Comment configurer un serveur RADIUS pour l'authentification WiFi

Ce guide de référence fournit aux responsables informatiques et aux architectes réseau un plan complet pour déployer un serveur RADIUS pour l'authentification WiFi d'entreprise. Il couvre les compromis d'architecture entre les déploiements sur site et dans le cloud, la sélection de la méthode EAP, l'intégration d'Active Directory et l'attribution dynamique de VLAN. Les exploitants de sites et les équipes informatiques y trouveront des étapes de mise en œuvre concrètes, des études de cas réelles et des stratégies d'atténuation des risques pour passer d'un environnement PSK non sécurisé à une infrastructure 802.1X robuste dès ce trimestre.

📖 8 min de lecture📝 1,860 mots🔧 2 exemples concrets❓ 3 questions d'entraînement📚 9 définitions clés

Écouter ce guide

Voir la transcription du podcast

Bienvenue dans ce briefing technique de Purple. Aujourd'hui, nous abordons une décision d'infrastructure essentielle pour tout responsable informatique d'entreprise : comment configurer un serveur RADIUS pour l'authentification WiFi. Si vous gérez un déploiement à grande échelle — qu'il s'agisse d'une chaîne d'hôtels, d'un réseau de vente au détail ou d'un vaste campus universitaire — s'appuyer sur une simple clé pré-partagée représente un risque de sécurité majeur. Nous avons besoin du protocole 802.1X, et cela implique d'utiliser RADIUS.

Commençons par le contexte. RADIUS, ou Remote Authentication Dial-In User Service, fait office de gardien pour votre réseau. Lorsqu'un appareil tente de se connecter à un point d'accès WiFi, ce dernier agit comme un authentificateur et transmet les identifiants au serveur RADIUS. Le serveur vérifie ces identifiants par rapport à un annuaire — tel qu'Active Directory ou une base de données LDAP — puis renvoie un message d'acceptation ou de rejet. C'est le fondement de la sécurité WiFi d'entreprise, et c'est le mécanisme qui vous permet d'appliquer des politiques d'accès granulaires à grande échelle.

Passons maintenant à l'analyse technique approfondie. La première décision architecturale majeure à laquelle vous serez confronté est le choix entre un serveur RADIUS sur site (on-premise) et une solution hébergée dans le cloud. Historiquement, les solutions sur site comme le Network Policy Server (NPS) de Microsoft ou la solution open-source FreeRADIUS étaient la norme. Elles offrent un contrôle total sur l'infrastructure et ne dépendent pas d'une connexion internet externe pour l'authentification. Cependant, elles nécessitent du matériel dédié, une maintenance continue et une configuration manuelle de la redondance. Si vous disposez d'un seul centre de données et d'une équipe informatique bien dotée, c'est une approche tout à fait valable.

D'un autre côté, les solutions RADIUS dans le cloud sont devenues de plus en plus populaires, en particulier pour les environnements distribués comme les chaînes de magasins ou les établissements hôteliers. Le RADIUS dans le cloud élimine complètement la gestion du matériel, offre une haute disponibilité intégrée et s'intègre parfaitement aux fournisseurs d'identité cloud comme Azure Active Directory ou Okta. Le compromis est que l'authentification nécessite une connexion internet fiable, et qu'il y a un coût d'abonnement récurrent. Pour un exploitant de sites gérant cinquante ou cent emplacements, les économies opérationnelles réalisées en évitant de déployer et de maintenir des serveurs sur site pour chaque site l'emporteront presque certainement sur ce coût.

Lors du déploiement de RADIUS, le protocole d'authentification extensible — EAP — est l'élément clé. Il définit la manière dont le client et le serveur négocient et effectuent l'authentification. L'EAP-TLS est la référence absolue en matière de sécurité car il utilise des certificats numériques à la fois sur le client et sur le serveur, éliminant ainsi totalement le besoin de mots de passe. Cela signifie que même si un attaquant intercepte l'échange d'authentification, il n'y a aucun identifiant à voler. Cependant, le déploiement de certificats clients peut s'avérer lourd sur le plan administratif. Vous avez besoin d'une infrastructure à clés publiques (PKI) et d'une solution MDM pour déployer les certificats sur chaque appareil.

PEAP-MSCHAPv2 est l'alternative la plus courante. Elle utilise un certificat côté serveur pour établir un tunnel TLS chiffré, au sein duquel l'utilisateur s'authentifie avec un nom d'utilisateur et un mot de passe. Cette solution est nettement plus facile à déployer que l'EAP-TLS, car vous n'avez à gérer qu'un seul certificat : celui du serveur. Cependant, et c'est un point critique, si les clients ne sont pas rigoureusement configurés pour valider le certificat du serveur, ils sont vulnérables aux points d'accès pirates. Un attaquant peut installer un faux point d'accès, présenter un certificat frauduleux et capturer les identifiants. Il ne s'agit pas d'une attaque théorique. C'est une menace réelle et bien documentée.

