⚠️ ALERTE SÉCURITÉ

Tentative de Réutilisation de Token JWT Expiré

Système : {{ system_name }}

Date/Heure : {{ timestamp|date('d/m/Y à H:i:s') }}

⚡ Une tentative de réutilisation d'un token JWT expiré a été détectée sur votre système.

📋 Détails de la Tentative

{% if details.user_id %} {% endif %} {% if details.user_email %} {% endif %} {% if details.token_expired_at %} {% endif %}
Utilisateur ID {{ details.user_id }}
Email Utilisateur {{ details.user_email }}
Adresse IP Source {{ details.ip_address }}
User-Agent {{ details.user_agent }}
Requête HTTP {{ details.method }} {{ details.requested_uri }}
Token Expiré Le {{ details.token_expired_at }}
Heure de la Tentative {{ details.attempt_time }}

🔍 Analyse de Sécurité

⚠️ Implications Potentielles

Cette tentative de réutilisation de token expiré peut indiquer :

  • Attaque par rejeu (Replay Attack) - Un attaquant rejoue un token JWT capturé précédemment
  • Vol de credentials - Token volé utilisé après sa date d'expiration
  • Bug applicatif - L'application cliente ne rafraîchit pas correctement les tokens
  • Test de pénétration - Tentative d'exploitation d'une potentielle vulnérabilité
  • Scanner automatisé - Bot testant des tokens trouvés dans des fuites de données

✅ Actions Recommandées

  1. Analyser les logs complets pour cette adresse IP (rechercher patterns)
  2. Vérifier l'historique d'activité de cette IP sur les dernières 24h
  3. Si utilisateur identifié : le contacter pour vérifier la légitimité de l'activité
  4. Analyser la fréquence des tentatives (1 fois = possible erreur, multiples = attaque)
  5. Envisager blocage IP si tentatives répétées (>5 en 1 heure)
  6. Vérifier tokens actifs de cet utilisateur (risque compromission)
  7. Audit sécurité si pattern suspect (même IP, multiples users)

📊 Prochaines Vérifications

Commandes utiles :

# Vérifier logs pour cette IP
grep "{{ details.ip_address }}" var/logs/file_logger.log | grep -i "security"

# Vérifier tentatives expired reuse en base
SELECT * FROM jwt_token
WHERE expired_reuse_detected = 1
AND last_expired_reuse_at >= NOW() - INTERVAL 24 HOUR;

{% if details.user_id %}# Vérifier tokens actifs utilisateur
SELECT * FROM jwt_token
WHERE user_id = {{ details.user_id }}
AND is_revoked = 0
AND expires_at > NOW();{% endif %}

# Compter tentatives cette IP (dernières 24h)
SELECT COUNT(*) FROM jwt_token
WHERE ip_address = '{{ details.ip_address }}'
AND expired_reuse_detected = 1
AND last_expired_reuse_at >= NOW() - INTERVAL 24 HOUR;

🚨 Actions Immédiates si Attaque Confirmée

1. Bloquer l'IP (IpBlock table ou firewall)

2. Révoquer tous tokens de l'utilisateur ciblé

3. Notifier l'utilisateur (si identifié)

4. Documenter l'incident (date, IP, actions prises)

ℹ️ Information : Cette alerte est générée automatiquement par le système de sécurité {{ system_name }}.
📁 Logs détaillés : var/logs/file_logger.log (recherche: expired_token_reuse_attempt)
📧 Service : ExpiredTokenReuseListener + SecurityAlertService
📖 Documentation : API_AUTHENTICATION_SECURITY_IMPLEMENTATION.md

Cet email a été envoyé à {{ system_name }} Security Team
Ne pas répondre à cet email - Il est généré automatiquement