a8b44622189520675f5d839984eb365cf 100644
--- a/content/Etudiants/zz2-f5-privacy-crypto.md
+++ b/content/Etudiants/zz2-f5-privacy-crypto.md
@@ -1,5 +1,5 @@
-Title: ZZ2 F5 Privacy & Crypto
-Date: 2018-02-16 10:55
+Title: ZZ2 F5 - Securité logicielle (1/2) - Privacy & Crypto
+Date: 2019-11-16 10:55
Category: <i class='fa fa-graduation-cap' aria-hidden='true'></i> Étudiants
Tags: cours
@@ -21,13 +21,13 @@ Tags: cours
* [tls](slides/privacy/tls.html)
* [pgp](slides/privacy/pgp.html)
* [tls vs pgp](slides/privacy/TLSvsPGP.html)
- * [tor](slides/privacy/tor.html)
+ * [tor](slides/privacy/tor.html) / [tor pour les moldus](slides/privacy/tor_lite.html)
* [bitcoin](slides/privacy/bitcoin.html)
## Evaluation
-* Examen écrit en fin de session (/10)
+* Examen écrit en fin de session
## Environnement de TP
@@ -35,22 +35,22 @@ Tags: cours
### déployer et configurer TLS avec Apache
-* ...
+* [https://gitlab.isima.fr/vimazeno/tp-www-ssl](https://gitlab.isima.fr/vimazeno/tp-www-ssl)
-## Mini projet en binôme (/10)
+## Mini projet en binôme
-* Donnez une manière de générer un [QR-code permettant d'importer directement une clé publique PGP avec OpenKeyChain](https://github.com/open-keychain/open-keychain/wiki/QR-Codes) (5 points)
+* Donnez une manière de générer un [QR-code permettant d'importer directement une clé publique PGP avec OpenKeyChain](https://github.com/open-keychain/open-keychain/wiki/QR-Codes)
* listez les outils utilisés
* détaillez les commandes à effectuer pour passer de la clé publique au QR-Code
* détaillez comment vous avecz tester le contenu de votre QR-Code
* joignez le QR-Code de votre clé PGP au message
-* Publiez votre clé PGP sur https://pgp.mit.edu puis envoyez moi l'url de votre clé (1 point)
+* Publiez votre clé PGP sur https://pgp.mit.edu puis envoyez moi l'url de votre clé
* Signez ma clé PGP isima https://fc.isima.fr/~mazenod/pages/pgp.html ou https://pgp.mit.edu/pks/lookup?op=vindex&search=0x408A4E510DCD0D14 et envoyez là moi en pièce jointe de votre message (2 points)
-* Votre message devra être chiffré, signé et comporter votre clé publique en pièce jointe (2 points)
+* Votre message devra être chiffré, signé et comporter votre clé publique en pièce jointe
-* Rendu le 26/03/2018 à 23h59 dernier délais
+* Rendu le 25/03/2019 à 23h59 dernier délais
- * Ã [vincent.mazenod@isima.fr](mailto:vincent.mazenod@isima.fr)
+ * Ã [vincent.mazenod@uca.fr](mailto:vincent.mazenod@uca.fr)
* ```[TP privacy crypto]``` dans le sujet du mail ... sinon je vous perds ;)
@@ -58,6 +58,4 @@ Tags: cours
## Evaluation du cours
-Vous avez aimé ou vous avez détesté ce cours ... donnez moi votre avis et aidez moi à l'améliorer (en tout anonymat)
-
-https://docs.google.com/forms/d/e/1FAIpQLSeiJQZRjRmiP2_oH30fx3_n7lLfdmEmGFgDqsdkvF-4IYsZRA/viewform
+Vous avez aimé ou vous avez détesté ce cours ... [donnez moi votre avis et aidez moi à l'améliorer (en tout anonymat)](https://docs.google.com/forms/d/1w65KH2cnL_DbTKrUT-2AMvQ_p0Ht-wfSJT2YLEB8l7E/prefill)
diff --git a/content/Etudiants/zz2-f5-websec.md b/content/Etudiants/zz2-f5-websec.md
index 088358cba1f869bb158bf406135ffc626ba09715..78005c793308461f292bf5e234409615189edcac 100644
--- a/content/Etudiants/zz2-f5-websec.md
+++ b/content/Etudiants/zz2-f5-websec.md
@@ -1,5 +1,5 @@
-Title: ZZ2 F5 WebSec
-Date: 2017-11-20 10:55
+Title: ZZ2 F5 - Securité logicielle (2/2) - sécurité des applications web
+Date: 2019-11-20 10:55
Category: <i class='fa fa-graduation-cap' aria-hidden='true'></i> Étudiants
Tags: cours
@@ -7,15 +7,9 @@ Tags: cours
## Plan du cours
-* Introduction
-
- * [Contexte](https://doc.m4z3.me/_/1337/contexte.htm)
- * [Cadre juridique](https://doc.m4z3.me/_/1337/droit.htm)
-
* Architecture
- * [HTTP](https://doc.m4z3.me/_/1337/HTTP.htm)
- * [TLS/SSL](https://doc.m4z3.me/_/1337/TLS.htm)
+ * [HTTP](slides/1337/http.htm)
* Pentesting
@@ -224,15 +218,17 @@ Ce bug est dû à la numérotation fantaisiste d'Ubuntu des interfaces réseau .
## Evaluation
-* Examen écrit en fin de session (/10)
+* Examen écrit en fin de session
## Mini projet en binôme
-* [Enoncé](https://drive.mesocentre.uca.fr/f/55715c2cdd44476fbb6f/?dl=1)
+* [Enoncé](https://drive.mesocentre.uca.fr/f/d9e76a8e45934a069890/?dl=1)
+
+<!-- * [Enoncé](https://drive.mesocentre.uca.fr/f/54bdd1a80c184bbcb63e/?dl=1) -->
-* Rendu le 26/03/2018 à 23h59 dernier délais
+* Rendu le 25/03/2019 à 23h59 dernier délais
- * Ã [vincent.mazenod@isima.fr](mailto:vincent.mazenod@isima.fr)
+ * Ã [vincent.mazenod@uca.fr](mailto:vincent.mazenod@uca.fr)
* ```[TP websec]``` dans le sujet du mail ... sinon je vous perds ;)
@@ -240,9 +236,8 @@ Ce bug est dû à la numérotation fantaisiste d'Ubuntu des interfaces réseau .
