Passer au contenu principal

EAP-TLS vs EAP-TTLS : Quel protocole WiFi basé sur les certificats devriez-vous choisir ?

Ce guide propose une comparaison directe et définitive entre EAP-TLS et EAP-TTLS pour l'authentification WiFi d'entreprise sous la norme 802.1X. Il explique la différence architecturale entre l'authentification mutuelle par certificat et le tunnel de certificat uniquement côté serveur, et offre aux responsables informatiques, architectes réseau et CISOs un cadre de décision clair basé sur les capacités de gestion des appareils et les exigences de conformité. Purple prend en charge les parcours d'authentification EAP-TLS et EAP-TTLS pour le WiFi du personnel, et ce guide aide les organisations à comprendre les compromis d'infrastructure avant de s'engager dans l'une ou l'autre approche.

📖 9 min de lecture📝 2,090 mots🔧 2 exemples concrets4 questions d'entraînement📚 10 définitions clés

Écouter ce guide

Voir la transcription du podcast
INTRODUCTION ET CONTEXTE (0:00 - 2:00) Bonjour et bienvenue dans ce briefing technique de Purple. Je suis votre hôte, et nous allons aujourd'hui détailler les différences cruciales entre EAP-TLS et EAP-TTLS pour l'authentification WiFi d'entreprise. Si vous êtes architecte réseau, directeur informatique ou responsable d'infrastructures pour de grands sites tels que des chaînes de magasins, des hôpitaux ou des stades, ce briefing a été conçu spécialement pour vous. Nous allons aller droit au but et aborder l'architecture de sécurité, les compromis de déploiement et la façon de choisir le protocole adapté à votre environnement. Commençons sans plus attendre. Avant de plonger au cœur des protocoles eux-mêmes, posons le décor. La majorité des déploiements WiFi d'entreprise actuels reposent encore sur un mot de passe partagé unique - une clé pré-partagée, ou PSK. Chaque appareil connecté au réseau utilise le même identifiant. Lorsqu'un employé s'en va ou qu'un appareil est perdu, vous n'avez que deux options : changer le mot de passe pour tout le monde, ou accepter le risque qu'un ancien employé ou un voleur dispose toujours d'identifiants valides. Aucune de ces solutions n'est acceptable pour une entreprise sérieuse. La solution est le 802.1X, la norme IEEE pour le contrôle d'accès réseau basé sur les ports. Le 802.1X attribue à chaque appareil son propre identifiant d'authentification individuel. Lorsqu'un appareil se connecte, le point d'accès n'accorde pas directement l'accès. Il transmet la demande d'authentification à un serveur RADIUS centralisé, qui vérifie l'identifiant et indique au point d'accès s'il doit ouvrir le port. Le résultat est un contrôle d'accès par appareil, auditable et révocable. C'est le fondement sur lequel reposent à la fois EAP-TLS et EAP-TTLS. Les deux protocoles sont des méthodes EAP (Extensible Authentication Protocol) qui fonctionnent au sein de ce framework 802.1X. La question n'est pas de savoir s'il faut utiliser le 802.1X. La question est de savoir quelle méthode EAP utiliser à l'intérieur de celui-ci. Et c'est précisément ce à quoi nous allons répondre aujourd'hui. ANALYSE TECHNIQUE APPROFONDIE DE EAP-TLS (2:00 - 5:30) Commençons par EAP-TLS, qui signifie Transport Layer Security. EAP-TLS est défini dans l'RFC 5216 et est largement considéré comme la référence absolue en matière d'authentification sans fil. Le principe fondamental est l'authentification mutuelle. L'appareil client et le serveur RADIUS doivent tous deux présenter des certificats numériques X.509 valides pour prouver leur identité avant que l'accès au réseau ne soit accordé. Aucun mot de passe n'intervient à aucun moment du processus. Absolument aucun. Cela revêt une importance capitale du point de vue de la sécurité. Les mots de passe peuvent être hameçonnés. Ils peuvent être devinés par force brute. Ils peuvent être volés lors d'une violation de données chez un service tiers où votre employé a réutilisé le même mot de passe. Les certificats ne peuvent pas être hameçonnés, ne peuvent pas être devinés et sont liés à un appareil spécifique. Si un acteur malveillant souhaite accéder à votre réseau, il lui faut l'appareil physique et sa clé privée cryptographique intégrée. Il s'agit d'un modèle de menace fondamentalement différent. Laissez-moi vous présenter en détail le handshake EAP-TLS, car sa compréhension