diff --git a/assets/CacheVsSessionStore.png b/assets/CacheVsSessionStore.png
deleted file mode 100644
index 4714a31126b144ecf092dfd394db16cbd2d88e46..0000000000000000000000000000000000000000
Binary files a/assets/CacheVsSessionStore.png and /dev/null differ
diff --git a/assets/grapheDroits.jpg b/assets/grapheDroits.jpg
new file mode 100644
index 0000000000000000000000000000000000000000..b24b0d52bfa422eed3841d081aa83cb4db4b4f4e
Binary files /dev/null and b/assets/grapheDroits.jpg differ
diff --git a/notes/CONTRIBUTING.md b/notes/CONTRIBUTING.md
index b0a25d0951669246b86891cd4e61f88f904f18ac..f2234dd9d41b7de31a4448e94aae957b56460b13 100644
--- a/notes/CONTRIBUTING.md
+++ b/notes/CONTRIBUTING.md
@@ -136,7 +136,7 @@ Pour accéder à la "vraie" BDD, sur roued (le serveur qui héberge sigma), il f
 ### Fonctions LDAP
 cf. {@tutorial memo_ldap} pour plus de détails sur la techno.
 
-On peut facilement explorer le LDAP si on est sur le réseau de l'X, avec [JXplorer](http://jxplorer.org/) en entrant `frankiz` dans nouvelle connexion et en allant dans `net`.
+L'idée est de fournir une API minimaliste pour le LDAP de façon à faciliter l'intégration de nouvelles écoles qui privilégierait un autre mode d'authentification - et ce qui permet aussi de leur laisser le contrôle sur leurs propres données.
 
 #### Ne pas se tromper de LDAP...
 Il y a deux LDAP à l'X : le LDAP de la DSI et le LDAP de Frankiz (du BR). 
@@ -144,7 +144,11 @@ Il y a deux LDAP à l'X : le LDAP de la DSI et le LDAP de Frankiz (du BR).
 - Le premier, utilisé pour l'authentification sur les services de l'Ecole (mail polytechnique.edu, le Moodle, Synapses...) ne concerne pas du tout sigma.
 - C'est le second qu'on utilise, et "le LDAP" dans le contexte de sigma désignera, sauf indication contraire, le LDAP frankiz.
 
-## Authentification
+Une documentation vieillissante est disponible sur le [`wikix`](https://wikibr.binets.fr/Admin:LDAP) pour en savoir plus sur ce sujet.
+
+## Gestion des utilisateurs
+
+### Authentification
 
 On utilise [passportjs](https://www.npmjs.com/package/passport) pour l'authentification. La [stratégie "ldapauth"](https://www.npmjs.com/package/passport-ldapauth) de passport permet de s'authentifier contre le LDAP frankiz. 
 
@@ -154,9 +158,17 @@ La gestion des sessions et de la distribution de cookies est gérée par passpor
 
 ![auth](../assets/auth.png "Processus d'authentification proposé")
 
-Sur un point plus technique de stockage du cookie, deux possibilités s'offrent à nous :
+### Vérification des droits
+
+Il semble intéressant de proposer pour Sigma une structure plus souple que Frankiz, avec plusieurs niveaux dans un groupe :
+- Admin, qui gère le groupe
+- Speaker, qui parle au nom du groupe
+- Member, qui est notifié et qui apparait comme membre
+- Follower, qui est aussi notifié parfois
+
+L'idée est aussi d'explorer ce qu'on peut faire pour opérer une cascade de privilèges et éviter les super-admins de Frankiz. Dans cette logique, on peut définir un graphe évolutif qui définit les interactions entre groupes et établit des relations de visibilités, d'appartenance et d'administrations. Cela permettrait de définir de façon plus intelligente les droits d'un utilisateur de façon presque graphique, voir :
 
-![store](../assets/CacheVsSessionStore.png "Deux processus de stockage différents")
+![auth](../assets/graphDroits.png "Graphe de droits")
 
 ## Panneau d'administration ("adminview")
 
diff --git a/notes/memo_knexjs.md b/notes/memo_knexjs.md
index ce2f105c05f91951fa929ed80d08527f8051f27e..d15ec00acf6ad5658382b9eb1c9f3c8a700d0d26 100644
--- a/notes/memo_knexjs.md
+++ b/notes/memo_knexjs.md
@@ -1,7 +1,3 @@
-```info
-Note : ce mémo a été rédigé à l'origine pour le CONTRIBUTING.md de shitpost-backend, donc fait parfois référence à des fichiers de ce projet. C'est indiqué à chaque fois lorsque c'est le cas.
-```
-
 > [Knex.js](https://knexjs.org/) is a "batteries included" SQL query builder for Postgres, MSSQL, MySQL, MariaDB, SQLite3, Oracle, and Amazon Redshift designed to be flexible, portable, and fun to use.
 
 J'utilise Knex.js avec PostgreSQL (comme dans sigma).
diff --git a/notes/memo_ldap.md b/notes/memo_ldap.md
index d954e3c902c3cb25558902db29c6d051c844a2e8..a91b3ae7eec309fa9c3d4d31e621435f3df7d0ba 100644
--- a/notes/memo_ldap.md
+++ b/notes/memo_ldap.md
@@ -1,2 +1,13 @@
+## Qu'est ce qu'un LDAP ?
 
-  - On y accède par des requêtes LDAP, d'où la nécessité de ldap.js (une dépendance npm faisant office de traducteur javascript/LDAP).
\ No newline at end of file
+LDAP signifie Lightweight Directory Access Protocol ; c'est donc un protocole, comme http, et pas une structure de données à proprement parler. Comme http, il fonctionne par chaîne de caractères appelés URI. La structure d'un LDAP est cependant forcément celle d'un arbre, avec une racine à la fin de l'URI et le noeud recherché à la fin. Par exemple "uid=louis.vaneau,ou=eleves,dc=frankiz,dc=net", qui permet d'accéder à la feuille associée à Louis Vaneau dans le LDAP de frankiz.
+
+Il s'agit d'une structure particulièrement rigide mais efficace en lecture. Chaque noeud contient un certain nombre de champs qui ne sont pas nécessairement tous rempli, et qui n'ont pas forcément une seule variable par champ.
+
+## Sur le LDAP Frankiz
+
+Une documentation vieillissante est disponible sur le [`wikix`](https://wikibr.binets.fr/Admin:LDAP).
+
+## Un wrapper sympathique
+
+On accède sur un LDAP¨par des requêtes LDAP, d'où l'intérêt d'une bibliothèque comme [`ldap.js`](http://ldapjs.org/) qui fait office de traducteur javascript/LDAP, un peu comme knex et SQL. On s'intéressera particulièrement à la partie [`client`](http://ldapjs.org/client.html) qui est celle qui permet d'agir sur le LDAP.
\ No newline at end of file