Comment Passpoint (Hotspot 2.0) transforme l'expérience Wi-Fi invité

Comment Passpoint transforme l'expérience Wi-Fi invité Un briefing technique Purple — Environ 10 minutes --- INTRODUCTION ET CONTEXTE — environ 1 minute Bienvenue dans la série de briefings techniques Purple. Je vais passer les dix prochaines minutes à vous présenter quelque chose qui, franchement, aurait dû remplacer le Captive Portal depuis des années : Passpoint, également connu sous le nom de Hotspot 2.0. Si vous gérez l'infrastructure Wi-Fi d'un groupe hôtelier, d'un parc de commerces de détail, d'un stade ou de tout autre lieu où les invités se connectent de manière répétée, vous avez presque certainement rencontré le même obstacle : des clients qui se plaignent de devoir se connecter à chaque fois, votre centre d'assistance informatique qui reçoit des appels concernant un Wi-Fi qui « fonctionnait auparavant », et la prise de conscience croissante que la randomisation des adresses MAC d'iOS 14 et d'Android 10 a discrètement brisé votre logique de réauthentification. Passpoint est la réponse à tous ces problèmes. Mais ce n'est pas un bouton magique — c'est un protocole correctement conçu qui nécessite un déploiement délibéré. Alors, entrons dans le vif du sujet. --- PLONGÉE TECHNIQUE — environ 5 minutes Commençons par le problème central que résout Passpoint, que les ingénieurs appellent le problème de sélection du réseau. Dans le Wi-Fi traditionnel, votre appareil recherche un SSID connu — un nom de réseau — et s'il en reconnaît un, il se connecte. C'est simple, mais c'est fragile. Cela nécessite une connexion préalable, cela ne vous dit rien sur la posture de sécurité du réseau et cela ne prend pas en charge le roaming entre les sites. Chaque fois qu'un client entre dans votre hôtel, son appareil doit être orienté manuellement vers votre réseau, puis intercepté par un Captive Portal, puis authentifié via un formulaire web. C'est une friction. Et en 2026, la friction est un désavantage concurrentiel. Passpoint change complètement la donne. Au lieu de chercher un nom de réseau, l'appareil cherche un réseau qui prend en charge ses identifiants. Avant même de tenter de se connecter, l'appareil demande au point d'accès : « Prenez-vous en charge mon fournisseur d'identité ? » Si la réponse est oui, l'authentification se fait automatiquement. Pas de page de connexion. Pas de demande de mot de passe. Pas de sélection manuelle. C'est le modèle du roaming cellulaire, appliqué au Wi-Fi. Le mécanisme qui rend cela possible s'appelle le Generic Advertisement Service — GAS — combiné avec l'Access Network Query Protocol, ou ANQP. Lorsqu'un point d'accès compatible Passpoint diffuse sa balise, il inclut ce que l'on appelle un Interworking Element — essentiellement un indicateur qui dit « je parle 802.11u », qui est l'amendement IEEE qui sous-tend tout cela. Votre appareil voit cet indicateur, envoie une requête GAS et, à l'intérieur de cette requête, une requête ANQP demande : « Quels identifiants organisationnels de consortium de roaming prenez-vous en charge ? » Le point d'accès répond. S'il y a une correspondance avec un profil déjà présent sur l'appareil, le handshake d'authentification WPA2 ou WPA3 Enterprise complet commence. Cette authentification utilise la norme IEEE 802.1X — la même norme de contrôle d'accès basée sur les ports que celle utilisée dans les réseaux d'entreprise câblés — combinée à une méthode EAP. Les plus courantes sont EAP-TLS, qui utilise des certificats ; EAP-TTLS, qui tunnelise de manière sécurisée le nom d'utilisateur et le mot de passe ; et EAP-SIM ou EAP-AKA pour l'authentification basée sur la carte SIM de l'opérateur mobile. Le résultat est une session mutuellement authentifiée et entièrement chiffrée. L'appareil prouve son identité au réseau, et le réseau prouve son identité à l'appareil. Cette authentification mutuelle est ce qui empêche les attaques de type « evil twin » et les attaques de l'homme du milieu qui parasitent les environnements Wi-Fi ouverts. Maintenant, un terme que vous entendrez aux côtés de Passpoint est