diff --git a/index.php b/index.php
new file mode 100644
index 0000000..10d41aa
--- /dev/null
+++ b/index.php
@@ -0,0 +1,358 @@
+<?php
+ini_set('display_errors', 1);
+error_reporting(E_ALL);
+
+session_set_cookie_params([
+    'secure' => true,
+    'httponly' => true,
+    'samesite' => 'Strict'
+]);
+session_start();
+
+// ========================
+// CONFIGURATION
+// ========================
+require_once __DIR__ . '/config/db.php';
+require_once __DIR__ . '/config/env.php';
+require_once __DIR__ . '/lib/RateLimit.php';
+require_once __DIR__ . '/lib/FileValidator.php';
+
+$rateLimit = new RateLimit($pdo);
+$fileValidator = new FileValidator();
+$message = '';
+
+// Initialiser le token CSRF
+if (empty($_SESSION['csrf_token'])) {
+    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
+}
+
+// ========================
+// INSCRIPTION
+// ========================
+if (isset($_POST['register'])) {
+    // Vérifier CSRF
+    if (empty($_POST['csrf_token']) || $_POST['csrf_token'] !== $_SESSION['csrf_token']) {
+        $message = 'Erreur de sécurité (CSRF)';
+    } else {
+        $username = trim($_POST['registerUsername'] ?? '');
+        $password = $_POST['registerPassword'] ?? '';
+
+        if (strlen($username) < 3 || strlen($username) > 50) {
+            $message = 'Le pseudo doit faire entre 3 et 50 caractères';
+        } elseif (strlen($password) < 8) {
+            $message = 'Le mot de passe doit faire au moins 8 caractères';
+        } elseif (!preg_match('/^[a-zA-Z0-9_-]+$/', $username)) {
+            $message = 'Le pseudo ne peut contenir que des lettres, chiffres, - et _';
+        } else {
+            // Vérifier si le pseudo existe déjà
+            $stmt = $pdo->prepare("SELECT id FROM `{$env['TABLE_USERS']}` WHERE pseudo = ?");
+            $stmt->execute([$username]);
+
+            if ($stmt->fetch()) {
+                $message = 'Pseudo déjà utilisé';
+            } else {
+                $hash = password_hash($password, PASSWORD_BCRYPT, ['cost' => 12]);
+                $stmt = $pdo->prepare(
+                    "INSERT INTO `{$env['TABLE_USERS']}` 
+                     (pseudo, mot_de_passe, role, date_inscription) 
+                     VALUES (?, ?, 'user', NOW())"
+                );
+                $stmt->execute([$username, $hash]);
+                $message = 'Inscription réussie ! Connectez-vous.';
+            }
+        }
+    }
+}
+
+// ========================
+// CONNEXION
+// ========================
+if (isset($_POST['login'])) {
+    // Vérifier CSRF
+    if (empty($_POST['csrf_token']) || $_POST['csrf_token'] !== $_SESSION['csrf_token']) {
+        $message = 'Erreur de sécurité (CSRF)';
+    } else {
+        $username = trim($_POST['loginUsername'] ?? '');
+        $password = $_POST['loginPassword'] ?? '';
+        $clientIp = $_SERVER['REMOTE_ADDR'];
+
+        // Rate limiting
+        if ($rateLimit->isBlocked($clientIp, 'login', 5, 900)) {
+            $message = 'Trop de tentatives. Réessayez dans 15 minutes.';
+        } else {
+            $stmt = $pdo->prepare(
+                "SELECT * FROM `{$env['TABLE_USERS']}` WHERE pseudo = ?"
