Passer au contenu principal
Français

Déploiement de SCEP pour la sécurisation du BYOD et de l'authentification WiFi dans l'enseignement supérieur

Ce guide technique fournit aux architectes réseau et aux responsables informatiques un modèle indépendant des fournisseurs pour le déploiement de l'enregistrement de certificats basé sur SCEP afin de sécuriser le WiFi dans l'enseignement supérieur. Il détaille la transition d'une authentification vulnérable basée sur mot de passe vers l'EAP-TLS, en mettant l'accent sur l'intégration MDM et l'onboarding BYOD évolutif.

📖 5 min de lecture📝 1,242 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Bienvenue au briefing technique de Purple. Je suis votre hôte et nous abordons aujourd'hui un sujet récurrent pour les services informatiques de l'enseignement supérieur : le déploiement de SCEP pour une authentification BYOD et WiFi sécurisée. Si vous utilisez PEAP-MSCHAPv2 sur le réseau de votre campus, ce briefing vous concerne directement. Et si vous envisagez déjà de passer à une authentification basée sur des certificats, nous vous présenterons l'architecture, les pièges à éviter et la séquence de mise en œuvre pour y parvenir. Commençons par le problème. Les universités sont, par nature, des environnements ouverts. Les étudiants arrivent en septembre avec deux, trois, parfois cinq appareils personnels. Ils s'attendent à se connecter immédiatement, de manière sécurisée et sans avoir à appeler le support technique. La réalité pour la plupart des établissements est une file d'attente au support technique qui atteint deux mille tickets dans les quarante-huit heures suivant la rentrée. Ce n'est pas un problème d'effectifs. C'est un problème d'architecture. La cause fondamentale est presque toujours la même : l'authentification WiFi par mot de passe. Lorsque vous utilisez WPA2-Enterprise avec PEAP et MSCHAPv2, vous demandez aux étudiants de configurer manuellement les paramètres 802.1X sur chaque appareil. Un seul paramètre erroné, et ils sont vulnérables à une attaque de type "homme du milieu". Pire encore, lorsque l'université impose une réinitialisation des mots de passe tous les quatre-vingt-dix jours, tous les appareils du campus perdent simultanément l'accès WiFi. C'est une catastrophe prévisible et évitable. La solution réside dans l'authentification par certificat via EAP-TLS, et le mécanisme qui permet de passer à l'échelle est SCEP : le protocole d'enrôlement de certificat simple (Simple Certificate Enrollment Protocol). SCEP a été formalisé par l'IETF dans la RFC 8894 en 2020, bien qu'il soit utilisé depuis le début des années 2000. Il automatise le processus de demande et d'installation de certificats numériques X.509 sur les appareils, sans nécessiter d'intervention informatique manuelle pour chaque équipement. Voici comment cela fonctionne dans les grandes lignes. Votre plateforme MDM, qu'il s'agisse de Microsoft Intune ou de Jamf, pousse un profil SCEP vers chaque appareil enrôlé. Ce profil contient deux éléments : l'URL de la passerelle SCEP et un mot de passe de défi partagé. L'appareil génère une demande de signature de certificat (CSR), l'envoie à la passerelle SCEP, qui valide le mot de passe de défi et transmet la demande à votre autorité de certification. L'autorité de certification signe le certificat et le renvoie à l'appareil. À partir de ce moment, l'appareil s'authentifie sur votre réseau WiFi à l'aide d'EAP-TLS : le certificat prouve l'identité de l'appareil auprès du serveur RADIUS, et le certificat du serveur RADIUS prouve l'identité du réseau auprès de l'appareil. Authentification mutuelle. Aucun mot de passe n'est échangé sur le réseau sans fil. Cette authentification mutuelle est essentielle. Avec PEAP, un étudiant se