Attaques JWT

Bases du JWT

77 inscrits
~95 min
30-01-2026
1 pt

Contenu du Chapitre

Plongez dans les fondamentaux de la cybersécurité

JSON Web Tokens (JWT)

Comprendre et analyser l'authentification web

Authentification Web Analyse de Sécurité Compétences Pratiques

Ce que vous allez découvrir

🎯 Pourquoi c'est important

Les JSON Web Tokens alimentent les systèmes de connexion de millions de sites web et d'applications que vous utilisez quotidiennement. Comprendre leur fonctionnement - et leurs failles potentielles - est une connaissance essentielle pour quiconque s'intéresse sérieusement à la cybersécurité. Vous apprendrez à repérer des vulnérabilités que même des développeurs expérimentés manquent.

🔍 Ce que vous allez apprendre

À la fin de ce chapitre, vous comprendrez exactement comment fonctionne l'authentification web en coulisses. Vous serez capable d'analyser n'importe quel token JWT, d'identifier les faiblesses de sécurité et de connaître les techniques professionnelles que les experts en sécurité utilisent pour tester ces systèmes.

🚀 Votre première victoire

Dans les 5 prochaines minutes, vous décoderez votre premier token JWT et comprendrez sa structure. Cette même technique est utilisée par les professionnels de la sécurité dans le monde entier. La base de données CVE.org montre à quel point ces compétences sont critiques dans la sécurité du monde réel.

🔧 Essayez maintenant

Voici un vrai token JWT provenant d'une application web. Décodons-le ensemble pour voir ce qu'il contient : 

# Copiez ce token - il provient d'une application de test
TOKEN="eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c"

# Décodez la première partie (l'en-tête) - ajoutez le padding pour base64url
echo "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9===" | base64 -d

# Décodez la deuxième partie (les données) - ajoutez le padding pour base64url
echo "eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ===" | base64 -d

Vous verrez : Le token contient des informations lisibles sur un utilisateur nommé "John Doe" - c'est ainsi que les applications web savent qui vous êtes lorsque vous êtes connecté !

Compétences que vous maîtriserez

✅ Compréhension fondamentale

  • Comment fonctionne réellement l'authentification web (plus de mystère !)
  • Lire et comprendre les tokens JWT comme un pro
  • Repérer la différence entre systèmes sécurisés et vulnérables
  • Utiliser les mêmes outils que les experts en sécurité

🔍 Compétences professionnelles

  • Analyser les systèmes d'authentification pour détecter les faiblesses
  • Tester les applications web comme un consultant en sécurité
  • Comprendre les méthodes d'attaque pour construire de meilleures défenses
  • Communiquer les résultats de sécurité de manière claire et professionnelle

Comprendre la structure JWT

Pensez à un token JWT comme une carte d'identité numérique. Tout comme votre permis de conduire a différentes sections (photo, nom, adresse), un JWT a trois parties distinctes qui travaillent ensemble pour prouver qui vous êtes à un site web.

Chaque JWT suit ce modèle : header.payload.signature

Trois sections séparées par des points - chacune a un rôle spécifique

Header : la section "Type"

Ceci indique au site web quel type de token il examine et comment vérifier son authenticité - comme le texte "Permis de Conduire" sur votre pièce d'identité.

Ce qu'il contient

  • alg : Quelle méthode de sécurité est utilisée
  • typ : Confirme qu'il s'agit d'un token JWT
  • kid : Quelle clé de sécurité utiliser (optionnel) 
{
  "alg": "HS256",
  "typ": "JWT",
  "kid": "2024-key-01"
}

Payload : la section "Info"

Ceci contient les informations réelles sur l'utilisateur - comme le nom, la photo et l'adresse sur votre permis de conduire.

Types d'informations

  • Standard : ID utilisateur, temps d'expiration, émetteur
  • Public : Types d'informations largement reconnus
  • Personnalisé : Données spécifiques à l'application comme les rôles utilisateur 
{
  "sub": "user_001",
  "iss": "auth.company.com",
  "exp": 1643723400,
  "roles": ["analyst"]
}

Signature : la section "Sécurité"

C'est comme la bande holographique sur votre pièce d'identité - elle prouve que le token est authentique et n'a pas été falsifié.

Comment ça fonctionne

  • Intégrité : Détecte si quelqu'un a modifié les données
  • Authenticité : Prouve qu'il provient de la bonne source
  • Algorithme : Utilise le chiffrement HMAC, RSA ou ECDSA 
HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret_key
)

Votre parcours d'apprentissage

Les professionnels de la sécurité utilisent une approche systématique pour analyser les systèmes d'authentification. Voici la méthode éprouvée que vous maîtriserez, décomposée en étapes claires :

Étape 1 : analyse manuelle (commencez ici)

D'abord, vous apprendrez à examiner les tokens à la main. Cela construit votre compréhension et vous aide à reconnaître des patterns que les outils automatisés pourraient manquer. 

# Prenez n'importe quel token JWT et décomposez-le
TOKEN="votre_token_jwt_ici"

# Extrayez chaque section (elles sont séparées par des points) - ajoutez le padding pour base64url
echo "$(echo "$TOKEN" | cut -d'.' -f1)===" | base64 -d | jq .
echo "$(echo "$TOKEN" | cut -d'.' -f2)===" | base64 -d | jq .

