Passer au contenu principal

Captive Portal vs Splash Page

Ce guide de référence détaille la distinction essentielle entre captive portals et splash pages dans les réseaux WiFi invités. Il explique comment le mécanisme d'interception réseau sous-jacent fonctionne en synergie avec l'interface invité visuelle, aidant les responsables informatiques et les exploitants de sites à prendre des décisions d'architecture et d'achat éclairées.

📖 8 min de lecture📝 2,314 mots🔧 3 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
PORTAL CAPTIF VS SPLASH PAGE - UN BRIEFING TECHNIQUE PURPLE Script de Podcast - Environ 10 Minutes Voix Anglaise UK --- SEGMENT 1 : INTRODUCTION ET CONTEXTE (environ 1 minute) Bienvenue dans la série des briefings techniques Purple. Je suis votre hôte, et aujourd'hui, nous allons clarifier l'une des sources de confusion les plus persistantes dans l'acquisition et le déploiement de solutions WiFi invités : la différence entre un captive portal et une splash page. Si vous avez déjà assisté à une réunion de fournisseurs et entendu ces deux termes utilisés de manière interchangeable, vous n'êtes pas seul. Cela arrive constamment - dans les documents d'appels d'offres, dans les présentations de stratégie informatique, et même dans les conversations entre ingénieurs réseau qui devraient pourtant faire la différence. Et cette confusion a des conséquences, car en confondant les deux, vous risquez soit de surévaluer le mauvais composant, soit de sous-investir dans le bon, ou pire - de déployer une solution WiFi invités esthétique mais dépourvue de contrôle réseau adéquat, ou encore une solution techniquement solide mais qui fait fuir les invités avec un écran de connexion lourd et sans image de marque. Nous allons donc clarifier cela aujourd'hui. À la fin de ce briefing, vous disposerez d'un modèle mental clair du rôle de chaque composant, de leur interaction et des éléments à évaluer lors du choix de solutions pour votre établissement - qu'il s'agisse d'un hôtel, d'un point de vente, d'un stade ou d'un bâtiment du secteur public. --- SEGMENT 2 : ANALYSE TECHNIQUE APPROFONDIE (environ 5 minutes) Commençons par le captive portal, car c'est la fondation sur laquelle repose tout le reste. Un captive portal est un mécanisme de couche réseau. Son rôle est d'intercepter tout le trafic sortant d'un appareil nouvellement connecté et de le retenir dans une sorte de salle d'attente numérique jusqu'à ce que cet appareil soit authentifié. Lorsqu'un invité se connecte au SSID de votre WiFi, son appareil obtient une adresse IP via DHCP - cette partie fonctionne normalement. Mais avant que le trafic internet réel ne soit autorisé à passer, le captive portal l'intercepte. Voici la séquence technique. L'appareil de l'invité envoie une requête HTTP ou HTTPS - il peut s'agir d'une tentative de chargement de site web ou du test de connectivité propre au système d'exploitation, que les appareils modernes comme les iPhones et les téléphones Android exécutent automatiquement. Le contrôleur du captive portal - situé sur votre contrôleur sans fil, votre routeur ou une plateforme cloud - intercepte cette requête DNS ou HTTP et la redirige. Au lieu d'accéder à internet, l'appareil reçoit une réponse de redirection pointant vers une URL spécifique. Cette URL correspond à l'endroit où se trouve la splash page. Désormais, le mécanisme de redirection lui-même utilise l'une des deux techniques principales. La première est le détournement DNS - le Captive Portal intercepte les requêtes DNS et renvoie l'adresse IP du serveur de portail à la place de la destination réelle. La seconde est la redirection HTTP - le portail intercepte la requête HTTP au niveau de la passerelle et émet une réponse de redirection 302. Pour le trafic HTTPS, cela est plus complexe, car vous ne pouvez pas intercepter une session chiffrée sans déclencher une alerte de certificat. C'est pourquoi la plupart des implémentations de Captive Portal s'appuient sur l'assistant réseau captif intégré au système d'exploitation - la fenêtre contextuelle qui s'affiche sur votre téléphone lorsque vous vous connectez à un nouveau réseau - qui utilise un point de terminaison HTTP connu pour détecter les portails captifs avant de tenter des connexions HTTPS. Au niveau de la couche réseau, le Captive Portal applique le contrôle d'accès à l'aide de règles de pare-feu. Les appareils non authentifiés sont placés dans un VLAN ou un sous-réseau restreint où tout le trafic est bloqué, à l'exception du DNS et du HTTP vers le serveur de portail. Une fois l'authentification confirmée - qu'il s'agisse d'un simple clic, d'un login social, d'une capture d'e-mail ou d'un échange complet de d'identifiants 802.1X - le contrôleur de portail met à jour les règles de pare-feu pour l'adresse MAC de cet appareil, le déplaçant de la zone restreinte vers la zone autorisée avec un accès complet à Internet. Ceci est important : le Captive Portal est invisible pour l'invité. Il ne le voit jamais directement. Ce qu'il voit, c'est la page d'accueil. La page d'accueil correspond à la couche applicative - c'est l'HTML, le CSS et le JavaScript qui s'affichent dans le navigateur de l'invité ou dans la fenêtre contextuelle de l'assistant réseau captif. C'est l'interface visuelle : votre marque, votre logo, votre message d'accueil, vos conditions générales, vos boutons de connexion sociale, vos cases à cocher