update securité logicielle

README.md

@@ -12,6 +12,19 @@ git submodule update --recursive --remote
 bash develop_server.sh start
 ```
 
+## faire tourner les slides en local
+
+```bash
+cd content && npm install
+```
+
+```bash
+<VirtualHost *:80>
+   DocumentRoot "/opt/lampp/htdocs/limos/content"
+  ServerName slides
+</VirtualHost>
+```
+
 ## see also
 
 * [https://limos.isima.fr/~mazenod/blog-et-pages-perso-au-limos.html](https://limos.isima.fr/~mazenod/blog-et-pages-perso-au-limos.html)

content/Etudiants/zz2-f5-privacy-crypto.md

-Title: ZZ2 F5 Privacy & Crypto
-Date: 2018-02-16 10:55
+Title: ZZ2 F5 - Securité logicielle (1/2) - Privacy & Crypto
+Date: 2019-11-16 10:55
 Category: <i class='fa fa-graduation-cap' aria-hidden='true'></i> &Eacute;tudiants
 Tags: cours
 
@@ -21,13 +21,13 @@ Tags: cours
   * [tls](slides/privacy/tls.html)
   * [pgp](slides/privacy/pgp.html)
   * [tls vs pgp](slides/privacy/TLSvsPGP.html)
-  * [tor](slides/privacy/tor.html)
+  * [tor](slides/privacy/tor.html) / [tor pour les moldus](slides/privacy/tor_lite.html)
   * [bitcoin](slides/privacy/bitcoin.html)
 
 
 ## Evaluation
 
-* Examen écrit en fin de session (/10)
+* Examen écrit en fin de session
 
 ## Environnement de TP
 
@@ -35,22 +35,22 @@ Tags: cours
 
 ### déployer et configurer TLS  avec Apache
 
-* ...
+* [https://gitlab.isima.fr/vimazeno/tp-www-ssl](https://gitlab.isima.fr/vimazeno/tp-www-ssl)
 
-## Mini projet en binôme (/10)
+## Mini projet en binôme
 
-* Donnez une manière de générer un [QR-code permettant d'importer directement une clé publique PGP avec OpenKeyChain](https://github.com/open-keychain/open-keychain/wiki/QR-Codes) (5 points)
+* Donnez une manière de générer un [QR-code permettant d'importer directement une clé publique PGP avec OpenKeyChain](https://github.com/open-keychain/open-keychain/wiki/QR-Codes)
   * listez les outils utilisés
   * détaillez les commandes à effectuer pour passer de la clé publique au QR-Code
   * détaillez comment vous avecz tester le contenu de votre QR-Code
   * joignez le QR-Code de votre clé PGP au message
-* Publiez votre clé PGP sur https://pgp.mit.edu puis envoyez moi l'url de votre clé (1 point)
+* Publiez votre clé PGP sur https://pgp.mit.edu puis envoyez moi l'url de votre clé
 * Signez ma clé PGP isima https://fc.isima.fr/~mazenod/pages/pgp.html ou https://pgp.mit.edu/pks/lookup?op=vindex&search=0x408A4E510DCD0D14 et envoyez là moi en pièce jointe de votre message (2 points)
-* Votre message devra être chiffré, signé et comporter votre clé publique en pièce jointe (2 points)
+* Votre message devra être chiffré, signé et comporter votre clé publique en pièce jointe
 
-* Rendu le 26/03/2018 à 23h59 dernier délais
+* Rendu le 25/03/2019 à 23h59 dernier délais
 
-  * à [vincent.mazenod@isima.fr](mailto:vincent.mazenod@isima.fr)
+  * à [vincent.mazenod@uca.fr](mailto:vincent.mazenod@uca.fr)
 
     * ```[TP privacy crypto]``` dans le sujet du mail ... sinon je vous perds ;)
 
@@ -58,6 +58,4 @@ Tags: cours
 
 ## Evaluation du cours
 
-Vous avez aimé ou vous avez détesté ce cours ... donnez moi votre avis et aidez moi à l'améliorer (en tout anonymat)
-
-https://docs.google.com/forms/d/e/1FAIpQLSeiJQZRjRmiP2_oH30fx3_n7lLfdmEmGFgDqsdkvF-4IYsZRA/viewform
+Vous avez aimé ou vous avez détesté ce cours ... [donnez moi votre avis et aidez moi à l'améliorer (en tout anonymat)](https://docs.google.com/forms/d/1w65KH2cnL_DbTKrUT-2AMvQ_p0Ht-wfSJT2YLEB8l7E/prefill)

content/Etudiants/zz2-f5-websec.md

-Title: ZZ2 F5 WebSec
-Date: 2017-11-20 10:55
+Title: ZZ2 F5 - Securité logicielle (2/2) - sécurité des applications web
+Date: 2019-11-20 10:55
 Category: <i class='fa fa-graduation-cap' aria-hidden='true'></i> &Eacute;tudiants
 Tags: cours
 
@@ -7,15 +7,9 @@ Tags: cours
 
 ## Plan du cours
 
-* Introduction
-
-    * [Contexte](https://doc.m4z3.me/_/1337/contexte.htm)
-    * [Cadre juridique](https://doc.m4z3.me/_/1337/droit.htm)
-
 * Architecture
 
-    * [HTTP](https://doc.m4z3.me/_/1337/HTTP.htm)
-    * [TLS/SSL](https://doc.m4z3.me/_/1337/TLS.htm)
+    * [HTTP](slides/1337/http.htm)
 
 * Pentesting
 
@@ -224,15 +218,17 @@ Ce bug est dû à la numérotation fantaisiste d'Ubuntu des interfaces réseau .
