Passer au contenu principal
Français

Comment configurer le WiFi d'entreprise sur les appareils Android avec EAP-TLS

Ce guide de référence technique fournit aux responsables informatiques un plan complet pour déployer l'authentification 802.1X EAP-TLS sur les appareils Android. Il couvre les mécanismes architecturaux, les stratégies de mise en œuvre manuelles et pilotées par MDM, ainsi que les méthodologies de dépannage nécessaires pour sécuriser les réseaux sans fil d'entreprise.

📖 5 min de lecture📝 1,161 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Comment configurer le WiFi d'entreprise sur les appareils Android avec EAP-TLS Un briefing technique Purple — Environ 10 minutes --- INTRODUCTION ET CONTEXTE — environ 1 minute Bienvenue dans la série des briefings techniques Purple. Je suis votre hôte, et aujourd'hui nous entrons dans les détails du déploiement de l'authentification 802.1X EAP-TLS sur les appareils Android — que vous gériez un parc hôtelier, une chaîne de magasins, un stade ou un campus du secteur public. Si vous êtes responsable d'un réseau qui doit authentifier des appareils Android d'entreprise ou BYOD sans dépendre de mots de passe partagés, cet épisode est pour vous. EAP-TLS est la référence absolue en matière de sécurité WiFi d'entreprise — il utilise une authentification mutuelle basée sur des certificats, ce qui signifie qu'il n'y a pas d'identifiants à pirater par phishing, pas de mots de passe à renouveler et une posture de conformité qui satisfait aux exigences PCI DSS, ISO 27001 et à la plupart des cadres de sécurité du secteur public. À la fin de ce briefing, vous comprendrez exactement comment fonctionne EAP-TLS sur Android, quelles sont vos options de déploiement et les trois erreurs les plus courantes qui provoquent l'échec des déploiements. C'est parti. --- ANALYSE TECHNIQUE APPROFONDIE — environ 5 minutes Commençons par l'architecture. Le 802.1X est la norme IEEE qui régit le contrôle d'accès réseau basé sur les ports. Lorsqu'un appareil Android se connecte à un réseau WiFi d'entreprise — configuré en WPA2-Enterprise ou WPA3-Enterprise —, le point d'accès agit comme ce que l'on appelle un authentificateur. Il ne prend pas la décision d'authentification lui-même ; il transmet la conversation entre l'appareil et un serveur RADIUS, qui est le véritable serveur d'authentification. EAP-TLS — c'est-à-dire Extensible Authentication Protocol avec Transport Layer Security — est la méthode d'authentification exécutée au sein de ce framework 802.1X. Ce qui la différencie d'EAP-PEAP ou d'EAP-TTLS, qui utilisent un nom d'utilisateur et un mot de passe à l'intérieur d'un tunnel TLS, c'est qu'EAP-TLS utilise des certificats X.509 des deux côtés. Le serveur RADIUS présente un certificat de serveur à l'appareil, et l'appareil présente en retour un certificat de client au serveur RADIUS. Les deux parties se valident mutuellement. C'est l'authentification mutuelle, et c'est ce qui fait d'EAP-TLS l'option la plus sécurisée disponible. Maintenant, sur Android spécifiquement, il y a quelques éléments que vous devez comprendre. Android 11 et les versions ultérieures ont introduit des exigences de validation de certificat plus strictes. Si vous déployez sur Android 11 ou supérieur — ce qui représente aujourd'hui la grande majorité de votre parc —, l'appareil refusera de se connecter à moins que le certificat du serveur RADIUS ne soit explicitement approuvé. Vous ne pouvez pas vous fier uniquement au magasin de confiance du système ; vous devez soit pousser le certificat de l'autorité de certification (CA) racine vers l'appareil, soit configurer le profil WiFi pour y faire explicitement référence.Parlons de la chaîne de certification. Vous devez mettre en place trois composants avant qu'un seul appareil Android puisse s'authentifier via EAP-TLS. Premièrement, une autorité de certification (CA) — soit votre PKI interne, soit Microsoft Active Directory Certificate Services, soit une PKI cloud comme SCEP via Intune. Deuxièmement, un certificat de serveur délivré à votre serveur RADIUS, signé par cette CA. Troisièmement, un certificat client unique délivré à chaque appareil ou