Le développement d'Internet et la généralisation de son utilisation ont entraîné l'émergence de nouvelles applications réparties à grande échelle, le commerce électronique par exemple. Mais ces applications posent des problèmes de sécurité difficiles à résoudre, en raison du grand nombre d'utilisateurs et de machines concernés. Des solutions existent pour bien garantir la sécurité des communications point à point et pour restreindre les connexions à un sous-réseau, mais elles sont d'une efficacité limitée, et souvent intrusives vis-à-vis de la protection de la vie privée des utilisateurs. Dans le but de lever ces limitations et de contrôler de façon efficace l'exécution d'applications réparties sur un nombre plus ou moins grand de machines du réseau, nous avons développé des schémas d'autorisation à la fois souples pour permettre de contrôler des applications de tous types, et efficaces par l'application du principe du moindre privilège : seules les opérations nécessaires au fonctionnement de l'application doivent être autorisées. L'architecture que nous proposons est organisée autour de serveurs d'autorisation répartis, tolérants aux fautes accidentelles et aux intrusions, et de moniteurs de référence sur chaque site participant. Les serveurs d'autorisation vérifient si les requêtes doivent être autorisées, et, dans ce cas, génèrent des preuves d'autorisation composées de capacités et de coupons qui sont ensuite vérifiées par les moniteurs de référence. Ces coupons forment un mécanisme de délégation original qui respecte le principe du moindre privilège. Compte-tenu de l'hétérogénéité des systèmes connectés, il n'est pas envisageable d'intégrer un moniteur de référence spécifique dans le système opératoire de chaque site. C'est pourquoi les moniteurs de référence sont en partie implantés dans des cartes à puce Java.