À mesure que de plus en plus d'appareils se connectent aux réseaux WiFi publics, les préoccupations concernant la sécurité et l'authentification des utilisateurs continuent de dominer les débats. Cela est particulièrement vrai lors des discussions sur les protocoles de sécurité appropriés pour les réseaux WiFi invités à grande échelle qui accueillent des centaines, des milliers, voire des millions d'utilisateurs par jour. Sans les mesures de sécurité nécessaires, les utilisateurs du réseau partagé restent vulnérables. Les opérateurs du réseau peuvent également constater que celui-ci devient ingérable.
En tant que norme de sécurité de base, le WiFi public à fort trafic doit être configuré avec des protocoles WPA-Enterprise utilisant un mécanisme d'authentification 802.1X. La norme 802.1X fonctionne conjointement avec deux protocoles réseau sécurisés : EAPoL (Extensible Authentication Protocol Over LANs) et le serveur RADIUS (Remote Authentication Dial-In User Service). Ces éléments rendent le 802.1x intrinsèquement plus sécurisé que les standards WPA-PSK ou WPA2-PSK, qui nécessitent un mot de passe partagé pour que tous les utilisateurs puissent accéder au réseau.
Quand envisager l'authentification 802.1x
Lorsqu'un internaute se connecte à un réseau WPA-PSK ou WPA2-PSK (PSK signifiant « Pre-Shared Key » ou clé pré-partagée), l'authentification se produit lorsque l'utilisateur saisit le bon mot de passe / la bonne clé de sécurité du réseau. Cela permet à la machine ou à l'appareil de l'utilisateur de rejoindre, de fonctionner sur et potentiellement de contrôler le réseau sans aucun identifiant. Cela devient particulièrement problématique lorsque les entreprises (avec des ordinateurs connectés, des caisses et des appareils IoT) partagent leur réseau principal avec leurs clients. À mesure que de plus en plus d'utilisateurs se connectent à votre WiFi invité, savoir exactement qui utilise votre réseau (ou qui connaît le mot de passe) devient pratiquement impossible. Changer fréquemment le mot de passe pour supprimer les utilisateurs indésirables du réseau est également laborieux et inefficace, et n'est pas idéal pour les grands réseaux avec un volume élevé d'utilisateurs.
Si vous êtes une entreprise ou un établissement qui offre une sécurité des ports (déterminant quelles machines peuvent rejoindre un réseau en fonction de l'adresse MAC de l'appareil), des problèmes de sécurité subsistent. Bien que les utilisateurs non sollicités ne puissent pas rejoindre le réseau sur leurs propres appareils, Keith Bogart souligne que rien ne les empêche d'usurper l'identité d'un individu sur cet appareil si l'occasion se présente (par exemple : si un appareil autorisé est volé, il est impossible de déterminer si le bon utilisateur utilise la machine).
L'authentification 802.1x résout les problèmes liés aux protocoles réseau de sécurité par mot de passe ou par port en exigeant que l'utilisateur soit authentifié, quel que soit l'appareil. Pour cette raison, nous recommandons aux environnements commerciaux et professionnels d'utiliser ces frameworks AAA (Authentification, Autorisation et Traçabilité) comme mesure standard.
Le processus d'authentification 802.1x expliqué
L'authentification 802.1x comprend trois parties qui fonctionnent ensemble pour permettre à un utilisateur de se connecter à un réseau donné : le demandeur (supplicant), l'authentificateur et le serveur d'authentification.
Le demandeur (ou utilisateur final) qui tente de rejoindre un réseau SSID se voit d'abord refuser l'accès par un authentificateur. La communication qui se produit entre le demandeur et l'authentificateur fait partie du protocole EAPoL et contient des trames Ethernet qui transportent les identifiants de connexion uniques du demandeur pour un réseau particulier. Selon le niveau de sécurité requis, les authentificateurs peuvent demander des détails ou des interactions supplémentaires au demandeur (par exemple, exiger un code PIN ou remplir un code CAPTCHA).
Une fois que les données EAPoL sont identifiées par l'authentificateur comme une tentative de connexion, l'authentificateur prépare les données pour le serveur d'authentification, qui finira par autoriser ou refuser l'accès au réseau à l'utilisateur final. Cela implique la conversion des données EAPoL en paquets RADIUS qui permettent au serveur d'interpréter les identifiants de connexion comme une demande d'accès.
Les serveurs qui fonctionnent sur le protocole de sécurité RADIUS utilisent un système AAA (Authentification, Autorisation et Traçabilité) , qui est une méthode beaucoup plus intelligente et sécurisée pour contrôler l'accès aux réseaux, serveurs, ordinateurs, etc. De tels serveurs exigent que les données fournies par l'authentificateur soient recoupées (ou authentifiées) avec des infrastructures backend telles que des annuaires ou des bases de données contenant les détails de l'utilisateur et les identifiants correspondants requis pour l'authentification. Une fois que les informations contenues dans le paquet RADIUS sont approuvées par le serveur, une demande d'approbation est renvoyée à l'authentificateur, accordant au demandeur les droits d'accès et les autorisations appropriés.
Faciliter la gestion
Étant donné que l'authentification 802.1x fonctionne sur des serveurs compatibles avec le protocole RADIUS, les difficultés liées à la gestion des utilisateurs et à l'évolutivité des réseaux protégés par WPA sont inexistantes. Les utilisateurs qui rejoignent des réseaux via l'authentification 802.1x passent par deux niveaux de chiffrement des données et leurs sessions sécurisées au sein de réseaux particuliers sont surveillées par le serveur RADIUS. Contrairement aux réseaux protégés par mot de passe (WPA), les utilisateurs authentifiés peuvent être suivis individuellement et retirés d'un réseau s'ils représentent une quelconque menace. L'augmentation du nombre d'utilisateurs est également beaucoup plus simple en l'absence de mot de passe, car les utilisateurs peuvent être authentifiés automatiquement en arrière-plan. Pour les entreprises qui partagent leur connexion avec d'autres, l'accès peut également être restreint à certaines zones d'un réseau sur un serveur RADIUS, ce qui est considérablement plus sécurisé que de disposer d'un réseau en libre accès pouvant être facilement infiltré.
En fin de compte, les opérations WiFi à grande échelle ont beaucoup à gagner en mettant en œuvre un réseau authentifié. Elles ont également beaucoup à perdre si elles ignorent les risques de sécurité liés à l'exploitation de réseaux WPA-PSK ou WPA2-PSK avec un accès public.