d'inscription marketing. C'est ce qui transforme un simple événement d'authentification réseau en une expérience invité personnalisée aux couleurs de votre marque. Voyez les choses ainsi. Le Captive Portal est le videur à la porte - il décide qui entre et applique les règles. La page d'accueil est le bureau de réception - c'est le visage de votre établissement, elle recueille les informations et permet à l'invité de se sentir le bienvenu. Vous avez besoin des deux, et ils doivent fonctionner ensemble de manière transparente. Maintenant, pourquoi cette distinction est-elle importante sur le plan commercial ? Parce que lorsque vous évaluez une solution WiFi invité, vous devez poser des questions différentes pour chaque composant. Pour le Captive Portal, vous vous demandez : Quels modes d'authentification prend-il en charge ? Peut-il gérer le 802.1X pour les appareils de l'entreprise parallèlement à la connexion sociale pour les invités ? Prend-il en charge le contournement d'adresse MAC pour les appareils qui ne peuvent pas afficher de navigateur ? Comment gère-t-il les expirations de session et la ré-authentification ? Est-il conforme à vos obligations de protection des données en vertu du GDPR ? S'intègre-t-il à votre infrastructure RADIUS ? Peut-il segmenter le trafic par type d'utilisateur - en séparant le trafic invité du trafic du personnel au niveau de la couche réseau ?Pour la splash page, vous vous demandez : à quel point est-elle personnalisable ? Votre équipe marketing peut-elle la modifier sans toucher à la configuration du réseau ? Prend-elle en charge l'A/B testing ? Peut-elle proposer des contenus différents selon les segments d'utilisateurs - les membres du programme de fidélité par rapport aux nouveaux visiteurs, par exemple ? Prend-elle en charge les arrière-plans vidéo, les bannières promotionnelles ou les pages de redirection après connexion ? Comment se comporte-t-elle sur mobile ? Est-elle accessible ? Ce sont des critères d'achat fondamentalement différents, et les confondre conduit à de mauvaises décisions. Nous avons vu des entreprises investir massivement dans un magnifique design de splash page pour découvrir ensuite que le Captive Portal sous-jacent ne prenait pas en charge les méthodes d'authentification requises par leur politique de sécurité informatique. Nous avons également vu l'inverse - des déploiements de Captive Portal techniquement robustes avec des splash pages si mal conçues que les taux d'adoption par les visiteurs plafonnaient à 30 %. Parlons des normes qui sous-tendent tout cela. Le mécanisme de Captive Portal n'a pas de norme de gouvernance unique, mais il fonctionne dans le cadre de plusieurs normes importantes. La norme 802.1X est la norme de contrôle d'accès réseau basée sur les ports qui régit la manière dont les appareils s'authentifient sur un réseau à l'aide d'identifiants, de certificats ou de jetons. C'est le fondement de la sécurité WiFi d'entreprise et elle est de plus en plus pertinente, même dans le cadre du WiFi invité, lorsque vous souhaitez offrir un accès transparent, basé sur des identifiants, aux visiteurs de retour. Le WPA3, le dernier protocole de sécurité WiFi, introduit le chiffrement sans fil opportuniste (OWE), qui chiffre le trafic même sur les réseaux ouverts - ce qui est pertinent pour les déploiements de Captive Portal car cela modifie le fonctionnement de la liaison de connexion initiale. Du point de vue de la conformité, le GDPR a des implications importantes sur la conception des splash pages. Si votre splash page collecte des données personnelles - une adresse e-mail, un nom, une connexion sociale - vous devez obtenir un consentement explicite et éclairé, fournir une notice de confidentialité claire et disposer d'une base légale pour le traitement. La splash page est l'endroit où ce consentement est capturé, mais le Captive Portal est ce qui applique le lien entre le consentement et l'accès. Si un visiteur refuse de s'abonner à vos communications marketing, le Captive Portal doit tout de même lui accorder un accès à internet - le consentement au marketing ne peut pas être une condition d'accès au réseau en vertu du GDPR. La norme PCI-DSS est pertinente si votre réseau WiFi invité entre dans le champ d'application des environnements de données de cartes de paiement - généralement dans le commerce de détail ou l'hôtellerie. La segmentation du réseau appliquée par le Captive Portal est un contrôle clé ici, garantissant que le trafic des visiteurs est isolé des systèmes de paiement. --- SEGMENT 3 : RECOMMANDATIONS DE MISE EN ŒUVRE ET PIÈGES À ÉVITER (environ 2 minutes) Laissez-moi vous présenter deux scénarios réels qui illustrent comment cela se passe en pratique. D'abord, un groupe hôtelier de 200 chambres. Ils ont déployé une solution de WiFi invité où la page de splash était magnifiquement personnalisée à leur image : leur logo, un message de bienvenue, une offre promotionnelle pour le spa. Mais le captive portal sous-jacent était une implémentation open source basique qui utilisait le détournement DNS sans aucune gestion de session. Résultat : les clients qui revenaient à l'hôtel devaient s'identifier à nouveau lors de chaque visite, même au cours du même séjour. La page de splash était superbe, mais le captive portal n'avait pas de persistance d'adresse MAC, pas de configuration d'expiration de session, et aucune intégration avec le