OpenRoaming — le cadre de fédération de la Wireless Broadband Alliance. Voici la distinction importante : Passpoint est le véhicule. OpenRoaming est le réseau autoroutier. Passpoint définit comment un appareil découvre et s'authentifie auprès d'un réseau. OpenRoaming définit l'écosystème de confiance qui permet à un fournisseur d'identité — par exemple, Google, Samsung ou un opérateur mobile — et à un fournisseur d'accès — votre hôtel, votre stade, votre commerce — de faire confiance à leurs identifiants respectifs sans accord bilatéral entre chaque paire. OpenRoaming utilise un modèle PKI en étoile avec des tunnels RadSec — c'est-à-dire RADIUS sur TLS — pour relayer les requêtes d'authentification à travers la fédération. L'OI de consortium de roaming clé pour l'OpenRoaming sans règlement est 5A-03-BA. Vous voudrez également diffuser l'OI hérité de Cisco, 00-40-96, pour la compatibilité avec les appareils plus anciens et les profils Samsung OneUI. Du point de vue de la conformité en matière de sécurité, Passpoint est une mise à niveau majeure. WPA3-Enterprise utilise un mode de sécurité 192 bits et impose la confidentialité persistante — chaque session utilise des clés de chiffrement uniques, de sorte que compromettre une session ne révèle pas le trafic historique. Pour les organisations soumises à la norme PCI DSS — en particulier les environnements de vente au détail traitant des paiements par carte — ou aux obligations du GDPR concernant les données personnelles, l'authentification basée sur les certificats de Passpoint signifie que vous ne collectez pas d'identifiants via un formulaire web, ce qui réduit considérablement votre surface de traitement des données. Et puis il y a la randomisation des adresses MAC. Les appareils iOS et Android modernes randomisent leur adresse MAC par défaut. Cela brise les flux de réauthentification traditionnels des Captive Portals — l'appareil apparaît comme nouveau à chaque visite. Passpoint est immunisé contre cela. L'authentification est basée sur les identifiants, pas sur l'adresse MAC. Votre client régulier se connecte de manière fluide à chaque visite, quelle que soit l'adresse MAC de son appareil ce jour-là. Cela a également une implication importante pour vos analyses Wi-Fi — si vous utilisez la plateforme d'analyse de Purple, l'authentification basée sur les identifiants rétablit la précision de vos données sur les visiteurs réguliers. --- RECOMMANDATIONS DE MISE EN ŒUVRE ET PIÈGES — environ 2 minutes Laissez-moi vous présenter le scénario pratique de déploiement. Les exigences d'infrastructure sont plus complexes que pour un Captive Portal, mais elles sont tout à fait à la portée de toute organisation utilisant du matériel de classe entreprise. Vous avez besoin de points d'accès certifiés Passpoint — la plupart des AP d'entreprise de Cisco, Aruba, Ruckus et Ubiquiti le prennent en charge aujourd'hui. Vous avez besoin d'un serveur RADIUS avec prise en charge EAP, d'une infrastructure AAA pour la gestion des identifiants et, idéalement, d'un serveur OSU — Online Sign-Up — pour le provisionnement des profils en libre-service. Le travail de configuration se concentre sur quatre éléments : vos paramètres ANQP, qui définissent ce que l'AP annonce avant l'association ; vos OI de consortium de roaming ; vos définitions de domaines NAI, qui indiquent aux appareils quelles méthodes EAP vous prenez en charge ; et vos informations de site, qui sont utilisées par les appareils pour afficher le contexte du réseau. Ma recommandation la plus forte pour la plupart des sites est une stratégie dual SSID. Utilisez un SSID Passpoint pour les clients réguliers et les utilisateurs enregistrés, et maintenez un SSID avec Captive Portal pour les nouveaux visiteurs. Utilisez le Captive Portal comme un entonnoir d'intégration — présentez l'option d'installer un profil Passpoint à la fin du flux d'authentification de la première visite. Ce modèle d'intégration progressive vous offre le meilleur des deux mondes : un premier accès facile, des visites de retour fluides. Maintenant, les pièges. L'échec de