Parlons maintenant des recommandations de mise en œuvre et des pièges à éviter. La première recommandation est d'imposer une validation stricte des certificats sur chaque appareil client. Utilisez des objets de stratégie de groupe (GPO) pour les appareils Windows et des profils MDM (qu'il s'agisse d'Intune, Jamf ou d'une autre solution) pour macOS et les appareils mobiles. Le profil doit spécifier exactement à quelle autorité de certification faire confiance et quel est le nom de serveur attendu. Ne laissez pas l'utilisateur final configurer cela manuellement.

La deuxième recommandation est de mettre en œuvre l'attribution dynamique de VLAN. Au lieu de placer tous les utilisateurs authentifiés sur le même réseau plat, configurez le serveur RADIUS pour qu'il indique au point d'accès de placer l'utilisateur sur un VLAN spécifique en fonction de son appartenance à un groupe dans l'annuaire. C'est un élément essentiel pour segmenter les appareils de l'entreprise des appareils BYOD ou invités. Un membre de l'équipe financière doit se trouver sur un segment de réseau différent de celui d'un prestataire de passage pour la journée.

La troisième recommandation concerne l'accès des invités. Pour les établissements qui doivent fournir du WiFi aux visiteurs (hôtels, magasins de détail, centres de conférence), l'intégration de votre infrastructure RADIUS avec une solution de Captive Portal comme la plateforme Guest WiFi de Purple constitue une combinaison puissante. Le personnel et les appareils de l'entreprise s'authentifient de manière transparente via 802.1X, tandis que les invités sont redirigés vers un portail personnalisé pour s'authentifier. La plateforme de Purple capture ensuite des données de première main et fournit des analyses sur le comportement des visiteurs, transformant ainsi votre réseau d'un centre de coûts en un actif d'intelligence d'affaires.

Passons maintenant à une session rapide de questions-réponses. Première question : Ai-je besoin d'un serveur dédié pour RADIUS ? Pour les déploiements sur site, oui, il est fortement recommandé de l'exécuter sur une machine virtuelle dédiée plutôt que de partager les ressources avec un contrôleur de domaine. L'authentification est une opération sensible à la latence, et la concurrence pour les ressources peut provoquer des pannes intermittentes très difficiles à diagnostiquer. Deuxième question : RADIUS peut-il gérer l'authentification pour les appareils sans interface utilisateur comme les imprimantes ou les capteurs IoT ? Oui, grâce au MAC Authentication Bypass, ou MAB. Cela permet aux appareils dépourvus de capacités 802.1X d'être authentifiés en fonction de leur adresse MAC. Cependant, les adresses MAC étant faciles à usurper, les appareils authentifiés par MAB doivent toujours être placés sur un VLAN hautement restreint. Troisième question : Comment gérer la redondance des serveurs RADIUS ? Déployez toujours au moins deux serveurs RADIUS — un principal et un secondaire. Configurez tous les points d'accès pour qu'ils basculent sur le secondaire si le principal devient inaccessible. Pour le RADIUS cloud, cette redondance est généralement intégrée et gérée par le fournisseur.

Pour résumer les points clés de notre point d'aujourd'hui. Les clés pré-partagées ne sont pas acceptables pour le WiFi d'entreprise. Implémentez le 802.1X. Choisissez votre modèle de déploiement — sur site ou cloud — en fonction de vos ressources informatiques, du nombre de sites que vous gérez et de votre infrastructure d'identité existante. Si vous êtes distribué et axé sur le cloud, le RADIUS cloud est presque certainement la bonne réponse. Imposez une validation stricte des certificats sur les clients. C'est non négociable. Utilisez l'attribution dynamique de VLAN pour segmenter votre réseau. Et enfin, réfléchissez à la manière dont votre infrastructure d'authentification peut s'intégrer à des plateformes plus larges pour apporter de la valeur commerciale au-delà du simple contrôle d'accès.

Pour aller plus loin, nous vous recommandons d'explorer les guides de Purple sur la configuration de l'authentification WiFi 802.1X et la sécurisation de votre réseau avec des politiques DNS fortes. Merci pour votre écoute.

Points clés à retenir

✓Les clés pré-partagées (PSK) ne sont pas acceptables pour le WiFi d'entreprise : un seul identifiant compromis expose l'ensemble du réseau. La norme 802.1X avec RADIUS est le standard de l'industrie.
✓L'architecture 802.1X comporte trois rôles : le Supplicant (client), l'Authentificateur (point d'accès) et le Serveur d'authentification (RADIUS). Comprendre quel composant est en échec est la base d'un dépannage efficace.
✓Choisissez le Cloud RADIUS pour les environnements distribués avec un personnel informatique limité en succursale ; choisissez le RADIUS sur site (On-Premise) lorsque vous avez besoin d'un contrôle maximal, disposez de ressources informatiques dédiées et faites face à des exigences strictes en matière de souveraineté des données.
✓PEAP-MSCHAPv2 est la méthode de déploiement la plus courante, mais elle n'est sécurisée que si les clients sont explicitement configurés pour valider le certificat du serveur RADIUS — imposez cela via GPO ou MDM sans exception.
✓L'attribution dynamique de VLAN est essentielle pour la segmentation du réseau : elle permet à un seul SSID de desservir le personnel, les prestataires, les invités et les appareils IoT sur des segments de réseau distincts, de manière automatique en fonction de l'appartenance aux groupes d'annuaire.
✓Le MAC Authentication Bypass (MAB) permet d'identifier les appareils IoT sans interface, mais ne constitue pas un contrôle de sécurité — associez-le toujours à une attribution de VLAN restrictive et à des règles de pare-feu.
✓Pour les exploitants de sites, combiner le 802.1X pour le personnel avec une solution de Captive Portal comme Purple pour les invités crée un modèle d'accès à plusieurs niveaux qui offre à la fois sécurité et intelligence d'affaires à partir de la même infrastructure sans fil.

