docs: améliorer rendu markdown et navigation mkdocs

- Ajouter ADR-018 (librairies Go) dans TECHNICAL.md - Transformer Shared en menu dépliable dans mkdocs (cohérence avec autres domaines) - Corriger listes markdown (ajout lignes vides avant listes) - Corriger line breaks dans génération BDD (étapes "Et" sur nouvelles lignes) - Ajouter script fix-markdown-lists.sh pour corrections futures Impacte 86 fichiers de documentation et 164 fichiers BDD générés.
2026-02-09 20:49:52 +01:00
parent 95c65b8be1
commit 35aaa105d0
87 changed files with 1044 additions and 91 deletions
--- a/docs/adr/025-securite-secrets.md
+++ b/docs/adr/025-securite-secrets.md
@@ -6,6 +6,7 @@
 ## Contexte

 RoadWave manipule des données sensibles nécessitant une protection renforcée :
+
 - **Secrets applicatifs** : JWT signing key, DB credentials, Mangopay API keys
 - **PII utilisateurs** : Positions GPS précises, emails, données bancaires (via Mangopay)
 - **Conformité** : RGPD (minimisation données, encryption at rest), PCI-DSS (paiements)
@@ -88,11 +89,13 @@ graph TB
 3. Login root + activation KV-v2 engine (path : `roadwave/`)

 **Secrets stockés** :
+
 - **JWT signing key** : Paire RS256 privée/publique
 - **Database credentials** : Host, port, user, password (généré aléatoire 32 caractères)
 - **Mangopay API** : Client ID, API key, webhook secret

 **Récupération depuis Backend Go** :
+
 - Utilisation SDK `hashicorp/vault/api`
 - Authentification via token Vault (variable env VAULT_TOKEN)
 - Récupération secrets via KVv2 engine
@@ -100,28 +103,33 @@ graph TB
 ### Encryption PII (Field-level)

 **Données chiffrées** (AES-256-GCM) :
+
 - **GPS précis** : lat/lon conservés 24h puis réduits à geohash-5 (~5km²) ([Règle 02](../domains/_shared/rules/rgpd.md))
 - **Email** : chiffré en base, déchiffré uniquement à l'envoi
 - **Numéro téléphone** : si ajouté (Phase 2)

 **Architecture encryption** :
+
 - Utilisation bibliothèque standard Go `crypto/aes` avec mode GCM (AEAD)
 - Master key 256 bits (32 bytes) récupérée depuis Vault
 - Chiffrement : génération nonce aléatoire + seal GCM → encodage base64
 - Stockage : colonne `email_encrypted` en base PostgreSQL

 **Contraintes** :
+
 - Index direct sur champ chiffré impossible
 - Solution : index sur hash SHA-256 de l'email chiffré pour recherche

 ### HTTPS/TLS Configuration

 **Let's Encrypt wildcard certificate** :
+
 - Méthode : Certbot avec DNS-01 challenge (API OVH)
 - Domaines couverts : `roadwave.fr` + `*.roadwave.fr` (wildcard)
 - Renouvellement : automatique via cron quotidien (30j avant expiration)

 **Nginx TLS configuration** :
+
 - Protocol : TLS 1.3 uniquement (pas de TLS 1.2 ou inférieur)
 - Ciphers : TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384
 - HSTS : max-age 1 an, includeSubDomains
@@ -214,12 +222,14 @@ graph TB
 ### Rate Limiting (Protection DDoS/Brute-force)

 **Configuration** :
+
 - Middleware Fiber `limiter` avec backend Redis
 - Limite : 100 requêtes par minute par IP (global)
 - Clé de limitation : adresse IP client
 - Réponse limitation : HTTP 429 "Too many requests"

 **Rate limits par endpoint** :
+
 - `/auth/login` : 5 req/min/IP (protection brute-force)
 - `/moderation/report` : 10 req/24h/user (anti-spam)
 - API générale : 100 req/min/IP
@@ -236,6 +246,7 @@ graph TB
 | **Encryption master key** | Jamais (re-encryption massive) | Backup sécurisé uniquement |

 **Process rotation DB credentials** :
+
 - Vault génère automatiquement nouveau password
 - Vault met à jour PostgreSQL avec nouveau password
 - Application récupère nouveau password au prochain accès Vault