Passer au contenu principal
Français

Comment configurer l'authentification WiFi 802.1X : un guide étape par étape

Ce guide technique propose une procédure pas à pas pour configurer l'authentification WiFi d'entreprise 802.1X. Il couvre la configuration du serveur RADIUS, le déploiement des certificats et les stratégies de déploiement pratiques pour les responsables informatiques des sites à forte fréquentation.

📖 5 min de lecture📝 1,126 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Comment configurer l'authentification WiFi 802.1X : un guide étape par étape Un podcast Purple Enterprise WiFi Intelligence [INTRODUCTION — environ 1 minute] Bienvenue. Je m'exprime aujourd'hui en tant qu'architecte de solutions senior, et si vous écoutez ceci, vous êtes probablement confronté à un projet de sécurité réseau qui implique l'authentification 802.1X — soit parce que votre équipe de conformité l'a signalé, soit parce que votre assureur l'a demandé, ou tout simplement parce que vous venez d'hériter d'un réseau fonctionnant sur une clé PSK partagée et que vous savez que cela ne suffit plus. Alors, entrons directement dans le vif du sujet. Le 802.1X est la norme IEEE pour le contrôle d'accès réseau basé sur les ports. C'est la colonne vertébrale de la sécurité WiFi d'entreprise — le mécanisme qui garantit que chaque appareil se connectant à votre réseau a été formellement identifié et autorisé avant de pouvoir transmettre le moindre octet de trafic. Ce n'est pas facultatif pour les organisations qui gèrent des données de cartes de paiement sous PCI DSS, ce n'est pas facultatif pour les environnements de santé sous le GDPR et les normes de sécurité des données du NHS, et franchement, pour toute organisation exploitant plus d'une poignée de points d'accès, c'est l'architecture qui s'impose. Au cours des dix prochaines minutes, je vais vous guider à travers l'architecture technique, la configuration RADIUS, le déploiement de certificats et les scénarios réels où les choses se compliquent. C'est parti. [ANALYSE TECHNIQUE APPROFONDIE — environ 5 minutes] Très bien, l'architecture 802.1X repose donc sur trois composants. Vous avez le Supplicant — c'est l'appareil client, l'ordinateur portable, le téléphone, le capteur IoT. Vous avez l'Authentificateur — c'est votre point d'accès ou votre commutateur réseau, parfois appelé NAS (Network Access Server). Et vous avez le Serveur d'Authentification — presque systématiquement un serveur RADIUS dans les déploiements d'entreprise. Voici comment fonctionne la liaison (handshake). Lorsqu'un appareil tente de se connecter à un SSID protégé par 802.1X, le point d'accès ne le laisse pas simplement entrer. À la place, il ouvre ce que l'on appelle un port contrôlé — un canal limité qui ne laisse passer que le trafic EAP (Extensible Authentication Protocol). Le point d'accès envoie une requête d'identité EAP (EAP-Request Identity) à l'appareil. L'appareil répond avec son identité. Le point d'accès transmet ensuite cette information au serveur RADIUS, encapsulée dans un paquet RADIUS Access-Request. Le serveur RADIUS procède à l'authentification — en vérifiant les identifiants par rapport à Active Directory, un magasin de certificats ou tout autre annuaire d'identité que vous avez configuré — puis renvoie soit un Access-Accept, soit un Access-Reject. Ce n'est que lors d'un Accept que le point d'accès ouvre le port de données complet et attribue l'appareil au VLAN approprié. À ce stade, la méthode EAP que vous choisissez revêt une importance capitale. Vous en rencontrerez principalement cinq dans les déploiements d'entreprise. EAP-TLS est la référence absolue. Le client et le serveur présentent tous deux des certificats X.509. Aucun mot de passe n'est requis. C'est l'option la plus sécurisée et celle exigée pour les niveaux de conformité PCI DSS les plus élevés. La contrepartie est que vous devez disposer d'une PKI complète — une infrastructure à clés publiques — pour émettre et gérer les certificats clients. Cela implique une autorité de certification, la gestion du cycle de vie des certificats et un mécanisme pour déployer les certificats sur chaque appareil. Pour les organisations disposant de Microsoft Active Directory et d'Active Directory Certificate Services, cela est tout à fait réalisable. Pour les organisations qui ne disposent pas de cette infrastructure, cela représente un investissement important. PEAP-MSCHAPv2 est la méthode la plus largement déployée en pratique. Elle crée un tunnel TLS en utilisant uniquement un certificat côté serveur, puis transmet les identifiants (nom d'utilisateur et mot de passe) à l'intérieur de ce tunnel. Elle est compatible par défaut avec la quasi-totalité des appareils, s'intègre directement avec Active Directory via NPS sur Windows Server et ne nécessite pas de certificats clients. Le compromis est qu'elle est vulnérable