système de gestion de l'établissement. La correction a nécessité le remplacement complet du contrôleur du captive portal - la page de splash, elle, fonctionnait très bien. Ensuite, une chaîne nationale de vente au détail. Ils ont déployé un captive portal de qualité entreprise avec un support complet du 802.1X, une intégration RADIUS, et une segmentation sophistiquée du trafic. Mais leur page de splash était un modèle par défaut : fond blanc uni, aucun branding, un message générique "Se connecter au WiFi". Le taux d'adoption par les invités était de 34 %. Après avoir investi dans une page de splash de conception professionnelle, à l'image de la marque et avec une option de connexion sociale en un clic, l'adoption est passée à 71 % en trois mois. Le captive portal n'avait pas changé du tout. La leçon de ces deux scénarios : ces composants distincts nécessitent des investissements et une expertise différents. Ne laissez pas votre équipe réseau s'occuper de la conception de la page de splash, et ne laissez pas votre équipe marketing prendre des décisions concernant l'architecture du captive portal. Les pièges courants à éviter : premièrement, supposer qu'une page de splash est un captive portal. Ce n'est pas le cas. Une page de splash sans captive portal est juste une page web que personne n'est obligé de visiter. Deuxièmement, déployer un captive portal sans support HTTPS pour la page de splash. Toutes les données collectées sur une page de splash non chiffrée - adresses e-mail, identifiants de connexion - sont transmises en texte clair. C'est un risque pour la sécurité et la conformité GDPR. Troisièmement, ignorer l'expérience mobile. Plus de 80 % des connexions WiFi des invités proviennent d'appareils mobiles. Si votre page de splash n'est pas optimisée pour le mobile, vous créez des frictions au moment précis où vous devriez faire une impression de marque positive. - - - SEGMENT 4 : QUESTIONS-RÉPONSES RAPIDES (environ 1 minute) Passons en revue quelques questions que nous entendons régulièrement. Puis-je avoir une page de splash sans captive portal ? Techniquement oui - vous pouvez héberger une page web et y diriger les utilisateurs - mais sans le captive portal pour imposer la redirection, les invités n'ont aucune raison de s'y rendre. Vous n'auriez pas de capture de données, pas de gestion du consentement, et pas de contrôle d'accès réseau. Puis-je avoir un captive portal sans page de splash ? Oui, et c'est courant dans les environnements d'entreprise où le 802.1X gère l'authentification de manière transparente. Mais pour les déploiements destinés aux invités, vous souhaitez presque toujours une page de splash pour gérer l'expérience utilisateur et la capture de données. Est-ce que le WPA3 perturbe les portails captifs ? Pas s'il est implémenté correctement. Le WPA3 avec Opportunistic Wireless Encryption est compatible avec les déploiements de portails captifs, mais il nécessite que le portail utilise HTTPS et que le réseau diffuse correctement l'URL du portail. Certains appareils clients plus anciens présentent des problèmes de compatibilité, c'est pourquoi de nombreux sites configurent un double SSID. La connexion via les réseaux sociaux sur la splash page est-elle sécurisée ? Cela dépend de l'implémentation. La connexion via OAuth 2.0 - via Google, Facebook ou Apple - est sécurisée lorsqu'elle est correctement mise en œuvre. La splash page gère le flux OAuth, et le portail captif reçoit un jeton confirmant l'authentification. Le principal risque réside dans la validation de ce jeton et dans la gestion de la session. --- SEGMENT 5 : RÉSUMÉ ET PROCHAINES ÉTAPES (environ 1 minute) Terminons par les points clés à retenir. Premièrement : un portail captif et une splash page ne sont pas la même chose. Le portail captif est le mécanisme de contrôle du réseau - il intercepte le trafic et applique les règles d'accès. La splash page est l'interface visuelle - c'est ce que l'invité voit et avec quoi il interagit. Deuxièmement : ils fonctionnent ensemble. Le portail captif redirige l'invité vers la splash page. La splash page recueille l'authentification ou le consentement. Le portail captif accorde ensuite l'accès en fonction de ce résultat. Troisièmement : évaluez-les séparément. Posez des questions différentes, appliquez des expertises différentes et budgétisez les deux de manière indépendante. Quatrièmement : la conformité se situe à l'intersection des deux. Le consentement GDPR est capturé sur la splash page mais appliqué par le portail captif. Assurez-vous de bien configurer les deux. Cinquièmement : Purple fournit les deux. Si vous recherchez une plateforme qui gère un contrôle de portail captif de classe entreprise tout en offrant un design de splash page riche et personnalisable - avec des analyses complètes, des outils de conformité GDPR et des intégrations avec votre infrastructure existante - c'est exactement ce pour quoi Purple a été conçu. Pour vos prochaines étapes, je vous recommande de consulter les guides d'implémentation de Purple sur l'authentification 802.1X et l'analyse du WiFi invité. Les liens se trouvent dans les notes de l'émission. Et si vous êtes en plein processus d'achat, contactez l'équipe de Purple pour une évaluation technique - cela vaut la peine de concevoir la bonne architecture avant de vous lancer dans un déploiement. Merci pour votre écoute. À la prochaine. --- FIN DU SCRIPT

