diff --git a/HowtoSSL.md b/HowtoSSL.md
index ce92c4f6..021899b2 100644
--- a/HowtoSSL.md
+++ b/HowtoSSL.md
@@ -242,7 +242,7 @@ D'autres outils également utiles :
Pour louer un certificat lié à **UN** enregistrement DNS :
* 0 EUR/an : Let's Encrypt
-* 0 EUR/an : StartCom/StartSSL Free :
+* 0 EUR/an : StartCom/StartSSL Free : (attention, [cela pose des soucis avec Firefox](HowtoSSL#à-propos-de-startcomstartssl))
* 8.20 EUR/an : Comodo PositiveSSL :
* 12 EUR/an : Gandi SSL standard :
* 129 EUR/an : Thawte SSL123 :
@@ -284,15 +284,32 @@ L'avantage de StartSSL est que pour 150 EUR/an, vous pouvez obtenir la validatio
### Failles de sécurité
-TODO
+Plusieurs failles de sécurité ont touché SSL/TLS ou le logiciel OpenSSL ces dernières années,
+il convient donc de traiter avec attention la question de la configuration au sein des différents logiciels.
#### Faille PODDLE
-TODO
+La faille POODLE (adding Oracle On Downgraded Legacy Encryption) est une vulnérabilité touchant le protocole SSL version 3.0 permettant une attaque *man-in-the-middle*. Elle a été révélée en octobre 2014 et il y a eu une vague de désactivation du protocole SSLv3, voir .
+
+* Désactiver SSL 3.0 pour Apache : `SSLProtocol all -SSLv2 -SSLv3`
+* Désactiver SSL 3.0 pour Nginx 0.7 : `ssl_protocols TLSv1;`
+* Désactiver SSL 3.0 pour Nginx 1.2 : `ssl_protocols TLSv1 TLSv1.1 TLSv1.2;`
+* Désactiver SSL 3.0 pour Postfix : `smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3 smtp_tls_mandatory_protocols=!SSLv2,!SSLv3 smtpd_tls_protocols=!SSLv2,!SSLv3 smtp_tls_protocols=!SSLv2,!SSLv3`
#### Faille FREAK
-TODO
+La faille FREAK (Factoring RSA Export Keys) est une vulnérabilité dans OpenSSL permettant une attaque *man-in-the-middle* pour renégocier
+un chiffrement faible. Cela se base sur des chiffrements « EXPORT » introduits dans les années 2000 par les USA pour pouvoir déchiffrement les communications. Voir , et .
+
+On peut tester si un serveur accepte les chiffrements EXPORT avec la commande suivante :
+
+~~~{.bash}
+$ openssl s_client -connect example.com:443 -cipher EXPORT
+~~~
+
+Si on obtient *error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure:s23_clnt.c:749* c'est que le serveur n'accepte pas les chiffrements EXPORT.
+
+Debian [a corrigé cette faille en janvier2015](https://security-tracker.debian.org/tracker/CVE-2015-0204), ce qui est surtout important pour les clients (navigateurs, etc.). On peut vérifier que sa machine ne tolère pas de chiffrements « EXPORT » via la commande `openssl ciphers | tr -s ':' '\n' | sort | grep EXP`. Sous Debian, par défaut Apache et Nginx n'ont pas été impactés car leur liste de chiffrement n'incluait pas EXPORT.
### Avoir A+ sur SSL LABS