aux attaques de collecte d'identifiants si les utilisateurs sont incités à se connecter à un point d'accès pirate — car le client ne valide pas le certificat du serveur par défaut. Vous devez imposer la validation du certificat du serveur dans vos profils de demandeur (supplicant). EAP-TTLS est similaire à PEAP mais offre plus de flexibilité dans la méthode d'authentification interne. Elle est courante dans les environnements Linux et lorsque vous devez prendre en charge des backends d'authentification existants. EAP-FAST a été développé par Cisco en réponse aux faiblesses de LEAP. Elle utilise des identifiants d'accès protégés (PAC) plutôt que des certificats. Elle est principalement pertinente si vous évoluez dans un environnement fortement équipé en solutions Cisco ou si vous gérez des appareils existants qui ne peuvent pas prendre en charge les autres méthodes. EAP-SIM et EAP-AKA sont utilisées dans les déploiements de classe opérateur — comme OpenRoaming ou Passpoint — où l'authentification est liée à une carte SIM ou USIM. Ces méthodes sont de plus en plus pertinentes pour le WiFi des lieux publics où vous souhaitez un accueil fluide et sécurisé sans Captive Portal. Parlons maintenant de la configuration RADIUS. Que vous déployiez Microsoft NPS, FreeRADIUS, Cisco ISE ou Aruba ClearPass, les étapes de configuration de base sont les mêmes. Tout d'abord, vous définissez vos clients RADIUS — il s'agit de vos points d'accès ou de vos contrôleurs LAN sans fil. Chaque client est enregistré avec son adresse IP et un secret partagé. Ce secret partagé est utilisé pour authentifier les messages RADIUS entre le point d'accès et le serveur. Utilisez un minimum de 22 caractères, générés de manière aléatoire et uniques pour chaque appareil NAS. Ensuite, vous configurez votre politique réseau. C'est là que vous définissez qui accède à quoi. En termes NPS, vous créez une politique réseau qui correspond à des conditions — appartenance à un groupe dans Active Directory, type d'appareil, heure de la journée — et attribue des attributs — ID de VLAN, délai d'expiration de session, limites de bande passante. L'attribut RADIUS que vous utiliserez le plus est l'attribution de VLAN, plus précisément Tunnel-Type défini sur VLAN, Tunnel-Medium-Type défini sur 802 et Tunnel-Private-Group-ID défini sur votre numéro de VLAN. Troisièmement, vous configurez votre stratégie de demande de connexion. Cela indique à NPS comment gérer les requêtes RADIUS entrantes — s'il faut authentifier localement ou transférer vers un autre serveur RADIUS. Dans un déploiement distribué, vous pouvez avoir un serveur RADIUS central avec des proxys NPS sur chaque site. Du côté des certificats, pour PEAP et EAP-TLS, votre serveur RADIUS a besoin d'un certificat de serveur approuvé par vos clients. La voie la plus simple consiste à utiliser un certificat provenant d'une autorité de certification (CA) publique — DigiCert, Sectigo, Let's Encrypt — car ces certificats racines sont déjà approuvés par tous les principaux systèmes d'exploitation. Si vous utilisez une CA interne, vous devez déployer le certificat racine sur tous les appareils clients via une stratégie de groupe (GPO) ou votre plateforme MDM. Pour EAP-TLS spécifiquement, vous avez également besoin de certificats clients. Dans un environnement Active Directory, vous utiliseriez ADCS avec inscription automatique via GPO pour déployer les certificats sur les appareils joints au domaine. Pour les appareils BYOD, vous utiliseriez votre MDM — Intune, Jamf, VMware Workspace ONE — pour déployer à la fois le certificat et le profil WiFi. Du côté des points d'accès, la configuration est simple. Vous créez un nouveau SSID, définissez la sécurité sur WPA2-Enterprise ou WPA3-Enterprise, pointez le serveur d'authentification RADIUS vers l'IP de votre NPS sur le port UDP 1812, configurez le serveur de comptabilité (accounting) RADIUS sur le port UDP 1813, saisissez le secret partagé et activez l'attribution dynamique de VLAN si vous l'utilisez. La plupart des plateformes d'AP d'entreprise — Cisco Meraki, Aruba, Ruckus, Extreme — disposent d'une interface graphique pour cela qui prend environ dix minutes une fois que votre serveur RADIUS est prêt. [RECOMMANDATIONS DE MISE EN ŒUVRE ET PIÈGES À ÉVITER — environ 2 minutes] Très bien, parlons des points de blocage fréquents lors des déploiements, car c'est là que je justifie mes honoraires de consultant. Le point de défaillance le plus courant est la validation des certificats. J'ai vu des organisations déployer correctement PEAP-MSCHAPv2 côté serveur, puis laisser les profils de demandeurs (supplicants) clients configurés pour accepter n'importe quel certificat. Cela compromet totalement le modèle de sécurité. Chaque profil de demandeur — qu'il soit déployé via GPO ou MDM — doit spécifier la CA racine de confiance et le nom de serveur attendu. Sans