📚 Fait partie de notre série principale : Le Guide Ultime des Captive Portals

header_image.png

Synthèse décisionnelle

Pour les responsables informatiques, les architectes réseau et les directeurs d'exploitation de sites, le WiFi invité n'est plus un simple service de confort - c'est un point de contact critique pour la collecte de données de première main, l'engagement marketing et la sécurité réseau. Pourtant, une confusion persistante dans les appels d'offres et les discussions de déploiement consiste à assimiler le Captive Portal aux splash pages.

Ce guide vise à clarifier cette distinction fondamentale. Le Captive Portal est un mécanisme de contrôle au niveau de la couche réseau qui intercepte le trafic, bloque l'accès internet et gère l'authentification sécurisée. La splash page, en revanche, est l'interface visuelle au niveau de la couche applicative - la page web que les invités voient, avec laquelle ils interagissent et qu'ils utilisent pour s'authentifier.

Confondre ces deux composants entraîne des risques importants lors de l'acquisition et de la mise en œuvre, comme l'achat d'une splash page au design soigné mais dotée de contrôles d'infrastructure non sécurisés, ou le déploiement d'un Captive Portal hautement sécurisé doté d'une interface utilisateur lourde et sans image de marque qui fait fuir les invités. En comprenant comment ces technologies fonctionnent en synergie, les organisations peuvent utiliser des plateformes telles que Purple pour offrir une expérience WiFi invité sécurisée, conforme et hautement engageante qui génère une valeur commerciale mesurable.

comparison_chart.png

Analyse technique approfondie

Le Captive Portal : Interception du trafic au niveau de la couche réseau

Le Captive Portal fonctionne au niveau des couches inférieures du modèle OSI (généralement les couches 2 et 3) pour appliquer le contrôle d'accès. Lorsqu'un appareil invité se connecte à un SSID ouvert, le serveur DHCP local lui attribue une adresse IP, un masque de sous-réseau et une passerelle par défaut. Cependant, le point d'accès sans fil (AP) ou le contrôleur de passerelle place l'adresse MAC de cet appareil dans un état non authentifié au sein de la table de session du pare-feu.

Dans cet état, le pare-feu bloque tout le trafic IP sortant, à l'exception des services réseau essentiels tels que le DNS et le DHCP. Lorsque l'invité tente de consulter un site web externe, le Captive Portal intercepte le trafic en utilisant l'une des deux méthodes principales suivantes :

  1. Redirection HTTP (redirection 302) : La passerelle intercepte la requête HTTP initiale et renvoie une réponse HTTP 302 Found, redirigeant le navigateur du client vers l'URL de la splash page.
  2. Détournement DNS : La passerelle intercepte les requêtes DNS et résout tous les noms de domaine vers l'adresse IP du serveur de la splash page locale. Bien que simple, cette méthode a été progressivement abandonnée en raison de DNSSEC et des avertissements de sécurité au niveau du navigateur. Les systèmes d'exploitation mobiles modernes utilisent un démon intégré appelé Captive Network Assistant (CNA). Lors de la connexion à un réseau, le CNA tente de joindre un point de terminaison HTTP non chiffré connu (par exemple, captive.apple.com d'Apple ou connectivitycheck.gstatic.com de Google). Si cette réponse est interceptée et redirigée, le système d'exploitation reconnaît qu'il se trouve derrière un Captive Portal et affiche automatiquement la Splash Page dans une fenêtre de navigateur système dédiée, évitant ainsi à l'utilisateur d'ouvrir manuellement un navigateur web.

Une fois que l'utilisateur a terminé le flux d'authentification sur la Splash Page, le serveur d'authentification (généralement un serveur RADIUS) envoie un paquet Access-Accept au contrôleur réseau. Le contrôleur met ensuite à jour ses règles de pare-feu pour accorder un accès complet à internet à l'adresse MAC de cet appareil, en s'appuyant généralement sur le MAC Address Bypass (MAB) pour mémoriser l'appareil pour une durée de session spécifiée.

La Splash Page : Expérience utilisateur au niveau de la couche applicative

Contrairement au Captive Portal, la Splash Page est une application web standard fonctionnant au niveau de la couche 7 (la couche applicative). Elle est construite avec des technologies web standards (HTML, CSS et JavaScript) et hébergée soit localement sur le contrôleur de passerelle, soit, plus couramment, sur une plateforme cloud telle que Purple.

La Splash Page sert d'interface visuelle et de point de contact avec la marque pour l'invité. Ses principales fonctions techniques comprennent :

  • La fédération d'identités : Faciliter la connexion sociale (Google, Facebook, Apple) à l'aide du protocole OAuth 2.0.
  • La capture de données : Recueillir les coordonnées des invités telles que les adresses e-mail, les noms et les numéros de programme de fidélité.
  • La gestion du consentement : Capturer le consentement explicite d'opt-in pour le marketing, ainsi que l'acceptation des conditions d'utilisation et des politiques de confidentialité, garantissant ainsi la conformité avec des réglementations telles que le Règlement général sur la protection des données (GDPR) [1] et le California Consumer Privacy Act (CCPA).
  • La diffusion de publicités et l'image de marque : Diffuser des bannières promotionnelles ciblées, des publicités vidéo ou des pages de redirection après connexion afin de monétiser l'espace physique.