 
 ## Evaluation
 
-* Examen écrit en fin de session (/10)
+* Examen écrit en fin de session
 
 ## Mini projet en binôme
 
-* [Enoncé](https://drive.mesocentre.uca.fr/f/55715c2cdd44476fbb6f/?dl=1)
+* [Enoncé](https://drive.mesocentre.uca.fr/f/d9e76a8e45934a069890/?dl=1)
+
+<!-- * [Enoncé](https://drive.mesocentre.uca.fr/f/54bdd1a80c184bbcb63e/?dl=1) -->
 
-* Rendu le 26/03/2018 à 23h59 dernier délais
+* Rendu le 25/03/2019 à 23h59 dernier délais
 
-    * à [vincent.mazenod@isima.fr](mailto:vincent.mazenod@isima.fr)
+    * à [vincent.mazenod@uca.fr](mailto:vincent.mazenod@uca.fr)
 
       * ```[TP websec]``` dans le sujet du mail ... sinon je vous perds ;)
 
@@ -240,9 +236,8 @@ Ce bug est dû à la numérotation fantaisiste d'Ubuntu des interfaces réseau .
 
 ## Evaluation du cours
 
-Vous avez aimé ou vous avez détesté ce cours ... donnez moi votre avis et aidez moi à l'améliorer (en tout anonymat)
+Vous avez aimé ou vous avez détesté ce cours ... [donnez moi votre avis et aidez moi à l'améliorer (en tout anonymat)](https://docs.google.com/forms/d/1w65KH2cnL_DbTKrUT-2AMvQ_p0Ht-wfSJT2YLEB8l7E/prefill)
 
-https://docs.google.com/forms/d/e/1FAIpQLSdt93c8g306J60v2ANMCzVajo00udaFJApaGWt_TSugshbBmw/viewform
 
 ## See also
 

content/slides/1337/http.html

+<!doctype html>
+<html>
+  <head>
+    <meta charset="utf-8">
+    <meta name="viewport" content="width=device-width, initial-scale=1.0, maximum-scale=1.0, user-scalable=no">
+
+    <title>HTTP</title>
+
+    <link rel="stylesheet" href="../../node_modules/reveal.js/css/reveal.css">
+    <link rel="stylesheet" href="../../node_modules/reveal.js/css/theme/white.css">
+
+    <!-- Theme used for syntax highlighting of code -->
+    <link rel="stylesheet" href="../../node_modules/reveal.js/lib/css/zenburn.css">
+    <link rel="stylesheet" href="../../node_modules/font-awesome/css/font-awesome.min.css">
+    <link rel="stylesheet" href="../main.css">
+
+    <!-- Printing and PDF exports -->
+    <script>
+      var link = document.createElement( 'link' );
+      link.rel = 'stylesheet';
+      link.type = 'text/css';
+      link.href = window.location.search.match( /print-pdf/gi ) ? '../../node_modules/reveal.js/css/print/pdf.css' : '../../node_modules/reveal.js/css/print/paper.css';
+      document.getElementsByTagName( 'head' )[0].appendChild( link );
+    </script>
+  </head>
+  <body>
+    <div class="reveal">
+      <div class="slides">
+        <section data-markdown="md/http.md"
+         data-separator="^\n\n\n"
+         data-separator-vertical="^\n\n"
+         data-separator-notes="^Note:"
+         data-charset="utf-8">
+       </section>
+      </div>
+    </div>
+
+    <script src="../../node_modules/reveal.js/lib/js/head.min.js"></script>
+    <script src="../../node_modules/reveal.js/js/reveal.js"></script>
+
+    <script>
+      // More info about config & dependencies:
+      // - https://github.com/hakimel/reveal.js#configuration
+      // - https://github.com/hakimel/reveal.js#dependencies
+      Reveal.initialize({
+        controls: true,
+        progress: true,
+        history: true,
+        center: false,
+        dependencies: [
+          { src: '../../node_modules/reveal.js/plugin/markdown/marked.js' },
+          { src: '../../node_modules/reveal.js/plugin/markdown/markdown.js',
+            condition: function() { return !!document.querySelector( '[data-markdown]' ); },
+            callback: function() {
+              Array.prototype.forEach.call(document.querySelectorAll('section > li'), function(ele){
+                var fragIndex = ele.innerHTML.indexOf("--")
+                if (fragIndex != -1){
+                  ele.innerHTML = ele.innerHTML.replace("--", "");
+                  ele.className = 'fragment';
+                }
+              });
+            }
+          },
+          { src: '../../node_modules/reveal.js/plugin/notes/notes.js', async: true },
+          { src: '../../node_modules/reveal.js/plugin/highlight/highlight.js', async: true, callback: function() { hljs.initHighlightingOnLoad(); } }
+        ]
+      });
+    </script>
+  </body>
+</html>

content/slides/1337/md/http.md

+![alt text](images/http/http-slash-slash.png "http slash slash")
+
+
+## client / serveur
+
+![alt text](images/http/client-serveur.png "Client Serveur")
+
+
+# HTTP
+
+ * le serveur est typiquement un __serveur web__
+ * le truc est typiquement une _ressource_ associée a une __URI__
+ * le client est typiquement
+   * un __navigateur web__
+   * une __web app__
+   * un __objet connecté__
+   * __n'importe quoi__ qui consomme de l'API...