cela, vous êtes vulnérable aux attaques de type « evil twin ». Le deuxième problème courant est la gestion du secret partagé RADIUS. J'ai vu des réseaux de production fonctionner avec un secret partagé configuré sur « radius » ou sur la valeur par défaut du fournisseur. Ces secrets sont les clés de votre infrastructure d'authentification. Générez-les de manière aléatoire, stockez-les dans un gestionnaire de secrets et renouvelez-les régulièrement. Troisièmement : la mauvaise configuration des VLAN. L'attribution dynamique de VLAN est puissante — elle vous permet de placer les appareils du personnel sur le VLAN de l'entreprise, les prestataires sur un VLAN restreint et les appareils IoT sur un VLAN isolé, le tout à partir du même SSID. Mais si les attributs RADIUS ne sont pas configurés correctement, ou si les ports trunk des commutateurs ne transportent pas les bons VLAN, les appareils ne parviendront pas à se connecter ou se retrouveront sur le mauvais segment. Testez cela rigoureusement dans un environnement de laboratoire avant de le déployer en production. Quatrièmement : la redondance. Votre serveur RADIUS est désormais un élément critique de votre infrastructure. S'il tombe en panne, plus personne ne se connecte. Vous devez configurer au minimum un serveur RADIUS principal et un secondaire sur chaque point d'accès. Pour les déploiements à grande échelle, envisagez des clusters de proxy RADIUS avec surveillance de l'état de santé. Cinquièmement, et cela concerne spécifiquement les secteurs de l'hôtellerie et du commerce : la séparation entre réseau invité et réseau d'entreprise. Votre SSID d'entreprise 802.1X et votre SSID WiFi invité doivent être complètement séparés — VLAN différents, politiques de pare-feu différentes, DNS différents. Une plateforme comme Purple gère la partie invité avec son propre Captive Portal et son outil d'analyse, tandis que votre infrastructure 802.1X gère la partie entreprise. Ce sont des systèmes complémentaires, et non concurrents. [QUESTIONS-RÉPONSES RAPIDES — environ 1 minute] Passons en revue les questions que l'on me pose le plus souvent. Puis-je exécuter le protocole 802.1X sur une plateforme de points d'accès gérée dans le cloud ? Oui — Meraki, Aruba Central et Ruckus Cloud le prennent tous en charge. Vous configurez les détails du serveur RADIUS dans le tableau de bord cloud, et les points d'accès gèrent le proxying EAP. Ai-je besoin d'Active Directory ? Non. FreeRADIUS peut s'authentifier auprès d'un annuaire LDAP, de bases de données SQL, de fichiers plats ou même d'API REST. Cependant, l'intégration d'AD via NPS reste de loin la méthode d'entreprise la plus courante. Qu'en est-il des appareils IoT qui ne prennent pas en charge le 802.1X ? Utilisez le contournement d'authentification MAC — MAB (MAC Authentication Bypass) — comme solution de repli. L'adresse MAC de l'appareil est envoyée au serveur RADIUS en guise d'identifiant et de mot de passe. Ce n'est pas aussi sécurisé que l'EAP, mais cela vous permet d'intégrer les appareils IoT tout en les maintenant dans un VLAN restreint. Le 802.1X fonctionne-t-il avec le WPA3 ? Oui. Le WPA3-Enterprise est essentiellement du WPA3 avec authentification 802.1X. Il apporte un chiffrement plus fort — 192 bits en mode haute sécurité — et constitue la norme recommandée pour les nouveaux déploiements. [RÉSUMÉ ET PROCHAINES ÉTAPES — environ 1 minute] En résumé : le 802.1X n'est pas une option facultative. Pour toute organisation qui manipule des données sensibles, traite des paiements ou opère dans un environnement réglementé, c'est la base de la sécurité WiFi d'entreprise. L'architecture est éprouvée, les outils sont matures et la méthode de déploiement est claire. Commencez par choisir votre méthode EAP — PEAP-MSCHAPv2 si vous recherchez un déploiement rapide et une large compatibilité, EAP-TLS si vous disposez de l'infrastructure PKI et avez besoin du niveau de sécurité le plus élevé. Configurez votre serveur RADIUS et sa redondance avant de toucher au moindre point d'accès. Déployez vos profils de demandeurs (supplicants) via une stratégie de groupe ou un MDM avant la mise en service. Et séparez complètement votre WiFi invité — utilisez une plateforme dédiée pour cette couche. Si vous gérez un environnement multisite — hôtels, chaînes de magasins, stades —, la complexité augmente avec le nombre de sites, mais l'architecture reste la même. La clé réside dans un serveur RADIUS centralisé avec une redondance locale par site, et un profil de demandeur cohérent déployé par MDM sur l'ensemble de votre parc d'appareils. Merci pour votre écoute. Le guide écrit complet, les diagrammes d'architecture et les listes de contrôle de configuration sont disponibles sur purple.ai. Si vous planifiez un déploiement 802.1X et souhaitez discuter des spécificités de votre environnement, contactez directement l'équipe Purple.