La Splash Page étant une application web, elle doit être hautement réactive et optimisée pour les appareils mobiles, qui représentent plus de 80 % des connexions WiFi des invités.

architecture_overview.png

Guide de mise en œuvre

Le déploiement d'une solution WiFi pour invités de classe entreprise nécessite une coordination étroite entre l'infrastructure réseau et le logiciel cloud. Ce qui suit est un guide d'architecture indépendant des fournisseurs pour la mise en œuvre d'un système de Captive Portal et de Splash Page.

Architecture de déploiement étape par étape

  1. Segmentation du réseau : Configurez un VLAN invité dédié sur vos commutateurs et points d'accès pour isoler le trafic invité du réseau d'entreprise interne, des terminaux de point de vente (POS) et des appareils IoT. Il s'agit d'une exigence clé pour la conformité PCI-DSS [2].
  2. Configuration du SSID : Configurez un SSID ouvert avec le chiffrement Opportunistic Wireless Encryption (OWE) activé si votre matériel le prend en charge, ou un SSID ouvert standard. Activez la redirection vers le Captive Portal au sein du profil SSID sur votre contrôleur sans fil (par exemple, Cisco Catalyst, Aruba Instant On ou Ruckus SmartZone).
  3. Configuration du Walled Garden (ACL) : Avant l'authentification, les appareils des invités doivent être autorisés à accéder à certains domaines externes afin que la Splash page s'affiche correctement. C'est ce qu'on appelle le "Walled Garden" ou liste de contrôle d'accès (ACL). Vous devez inclure :
    • Le domaine de votre Splash page hébergée dans le cloud (par exemple, *.purple.ai).
    • Les points de terminaison OAuth des fournisseurs de connexion sociale (par exemple, *.facebook.com, *.google.com, *.apple.com).
    • Les réseaux de diffusion de contenu (CDNs) hébergeant les ressources requises (polices, feuilles de style, images).
  4. Intégration du serveur RADIUS : Configurez le contrôleur sans fil pour utiliser un serveur RADIUS externe (tel que le cloud RADIUS de Purple) pour l'authentification et la comptabilisation (802.1X / AAA) [3].
  5. Personnalisation de la Splash page : Concevez la Splash page au sein du Purple portal, en garantissant la cohérence de la marque, la réactivité mobile et des cases à cocher de consentement légal claires.
  6. Politiques de session et de bande passante : Définissez des limites de temps de session (par exemple, 8 heures), des limites d'inactivité (par exemple, 30 minutes) et des limites de bande passante par utilisateur (par exemple, 5 Mbps en descente, 2 Mbps en montée) sur le contrôleur réseau pour éviter les abus et garantir un accès équitable à tous les invités.
Paramètre technique Captive Portal (Passerelle réseau) Splash Page (Application Cloud)
Couche OSI Couche 2 / Couche 3 (Réseau/Liaison de données) Couche 7 (Application)
Protocoles principaux RADIUS, DHCP, HTTP (redirection 302) HTTP, HTTPS, HTML5, CSS3, OAuth 2.0
Fonctions de base Interception du trafic, contrôle d'accès, limitation de bande passante Interface utilisateur, collecte de données, consentement, image de marque
Visibilité utilisateur Entièrement invisible (mécanisme backend) 100 % visible (écran d'accueil visuel)
Normes de sécurité IEEE 802.1X, WPA3, OWE, PCI DSS HTTPS, SSL/TLS, GDPR, CCPA
Matériel typique Points d'accès WiFi, routeurs de passerelle, contrôleurs Serveurs cloud, CDNs

Bonnes pratiques

Pour garantir un réseau WiFi invité hautement disponible, sécurisé et conforme à la loi, les équipes informatiques doivent suivre ces bonnes pratiques du secteur :

1. Imposer les certificats HTTPS et SSL/TLS

Tout le trafic entre l'appareil de l'invité et la page de connexion doit être chiffré via HTTPS. L'exécution d'une page de connexion via HTTP non chiffré expose les données des invités - y compris les identifiants de connexion et les adresses e-mail - au reniflage de paquets et aux attaques de l'homme du milieu. Assurez-vous que le domaine de votre page de connexion possède un certificat SSL/TLS valide et publiquement approuvé. Les certificats auto-signés déclenchent de graves avertissements de navigateur qui incitent les invités à abandonner la connexion.

2. Mettre en œuvre l'isolation du réseau

N'acheminez jamais le trafic WiFi invité vers le même VLAN ou sous-réseau que les ressources de l'entreprise. Le trafic invité doit être isolé dans un VLAN réservé aux invités avec des règles de pare-feu strictes empêchant tout routage inter-VLAN vers les sous-réseaux internes. Cela réduit le risque de propagation de logiciels malveillants et d'accès non autorisé aux données sensibles de l'entreprise.