connectant à un point d'accès illégitime diffusant votre SSID transmettra volontiers ses identifiants. Avec EAP-TLS, l'appareil vérifie le certificat du serveur RADIUS avant de poursuivre. S'il ne correspond pas à l'autorité de certification de confiance, la connexion échoue silencieusement. Vous venez d'éliminer toute cette catégorie d'attaques de type "evil twin".Parlons maintenant d'architecture. Un déploiement SCEP en production pour une université repose sur six composants clés. Premièrement, votre fournisseur d'identité : Microsoft Entra ID, Okta ou Google Workspace. Deuxièmement, votre plateforme MDM : Intune pour Windows et Android, Jamf pour macOS et iOS. Troisièmement, votre autorité de certification (CA) : soit Microsoft Active Directory Certificate Services sur site, soit une PKI cloud. Quatrièmement, votre passerelle SCEP : le point de terminaison HTTP qui reçoit les demandes de certificats. Cinquièmement, votre serveur RADIUS pour l'authentification. Sixièmement, votre couche d'accès : des points d'accès Cisco Meraki, HPE Aruba, Ruckus ou Juniper Mist configurés pour le 802.1X. La chaîne de confiance fonctionne ainsi. La CA émet un certificat racine. Ce certificat racine est distribué à chaque appareil via le MDM, établissant ainsi la confiance. La CA émet ensuite des certificats clients pour les appareils via SCEP. Lorsqu'un appareil se connecte, il présente son certificat client au serveur RADIUS, et le serveur RADIUS présente son certificat de serveur à l'appareil. Les deux parties effectuent la vérification par rapport à la racine de confiance. L'accès est accordé ou refusé en fonction de la validité du certificat, et non d'un mot de passe. Laissez-moi vous guider à travers la séquence d'implémentation. C'est l'ordre qui fonctionne. Étape un : nettoyez votre annuaire d'identités. Assurez-vous que votre Active Directory ou Entra ID dispose de groupes bien définis pour les étudiants, le personnel et les invités. Les politiques de certificats et les attributions de VLAN seront liées à ces groupes. Étape deux : déployez votre autorité de certification. Si vous utilisez Microsoft ADCS, configurez une hiérarchie à deux niveaux : une CA racine hors ligne et une CA émettrice en ligne. La CA racine doit être isolée physiquement après la configuration initiale. Étape trois : configurez votre passerelle SCEP. Il s'agit du point de terminaison HTTP vers lequel votre MDM orientera les appareils. Assurez-vous qu'il est accessible depuis le segment réseau où les appareils effectuent leur enregistrement initial, généralement votre SSID d'intégration. Étape quatre : configurez votre serveur RADIUS. Importez le certificat de la CA émettrice en tant que CA de confiance. Configurez EAP-TLS comme méthode d'authentification. Configurez les attributs de retour VLAN afin que RADIUS puisse attribuer de manière dynamique les étudiants au bon segment réseau. Étape cinq : configurez vos profils MDM. Dans Intune, créez d'abord un profil de certificat approuvé (Trusted Certificate), puis un profil de certificat SCEP, et enfin un profil WiFi qui fait référence au certificat SCEP. Déployez-les exactement dans cet ordre. Chacun dépend de la mise en place du précédent. Étape six : configurez vos points d'accès. Sur Cisco Meraki, HPE Aruba, Ruckus ou Juniper Mist, configurez votre SSID sécurisé pour le WPA2-Enterprise ou le WPA3-Enterprise. Définissez le délai d'expiration (timeout) RADIUS sur au moins fiv secondes pour absorber la latence de validation des certificats lors des pics d'intégration. Passons maintenant aux pièges à éviter. J'ai vu ces erreurs faire échouer des déploiements à maintes reprises. Le premier piège consiste à déployer les profils MDM dans le mauvais ordre. Si le profil WiFi arrive sur