utilisateur, également signé par la même CA. L'appareil présente son certificat client lors de la liaison TLS, et le serveur RADIUS le valide par rapport à la liste de révocation de certificats (CRL) de la CA, ou via OCSP (Online Certificate Status Protocol). Pour Android, le certificat client et la clé privée sont généralement regroupés dans un fichier PKCS12 — c'est-à-dire un fichier .P12 ou .PFX — qui contient à la fois le certificat et la clé privée chiffrée. Sur un appareil configuré manuellement, l'utilisateur importe ce fichier via Paramètres, puis Sécurité, puis Installer un certificat. Sur un appareil géré par un MDM, le certificat est poussé silencieusement vers le keystore géré de l'appareil — aucune interaction de l'utilisateur n'est requise. Parlons maintenant du profil WiFi lui-même. Lors de la configuration d'une connexion WiFi d'entreprise sur Android, vous devez spécifier : l'SSID, le type de sécurité — WPA2-Enterprise ou WPA3-Enterprise — la méthode EAP — qui est TLS — le certificat de la CA pour la validation du serveur, le certificat client pour l'authentification de l'appareil, et la chaîne d'identité, qui est généralement le Common Name de l'appareil ou l'UPN de l'utilisateur. Sur Android 11 et versions supérieures, vous devez également spécifier la correspondance du suffixe de domaine ou le sujet du certificat du serveur pour empêcher les attaques de type man-in-the-middle. Pour les déploiements MDM — et c'est là que réside le véritable gain d'échelle — vous poussez tout cela sous forme de profil de configuration structuré. Dans Microsoft Intune, vous créez un profil de certificat SCEP qui demande et installe automatiquement un certificat client unique sur chaque appareil Android enregistré. Vous créez ensuite un profil de configuration WiFi qui fait référence à ce profil de certificat. Lorsque l'appareil se connecte, il reçoit à la fois le certificat et le profil WiFi, et se connecte automatiquement à votre réseau 802.1X. Aucune interaction de l'utilisateur, aucun appel au support. Si vous utilisez Intune pour cela, notre guide d'accompagnement sur la façon d'utiliser Microsoft Intune pour pousser des certificats WiFi vers les appareils détaille les étapes de configuration exactes — je vous recommande de le lire en parallèle de ce briefing. Pour VMware Workspace ONE et Jamf Connect, le processus est identique sur le plan architectural — profil de certificat SCEP ou PKCS, suivi d'un profil WiFi qui y fait référence. L'interface utilisateur spécifique diffère, mais la chaîne de certification et les exigences de configuration RADIUS restent les mêmes. Un point important à signaler concernant RADIUS : si vous utilisez FreeRADIUS, Microsoft NPS ou Cisco ISE, assurez-vous que le certificat de votre serveur inclut les attributs d'utilisation étendue de la clé (EKU) corrects — plus précisément, l'authentification du serveur (Server Authentication), OID 1.3.6.1.5.5.7.3.1. Android est très strict à ce sujet. Un certificat qui fonctionne parfaitement avec des clients Windows peut échouer sur Android si l'EKU est manquant ou mal configuré. --- RECOMMANDATIONS DE MISE EN ŒUVRE ET PIÈGES À ÉVITER — environ 2 minutes Abordons maintenant les problèmes concrets rencontrés sur le terrain, car c'est là que la plupart des déploiements rencontrent des difficultés. Le premier échec, et le plus courant, concerne la confiance accordée aux certificats. Android 11 et les versions supérieures ne se connecteront pas si la chaîne de certificats du serveur RADIUS ne peut pas être validée. La solution est simple : déployez le certificat de votre autorité de certification (CA) racine dans le magasin de certificats utilisateur de l'appareil via un MDM, et référencez-le explicitement dans le champ du certificat CA du profil WiFi. Ne laissez pas ce champ sur "Ne pas valider" — c'est une faille de sécurité et cela échouera de toute façon sur certaines versions d'Android. Le deuxième piège est l'expiration des certificats. Les certificats clients ont généralement une durée de validité de un à deux ans. Si vous ne disposez pas d'un renouvellement automatisé via SCEP ou NDES, vous risquez de vous réveiller un matin et de