+
+
+# HTTP
+
+* inventé par [Tim Berners-Lee](http://fr.wikipedia.org/wiki/Tim_Berners-Lee) en 1989
+* en [version 1.1](https://www.ietf.org/rfc/rfc2616.txt) depuis 1999
+* version 2.0 en cours de standardisation
+  * basée sur [SPDY](http://fr.wikipedia.org/wiki/SPDY) de Google
+
+Note:
+- périmètre de sécurité élargi browser / responsive / web app / API -> installé sur les mobiles
+- Tim Berners Lee a également inventé les adresses web et le langage HTML qui forment le web
+- URI terme le plus générique
+- URN sans le protocole
+- URL emplacement à suivre ne gère pas le déplacement de la ressource
+
+
+## requête HTTP
+
+ * une URI (Unified Resource Identifier)
+ * quelques [en-têtes / headers](http://en.wikipedia.org/wiki/List_of_HTTP_header_fields)
+    * contraintes sur le contenu demandé
+    * informations contextuelles
+    * sous la forme clé: valeur
+ * un verbe HTTP décrivant l'action
+ * une ligne vide
+ * un corps servant à éventuellement envoyer des données
+
+Note:
+- dans la préhistoire le verbe est appelé méthode
+
+
+## requête HTTP de la vraie vie
+
+<pre><code data-trim>
+GET / HTTP/1.1
+Host:    perdu.com
+User-Agent:  Mozilla/5.0 (X11; Linux i686; rv:35.0) Gecko/20100101 Firefox/35.0
+Accept:  text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
+Accept-Language: fr,fr-fr;q=0.8,en-us;q=0.5,en;q=0.3
+Accept-Encoding: gzip, deflate
+Connection:  keep-alive
+If-Modified-Since:   Tue, 02 Mar 2010 18:52:21 GMT
+If-None-Match:   "cc-480d5dd98a340"
+Cache-Control:   max-age=0
+
+useless data
+</code></pre>
+
+Note:
+- Connection:  keep-alive multiplexage de requête - envoyer plusieurs requêtes HTTP via la même connexion TCP (SPDY utilise ça)
+- Accept-Encoding: gzip, deflate commpressions supportées par le navigateur
+- le reste du cache
+
+
+## verbes HTTP
+
+agissent sur une URI
+
+ * __GET__: récupérer une _ressource_ ou une collection de _ressources_
+ * __POST__: créer un nouvelle _ressource_
+ * __PUT__: mettre à jour une _ressource_ existante ou créer une nouvelle _ressource_ à une URI donnée
+ * __DELETE__: supprimer une _ressources_ données
+ * __PATCH__: mettre à jour partiellement une _ressource_ existante
+
+
+## verbes HTTP
+
+* [Seuls GET et POST son implémentés dans les navigateurs](http://www.w3.org/TR/html5/forms.html#attr-fs-action)
+
+* Must read: [Please do not patch like an idiot](http://williamdurand.fr/2014/02/14/please-do-not-patch-like-an-idiot/)
+
+* c.f. REST plus loin dans cette présentation
+
+Note:
+- La liste n'est pas exhaustive: HEAD, OPTIONS, TRACE, CONNECT
+- tous idempotents sauf POST
+- PATCH n'est pas dans la spec
+
+
+## réponse HTTP
+
+composée
+
+ * d'un code HTTP
+ * de quelques [en-têtes / headers](http://en.wikipedia.org/wiki/List_of_HTTP_header_fields)
+    * informations sur le contenu servi
+    * sous la forme clé: valeur
+ * du contenu envoyé
+
+
+## réponse HTTP de la vraie vie
+
+<pre>
+<code data-trim>
+HTTP/1.1 304 Not Modified
+Date:    Fri, 20 Feb 2015 15:15:01 GMT
+Server:  Apache
+Connection:  Keep-Alive
+Keep-Alive:  timeout=2, max=100
+Etag:    "cc-480d5dd98a340"
+Vary:    Accept-Encoding
+
+&#x3C;html&#x3E;
+    &#x3C;head&#x3E;&#x3C;title&#x3E;Vous Etes Perdu ?&#x3C;/title&#x3E;&#x3C;/head&#x3E;
+    &#x3C;body&#x3E;
+        &#x3C;h1&#x3E;Perdu sur l&#x27;Internet ?&#x3C;/h1&#x3E;
+        &#x3C;h2&#x3E;Pas de panique, on va vous aider&#x3C;/h2&#x3E;
+        &#x3C;strong&#x3E;* &#x3C;----- vous êtes ici &#x3C;/strong&#x3E;
+    &#x3C;/body&#x3E;
+&#x3C;/html&#x3E;
+</code>
+</pre>
+
+Note:
+- Notez le header server qui donne déjà de l'information utile
+- Etag, vary concerne le cache
+
+
+## les codes HTTP
+
+ * __1xx__ Informational
+ * __2xx__ Successful
+
+     * __200__ OK
+     * __201__ Created
+     * __204__ No Content
+
+ * __3xx__ Redirections
+
+     * __301__ Moved Permanently
+     * __302__ Found
+     * __304__ Not Modified
+
+Note:
+- 201 typique aprè un post
+- 204 signifie un body de requête vide
+- 301 vs 302 on change d'URI ou pas (definitif temporaire)
+- 304 aucun besoin de recharger le contenu body vide
+
+
+## les codes d'erreur HTTP
+
+ * __4xx__ Client Error
+
+     * __400__ Bad Request
+     * __401__ Unauthorized
+     * __403__ Forbidden
+     * __404__ Not Found
+     * __405__ Method Not Allowed
+     * __406__ Not Acceptable
+     * __409__ Conflict
+     * __415__ Unsupported Media Type
+     * __418__ I’m a teapot
+
+
+## les codes d'erreur HTTP
+
+ * __5xx__ Server Error
+
+     * __500__ Internal Server Error
+
+liste complète sur [httpstatus.es](httpstatus.es)
+
+
+## paramètres HTTP
+
+deux types
+
+ * ceux passés via la query string de l'URL
+    * accessible via __$_GET__ en _PHP_
+ * ceux passés via le corps de la requête
+    * accessible via __$_POST__ en _PHP_
+ * tous les paramètres sont disponibles dans __$_REQUEST__ en _PHP_
+
+
+## REpresentational State Transfer
+
+![alt text](images/http/richardson.png "Richardson Maturity Model")
+
+
+## REpresentational State Transfer
+
+Must read:
+* [Haters gonna HATEOAS](http://timelessrepo.com/haters-gonna-hateoas).