## Evaluation du cours
-Vous avez aimé ou vous avez détesté ce cours ... donnez moi votre avis et aidez moi à l'améliorer (en tout anonymat)
+Vous avez aimé ou vous avez détesté ce cours ... [donnez moi votre avis et aidez moi à l'améliorer (en tout anonymat)](https://docs.google.com/forms/d/1w65KH2cnL_DbTKrUT-2AMvQ_p0Ht-wfSJT2YLEB8l7E/prefill)
-https://docs.google.com/forms/d/e/1FAIpQLSdt93c8g306J60v2ANMCzVajo00udaFJApaGWt_TSugshbBmw/viewform
## See also
diff --git a/content/slides/1337/http.html b/content/slides/1337/http.html
new file mode 100644
index 0000000000000000000000000000000000000000..0a38698c69a43556ed2582d302f2e18a2f22a053
--- /dev/null
+++ b/content/slides/1337/http.html
@@ -0,0 +1,70 @@
+<!doctype html>
+<html>
+ <head>
+ <meta charset="utf-8">
+ <meta name="viewport" content="width=device-width, initial-scale=1.0, maximum-scale=1.0, user-scalable=no">
+
+ <title>HTTP</title>
+
+ <link rel="stylesheet" href="../../node_modules/reveal.js/css/reveal.css">
+ <link rel="stylesheet" href="../../node_modules/reveal.js/css/theme/white.css">
+
+ <!-- Theme used for syntax highlighting of code -->
+ <link rel="stylesheet" href="../../node_modules/reveal.js/lib/css/zenburn.css">
+ <link rel="stylesheet" href="../../node_modules/font-awesome/css/font-awesome.min.css">
+ <link rel="stylesheet" href="../main.css">
+
+ <!-- Printing and PDF exports -->
+ <script>
+ var link = document.createElement( 'link' );
+ link.rel = 'stylesheet';
+ link.type = 'text/css';
+ link.href = window.location.search.match( /print-pdf/gi ) ? '../../node_modules/reveal.js/css/print/pdf.css' : '../../node_modules/reveal.js/css/print/paper.css';
+ document.getElementsByTagName( 'head' )[0].appendChild( link );
+ </script>
+ </head>
+ <body>
+ <div class="reveal">
+ <div class="slides">
+ <section data-markdown="md/http.md"
+ data-separator="^\n\n\n"
+ data-separator-vertical="^\n\n"
+ data-separator-notes="^Note:"
+ data-charset="utf-8">
+ </section>
+ </div>
+ </div>
+
+ <script src="../../node_modules/reveal.js/lib/js/head.min.js"></script>
+ <script src="../../node_modules/reveal.js/js/reveal.js"></script>
+
+ <script>
+ // More info about config & dependencies:
+ // - https://github.com/hakimel/reveal.js#configuration
+ // - https://github.com/hakimel/reveal.js#dependencies
+ Reveal.initialize({
+ controls: true,
+ progress: true,
+ history: true,
+ center: false,
+ dependencies: [
+ { src: '../../node_modules/reveal.js/plugin/markdown/marked.js' },
+ { src: '../../node_modules/reveal.js/plugin/markdown/markdown.js',
+ condition: function() { return !!document.querySelector( '[data-markdown]' ); },
+ callback: function() {
+ Array.prototype.forEach.call(document.querySelectorAll('section > li'), function(ele){
+ var fragIndex = ele.innerHTML.indexOf("--")
+ if (fragIndex != -1){
+ ele.innerHTML = ele.innerHTML.replace("--", "");
+ ele.className = 'fragment';
+ }
+ });
+ }
+ },
+ { src: '../../node_modules/reveal.js/plugin/notes/notes.js', async: true },
+ { src: '../../node_modules/reveal.js/plugin/highlight/highlight.js', async: true, callback: function() { hljs.initHighlightingOnLoad(); } }
+ ]
+ });
+ </script>
+ </body>
+</html>
diff --git a/content/slides/1337/images/http/client-serveur.png b/content/slides/1337/images/http/client-serveur.png
new file mode 100644
index 0000000000000000000000000000000000000000..1504fddaa98608ac7813bac68afa9c05eab74502
Binary files /dev/null and b/content/slides/1337/images/http/client-serveur.png differ
diff --git a/content/slides/1337/images/http/http-slash-slash.png b/content/slides/1337/images/http/http-slash-slash.png
new file mode 100644
index 0000000000000000000000000000000000000000..78bedad6e2aec7e3db70233c94adabd1248777fd
Binary files /dev/null and b/content/slides/1337/images/http/http-slash-slash.png differ
diff --git a/content/slides/1337/images/http/illuminati.jpg b/content/slides/1337/images/http/illuminati.jpg
new file mode 100644
index 0000000000000000000000000000000000000000..34ef34f075d6274915753b593c71ffcf464e5618
Binary files /dev/null and b/content/slides/1337/images/http/illuminati.jpg differ
diff --git a/content/slides/1337/images/http/richardson.png b/content/slides/1337/images/http/richardson.png
new file mode 100644
index 0000000000000000000000000000000000000000..f6c1e1d90a13ec294791163295dff6a898579948
Binary files /dev/null and b/content/slides/1337/images/http/richardson.png differ
diff --git a/content/slides/1337/images/http/ssl-tunnel.png b/content/slides/1337/images/http/ssl-tunnel.png
new file mode 100644
index 0000000000000000000000000000000000000000..7c93cb37440020ea5c904c63cd20ab5826db74dc
Binary files /dev/null and b/content/slides/1337/images/http/ssl-tunnel.png differ
diff --git a/content/slides/1337/images/http/stateless.jpg b/content/slides/1337/images/http/stateless.jpg
new file mode 100644
index 0000000000000000000000000000000000000000..0788e1b70370e27f253a83e34c60340c13cc917d
Binary files /dev/null and b/content/slides/1337/images/http/stateless.jpg differ
diff --git a/content/slides/1337/md/http.md b/content/slides/1337/md/http.md
new file mode 100644
index 0000000000000000000000000000000000000000..bdef56c3b3aa86823a96b2c0caf91efea676d8d4
--- /dev/null
+++ b/content/slides/1337/md/http.md
@@ -0,0 +1,311 @@
+
+
+
+## client / serveur
+
+
+
+
+# HTTP
+
+ * le serveur est typiquement un __serveur web__
+ * le truc est typiquement une _ressource_ associée a une __URI__
+ * le client est typiquement
+ * un __navigateur web__
+ * une __web app__
+ * un __objet connecté__
+ * __n'importe quoi__ qui consomme de l'API...