constater que la moitié de votre parc d'appareils a perdu son accès WiFi simultanément. Intégrez l'automatisation du renouvellement des certificats dans votre flux de travail MDM dès le premier jour, et non après coup. Le troisième problème concerne la capacité du serveur RADIUS. Les liaisons EAP-TLS sont plus gourmandes en ressources de calcul que les liaisons PEAP en raison de l'échange mutuel complet de certificats. Dans un stade ou un centre de conférence accueillant des milliers d'authentifications simultanées, un serveur RADIUS sous-dimensionné deviendra un goulot d'étranglement. Dimensionnez votre infrastructure RADIUS pour les pics d'authentification simultanés, et non pour la charge moyenne. Enfin, du côté d'Android, sachez que les différents fabricants — Samsung, Google, Xiaomi — ont des implémentations légèrement différentes de l'API de configuration WiFi. Testez vos profils déployés par MDM sur des appareils représentatifs de chaque fabricant de votre parc avant de procéder à un déploiement à grande échelle. Les appareils Samsung, en particulier, ont historiquement nécessité que le champ d'identité soit explicitement défini, même lorsqu'il peut être déduit du certificat. --- QUESTIONS-RÉPONSES RAPIDES — environ 1 minute Voici quelques questions rapides que l'on me pose régulièrement. Puis-je utiliser EAP-TLS pour les appareils BYOD ? Oui, mais cela nécessite que l'utilisateur installe un certificat client sur son appareil personnel. Pour le BYOD à grande échelle, déterminez si EAP-TTLS avec PAP ou PEAP-MSCHAPv2 constitue un compromis plus pratique, en réservant EAP-TLS aux appareils appartenant à l'entreprise. Est-ce que EAP-TLS fonctionne avec WPA3-Enterprise ? Oui, et le WPA3-Enterprise en mode 192 bits impose d'ailleurs l'utilisation d'EAP-TLS. Si vous déployez le WPA3-Enterprise dans des environnements hautement sécurisés, EAP-TLS est votre seule option conforme. Quelle est la version minimale d'Android que je devrais cibler ? Android 8 et versions ultérieures prennent en charge EAP-TLS de manière native. Pour Android 11 et versions ultérieures, imposez une validation explicite du certificat CA. Pour Android 13 et versions ultérieures, vous pouvez exploiter les API de gestion des certificats améliorées pour un contrôle plus granulaire. La plateforme de Purple peut-elle s'intégrer aux réseaux EAP-TLS ? La plateforme de WiFi invité et d'analyse de Purple fonctionne sur un SSID distinct de votre réseau d'entreprise 802.1X. Vos appareils d'entreprise s'authentifient via EAP-TLS sur le SSID sécurisé, tandis que les appareils invités utilisent le Captive Portal de Purple sur le SSID invité. Les deux coexistent sur la même infrastructure de points d'accès, la séparation VLAN assurant la frontière de sécurité. --- RÉSUMÉ ET PROCHAINES ÉTAPES — environ 1 minute Pour résumer : EAP-TLS sur Android est la méthode d'authentification WiFi d'entreprise la plus sécurisée disponible, et avec les outils MDM modernes, son déploiement à grande échelle est tout à fait réalisable. Les trois éléments à maîtriser sont : une PKI correctement configurée avec renouvellement automatique des certificats, une confiance explicite dans le certificat CA sur Android 11 et versions ultérieures, et une infrastructure RADIUS dimensionnée pour la charge de pointe. Si vous effectuez un déploiement dans un lieu accueillant un trafic mixte d'entreprise et d'invités, la plateforme de Purple vous offre la couche d'analyse et d'engagement sur le réseau invité, tandis que votre infrastructure EAP-TLS sécurise le côté entreprise. Les deux se complètent parfaitement. Pour vos prochaines étapes : consultez notre schéma d'architecture dans le guide complet, suivez le guide de déploiement Intune et menez un projet pilote sur un sous-ensemble d'appareils avant de le déployer sur l'ensemble de votre parc. Commencez par un groupe contrôlé de cinquante appareils, validez la distribution des certificats et la connectivité WiFi, puis passez à l'échelle en toute confiance. Merci d'avoir écouté le briefing technique de Purple. Vous trouverez le guide écrit complet, les schémas et les références de configuration sur purple.ai. À la prochaine.