+* [L’architecture REST expliquée en 5 règles](https://blog.nicolashachet.com/niveaux/confirme/larchitecture-rest-expliquee-en-5-regles/)
+* [Architectural Styles and
+the Design of Network-based Software Architectures](https://www.ics.uci.edu/%7Efielding/pubs/dissertation/top.htm) by Roy Thomas Fielding 2000
+
+Note:
+- Level 0 - HTTP comme protocole de transfert uniquement (transport only). Style RPC (SOAP, XML-RPC) on pourrait utiliser autre chose comme protocole
+- Level 1 - Structure en Ressources individuelles, notion d'id sur les objet
+- Level 2 - le Client utilise les verbes HTTP & les serveur les codes HTTP
+- Level 3 - Hypermedia Controls = Content Negotiation + HATEOAS
+- Level 3 - Content Negotiation -> sélectionner le format de représentation pour une ressource (json, xml, etc ..) le serveur tente de répondre au mieux autant que faire se peut.
+- Level 3 - HATEOAS -> découvarbilité de l'API l'app est vue comme une machine à états
+- on est loin du site web au sens CMS, pourautant ces services sont soumis au mêmes vulnérabilités
+
+
+## HTTP est "__stateless__"
+
+![alt text](images/http/stateless.jpg "Stateless")
+
+Note:
+- Http est amnésique
+- chaque requête est traitée comme une requête indépendante sans relation avec les précédentes
+
+
+## les cookies
+
+* introduits par Netscape en 1994 pour fiabiliser l'implémentation du panier d'achat virtuel
+* envoyés sous forme d'en tête HTTP par le serveur
+<pre><code class="http">Set-Cookie: name=value[; Max-Age=age][; expires=date]
+    [; domain=domain_name][; path=some_path][; secure]
+    [; HttpOnly]
+</code></pre>
+* renvoyés inchangés par le client à chaque requête
+<pre><code class="http">Cookie: name=value</code></pre>
+
+
+## les cookies
+
+ * accessibles via __$_COOKIE__ en _PHP_
+ * cloisonnés par domaine
+   * accessibles via les sous domaines
+    * blocable par l'option _domain_
+   * [tracking cookie](../privacy/tracking.html)
+     * êtes vous en [conformité avec la loi?](http://www.cnil.fr/vos-obligations/sites-web-cookies-et-autres-traceurs/que-dit-la-loi/)
+
+Note:
+- https://www.owasp.org/index.php/HttpOnly -> pas de manipulation client side ANTI-XSS
+- https://www.owasp.org/index.php/SecureFlag -> accessible en https uniquement
+- sous domaine, google maps / google play / google.com
+
+
+## les sessions
+
+ * données gérées côté serveur
+
+    * transimission de l'ID de session uniquement
+
+<pre><code data-trim>
+    Cookie: PHPSESSID=hr0ms75gs6f7vlph0hhct2bjj3
+</code></pre>
+
+ * accessibles via __$_SESSION__ en _PHP_
+
+
+## [__SOP__ Same Origin Policy](https://developer.mozilla.org/fr/docs/Web/JavaScript/)
+
+  * concerne [XMLHttpRequest](https://fr.wikipedia.org/wiki/XMLHttpRequest) / [Ajax](https://fr.wikipedia.org/wiki/Ajax_(informatique%29)
+  * restreint les interactions d'une app web aux ressources ayant la même origine
+    * origine
+      * le protocole
+      * le port (si spécifié)
+      * l'hôte
+
+
+## [CORS](http://en.wikipedia.org/wiki/Cross-origin_resource_sharing)
+
+  * Cross Origin Resource Sharing
+  * contrôler les accès en mode cross-site
+  * effectuer des transferts de données sécurisés
+
+### client
+<pre><code data-trim>
+    Origin: http://www.foo.com
+</code></pre>
+
+### serveur
+<pre><code data-trim>
+    Access-Control-Allow-Origin: http://www.foo.com
+</code></pre>
+
+
+## [CORS](http://en.wikipedia.org/wiki/Cross-origin_resource_sharing)
+
+* <span style="color:red">* </span> dans le cas d'une ressource 100% publique
+* autorise tous les verbes HTTP
+* remplace [JSONP](https://en.wikipedia.org/wiki/JSONP)
+  * qui n'autorisait que la méthode GET
+
+[MDN|Contrôle d'accès HTTP](https://developer.mozilla.org/fr/docs/HTTP/Access_control_CORS)
+
+Note:
+- l'introduction de cette nouvelle possibilité implique nécessairement que les serveurs doivent gérer de nouvelles entêtes, et doivent renvoyer les ressources avec de nouvelles entêtes également
+- doit être supporté par le navigateur
+- la valeur * est possible mais risquée
+- requêtes simples, pré-vérifiées avec le verbe OPTIONS, avec habilitations en forcant l'envoie du cookie
+
+
+## header, cookie, body, query string, script ...
