{% extends 'emails/base_email.html.twig' %} {% block email_title %}[SÉCURITÉ] Token JWT expiré réutilisé - 2AB Portal{% endblock %} {% block preheader %}Une tentative de réutilisation de token JWT expiré a été détectée.{% endblock %} {% block email_content %}

⚠ ALERTE SÉCURITÉ

Tentative de réutilisation de token JWT expiré

Système : {{ system_name }}

Date/Heure : {{ timestamp|date('d/m/Y à H:i:s') }}

⚡ Une tentative de réutilisation d'un token JWT expiré a été détectée sur votre système.

📋 Détails de la tentative

{% if details.user_id %} {% endif %} {% if details.user_email %} {% endif %} {% if details.token_expired_at %} {% endif %}
Utilisateur ID {{ details.user_id }}
Email utilisateur {{ details.user_email }}
Adresse IP source {{ details.ip_address }}
User-Agent {{ details.user_agent }}
Requête HTTP {{ details.method }} {{ details.requested_uri }}
Token expiré le {{ details.token_expired_at }}
Heure de la tentative {{ details.attempt_time }}

🔍 Analyse de sécurité

⚠ Implications potentielles

Cette tentative de réutilisation de token expiré peut indiquer :

Attaque par rejeu (Replay Attack) - Un attaquant rejoue un token JWT capturé précédemment
Vol de credentials - Token volé utilisé après sa date d'expiration
Bug applicatif - L'application cliente ne rafraîchit pas correctement les tokens
Test de pénétration - Tentative d'exploitation d'une potentielle vulnérabilité
Scanner automatisé - Bot testant des tokens trouvés dans des fuites de données

✅ Actions recommandées

1. Analyser les logs complets pour cette adresse IP (rechercher patterns)
2. Vérifier l'historique d'activité de cette IP sur les dernières 24h
3. Si utilisateur identifié : le contacter pour vérifier la légitimité de l'activité
4. Analyser la fréquence des tentatives (1 fois = possible erreur, multiples = attaque)
5. Envisager blocage IP si tentatives répétées (>5 en 1 heure)
6. Vérifier tokens actifs de cet utilisateur (risque compromission)
7. Audit sécurité si pattern suspect (même IP, multiples users)

🚨 Actions immédiates si attaque confirmée

1. Bloquer l'IP (IpBlock table ou firewall)

2. Révoquer tous tokens de l'utilisateur ciblé

3. Notifier l'utilisateur (si identifié)

4. Documenter l'incident (date, IP, actions prises)

ℹ Information : Cette alerte est générée automatiquement par le système de sécurité {{ system_name }}.

📁 Logs détaillés : var/logs/file_logger.log (recherche: expired_token_reuse_attempt)

📧 Service : ExpiredTokenReuseListener + SecurityAlertService

📖 Documentation : API_AUTHENTICATION_SECURITY_IMPLEMENTATION.md

{% endblock %}