header_image.png

Synthèse

La sécurisation des réseaux sans fil d'entreprise contre le vol d'identifiants et les accès non autorisés exige de dépasser le cadre des mots de passe partagés. Pour les flottes d'appareils Android dans les environnements d'entreprise, la norme 802.1X EAP-TLS (Extensible Authentication Protocol avec Transport Layer Security) représente le standard de sécurité absolu. En s'appuyant sur une authentification mutuelle basée sur des certificats, EAP-TLS élimine les risques liés à la fatigue des mots de passe, au phishing et aux identifiants faibles.

Ce guide de référence technique fournit aux architectes réseau, aux responsables informatiques et aux CTO des stratégies exploitables pour déployer EAP-TLS sur les appareils Android. Qu'il s'agisse de gérer des terminaux de point de vente dans le secteur du Retail , des appareils cliniques dans la Santé ou des opérations d'arrière-guichet dans l' Hôtellerie , la maîtrise de ce déploiement garantit une conformité de sécurité rigoureuse (PCI DSS, GDPR, ISO 27001) tout en offrant une expérience de connexion fluide pour les utilisateurs finaux. Nous couvrons à la fois la configuration manuelle pour les environnements BYOD et le provisionnement MDM sans contact pour les flottes appartenant à l'entreprise.

Écouter le Briefing

Analyse Technique Approfondie

L'Architecture 802.1X et le Fonctionnement d'EAP-TLS

À la base, 802.1X est une norme IEEE pour le contrôle d'accès réseau basé sur les ports. Dans un contexte sans fil, le point d'accès agit en tant qu'Authentificateur, facilitant la communication entre l'appareil Android (le Supplicant) et le serveur RADIUS (le Serveur d'Authentification).

Contrairement à PEAP ou TTLS qui encapsulent l'authentification par mot de passe traditionnelle dans un tunnel TLS, EAP-TLS repose entièrement sur des certificats X.509. Cela crée un paradigme d'authentification mutuelle :

  1. Le serveur RADIUS présente son certificat à l'appareil Android pour prouver que le réseau est légitime.
  2. L'appareil Android présente son certificat client unique au serveur RADIUS pour prouver qu'il est un point de terminaison autorisé.

eap_tls_architecture_overview.png

Exigences de Certificat Spécifiques à Android

Le déploiement sur Android introduit des contraintes spécifiques, en particulier à partir d'Android 11. Google a abandonné l'option « Ne pas valider » pour les certificats de serveur afin de limiter les attaques de type man-in-the-middle (MitM). Par conséquent, l'appareil Android doit posséder le certificat de l'Autorité de Certification (CA) Racine qui a signé le certificat du serveur RADIUS.

De plus, le certificat du serveur RADIUS doit contenir les attributs d'usage étendu de la clé (EKU) corrects, plus précisément Server Authentication (OID 1.3.6.1.5.5.7.3.1). Sans cela, le demandeur Android abandonnera silencieusement la liaison TLS.

Du côté client, Android exige que la clé privée et le certificat soient regroupés, généralement au format PKCS#12 (.p12 ou .pfx).

