diff --git a/content/Etudiants/zz2-f5-websec.md b/content/Etudiants/zz2-f5-websec.md
index e325b2bcd6beba4fd011dfeaaa34b84b9d16314a..a6e38bbf0b5d99ca670361dfc1260df9035f948c 100644
--- a/content/Etudiants/zz2-f5-websec.md
+++ b/content/Etudiants/zz2-f5-websec.md
@@ -243,38 +243,65 @@ Ce bug est dû à la numérotation fantaisiste d'Ubuntu des interfaces réseau .
 
 ## Evaluation
 
-* Examen écrit en fin de session
+### Examen écrit en fin de session (coeff 0.5)
 
-* Une présentation d'une des 7 failles suivantes par trinôme
+* Durée: 1h00
+* Support: interdit
 
-    * [mardi 21/09/2021] Authentification inefficiente ou ressource mal protégée 
-        * un objet qui devrait être protégée est accessible sans authentification
-        * on peut obtenir une session 
-    * [mardi 28/09/2021] Command execution
-        * il s'agit d'injecter des commandes systèmes (on empiète pas sur le SQLi)
-    * [mardi 05/10/2021] Upload
-        * comment exécuter du code arbitraire à partir d'un formulaire d'upload de fichier
-    * [mardi 12/10/2021] LFI / RFI
-        * injection de paramètre http permettant d'inclure un fichier localement / distant
-    * [mardi 19/10/2021] XSS
-        * faire exécuter du code javascript arbitraire stocké (stored) ou passé en paramètres dan la requête (reflected)
-    * [lundi 26/10/2021] CSRF
-        * exécution d'un commande avec privilège à l'insu de l'utilisateur
-    * [lundi 09/11/2021] SQLi
-        * injection de commandes SQL (les blind sont à traiter)
+### Une présentation d'une des 7 failles suivantes par trinôme (coeff 0.5)
 
-* Vous pouvez vous organiser avec ce [fichier Excel](https://teams.microsoft.com/_#/xlsx/viewer/teams/https:~2F~2Fucafr.sharepoint.com~2Fsites~2Fwebsec~2FDocuments%20partages~2FGeneral~2Fexpos%C3%A9s%202021.xlsx?threadId=19:2674d1ec7904404688ced0721a4a2aad@thread.tacv2&baseUrl=https:~2F~2Fucafr.sharepoint.com~2Fsites~2Fwebsec&fileId=c81c8db2-a670-4756-840f-c65b437cd284&ctx=files&rootContext=items_view&viewerAction=view)
+  * [mardi 27/09/2022] Authentification inefficiente ou ressource mal protégée 
+      * un objet qui devrait être protégée est accessible sans authentification
+      * on peut obtenir une session 
+  * [mardi 04/10/2022] Command execution
+      * il s'agit d'injecter des commandes systèmes (on empiète pas sur le SQLi)
+  * [mardi 11/10/2022] Upload
+      * comment exécuter du code arbitraire à partir d'un formulaire d'upload de fichier
+  * [mardi 18/10/2022] LFI / RFI
+      * injection de paramètre http permettant d'inclure un fichier localement / distant
+  * [mardi 25/10/2022] XSS
+      * faire exécuter du code javascript arbitraire stocké (stored) ou passé en paramètres dan la requête (reflected)
+  * [lundi 08/11/2022] CSRF
+      * exécution d'un commande avec privilège à l'insu de l'utilisateur
+  * [lundi 15/11/2022] SQLi
+      * injection de commandes SQL (les blind sont à traiter)
 
-* Chaque présentation durera 15 minutes et devra présenter 
+  * Vous pouvez vous organiser avec ce [fichier Excel](https://teams.microsoft.com/_#/xlsx/viewer/teams/https:~2F~2Fucafr.sharepoint.com~2Fsites~2Fwebsec~2FDocuments%20partages~2FGeneral~2Fexpos%C3%A9s%202021.xlsx?threadId=19:2674d1ec7904404688ced0721a4a2aad@thread.tacv2&baseUrl=https:~2F~2Fucafr.sharepoint.com~2Fsites~2Fwebsec&fileId=c81c8db2-a670-4756-840f-c65b437cd284&ctx=files&rootContext=items_view&viewerAction=view)
 
-    * la vulnérabilité
-    * l'exploitation de la vulnérabilité
-        * l'exploitation d'une vulnérabilité existante dans https://www.cvedetails.com/ est un plus :D
-    * un ensemble de solutions permettant de se protéger
+  * Chaque présentation durera 15 minutes et devra présenter 
 
-* Vous éviterez au maximum de vous aider du support de cours et des exemples qui s'y trouvent (notamment [DVWA](http://www.dvwa.co.uk/)). Si je raconte la même chose que les étudiants qui présentent c'est pas marrant ...
+      * la vulnérabilité
+      * l'exploitation de la vulnérabilité
+          * l'exploitation d'une vulnérabilité existante dans https://www.cvedetails.com/ est un plus :D
+      * un ensemble de solutions permettant de se protéger
 
+  * Vous éviterez au maximum de vous aider du support de cours et des exemples qui s'y trouvent (notamment [DVWA](http://www.dvwa.co.uk/)). Si je raconte la même chose que les étudiants qui présentent c'est pas marrant ...
 
+### Un cadeau bonus
+
+Une faille est cachée sur le Système d'information de l'ISIMA. Le premier qui me l'envoie par mail à [vincent.mazenod@isima.fr](mailto:vincent.mazenod@isima.fr) verra sa note de présentation ET sa note d'examen finale augmentée de **3 points**.
+
+Vous avez droit à autant de proposition que vous le souhaitez, car il y a fort à parier qu'il y a plus d'une faille dans le SI de l'ISIMA. Chaque faille valide pourra vous rapporter des points en pus également.
+
+<div class="panel panel-danger">
+  <div class="panel-heading">
+    <h3 class="panel-title">Soignez votre éthique</h3>
+  </div>
+  <div class="panel-body">
+    Si le défi est de trouver des vulnérabilités, l'idée n'est pas de vous encourager à les exploiter ... N'oubliez pas que vous êtes soumis à <a href="https://doc.isima.fr/support/chartes">différentes obligations légales</a>
+  </div>
+</div>
+
+<div class="panel panel-success">
+  <div class="panel-heading">
+    <h3 class="panel-title">Retrouvez un indice supplémentaire chaque semaine</h3>
+  </div>
+  <div class="panel-body">
+    <ol>
+      <li>La faille est accessible depuis l'extérieur, pas besoin du <a href="https://doc.isima.fr/acces-distant/vpn">VPN</a></li>
+    </ol>
+  </div>
+</div>
 
 <!-- 
 ### Projet