Bonjour à tous !

Je suis confronté à un problème des plus critique.
Mon application JSF tourne actuellement en production depuis quelques mois, et durant cette période, au moins 5 utilisateurs se sont retrouvé sur la session de quelqu'un d'autre !

Je m'explique, ils sont en train de travailler (avec bien evidement une session qui leur est propre, géré par Tomcat) et d'un seul coup, sur un changement de page ou suite à un plantage applicatif, il se retrouve connecté avec le compte de quelqu'un d'autre !

Niveau sécurité ça le fait pas du tout !

On a pu remarquer dans les logs, qu'entre un allé retour, client/serveur, un personne pouvait se voir octroyer un nouvel JSessionID (ce qui à mon avis ne devrait pas être possible)

Je ne sais pas trop par où aborder le problème... bug Tomcat ? Applicatif ? de réseaux ?

Toutes les pistes sont les bienvenues !

Merci d'avance !