Intégration avec l'écosystème de Purple

Alors que l'EAP-TLS sécurise vos appareils d'entreprise et votre infrastructure opérationnelle, les gestionnaires de sites doivent également gérer l'accès des visiteurs. C'est là qu'une stratégie de double SSID devient essentielle. Votre SSID d'entreprise utilise l'EAP-TLS 802.1X, tandis que votre SSID public s'appuie sur la plateforme Guest WiFi de Purple. Cette séparation garantit la sécurité opérationnelle tout en permettant à l'équipe marketing de tirer parti de WiFi Analytics sur le réseau invité. Pour une vision plus large de la sécurisation de l'infrastructure physique, reportez-vous à Access Point Security: Your 2026 Enterprise Guide .

Guide d'implémentation

Le déploiement de l'EAP-TLS sur Android peut être effectué manuellement pour les petits déploiements BYOD ou via une gestion des appareils mobiles (MDM) à l'échelle de l'entreprise.

mdm_deployment_comparison.png

Méthode 1 : Configuration manuelle (BYOD / Petite échelle)

Cette méthode nécessite un support important et n'est recommandée que pour des déploiements limités ou des phases de test.

  1. Distribution des certificats : Transmettez de manière sécurisée le certificat client .p12 et le fichier Root CA .cer à l'appareil Android (par exemple, via un portail sécurisé ou un e-mail chiffré).
  2. Installation :
    • Allez dans Paramètres > Sécurité > Chiffrement et identifiants > Installer un certificat.
    • Installez l'autorité de certification racine (Root CA) en tant que "certificat Wi-Fi".
    • Installez le fichier .p12 en saisissant le mot de passe d'extraction lorsque vous y êtes invité.
  3. Configuration réseau :
    • Allez dans Paramètres > Réseau et Internet > Wi-Fi et sélectionnez "Ajouter un réseau".
    • Saisissez le SSID.
    • Définissez la sécurité sur WPA/WPA2/WPA3-Enterprise.
    • Définissez la méthode EAP sur TLS.
    • Définissez le certificat CA sur l'autorité de certification racine installée.
    • Définissez le statut du certificat en ligne sur Demander le statut du certificat.
    • Définissez le domaine pour qu'il corresponde au nom alternatif du sujet (SAN) du certificat du serveur RADIUS.
    • Sélectionnez le certificat client installé.
    • Saisissez l'identité (généralement l'UPN de l'utilisateur ou l'adresse MAC de l'appareil).

Méthode 2 : Profil poussé par MDM (Échelle de l'entreprise)

Pour les grands parcs, comme un campus universitaire ou un hub logistique dans le secteur du Transport , un MDM est obligatoire. Cela permet un provisionnement sans contact et une gestion du cycle de vie.

  1. Intégration PKI : Connectez votre MDM (Intune, Workspace ONE, Jamf) à votre autorité de certification à l'aide de SCEP ou NDES.
  2. Profil de certificat : Créez un profil de configuration pour déployer l'Autorité de Certification (CA) racine dans le magasin de certificats de confiance de l'appareil. Créez un second profil (SCEP) pour demander et installer automatiquement le certificat client unique.
  3. Profil WiFi : Créez un profil de configuration Wi-Fi associant les certificats déployés.
    • Type de sécurité : WPA2/WPA3 Enterprise
    • Type d'EAP : EAP-TLS
    • Méthode d'authentification : Certificat
    • Confiance du serveur : Spécifiez la CA racine et le nom de domaine exact du serveur.

Pour des instructions détaillées spécifiques à Microsoft, consultez notre guide : Comment utiliser Microsoft Intune pour déployer des certificats WiFi sur les appareils .