+
+![alt text](images/http/illuminati.jpg "Don't trust anyone")<!-- .element: width="35%" -->

content/slides/index.html

-<li><a href="privacy/jnarac.html">je n'ai rien &agrave; cacher</a></li>
-<li><a href="privacy/jnarac_history.html">je n'ai jamais rien eu &agrave; cacher</a></li>
+<li>
+  <a href="privacy/jnarac.html">je n'ai rien &agrave; cacher</a>
+  <ul>
+    <li><a href="1337/http.html">HTTP</a></li>
+  </ul>
+</li>
+
 <li><a href="privacy/passwords.html">mots de passes</a></li>
 <li><a href="privacy/tracking.html">tracking</a></li>
 <li><a href="privacy/sovereignty.html">souverainet&eacute;</a></li>

content/slides/privacy/jnarac.html

@@ -56,6 +56,12 @@
           data-separator-notes="^Note:"
           data-charset="utf-8">
         </section>
+        <section data-markdown="md/jnarac/ssi.md"
+          data-separator="^\n\n\n"
+          data-separator-vertical="^\n\n"
+          data-separator-notes="^Note:"
+          data-charset="utf-8">
+        </section>
         <section data-markdown="md/jnarac/law.md"
           data-separator="^\n\n\n"
           data-separator-vertical="^\n\n"

content/slides/privacy/md/jnarac/gafa.md

@@ -29,6 +29,12 @@ Note:
     - en général il n'est pas compliqué
 
 
+## Si c'est gratuit
+### c'est l'utilisateur le produit!
+
+![Si c'est gratuit, c'est vous le produit!](images/jnarac/gafa/pigs-and-the-free-model.jpg "Si c'est gratuit, c'est vous le produit!")<!-- .element: style="width:40%;" -->
+
+
 ## Données personnel
 
 ![Cartographie des données personnelles](images/jnarac/gafa/carto_donnees_personnelles.png)<!-- .element: width="60%" -->
@@ -73,12 +79,6 @@ Note:
         - surtout si l'oppresseur c'est l'état
 
 
-## Si c'est gratuit
-### c'est l'utilisateur le produit!
-
-![Si c'est gratuit, c'est vous le produit!](images/jnarac/gafa/pigs-and-the-free-model.jpg "Si c'est gratuit, c'est vous le produit!")<!-- .element: style="width:40%;" -->
-
-
 ## Ce que <i class="fa fa-google" aria-hidden="true"></i> & <i class="fa fa-facebook" aria-hidden="true"></i> savent de vous
 
 * [Google Mon activité](https://myactivity.google.com/myactivity)
@@ -90,7 +90,7 @@ Note:
 * [hello facebook identifie les numéros inconnus](http://www.numerama.com/magazine/32889-avec-hello-facebook-identifie-les-numeros-inconnus.html)
 
 
-## <i class="fa fa-ambulance" aria-hidden="true"></i> Ce que <i class="fa fa-google" aria-hidden="true"></i> & <i class="fa fa-facebook" aria-hidden="true"></i> savent de vous
+## <i class="fa fa-ambulance" aria-hidden="true"></i> protéger sa vie privée
 
 * Lire les CGU
   * [Terms of Service; Didn't Read - TOSDR](https://tosdr.org/)
@@ -102,7 +102,7 @@ Note:
   * Libre <i class="fa fa-smile-o" aria-hidden="true"></i>
 
 
-## <i class="fa fa-ambulance" aria-hidden="true"></i> Ce que <i class="fa fa-google" aria-hidden="true"></i> & <i class="fa fa-facebook" aria-hidden="true"></i> savent de vous
+## <i class="fa fa-ambulance" aria-hidden="true"></i> protéger sa vie privée
 
 * Comprendre les tracking cookie
   * [<i class="fa fa-github" aria-hidden="true"></i> willdurand-edu/cookie-playground](https://github.com/willdurand-edu/cookie-playground)
@@ -112,36 +112,7 @@ Note:
 * Utiliser Tor
 
 
-## [Digital labor](https://fr.wikipedia.org/wiki/Travail_num%C3%A9rique)
-
-* [« Sur Internet, nous travaillons tous, et la pénibilité de ce travail est invisible »](http://www.lemonde.fr/pixels/article/2017/03/11/sur-internet-nous-travaillons-tous-et-la-penibilite-de-ce-travail-est-invisible_5093124_4408996.html)
-* [Faut pas prendre les usagers des gafa pour des datas sauvages](http://affordance.typepad.com//mon_weblog/2018/01/faut-pas-prendre-les-usagers-des-gafa-pour-des-datas-sauvages-.html)
-
-
-## [Amazon Mechanical Turk](https://www.mturk.com/)
-
-[![Mechanical turk](images/jnarac/gafa/The_turk.jpg)<!-- .element style="width:30%;" -->](https://en.wikipedia.org/wiki/The_Turk)
-
-["A la rencontre des raters petites mains des Big Data"](thttps://theconversation.com/a-la-rencontre-des-raters-petites-mains-des-big-data-86484)
-
-
-## Intelligence artificielle
-
-![ReCaptcha](images/jnarac/gafa/reCaptcha.png)<!-- .element style="width:20%" -->
-
-* ["Nous sommes les idiots utiles de GAFA et des BATX"](http://blog.barbayellow.com/2017/01/28/ia-education-et-revenu-universel/)
-