permet de mieux cerner pourquoi ce protocole est si sécurisé. Lorsqu'un appareil tente de se connecter au réseau WiFi, le point d'accès envoie une requête EAP-Request pour obtenir l'identité de l'appareil. L'appareil répond. Le point d'accès transmet cette réponse au serveur RADIUS. Le serveur RADIUS lance le handshake TLS en envoyant un message Server Hello, accompagné de son certificat X.509. Le client valide ce certificat de serveur par rapport à son magasin d'autorités de certification racines de confiance. Si la validation échoue, le handshake s'arrête immédiatement et l'appareil refuse de se connecter. C'est ce qui protège contre les attaques de type Evil Twin, où un pirate configure un point d'accès malveillant pour usurper l'identité de votre réseau. Si le certificat du serveur est valide, le client présente alors son propre certificat X.509 au serveur RADIUS. Le serveur RADIUS valide le certificat du client : il vérifie la chaîne de signature jusqu'à l'autorité de certification racine de confiance, s'assure que le certificat n'a pas expiré et consulte la liste de révocation des certificats pour s'assurer que le certificat n'a pas été révoqué. Ce n'est que lorsque les deux parties sont satisfaites que le tunnel TLS est établi et que le message EAP-Success est envoyé, accordant ainsi l'accès au réseau. L'ensemble de l'échange utilise TLS 1.2 ou 1.3, offrant une confidentialité persistante parfaite. Cependant, ce niveau de sécurité s'accompagne d'une exigence opérationnelle : vous avez besoin d'une infrastructure à clés publiques, ou PKI. Au minimum, il vous faut une autorité de certification racine hors ligne et une autorité de certification d'émission en ligne. L'autorité de certification racine doit être isolée physiquement (air-gapped), car sa clé privée constitue l'ancre de confiance maîtresse de toute votre hiérarchie de certificats. L'autorité de certification d'émission gère la délivrance quotidienne des certificats et publie la liste de révocation des certificats. De plus, de manière essentielle, vous devez disposer d'un mécanisme pour déployer les certificats clients sur chaque appareil du réseau. Pour un parc de milliers d'appareils, cela implique d'intégrer votre PKI à une plateforme de gestion des appareils mobiles (MDM) à l'aide de SCEP (Simple Certificate Enrolment Protocol). Lorsqu'un appareil d'entreprise est enregistré dans votre MDM, il demande et reçoit automatiquement son certificat sans aucune interaction de l'utilisateur. SCÉNARIOS DE MISE EN ŒUVRE (5:30 - 8:00) Alors, quel protocole devez-vous déployer ? La décision dépend presque entièrement de vos capacités de gestion des appareils et de vos exigences de conformité. Laissez-moi vous proposer un cadre de décision pratique. Posez-vous trois questions. Premièrement : tous les appareils se connectant à ce réseau sont-ils gérés par l'entreprise via une plateforme MDM telle que Microsoft Intune ou Jamf ? Si oui, vous disposez de l'infrastructure nécessaire pour déployer des certificats clients, et EAP-TLS est le bon choix. Deuxièmement : ce réseau doit-il répondre aux exigences de PCI-DSS 4.0, HIPAA ou WPA3 Enterprise 192 bits ? Si oui, EAP-TLS est le choix requis. Troisièmement : avez-vous une proportion importante d'appareils non gérés ou BYOD ? Si oui, EAP-TTLS est le choix pragmatique pour ce segment de votre réseau. Laissez-moi vous présenter deux scénarios concrets du monde réel. Premier scénario : une chaîne nationale de vente au détail comptant quatre cents magasins. Chaque terminal de point de vente et chaque scanner portatif du personnel est enregistré dans Microsoft Entra ID. Le réseau entre dans le champ d'application de la norme PCI-DSS. Dans cet environnement, vous déployez EAP-TLS. Vous établissez une PKI privée, utilisez Intune pour déployer des certificats clients uniques sur chaque appareil via SCEP, et configurez votre serveur RADIUS pour vérifier la liste de révocation des certificats. Si un appareil est volé, vous révoquez son certificat et il est déconnecté du réseau en quelques minutes. Pas de mot de passe à réinitialiser. Pas de secret partagé à renouveler sur quatre cents sites. Deuxième scénario : un grand campus universitaire avec vingt mille étudiants utilisant des ordinateurs portables, des smartphones et des tablettes personnels. L'équipe