+
+
+# HTTP
+
+* inventé par [Tim Berners-Lee](http://fr.wikipedia.org/wiki/Tim_Berners-Lee) en 1989
+* en [version 1.1](https://www.ietf.org/rfc/rfc2616.txt) depuis 1999
+* version 2.0 en cours de standardisation
+ * basée sur [SPDY](http://fr.wikipedia.org/wiki/SPDY) de Google
+
+Note:
+- périmètre de sécurité élargi browser / responsive / web app / API -> installé sur les mobiles
+- Tim Berners Lee a également inventé les adresses web et le langage HTML qui forment le web
+- URI terme le plus générique
+- URN sans le protocole
+- URL emplacement à suivre ne gère pas le déplacement de la ressource
+
+
+## requête HTTP
+
+ * une URI (Unified Resource Identifier)
+ * quelques [en-têtes / headers](http://en.wikipedia.org/wiki/List_of_HTTP_header_fields)
+ * contraintes sur le contenu demandé
+ * informations contextuelles
+ * sous la forme clé: valeur
+ * un verbe HTTP décrivant l'action
+ * une ligne vide
+ * un corps servant à éventuellement envoyer des données
+
+Note:
+- dans la préhistoire le verbe est appelé méthode
+
+
+## requête HTTP de la vraie vie
+
+<pre><code data-trim>
+GET / HTTP/1.1
+Host: perdu.com
+User-Agent: Mozilla/5.0 (X11; Linux i686; rv:35.0) Gecko/20100101 Firefox/35.0
+Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
+Accept-Language: fr,fr-fr;q=0.8,en-us;q=0.5,en;q=0.3
+Accept-Encoding: gzip, deflate
+Connection: keep-alive
+If-Modified-Since: Tue, 02 Mar 2010 18:52:21 GMT
+If-None-Match: "cc-480d5dd98a340"
+Cache-Control: max-age=0
+
+useless data
+</code></pre>
+
+Note:
+- Connection: keep-alive multiplexage de requête - envoyer plusieurs requêtes HTTP via la même connexion TCP (SPDY utilise ça)
+- Accept-Encoding: gzip, deflate commpressions supportées par le navigateur
+- le reste du cache
+
+
+## verbes HTTP
+
+agissent sur une URI
+
+ * __GET__: récupérer une _ressource_ ou une collection de _ressources_
+ * __POST__: créer un nouvelle _ressource_
+ * __PUT__: mettre à jour une _ressource_ existante ou créer une nouvelle _ressource_ à une URI donnée
+ * __DELETE__: supprimer une _ressources_ données
+ * __PATCH__: mettre à jour partiellement une _ressource_ existante
+
+
+## verbes HTTP
+
+* [Seuls GET et POST son implémentés dans les navigateurs](http://www.w3.org/TR/html5/forms.html#attr-fs-action)
+
+* Must read: [Please do not patch like an idiot](http://williamdurand.fr/2014/02/14/please-do-not-patch-like-an-idiot/)
+
+* c.f. REST plus loin dans cette présentation
+
+Note:
+- La liste n'est pas exhaustive: HEAD, OPTIONS, TRACE, CONNECT
+- tous idempotents sauf POST
+- PATCH n'est pas dans la spec
+
+
+## réponse HTTP
+
+composée
+
+ * d'un code HTTP
+ * de quelques [en-têtes / headers](http://en.wikipedia.org/wiki/List_of_HTTP_header_fields)
+ * informations sur le contenu servi
+ * sous la forme clé: valeur
+ * du contenu envoyé
+
+
+## réponse HTTP de la vraie vie
+
+<pre>
+<code data-trim>
+HTTP/1.1 304 Not Modified
+Date: Fri, 20 Feb 2015 15:15:01 GMT
+Server: Apache
+Connection: Keep-Alive
+Keep-Alive: timeout=2, max=100
+Etag: "cc-480d5dd98a340"
+Vary: Accept-Encoding
+
+<html>
+ <head><title>Vous Etes Perdu ?</title></head>
+ <body>
+ <h1>Perdu sur l'Internet ?</h1>
+ <h2>Pas de panique, on va vous aider</h2>
+ <strong>* <----- vous êtes ici </strong>
+ </body>
+</html>
+</code>
+</pre>
+
+Note:
+- Notez le header server qui donne déjà de l'information utile
+- Etag, vary concerne le cache
+
+
+## les codes HTTP
+
+ * __1xx__ Informational
+ * __2xx__ Successful
+
+ * __200__ OK
+ * __201__ Created
+ * __204__ No Content
+
+ * __3xx__ Redirections
+
+ * __301__ Moved Permanently
+ * __302__ Found
+ * __304__ Not Modified
+
+Note:
+- 201 typique aprè un post
+- 204 signifie un body de requête vide
+- 301 vs 302 on change d'URI ou pas (definitif temporaire)
+- 304 aucun besoin de recharger le contenu body vide
+
+
+## les codes d'erreur HTTP
+
+ * __4xx__ Client Error
+
+ * __400__ Bad Request
+ * __401__ Unauthorized
+ * __403__ Forbidden
+ * __404__ Not Found
+ * __405__ Method Not Allowed
+ * __406__ Not Acceptable
+ * __409__ Conflict
+ * __415__ Unsupported Media Type
+ * __418__ I’m a teapot
+
+
+## les codes d'erreur HTTP
+
+ * __5xx__ Server Error
+
+ * __500__ Internal Server Error
+
+liste complète sur [httpstatus.es](httpstatus.es)
+
+
+## paramètres HTTP
+
+deux types
+
+ * ceux passés via la query string de l'URL
+ * accessible via __$_GET__ en _PHP_
+ * ceux passés via le corps de la requête
+ * accessible via __$_POST__ en _PHP_
+ * tous les paramètres sont disponibles dans __$_REQUEST__ en _PHP_
+
+
+## REpresentational State Transfer
+
+
+
+
+## REpresentational State Transfer
+
+Must read:
+* [Haters gonna HATEOAS](http://timelessrepo.com/haters-gonna-hateoas).
+* [L’architecture REST expliquée en 5 règles](https://blog.nicolashachet.com/niveaux/confirme/larchitecture-rest-expliquee-en-5-regles/)
+* [Architectural Styles and
+the Design of Network-based Software Architectures](https://www.ics.uci.edu/%7Efielding/pubs/dissertation/top.htm) by Roy Thomas Fielding 2000
+
+Note:
+- Level 0 - HTTP comme protocole de transfert uniquement (transport only). Style RPC (SOAP, XML-RPC) on pourrait utiliser autre chose comme protocole
+- Level 1 - Structure en Ressources individuelles, notion d'id sur les objet
+- Level 2 - le Client utilise les verbes HTTP & les serveur les codes HTTP
+- Level 3 - Hypermedia Controls = Content Negotiation + HATEOAS
+- Level 3 - Content Negotiation -> sélectionner le format de représentation pour une ressource (json, xml, etc ..) le serveur tente de répondre au mieux autant que faire se peut.