l'appareil avant le profil de certificat SCEP, l'appareil ne dispose d'aucun certificat pour s'authentifier. La connexion échoue et l'utilisateur contacte le support technique. Le deuxième piège est d'oublier les appareils BYOD. Intune et Jamf gèrent le parc d'équipements de votre établissement. Mais les appareils personnels des étudiants ne sont pas enregistrés dans votre MDM. Pour ceux-ci, vous avez besoin d'un portail d'intégration en libre-service. L'étudiant s'authentifie via le Single Sign-On en utilisant ses identifiants universitaires, et le portail utilise SCEP pour provisionner le certificat. La plateforme de Purple intègre ce flux d'intégration directement dans l'expérience du captive portal, permettant aux étudiants de finaliser leur inscription en moins de deux minutes sans aucune intervention du service informatique. Le troisième piège concerne les échecs de dépassement de délai (timeout) RADIUS lors des pics d'intégration. Effectuez des tests de charge sur votre infrastructure RADIUS avant le mois de septembre, et non pendant. Implémentez un équilibrage de charge sur au moins deux nœuds RADIUS. Le quatrième piège est la révocation de certificat. Lorsqu'un étudiant s'en va, ou qu'un appareil est perdu ou volé, vous devez révoquer le certificat immédiatement. Assurez-vous que votre CA publie une liste de révocation de certificats, et que votre serveur RADIUS la vérifie à chaque authentification. Passons maintenant à une séance rapide de questions-réponses sur les questions que nous entendons le plus souvent. Le protocole SCEP peut-il fonctionner sans MDM ? Techniquement oui, mais en pratique non. Sans MDM pour pousser la charge utile SCEP et le profil WiFi, vous revenez à une configuration manuelle des appareils. Quelle doit être la durée de validité d'un certificat ? Pour les appareils des étudiants, une durée d'un à deux ans est la norme. Assez longue pour couvrir l'année universitaire sans friction de renouvellement, assez courte pour limiter l'exposition si un certificat est compromis. Qu'en est-il des appareils IoT qui ne prennent pas en charge le 802.1X ? Utilisez le MAC Authentication Bypass avec un portail d'enregistrement d'appareils en libre-service. Les étudiants enregistrent l'adresse MAC de leur console de jeux ou de leur Smart TV, et votre système NAC la place dans le bon VLAN. Cela fonctionne-t-il avec eduroam ? Oui. L'EAP-TLS est entièrement pris en charge par la fédération eduroam. Les certificats émis par la CA de votre campus peuvent authentifier les étudiants sur eduroam dans n'importe quel établissement participant à travers le monde. Pour conclure, voici les trois décisions qui définissent un déploiement SCEP réussi. Premièrement : choisissez votre architecture CA avant tout. L'ADCS sur site vous offre un contrôle total. La PKI cloud vous apporte la simplicité opérationnelle. Un mauvais choix ici vous coûtera des mois de travail supplémentaire. Deuxièmement : automatisez l'intégration du BYOD dès le premier jour. Ne supposez pas que les étudiants configureront leurs appareils personnels manuellement. Ils ne le feront pas. Créez le portail en libre-service avant le début de la rentrée. Troisièmement : testez la capacité de votre RADIUS sous charge avant le mois de septembre. Une panne RADIUS le premier jour de la rentrée est tout à fait évitable. La plateforme de Purple prend en charge ces trois aspects : l'intégration de la PKI en cloud overlay, l'intégration BYOD en libre-service via notre captive portal, et une infrastructure RADIUS testée sur quatre-vingt mille sites actifs avec un taux de disponibilité de quatre-vingt-dix-neuf virgule neuf neuf neuf pour cent. Merci d'avoir participé au Purple Technical Briefing. Pour plus d'informations, visitez purple.ai.