Résumé exécutif

Pour les environnements d'entreprise — qu'il s'agisse d'un vaste campus universitaire, d'un stade à haute densité ou d'une chaîne de vente au détail distribuée — s'appuyer sur une clé pré-partagée (PSK) pour l'accès WiFi constitue une faille de sécurité majeure. Un seul identifiant compromis expose l'ensemble du réseau, et la révocation de l'accès nécessite de changer le mot de passe de chaque appareil du parc. L'implémentation de l'authentification 802.1X via un serveur RADIUS (Remote Authentication Dial-In User Service) élimine complètement ce problème : chaque utilisateur s'authentifie individuellement, l'accès peut être révoqué instantanément et la segmentation du réseau est appliquée de manière dynamique.

Ce guide fournit une feuille de route définitive aux responsables informatiques et aux architectes réseau pour déployer l'authentification RADIUS. Nous couvrons les compromis architecturaux entre les déploiements sur site et hébergés dans le cloud, la configuration des méthodes EAP (Extensible Authentication Protocol) et l'intégration avec des services d'annuaire comme Active Directory. Nous démontrons également comment une couche d'authentification robuste s'intègre aux solutions de Guest WiFi pour offrir un accès transparent aux visiteurs, tout en capturant les WiFi Analytics qui transforment votre réseau en un actif de business intelligence.

Analyse technique approfondie

L'architecture 802.1X

La norme IEEE 802.1X définit le contrôle d'accès réseau basé sur les ports (PNAC). Dans un contexte sans fil, elle implique trois rôles principaux travaillant de concert :

Rôle	Composant	Responsabilité
Supplicant	Appareil client (ordinateur portable, smartphone)	Présente les identifiants pour demander l'accès au réseau
Authentificateur	Point d'accès ou contrôleur WiFi	Applique le contrôle d'accès ; relaie les messages EAP
Serveur d'authentification	Serveur RADIUS	Valide les identifiants ; renvoie les attributs d'acceptation/rejet et de politique

Lorsqu'un supplicant s'associe à un point d'accès, le point d'accès bloque tout le trafic de données à l'exception des messages EAP (Extensible Authentication Protocol). Le point d'accès encapsule ces messages EAP dans des paquets RADIUS et les transmet au serveur RADIUS. Le serveur vérifie les identifiants par rapport à une base de données principale — généralement LDAP ou Active Directory — et renvoie un message Access-Accept ou Access-Reject. S'il est accepté, le point d'accès débloque le port et le trafic du client circule librement.

Choisir une méthode EAP

La sécurité de votre déploiement RADIUS dépend fortement de la méthode EAP sélectionnée. Les deux plus répandues dans les déploiements d'entreprise sont :

EAP-TLS (Transport Layer Security) est la référence absolue. Il nécessite des certificats numériques à la fois sur le serveur RADIUS et sur chaque appareil client, éliminant ainsi totalement les mots de passe. Même si un attaquant intercepte l'intégralité de l'échange d'authentification, il n'y a aucun identifiant à extraire. Le compromis réside dans la charge administrative : le déploiement et la gestion des certificats clients nécessitent une infrastructure à clés publiques (PKI) fonctionnelle et une solution MDM (par exemple, Microsoft Intune, Jamf) pour distribuer les certificats aux terminaux.

PEAP-MSCHAPv2 (Protected EAP) est la méthode la plus largement déployée en pratique. Elle utilise un certificat côté serveur pour établir un tunnel TLS chiffré, à l'intérieur duquel le client s'authentifie avec un identifiant et un mot de passe. Cette méthode est nettement plus facile à déployer que l'EAP-TLS car un seul certificat — celui du serveur — doit être géré. Cependant, elle comporte une mise en garde essentielle : si les appareils clients ne sont pas explicitement configurés pour valider le certificat du serveur RADIUS, ils sont vulnérables aux attaques de type Man-in-the-Middle (MitM) via des points d'accès malveillants.

> Note de sécurité critique : Le fait de ne pas imposer une validation stricte des certificats sur les appareils clients annule de fait les avantages de sécurité de PEAP-MSCHAPv2. Un attaquant peut déployer un point d'accès malveillant, présenter un certificat frauduleux et capturer les identifiants des utilisateurs en clair. Il ne s'agit pas d'un risque théorique — c'est un vecteur d'attaque bien documenté qui a été exploité dans des environnements réels.

Guide de mise en œuvre

Étape 1 : Décision architecturale — RADIUS sur site ou Cloud RADIUS

La première décision concerne le lieu d'hébergement de l'infrastructure RADIUS. Il s'agit principalement d'une question opérationnelle et de coût, et non de sécurité — les deux modèles peuvent être déployés de manière sécurisée.