informatique ne peut pas installer de certificats sur les appareils personnels. Dans cet environnement, EAP-TTLS est le choix pragmatique. Vous installez un certificat de confiance sur vos serveurs RADIUS, vous vous intégrez au service d'annuaire de votre université, et les étudiants s'authentifient à l'aide de leurs identifiants existants au sein du tunnel sécurisé. Il prend en charge Windows, macOS, Linux, Android et iOS sans aucun logiciel supplémentaire côté client. Dans de nombreuses grandes entreprises, la solution consiste en réalité à combiner les deux. Vous déployez EAP-TLS pour vos appareils d'entreprise gérés, et EAP-TTLS ou un réseau sécurisé distinct pour les prestataires, les visiteurs et le BYOD. C'est un modèle courant dans les groupes hôteliers, où les appareils du personnel sont gérés et dotés de certificats, tandis que l'infrastructure destinée aux clients utilise un chemin d'authentification entièrement différent. QUESTIONS-RÉPONSES RAPIDES (8:00 - 9:00) Laissez-moi vous donner quelques réponses rapides aux questions que nous entendons fréquemment de la part des CTO et des architectes réseau. Première question : EAP-TLS est-il requis pour WPA3 Enterprise ? Si vous implémentez la suite de sécurité WPA3 Enterprise 192 bits, oui, EAP-TLS est la seule méthode autorisée. C'est la seule méthode EAP qui répond aux exigences WPA3 Enterprise 192 bits de la Wi-Fi Alliance. Deuxième question : Pouvons-nous utiliser EAP-TTLS pour les appareils IoT ? En général, non. Les appareils IoT sans écran, comme les pompes à perfusion ou les capteurs environnementaux, manquent généralement d'interface pour gérer des méthodes d'authentification internes complexes. EAP-TLS est en fait mieux adapté à l'IoT, car vous pouvez configurer le certificat lors de la phase de préparation de l'appareil. L'appareil s'authentifie automatiquement, sans aucune interaction de l'utilisateur. Troisième question : Qu'en est-il du BYOD sur un réseau EAP-TLS ? Pour les appareils personnels non gérés, EAP-TLS est difficile à gérer sur le plan opérationnel. Vous pouvez utiliser des portails d'intégration pour fournir un certificat temporaire, mais cela ajoute des frictions. Pour le BYOD, EAP-TTLS ou un réseau invité dédié avec une segmentation appropriée est généralement la bonne réponse. Quatrième question : Quel est le lien avec les fournisseurs de matériel ? EAP-TLS et EAP-TTLS sont tous deux pris en charge par toutes les principales plateformes de matériel WiFi d'entreprise - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist et Ubiquiti UniFi. Les détails de configuration varient selon la plateforme, mais les normes sous-jacentes sont neutres vis-à-vis des constructeurs.RÉSUMÉ ET PROCHAINES ÉTAPES (9:00 - 10:00) Pour conclure, voici vos points clés à retenir. EAP-TLS offre le plus haut niveau de sécurité grâce à l'authentification mutuelle par certificat. Il élimine entièrement le risque lié aux mots de passe et constitue le choix idéal pour les flottes de terminaux managés et les environnements réglementés. EAP-TTLS offre une sécurité robuste grâce à des certificats côté serveur et un tunnel de d'identification chiffré. C'est le choix idéal pour les environnements mixtes ou de BYOD. Les deux protocoles exigent que vous imposiez la validation du certificat du serveur sur chaque client. Sans cela, aucun des deux protocoles ne vous protège contre les points d'accès malveillants. De plus, la gestion du cycle de vie des certificats est le principal défi opérationnel d'EAP-TLS - automatisez-la via MDM et SCEP dès le premier jour. Vos prochaines étapes ? Auditez votre déploiement 802.1X actuel. Si vous dépendez encore de mots de passe partagés, planifiez votre migration. Vérifiez si les demandeurs de vos clients valident bien le certificat du serveur. Et si vous déployez sur plusieurs sites ou un parc distribué, envisagez un service RADIUS hébergé dans le cloud pour réduire la charge opérationnelle. Merci d'avoir suivi ce briefing technique de Purple. Purple prend en charge les chemins d'authentification EAP-TLS et EAP-TTLS pour le WiFi du personnel sur l'ensemble de nos plus de 80 000 sites actifs. Pour des guides de déploiement plus détaillés et pour comprendre comment nos plateformes d'analyse et d'identité s'intègrent à vos réseaux sécurisés, visitez purple dot ai.