-* [MIT Moral Machine](http://moralmachine.mit.edu/)
-
-
-## IoT
-
-* [Kinect pour Xbox One : un espion sans pareil dans votre salon ?](https://www.developpez.com/actu/56258/Kinect-pour-Xbox-One-un-espion-sans-pareil-dans-votre-salon-Non-assure-Microsoft-qui-rappelle-que-la-console-peut-etre-entierement-eteinte/)
-* [Fitbit dévoile l'activité sexuelle de ses utilisateurs sur le Net](http://www.01net.com/actualites/une-appli-devoile-l-activite-sexuelle-de-ses-utilisateurs-sur-le-net-535193.html)
-* [À 6 ans, elle discute avec Echo d'Amazon et commande une maison de poupée et des cookies](http://www.slate.fr/story/133601/amazon-echo-fille-commande)
-
-
-## Société
+## Ce que <i class="fa fa-google" aria-hidden="true"></i> & <i class="fa fa-facebook" aria-hidden="true"></i> changent
 
 * [Deep Face - reconnaissance faciale](https://research.facebook.com/publications/480567225376225/deepface-closing-the-gap-to-human-level-performance-in-face-verification/)
 * [Picasa](http://www.google.com/intl/fr/picasa/) et la reconnaissance automatique notamment des gens dans le temps
@@ -151,7 +122,7 @@ Note:
 * [Shot de dopamine : ce que Facebook fait au cerveau de mon amie Emilie](https://www.nouvelobs.com/rue89/notre-epoque/20171222.OBS9715/shot-de-dopamine-ce-que-facebook-fait-au-cerveau-de-mon-amie-emilie.html)
 
 
-## société post vérité
+## la société post vérité
 
 ![La vérité sortant du puit](images/jnarac/gafa/verite-sortant-du-puit-jean-leon-gerome-1.jpg)<!-- .element width="25%" -->
 
@@ -222,6 +193,40 @@ Note:
 tapoter sept fois sur la coque de son smartphone avant de partager
 
 
+## perspectives
+
+![perspectives](images/jnarac/gafa/futurology.png)
+
+
+## [Digital labor](https://fr.wikipedia.org/wiki/Travail_num%C3%A9rique)
+
+* [« Sur Internet, nous travaillons tous, et la pénibilité de ce travail est invisible »](http://www.lemonde.fr/pixels/article/2017/03/11/sur-internet-nous-travaillons-tous-et-la-penibilite-de-ce-travail-est-invisible_5093124_4408996.html)
+* [Faut pas prendre les usagers des gafa pour des datas sauvages](http://affordance.typepad.com//mon_weblog/2018/01/faut-pas-prendre-les-usagers-des-gafa-pour-des-datas-sauvages-.html)
+
+
+## [Amazon Mechanical Turk](https://www.mturk.com/)
+
+[![Mechanical turk](images/jnarac/gafa/The_turk.jpg)<!-- .element style="width:30%;" -->](https://en.wikipedia.org/wiki/The_Turk)
+
+["A la rencontre des raters petites mains des Big Data"](thttps://theconversation.com/a-la-rencontre-des-raters-petites-mains-des-big-data-86484)
+
+
+## Intelligence artificielle
+
+![ReCaptcha](images/jnarac/gafa/reCaptcha.png)<!-- .element style="width:20%" -->
+
+* ["Nous sommes les idiots utiles de GAFA et des BATX"](http://blog.barbayellow.com/2017/01/28/ia-education-et-revenu-universel/)
+
+* [MIT Moral Machine](http://moralmachine.mit.edu/)
+
+
+## IoT
+
+* [Kinect pour Xbox One : un espion sans pareil dans votre salon ?](https://www.developpez.com/actu/56258/Kinect-pour-Xbox-One-un-espion-sans-pareil-dans-votre-salon-Non-assure-Microsoft-qui-rappelle-que-la-console-peut-etre-entierement-eteinte/)
+* [Fitbit dévoile l'activité sexuelle de ses utilisateurs sur le Net](http://www.01net.com/actualites/une-appli-devoile-l-activite-sexuelle-de-ses-utilisateurs-sur-le-net-535193.html)
+* [À 6 ans, elle discute avec Echo d'Amazon et commande une maison de poupée et des cookies](http://www.slate.fr/story/133601/amazon-echo-fille-commande)
+
+
 ## Transhumanisme
 
 * [NBIC](https://fr.wikipedia.org/wiki/Nanotechnologies,_biotechnologies,_informatique_et_sciences_cognitives)

content/slides/privacy/md/jnarac/ie.md

@@ -82,111 +82,3 @@
 * Limiter les informations en ligne
 * Sécuriser les systèmes d'information
 * Sensibiliser les acteurs des systèmes d'information
-
-
-### Problématique nationale
-
-#### [La défense en profondeur](http://circulaire.legifrance.gouv.fr/pdf/2009/04/cir_2014.pdf)
-
-![fortification à la Vauban](images/jnarac/ie/Vauban_Fortifications.jpg "fortification à la Vauban")<!-- .element width="45%" style="float: right;margin: 15px;"-->
-
-exploiter plusieurs techniques de sécurité afin de réduire le risque lorsqu'un composant particulier de sécurité est compromis ou défaillant
-
-<small>Sébastien Le Prestre de Vauban</small>
-
-
-## Stratégie de la défense en profondeur
-
-* n'évite pas l'attaque