header_image.png

Synthèse

Pour les réseaux d'entreprise, les clés partagées (PSK) ne suffisent plus à sécuriser l'infrastructure d'entreprise. Alors que les organisations sont confrontées à des exigences de conformité de plus en plus strictes (PCI DSS, GDPR) et à une surface d'attaque en constante expansion, la transition vers l'authentification 802.1X est un impératif de sécurité critique.

Ce guide propose un parcours de déploiement pratique et indépendant des fournisseurs pour configurer le 802.1X sur les points d'accès d'entreprise. Nous couvrons l'architecture de base — Supplicant, Authenticateur et Serveur d'authentification — ainsi que la gestion des certificats, la configuration RADIUS et les pièges de déploiement courants. Pour les responsables informatiques et les architectes réseau opérant dans les secteurs du commerce de détail, de l'hôtellerie ou du secteur public, cette référence fournit les étapes concrètes nécessaires pour mettre en œuvre un contrôle d'accès réseau robuste et basé sur l'identité, tout en maintenant le trafic d'entreprise et le trafic invité strictement séparés.

Écoutez notre podcast d'accompagnement ci-dessous pour un aperçu de 10 minutes de l'architecture et des stratégies de mise en œuvre.

Analyse technique approfondie : L'architecture 802.1X

La norme IEEE 802.1X définit le contrôle d'accès réseau basé sur les ports. Dans un contexte sans fil, elle empêche un appareil client d'envoyer ou de recevoir du trafic de données tant qu'il ne s'est pas authentifié avec succès auprès d'un annuaire central.

architecture_overview.png

Les trois composants clés

  1. Le Supplicant (Appareil client) : Le logiciel sur l'ordinateur portable, le smartphone ou l'appareil IoT qui demande l'accès. Il doit prendre en charge la méthode EAP (Extensible Authentication Protocol) choisie.
  2. L'Authenticateur (Point d'accès / WLC) : L'équipement réseau qui joue le rôle de gardien. Il ouvre un « port contrôlé » qui n'autorise que le trafic EAP jusqu'à ce que l'authentification réussisse.
  3. Le Serveur d'authentification (RADIUS) : Le serveur central (par exemple, Microsoft NPS, FreeRADIUS, Cisco ISE) qui valide les identifiants par rapport à un répertoire d'identités (comme Active Directory) et renvoie un message Access-Accept ou Access-Reject.