RADIUS sur site (par exemple, Microsoft NPS, FreeRADIUS, Cisco ISE) convient aux organisations disposant d'un personnel informatique dédié, d'une infrastructure d'annuaire sur site existante et d'exigences strictes en matière de souveraineté des données ou de conformité. Il ne dépend pas de la connectivité Internet pour l'authentification, ce qui constitue un avantage significatif pour les environnements où la disponibilité d'Internet ne peut être garantie.

Cloud RADIUS est de plus en plus le modèle privilégié pour les environnements distribués — les chaînes de Commerce de détail , les groupes d' Hôtellerie et les hubs de Transport où le déploiement de serveurs sur chaque site est techniquement et opérationnellement irréalisable. Cloud RADIUS s'intègre nativement avec les fournisseurs d'identité cloud (Azure AD, Google Workspace, Okta) et offre une haute disponibilité intégrée ainsi qu'une évolutivité mondiale.

Étape 2 : Installer et configurer le serveur RADIUS

Pour un déploiement sur site utilisant Microsoft NPS (le choix le plus courant dans les environnements centrés sur Windows) :

Installez le rôle Network Policy Server (Serveur de stratégie réseau) via le Gestionnaire de serveur.
Enregistrez le serveur NPS dans Active Directory pour lui permettre de lire les propriétés de connexion des utilisateurs.
Créez une entrée Client RADIUS pour chaque point d'accès ou contrôleur sans fil, en spécifiant l'adresse IP du point d'accès et un secret partagé fort et unique.
Configurez une Stratégie réseau définissant les conditions (par exemple, l'appartenance à un groupe d'utilisateurs) et les contraintes (par exemple, la méthode EAP, le délai d'expiration de la session) pour l'accès.
Configurez la Stratégie de demande de connexion pour traiter les demandes localement.

Pour FreeRADIUS sur Linux :

Installez via le gestionnaire de paquets : sudo apt-get install freeradius freeradius-ldap.
Configurez /etc/freeradius/3.0/clients.conf pour définir les clients RADIUS (points d'accès) et leurs secrets partagés.
Configurez le module LDAP dans /etc/freeradius/3.0/mods-available/ldap pour pointer vers votre Active Directory ou serveur LDAP.
Activez le module LDAP : sudo ln -s /etc/freeradius/3.0/mods-available/ldap /etc/freeradius/3.0/mods-enabled/.
Définissez les méthodes EAP dans /etc/freeradius/3.0/mods-available/eap.

Étape 3 : Configurer les points d'accès

Sur votre contrôleur sans fil ou sur vos points d'accès individuels :

Définissez l'adresse ou les adresses IP du serveur RADIUS et le port d'authentification (par défaut : UDP 1812).
Configurez le Secret partagé — utilisez un minimum de 22 caractères, en mélangeant des caractères alphanumériques et spéciaux. Utilisez un secret unique par emplacement ou groupe de points d'accès.
Configurez l'SSID pour utiliser le mode de sécurité WPA2-Enterprise ou WPA3-Enterprise avec la gestion des clés 802.1X.
Configurez un serveur RADIUS secondaire pour la redondance.

Étape 4 : Intégration de l'annuaire

Pour l'intégration d'un AD sur site, le serveur RADIUS doit être joint au domaine ou disposer d'un accès en lecture LDAP. Assurez-vous que les comptes de service utilisés pour la liaison LDAP disposent des autorisations minimales requises. Pour le RADIUS cloud, configurez la synchronisation basée sur l'API ou l'intégration SAML/OIDC avec votre IdP.

Définissez des groupes d'utilisateurs clairs dans votre annuaire, car ce sont eux qui piloteront les stratégies d'autorisation. Structure de groupe recommandée :

Groupe	VLAN	Niveau d'accès
`Corp_Staff`	VLAN 10	Réseau interne complet
`Corp_Contractors`	VLAN 20	Internet + ressources internes spécifiques
`Corp_IoT`	VLAN 30	Isolé, ports spécifiques aux appareils uniquement
`Corp_Guests`	VLAN 100	Internet uniquement via Captive Portal

Étape 5 : Configuration du client et validation du certificat

Il s'agit de l'étape la plus critique sur le plan opérationnel. Utilisez les stratégies de groupe (GPO) pour Windows et les profils MDM pour macOS/iOS/Android afin de déployer silencieusement les configurations WiFi sur les appareils gérés. Le profil doit spécifier :

L'Autorité de certification racine (Root CA) qui a émis le certificat du serveur RADIUS.
Le nom de serveur attendu (CN ou SAN du certificat du serveur).
La méthode EAP et le protocole d'authentification interne.

Pour les appareils BYOD non gérés, fournissez des instructions d'intégration en libre-service claires, idéalement via un portail de contrôle d'accès au réseau (NAC).

Étape 6 : Implémenter l'attribution dynamique de VLAN

Configurez le serveur RADIUS pour renvoyer les attributs d'attribution de VLAN dans la réponse Access-Accept :

Tunnel-Type = VLAN (13)
Tunnel-Medium-Type = IEEE-802 (6)
Tunnel-Private-Group-Id = ``

Le point d'accès lit ces attributs et place le client authentifié sur le VLAN spécifié — aucune reconfiguration manuelle n'est requise lorsque les utilisateurs changent de rôle ou d'emplacement.