header_image.png

Synthèse

Choisir la bonne méthode EAP pour votre déploiement 802.1X détermine si votre réseau WiFi d'entreprise est véritablement sécurisé ou simplement conforme sur le papier. EAP-TLS (Extensible Authentication Protocol - Transport Layer Security), défini dans la RFC 5216, nécessite une authentification mutuelle par certificat : l'appareil client et le serveur RADIUS doivent tous deux présenter des certificats X.509 valides avant que l'accès au réseau ne soit accordé. À aucun moment les mots de passe ne sont échangés. EAP-TTLS (Tunneled Transport Layer Security), défini dans la RFC 5281, ne nécessite qu'un certificat côté serveur pour établir un tunnel TLS chiffré, à l'intérieur duquel le client s'authentifie à l'aide de ses identifiants d'annuaire existants.

Pour les directeurs technologiques et les architectes réseau qui gèrent des infrastructures dans des chaînes de magasins, des établissements hôteliers et des organisations du secteur public, cette décision se résume à une question : gérez-vous les appareils ? Si vous contrôlez le parc d'appareils via un MDM, EAP-TLS est le choix définitif. Si vous prenez en charge un environnement BYOD diversifié ou si vous ne disposez pas d'une infrastructure de clés publiques (PKI) robuste, EAP-TTLS constitue une alternative pragmatique et hautement sécurisée. Purple prend en charge ces deux voies d'authentification pour le Staff WiFi sur plus de 80 000 sites actifs.

comparison_chart.png


Analyse Technique Approfondie

Architecture d'EAP-TLS

EAP-TLS fonctionne sur un modèle d'authentification mutuelle au sein du cadre de contrôle d'accès basé sur les ports IEEE 802.1X. Chaque échange d'authentification implique trois composants clés : le supplicant (appareil client), l'authentificateur (point d'accès sans fil) et le serveur d'authentification (serveur RADIUS). Le point d'accès ne prend pas lui-même la décision d'authentification. Il agit comme un relais transparent, encapsulant les messages EAP dans des paquets RADIUS et les transmettant au serveur d'authentification. Le protocole d'établissement de liaison (handshake) EAP-TLS se déroule comme suit. Le point d'accès envoie une requête EAP-Request/Identity à l'appareil qui se connecte. L'appareil répond en fournissant son identité. Le serveur RADIUS lance l'établissement de la liaison TLS avec un message EAP-TLS/Start. Le client envoie un message ClientHello, indiquant les suites de chiffrement TLS qu'il prend en charge. Le serveur RADIUS répond avec un message ServerHello, son certificat de serveur X.509 et une demande de certificat. Le client valide le certificat du serveur par rapport à son magasin d'autorités de certification (CA) racines de confiance. Si la validation échoue, la liaison s'arrête - offrant ainsi une protection contre les points d'accès malveillants. Le client présente ensuite son propre certificat X.509. Le serveur RADIUS valide le certificat du client, en vérifiant la chaîne de signatures jusqu'à la CA racine de confiance, en s'assurant que le certificat n'a pas expiré et en consultant la liste de révocation de certificats (CRL) ou en interrogeant l'OCSP. Le tunnel TLS n'est établi et l'accès au réseau n'est accordé que lorsque les deux parties sont satisfaites.

Puisqu'aucun mot de passe n'est échangé, EAP-TLS est protégé contre les attaques par dictionnaire hors ligne, le bourrage d'identifiants (credential stuffing) et l'hameçonnage. C'est la seule méthode EAP qui répond aux exigences de WPA3-Enterprise 192 bits (Suite B), et elle est obligatoire ou fortement recommandée par la norme PCI-DSS 4.0 pour les environnements de données de titulaires de cartes et par la norme NIST SP 800-120 pour les déploiements WiFi hautement sécurisés.

EAP-TLS nécessite une PKI. Vous avez besoin au minimum d'une CA racine hors ligne et d'une CA émettrice en ligne. La CA racine doit être isolée physiquement du réseau (air-gapped), car sa clé privée constitue l'ancre de confiance principale pour l'ensemble de votre hiérarchie de certificats. La CA émettrice gère l'émission quotidienne des certificats et publie les CRL. Les certificats clients sont délivrés à des appareils individuels, et non à des utilisateurs - il s'agit d'un modèle d'identité d'appareil. Cette distinction est essentielle pour les appareils IoT, les terminaux partagés et les systèmes sans écran.