3. Assurer la conformité GDPR et CCPA

Si votre établissement opère au Royaume-Uni, dans l'UE ou en Californie, ou s'il dessert des citoyens de ces régions, votre page de connexion doit respecter des lois strictes sur la confidentialité des données :

  • Consentement librement donné : Les cases à cocher d'inscription au marketing doivent être décochées par défaut. Le consentement aux communications marketing ne peut pas être une condition préalable à l'accès à Internet.
  • Politique de confidentialité claire : Fournissez un lien direct et facilement accessible vers votre politique de confidentialité sur la page de connexion.
  • Droit à l'oubli (droit à l'effacement) : Assurez-vous que votre plateforme WiFi invité (telle que Purple) prend en charge des flux de travail automatisés pour les invités demandant la suppression de leurs données personnelles.

4. Optimiser pour les appareils mobiles et le CNA

Assurez-vous que la page de connexion est légère et hautement adaptative. Évitez les arrière-plans vidéo lourds ou les grandes images non compressées qui ralentissent le chargement de la page - en particulier dans les environnements à très haute densité tels que les stades ou les centres de conférence. Testez la page de connexion sur différents systèmes d'exploitation mobiles pour garantir un affichage fluide dans le navigateur natif du Captive Network Assistant (CNA).

Dépannage et atténuation des risques

Modes de défaillance courants et stratégies d'atténuation

  • La fenêtre contextuelle du CNA ne s'affiche pas : Si la redirection du Captive Portal ne parvient pas à déclencher le CNA de l'appareil, les invités peuvent rester connectés au SSID sans accès à Internet et sans moyen évident de se connecter.
    • Atténuation : Assurez-vous que les serveurs DNS attribués aux invités via DHCP sont entièrement fonctionnels et capables de résoudre les domaines externes. Si la résolution DNS échoue, le CNA ne peut pas effectuer sa vérification de connectivité et la redirection n'est jamais déclenchée.
  • Mauvaise configuration du Walled Garden : Les invités ne peuvent pas finaliser la connexion via les réseaux sociaux car la page de connexion OAuth ne se charge pas ou affiche une erreur de connexion.
    • Atténuation : Double-vérifiez la liste ACL du Walled Garden de la passerelle. Les fournisseurs de connexion sociale modifient fréquemment leurs plages d'adresses IP et leurs domaines. L'utilisation d'une plateforme de WiFi invité gérée dans le cloud telle que Purple garantit que les domaines du Walled Garden sont mis à jour automatiquement et synchronisés avec votre matériel.* Limites des navigateurs CNA : Le navigateur natif CNA sur les appareils mobiles a des fonctionnalités limitées par rapport aux navigateurs standard tels que Safari ou Chrome. Il peut bloquer les cookies, les popups ou les redirections externes.
    • Atténuation : Évitez le JavaScript complexe ou les intégrations tierces sur la splash page qui nécessitent la persistance des cookies ou des fenêtres popups. Gardez le flux d'authentification aussi simple et direct que possible.

ROI et impact commercial

Comprendre la distinction entre le Captive Portal et la splash page permet aux organisations de maximiser le retour sur investissement (ROI) en optimisant à la fois les performances du réseau et l'utilité commerciale de leurs réseaux WiFi invités.

La valeur commerciale d'une solution doublement optimisée

  • Engagement des invités accru : Par rapport à une page d'accueil générique et sans marque, une splash page conçue de manière professionnelle - lorsqu'elle est combinée avec les produits phares de Purple tels que Guest WiFi et WiFi Analytics [4] [5] - peut augmenter les taux de connexion des invités jusqu'à 40 %.
  • Capture de données de première partie riches : En proposant une connexion transparente par réseaux sociaux et des champs de formulaire structurés, les sites de secteurs tels que le Retail , l' Hospitality , le Healthcare et le Transport peuvent capturer des adresses e-mail propres et vérifiées, des données démographiques et des données sur la fréquence des visites.
  • Opportunités de monétisation : L'utilisation de la splash page pour la monétisation des médias de vente au détail permet aux sites de diffuser des publicités ciblées aux invités au moment de la connexion, exploitant ainsi le marché de la publicité numérique en forte croissance.
  • Efficacité opérationnelle : Un Captive Portal robuste réduit les tickets d'assistance informatique en automatisant l'intégration des appareils, en gérant les expirations de session et en imposant des limites de bande passante pour éviter la congestion du réseau.

En déployant la solution de classe entreprise de Purple, les sites peuvent s'assurer que leur architecture réseau est sécurisée et conforme tout en offrant à leurs équipes marketing une liberté de création totale pour concevoir de superbes splash pages à fort taux de conversion qui renforcent la fidélité des clients et stimulent les revenus.

Références

Définitions clés

Captive Portal

Un mécanisme de couche réseau qui intercepte le trafic client et restreint l'accès à internet jusqu'à ce que les critères d'authentification soient remplis.

Rencontré par les équipes informatiques lors de la configuration des contrôleurs sans fil, des passerelles ou des pare-feu pour rediriger les adresses MAC non authentifiées.

Splash Page

La page d'atterrissage visuelle, basée sur le web, affichée dans le navigateur d'un invité qui facilite l'authentification, la capture de données et l'engagement avec la marque.

Gérée par les équipes marketing et d'exploitation des sites pour concevoir l'expérience d'intégration des utilisateurs et collecter les données clients.