-  * ralentit l'attaquant
-    * chacun est un maillon des chaînes fonctionnelles Sécurité Défense & SSI et doit
-
-<br>
-
-### Sécurité = réduire le risque = rendre les attaques coûteuses
-
-
-### Stratégie de la défense en profondeur
-
-Chaque maillon est reponsable
-
-* de l'analyse des risques inhérents à son périmètre pour mieux les maîtriser
-* de l'anticipation & de la prévention des accidents et des actes de malveillance
-* de l'amélioration continuelle de la sécurisation de son périmètre
-  * le risque 0 n'existe pas
-  * la sécurité peut toujours être améliorée
-
-
-## la chaîne Sécurité Défense
-
-![la chaîne Sécurité Défense](images/jnarac/ie/chaine_fonctionnelle.png "la chaîne Sécurité Défense")<!-- .element width="80%" -->
-
-
-#### la chaîne Sécurité Défense
-
-* Le SGDSN
-  * service du premier ministre
-    * pilote de la politique nationale en matière de SSI
-      * pour chaque ministère
-        * un HFDS
-        * un conseiller du ministre pour la défense, la sécurité et la vie de la nation
-
-  * s'appuie sur l'ANSSI
-
-
-## la chaîne SSI
-
-![Organisation nationale](images/jnarac/ie/organisation_nationale.png "Organisation nationale")<!-- .element width="45%" -->
-
-
-## la chaîne SSI
-
-* Le HFDS désigne et dirige
-  * pour chaque ministère
-    * un FSSI
-      * charger de porter la réglementation SSI vers chaque établissement publique
-        * un AQSSI par éatblissement
-        * un RSSI par établissement
-          * chargés de la gestion et du suivi des moyens de sécurité des SI
-
-
-## l'ANSSI
-
-[![ANSSI](images/jnarac/ie/Anssi.png "ANSSI")](http://www.ssi.gouv.fr/)
-
-
-## l'ANSSI
-
-* force d'intervention (CERT-FR) & de prévention
-* contribue à l'élaboration de la stratégie nationale et européenne SSI
-  * [EBIOS Expression des Besoins et Identification des Objectifs de Sécurité](https://www.ssi.gouv.fr/guide/ebios-2010-expression-des-besoins-et-identification-des-objectifs-de-securite/)
-  * [Livre blanc sur la sécurité et la défense nationale](http://www.livreblancdefenseetsecurite.gouv.fr/)
-    * renforcé par la LPM
-      * protège 218 [OIV (Opérateurs d'Importance Vitale)](http://fr.wikipedia.org/wiki/Op%C3%A9rateur_d'importance_vitale) en France
-
-
-#### ... d'importance Vitale
-
-[SAIV (Secteur d'Activités d'Importance Vitale)](http://www.sgdsn.gouv.fr/site_rubrique70.html) - selon article R1332-2 du Code de la défense français
-
-* Secteurs étatiques : activités civiles de l’Etat, activités militaires de l’Etat, activités judiciaires
-* Secteurs de la protection des citoyens : santé, gestion de l'eau, alimentation
-* Secteurs de la vie économique et sociale de la nation : énergie, communication, électronique, audiovisuel et information (les quatre représentent un secteur), transports, finances, industrie
-* La liste exhaustives est secret défense
-
-
-## Tour du monde SSI
-* l'Allemagne ont le [BSI](http://www.bsi.bund.de)
-* les Pays-Bas ont la NLNCSA
-* l'Union Européenne a l’[ENISA](http://www.enisa.europa.eu)
-* le Royaume-Uni a le [GCHQ](http://www.gchq.gov.uk) et le [CESG](http://www.cesg.gov.uk)
-* les États-Unis ont la [NSA](http://www.nsa.gov/ia/) et son programme PRISM et le [DHS](http://www.dhs.gov/cyber)
-  * [Five Eyes](https://fr.wikipedia.org/wiki/Five_Eyes)
-
-
-## Tour du monde SSI
-
-* Israël a l'[Unité 8200](http://fr.wikipedia.org/wiki/Unit%C3%A9_8200) et un programme de [cyber bouclier](http://tsahal.fr/2012/04/29/tsahal-en-2012-cest-aussi-la-guerre-cybernetique/)
-* la Chine a l'[unité 61 398](http://www.liberation.fr/monde/2013/02/20/unite-61-398-l-armee-des-hackers-chinois_883298)
-* la Russie  a [le programme SORM et le FSB](http://themoscownews.com/russia/20130617/191621273.html)
-* la Corée du nord aurait une [armée de 200 trolls & 3000 cyberguerriers](http://french.ruvr.ru/news/2013_08_13/La-Coree-du-Nord-a-forme-une-armee-de-hackers-et-de-trolls-7236/)

content/slides/privacy/md/jnarac/index.md

@@ -69,3 +69,8 @@ Note:
 ![Elf Surveillance Santa Camera](images/jnarac/index/Elf_Surveillance_Santa_Camera.png)
 
 ![Edward Snowden](images/jnarac/index/twitt-snowden.png)
+
+
+![Degrés de séparation](images/jnarac/index/degres-separation.png)<!-- .element style="width: 50%" -->
+
+Famille, amis, collègues, entreprises, institutions ... tout est imbriqué!