Structure de EAP-TTLS

EAP-TTLS a été conçu pour offrir une sécurité 802.1X robuste sans la charge opérationnelle liée au déploiement de certificats sur chaque appareil client. Il fonctionne en deux phases. Dans la première phase, le serveur RADIUS présente son certificat et établit un tunnel TLS sécurisé. Seul le serveur a besoin d'un certificat. Dans la deuxième phase, l'utilisateur ou l'appareil est autorisé à l'intérieur de ce tunnel chiffré à l'aide d'une méthode d'authentification interne. Les méthodes internes courantes incluent PAP (Password Authentication Protocol), CHAP et MS-CHAPv2. Le client transmet son nom d'utilisateur et son mot de passe, mais comme cet échange se déroule au sein du tunnel TLS, les identifiants sont chiffrés en transit et ne sont jamais exposés sur le réseau hertzien.

EAP-TTLS offre une excellente prise en charge multiplateforme sur macOS, Linux, Android et iOS. La seule restriction concerne Windows : le demandeur (supplicant) intégré de Windows ne prend pas en charge nativement EAP-TTLS pour le protocole sans fil 802.1X de manière standard. Les environnements comptant un grand nombre d'appareils Windows peuvent nécessiter un demandeur tiers, ce qui accroît la complexité opérationnelle. Pour les environnements principalement axés sur Windows, PEAP avec MS-CHAPv2 s'avère souvent le choix le plus pragmatique.La plus grande limite de EAP-TTLS est qu'il n'élimine pas les risques inhérents aux mots de passe. Si un utilisateur choisit un mot de passe faible, il reste vulnérable aux attaques par force brute hors ligne. Si l'authentification interne utilise PAP, le mot de passe est envoyé en clair dans le tunnel - ce qui est acceptable si vous faites confiance à votre infrastructure RADIUS, mais reste un modèle de confiance essentiel à comprendre.

Comparaison Côte à Côte

Fonctionnalité EAP-TLS EAP-TTLS
Norme RFC RFC 5216 RFC 5281
Certificat Client Requis Oui Non
Certificat Serveur Requis Oui Oui
Modèle d'Authentification Mutuelle (Deux Côtés) Serveur Uniquement
Risque de Mot de Passe Aucun - Sans mot de passe Mot de passe dans un tunnel chiffré
Exigence PKI PKI Complète (CA Racine + CA d'Émission + MDM) Certificat Serveur Uniquement
WPA3-Enterprise 192 bits Méthode Requise Non Supporté
Alignement PCI-DSS 4.0 Fortement Recommandé Acceptable avec Authentification Interne Forte
Adaptabilité BYOD Faible (Requiert Certificat Client) Élevée (Identifiants Uniquement)
Adaptabilité Appareils IoT Élevée (Certificat Provisionné lors de la Préparation) Faible (Pas d'UI pour Saisir les Identifiants)
Support Natif Windows Oui Partiel (Requiert souvent un Supplicant Tiers)
Support macOS/Linux/Android Oui Oui
Complexité de Déploiement Élevée Moyenne

Guide d'Implémentation

Déploiement de EAP-TLS pour les Parcs Gérés

Le déploiement de EAP-TLS nécessite une PKI fonctionnelle et une plateforme MDM. L'installation manuelle des certificats n'est pas viable à l'échelle de l'entreprise. Vous devez intégrer votre PKI à votre MDM en utilisant SCEP (Simple Certificate Enrolment Protocol) ou EST (Enrolment over Secure Transport). Lorsqu'un appareil d'entreprise est enregistré, il demande et reçoit automatiquement son certificat sans intervention de l'utilisateur.

Pour la gestion des identités, Purple agit en tant que fournisseur d'identité gratuit pour des services comme OpenRoaming sous la licence Connect, facilitant l'itinérance sécurisée entre différents sites en utilisant des frameworks de certificats et d'identités sous-jacents.

Du côté du RADIUS, configurez votre serveur pour valider les certificats clients par rapport à votre CA interne et vérifiez les CRL ou utilisez OCSP pour la vérification de révocation en temps réel. Les plateformes RADIUS supportées incluent FreeRADIUS, Microsoft NPS et Cisco ISE. La surcouche cloud de Purple s'intègre avec le matériel Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme et Fortinet.