Bonnes pratiques

La redondance n'est pas négociable. Déployez au minimum deux serveurs RADIUS (primaire et secondaire) et configurez tous les points d'accès pour qu'ils basculent automatiquement en cas de panne. Pour les déploiements sur site, envisagez de placer le serveur secondaire dans un emplacement physique ou une zone de disponibilité différente. Une panne RADIUS signifie que personne ne peut s'authentifier, ce qui équivaut à une panne réseau complète pour les SSIDs protégés par 802.1X.

Surveillez l'expiration des certificats de manière proactive. L'expiration d'un certificat de serveur RADIUS est l'une des causes les plus courantes de pannes d'authentification soudaines et généralisées. Mettez en place une surveillance pour alerter les administrateurs au moins 30 jours avant l'expiration. Cela s'applique à la fois au certificat du serveur et à tous les certificats d'AC intermédiaires de la chaîne.

Traitez le secret partagé comme un identifiant critique. Le secret partagé entre l'AP et le serveur RADIUS chiffre les paquets RADIUS. Utilisez des secrets uniques par emplacement ou par groupe d'AP, stockez-les dans un gestionnaire de secrets et renouvelez-les périodiquement. Consultez notre guide sur Protégez votre réseau avec un DNS fort et la sécurité pour des recommandations plus larges sur l'hygiène de la sécurité réseau.

Alignez-vous sur les cadres de conformité. Pour les environnements soumis à la norme PCI DSS (par exemple, les réseaux de paiement de détail), l'authentification 802.1X prend directement en charge les exigences en matière de contrôle d'accès réseau et de journalisation d'audit. Pour la conformité GDPR, les journaux de comptabilité RADIUS (port 1813) fournissent une piste d'audit détaillée de qui a accédé au réseau, d'où et quand — ce qui est précieux pour la réponse aux incidents. Pour les environnements de Santé , la segmentation du réseau via l'attribution dynamique de VLAN prend en charge les exigences HIPAA pour la protection des informations de santé protégées électroniques (ePHI).

Dépannage et atténuation des risques

Mode de défaillance	Symptôme	Résolution
Expiration du certificat	Pannes d'authentification de masse soudaines	Surveiller l'expiration ; renouveler et redéployer le certificat
Désynchronisation NTP	Échecs EAP-TLS intermittents	S'assurer que le serveur RADIUS et les contrôleurs de domaine se synchronisent sur la même source NTP
Perte de connectivité LDAP	L'authentification échoue lorsque l'AD est inaccessible	Déployer des contrôleurs de domaine redondants ; configurer RADIUS pour mettre en cache les authentifications récentes
Secret partagé incorrect	Les journaux de l'AP affichent `RADIUS timeout` ou `Bad authenticator`	Vérifier que le secret correspond à la fois sur l'AP et sur le serveur RADIUS
Incohérence du certificat client	Échecs EAP-TLS pour des appareils spécifiques	Vérifier que le certificat client est émis par une AC de confiance ; vérifier la période de validité du certificat
VLAN non attribué	Utilisateur authentifié mais sur le mauvais segment réseau	Vérifier que les attributs RADIUS sont correctement renvoyés ; vérifier la configuration VLAN de l'AP

Pour approfondir le processus de configuration de l'802.1X lui-même, le guide How to Configure 802.1X WiFi Authentication: A Step-by-Step Guide propose des guides de configuration détaillés et spécifiques à chaque constructeur.

ROI et impact commercial

La transition d'une clé PSK vers un système 802.1X basé sur RADIUS nécessite un investissement initial en configuration, et potentiellement des licences pour les solutions cloud ou du matériel pour les déploiements sur site. Le calcul du ROI est simple :

Atténuation des risques : Le coût moyen d'une violation de données au Royaume-Uni dépasse les 3 millions de livres sterling (rapport IBM Cost of a Data Breach). Une clé PSK compromise peut exposer l'ensemble du réseau. L'802.1X limite la zone d'impact à un seul compte utilisateur compromis, qui peut être désactivé en quelques secondes via l'annuaire.

Efficacité opérationnelle : L'attribution dynamique de VLAN élimine la reconfiguration manuelle du réseau lorsque le personnel change de rôle. L'intégration d'un nouvel employé consiste simplement à l'ajouter au bon groupe AD — l'accès au réseau suit automatiquement.

Posture de conformité : Pour les organisations soumises aux normes PCI DSS, ISO 27001 ou Cyber Essentials Plus, l'802.1X est un contrôle direct que les auditeurs s'attendent à voir. Son déploiement renforce votre posture de conformité et réduit les coûts de remédiation d'audit.

Expérience client et analyses : Pour les gestionnaires de sites, l'intégration de RADIUS pour l'authentification du personnel avec la plateforme Guest WiFi de Purple pour l'accès des visiteurs crée un modèle d'accès unifié et hiérarchisé. Le personnel s'authentifie de manière transparente via 802.1X ; les visiteurs se connectent via un Captive Portal personnalisé. La plateforme WiFi Analytics de Purple offre ensuite une visibilité en temps réel sur les temps de présence des visiteurs, les taux de visites répétées et les indicateurs d'engagement — des données qui orientent directement les dépenses marketing et les décisions opérationnelles du site.