Bonnes pratiques

  1. Imposer le WPA3-Enterprise : Lorsque le matériel le permet, exigez le WPA3-Enterprise. La suite de sécurité 192 bits requiert explicitement l'EAP-TLS, garantissant les normes cryptographiques les plus élevées.
  2. Automatiser le cycle de vie des certificats : Les certificats clients expirent. Si vous comptez sur des renouvellements manuels, vous ferez face à des interruptions de service massives. Implémentez SCEP/NDES pour renouveler automatiquement les certificats 30 jours avant leur expiration.
  3. Mettre en œuvre un DNS robuste : Les vérifications de la liste de révocation de certificats (CRL) et l'OCSP nécessitent une résolution DNS fiable depuis la périphérie. Pour en savoir plus, lisez Protégez votre réseau avec un DNS fort et la sécurité .
  4. Segmentation VLAN : Associez les sessions authentifiées par EAP-TLS à des VLAN spécifiques en fonction des attributs du certificat (par exemple, séparer les terminaux de point de vente des tablettes des managers) à l'aide d'attributs RADIUS tels que Tunnel-Private-Group-Id.

Dépannage et atténuation des risques

Lorsque des appareils Android ne parviennent pas à se connecter via EAP-TLS, le problème réside presque toujours dans la chaîne de certificats ou la configuration RADIUS.

  • Symptôme : Les appareils Android 11+ se déconnectent immédiatement ou affichent "Erreur d'authentification" sans solliciter l'utilisateur.
    • Cause racine : L'appareil ne fait pas confiance au certificat du serveur RADIUS. Le champ "Domaine" du profil WiFi doit correspondre exactement au SAN du certificat du serveur, et la CA racine doit être installée.
  • Symptôme : La connexion expire pendant la négociation TLS.
    • Cause racine : Le serveur RADIUS ne peut pas atteindre le point de distribution de la CRL pour vérifier le statut de révocation du certificat client. Assurez-vous que votre serveur RADIUS dispose d'un accès HTTP sortant vers les points de terminaison CRL de votre PKI.
  • Symptôme : Les appareils Windows se connectent, mais les appareils Android échouent.
    • Cause racine : L'EKU Server Authentication est manquant sur le certificat RADIUS, ou le demandeur Android tente d'utiliser une suite de chiffrement non prise en charge. Vérifiez les journaux RADIUS pour identifier les échecs de négociation TLS.

ROI et impact commercial

La transition vers l'EAP-TLS nécessite un investissement initial dans l'infrastructure PKI et MDM, mais le retour sur investissement est substantiel pour les responsables informatiques.

  • Réduction des coûts de helpdesk : Les réinitialisations de mots de passe représentent 20 à 30 % des tickets du helpdesk informatique. L'authentification par certificat élimine les politiques de rotation des mots de passe pour l'accès au réseau, réduisant ainsi considérablement les frais de support.
  • Atténuation des risques : L'EAP-TLS offre une immunité contre la collecte d'identifiants et les attaques par dictionnaire hors ligne. Le coût d'une seule faille de sécurité dans un secteur réglementé comme la Santé dépasse de loin le coût de déploiement d'une PKI.
  • Continuité opérationnelle : Le provisionnement automatisé des certificats garantit que les appareils opérationnels critiques — des scanners d'entrepôt aux systèmes de point de vente (POS) — ne se déconnectent jamais du réseau en raison d'identifiants expirés. Alors que Purple continue d'étendre sa portée, comme le soulignent des initiatives stratégiques récentes telles que Purple Signals Higher Education Ambitions with Appointment of VP Education Tim Peers , une connectivité de base robuste devient le catalyseur d'analyses et d'engagements avancés.

Définitions clés

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports (PNAC) qui fournit un mécanisme d'authentification aux appareils souhaitant se connecter à un LAN ou un WLAN.

Le cadre fondamental qui empêche les appareils non autorisés d'accéder au réseau de l'entreprise à la périphérie.

EAP-TLS

Extensible Authentication Protocol avec Transport Layer Security. Un cadre d'authentification qui utilise des certificats X.509 pour une authentification mutuelle entre le client et le serveur.

Considéré comme le type d'EAP le plus sécurisé, il élimine la dépendance aux mots de passe, ce qui le rend indispensable pour les environnements hautement sécurisés.

RADIUS

Remote Authentication Dial-In User Service. Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilité (AAA).

Le composant serveur (par exemple, Cisco ISE, Microsoft NPS) qui valide le certificat de l'appareil Android par rapport à la PKI.

