Qu'est-ce qu'un jeton d'accès?
Dans les systèmes d'exploitation informatiques et autres environnements logiciels, un jeton d'accès est toute structure de données contenant les informations de sécurité nécessaires à un processus pour accéder à un objet sécurisé ou à un autre processus nécessitant une autorisation. Les objets sécurisés sont généralement des données du système de fichiers avec des privilèges de lecture et d'écriture définis. Un processus est tout autre programme ou service nécessitant une autorisation pour accéder à ses fonctions. Bien qu'un jeton d'accès soit simplement un conteneur capable de contenir toutes les informations, il est généralement utilisé pour stocker les privilèges de l'utilisateur.
Le concept de jeton d'accès a été conçu et utilisé principalement par les systèmes d'exploitation et les programmes Microsoft®, mais leur utilité les a menés ailleurs. L’interface de programmation d’applications (API) pour Google décrit une méthode permettant d’utiliser des jetons d’accès lors de la programmation d’applications nécessitant l’accès aux données associées au compte d’un utilisateur Google. Certaines des grandes plates-formes de réseaux sociaux utilisent également des jetons d'accès dans leur API.
Fondamentalement, lorsqu'un utilisateur se connecte à un système d'exploitation ou à une structure de système logiciel, le système vérifie l'utilisateur et le mot de passe dans une base de données de sécurité et crée un jeton d'accès qui identifie l'utilisateur à tout objet ou processus du système. Tous les processus - tels que les applications, les programmes ou les services - démarrés par l'utilisateur porteront le jeton d'accès avec eux. Le jeton d'accès doit alors stocker plusieurs bits de données sur lesquels un autre programme ou objet se base pour vérifier l'accès.
Les jetons d'accès contiennent les identificateurs de sécurité (SID), généralement des codes numériques, pour l'utilisateur, tous les groupes d'utilisateurs auxquels l'utilisateur appartient et la session en cours de connexion. Le jeton contient également une liste de tous les privilèges que l'utilisateur ou les groupes sont autorisés. Il existe plusieurs types de jetons d'accès. Par conséquent, le jeton doit également identifier son type, primaire ou emprunt d'identité. Un jeton d'accès principal est le type standard utilisé, mais un jeton d'emprunt d'identité peut également être créé pour agir au nom de l'utilisateur.
Lorsqu'un jeton d'accès est appelé pour effectuer son travail, il rencontre un moniteur de référence de sécurité (SRM), un service qui surveille l'accès aux objets et aux processus du système. Le MEV extrait le descripteur de sécurité de l'objet ou du processus pour comparaison avec le jeton d'accès. Le descripteur de sécurité contient une liste de contrôle d'accès (ACL), dans laquelle chaque entrée de contrôle d'accès (ACE) définit certaines autorisations pour cet objet ou processus. Par exemple, dans le cas d'un fichier sur le système, le descripteur de sécurité contient des informations sur les utilisateurs ou les groupes autorisés à lire ou à écrire dans le fichier. Si le jeton d'accès demandant à ouvrir ou à modifier le fichier ne correspond pas aux autorisations du descripteur de sécurité, l'accès échoue et l'utilisateur se voit refuser l'accès au fichier.