Méthodes EAP : Choisir la bonne posture de sécurité

Le choix de la méthode EAP détermine votre niveau de sécurité et la complexité de votre déploiement.

eap_comparison_chart.png

  • EAP-TLS (Transport Layer Security) : La référence absolue. Nécessite des certificats serveur et client. Aucun mot de passe n'est transmis. Indispensable pour les environnements hautement sécurisés, mais requiert une infrastructure à clés publiques (PKI) complète.
  • PEAP-MSCHAPv2 (Protected EAP) : Le déploiement d'entreprise le plus courant. Utilise un certificat côté serveur pour créer un tunnel TLS sécurisé, à l'intérieur duquel le client envoie un nom d'utilisateur et un mot de passe. Plus facile à déployer, mais vulnérable à la collecte d'identifiants si les appareils clients ne sont pas configurés pour valider strictement le certificat du serveur.
  • EAP-SIM/AKA : Utilise les identifiants de la carte SIM pour l'authentification. De plus en plus pertinent pour un accès fluide dans les hubs de Transport et les grands espaces publics.

Guide de mise en œuvre : Configuration étape par étape

Le déploiement de la norme 802.1X nécessite une configuration coordonnée sur votre serveur RADIUS, vos points d'accès et vos appareils clients.

Étape 1 : Préparation du serveur RADIUS

Que vous utilisiez Microsoft Network Policy Server (NPS) ou une alternative, les principes fondamentaux restent identiques.

  1. Définir les clients RADIUS : Enregistrez chaque point d'accès (ou contrôleur LAN sans fil) dans votre serveur RADIUS. Attribuez un secret partagé fort, généré de manière aléatoire (minimum 22 caractères), pour sécuriser les communications entre le point d'accès et le serveur RADIUS.
  2. Installer le certificat du serveur : Pour PEAP ou EAP-TLS, installez un certificat X.509 sur le serveur RADIUS. L'utilisation d'un certificat provenant d'une autorité de certification (CA) publique de confiance simplifie le déploiement pour les environnements BYOD, car le certificat racine est déjà approuvé par les systèmes d'exploitation clients.

Étape 2 : Configuration des politiques

Configurez vos politiques réseau pour définir les droits d'accès en fonction de l'identité.

  1. Politiques de demande de connexion : Définissez la manière dont le serveur RADIUS gère les demandes entrantes. Généralement, cela consiste à faire correspondre le type de port NAS (Sans fil - IEEE 802.11) et à authentifier les demandes localement.
  2. Politiques réseau : Associez les groupes Active Directory aux droits d'accès réseau. Par exemple, associez le groupe « Ordinateurs du domaine » au VLAN de l'entreprise. Utilisez les attributs RADIUS (Tunnel-Type=VLAN, Tunnel-Medium-Type=802, Tunnel-Private-Group-ID=[VLAN_ID]) pour attribuer dynamiquement des VLAN lors d'une authentification réussie.

Étape 3 : Configuration des points d'accès

Configurez l'SSID sur votre infrastructure sans fil (par exemple, Meraki, Aruba, Cisco).

  1. Créez un nouvel SSID et sélectionnez WPA2-Enterprise ou WPA3-Enterprise.
  2. Saisissez l'adresse IP de vos serveurs RADIUS principal et secondaire.
  3. Saisissez le secret partagé défini à l'étape 1.
  4. Activez l'attribution dynamique de VLAN si votre serveur RADIUS transmet des attributs VLAN.

Étape 4 : Provisionnement du supplicant client

Il s'agit de l'étape la plus critique et la plus souvent négligée. Ne comptez pas sur les utilisateurs pour configurer manuellement leurs appareils.

  • Appareils d'entreprise : Utilisez les objets de stratégie de groupe (GPO) ou votre plateforme de gestion des appareils mobiles (MDM) pour déployer le profil WiFi. Le profil doit spécifier l'autorité de certification racine de confiance et le nom de serveur exact de votre serveur RADIUS afin de prévenir les attaques de type « Evil Twin ».
  • BYOD : Implémentez un portail d'intégration ou une solution MDM pour déployer des profils sécurisés sur les appareils personnels des employés.

