Conformité et engagement

Le site www.olivierjung.com garantit l’accessibilité, la protection rigoureuse des données sensibles et une sécurité de niveau judiciaire pour toutes et tous les utilisateur·ices.

Accessibilité numérique

Le site s’engage à offrir une accessibilité numérique complète, notamment pour faciliter le dépôt de témoignages par les personnes en situation de handicap.

Normes respectées

  • WCAG 2.1 (Niveaux A et AA)
  • RGAA 4.1 (Référentiel français)
  • WAI-ARIA pour les formulaires sécurisés et dynamiques
  • Google Lighthouse : Objectif 100 % Accessibilité

Retour / Feedback

Tout obstacle à la navigation peut être signalé à contact@olivierjung.com.

Protection des données et RGPD (Lanceurs d’alerte)

Le site respecte le RGPD. Le recueil de témoignages bénéficie d’une protection renforcée pour garantir la confidentialité et l’intégrité des récits.

Protocoles spécifiques au Coffre-fort

  • Minimisation : Aucune donnée non nécessaire n’est collectée.
  • Droit à l’oubli immédiat : Votre adresse e-mail de validation est supprimée de nos serveurs dès l’envoi de votre contrat de confidentialité.
  • Anonymisation géographique : Suppression automatique des métadonnées (EXIF/GPS) sur toutes les pièces jointes (photos/vidéos).
  • Engagement juridique : Chaque dépôt génère un contrat de confidentialité (NDA) opposable devant les tribunaux de Brest et Vannes.

Sécurité et Architecture technique

Cryptographie et Protection des fichiers

  • Chiffrement AES-256-GCM : Les adresses IP des témoins sont chiffrées avec authentification intégrée (AES-256-GCM), garantissant à la fois la confidentialité et l’intégrité des données contre toute altération en cas d’intrusion.
  • Stockage hermétique : Les témoignages sont conservés dans un répertoire protégé par verrouillage logiciel (.htaccess), rendant tout accès direct par navigateur impossible.
  • Intégrité numérique : Horodatage serveur certifié pour garantir la valeur probante du témoignage (Art. 202 du CPC).
  • Validation des fichiers uploadés : Chaque pièce jointe est soumise à une double vérification — extension et type MIME réel — avant acceptation. Les fichiers dont le type ne correspond pas à l’extension déclarée sont rejetés automatiquement.
  • Nettoyage des métadonnées PDF : En complément des images (EXIF/GPS), les documents PDF sont traités pour supprimer les métadonnées d’auteur et de localisation avant stockage.
  • Rate limiting : Le formulaire de dépôt de témoignage est limité à 5 soumissions par heure et par adresse IP, protégeant contre les soumissions automatisées.

Mesures de protection actives du site

  • HTTPS (TLS 1.3) avec certificat de haute sécurité.
  • HSTS (Strict Transport Security) imposé.
  • Content-Security-Policy (CSP) stricte pour bloquer les injections (XSS).
  • Permissions-Policy encadrant strictement l’accès au micro et à la caméra.
  • Subresource Integrity (SRI) : Les bibliothèques externes (polices, icônes) sont chargées avec un hash de vérification d’intégrité, empêchant l’injection de code malveillant en cas de compromission du CDN.
  • Nonce WordPress sur toutes les actions AJAX : Chaque requête vers le serveur est signée par un jeton à usage unique, rendant les attaques CSRF impossibles.
  • Édition de fichiers désactivée : L’éditeur de thème et de plugins WordPress est désactivé au niveau serveur (DISALLOW_FILE_EDIT), empêchant toute modification de code depuis le back-office en cas de compromission d’un compte administrateur.
  • PHP bloqué dans les répertoires d’upload : L’exécution de scripts PHP est interdite dans les dossiers uploads/, plugins/ et themes/ via les règles Apache, neutralisant les tentatives d’injection de webshell.
  • Flux RSS désactivés : Les flux RSS/Atom sont désactivés, réduisant la surface d’exposition des contenus et des métadonnées du site.
  • API REST utilisateurs masquée : L’endpoint /wp-json/wp/v2/users est désactivé, empêchant l’énumération des identifiants et adresses email des comptes WordPress.

Authentification et accès back-office

  • Double authentification (2FA) : La connexion au back-office requiert une double vérification : identifiant + mot de passe, puis code à usage unique (OTP) envoyé par email. Le code expire après 10 minutes et ne peut être utilisé qu’une seule fois.
  • Token de session signé : La session OTP est liée à un jeton cryptographique unique, stocké en base de données et invalidé immédiatement après utilisation, empêchant toute réutilisation ou interception.
  • Blocage après 5 tentatives : Cinq tentatives incorrectes de saisie du code OTP entraînent le blocage automatique de la session, nécessitant une reconnexion complète.