+            );
+            $stmt->execute([$username]);
+            $user = $stmt->fetch(PDO::FETCH_ASSOC);
+
+            if (!$user || !password_verify($password, $user['mot_de_passe'])) {
+                $rateLimit->recordAttempt($clientIp, 'login');
+                $message = 'Identifiants incorrects';
+            } else {
+                $_SESSION['user_id'] = $user['id'];
+                $_SESSION['username'] = $user['pseudo'];
+                $_SESSION['role'] = $user['role'];
+                $message = 'Connexion réussie !';
+            }
+        }
+    }
+}
+
+// ========================
+// DÉCONNEXION
+// ========================
+if (isset($_POST['logout'])) {
+    // Vérifier CSRF
+    if (empty($_POST['csrf_token']) || $_POST['csrf_token'] !== $_SESSION['csrf_token']) {
+        $message = 'Erreur de sécurité (CSRF)';
+    } else {
+        $_SESSION = [];
+        session_destroy();
+        header("Location: " . $_SERVER['PHP_SELF']);
+        exit;
+    }
+}
+
+// ========================
+// CRÉATION DE POST
+// ========================
+if (isset($_POST['createPost'])) {
+    // Vérifier CSRF
+    if (empty($_POST['csrf_token']) || $_POST['csrf_token'] !== $_SESSION['csrf_token']) {
+        $message = 'Erreur de sécurité (CSRF)';
+    } elseif (!isset($_SESSION['user_id'])) {
+        $message = 'Vous devez être connecté pour poster';
+    } else {
+        $userId = $_SESSION['user_id'];
+
+        // Rate limiting : 1 post par minute
+        if ($rateLimit->isBlocked($userId, 'post', 1, 60)) {
+            $message = 'Vous ne pouvez poster qu\'une fois par minute. Patientez...';
+        } else {
+            $content = trim($_POST['postContent'] ?? '');
+
+            if (!$content) {
+                $message = 'Le contenu du post est vide';
+            } elseif (strlen($content) > 5000) {
+                $message = 'Le post ne doit pas dépasser 5000 caractères';
+            } else {
+                // Insérer le post
+                $stmt = $pdo->prepare(
+                    "INSERT INTO `{$env['TABLE_MESSAGES']}` 
+                     (id_utilisateur, contenu, date_creation) 
+                     VALUES (?, ?, NOW())"
+                );
+                $stmt->execute([$userId, $content]);
+                $postId = $pdo->lastInsertId();
+
+                // Gérer les fichiers
+                if (!empty($_FILES['postImage']['tmp_name'])) {
+                    $file = $_FILES['postImage'];
+                    $validationResult = $fileValidator->validate($file, 2 * 1024 * 1024);
+
+                    if ($validationResult['valid']) {
+                        // Vérifier la sécurité du fichier
+                        if ($fileValidator->isSafe($file['tmp_name'])) {
+                            // Créer le répertoire uploads s'il n'existe pas
+                            $uploadDir = __DIR__ . '/uploads/';
+                            if (!is_dir($uploadDir)) {
+                                mkdir($uploadDir, 0755, true);
+                            }
+
+                            // Générer un nom de fichier sécurisé
+                            $fileName = uniqid('post_', true) . '.' . $validationResult['ext'];
+                            $filePath = $uploadDir . $fileName;
+
+                            // Vérifier les permissions
+                            if (is_writable($uploadDir)) {
+                                // Déplacer le fichier
+                                if (move_uploaded_file($file['tmp_name'], $filePath)) {
+                                    // Sauvegarder dans la DB
+                                    $stmt = $pdo->prepare(
+                                        "INSERT INTO `{$env['TABLE_FILES']}` 
+                                         (id_message, nom_fichier, chemin_fichier, taille, type_mime, date_upload) 
+                                         VALUES (?, ?, ?, ?, ?, NOW())"
+                                    );
+                                    $stmt->execute([
+                                        $postId,
+                                        $file['name'],
+                                        '/uploads/' . $fileName,
+                                        $file['size'],
+                                        $validationResult['mime']
+                                    ]);
+                                    $message = 'Post publié avec succès !';
+                                } else {
+                                    $message = 'Erreur lors de l\'upload';