Bonnes pratiques et normes de l'industrie

Pour garantir un déploiement robuste, respectez les meilleures pratiques architecturales suivantes :

  1. Validation stricte des certificats : Ne permettez jamais aux clients d'accepter aveuglément n'importe quel certificat de serveur. C'est le principal vecteur de collecte d'identifiants PEAP.
  2. Isoler le trafic invité : Votre infrastructure 802.1X est destinée à l'accès de l'entreprise. Le trafic invité doit rester complètement séparé. Implémentez une plateforme de Guest WiFi dédiée avec son propre Captive Portal et sa propre couche d'analyse. Comme indiqué dans notre guide sur la Protection de votre réseau avec un DNS fort et la sécurité , la séparation logique est fondamentale pour la défense du réseau.
  3. Mettre en œuvre la redondance : Le service RADIUS est un élément critique. Déployez des serveurs RADIUS primaires et secondaires. Dans les environnements distribués tels que les grandes chaînes de Retail , envisagez des proxys RADIUS locaux pour assurer la survie du système en cas de coupure de la liaison WAN.

Dépannage et atténuation des risques

Lorsque les déploiements échouent, cela est généralement dû à quelques erreurs de configuration courantes :

  • Erreurs de délai d'attente (Timeout) RADIUS : Souvent causées par un secret partagé incorrect entre le point d'accès et le serveur RADIUS, ou par des règles de pare-feu bloquant les ports UDP 1812 (Authentification) et 1813 (Comptabilité).
  • Rejet du client : Vérifiez les journaux d'événements RADIUS (par exemple, Observateur d'événements Windows -> Affichages personnalisés -> Rôles de serveur -> Services de stratégie et d'accès réseau). Recherchez l'ID d'événement 6273. Les causes courantes incluent des certificats clients expirés ou le fait que le client ne fasse pas confiance à la chaîne de certificats du serveur.
  • Échecs d'attribution de VLAN : Si l'authentification réussit mais que le client n'obtient pas d'adresse IP, vérifiez que le port du commutateur connecté au point d'accès est configuré en mode trunk autorisant le VLAN attribué dynamiquement.

ROI et impact commercial

La mise en œuvre de la norme 802.1X génère un retour sur investissement opérationnel et de sécurité significatif :

  • Atténuation des risques : Élimine le risque qu'une seule clé PSK compromise ne compromette l'ensemble du réseau de l'entreprise, soutenant ainsi directement les efforts de conformité PCI DSS et GDPR.
  • Efficacité opérationnelle : Centralise le contrôle d'accès. Lorsqu'un employé s'en va, la désactivation de son compte Active Directory révoque immédiatement son accès WiFi. Plus besoin de renouveler les clés PSK dans toute l'entreprise.
  • Visibilité du réseau : Offre une visibilité granulaire sur qui est exactement sur le réseau et quel appareil est utilisé, permettant une meilleure planification des capacités et une recherche plus efficace des menaces. Pour les environnements complexes et à haute densité comme les stades ou les établissements de Hospitality , gérer la sécurité de l'entreprise parallèlement à l'accès des invités est un défi. En sécurisant les actifs de l'entreprise avec 802.1X et en exploitant une plateforme robuste de WiFi Analytics pour le trafic des visiteurs, les responsables informatiques peuvent offrir une connectivité sécurisée et évolutive qui sert à la fois l'entreprise et ses clients. Pour en savoir plus sur la gestion des environnements à haute densité, consultez notre Zoo and Theme Park WiFi: High-Footfall Venue Connectivity Guide .

Définitions clés

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports qui fournit un mécanisme d'authentification aux appareils souhaitant se connecter à un LAN ou un WLAN.

Le protocole fondamental pour la sécurité du WiFi d'entreprise, remplaçant les mots de passe partagés vulnérables.

Supplicant

L'appareil client ou l'application logicielle qui demande l'accès au réseau.

Les équipes informatiques doivent gérer la configuration du supplicant via MDM pour garantir des connexions sécurisées.

Authenticator

L'appareil réseau (point d'accès ou commutateur) qui facilite le processus d'authentification en agissant comme un proxy entre le Supplicant et le serveur d'authentification.

Configuré avec l'IP du serveur RADIUS et un secret partagé pour acheminer en toute sécurité le trafic EAP.

RADIUS

Remote Authentication Dial-In User Service ; un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilité (AAA).

Le serveur backend (comme Microsoft NPS) qui valide réellement les identifiants de l'utilisateur par rapport à un annuaire.

EAP (Extensible Authentication Protocol)

Un cadre d'authentification fréquemment utilisé dans les réseaux sans fil et les connexions point à point, prenant en charge plusieurs méthodes d'authentification.