+- Level 3 - HATEOAS -> découvarbilité de l'API l'app est vue comme une machine à états
+- on est loin du site web au sens CMS, pourautant ces services sont soumis au mêmes vulnérabilités
+
+
+## HTTP est "__stateless__"
+
+
+
+Note:
+- Http est amnésique
+- chaque requête est traitée comme une requête indépendante sans relation avec les précédentes
+
+
+## les cookies
+
+* introduits par Netscape en 1994 pour fiabiliser l'implémentation du panier d'achat virtuel
+* envoyés sous forme d'en tête HTTP par le serveur
+<pre><code class="http">Set-Cookie: name=value[; Max-Age=age][; expires=date]
+ [; domain=domain_name][; path=some_path][; secure]
+ [; HttpOnly]
+</code></pre>
+* renvoyés inchangés par le client à chaque requête
+<pre><code class="http">Cookie: name=value</code></pre>
+
+
+## les cookies
+
+ * accessibles via __$_COOKIE__ en _PHP_
+ * cloisonnés par domaine
+ * accessibles via les sous domaines
+ * blocable par l'option _domain_
+ * [tracking cookie](../privacy/tracking.html)
+ * êtes vous en [conformité avec la loi?](http://www.cnil.fr/vos-obligations/sites-web-cookies-et-autres-traceurs/que-dit-la-loi/)
+
+Note:
+- https://www.owasp.org/index.php/HttpOnly -> pas de manipulation client side ANTI-XSS
+- https://www.owasp.org/index.php/SecureFlag -> accessible en https uniquement
+- sous domaine, google maps / google play / google.com
+
+
+## les sessions
+
+ * données gérées côté serveur
+
+ * transimission de l'ID de session uniquement
+
+<pre><code data-trim>
+ Cookie: PHPSESSID=hr0ms75gs6f7vlph0hhct2bjj3
+</code></pre>
+
+ * accessibles via __$_SESSION__ en _PHP_
+
+
+## [__SOP__ Same Origin Policy](https://developer.mozilla.org/fr/docs/Web/JavaScript/)
+
+ * concerne [XMLHttpRequest](https://fr.wikipedia.org/wiki/XMLHttpRequest) / [Ajax](https://fr.wikipedia.org/wiki/Ajax_(informatique%29)
+ * restreint les interactions d'une app web aux ressources ayant la même origine
+ * origine
+ * le protocole
+ * le port (si spécifié)
+ * l'hôte
+
+
+## [CORS](http://en.wikipedia.org/wiki/Cross-origin_resource_sharing)
+
+ * Cross Origin Resource Sharing
+ * contrôler les accès en mode cross-site
+ * effectuer des transferts de données sécurisés
+
+### client
+<pre><code data-trim>
+ Origin: http://www.foo.com
+</code></pre>
+
+### serveur
+<pre><code data-trim>
+ Access-Control-Allow-Origin: http://www.foo.com
+</code></pre>
+
+
+## [CORS](http://en.wikipedia.org/wiki/Cross-origin_resource_sharing)
+
+* <span style="color:red">* </span> dans le cas d'une ressource 100% publique
+* autorise tous les verbes HTTP
+* remplace [JSONP](https://en.wikipedia.org/wiki/JSONP)
+ * qui n'autorisait que la méthode GET
+
+[MDN|Contrôle d'accès HTTP](https://developer.mozilla.org/fr/docs/HTTP/Access_control_CORS)
+
+Note:
+- l'introduction de cette nouvelle possibilité implique nécessairement que les serveurs doivent gérer de nouvelles entêtes, et doivent renvoyer les ressources avec de nouvelles entêtes également
+- doit être supporté par le navigateur
+- la valeur * est possible mais risquée
+- requêtes simples, pré-vérifiées avec le verbe OPTIONS, avec habilitations en forcant l'envoie du cookie
+
+
+## header, cookie, body, query string, script ...
+
+<!-- .element: width="35%" -->
diff --git a/content/slides/index.html b/content/slides/index.html
index e1e1ee0ce93d3291401637255bdba7758eda00b6..09ed33a97184e865897f6411a2543915c758c98c 100644
--- a/content/slides/index.html
+++ b/content/slides/index.html
@@ -1,5 +1,10 @@
-<li><a href="privacy/jnarac.html">je n'ai rien à cacher</a></li>
-<li><a href="privacy/jnarac_history.html">je n'ai jamais rien eu à cacher</a></li>
+<li>
+ <a href="privacy/jnarac.html">je n'ai rien à cacher</a>
+ <ul>
+ <li><a href="1337/http.html">HTTP</a></li>
+ </ul>
+</li>
+
<li><a href="privacy/passwords.html">mots de passes</a></li>
<li><a href="privacy/tracking.html">tracking</a></li>
<li><a href="privacy/sovereignty.html">souveraineté</a></li>
diff --git a/content/slides/privacy/images/jnarac/gafa/futurology.png b/content/slides/privacy/images/jnarac/gafa/futurology.png
new file mode 100644
index 0000000000000000000000000000000000000000..e59e547b689978347fe09495f0626fad1ac872ad
Binary files /dev/null and b/content/slides/privacy/images/jnarac/gafa/futurology.png differ
diff --git a/content/slides/privacy/images/jnarac/index/degres-separation.png b/content/slides/privacy/images/jnarac/index/degres-separation.png
new file mode 100644
index 0000000000000000000000000000000000000000..fbabf5abc0455f2f0c343f6c2f40ece8b4d93578
Binary files /dev/null and b/content/slides/privacy/images/jnarac/index/degres-separation.png differ
diff --git a/content/slides/privacy/images/jnarac/ssi/vigipirate.jpg b/content/slides/privacy/images/jnarac/ssi/vigipirate.jpg
new file mode 100644
index 0000000000000000000000000000000000000000..deacf3d19b1ff8d24c37736633e1d535e78eda40
Binary files /dev/null and b/content/slides/privacy/images/jnarac/ssi/vigipirate.jpg differ
diff --git a/content/slides/privacy/jnarac.html b/content/slides/privacy/jnarac.html
index ddde43f2803b5dfa05d6c6371bdb091440ef1efb..7496d1935c6a7bb37e7cfb82415f4250faef1e98 100644
--- a/content/slides/privacy/jnarac.html
+++ b/content/slides/privacy/jnarac.html
@@ -56,6 +56,12 @@
data-separator-notes="^Note:"
data-charset="utf-8">
</section>
+ <section data-markdown="md/jnarac/ssi.md"
+ data-separator="^\n\n\n"
+ data-separator-vertical="^\n\n"
+ data-separator-notes="^Note:"
+ data-charset="utf-8">
+ </section>
<section data-markdown="md/jnarac/law.md"
data-separator="^\n\n\n"
data-separator-vertical="^\n\n"
diff --git a/content/slides/privacy/md/jnarac/gafa.md b/content/slides/privacy/md/jnarac/gafa.md
index c6a417fa4dd0315e5cf0b77c9037816ef33e27d4..9118fc0138521153abe465ba1dd84b3e6edeb6dd 100644
--- a/content/slides/privacy/md/jnarac/gafa.md
+++ b/content/slides/privacy/md/jnarac/gafa.md
@@ -29,6 +29,12 @@ Note:
- en général il n'est pas compliqué
+## Si c'est gratuit
+### c'est l'utilisateur le produit!