+                                }
+                            } else {
+                                $message = 'Erreur lors du téléchargement du fichier';
+                            }
+                        } else {
+                            $message = 'Le fichier contient du contenu dangereux';
+                        }
+                    } else {
+                        $message = $validationResult['error'];
+                    }
+                } else {
+                    $message = 'Post publié avec succès !';
+                }
+
+                // Enregistrer l'activité
+                $rateLimit->recordAttempt($userId, 'post');
+            }
+        }
+    }
+}
+
+// ========================
+// CHARGEMENT DES POSTS
+// ========================
+$stmt = $pdo->query(
+    "SELECT m.*, u.pseudo, f.chemin_fichier, f.nom_fichier, f.taille 
+     FROM `{$env['TABLE_MESSAGES']}` m 
+     JOIN `{$env['TABLE_USERS']}` u ON m.id_utilisateur = u.id 
+     LEFT JOIN `{$env['TABLE_FILES']}` f ON m.id = f.id_message 
+     ORDER BY m.date_creation DESC"
+);
+$posts = $stmt->fetchAll(PDO::FETCH_ASSOC);
+
+// Si l'utilisateur est admin, charger le flag
+$flag = null;
+if (isset($_SESSION['role']) && $_SESSION['role'] === 'admin') {
+    $flag = $env['FLAG'];
+}
+?>
+<!DOCTYPE html>
+<html lang="fr">
+<head>
+    <meta charset="UTF-8">
+    <meta name="viewport" content="width=device-width, initial-scale=1.0">
+    <title>Forum Équipe J</title>
+    <style>
+        * { margin: 0; padding: 0; box-sizing: border-box; }
+        body { font-family: Arial, sans-serif; background: linear-gradient(135deg, #667eea 0%, #764ba2 100%); min-height: 100vh; padding: 20px; }
+        .container { max-width: 800px; margin: 0 auto; }
+        .header { background: white; padding: 30px; border-radius: 10px; box-shadow: 0 5px 20px rgba(0,0,0,0.1); text-align: center; margin-bottom: 30px; }
+        .header h1 { color: #333; margin-bottom: 10px; }
+        .header p { color: #666; }
+        .flag-box { background: #fff3cd; border-left: 4px solid #ffc107; padding: 15px; margin-bottom: 20px; border-radius: 5px; }
+        .flag-box strong { color: #856404; }
+        .auth-section { background: white; padding: 25px; border-radius: 10px; box-shadow: 0 5px 20px rgba(0,0,0,0.1); margin-bottom: 30px; }
+        .auth-section h2 { color: #333; margin-bottom: 15px; font-size: 18px; }
+        .form-group { margin-bottom: 15px; }
+        .form-group label { display: block; margin-bottom: 5px; color: #555; font-weight: bold; }
+        .form-group input, .form-group textarea { width: 100%; padding: 10px; border: 1px solid #ddd; border-radius: 5px; font-size: 14px; }
+        .form-group textarea { resize: vertical; min-height: 100px; }
+        .btn { padding: 10px 20px; background: #667eea; color: white; border: none; border-radius: 5px; cursor: pointer; font-weight: bold; margin-right: 10px; }
+        .btn:hover { background: #5568d3; }
+        .btn-danger { background: #dc3545; }
+        .btn-danger:hover { background: #c82333; }
+        .message { padding: 15px; border-radius: 5px; margin-bottom: 20px; text-align: center; font-weight: bold; }
+        .message.success { background: #d4edda; color: #155724; border: 1px solid #c3e6cb; }
+        .message.error { background: #f8d7da; color: #721c24; border: 1px solid #f5c6cb; }
+        .post { background: white; padding: 20px; border-radius: 10px; box-shadow: 0 5px 20px rgba(0,0,0,0.1); margin-bottom: 20px; }
+        .post-header { display: flex; justify-content: space-between; align-items: center; margin-bottom: 15px; border-bottom: 1px solid #eee; padding-bottom: 10px; }
+        .post-author { color: #667eea; font-weight: bold; }
+        .post-date { color: #999; font-size: 12px; }
+        .post-content { color: #333; line-height: 1.6; margin-bottom: 15px; }
+        .post-image { max-width: 100%; border-radius: 5px; margin-top: 10px; }
+        .no-posts { text-align: center; color: #999; padding: 40px; }
+        .user-status { color: #667eea; font-weight: bold; margin-bottom: 20px; }
+    </style>
+</head>
+<body>
+    <div class="container">
+        <div class="header">
+            <h1>🏁 FLAG : <?php echo $flag ? htmlspecialchars($flag, ENT_QUOTES, 'UTF-8') : ''; ?></h1>
+            <p>🚀 Forum Équipe J</p>
+            <p>Espace de discussion sécurisé</p>
+        </div>
+
+        <?php if ($message): ?>
+            <div class="message <?php echo (strpos($message, 'réussie') !== false || strpos($message, 'succès') !== false) ? 'success' : 'error'; ?>">