content/slides/privacy/md/jnarac/law.md

@@ -233,3 +233,117 @@ Soumises à autorisation de la CNIL
 * Contrats avec les sous-traitants
 * Procédures internes en cas de violations de données
 * Preuves du consentement
+
+
+# cadre légal hors RGPD
+
+
+## dispositifs spéciaux
+
+* Recherche publique
+  * [Protection du Potentiel Scientifique et Technique de la nation](http://fr.wikipedia.org/wiki/Protection_du_potentiel_scientifique_et_technique_de_la_nation_%28PPST%29)  
+* Données de santé
+  * [http://esante.gouv.fr/](http://esante.gouv.fr/)
+* Etablissements de crédit
+  * [garanties spécifiques de sécurité](http://www.fbf.fr/fr/contexte-reglementaire-international/cadre-juridique/les-principaux-textes-regissant-le-secteur-bancaire-francais)
+
+
+## Conservation des logs de modification
+
+* [Décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne](http://blog.crimenumerique.fr/2011/03/04/decret-dapplication-de-la-lcen-sur-la-conservation-des-donnees-par-les-fai-et-hebergeurs/)
+
+  * ip, url, protocole, date heure, nature de l'opération
+    * éventuellement les données utilisateurs
+    * éventuellement données bancaires
+
+
+## Conservation des logs de modification
+
+  * accédées dans le cadre d’une réquisition judiciaire
+  * conservées un an
+    * données utilisateurs pendant un an après la clôture
+
+[Article 60-2](http://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006071154&idArticle=LEGIARTI000006575051): mise à disposition dans les  meilleurs délais
+
+[Article 226-20](http://legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006070719&idArticle=LEGIARTI000006417977): les logs ont une date de péremption
+
+Note:
+- Décret d'application mettant en oeuvre la LCEN
+
+
+## Risques encourus par le pirate
+
+* Système de Traitement Automatisé de Données
+  * maintien frauduleux de l'accès
+    * 2 ans d'emprisonnement & 30 000 € d'amende
+  * suppression ou modification des données      
+    * 3 ans d'emprisonnement & 45 000 € d'amende
+  * si données à caractère personnel  
+    * 5 ans d'emprisonnement & 75 000 € d'amende
+
+[Article 323-1](http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006418316&cidTexte=LEGITEXT000006070719)
+
+
+## risques encourus par le pirate
+
+* altération du fonctionnement
+  * 5 ans d'emprisonnement et de 75 000 € d'amende
+* si données à caractère personnel  
+  * 7 ans d'emprisonnement & 100 000 € d'amende
+
+[Article 323-2](http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000025585005&cidTexte=LEGITEXT000006070719)
+
+Note:
+- interdiction d'exercer dans la fonction publique entre autre
+- privé de droits civique
+- d'exercer la profession dans laquelle le délis a été commis
+- confiscation du matos
+- [Article 323-5](http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006418326&cidTexte=LEGITEXT000006070719)
+
+
+## risques encourus par le pirate en pratique
+
+pas de condamnation pour le pirate si
+
+* aucune protection
+* aucune mention de confidentialité
+* accessible via les outils de navigation grand public
+* même en cas de données nominatives
+
+[KITETOA VS TATI](http://kitetoa.com/Pages/Textes/Les_Dossiers/Tati_versus_Kitetoa/index.shtml)
+
+[bluetouff VS ANSES](http://bluetouff.com/2013/04/25/la-non-affaire-bluetouff-vs-anses/)
+
+Note:
+- Kitetoa
+  - Suite au signalement d'une faille non corrigée et à l'écriture d'un article prétendant l'avoir exploité
+  - Cour d’appel de Paris, le 30 octobre 2002
+- Bluetouff
+  - Publication de fichiers condidentiels L’ANSES (Agence nationale de sécurité sanitaire - OIV)
+  - 2013
+
+
+## risques encourus par le pirate en pratique
+
+* Atteintes aux [intérêts fondamentaux de la nation](http://fr.wikipedia.org/wiki/Int%C3%A9r%C3%AAts_fondamentaux_de_la_nation)
+  * [Sécurité nationale](http://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_nationale)
+    * [Article 410-1 à 411-6](http://www.legifrance.gouv.fr/affichCode.do?idSectionTA=LEGISCTA000006136044&cidTexte=LEGITEXT000006070719)
+* Secret des communication pour l'autorité publique et FAI
+  * 3 ans d'emprisonnement et de 45 000 € d'amende
+    * [Article 432-9](http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006418513&cidTexte=LEGITEXT000006070719)
+
+
+## risques encourus par le pirate en pratique
+
+* Usurpation d'identité
+  * 5 ans d'emprisonnement et de 75 000 € d'amende
+    * [Article 434-23](http://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006070719&idArticle=LEGIARTI000006418661)
+* Importer, détenir, offrir ou mettre à disposition un moyen de commettre une infraction est puni
+  * [Article 323-3-1](http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006418323&cidTexte=LEGITEXT000006070719) (issu [de la Loi Godfrain](http://www.hackersrepublic.org/cultureduhacking/la-loi-godfrain-explications-et-illustrations))
+
+Note:
+- Sécurité nationale: ordre public et sécurité civile, relations extérieures et diplomatie, finance, matières premières, énergie, alimentation et produits industriels, santé publique, transports et télécommunications, travaux publics et sécurité des systèmes d'information.
+- Secret des communication -> pas de cassage de chiffrement
+- Usurpation d'identité -> ingénierie sociale
+- Importer, détenir, offrir ou mettre à disposition un moyen de commettre une infraction est puni -> publication de vulnérabilités
+- "vous les experts en sécurité informatique qui savez de quoi vous parlez, faites bien gaffe à ce que les autres utilisateurs disposent des moyens de se protéger des trucs[2] que vous publiez pour vous faire mousser". Pas complètement faux...