header_image.png

Résumé exécutif

Pour les équipes informatiques de l'enseignement supérieur, la rentrée universitaire s'accompagne d'un test de stress immédiat. Des milliers d'étudiants arrivent sur le campus avec plusieurs appareils non gérés, s'attendant à une connectivité instantanée et sécurisée. Lorsque les universités s'appuient sur une authentification par mot de passe telle que PEAP-MSCHAPv2, cet afflux se traduit inévitablement par des files d'attente massives au support technique, des erreurs de configuration et de graves vulnérabilités au vol d'identifiants via des points d'accès malveillants (evil twin).

La solution architecturale à ce défi d'échelle et de sécurité est l'authentification basée sur les certificats utilisant EAP-TLS. Pour rendre le déploiement de certificats viable sur des dizaines de milliers de terminaux, les universités doivent implémenter le protocole SCEP (Simple Certificate Enrollment Protocol). Le SCEP automatise la fourniture de certificats numériques aux appareils gérés via MDM et aux appareils non gérés des étudiants via des portails d'intégration en libre-service. Ce guide détaille les exigences techniques pour le déploiement du SCEP dans un environnement d'enseignement supérieur, offrant des étapes concrètes pour éliminer les tickets d'assistance liés aux mots de passe et sécuriser le périmètre du campus.

L'architecture de l'enrôlement de certificats SCEP

La transition vers un Wi-Fi basé sur les certificats nécessite un changement fondamental : passer de la validation des connaissances de l'utilisateur (un mot de passe) à la validation de l'identité de l'appareil (un certificat). Le protocole SCEP sert de pont entre votre couche de gestion des appareils et votre infrastructure à clés publiques (PKI).

scep_architecture_diagram.png

Composants d'infrastructure clés

Un déploiement SCEP prêt pour la production nécessite six composants intégrés fonctionnant en séquence :

  1. Fournisseur d'identité (IdP) : L'annuaire faisant autorité (Microsoft Entra ID, Okta ou Google Workspace) qui vérifie l'identité de l'utilisateur avant l'émission du certificat.
  2. Gestion des appareils mobiles (MDM) : Les plateformes comme Microsoft Intune ou Jamf qui poussent la charge utile SCEP vers les appareils appartenant à l'établissement.
  3. Autorité de certification (CA) : Le moteur PKI qui signe et émet les certificats. Il peut s'agir d'un déploiement Microsoft ADCS sur site ou d'une infrastructure PKI cloud native.
  4. Passerelle SCEP : Le point de terminaison HTTP qui reçoit les demandes de signature de certificat (CSR) des appareils, valide le mot de passe de défi et transmet la demande à la CA.
  5. Serveur RADIUS : Le serveur d'authentification qui évalue le certificat client présenté par rapport aux politiques d'accès réseau lors de l'échange 802.1X EAP-TLS.
  6. Réseau d'accès sans fil : Les points d'accès physiques (Cisco Meraki, HPE Aruba, Ruckus ou Juniper Mist) configurés pour appliquer l'authentification 802.1X.

Le flux d'enrôlement SCEP

Le processus d'enrôlement s'exécute sans intervention de l'utilisateur sur les appareils gérés. La plateforme MDM pousse un profil de configuration contenant l'URL de la passerelle SCEP et un mot de passe défi généré dynamiquement. L'appareil génère localement une clé privée et construit une CSR. Il transmet ensuite cette CSR à la passerelle SCEP via HTTP.

La passerelle intercepte la requête et valide le mot de passe défi par rapport à l'API du MDM pour confirmer que l'appareil est autorisé. Une fois vérifié, la passerelle transmet la CSR à l'AC. L'AC signe le certificat et le renvoie à l'appareil via la passerelle. La clé privée ne quitte jamais le point de terminaison, garantissant ainsi l'intégrité cryptographique.

Guide de mise en œuvre : Une stratégie de déploiement par étapes

Le déploiement de SCEP nécessite un ordonnancement précis. En raison des dépendances entre les profils, l'exécution de ces étapes dans le désordre entraînera des échecs d'authentification.

Étape 1 : Synchronisation de l'annuaire et stratégie de groupe

Avant de manipuler les certificats, assurez-vous que votre base d'identités est propre. Créez des groupes de sécurité distincts pour les étudiants, le personnel et les enseignants dans Entra ID ou Active Directory. Votre serveur RADIUS utilisera ces appartenances aux groupes, intégrées en tant que noms alternatifs du sujet (SAN) dans les certificats, pour affecter dynamiquement les appareils aux bons VLANs.

Étape 2 : Configuration de la PKI et de la passerelle SCEP

Établissez la hiérarchie de votre AC. Si vous construisez une infrastructure sur site, déployez une AC racine hors ligne et une AC émettrice en ligne. Pour les environnements de l'enseignement supérieur cherchant à réduire l'empreinte de leur infrastructure, les solutions de PKI cloud offrent une simplicité opérationnelle. Configurez la passerelle SCEP pour qu'elle communique avec votre AC et exposez le point de terminaison d'enrôlement au segment réseau auquel les appareils se connecteront initialement.

