Bonjour,

Je suis le webmaster d'un site sur lequel les membres possèdent des crédits pour jouer à des jeux.

Je possède un compte sur le site (comme si j'étais un simple membre) et un autre compte permettant d'accéder à la partie administration du site.

Vendredi dernier, le 23/05/08, j'ai passé la journée connectée sur Internet (via la connexion wifi d'un ami). Durant cette journée, je me suis connecté plusieurs fois à mon compte "membre", à mon compte "admin" sur mon site.

Hier (samedi 24/05/08), je vais sur la partie admin et là je m'aperçois que le compte comportant l'id "125" a gagné le 23/05/08 aux alentours de 13h50. Sauf que le le compte 125, c'est MON compte "membre" !!!!! Je vais voir un peu plus en profondeur et là je m'aperçois que l'adresse email a été modifiée ! Mon adresse email a été remplacée par l'adresse "iona.i@libero.it" ! Mon mot de passe n'a pas été modifié, mon adresse postale n'a pas été modifiée, bref, juste l'adresse email a été changée et tous les crédits ont été utilisés (je me sert de ce compte pour tester les jeux).

Le problème n'est pas vraiment que mes crédits aient été utilisés (car j'ai évidemment supprimé le gain) mais plutôt que quelqu'un ai réussi à accéder à mon compte "membre" !!!

Pour l'identification j'utilise un système de session (pseudo + mot de passe), le mot de passe est hashé dans la bdd et comporte 11 lettres...

Comment cela a-t-il pu arriver ?
(J'ai pensé à une interception des données via la connexion wifi ?)

Comment protéger d'avantage ?

Merci d'avance à ceux qui pourront m'aider car j'avoue être étonné de cette situation (en 4 ans de webmastering, et développement d'applications web, c'est la première fois que je suis sujet à un tel problème !)