Supplicant

L'appareil client (dans ce cas, le smartphone ou la tablette Android) qui demande l'accès au réseau.

Comprendre les contraintes spécifiques du système d'exploitation du supplicant (comme la validation stricte d'Android 11) est essentiel pour un déploiement réussi.

Authenticator

L'appareil réseau (le point d'accès WiFi) qui facilite le processus d'authentification entre le Supplicant et le serveur RADIUS.

Le point d'accès ne prend pas la décision ; il applique simplement le contrôle des ports en fonction de la réponse du serveur RADIUS.

PKI

Public Key Infrastructure. Un ensemble de rôles, de politiques, de matériel, de logiciels et de procédures nécessaires pour créer, gérer, distribuer, utiliser, stocker et révoquer des certificats numériques.

La colonne vertébrale d'EAP-TLS. Sans une PKI robuste, l'authentification par certificat est impossible.

SCEP

Simple Certificate Enrollment Protocol. Un protocole conçu pour rendre la délivrance et la révocation de certificats numériques aussi évolutives que possible.

Utilisé par les plateformes MDM pour provisionner automatiquement les certificats clients sur les appareils Android sans intervention de l'utilisateur.

SAN

Subject Alternative Name. Une extension de la norme X.509 qui permet d'associer diverses valeurs à un certificat de sécurité.

Android 11+ exige que le champ "Domaine" du profil WiFi corresponde au SAN du certificat du serveur RADIUS.

Exemples concrets

Une chaîne nationale de vente au détail doit déployer 5 000 tablettes de point de vente (POS) sous Android. L'équipe de sécurité exige que ces appareils n'utilisent pas de mots de passe partagés et soient protégés contre le phishing d'identifiants. Comment l'équipe d'infrastructure doit-elle aborder ce déploiement ?

L'équipe doit déployer une solution de gestion des appareils mobiles (MDM) intégrée à leur infrastructure PKI interne via SCEP. Le MDM poussera un profil de configuration contenant le certificat de l'autorité de certification racine (Root CA), demandera automatiquement un certificat client unique pour chaque tablette POS et configurera le profil WiFi WPA3-Enterprise pour utiliser EAP-TLS. Le serveur RADIUS sera configuré pour affecter ces appareils à un VLAN POS isolé après validation réussie du certificat.

Commentaire de l'examinateur : Il s'agit de l'approche d'entreprise optimale. Tenter une configuration manuelle pour 5 000 appareils est irréalisable sur le plan opérationnel. En utilisant un MDM et SCEP, l'organisation bénéficie d'un provisionnement sans contact et d'un renouvellement automatique des certificats, répondant ainsi aux exigences de sécurité tout en minimisant les contraintes de déploiement.

Un responsable informatique d'un hôpital met à niveau le réseau sans fil. Suite à cette mise à niveau, les anciens appareils Android 9 se connectent avec succès au réseau EAP-TLS, mais les nouveaux appareils Android 12 récemment acquis échouent à s'authentifier, signalant une erreur de confiance.

Le responsable informatique doit mettre à jour le profil de configuration WiFi poussé sur les appareils. Android 11+ impose une validation stricte du certificat du serveur. Le profil doit être mis à jour pour définir explicitement le certificat de l'autorité de certification racine (Root CA) auquel faire confiance et spécifier le "Domaine" exact (correspondant au SAN du serveur RADIUS) afin de prévenir les attaques de type MitM.

Commentaire de l'examinateur : Cela met en évidence un changement critique au niveau du système d'exploitation dans le comportement du demandeur d'Android. Les anciennes configurations "Ne pas valider" représentent un risque de sécurité important et sont définitivement obsolètes dans les versions modernes d'Android. La solution identifie correctement la nécessité d'une configuration de confiance explicite.

Questions d'entraînement

Q1. Votre organisation migre de PEAP-MSCHAPv2 vers EAP-TLS. Pendant la phase pilote, plusieurs appareils Android 13 ne parviennent pas à se connecter. Les journaux RADIUS indiquent que la liaison TLS est initiée mais abandonnée par le client avant l'envoi du certificat client. Quelle est l'erreur de configuration la plus probable ?