déploiement le plus courant que je constate consiste à traiter Passpoint comme un simple remplacement des Captive Portals sans concevoir le parcours d'intégration. Si les clients ne savent pas comment installer un profil, ou si le flux OSU est fastidieux, l'adoption stagne. Investissez dans l'expérience de provisionnement. Le deuxième piège est la gestion des certificats. Si vous utilisez EAP-TLS avec des certificats d'appareil, vous avez besoin d'un cycle de vie PKI robuste. Des certificats expirés briseront silencieusement l'authentification pour les appareils concernés — et votre centre d'assistance sera le dernier informé. Automatisez le renouvellement des certificats et surveillez l'expiration de manière proactive. Troisièmement : ne négligez pas la prise en charge des appareils plus anciens. Passpoint nécessite iOS 7 ou version ultérieure, Android 6 ou version ultérieure, et Windows 10 ou version ultérieure. Cela couvre la grande majorité des appareils modernes, mais les appareils IoT et certains matériels plus anciens fournis par l'entreprise auront besoin de chemins d'accès alternatifs. --- QUESTIONS-RÉPONSES RAPIDES — environ 1 minute Passpoint fonctionne-t-il avec les points d'accès existants ? S'il s'agit de matériel de classe entreprise datant des cinq dernières années, presque certainement oui — vérifiez la certification Wi-Fi Alliance Passpoint dans la fiche technique. Puis-je toujours collecter des données sur les invités avec Passpoint ? Oui, mais le mécanisme change. La collecte de données se fait au moment du provisionnement du profil — dans le flux OSU ou lors de l'enregistrement via l'application — plutôt qu'à chaque connexion. C'est en fait plus respectueux du GDPR, car le consentement est capturé une fois, de manière explicite. Qu'en est-il des sites qui souhaitent des pages d'accueil personnalisées ? Les connexions Passpoint sont invisibles par conception, les pages d'accueil traditionnelles ne s'appliquent donc pas. Cependant, vous pouvez déclencher des notifications intégrées à l'application ou des messages push après la connexion si vous disposez d'une intégration d'application de fidélité. Certains opérateurs utilisent un modèle hybride où la première visite passe toujours par un portail personnalisé avant l'enregistrement Passpoint. 'OpenRoaming est-il gratuit ? Le niveau sans règlement d'OpenRoaming, utilisant l'OI 5A-03-BA, est disponible gratuitement via la Wireless Broadband Alliance. Des niveaux commerciaux avec des fonctionnalités d'analyse et de monétisation sont disponibles via les membres de la WBA. --- RÉSUMÉ ET PROCHAINES ÉTAPES — environ 1 minute Pour résumer : Passpoint n'est pas une technologie du futur — c'est un protocole mature, basé sur des normes, qui est déjà déployé dans les grands aéroports, les chaînes hôtelières et les stades du monde entier. La question pour votre organisation n'est pas de savoir s'il faut l'adopter, mais quand et comment. Si vous gérez un groupe hôtelier, une chaîne de vente au détail ou un grand site avec des visiteurs réguliers, le retour sur investissement est clair : réduction de la charge du centre d'assistance, amélioration de la satisfaction des clients, atténuation des risques de conformité et données d'analyse précises qui ne sont pas faussées par la randomisation MAC. Vos prochaines étapes sont simples. Tout d'abord, auditez votre parc d'AP actuel pour vérifier la certification Passpoint. Deuxièmement, évaluez votre infrastructure RADIUS et déterminez si vous avez besoin d'un serveur OSU pour le provisionnement en libre-service. Troisièmement, concevez votre stratégie dual SSID et votre parcours d'intégration. Et quatrièmement, si vous envisagez la fédération OpenRoaming, engagez-vous avec la Wireless Broadband Alliance ou un fournisseur de plateforme comme Purple qui peut gérer l'intégration de la fédération pour votre compte. C'était le briefing technique de Purple sur Passpoint et Hotspot 2.0. Pour obtenir le guide écrit complet, les schémas d'architecture et des exemples de déploiement concrets, visitez purple.ai. Merci pour votre écoute.