Déploiement de EAP-TTLS pour les Environnements Mixtes

EAP-TTLS est le choix optimal pour les environnements avec des appareils non gérés. Vous devez uniquement déployer un certificat de confiance sur votre serveur RADIUS. Assurez-vous que votre serveur RADIUS s'intègre directement à votre service d'annuaire - Microsoft Entra ID, Okta ou Google Workspace - pour valider les identifiants d'authentification interne. Configurez vos profils WiFi déployés par MDM pour imposer la validation du certificat serveur par rapport à votre CA de confiance spécifique. Sans cette étape, le tunnel TLS n'offre aucune protection contre les points d'accès malveillants. decision_framework.png


Bonnes pratiques

Imposer la validation du certificat du serveur sur chaque client

L'étape de configuration la plus critique pour EAP-TLS et EAP-TTLS consiste à imposer la validation du certificat du serveur sur les appareils clients. Si un appareil ne valide pas le certificat du serveur RADIUS par rapport à une autorité de certification (CA) de confiance spécifique, il se connectera à n'importe quel serveur présentant n'importe quel certificat - y compris un point d'accès malveillant. Spécifiez toujours la CA de confiance et le nom de serveur attendu dans vos profils WiFi déployés par MDM. Ce simple contrôle de configuration est l'amélioration de sécurité la plus efficace que vous puissiez implémenter aujourd'hui.

Automatiser la gestion du cycle de vie des certificats

Les certificats expirent. Si vous ne disposez pas d'un processus de renouvellement automatisé, vous serez confronté à des échecs d'authentification de masse lorsque les certificats expireront simultanément. Utilisez SCEP ou EST pour automatiser les renouvellements, et configurez des alertes de surveillance bien avant les dates d'expiration. Si un appareil est perdu ou si un employé s'en va, révoquez immédiatement le certificat. Configurez votre serveur RADIUS pour vérifier les listes de révocation de certificats (CRL) ou utilisez le protocole OCSP pour une validation en temps réel.

Segmenter votre réseau par méthode d'authentification

Dans les environnements vastes ou distribués, envisagez d'exécuter les deux protocoles sur des SSID distincts. Les appareils gérés par l'entreprise s'authentifient via EAP-TLS sur un SSID WiFi dédié au personnel. Les sous-traitants et les appareils BYOD s'authentifient via EAP-TTLS sur un SSID distinct avec une segmentation VLAN appropriée. Ce modèle est courant dans les groupes hôteliers comme Premier Inn et Whitbread, où les appareils du personnel sont gérés et reçoivent des certificats, tandis que l'infrastructure des invités utilise un chemin d'authentification distinct. Pour plus de détails sur l'architecture SSID, consultez notre guide Trois SSID pour régner sur tous : le design WiFi pour les invités, le personnel et l'IoT .

Synchroniser l'heure sur l'ensemble de l'infrastructure

La validation des certificats repose sur une heure système précise. Un décalage de l'horloge sur les appareils clients ou les serveurs RADIUS génère des erreurs de certificat "pas encore valide" ou "expiré" difficiles à diagnostiquer. Assurez-vous que tous les composants de l'infrastructure sont synchronisés avec des serveurs NTP fiables.


Dépannage et atténuation des risques

Erreurs d'autorité de certification (CA) inconnue

Si les journaux du serveur RADIUS affichent "CA inconnue", l'appareil client ne fait pas confiance à la CA qui a émis le certificat du serveur RADIUS. Vérifiez que votre profil MDM inclut le certificat de la CA racine et que le demandeur est configuré pour lui faire confiance. À la suite d'une rotation de CA ou d'un renouvellement de certificat, renvoyez le package de CA mis à jour vers tous les appareils.

Incompatibilité de méthode EAP

Si les appareils se connectent au point d'accès mais que l'authentification échoue, vérifiez que la méthode EAP configurée sur le client correspond à celle acceptée par le serveur RADIUS. Un profil d'appareil configuré pour EAP-TLS échouera sur un serveur RADIUS configuré uniquement pour PEAP.

Échecs massifs dus à des certificats expirés

Si un grand nombre d'appareils ne parviennent pas à s'authentifier en même temps, vérifiez d'abord les dates d'expiration des certificats. C'est la cause la plus fréquente d'échecs massifs de la norme 802.1X dans les déploiements EAP-TLS. Mettez en place un système de surveillance qui envoie des alertes 60 jours, 30 jours et 7 jours avant l'expiration.

Mauvaise configuration du client RADIUS

Chaque point d'accès ou contrôleur sans fil doit être défini comme un client RADIUS avec l'adresse IP et le secret partagé corrects. Les non-correspondances entraînent des dépassements de délai d'authentification qui sont souvent attribués à tort à la méthode EAP. Activez la journalisation RADIUS détaillée dès le premier jour. Pour plus de conseils sur le dépannage WiFi, consultez notre guide Dépannage du WiFi public : résoudre les échecs 'Connecté, pas d'Internet' et les problèmes de redirection vers la page de portail captif .