Pour aller plus loin, consultez le guide Como Configurar a Autenticação 802.1X WiFi: Um Guia Passo a Passo pour des conseils de mise en œuvre en portugais, et What Is a Leased Line? Dedicated Business Internet pour vous assurer que la connectivité sous-jacente répond aux exigences de l'entreprise.

Définitions clés

RADIUS (Remote Authentication Dial-In User Service)

Un protocole réseau fournissant une gestion centralisée de l'authentification, de l'autorisation et de la comptabilité (AAA) pour les utilisateurs se connectant à un service réseau. Défini dans la norme RFC 2865.

Le composant serveur central qui valide les identifiants des utilisateurs par rapport à un annuaire avant d'accorder l'accès WiFi. Tout déploiement WiFi d'entreprise utilisant le 802.1X nécessite un serveur RADIUS.

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports (PNAC). Elle fournit un mécanisme d'authentification aux appareils souhaitant se connecter à un réseau LAN ou WLAN, bloquant tout le trafic non-EAP jusqu'à ce que l'authentification réussisse.

La norme cadre globale qui définit comment le Supplicant, l'Authentificateur et le Serveur d'authentification communiquent. Lorsque les équipes informatiques font référence à la "sécurité WiFi d'entreprise", elles désignent généralement le WPA2/WPA3-Enterprise avec 802.1X.

Supplicant

L'appareil client — ou plus précisément, la pile logicielle 802.1X sur cet appareil — qui lance le processus d'authentification en présentant des identifiants au réseau.

Sur Windows, le supplicant intégré est le service Configuration automatique sans fil. Sur macOS et iOS, il est natif au système d'exploitation. S'assurer que le supplicant est correctement configuré (en particulier pour la validation des certificats) est la source la plus courante de problèmes de déploiement.

Authenticator

L'appareil réseau — généralement un point d'accès WiFi ou un contrôleur sans fil — qui sert d'intermédiaire entre le Supplicant et le serveur RADIUS, en appliquant le contrôle d'accès basé sur le résultat de l'authentification.

Le point d'accès bloque tout le trafic de données sur le port jusqu'à ce qu'il reçoive un Access-Accept du serveur RADIUS. Il lit également les attributs RADIUS (par exemple, l'attribution de VLAN) à partir de la réponse Access-Accept et les applique à la session.

EAP (Extensible Authentication Protocol)

Un cadre d'authentification défini dans la norme RFC 3748 qui fournit un mécanisme de transport standardisé pour diverses méthodes d'authentification (TLS, PEAP, TTLS, etc.) entre le Supplicant et le Serveur d'authentification.

EAP est la "langue" parlée entre le client et le serveur RADIUS. Le choix de la méthode EAP (EAP-TLS vs PEAP) détermine le niveau de sécurité et la complexité de déploiement du système d'authentification.

PEAP (Protected EAP)

Une méthode EAP qui établit d'abord un tunnel TLS à l'aide du certificat du serveur, puis effectue une authentification secondaire (généralement MSCHAPv2 avec nom d'utilisateur/mot de passe) à l'intérieur de ce tunnel chiffré.

La méthode d'authentification WiFi d'entreprise la plus courante en raison de son équilibre entre sécurité et simplicité de déploiement. Elle ne nécessite qu'un certificat côté serveur, ce qui la rend beaucoup plus facile à déployer que l'EAP-TLS.

Dynamic VLAN Assignment

Une fonctionnalité RADIUS où le serveur inclut des attributs spécifiques au VLAN (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-Id) dans la réponse Access-Accept, demandant au point d'accès de placer le client authentifié sur un VLAN spécifique.

Permet à un seul SSID de desservir plusieurs populations d'utilisateurs ayant des exigences de sécurité différentes. Élimine le besoin de diffuser plusieurs SSID pour différents groupes d'utilisateurs, réduisant ainsi la surcharge RF et simplifiant l'expérience utilisateur.

Shared Secret

Une chaîne de texte préconfigurée connue uniquement de l'Authentificateur (point d'accès) et du serveur RADIUS, utilisée pour signer et chiffrer les paquets RADIUS, garantissant l'intégrité et l'authenticité de la communication.

Un élément de configuration de sécurité critique. Si le secret partagé est faible ou compromis, un attaquant pourrait falsifier les réponses Access-Accept de RADIUS, accordant ainsi un accès réseau non autorisé. Utilisez des secrets uniques par emplacement et stockez-les dans un gestionnaire de secrets.

MAC Authentication Bypass (MAB)

Un mécanisme d'authentification de secours où l'adresse MAC d'un appareil est utilisée comme identifiant, permettant l'accès au réseau pour les appareils qui ne prennent pas en charge les supplicants 802.1X.

Utilisé pour les appareils sans interface utilisateur (imprimantes, capteurs IoT, caméras IP). Les adresses MAC étant publiquement visibles et facilement usurpées, le MAB fournit une identification de l'appareil plutôt qu'une authentification forte. À associer systématiquement avec une attribution de VLAN restrictive.