Conseil : Prenez en compte les exigences de validation strictes introduites dans les versions récentes d'Android concernant l'identité du serveur.

Voir la réponse type

L'erreur la plus probable est que le profil WiFi poussé sur les appareils Android 13 ne spécifie pas correctement la correspondance du suffixe de « Domaine », ou que l'AC racine n'est pas correctement liée dans le profil. Android interrompt la connexion pour empêcher une attaque de type Man-in-the-Middle car il ne peut pas valider le certificat du serveur RADIUS.

Q2. Vous concevez l'architecture pour un déploiement dans un grand stade. Le client souhaite utiliser EAP-TLS pour tous les appareils du personnel. Quel composant d'infrastructure spécifique doit être dimensionné à la hausse par rapport à un réseau WPA2-PSK standard, et pourquoi ?

Conseil : EAP-TLS implique des opérations cryptographiques complexes pendant la phase de connexion.

Voir la réponse type

L'infrastructure du serveur RADIUS doit être considérablement dimensionnée à la hausse. EAP-TLS nécessite une validation mutuelle complète des certificats (cryptographie asymétrique), ce qui est très exigeant en ressources de calcul. Dans un environnement de stade avec des milliers d'appareils susceptibles d'effectuer une itinérance ou de s'authentifier simultanément, un déploiement RADIUS sous-dimensionné entraînera des expirations de délai d'authentification et des échecs de connexion.

Q3. Un certificat client est compromis sur une tablette Android perdue. Quel est le mécanisme exact par lequel le réseau empêche cet appareil de se connecter via EAP-TLS ?

Conseil : Comment le serveur RADIUS sait-il que le certificat n'est plus valide avant sa date d'expiration ?

Voir la réponse type

L'administrateur informatique révoque le certificat client dans la PKI. La PKI met à jour sa liste de révocation de certificats (CRL) ou son répondeur OCSP. Lorsque la tablette perdue tente de se connecter, le serveur RADIUS vérifie le certificat client par rapport à la CRL/OCSP. Constatant qu'il est révoqué, le serveur RADIUS rejette la demande d'authentification.

Continuer la lecture de cette série

Per-Device PSK par constructeur : iPSK, DPSK, MPSK et PPSK comparés (et support de WPA3)

Une comparaison complète des implémentations de per-device PSK chez Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet et Ubiquiti UniFi. Découvrez comment le WPA3-SAE impacte les stratégies de clés par appareil et quand déployer des modes de transition par rapport à une migration vers le 802.1X.

Lire le guide →

Comparatif des méthodes d'authentification par Captive Portal

Ce guide de référence technique et d'autorité évalue les compromis architecturaux, opérationnels et de conformité des cinq principales méthodes d'authentification par captive portal. Il fournit aux architectes réseau, directeurs informatiques et responsables marketing les données quantitatives et les cadres de décision nécessaires pour équilibrer la friction d'intégration des invités avec les exigences de collecte de données au sein des sites d'entreprise.

Lire le guide →

Qu'est-ce que l'authentification par adresse MAC ? Quand l'utiliser et quand l'éviter

Ce guide de référence technique faisant autorité couvre l'authentification par adresse MAC dans les environnements WiFi d'entreprise — comment fonctionne l'authentification MAC basée sur RADIUS au niveau de la couche 2, ses vulnérabilités de sécurité inhérentes (y compris le spoofing MAC et l'impact de la randomisation MAC au niveau du système d'exploitation), et les contextes opérationnels précis où elle reste un outil valable pour gérer l'IoT et les appareils sans écran (headless). Il fournit des conseils de déploiement exploitables pour les responsables informatiques et les architectes réseau dans les secteurs de l'hôtellerie, du commerce de détail, de la santé et des espaces publics, avec des exemples concrets, des cadres de décision et le contexte d'intégration pour le WiFi invité et la plateforme d'analyse de Purple.

Lire le guide →