+                <?php echo htmlspecialchars($message, ENT_QUOTES, 'UTF-8'); ?>
+            </div>
+        <?php endif; ?>
+
+        <?php if (isset($_SESSION['user_id'])): ?>
+            <div class="user-status">
+                👤 Connecté en tant que : <?php echo htmlspecialchars($_SESSION['username'], ENT_QUOTES, 'UTF-8'); ?>
+                <?php if ($_SESSION['role'] === 'admin'): ?>
+                    <span style="color: #ffc107;">[ADMIN]</span>
+                <?php endif; ?>
+            </div>
+
+            <div class="auth-section">
+                <h2>✍️ Créer un post</h2>
+                <form method="POST" enctype="multipart/form-data">
+                    <input type="hidden" name="csrf_token" value="<?php echo $_SESSION['csrf_token']; ?>">
+                    <div class="form-group">
+                        <label>Commentaire:</label>
+                        <textarea name="postContent" required></textarea>
+                    </div>
+                    <div class="form-group">
+                        <label>Image (PNG ou JPEG, min 2Mo):</label>
+                        <input type="file" name="postImage" accept="image/png,image/jpeg">
+                    </div>
+                    <button type="submit" name="createPost" class="btn">📤 Publier</button>
+                    <button type="submit" name="logout" class="btn btn-danger">🚪 Déconnexion</button>
+                </form>
+            </div>
+        <?php else: ?>
+            <div class="auth-section">
+                <h2>Connexion</h2>
+                <form method="POST">
+                    <input type="hidden" name="csrf_token" value="<?php echo $_SESSION['csrf_token']; ?>">
+                    <div class="form-group">
+                        <label>Pseudo:</label>
+                        <input type="text" name="loginUsername" required>
+                    </div>
+                    <div class="form-group">
+                        <label>Mot de passe:</label>
+                        <input type="password" name="loginPassword" required>
+                    </div>
+                    <button type="submit" name="login" class="btn">Se connecter</button>
+                </form>
+            </div>
+
+            <div class="auth-section">
+                <h2>Inscription</h2>
+                <form method="POST">
+                    <input type="hidden" name="csrf_token" value="<?php echo $_SESSION['csrf_token']; ?>">
+                    <div class="form-group">
+                        <label>Pseudo:</label>
+                        <input type="text" name="registerUsername" required>
+                    </div>
+                    <div class="form-group">
+                        <label>Mot de passe:</label>
+                        <input type="password" name="registerPassword" required>
+                    </div>
+                    <button type="submit" name="register" class="btn">S'inscrire</button>
+                </form>
+            </div>
+        <?php endif; ?>
+
+        <h2 style="color: white; margin-top: 30px; margin-bottom: 20px;">💬 Commentaires récents</h2>
+        <?php if (empty($posts)): ?>
+            <div class="no-posts">📭 Aucun post pour le moment. Soyez le premier à poster !</div>
+        <?php else: ?>
+            <?php foreach ($posts as $post): ?>
+                <div class="post">
+                    <div class="post-header">
+                        <span class="post-author">👤 <?php echo htmlspecialchars($post['pseudo'], ENT_QUOTES, 'UTF-8'); ?></span>
+                        <span class="post-date"><?php echo htmlspecialchars($post['date_creation'], ENT_QUOTES, 'UTF-8'); ?></span>
+                    </div>
+                    <div class="post-content">
+                        <?php echo nl2br(htmlspecialchars($post['contenu'], ENT_QUOTES, 'UTF-8')); ?>
+                    </div>
+                    <?php if ($post['chemin_fichier']): ?>
+                        <img src="<?php echo htmlspecialchars($post['chemin_fichier'], ENT_QUOTES, 'UTF-8'); ?>" alt="Post image" class="post-image">
+                        <small style="color: #999;">📎 <?php echo htmlspecialchars($post['nom_fichier'], ENT_QUOTES, 'UTF-8'); ?> (<?php echo round($post['taille'] / 1024 / 1024, 2); ?> Mo)</small>
+                    <?php endif; ?>
+                </div>
+            <?php endforeach; ?>
+        <?php endif; ?>
+    </div>
+</body>
+</html>
\ No newline at end of file