Étape 3 : Intégration du serveur RADIUS

Importez le certificat de l'AC émettrice dans le magasin de certificats approuvés de votre serveur RADIUS. Configurez le protocole d'authentification strictement sur EAP-TLS. Définissez des stratégies réseau qui associent les attributs du certificat (tels que le User Principal Name) à des attributs de retour VLAN spécifiques, permettant ainsi une micro-segmentation sur l'ensemble du campus.

Étape 4 : Séquençage des profils MDM

Pour les appareils appartenant à l'institution et gérés par Intune ou Jamf, l'ordre de déploiement des profils est essentiel. Vous devez déployer les profils dans cette séquence exacte :

  1. Profil de certificat approuvé : Distribue le certificat de l'AC racine pour établir la confiance.
  2. Profil de certificat SCEP : Dirige l'appareil vers la passerelle pour obtenir son certificat client.
  3. Profil WiFi : Configure le SSID pour utiliser WPA3-Enterprise avec EAP-TLS, en faisant explicitement référence au certificat obtenu à l'étape précédente.

Étape 5 : Intégration en libre-service pour le BYOD

Les étudiants n'installeront pas manuellement de certificats sur leurs appareils personnels. Vous devez fournir un parcours d'intégration automatisé. Déployez un SSID ouvert qui restreint le trafic exclusivement au captive portal et à la passerelle SCEP. Lorsqu'un étudiant se connecte, le portail l'invite à s'authentifier via Single Sign-On à l'aide de ses identifiants universitaires. Une fois l'authentification réussie, le portail transmet la charge utile SCEP à l'appareil. Purple intègre ce flux d'intégration directement dans l'expérience du captive portal, permettant aux étudiants de finaliser leur inscription en moins de deux minutes sans intervention du service informatique.

Bonnes pratiques et atténuation des risques

La transition vers EAP-TLS élimine le vol d'identifiants, mais introduit de nouvelles considérations opérationnelles. Les architectes réseau doivent anticiper l'évolutivité et les événements du cycle de vie.

scep_vs_password_comparison.png

Planification de la capacité RADIUS

La charge de calcul liée à la validation des certificats EAP-TLS est nettement supérieure à celle de la vérification des mots de passe PEAP. Pendant la première semaine de la rentrée, des milliers d'appareils tenteront de s'authentifier simultanément. Un seul nœud RADIUS risque d'épuiser ses ressources et de rejeter les requêtes, entraînant des échecs de connexion généralisés. Vous devez mettre en œuvre un équilibrage de charge sur plusieurs nœuds RADIUS et augmenter le délai d'expiration de l'authentification sur vos points d'accès à au moins cinq secondes pour absorber les pics de latence.

Gestion du cycle de vie des certificats

Les certificats pour les appareils des étudiants doivent généralement avoir une durée de validité de un à deux ans. Cette durée couvre le cycle universitaire tout en limitant l'exposition en cas de compromission d'un appareil. Il est crucial de mettre en œuvre un mécanisme de révocation robuste. Lorsqu'un étudiant est diplômé ou signale la perte d'un appareil, le certificat doit être révoqué immédiatement. Assurez-vous que votre autorité de certification (CA) publie une liste de révocation de certificats (CRL) ou gère un répondeur OCSP (Online Certificate Status Protocol), et configurez votre serveur RADIUS pour vérifier l'état de révocation à chaque tentative d'authentification.

Gestion des appareils IoT sans écran

Les téléviseurs connectés, les consoles de jeux et les imprimantes sans fil dans les résidences universitaires ne disposent pas des suppliants 802.1X natifs requis pour l'enregistrement SCEP. Pour ces appareils, implémentez le contournement d'authentification MAC (MAB). Proposez un portail d'enregistrement d'appareils en libre-service où les étudiants peuvent enregistrer les adresses MAC de leurs équipements IoT. Le système de contrôle d'accès au réseau (NAC) authentifie ensuite ces adresses enregistrées et les place dans le VLAN étudiant approprié.