+
+<!-- .element: style="width:40%;" -->
+
+
## Données personnel
<!-- .element: width="60%" -->
@@ -73,12 +79,6 @@ Note:
- surtout si l'oppresseur c'est l'état
-## Si c'est gratuit
-### c'est l'utilisateur le produit!
-
-<!-- .element: style="width:40%;" -->
-
-
## Ce que <i class="fa fa-google" aria-hidden="true"></i> & <i class="fa fa-facebook" aria-hidden="true"></i> savent de vous
* [Google Mon activité](https://myactivity.google.com/myactivity)
@@ -90,7 +90,7 @@ Note:
* [hello facebook identifie les numéros inconnus](http://www.numerama.com/magazine/32889-avec-hello-facebook-identifie-les-numeros-inconnus.html)
-## <i class="fa fa-ambulance" aria-hidden="true"></i> Ce que <i class="fa fa-google" aria-hidden="true"></i> & <i class="fa fa-facebook" aria-hidden="true"></i> savent de vous
+## <i class="fa fa-ambulance" aria-hidden="true"></i> protéger sa vie privée
* Lire les CGU
* [Terms of Service; Didn't Read - TOSDR](https://tosdr.org/)
@@ -102,7 +102,7 @@ Note:
* Libre <i class="fa fa-smile-o" aria-hidden="true"></i>
-## <i class="fa fa-ambulance" aria-hidden="true"></i> Ce que <i class="fa fa-google" aria-hidden="true"></i> & <i class="fa fa-facebook" aria-hidden="true"></i> savent de vous
+## <i class="fa fa-ambulance" aria-hidden="true"></i> protéger sa vie privée
* Comprendre les tracking cookie
* [<i class="fa fa-github" aria-hidden="true"></i> willdurand-edu/cookie-playground](https://github.com/willdurand-edu/cookie-playground)
@@ -112,36 +112,7 @@ Note:
* Utiliser Tor
-## [Digital labor](https://fr.wikipedia.org/wiki/Travail_num%C3%A9rique)
-
-* [« Sur Internet, nous travaillons tous, et la pénibilité de ce travail est invisible »](http://www.lemonde.fr/pixels/article/2017/03/11/sur-internet-nous-travaillons-tous-et-la-penibilite-de-ce-travail-est-invisible_5093124_4408996.html)
-* [Faut pas prendre les usagers des gafa pour des datas sauvages](http://affordance.typepad.com//mon_weblog/2018/01/faut-pas-prendre-les-usagers-des-gafa-pour-des-datas-sauvages-.html)
-
-
-## [Amazon Mechanical Turk](https://www.mturk.com/)
-
-[<!-- .element style="width:30%;" -->](https://en.wikipedia.org/wiki/The_Turk)
-
-["A la rencontre des raters petites mains des Big Data"](thttps://theconversation.com/a-la-rencontre-des-raters-petites-mains-des-big-data-86484)
-
-
-## Intelligence artificielle
-
-<!-- .element style="width:20%" -->
-
-* ["Nous sommes les idiots utiles de GAFA et des BATX"](http://blog.barbayellow.com/2017/01/28/ia-education-et-revenu-universel/)
-
-* [MIT Moral Machine](http://moralmachine.mit.edu/)
-
-
-## IoT
-
-* [Kinect pour Xbox One : un espion sans pareil dans votre salon ?](https://www.developpez.com/actu/56258/Kinect-pour-Xbox-One-un-espion-sans-pareil-dans-votre-salon-Non-assure-Microsoft-qui-rappelle-que-la-console-peut-etre-entierement-eteinte/)
-* [Fitbit dévoile l'activité sexuelle de ses utilisateurs sur le Net](http://www.01net.com/actualites/une-appli-devoile-l-activite-sexuelle-de-ses-utilisateurs-sur-le-net-535193.html)
-* [À 6 ans, elle discute avec Echo d'Amazon et commande une maison de poupée et des cookies](http://www.slate.fr/story/133601/amazon-echo-fille-commande)
-
-
-## Société
+## Ce que <i class="fa fa-google" aria-hidden="true"></i> & <i class="fa fa-facebook" aria-hidden="true"></i> changent
* [Deep Face - reconnaissance faciale](https://research.facebook.com/publications/480567225376225/deepface-closing-the-gap-to-human-level-performance-in-face-verification/)
* [Picasa](http://www.google.com/intl/fr/picasa/) et la reconnaissance automatique notamment des gens dans le temps
@@ -151,7 +122,7 @@ Note:
* [Shot de dopamine : ce que Facebook fait au cerveau de mon amie Emilie](https://www.nouvelobs.com/rue89/notre-epoque/20171222.OBS9715/shot-de-dopamine-ce-que-facebook-fait-au-cerveau-de-mon-amie-emilie.html)
-## société post vérité
+## la société post vérité
<!-- .element width="25%" -->
@@ -222,6 +193,40 @@ Note:
tapoter sept fois sur la coque de son smartphone avant de partager
+## perspectives
+
+
+
+
+## [Digital labor](https://fr.wikipedia.org/wiki/Travail_num%C3%A9rique)
+
+* [« Sur Internet, nous travaillons tous, et la pénibilité de ce travail est invisible »](http://www.lemonde.fr/pixels/article/2017/03/11/sur-internet-nous-travaillons-tous-et-la-penibilite-de-ce-travail-est-invisible_5093124_4408996.html)
+* [Faut pas prendre les usagers des gafa pour des datas sauvages](http://affordance.typepad.com//mon_weblog/2018/01/faut-pas-prendre-les-usagers-des-gafa-pour-des-datas-sauvages-.html)
+
+
+## [Amazon Mechanical Turk](https://www.mturk.com/)
+
+[<!-- .element style="width:30%;" -->](https://en.wikipedia.org/wiki/The_Turk)
+
+["A la rencontre des raters petites mains des Big Data"](thttps://theconversation.com/a-la-rencontre-des-raters-petites-mains-des-big-data-86484)
+
+
+## Intelligence artificielle
+
+<!-- .element style="width:20%" -->
+
+* ["Nous sommes les idiots utiles de GAFA et des BATX"](http://blog.barbayellow.com/2017/01/28/ia-education-et-revenu-universel/)
+
+* [MIT Moral Machine](http://moralmachine.mit.edu/)
+
+
+## IoT
+
+* [Kinect pour Xbox One : un espion sans pareil dans votre salon ?](https://www.developpez.com/actu/56258/Kinect-pour-Xbox-One-un-espion-sans-pareil-dans-votre-salon-Non-assure-Microsoft-qui-rappelle-que-la-console-peut-etre-entierement-eteinte/)