-

Conformité et alignement réglementaire

Pour les RSSI et les architectes réseau, la compréhension du paysage réglementaire est essentielle pour choisir entre EAP-TLS et EAP-TTLS. Le choix de la méthode EAP a un impact direct sur votre posture de conformité par rapport à plusieurs cadres clés.

PCI-DSS 4.0 (Payment Card Industry Data Security Standard) exige une authentification cryptographique forte pour les réseaux sans fil dans les environnements de données de titulaires de cartes. L'exigence 8.3 impose une authentification multifacteur pour tout accès au CDE, et les réseaux WiFi concernés doivent utiliser des mécanismes d'authentification forts. EAP-TLS, avec authentification mutuelle basée sur des certificats, répond de manière définitive à cette exigence. EAP-TTLS avec MS-CHAPv2 est acceptable si l'authentification interne est correctement sécurisée et si la validation du certificat du serveur est appliquée, mais EAP-TLS reste le choix le plus robuste et le plus simple pour les audits. HIPAA (Health Insurance Portability and Accountability Act) exige que les entités couvertes mettent en œuvre des mesures de protection techniques pour sécuriser les informations de santé protégées électroniques (ePHI) transmises sur les réseaux de communication électronique. La règle de sécurité HIPAA ne prescrit pas de protocoles spécifiques, mais l'attente en matière de chiffrement et de contrôle d'accès pour les réseaux WiFi transportant des ePHI penche fortement en faveur d'EAP-TLS pour les parcs d'appareils médicaux gérés, et d'EAP-TTLS avec validation obligatoire du certificat serveur pour les appareils du personnel.WPA3-Enterprise 192-bit (également connu sous le nom de mode Suite B ou CNSA) est le niveau de sécurité le plus élevé de la certification WPA3 de la Wi-Fi Alliance. Il impose EAP-TLS comme seule méthode d'authentification autorisée, exige TLS 1.2 ou supérieur avec des suites de chiffrement spécifiques (ECDHE avec P-384, AES-256-GCM), et requiert des certificats ECDSA ou RSA-3072. Les organisations qui déploient WPA3-Enterprise 192-bit pour des applications gouvernementales, de défense ou d'infrastructures critiques doivent utiliser EAP-TLS. ISO 27001 n'impose pas de protocoles spécifiques, mais exige des organisations qu'elles mettent en œuvre des contrôles d'accès appropriés pour les ressources réseau. Un déploiement 802.1X avec EAP-TLS ou EAP-TTLS (avec validation obligatoire du certificat de serveur) satisfait aux exigences de contrôle d'accès réseau de l'Annexe A.9.1 et A.13.1.

-

ROI et impact commercial

La migration vers EAP-TLS nécessite un investissement initial dans l'intégration de la PKI et du MDM, mais elle élimine les coûts opérationnels liés à la réinitialisation des mots de passe et le risque financier de violation de réseau due à des identifiants compromis. Pour une chaîne de vente au détail de 400 magasins, un seul mot de passe compromis sur un réseau PSK partagé peut mettre en péril l'ensemble du parc. EAP-TLS élimine complètement ce vecteur d'attaque.

Pour les environnements multi-locataires et les hubs de transport, une authentification sécurisée garantit que seuls les utilisateurs autorisés accèdent à la bande passante du réseau, optimisant ainsi l'utilisation de l'infrastructure. L'attribution dynamique de VLAN via les attributs de certificat RADIUS permet une segmentation du réseau renforcée par cryptographie, garantissant que les appareils sont placés sur le bon segment de réseau en fonction des propriétés du certificat plutôt que de s'en remettre à la sélection de l'SSID ou au filtrage d'adresses MAC.

La plateforme de WiFi Analytics de Purple s'intègre aux deux parcours d'authentification, offrant une visibilité sur le nombre d'appareils, la durée des sessions et l'utilisation du réseau sur l'ensemble de votre parc. Pour obtenir des conseils de déploiement spécifiques à votre secteur, explorez nos ressources pour l' Hôtellerie , le Commerce de détail , la Santé , et les Transports .

Définitions clés

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Une méthode d'authentification 802.1X définie dans la RFC 5216 qui exige que l'appareil client et le serveur RADIUS présentent tous deux des certificats X.509 valides. Aucun mot de passe n'est échangé. L'authentification est mutuelle et liée par cryptographie.

La référence absolue pour la sécurité sans fil en entreprise. Requis pour WPA3-Enterprise 192 bits et fortement recommandé pour les environnements de données de titulaires de cartes PCI-DSS 4.0.