Écoutez le briefing technique

Pour approfondir l'architecture et les scénarios de déploiement réels, écoutez notre podcast de briefing technique de 10 minutes.

ROI et impact sur l'activité

L'analyse de rentabilité du déploiement de SCEP dans l'enseignement supérieur repose sur deux piliers : la posture de sécurité et l'efficacité opérationnelle.

Du point de vue de la sécurité, EAP-TLS fournit une authentification mutuelle. L'appareil vérifie le certificat du serveur RADIUS avant de transmettre la moindre donnée, ce qui atténue entièrement le risque que des points d'accès malveillants (« evil twin ») ne collectent des identifiants. Cette architecture s'aligne sur les principes du zero-trust, garantissant que seuls les appareils vérifiés par cryptographie accèdent au réseau du campus.

Sur le plan opérationnel, le découplage de l'authentification WiFi des mots de passe de l'annuaire génère des retours financiers immédiats. Lorsqu'une université impose une réinitialisation des mots de passe tous les 90 jours, les étudiants utilisant PEAP doivent mettre à jour leurs identifiants sur chaque appareil. Inévitablement, beaucoup échouent, ce qui entraîne une augmentation des tickets d'assistance. Avec SCEP et EAP-TLS, le certificat reste valide indépendamment des modifications de mot de passe. Les universités qui déploient l'intégration automatisée des certificats signalent systématiquement une réduction allant jusqu'à 70 % des tickets d'assistance liés au WiFi pendant les périodes de pointe, permettant au personnel informatique de se concentrer sur des initiatives stratégiques plutôt que sur le dépannage de base de la connectivité.

Définitions clés

SCEP (Simple Certificate Enrollment Protocol)

Protocole qui automatise la demande et la délivrance de certificats numériques aux appareils réseau sans intervention manuelle.

Indispensable pour faire évoluer les déploiements EAP-TLS, car il permet aux MDM et aux portails d'onboarding de fournir de manière transparente des certificats à des dizaines de milliers d'appareils d'étudiants.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

La méthode d'authentification 802.1X la plus sécurisée, nécessitant à la fois un certificat côté serveur et un certificat côté client pour une authentification mutuelle.

Remplace les protocoles vulnérables basés sur mot de passe comme PEAP, éliminant ainsi le risque de vol d'identifiants via des points d'accès malveillants (evil twins).

MDM (Mobile Device Management)

Plateformes logicielles comme Microsoft Intune ou Jamf utilisées pour administrer et sécuriser les appareils appartenant à l'institution.

Utilisé pour pousser silencieusement les charges utiles SCEP et les profils WiFi vers les appareils gérés, garantissant qu'ils sont configurés pour l'accès au réseau avant leur déploiement.

CSR (Certificate Signing Request)

Un bloc de texte encodé généré par l'appareil client contenant la clé publique et les informations d'identité, envoyé à l'AC pour demander un certificat.

Dans un flux de travail SCEP, l'appareil génère la clé privée localement et envoie uniquement la CSR à la passerelle, garantissant ainsi que la clé privée reste sécurisée sur le terminal.

RADIUS (Remote Authentication Dial-In User Service)

Le protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilité.

Le serveur qui évalue le certificat client présenté par l'appareil lors de l'échange 802.1X et détermine l'attribution du VLAN.

Attaque Evil Twin

Une faille de sécurité dans laquelle un attaquant configure un point d'accès non autorisé avec le même SSID que le réseau légitime pour intercepter les identifiants des utilisateurs.

L'EAP-TLS empêche cela car l'appareil client vérifie le certificat du serveur RADIUS avant de transmettre toute donnée ; si l'attaquant ne dispose pas du certificat de serveur approuvé, la connexion est interrompue.

MAB (MAC Authentication Bypass)

Une méthode d'authentification de secours qui utilise l'adresse MAC d'un appareil comme identifiant.

Requis pour l'intégration d'appareils IoT sans écran (comme les consoles de jeux) dans les résidences universitaires qui ne peuvent pas prendre en charge le 802.1X ou le SCEP.