La « langue » parlée entre le Supplicant et le serveur RADIUS.

EAP-TLS

Une méthode EAP qui utilise la sécurité de la couche de transport (TLS), nécessitant des certificats côté serveur et côté client pour une authentification mutuelle.

La méthode la plus sécurisée disponible, souvent obligatoire pour les environnements hautement sécurisés ou classifiés.

PEAP

Protected Extensible Authentication Protocol ; encapsule EAP dans un tunnel TLS chiffré et authentifié.

La méthode d'entreprise la plus largement déployée, équilibrant la sécurité et la facilité de déploiement en ne nécessitant qu'un certificat côté serveur.

Dynamic VLAN Assignment

Le processus par lequel un serveur RADIUS ordonne au point d'accès de placer un utilisateur authentifié sur un VLAN spécifique en fonction de son appartenance à un groupe d'annuaire.

Crucial pour segmenter le trafic réseau (par exemple, séparer les RH, l'ingénierie et les appareils IoT) tout en ne diffusant qu'un seul SSID d'entreprise.

Exemples concrets

Un hôtel de luxe de 300 chambres doit sécuriser son réseau opérationnel interne (tablettes du personnel, téléphones VoIP, ordinateurs portables de la direction) tout en le séparant complètement du réseau invité. Ils utilisent actuellement une clé PSK unique pour le personnel.

  1. Déployer Microsoft NPS lié à l'Active Directory existant de l'hôtel.
  2. Configurer PEAP-MSCHAPv2, en utilisant un certificat public (par exemple, DigiCert) sur le serveur NPS pour simplifier l'intégration des tablettes.
  3. Créer un SSID 802.1X (« Hotel_Ops ») sur les points d'accès.
  4. Utiliser la plateforme MDM de l'hôtel pour pousser le profil WiFi « Hotel_Ops » sur toutes les tablettes et ordinateurs portables du personnel, en configurant explicitement le profil pour qu'il fasse confiance à l'autorité de certification racine DigiCert et valide le nom du serveur NPS.
  5. Maintenir le SSID invité ouvert existant, en le redirigeant via le Captive Portal de Purple pour l'acceptation des conditions et les analyses, en veillant à ce que les VLAN invités ne puissent pas acheminer le trafic vers les VLAN opérationnels.
Commentaire de l'examinateur : Cette approche équilibre la sécurité et la complexité du déploiement. En utilisant un certificat public sur le serveur RADIUS, l'hôtel évite les coûts liés au déploiement d'une PKI complète tout en éliminant le risque lié à la clé PSK partagée. La séparation stricte du trafic invité et d'entreprise via des VLAN et des mécanismes d'authentification distincts est conforme aux exigences PCI DSS pour les systèmes de point de vente de l'hôtel.

Un campus universitaire migre vers le 802.1X et doit prendre en charge un environnement BYOD massif pour 15 000 étudiants utilisant différents systèmes d'exploitation.

  1. Déployer un cluster RADIUS robuste (par exemple, FreeRADIUS ou Cisco ISE) avec répartition de charge.
  2. Implémenter PEAP-MSCHAPv2 pour une large compatibilité avec les appareils.
  3. Déployer un portail d'intégration (par exemple, SecureW2) qui configure automatiquement le demandeur de l'appareil de l'étudiant pour utiliser les paramètres EAP corrects et faire confiance au certificat du serveur RADIUS de l'université.
  4. Utiliser l'attribution dynamique de VLAN via les attributs RADIUS pour placer les étudiants dans les sous-réseaux appropriés en fonction de leur emplacement sur le campus afin de gérer les domaines de diffusion.
Commentaire de l'examinateur : Dans l'enseignement supérieur, le BYOD est le principal défi. S'en remettre à une configuration manuelle par les étudiants garantit un volume élevé de tickets d'assistance et des configurations non sécurisées (utilisateurs acceptant des certificats invalides). Le portail d'intégration est le facteur clé de succès ici, garantissant que le demandeur est verrouillé pour empêcher la collecte d'identifiants.

Questions d'entraînement

Q1. Votre organisation déploie 802.1X à l'aide de PEAP-MSCHAPv2. Lors des tests, les utilisateurs signalent qu'ils sont invités à « Accepter un certificat » lors de leur première connexion. Comment devez-vous résoudre ce problème ?

