Contexte : L’application mobile utilise un token statique pour authentifier les requêtes API sensibles. Le Problème : Des requêtes interceptées peuvent être rejouées sans mécanisme de protection additionnel. Extrait logique actuelle : sendSecureRequest(token, payload); Contraintes : Introduire nonce unique et horodatage dans chaque requête critique. Vérifier unicité côté serveur. Implémenter expiration courte des tokens et rotation automatique. Livrable attendu : Mettre en place un mécanisme robuste réduisant risques d’attaque par relecture ou interception.