CRL (Certificate Revocation List)

Une liste publiée par l'Autorité de Certification contenant les numéros de série des certificats qui ont été invalidés avant leur date d'expiration.

Crucial pour la sécurité du réseau ; le serveur RADIUS doit vérifier la CRL pour s'assurer que les appareils volés ou les étudiants diplômés se voient immédiatement refuser l'accès.

Exemples concrets

Une université de 20 000 étudiants migre de PEAP-MSCHAPv2 à EAP-TLS. Elle utilise Microsoft Intune pour 3 000 ordinateurs portables Windows appartenant à l'université, mais les 45 000 appareils restants sont des BYOD d'étudiants (téléphones, tablettes, ordinateurs portables personnels). Comment doivent-ils concevoir le déploiement des certificats pour s'assurer que tous les appareils peuvent s'authentifier dès le premier jour de la rentrée ?

L'université doit mettre en œuvre une stratégie d'enregistrement bifurquée. Pour les 3 000 ordinateurs portables gérés par Intune, l'équipe informatique configure un profil de certificat SCEP dans Intune, envoyant silencieusement l'URL de la passerelle et le mot de passe de défi aux appareils. Pour les 45 000 appareils BYOD, elle déploie un SSID d'onboarding ouvert qui limite le trafic à un Captive Portal en libre-service et à la passerelle SCEP. Les étudiants se connectent au SSID d'onboarding, s'authentifient via SAML SSO auprès d'Entra ID, et téléchargent une charge utile de configuration qui déclenche l'enregistrement SCEP. Une fois le certificat installé, l'appareil s'associe automatiquement au SSID sécurisé "eduroam" en utilisant EAP-TLS.

Commentaire de l'examinateur : Cette approche identifie correctement le fait que le MDM seul ne peut pas résoudre le défi du BYOD. En s'appuyant sur un Captive Portal pour les appareils non gérés, l'université obtient une couverture de certificats de 100 % sans exiger des étudiants qu'ils configurent manuellement les paramètres 802.1X, évitant ainsi un afflux massif de tickets au helpdesk.

Au cours de la première semaine de cours, le helpdesk d'une université reçoit des signalements indiquant que les étudiants peuvent se connecter au WiFi avec leurs ordinateurs portables, mais que leurs enceintes connectées et consoles de jeux dans les résidences universitaires ne peuvent pas se connecter au réseau 802.1X. Comment l'architecte réseau doit-il résoudre ce problème ?

L'architecte doit mettre en œuvre le MAC Authentication Bypass (MAB) pour les appareils sans écran ni interface utilisateur. Comme les enceintes connectées et les consoles n'ont pas de demandeur (supplicant) 802.1X, elles ne peuvent pas traiter les charges utiles SCEP ni présenter de certificats clients. L'université doit déployer un portail d'enregistrement d'appareils en libre-service où les étudiants se connectent avec leurs identifiants universitaires et saisissent les adresses MAC de leurs appareils IoT. Le serveur RADIUS est configuré pour accepter ces adresses MAC enregistrées via MAB et les attribuer au VLAN spécifique à chaque chambre d'étudiant.

Commentaire de l'examinateur : Cette solution répond aux limites techniques des appareils IoT sans écran tout en maintenant la segmentation du réseau. En utilisant un portail en libre-service, l'équipe informatique évite la saisie manuelle des adresses MAC, ce qui permet de mettre à l'échelle la solution pour accueillir des milliers d'appareils grand public dans les résidences.

Questions d'entraînement

Q1. Votre université déploie l'EAP-TLS. Vous avez configuré la passerelle SCEP et les profils MDM. Cependant, lorsque des appareils de test tentent de se connecter au SSID sécurisé, la connexion échoue silencieusement. Les journaux RADIUS indiquent que le certificat client est valide, mais l'appareil rejette le serveur. Quelle est l'erreur de configuration la plus probable ?

Conseil : Tenez compte des exigences de l'authentification mutuelle et de ce dont l'appareil a besoin pour faire confiance au serveur.

