Logo ORSYS le mag 2025

Le média de la formation et des compétences

Accueil > Glossaire Cybersécurité > Token 🟢 Protection

Token 🟢 Protection

Un token en cybersécurité désigne une forme de jeton numérique servant à authentifier, autoriser ou sécuriser des communications entre utilisateurs, applications ou systèmes. Il est souvent utilisé pour éviter de manipuler directement des informations sensibles comme des mots de passe.

Les tokens sont utilisés dans divers contextes :

  • Authentification (ex. : JWT – JSON Web Token)  → token d’authentification
  • Autorisation (ex. : OAuth)
  • Sécurisation des sessions (tokens CSRF, tokens d’accès)
  • API sécurisées (tokens d’accès transmis avec les requêtes)

Ils sont souvent temporaires, signés ou chiffrés, et sont utilisés comme moyen sécurisé de vérifier l’identité d’un utilisateur ou la validité d’une requête.

Attention : un token en cybersécurité est différent d’un token dans le domaine IA (unité élémentaire de texte, fragment de mot) ou d’un token dans le domaine de la blockchain (cryptoactif)

 

Critère Token en cybersécurité Token en IA Token en blockchain (cryptoactif)
Nature Dispositif matériel/logiciel ou chaîne codée Unité de texte (mot, sous-mot, caractère) Instrument numérique (smart contract, valeur)
Fonction principale Authentifier, gérer les sessions, sécuriser Permettre le traitement, la modélisation du texte Représenter une valeur ou un droit, faciliter les échanges
Durée de vie Éphémère (OTP), session active (JWT limité) Instantané lors du prétraitement d’un texte Indéfinie tant que la blockchain existe
Support physique Oui (tokens matériels) ou virtuel (JWT) Logiciel uniquement (algorithme de tokenisation) Purement virtuel (smart contract sur blockchain)
Contexte d’usage Sécurité, IAM, SSO, VPN Traitement du langage naturel, traduction, chatbots Finance décentralisée, gouvernance, actifs numériques

 

 

 

🎯 Objectifs

 

  • Protéger les échanges d’informations sensibles
  • Éviter les accès non autorisés
  • Offrir une méthode flexible d’authentification/d’autorisation
  • Réduire l’exposition des mots de passe ou des données sensibles

🧩 Types

 

  • JWT (JSON Web Token) : pour authentifier les utilisateurs de façon stateless (le serveur ne garde pas la session en mémoire)
  • OAuth token : pour permettre à des applications d’accéder à des ressources sans partager les identifiants
  • Token CSRF : pour se prémunir contre les attaques par falsification de requêtes inter-sites
  • Token d’accès API : pour sécuriser les appels aux services web
  • Refresh token : pour obtenir un nouveau token d’accès sans ré-authentification

 

⚙️ Comment le mettre en œuvre

 

  1. Création du token : après l’authentification, le serveur génère un token signé ou chiffré
  2. Transmission : il est envoyé au client (ex. navigateur) et stocké (ex. cookie ou localStorage)
  3. Utilisation : le client l’envoie avec chaque requête ultérieure (ex. en en-tête HTTP)
  4. Vérification : le serveur décode et vérifie la validité, la signature, l’expiration
  5. Renouvellement ou révocation : avec des mécanismes de refresh token ou de blacklisting

 

🧨 Conséquences

 

  • En cas de compromission : un token volé peut permettre un accès non autorisé tant qu’il n’est pas expiré ou révoqué
  • Complexité de gestion : sécurité, expiration, stockage, transmission

 

🛠️ Outils

 

  • Auth0, Keycloak, Okta : gestion complète des tokens et de l’authentification
  • JWT.io : pour déchiffrer et vérifier des JWT
  • Postman : pour tester des appels API avec des tokens

💡 Exemples

 

  • Un site web utilise JWT pour que l’utilisateur n’ait pas à se reconnecter à chaque page
  • Une application mobile utilise OAuth 2.0 pour se connecter à un compte Google
  • Un formulaire HTML intègre un token CSRF pour prévenir les soumissions malveillantes

 

Voici un exemple réel de JWT (JSON Web Token), découpé en ses trois parties principales :

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.
SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

 

🔍 Décryptage des trois parties :

  • Header (en-tête) : indique le type de token et l’algorithme de signature
{
"alg": "HS256",
"typ": "JWT"
}
  • Payload (données) : contient les informations sur l’utilisateur ou les droits
{
"sub": "1234567890",
"name": "John Doe",
"iat": 1516239022
}
  • Signature : résultat de la signature cryptographique des deux premières parties, avec une clé secrète

Le serveur peut vérifier cette signature pour s’assurer que le contenu n’a pas été modifié. Si le token est expiré ou falsifié, il est rejeté.

✅ Avantages / ❌ Inconvénients

 

  • Avantages :
    • Sécurité renforcée
    • Réduction de la charge serveur (stateless)
    • Flexibilité dans l’architecture (APIs, microservices)
  • Inconvénients :
    • Gestion complexe (stockage, rotation, révocation)
    • Risques en cas de stockage ou transmission non sécurisés

🧗 Défis

 

  • Protéger le stockage local des tokens
  • Assurer une expiration et une rotation efficaces
  • Éviter les attaques par interception (ex. XSS, man-in-the-middle)

📈 Évolutions récentes

 

  • Zero Trust : intégration des tokens dans des architectures sans confiance implicite
  • Confidential Computing : traitement sécurisé des tokens en environnement isolé
  • Token Binding : lier un token à une session ou un périphérique pour empêcher le vol

📊 Chiffres récents

 

  • En 2024, plus de 90 % des API REST utilisent des tokens d’authentification comme le JWT (Source : Gartner, 2024)
  • Environ 60 % des fuites de données liées aux API sont dues à une mauvaise gestion des tokens (Source : Imperva, 2024)
  • Le marché des solutions de gestion d’identités et d’accès (IAM) devrait atteindre 24,1 milliards $ en 2025 (Source : MarketsandMarkets, 2024)
Retour au Glossaire

domaine de formation

Cybersécurité

formations associées

Sécurité systèmes et réseaux, niveau 1

Hacking et sécurité, niveau 1

Sécurité des systèmes d'information, synthèse

BEST

Vers la ORSYS Cyber Academy : un espace gratuit dédié à la cybersécurité