Exemples concrets

Une chaîne nationale de vente au détail comptant 500 points de vente doit mettre en œuvre un WiFi sécurisé pour les tablettes des directeurs de magasin et les terminaux de point de vente. Elle utilise actuellement une clé PSK unique pour tous les magasins, qui est fréquemment partagée avec du personnel et des sous-traitants non autorisés. Elle utilise Azure AD pour la gestion des identités et ne dispose d'aucun personnel informatique dédié dans les succursales.

Déployer une solution Cloud RADIUS intégrée directement à Azure AD. Cela élimine le besoin de déployer et de gérer des serveurs RADIUS sur site dans 500 points de vente. L'équipe informatique utilise Microsoft Intune pour pousser un profil WiFi sur toutes les tablettes des directeurs de magasin et les terminaux de point de vente configurés pour PEAP-MSCHAPv2, en imposant strictement la validation du certificat du serveur Cloud RADIUS. La politique du Cloud RADIUS vérifie l'appartenance au groupe Azure AD de l'utilisateur avant d'accorder l'accès : le groupe "Store_Managers" reçoit le VLAN 10 (accès complet aux points de vente et au back-office), le groupe "Contractors" reçoit le VLAN 20 (accès Internet uniquement). Lorsque la mission d'un sous-traitant prend fin, sa suppression du groupe Azure AD révoque immédiatement son accès WiFi dans les 500 points de vente simultanément — aucun changement de clé PSK n'est requis.

Commentaire de l'examinateur : Cette approche résout la vulnérabilité principale (clé PSK partagée) tout en tenant compte des contraintes opérationnelles (pas de personnel informatique en succursale, environnement Azure AD). Le Cloud RADIUS offre l'évolutivité nécessaire et s'intègre nativement avec le fournisseur d'identité existant. L'utilisation de l'attribution dynamique de VLAN garantit que même si l'appareil d'un sous-traitant se trouve sur site après la fin de sa mission, sa suppression du groupe d'annuaire est la seule action requise pour révoquer l'accès.

Un hôtel de 400 chambres situé en centre-ville doit fournir un WiFi sécurisé à la fois pour le personnel (réception, entretien ménager, direction) et pour les clients. Le personnel a besoin d'accéder au système de gestion de l'établissement (PMS) et aux serveurs internes. Les clients ont uniquement besoin d'un accès à Internet. L'hôtel dispose d'un unique environnement Windows Server sur site.

Déployer Microsoft NPS sur une machine virtuelle Windows Server dédiée. Configurer deux SSID sur l'infrastructure sans fil : "Hotel_Staff" (WPA2-Enterprise, 802.1X) et "Hotel_Guest" (ouvert ou WPA2-Personal, redirigeant vers un Captive Portal). Pour le SSID du personnel, NPS valide les identifiants par rapport à Active Directory et renvoie des attributions dynamiques de VLAN : groupe AD "Management" → VLAN 10 (accès complet), "FrontDesk" → VLAN 20 (accès PMS), "Housekeeping" → VLAN 30 (Internet + application de planification uniquement). Pour les clients, intégrer le Captive Portal à la plateforme Guest WiFi de Purple afin de fournir une expérience de connexion personnalisée aux couleurs de la marque, de collecter des données de première main (e-mail, consentement marketing) et d'obtenir des analyses sur le temps de séjour et les visites répétées. Le modèle à deux SSID maintient le trafic du personnel et des clients complètement séparé au niveau de la couche réseau.

Commentaire de l'examinateur : Le modèle à deux SSID est la bonne approche ici, plutôt qu'un seul SSID avec un routage de politique complexe. Il offre une séparation opérationnelle claire et simplifie le dépannage. L'intégration de Purple pour le SSID invité est la décision commerciale la plus intelligente : elle transforme le réseau invité d'un centre de coûts en un canal de capture de données et de marketing, avec un retour sur investissement mesurable grâce aux taux de visites répétées et à l'engagement par e-mail marketing.

Questions d'entraînement

Q1. Votre organisation migre 2 000 ordinateurs portables Windows d'une clé PSK partagée vers le protocole 802.1X avec PEAP-MSCHAPv2. Votre équipe de sécurité signale que le PEAP est vulnérable à la collecte d'identifiants via des points d'accès malveillants. Quelle est l'étape de configuration la plus importante pour atténuer ce risque, et comment la déployez-vous à grande échelle ?

Conseil : Considérez ce qui empêche un client de faire confiance à un serveur RADIUS frauduleux présentant un certificat auto-signé.

Voir la réponse type

L'étape essentielle consiste à imposer une validation stricte du certificat du serveur sur chaque appareil client. À l'aide d'objets de stratégie de groupe (GPO), déployez un profil WiFi sur les 2 000 ordinateurs portables spécifiant : (1) le certificat de l'autorité de certification racine (Root CA) exact qui a émis le certificat du serveur RADIUS, (2) le nom de serveur attendu (CN/SAN), et (3) que le client ne doit pas inviter l'utilisateur à faire confiance à de nouveaux certificats. Cela garantit que même si un attaquant déploie un point d'accès malveillant avec un certificat frauduleux, le client rejettera la liaison TLS et refusera d'envoyer ses identifiants. Sans cette configuration, le PEAP n'offre aucune protection significative contre les attaques par point d'accès malveillant.