Voir la réponse type

Le profil de certificat approuvé du MDM est probablement manquant ou mal configuré. Dans l'EAP-TLS, l'authentification mutuelle exige que l'appareil vérifie le certificat du serveur RADIUS. Si l'appareil n'a pas le certificat de l'AC racine installé dans son magasin de confiance, il ne peut pas valider le certificat du serveur et interrompra la connexion pour éviter une éventuelle attaque Evil Twin.

Q2. Un étudiant signale que son ordinateur portable, qui a été enregistré avec succès via le portail BYOD et possède un certificat client valide, ne peut plus accéder au réseau après avoir modifié le mot de passe de son annuaire universitaire. Quel défaut d'architecture cela indique-t-il ?

Conseil : L'authentification EAP-TLS repose entièrement sur le certificat, pas sur le mot de passe.

Voir la réponse type

Cela indique que le réseau n'utilise pas réellement l'EAP-TLS, mais bascule probablement vers PEAP-MSCHAPv2 ou un autre protocole basé sur un mot de passe. Si le véritable EAP-TLS est configuré, le serveur RADIUS valide la signature cryptographique du certificat, décorrélant complètement l'accès réseau du mot de passe de l'annuaire. L'architecte réseau doit appliquer des politiques strictes d'EAP-TLS sur le serveur RADIUS et désactiver les protocoles de secours.

Q3. Durant la première semaine de cours, les serveurs RADIUS subissent une forte utilisation du processeur et des erreurs de délai d'attente intermittentes, provoquant des échecs d'authentification généralisés. Les serveurs sont pourtant correctement dimensionnés pour le nombre total de sessions simultanées. Quelle est la cause de ces délais d'attente ?

Conseil : Considérez la différence de charge de calcul entre la vérification d'un mot de passe et la validation d'une chaîne de certificats lors de la phase de connexion initiale.

Voir la réponse type

Les délais d'attente sont causés par la lourde charge de calcul des liaisons cryptographiques EAP-TLS lors de la tempête d'authentification initiale des étudiants de retour. L'architecte doit augmenter la valeur du délai d'attente RADIUS sur les points d'accès sans fil (par exemple, Cisco Meraki ou HPE Aruba) à au moins 5 secondes pour s'adapter à la latence, et s'assurer que la répartition de charge distribue équitablement les requêtes d'authentification complète initiales sur tous les nœuds RADIUS.

Continuer la lecture de cette série

Per-Device PSK par constructeur : iPSK, DPSK, MPSK et PPSK comparés (et support de WPA3)

Une comparaison complète des implémentations de per-device PSK chez Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet et Ubiquiti UniFi. Découvrez comment le WPA3-SAE impacte les stratégies de clés par appareil et quand déployer des modes de transition par rapport à une migration vers le 802.1X.

Lire le guide →

Comparatif des méthodes d'authentification par Captive Portal

Ce guide de référence technique et d'autorité évalue les compromis architecturaux, opérationnels et de conformité des cinq principales méthodes d'authentification par captive portal. Il fournit aux architectes réseau, directeurs informatiques et responsables marketing les données quantitatives et les cadres de décision nécessaires pour équilibrer la friction d'intégration des invités avec les exigences de collecte de données au sein des sites d'entreprise.

Lire le guide →

Qu'est-ce que l'authentification par adresse MAC ? Quand l'utiliser et quand l'éviter

Ce guide de référence technique faisant autorité couvre l'authentification par adresse MAC dans les environnements WiFi d'entreprise — comment fonctionne l'authentification MAC basée sur RADIUS au niveau de la couche 2, ses vulnérabilités de sécurité inhérentes (y compris le spoofing MAC et l'impact de la randomisation MAC au niveau du système d'exploitation), et les contextes opérationnels précis où elle reste un outil valable pour gérer l'IoT et les appareils sans écran (headless). Il fournit des conseils de déploiement exploitables pour les responsables informatiques et les architectes réseau dans les secteurs de l'hôtellerie, du commerce de détail, de la santé et des espaces publics, avec des exemples concrets, des cadres de décision et le contexte d'intégration pour le WiFi invité et la plateforme d'analyse de Purple.

Lire le guide →