+* [Fitbit dévoile l'activité sexuelle de ses utilisateurs sur le Net](http://www.01net.com/actualites/une-appli-devoile-l-activite-sexuelle-de-ses-utilisateurs-sur-le-net-535193.html)
+* [À 6 ans, elle discute avec Echo d'Amazon et commande une maison de poupée et des cookies](http://www.slate.fr/story/133601/amazon-echo-fille-commande)
+
+
## Transhumanisme
* [NBIC](https://fr.wikipedia.org/wiki/Nanotechnologies,_biotechnologies,_informatique_et_sciences_cognitives)
diff --git a/content/slides/privacy/md/jnarac/ie.md b/content/slides/privacy/md/jnarac/ie.md
index 77b03382822dd833c49f4b8e04563fa9fa28fd6d..a13f9372ff6b6c9f24c7f6a8d9b8295eabdc9b1f 100644
--- a/content/slides/privacy/md/jnarac/ie.md
+++ b/content/slides/privacy/md/jnarac/ie.md
@@ -82,111 +82,3 @@
* Limiter les informations en ligne
* Sécuriser les systèmes d'information
* Sensibiliser les acteurs des systèmes d'information
-
-
-### Problématique nationale
-
-#### [La défense en profondeur](http://circulaire.legifrance.gouv.fr/pdf/2009/04/cir_2014.pdf)
-
-<!-- .element width="45%" style="float: right;margin: 15px;"-->
-
-exploiter plusieurs techniques de sécurité afin de réduire le risque lorsqu'un composant particulier de sécurité est compromis ou défaillant
-
-<small>Sébastien Le Prestre de Vauban</small>
-
-
-## Stratégie de la défense en profondeur
-
-* n'évite pas l'attaque
- * ralentit l'attaquant
- * chacun est un maillon des chaînes fonctionnelles Sécurité Défense & SSI et doit
-
-<br>
-
-### Sécurité = réduire le risque = rendre les attaques coûteuses
-
-
-### Stratégie de la défense en profondeur
-
-Chaque maillon est reponsable
-
-* de l'analyse des risques inhérents à son périmètre pour mieux les maîtriser
-* de l'anticipation & de la prévention des accidents et des actes de malveillance
-* de l'amélioration continuelle de la sécurisation de son périmètre
- * le risque 0 n'existe pas
- * la sécurité peut toujours être améliorée
-
-
-## la chaîne Sécurité Défense
-
-<!-- .element width="80%" -->
-
-
-#### la chaîne Sécurité Défense
-
-* Le SGDSN
- * service du premier ministre
- * pilote de la politique nationale en matière de SSI
- * pour chaque ministère
- * un HFDS
- * un conseiller du ministre pour la défense, la sécurité et la vie de la nation
-
- * s'appuie sur l'ANSSI
-
-
-## la chaîne SSI
-
-<!-- .element width="45%" -->
-
-
-## la chaîne SSI
-
-* Le HFDS désigne et dirige
- * pour chaque ministère
- * un FSSI
- * charger de porter la réglementation SSI vers chaque établissement publique
- * un AQSSI par éatblissement
- * un RSSI par établissement
- * chargés de la gestion et du suivi des moyens de sécurité des SI
-
-
-## l'ANSSI
-
-[](http://www.ssi.gouv.fr/)
-
-
-## l'ANSSI
-
-* force d'intervention (CERT-FR) & de prévention
-* contribue à l'élaboration de la stratégie nationale et européenne SSI
- * [EBIOS Expression des Besoins et Identification des Objectifs de Sécurité](https://www.ssi.gouv.fr/guide/ebios-2010-expression-des-besoins-et-identification-des-objectifs-de-securite/)
- * [Livre blanc sur la sécurité et la défense nationale](http://www.livreblancdefenseetsecurite.gouv.fr/)
- * renforcé par la LPM
- * protège 218 [OIV (Opérateurs d'Importance Vitale)](http://fr.wikipedia.org/wiki/Op%C3%A9rateur_d'importance_vitale) en France
-
-
-#### ... d'importance Vitale
-
-[SAIV (Secteur d'Activités d'Importance Vitale)](http://www.sgdsn.gouv.fr/site_rubrique70.html) - selon article R1332-2 du Code de la défense français
-
-* Secteurs étatiques : activités civiles de l’Etat, activités militaires de l’Etat, activités judiciaires
-* Secteurs de la protection des citoyens : santé, gestion de l'eau, alimentation
-* Secteurs de la vie économique et sociale de la nation : énergie, communication, électronique, audiovisuel et information (les quatre représentent un secteur), transports, finances, industrie
-* La liste exhaustives est secret défense
-
-
-## Tour du monde SSI
-* l'Allemagne ont le [BSI](http://www.bsi.bund.de)
-* les Pays-Bas ont la NLNCSA
-* l'Union Européenne a l’[ENISA](http://www.enisa.europa.eu)
-* le Royaume-Uni a le [GCHQ](http://www.gchq.gov.uk) et le [CESG](http://www.cesg.gov.uk)
-* les États-Unis ont la [NSA](http://www.nsa.gov/ia/) et son programme PRISM et le [DHS](http://www.dhs.gov/cyber)
- * [Five Eyes](https://fr.wikipedia.org/wiki/Five_Eyes)
-
-
-## Tour du monde SSI
-
-* Israël a l'[Unité 8200](http://fr.wikipedia.org/wiki/Unit%C3%A9_8200) et un programme de [cyber bouclier](http://tsahal.fr/2012/04/29/tsahal-en-2012-cest-aussi-la-guerre-cybernetique/)
-* la Chine a l'[unité 61 398](http://www.liberation.fr/monde/2013/02/20/unite-61-398-l-armee-des-hackers-chinois_883298)
-* la Russie a [le programme SORM et le FSB](http://themoscownews.com/russia/20130617/191621273.html)
-* la Corée du nord aurait une [armée de 200 trolls & 3000 cyberguerriers](http://french.ruvr.ru/news/2013_08_13/La-Coree-du-Nord-a-forme-une-armee-de-hackers-et-de-trolls-7236/)
diff --git a/content/slides/privacy/md/jnarac/index.md b/content/slides/privacy/md/jnarac/index.md
index 43ad0984f03a45431bc3a355495a291cf4261286..303f5ff93787b0081ec11b15a93025c6619f6097 100644
--- a/content/slides/privacy/md/jnarac/index.md
+++ b/content/slides/privacy/md/jnarac/index.md
@@ -69,3 +69,8 @@ Note:
+
+
+<!-- .element style="width: 50%" -->
+
+Famille, amis, collègues, entreprises, institutions ... tout est imbriqué!