Q2. Un directeur informatique d'hôpital doit fournir un accès réseau à 300 appareils IoT médicaux (pompes à perfusion, équipements de surveillance) qui ne prennent pas en charge le protocole 802.1X. Ces appareils cohabitent avec les postes de travail du personnel sur la même infrastructure sans fil. Comment l'infrastructure RADIUS doit-elle gérer ces appareils, et quels contrôles réseau doivent être mis en place ?

Conseil : Pensez à la méthode d'authentification disponible pour les appareils sans interface utilisateur et à la manière de compenser sa faiblesse inhérente.

Voir la réponse type

Configurez le MAC Authentication Bypass (MAB) sur le serveur RADIUS pour ces appareils spécifiques. Enregistrez l'adresse MAC de chaque appareil dans un groupe Active Directory dédié ou dans la base de données RADIUS. Les adresses MAC étant faciles à usurper, le serveur RADIUS doit utiliser l'attribution dynamique de VLAN (Dynamic VLAN Assignment) pour placer tous les appareils authentifiés par MAB sur un VLAN dédié et hautement restreint (ex. VLAN 30 - IoT). Ce VLAN doit être protégé par un pare-feu pour autoriser la communication uniquement avec les adresses IP des serveurs médicaux spécifiques et bloquer tout autre trafic, y compris l'accès à Internet et les mouvements latéraux vers les VLAN du personnel. Les postes de travail du personnel s'authentifient via 802.1X et sont placés sur un VLAN distinct. Cette architecture répond aux exigences de segmentation réseau de la norme GDPR pour les appareils adjacents aux données de santé.

Q3. Vous êtes l'architecte réseau d'une chaîne de 50 restaurants. L'authentification fonctionne correctement dans 49 établissements à l'aide de Cloud RADIUS, mais un établissement spécifique signale que tous les appareils échouent à s'authentifier. Le portail de gestion Cloud RADIUS indique qu'aucune requête d'authentification n'arrive de cet établissement. Quelle est votre approche de diagnostic ?

Conseil : Si le serveur RADIUS ne reçoit aucune requête, le problème se situe sur le chemin de communication entre l'authentificateur et le serveur, et non dans la logique d'authentification elle-même.

Voir la réponse type

Puisque le serveur RADIUS ne reçoit aucune requête de cet établissement, le problème se situe entre les points d'accès et le serveur Cloud RADIUS. Étapes de diagnostic dans l'ordre : (1) Vérifiez l'adresse IP et le port du serveur RADIUS (UDP 1812) configurés sur les points d'accès ou le contrôleur sans fil de l'établissement — une faute de frappe ici est la cause la plus fréquente. (2) Vérifiez les règles du pare-feu local ou du routeur de cet établissement pour confirmer que le trafic UDP 1812 sortant est autorisé vers la plage IP de Cloud RADIUS. (3) Vérifiez que le secret partagé (Shared Secret) configuré sur les points d'accès correspond au secret configuré pour cet établissement dans le portail Cloud RADIUS — une non-correspondance entraîne le rejet silencieux des paquets par le serveur RADIUS. (4) Vérifiez si la connexion Internet de l'établissement fonctionne — Cloud RADIUS nécessite une connectivité Internet fiable. Effectuer une capture de paquets sur le point d'accès ou le routeur en amont confirmera si les paquets RADIUS sont envoyés et si les réponses sont reçues.

Continuer la lecture de cette série

Per-Device PSK par constructeur : iPSK, DPSK, MPSK et PPSK comparés (et support de WPA3)

Une comparaison complète des implémentations de per-device PSK chez Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet et Ubiquiti UniFi. Découvrez comment le WPA3-SAE impacte les stratégies de clés par appareil et quand déployer des modes de transition par rapport à une migration vers le 802.1X.

Comparatif des méthodes d'authentification par Captive Portal

Ce guide de référence technique et d'autorité évalue les compromis architecturaux, opérationnels et de conformité des cinq principales méthodes d'authentification par captive portal. Il fournit aux architectes réseau, directeurs informatiques et responsables marketing les données quantitatives et les cadres de décision nécessaires pour équilibrer la friction d'intégration des invités avec les exigences de collecte de données au sein des sites d'entreprise.

Qu'est-ce que l'authentification par adresse MAC ? Quand l'utiliser et quand l'éviter

Ce guide de référence technique faisant autorité couvre l'authentification par adresse MAC dans les environnements WiFi d'entreprise — comment fonctionne l'authentification MAC basée sur RADIUS au niveau de la couche 2, ses vulnérabilités de sécurité inhérentes (y compris le spoofing MAC et l'impact de la randomisation MAC au niveau du système d'exploitation), et les contextes opérationnels précis où elle reste un outil valable pour gérer l'IoT et les appareils sans écran (headless). Il fournit des conseils de déploiement exploitables pour les responsables informatiques et les architectes réseau dans les secteurs de l'hôtellerie, du commerce de détail, de la santé et des espaces publics, avec des exemples concrets, des cadres de décision et le contexte d'intégration pour le WiFi invité et la plateforme d'analyse de Purple.