Compte hacké ?

jlweb · 25/05/2008, 12h56

Bonjour,

Je suis le webmaster d'un site sur lequel les membres possèdent des crédits pour jouer à des jeux.

Je possède un compte sur le site (comme si j'étais un simple membre) et un autre compte permettant d'accéder à la partie administration du site.

Vendredi dernier, le 23/05/08, j'ai passé la journée connectée sur Internet (via la connexion wifi d'un ami). Durant cette journée, je me suis connecté plusieurs fois à mon compte "membre", à mon compte "admin" sur mon site.

Hier (samedi 24/05/08), je vais sur la partie admin et là je m'aperçois que le compte comportant l'id "125" a gagné le 23/05/08 aux alentours de 13h50. Sauf que le le compte 125, c'est MON compte "membre" !!!!! Je vais voir un peu plus en profondeur et là je m'aperçois que l'adresse email a été modifiée ! Mon adresse email a été remplacée par l'adresse "iona.i@libero.it" ! Mon mot de passe n'a pas été modifié, mon adresse postale n'a pas été modifiée, bref, juste l'adresse email a été changée et tous les crédits ont été utilisés (je me sert de ce compte pour tester les jeux).

Le problème n'est pas vraiment que mes crédits aient été utilisés (car j'ai évidemment supprimé le gain) mais plutôt que quelqu'un ai réussi à accéder à mon compte "membre" !!!

Pour l'identification j'utilise un système de session (pseudo + mot de passe), le mot de passe est hashé dans la bdd et comporte 11 lettres...

Comment cela a-t-il pu arriver ?
(J'ai pensé à une interception des données via la connexion wifi ?)

Comment protéger d'avantage ?

Merci d'avance à ceux qui pourront m'aider car j'avoue être étonné de cette situation (en 4 ans de webmastering, et développement d'applications web, c'est la première fois que je suis sujet à un tel problème !)

goldkey · 26/05/2008, 18h29

Citation:

Envoyé par jlweb

Comment cela a-t-il pu arriver ?
(J'ai pensé à une interception des données via la connexion wifi ?)

Il y a de grandes chances, surtout si celle-ci était faiblement protégée voir pas du tout

D'autant plus que ton mot de passe circule en clair, sur le réseau, avant d'être hashé menu dans la base

Citation:

Envoyé par jlweb

Comment protéger d'avantage ?

Passer au https, ainsi tes données sont cryptées et la c'est une autre histoire pour récupérer ton mot de passe

Sinon autre solution (plus bricolo mais tout de même efficace), tu peux te diriger vers l'utilisation d'un serveur SSH. Ainsi cela te permettrai de faire passer ton traffic http dans un tunnel crypté pour tes connexions en tant qu'admin

Tommy31 · 27/05/2008, 10h01

WEP ou WPA ?

25/05/2008, 12h56	#1
jlweb Invité de passage Inscription : avril 2008 Messages : 8 Détails du profil Informations forums : Inscription : avril 2008 Messages : 8 Points : 3 Points : 3	Compte hacké ? Bonjour, Je suis le webmaster d'un site sur lequel les membres possèdent des crédits pour jouer à des jeux. Je possède un compte sur le site (comme si j'étais un simple membre) et un autre compte permettant d'accéder à la partie administration du site. Vendredi dernier, le 23/05/08, j'ai passé la journée connectée sur Internet (via la connexion wifi d'un ami). Durant cette journée, je me suis connecté plusieurs fois à mon compte "membre", à mon compte "admin" sur mon site. Hier (samedi 24/05/08), je vais sur la partie admin et là je m'aperçois que le compte comportant l'id "125" a gagné le 23/05/08 aux alentours de 13h50. Sauf que le le compte 125, c'est MON compte "membre" !!!!! Je vais voir un peu plus en profondeur et là je m'aperçois que l'adresse email a été modifiée ! Mon adresse email a été remplacée par l'adresse "iona.i@libero.it" ! Mon mot de passe n'a pas été modifié, mon adresse postale n'a pas été modifiée, bref, juste l'adresse email a été changée et tous les crédits ont été utilisés (je me sert de ce compte pour tester les jeux). Le problème n'est pas vraiment que mes crédits aient été utilisés (car j'ai évidemment supprimé le gain) mais plutôt que quelqu'un ai réussi à accéder à mon compte "membre" !!! Pour l'identification j'utilise un système de session (pseudo + mot de passe), le mot de passe est hashé dans la bdd et comporte 11 lettres... Comment cela a-t-il pu arriver ? (J'ai pensé à une interception des données via la connexion wifi ?) Comment protéger d'avantage ? Merci d'avance à ceux qui pourront m'aider car j'avoue être étonné de cette situation (en 4 ans de webmastering, et développement d'applications web, c'est la première fois que je suis sujet à un tel problème !)
	00

27/05/2008, 10h01	#3
Tommy31 Membre Expert Chris Camel Architecte de système d'information Inscription : novembre 2006 Messages : 1 237 Détails du profil Informations personnelles : Nom : Chris Camel Âge : 37 Localisation : France, Haute Garonne (Midi Pyrénées) Informations professionnelles : Activité : Architecte de système d'information Secteur : Aéronautique - Marine - Espace - Armement Informations forums : Inscription : novembre 2006 Messages : 1 237 Points : 1 777 Points : 1 777	WEP ou WPA ?
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email