diff --git a/content/slides/privacy/md/jnarac/law.md b/content/slides/privacy/md/jnarac/law.md
index 2fd84697605b3ddd59f91da008a0f6930d7786d2..048abc85938189a6ea896da94240990bbccca4f2 100644
--- a/content/slides/privacy/md/jnarac/law.md
+++ b/content/slides/privacy/md/jnarac/law.md
@@ -233,3 +233,117 @@ Soumises à autorisation de la CNIL
* Contrats avec les sous-traitants
* ProceÌdures internes en cas de violations de donneÌes
* Preuves du consentement
+
+
+# cadre légal hors RGPD
+
+
+## dispositifs spéciaux
+
+* Recherche publique
+ * [Protection du Potentiel Scientifique et Technique de la nation](http://fr.wikipedia.org/wiki/Protection_du_potentiel_scientifique_et_technique_de_la_nation_%28PPST%29)
+* Données de santé
+ * [http://esante.gouv.fr/](http://esante.gouv.fr/)
+* Etablissements de crédit
+ * [garanties spécifiques de sécurité](http://www.fbf.fr/fr/contexte-reglementaire-international/cadre-juridique/les-principaux-textes-regissant-le-secteur-bancaire-francais)
+
+
+## Conservation des logs de modification
+
+* [Décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne](http://blog.crimenumerique.fr/2011/03/04/decret-dapplication-de-la-lcen-sur-la-conservation-des-donnees-par-les-fai-et-hebergeurs/)
+
+ * ip, url, protocole, date heure, nature de l'opération
+ * éventuellement les données utilisateurs
+ * éventuellement données bancaires
+
+
+## Conservation des logs de modification
+
+ * accédées dans le cadre d’une réquisition judiciaire
+ * conservées un an
+ * données utilisateurs pendant un an après la clôture
+
+[Article 60-2](http://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006071154&idArticle=LEGIARTI000006575051): mise à disposition dans les meilleurs délais
+
+[Article 226-20](http://legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006070719&idArticle=LEGIARTI000006417977): les logs ont une date de péremption
+
+Note:
+- Décret d'application mettant en oeuvre la LCEN
+
+
+## Risques encourus par le pirate
+
+* Système de Traitement Automatisé de Données
+ * maintien frauduleux de l'accès
+ * 2 ans d'emprisonnement & 30 000 € d'amende
+ * suppression ou modification des données
+ * 3 ans d'emprisonnement & 45 000 € d'amende
+ * si données à caractère personnel
+ * 5 ans d'emprisonnement & 75 000 € d'amende
+
+[Article 323-1](http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006418316&cidTexte=LEGITEXT000006070719)
+
+
+## risques encourus par le pirate
+
+* altération du fonctionnement
+ * 5 ans d'emprisonnement et de 75 000 € d'amende
+* si données à caractère personnel
+ * 7 ans d'emprisonnement & 100 000 € d'amende
+
+[Article 323-2](http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000025585005&cidTexte=LEGITEXT000006070719)
+
+Note:
+- interdiction d'exercer dans la fonction publique entre autre
+- privé de droits civique
+- d'exercer la profession dans laquelle le délis a été commis
+- confiscation du matos
+- [Article 323-5](http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006418326&cidTexte=LEGITEXT000006070719)
+
+
+## risques encourus par le pirate en pratique
+
+pas de condamnation pour le pirate si
+
+* aucune protection
+* aucune mention de confidentialité
+* accessible via les outils de navigation grand public
+* même en cas de données nominatives
+
+[KITETOA VS TATI](http://kitetoa.com/Pages/Textes/Les_Dossiers/Tati_versus_Kitetoa/index.shtml)
+
+[bluetouff VS ANSES](http://bluetouff.com/2013/04/25/la-non-affaire-bluetouff-vs-anses/)
+
+Note:
+- Kitetoa
+ - Suite au signalement d'une faille non corrigée et à l'écriture d'un article prétendant l'avoir exploité
+ - Cour d’appel de Paris, le 30 octobre 2002
+- Bluetouff
+ - Publication de fichiers condidentiels L’ANSES (Agence nationale de sécurité sanitaire - OIV)
+ - 2013
+
+
+## risques encourus par le pirate en pratique
+
+* Atteintes aux [intérêts fondamentaux de la nation](http://fr.wikipedia.org/wiki/Int%C3%A9r%C3%AAts_fondamentaux_de_la_nation)
+ * [Sécurité nationale](http://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_nationale)
+ * [Article 410-1 Ã 411-6](http://www.legifrance.gouv.fr/affichCode.do?idSectionTA=LEGISCTA000006136044&cidTexte=LEGITEXT000006070719)
+* Secret des communication pour l'autorité publique et FAI
+ * 3 ans d'emprisonnement et de 45 000 € d'amende
+ * [Article 432-9](http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006418513&cidTexte=LEGITEXT000006070719)
+
+
+## risques encourus par le pirate en pratique
+
+* Usurpation d'identité
+ * 5 ans d'emprisonnement et de 75 000 € d'amende
+ * [Article 434-23](http://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006070719&idArticle=LEGIARTI000006418661)
+* Importer, détenir, offrir ou mettre à disposition un moyen de commettre une infraction est puni
+ * [Article 323-3-1](http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006418323&cidTexte=LEGITEXT000006070719) (issu [de la Loi Godfrain](http://www.hackersrepublic.org/cultureduhacking/la-loi-godfrain-explications-et-illustrations))
+
+Note:
+- Sécurité nationale: ordre public et sécurité civile, relations extérieures et diplomatie, finance, matières premières, énergie, alimentation et produits industriels, santé publique, transports et télécommunications, travaux publics et sécurité des systèmes d'information.
+- Secret des communication -> pas de cassage de chiffrement
+- Usurpation d'identité -> ingénierie sociale
+- Importer, détenir, offrir ou mettre à disposition un moyen de commettre une infraction est puni -> publication de vulnérabilités
+- "vous les experts en sécurité informatique qui savez de quoi vous parlez, faites bien gaffe à ce que les autres utilisateurs disposent des moyens de se protéger des trucs[2] que vous publiez pour vous faire mousser". Pas complètement faux...