# Regardez la signature (celle-ci reste chiffrée)
echo "$TOKEN" | cut -d'.' -f3

Ce que vous découvrirez : La majeure partie du token est lisible ! Seule la signature est chiffrée. C'est par conception - la sécurité vient de la signature, pas de la dissimulation des données.

Étape 2 : utiliser les outils professionnels

Une fois que vous comprenez les bases, vous utiliserez les mêmes outils web que les professionnels de la sécurité utilisent pour une analyse rapide.

Conseil Pro : Visitez https://jwt.io/ et collez n'importe quel token JWT. Vous verrez instantanément les trois sections décodées, plus la vérification de la validité de la signature. Mettez-le en favori - vous l'utiliserez constamment !

Étape 3 : tests de sécurité avancés

Enfin, vous apprendrez à utiliser des outils de sécurité spécialisés qui peuvent automatiquement tester les vulnérabilités courantes et les patterns d'attaque. 

# Obtenez l'outil de test JWT standard de l'industrie
git clone https://github.com/ticarpi/jwt_tool.git
cd jwt_tool

# Analysez la structure et la sécurité du token
python3 jwt_tool.py $TOKEN           # Analyse et décodage de base
python3 jwt_tool.py $TOKEN -C -d wordlist.txt  # Test des clés faibles
python3 jwt_tool.py $TOKEN -X a      # Essayez les attaques de confusion d'algorithme

Ce que ça fait : Ces commandes testent automatiquement les vulnérabilités JWT les plus courantes. C'est comme avoir un expert en sécurité qui vérifie le token pour vous !

Outils essentiels que vous utiliserez

Les professionnels de la sécurité ne mémorisent pas tout - ils savent quels outils utiliser et quand. Voici les outils JWT essentiels que vous devez connaître :

Outils d'analyse rapide

JWT.io (essentiel)

Décodage et validation instantanés des tokens. Parfait pour comprendre ce qu'il y a dans n'importe quel token JWT. Gratuit et fonctionne dans votre navigateur.

Token.dev (avancé)

Analyse plus détaillée avec scoring de sécurité et détection de vulnérabilités. Excellent pour une investigation approfondie.

Outils de test professionnels

JWT_Tool (standard de l'industrie)

L'outil que les consultants en sécurité utilisent pour des tests JWT complets. Trouve les vulnérabilités automatiquement.

Hashcat (standard de l'industrie)

L'outil de craquage de mots de passe le plus utilisé avec d'excellentes capacités de craquage de secrets JWT. Ce que les professionnels de la sécurité utilisent réellement pour tester les clés JWT faibles.

💡 Stratégie Pro : Commencez avec JWT.io pour chaque token, puis utilisez JWT_Tool quand vous trouvez quelque chose d'intéressant !

Construire des systèmes sécurisés

Comprendre les attaques vous rend meilleur en défense. Voici ce que vous devez savoir pour construire et reconnaître des implémentations JWT sécurisées :

Essentiels de sécurité

  • Utilisez des secrets forts, générés aléatoirement (n'utilisez jamais "secret" ou "password" !)
  • Vérifiez toujours que l'algorithme correspond à ce que vous attendez
  • Définissez des temps d'expiration raisonnables (généralement 15 minutes à 1 heure)
  • Validez chaque donnée dans le token
  • Utilisez toujours HTTPS - n'envoyez jamais de tokens en HTTP non chiffré

Erreurs courantes à éviter

  • N'acceptez jamais l'algorithme "none" (cela désactive entièrement la sécurité)
  • Ne laissez pas les attaquants changer le type d'algorithme
  • Utilisez RSA/ECDSA pour les systèmes publics, pas seulement HMAC
  • Implémentez une révocation de token appropriée (liste noire)
  • Surveillez les patterns de tokens inhabituels et les échecs de vérification

🎯 Votre expertise JWT est complète !

Vous comprenez maintenant l'authentification web comme un professionnel de la sécurité. Vous pouvez analyser n'importe quel token JWT, identifier les vulnérabilités et savez comment construire des systèmes sécurisés.

Analyse de Token Test de Sécurité Implémentation Sécurisée Outils Professionnels

Prêt à appliquer vos compétences à des scénarios réels

Validation des Connaissances

Démontrez votre compréhension pour gagner des points et progresser

1
Question du Chapitre

Décodez ce payload JWT pour trouver le nom d'utilisateur : eyJzdWIiOiJqYW5lLnNtaXRoIiwibmFtZSI6IkphbmUgU21pdGgiLCJ1c2VybmFtZSI6Imp3dF9tYXN0ZXIiLCJpYXQiOjE1MTYyMzkwMjJ9Cg

1
Lire
2
Valider
3
Terminer

Prêt à suivre votre progression?

Créez un compte gratuit pour sauvegarder votre progression, gagner des points et accéder à plus de 170 labs pratiques de cybersécurité.

Commencer à Apprendre Gratuitement

Progression du Cours

Suivez votre parcours d'apprentissage

0 /4
0 % Terminé
4 Restant
Chapitres du Cours

Aucun chapitre trouvé pour ce filtre

Rejoignez 5 000+ hackers qui apprennent la cybersécurité avec des labs pratiques. Créer un Compte