Qu’est-ce qu’un token (jeton) ?

Définition & principes

Un token (ou jeton) est un élément de preuve ou un moyen d’authentification délivré à un utilisateur, un appareil ou un service pour prouver son identité et autoriser une action (connexion, signature, accès API). Selon le contexte, il peut être éphémère (OTP), matériel (clé de sécurité) ou logique (jeton d’accès signé côté serveur).

Les tokens s’inscrivent dans les parcours d’authentification et de MFA et complètent les preuves de piste d’audit lors d’une signature en ligne.

Types de tokens

• OTP par SMS/Email : code à usage unique, simple mais vulnérable au SIM swap (à renforcer avec MFA).
• TOTP/HOTP (applications) : codes depuis une app (ex. générateur d’OTP) synchronisés par temps/compteur.
• Clés de sécurité U2F/FIDO2 (matérielles) : challenge cryptographique matériel, phishing-resistant.
• Certificats sur token/carte : dispositifs qualifiés pour stocker des clés privées (utilisés avec QES).
• Jetons d’accès (ex. JWT/OAuth) : objets signés côté serveur pour autoriser des API/sessions.
• Liens magiques (magic link) : token à usage unique transporté dans une URL.

Rôle dans l’authentification

Le token ajoute un facteur de preuve au-delà du mot de passe :

1. Preuve de possession : téléphone (TOTP/SMS), clé U2F/FIDO2.
2. Preuve d’authenticité de session : jetons signés côté serveur (ex. JWT) avec durée de vie et portée.
3. Traçabilité : chaque utilisation est journalisée dans la piste d’audit (horodatage, IP, appareil).

Pour la MFA, combinez au moins deux facteurs (possession, connaissance, biométrie) pour contrer le phishing et l’account takeover.

Tokens & signatures électroniques

• SES : token léger (OTP) pour confirmer le consentement à faible risque.
• AES : token + identité vérifiée (IDV) + contrôle exclusif des clés ; souvent appuyé sur certificats et hachage.
• QES : le dispositif de création (carte/token qualifié, HSM ou signature cloud) déclenche la signature avec une authentification forte, sous contrôle d’un QTSP conforme eIDAS/ZertES.

Dans une architecture cloud signing, le token côté utilisateur active une clé stockée de façon sécurisée (HSM), ce qui laisse une trace probante dans l’audit-trail.

Sécurité & bonnes pratiques

1. Préférer FIDO2/U2F pour la résistance au phishing ; limiter les SMS si le risque est élevé.
2. Rotation & durée de vie : tokens d’accès courte durée, rafraîchissement contrôlé.
3. Portée (scope) minimale
4. Stockage sûr : ne jamais enregistrer un token en clair (chiffrement, coffre/secret manager).
5. Revocation & liste de blocage : invalidation immédiate en cas d’incident.
6. Journalisation : associer chaque usage à l’utilisateur, l’appareil et l’adresse IP.
7. Zero Trust : vérifier en continu (contexte, risque, device posture). Voir Zero Trust.

Erreurs à éviter

• S’appuyer uniquement sur le SMS OTP pour des opérations à haut risque.
• Conserver des tokens d’accès trop longtemps (absence d’expiration/rotation).
• Ne pas lier le token à un contexte (IP, appareil) ni consigner l’événement dans l’audit.
• Partage de dispositifs ou de mots de passe générant des tokens (perte de contrôle exclusif des clés).

Pages associées

• Retour au glossaire (A-Z)
• Authentification · MFA · Identité numérique
• AES · QES · SES
• Certificat numérique · HSM · Signature cloud
• eIDAS · ZertES
• Hachage · Chiffrement · Piste d’audit

FAQ – Token & signatures

Activer des signatures sûres avec tokens

Testez SignnTrack – MFA (TOTP/FIDO2), signatures AES/QES, HSM et audit-trail conformes eIDAS/ZertES.

À retenir : le token est un maillon clé de la preuve d’identité et du contrôle des clés dans la signature électronique. En combinant tokens robustes (FIDO2/TOTP), certificats et journalisation, vous augmentez nettement la valeur probante et la sécurité de vos parcours.