Captive Network Assistant (CNA)

Une fonctionnalité système intégrée sur les appareils mobiles qui détecte automatiquement un Captive Portal et ouvre la splash page dans une fenêtre de navigateur système.

Crucial pour l'expérience utilisateur, car il évite aux invités d'avoir à ouvrir manuellement un navigateur pour se connecter.

Walled Garden (ACL)

Une liste d'adresses IP ou de domaines qu'un utilisateur non authentifié est autorisé à consulter avant de se connecter au réseau.

Doit être configuré correctement sur la passerelle sans fil pour permettre le chargement de la splash page et des flux OAuth de connexion sociale.

RADIUS (Remote Authentication Dial-In User Service)

Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilisation (AAA) pour les utilisateurs se connectant à un réseau.

Utilisé par le Captive Portal pour vérifier les identifiants des invités par rapport à une base de données et accorder l'accès au réseau.

MAC Address Bypass (MAB)

Un mécanisme qui permet à un appareil de contourner l'écran de connexion du Captive Portal lors des connexions ultérieures en mémorisant son adresse MAC matérielle.

Utilisé pour créer une expérience fluide pour les invités récurrents en éliminant le besoin de se connecter à plusieurs reprises.

Opportunistic Wireless Encryption (OWE)

Une norme WiFi (faisant partie de WPA3) qui fournit un chiffrement sur les réseaux ouverts sans nécessiter de mot de passe partagé.

Permet une transmission de données sécurisée sur les réseaux invités publics tout en permettant la redirection vers le Captive Portal.

VLAN Segmentation

La pratique consistant à diviser un réseau physique en plusieurs réseaux logiques au niveau de la couche 2 pour isoler le trafic.

Essentiel pour les déploiements de WiFi invité afin de s'assurer que le trafic invité est complètement isolé des réseaux d'entreprise sécurisés.

Exemples concrets

Une chaîne nationale de vente au détail comptant 150 magasins souhaite déployer un réseau WiFi invité qui collecte les e-mails des clients à des fins marketing, mais son équipe de sécurité informatique craint que le trafic invité n'accède aux systèmes de point de vente (POS) de l'entreprise. Comment structurer cette architecture ?

  1. Configurez un VLAN invité dédié (ex. VLAN 50) sur l'ensemble des commutateurs et points d'accès des 150 magasins, totalement isolé du VLAN POS de l'entreprise (VLAN 10) à l'aide de pare-feu ACL. 2. Activez la redirection vers le captive portal sur le SSID invité, en orientant l'URL de redirection vers la splash page sécurisée hébergée sur le cloud de Purple. 3. Configurez la passerelle réseau pour restreindre tout le trafic pré-authentifié sur le VLAN 50, en autorisant uniquement l'accès aux serveurs DNS, DHCP et aux domaines du Walled Garden de Purple. 4. Utilisez l'intégration de Purple avec le contrôleur sans fil pour authentifier les invités via RADIUS, en accordant l'accès internet uniquement après que l'invité a fourni une adresse e-mail vérifiée et accepté les conditions d'utilisation sur la splash page.
Commentaire de l'examinateur : Cette architecture répond au double objectif marketing et de sécurité. En séparant les couches réseau (segmentation VLAN au niveau Couche 2/3) de la couche applicative (capture d'e-mails sur la splash page au niveau Couche 7), la chaîne de magasins garantit la conformité PCI-DSS pour ses systèmes de point de vente tout en maximisant la collecte de données marketing.

Un stade de 50 000 places souhaite proposer du WiFi gratuit lors des événements. L'équipe des opérations veut une expérience de connexion fluide pour éviter la congestion du réseau au début des matchs, tandis que l'équipe marketing souhaite afficher des publicités vidéo de sponsors sur la splash page. Comment concilier ces exigences ?

  1. Déployez des points d'accès haute densité et configurez un captive portal avec un contournement par adresse MAC (MAB) défini sur 30 jours, afin que les supporters de retour n'aient pas à voir la splash page à chaque visite. 2. Pour les nouvelles connexions, concevez une splash page ultra-légère optimisée pour un chargement rapide sur les appareils mobiles. 3. Intégrez une courte publicité vidéo de sponsor de 5 secondes qui se lance directement sur la splash page, avec un bouton « Passer et se connecter » qui déclenche immédiatement l'authentification du captive portal. 4. Configurez le captive portal pour allouer un profil de bande passante généreux (ex. 10 Mbps) par utilisateur afin de garantir un streaming vidéo et une navigation web fluides.
Commentaire de l'examinateur : Dans les environnements à haute densité, la performance est primordiale. L'utilisation du MAB pour les supporters réguliers réduit considérablement la charge sur le captive portal et les serveurs RADIUS pendant les heures de pointe. La conception d'une splash page légère et d'une publicité vidéo courte garantit que l'équipe marketing atteint ses objectifs de parrainage sans provoquer de frustration sur le réseau ou de retard lors de la connexion.

Un grand hôpital public souhaite proposer un accès WiFi invité pour les patients et les visiteurs. L'équipe de conformité exige que le réseau respecte les normes de confidentialité des données de santé et que les patients ne puissent pas accéder à des contenus web malveillants ou inappropriés. Quelle est la stratégie de déploiement recommandée ?