diff --git a/content/slides/privacy/md/jnarac/ssi.md b/content/slides/privacy/md/jnarac/ssi.md
new file mode 100644
index 0000000000000000000000000000000000000000..5a40d9427cc15da1311682dce21d652f2a53f6ba
--- /dev/null
+++ b/content/slides/privacy/md/jnarac/ssi.md
@@ -0,0 +1,111 @@
+# SSI
+
+<!-- .element width="40%" -->
+
+
+### Problématique nationale
+
+#### [La défense en profondeur](http://circulaire.legifrance.gouv.fr/pdf/2009/04/cir_2014.pdf)
+
+<!-- .element width="45%" style="float: right;margin: 15px;"-->
+
+exploiter plusieurs techniques de sécurité afin de réduire le risque lorsqu'un composant particulier de sécurité est compromis ou défaillant
+
+<small>Sébastien Le Prestre de Vauban</small>
+
+
+## Stratégie de la défense en profondeur
+
+* n'évite pas l'attaque
+ * ralentit l'attaquant
+ * chacun est un maillon des chaînes fonctionnelles Sécurité Défense & SSI et doit
+
+<br>
+
+### Sécurité = réduire le risque = rendre les attaques coûteuses
+
+
+### Stratégie de la défense en profondeur
+
+Chaque maillon est reponsable
+
+* de l'analyse des risques inhérents à son périmètre pour mieux les maîtriser
+* de l'anticipation & de la prévention des accidents et des actes de malveillance
+* de l'amélioration continuelle de la sécurisation de son périmètre
+ * le risque 0 n'existe pas
+ * la sécurité peut toujours être améliorée
+
+
+## la chaîne Sécurité Défense
+
+<!-- .element width="80%" -->
+
+
+#### la chaîne Sécurité Défense
+
+* Le SGDSN
+ * service du premier ministre
+ * pilote de la politique nationale en matière de SSI
+ * pour chaque ministère
+ * un HFDS
+ * un conseiller du ministre pour la défense, la sécurité et la vie de la nation
+
+ * s'appuie sur l'ANSSI
+
+
+## la chaîne SSI
+
+<!-- .element width="45%" -->
+
+
+## la chaîne SSI
+
+* Le HFDS désigne et dirige
+ * pour chaque ministère
+ * un FSSI
+ * charger de porter la réglementation SSI vers chaque établissement publique
+ * un AQSSI par éatblissement
+ * un RSSI par établissement
+ * chargés de la gestion et du suivi des moyens de sécurité des SI
+
+
+## l'ANSSI
+
+[](http://www.ssi.gouv.fr/)
+
+
+## l'ANSSI
+
+* force d'intervention (CERT-FR) & de prévention
+* contribue à l'élaboration de la stratégie nationale et européenne SSI
+ * [EBIOS Expression des Besoins et Identification des Objectifs de Sécurité](https://www.ssi.gouv.fr/guide/ebios-2010-expression-des-besoins-et-identification-des-objectifs-de-securite/)
+ * [Livre blanc sur la sécurité et la défense nationale](http://www.livreblancdefenseetsecurite.gouv.fr/)
+ * renforcé par la LPM
+ * protège 218 [OIV (Opérateurs d'Importance Vitale)](http://fr.wikipedia.org/wiki/Op%C3%A9rateur_d'importance_vitale) en France
+
+
+#### ... d'importance Vitale
+
+[SAIV (Secteur d'Activités d'Importance Vitale)](http://www.sgdsn.gouv.fr/site_rubrique70.html) - selon article R1332-2 du Code de la défense français
+
+* **Secteurs étatiques**: activités civiles de l’Etat, activités militaires de l’Etat, activités judiciaires
+* **Secteurs de la protection des citoyens**: santé, gestion de l'eau, alimentation
+* **Secteurs de la vie économique et sociale de la nation**: énergie, communication, électronique, audiovisuel et information (les quatre représentent un secteur), transports, finances, industrie
+* La liste exhaustives est secret défense
+
+
+## Tour du monde SSI
+* l'Allemagne ont le [BSI](http://www.bsi.bund.de)
+* les Pays-Bas ont la NLNCSA
+* l'Union Européenne a l’[ENISA](http://www.enisa.europa.eu)
+* le Royaume-Uni a le [GCHQ](http://www.gchq.gov.uk) et le [CESG](http://www.cesg.gov.uk)
+* les États-Unis ont la [NSA](http://www.nsa.gov/ia/) et son programme PRISM et le [DHS](http://www.dhs.gov/cyber)
+ * [Five Eyes](https://fr.wikipedia.org/wiki/Five_Eyes)
+
+
+## Tour du monde SSI
+
+* Israël a l'[Unité 8200](http://fr.wikipedia.org/wiki/Unit%C3%A9_8200) et un programme de [cyber bouclier](http://tsahal.fr/2012/04/29/tsahal-en-2012-cest-aussi-la-guerre-cybernetique/)
+* la Chine a l'[unité 61 398](http://www.liberation.fr/monde/2013/02/20/unite-61-398-l-armee-des-hackers-chinois_883298)
+* la Russie a [le programme SORM et le FSB](http://themoscownews.com/russia/20130617/191621273.html)
+* la Corée du nord aurait une [armée de 200 trolls & 3000 cyberguerriers](http://french.ruvr.ru/news/2013_08_13/La-Coree-du-Nord-a-forme-une-armee-de-hackers-et-de-trolls-7236/)
diff --git a/content/slides/privacy/md/jnarac/www.md b/content/slides/privacy/md/jnarac/www.md
index 1898b4f1c5c87aab5b52f74bf6b1e2de263ac836..e0324f84968f1b5a0dd766016ce8fddf149f63cd 100644
--- a/content/slides/privacy/md/jnarac/www.md
+++ b/content/slides/privacy/md/jnarac/www.md
@@ -11,7 +11,7 @@
* [une histoire d'Internet](http://www.chemla.org/textes/hinternet.html) par [_Laurent Chemla_](https://fr.wikipedia.org/wiki/Laurent_Chemla)
* [Déclaration d’indépendance du Cyberespace](http://editions-hache.com/essais/barlow/barlow2.html) par [John P. Barlow](https://fr.wikipedia.org/wiki/John_Perry_Barlow)
* [Une nouvelle déclaration d’indépendance du cyberespace](http://www.liberation.fr/amphtml/debats/2018/02/09/une-nouvelle-declaration-d-independance-du-cyberespace_1628377)
-* <i class="fa fa-hand-o-right" aria-hidden="true"></i> Internet est un projet politique plus qu'un moyen de communnication
+* <i class="fa fa-hand-o-right" aria-hidden="true"></i> Internet est un projet politique plus qu'un moyen de communication
Note:
- "Internet a été inventé par l'armée américaine pour résister à une attaque atomique"
@@ -56,12 +56,14 @@ Note:
* lien hypertexte
* [<i class="fa fa-wikipedia-w" aria-hidden="true"></i> URL (Uniform Resource locator)](https://fr.wikipedia.org/wiki/Uniform_Resource_Locator)
-<br /><br />
+<br />
<div style="text-align: center">
<!-- .element: width="55%" -->
</div>
+* supporté par un protocole [HTTP](../1337/http.html)
+
## le web n'oublie jamais
@@ -105,5 +107,5 @@ Note:
* Faire valoir [son droit au déréférencement](https://www.cnil.fr/fr/le-droit-au-dereferencement)
* suppression des résultats des moteurs de recherche
* ne supprime pas l'information du web
-* [Google Serach Console (ex webmaster tools)](https://www.google.com/webmasters/tools/home?hl=fr&pli=1)
+* [Google Search Console (ex webmaster tools)](https://www.google.com/webmasters/tools/home?hl=fr&pli=1)
* si vous avez "la main sur la page"