Conseil : Considérez les implications de sécurité liées au fait de laisser les utilisateurs prendre des décisions de confiance concernant l'infrastructure réseau.

Voir la réponse type

Vous devez configurer les profils de suppliant client (via MDM ou stratégie de groupe) pour faire explicitement confiance à l'autorité de certification racine (Root CA) qui a émis le certificat du serveur RADIUS, et pour valider le nom de serveur spécifique. Demander aux utilisateurs d'accepter manuellement les certificats les habitue à ignorer les avertissements de sécurité et rend le réseau vulnérable aux attaques de type Evil Twin (collecte d'identifiants).

Q2. Vous devez sécuriser un parc de lecteurs de codes-barres d'entrepôt. Ils prennent en charge le WPA2-Enterprise mais ne disposent pas de mécanisme pour installer des certificats clients ou rejoindre Active Directory. Quelle est l'approche de déploiement la plus sécurisée ?

Conseil : Évaluez les méthodes EAP qui ne nécessitent pas de certificats côté client mais fournissent tout de même une authentification chiffrée.

Voir la réponse type

Déployez PEAP-MSCHAPv2. Créez un compte de service dédié dans votre annuaire pour les lecteurs. Configurez le serveur RADIUS avec un certificat de serveur pour établir le tunnel TLS, et configurez les lecteurs pour qu'ils s'authentifient à l'aide des identifiants du compte de service à l'intérieur du tunnel. Assurez-vous que la politique RADIUS restreint ce compte de service à un VLAN d'entrepôt spécifique et isolé.

Q3. Après avoir configuré les AP et le serveur RADIUS, les appareils clients s'authentifient avec succès (vérifié dans les journaux RADIUS avec un Access-Accept), mais ils ne parviennent pas à recevoir d'adresse IP et ne peuvent pas accéder au réseau. Quel est le problème d'infrastructure le plus probable ?

Conseil : L'authentification a réussi, ce qui signifie que la phase 802.1X est terminée. Le problème réside dans la phase ultérieure de provisionnement du réseau.

Voir la réponse type

Le problème le plus probable est une mauvaise configuration du VLAN sur le réseau filaire. Si le serveur RADIUS utilise l'attribution dynamique de VLAN pour placer le client sur un VLAN spécifique (par exemple, le VLAN 20), le port du commutateur connectant l'Access Point doit être configuré comme un port trunk 802.1Q qui autorise le VLAN 20. Si le VLAN n'est pas acheminé en trunk vers l'AP, les requêtes DHCP du client seront rejetées.

Continuer la lecture de cette série

Per-Device PSK par constructeur : iPSK, DPSK, MPSK et PPSK comparés (et support de WPA3)

Une comparaison complète des implémentations de per-device PSK chez Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet et Ubiquiti UniFi. Découvrez comment le WPA3-SAE impacte les stratégies de clés par appareil et quand déployer des modes de transition par rapport à une migration vers le 802.1X.

Lire le guide →

Comparatif des méthodes d'authentification par Captive Portal

Ce guide de référence technique et d'autorité évalue les compromis architecturaux, opérationnels et de conformité des cinq principales méthodes d'authentification par captive portal. Il fournit aux architectes réseau, directeurs informatiques et responsables marketing les données quantitatives et les cadres de décision nécessaires pour équilibrer la friction d'intégration des invités avec les exigences de collecte de données au sein des sites d'entreprise.

Lire le guide →

Qu'est-ce que l'authentification par adresse MAC ? Quand l'utiliser et quand l'éviter

Ce guide de référence technique faisant autorité couvre l'authentification par adresse MAC dans les environnements WiFi d'entreprise — comment fonctionne l'authentification MAC basée sur RADIUS au niveau de la couche 2, ses vulnérabilités de sécurité inhérentes (y compris le spoofing MAC et l'impact de la randomisation MAC au niveau du système d'exploitation), et les contextes opérationnels précis où elle reste un outil valable pour gérer l'IoT et les appareils sans écran (headless). Il fournit des conseils de déploiement exploitables pour les responsables informatiques et les architectes réseau dans les secteurs de l'hôtellerie, du commerce de détail, de la santé et des espaces publics, avec des exemples concrets, des cadres de décision et le contexte d'intégration pour le WiFi invité et la plateforme d'analyse de Purple.

Lire le guide →