  1. Configurez le captive portal pour rediriger les utilisateurs vers une splash page contenant une notice d'information claire sur la confidentialité des données de santé et les conditions d'utilisation. 2. Intégrez la passerelle du captive portal à un service de filtrage DNS basé sur le cloud (tel que Cisco Umbrella ou Webroot) pour bloquer automatiquement l'accès aux contenus pour adultes, aux logiciels malveillants et aux sites de hameçonnage. 3. Désactivez les options de connexion via les réseaux sociaux pour éviter la collecte de données personnelles inutiles, en vous appuyant plutôt sur un simple bouton « Accepter et se connecter » ou sur un formulaire de vérification d'e-mail standard. 4. Appliquez une limitation stricte de la bande passante sur le captive portal afin de donner la priorité aux applications cliniques et aux appareils IoT de l'hôpital par rapport au trafic de streaming des invités.
Commentaire de l'examinateur : Les environnements de santé exigent une approche prudente en matière de confidentialité des données et de filtrage de contenu. En omettant la connexion via les réseaux sociaux, l'hôpital minimise son empreinte de conformité avec les réglementations sur les données de santé. L'intégration du filtrage DNS directement au niveau de la passerelle du Captive Portal garantit que les politiques de contenu sont appliquées à l'échelle du réseau, indépendamment des actions de l'utilisateur sur la splash page.

Questions d'entraînement

Q1. Un responsable informatique remarque que les invités se connectent au SSID du WiFi invité, mais que la splash page personnalisée n'apparaît pas et que les utilisateurs ne peuvent pas accéder à internet. Quelle est la cause technique la plus probable de ce problème, et comment doit-on la diagnostiquer ?

Conseil : Considérez le rôle du DNS dans le processus de redirection du Captive Portal.

Voir la réponse type

La cause la plus probable est un échec dans le processus de résolution DNS. Lorsqu'un appareil se connecte, il doit résoudre le nom de domaine de la splash page pour charger l'écran d'accueil. Si le serveur DNS attribué au VLAN invité est hors service, mal configuré ou bloqué par les règles de pare-feu de pré-authentification de la passerelle, l'appareil ne peut pas résoudre le domaine et la redirection échoue. Pour diagnostiquer, connectez un appareil de test au SSID, vérifiez qu'il reçoit une adresse IP et une adresse de serveur DNS valides via DHCP, et tentez de pinger ou de résoudre un domaine public. Si le DNS échoue, vérifiez l'état du serveur DNS et assurez-vous que le trafic DNS (port UDP 53) est autorisé dans l'ACL de pré-authentification de la passerelle.

Q2. Un commerce de détail souhaite permettre aux invités de se connecter en utilisant leur compte Facebook. Cependant, lorsque les utilisateurs cliquent sur le bouton de connexion Facebook sur la splash page, ils reçoivent une erreur "Connexion refusée". Le reste de la splash page se charge parfaitement. Quel est le problème et comment le résoudre ?

Conseil : Pensez aux ressources externes auxquelles un appareil en pré-authentification est autorisé à accéder.

Voir la réponse type

Le problème réside dans le fait que les domaines d'authentification Facebook ne sont pas inclus dans la liste de contrôle d'accès (ACL) du Walled Garden de pré-authentification de la passerelle. L'utilisateur n'étant pas encore authentifié, le Captive Portal bloque tout le trafic externe. Lorsque l'utilisateur clique sur le bouton Facebook, le navigateur tente de joindre les serveurs OAuth de Facebook, ce qui est bloqué par la passerelle. Pour résoudre ce problème, l'équipe informatique doit ajouter les domaines OAuth Facebook requis (par exemple, *.facebook.com, *.facebook.net) à l'ACL du Walled Garden sur le contrôleur sans fil ou la passerelle.

Q3. Un établissement d'accueil a déployé un réseau WiFi pour les invités. L'équipe marketing souhaite collecter les adresses e-mail des invités et leur envoyer immédiatement une newsletter de bienvenue. Cependant, l'équipe juridique s'inquiète de la conformité avec le GDPR concernant le consentement. Comment la splash page et le Captive Portal doivent-ils être configurés pour satisfaire les deux équipes ?

Conseil : Le GDPR exige que le consentement pour le marketing soit donné librement et ne constitue pas une condition d'accès au service.

Voir la réponse type

Pour satisfaire à la fois les équipes marketing et juridiques dans le cadre du GDPR : 1. La splash page doit comporter une case à cocher claire et non pré-cochée pour l'inscription marketing (« Je consens à recevoir des e-mails marketing »). 2. L'acceptation des Conditions d'utilisation et de la Politique de confidentialité doit faire l'objet d'une case à cocher distincte ou être clairement énoncée comme condition d'utilisation du réseau gratuit. 3. Le système de Captive Portal et de splash page sous-jacent doit être configuré pour accorder l'accès à internet, que la case marketing soit cochée ou non. Si un utilisateur laisse la case marketing décochée mais accepte les Conditions d'utilisation, le système doit tout de même envoyer un paquet Access-Accept au contrôleur réseau. Cela garantit que le consentement est librement donné, conformément au GDPR, tout en permettant au marketing de collecter les e-mails des utilisateurs qui s'inscrivent.