EAP-TTLS (Extensible Authentication Protocol - Tunneled Transport Layer Security)

Une méthode d'authentification 802.1X définie dans la RFC 5281 qui ne nécessite qu'un certificat côté serveur pour établir un tunnel TLS chiffré. Le client s'authentifie à l'intérieur du tunnel à l'aide d'une méthode d'authentification interne secondaire, généralement un identifiant et un mot de passe.

Le choix privilégié pour les environnements BYOD et les réseaux multi-OS où le déploiement de certificats clients est impossible sur le plan opérationnel.

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports qui fournit un mécanisme d'authentification pour les appareils se connectant à un LAN ou un WLAN. Elle définit les rôles de supplicant, d'authentificateur et de serveur d'authentification.

Le framework fondamental qui permet aux réseaux d'entreprise d'authentifier les appareils individuels plutôt que de s'appuyer sur un seul mot de passe partagé. EAP-TLS et EAP-TTLS fonctionnent tous deux au sein de ce framework.

RADIUS (Remote Authentication Dial-In User Service)

Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la traçabilité pour les utilisateurs se connectant à un service réseau. Dans les déploiements 802.1X, le serveur RADIUS est le serveur d'authentification qui vérifie les certificats ou les identifiants.

Le composant serveur qui vérifie les certificats ou les mots de passe et indique au point d'accès s'il doit accorder ou refuser l'accès au réseau. Les plateformes prises en charge incluent FreeRADIUS, Microsoft NPS et Cisco ISE.

PKI (Public Key Infrastructure)

Un ensemble de rôles, de politiques, de composants matériels, de logiciels et de procédures nécessaires pour créer, gérer, distribuer, utiliser, stocker et révoquer des certificats numériques. Une PKI d'entreprise typique se compose d'une autorité de certification (CA) racine hors ligne et d'une CA d'émission en ligne.

L'infrastructure back-end requise pour émettre les certificats clients et serveurs utilisés dans l'authentification EAP-TLS. Sans PKI, EAP-TLS ne peut pas être déployé.

MDM (Mobile Device Management)

Logiciel utilisé par les services informatiques pour surveiller, gérer et sécuriser les appareils mobiles et les ordinateurs portables des employés. Les plateformes MDM comme Microsoft Intune et Jamf peuvent automatiser le déploiement de certificats et de profils WiFi sur les appareils enregistrés.

Indispensable pour automatiser le déploiement à grande échelle des certificats clients pour EAP-TLS. Sans intégration MDM, l'installation manuelle de certificats sur des milliers d'appareils est impossible sur le plan opérationnel.

SCEP (Simple Certificate Enrollment Protocol)

Un protocole utilisé pour automatiser l'émission de certificats numériques aux appareils réseau. Les plateformes MDM utilisent SCEP pour demander et installer silencieusement des certificats sur les appareils d'entreprise enregistrés, sans aucune interaction de l'utilisateur.

Le mécanisme standard pour le provisionnement de certificats sans contact dans les déploiements EAP-TLS. Pris en charge par Microsoft Intune, Jamf et la plupart des plateformes MDM d'entreprise.

CRL (Certificate Revocation List)

Une liste de certificats numériques qui ont été révoqués par l'autorité de certification émettrice avant leur date d'expiration prévue. Les serveurs RADIUS consultent la CRL pour vérifier que le certificat d'un appareil qui se connecte est toujours valide.

Le mécanisme qui vous permet de bloquer immédiatement un appareil volé ou compromis du réseau en révoquant son certificat. Les serveurs RADIUS doivent être configurés pour vérifier fréquemment la CRL, ou utiliser OCSP pour une validation en temps réel.

X.509

Une norme ITU-T définissant le format des certificats à clé publique. EAP-TLS et EAP-TTLS utilisent tous deux des certificats X.509 pour l'authentification du serveur. EAP-TLS requiert également des certificats X.509 sur l'appareil client.

Le format de certificat utilisé dans tous les déploiements de PKI d'entreprise. Lorsque les équipes informatiques font référence à des « certificats numériques » dans le contexte du 802.1X, elles désignent des certificats X.509.

Méthode d'authentification interne

Le protocole d'authentification secondaire utilisé à l'intérieur du tunnel TLS chiffré établi par EAP-TTLS. Les méthodes internes courantes incluent PAP (Password Authentication Protocol), CHAP et MS-CHAPv2.

Le choix de la méthode d'authentification interne affecte les propriétés de sécurité d'un déploiement EAP-TTLS. PAP envoie le mot de passe en texte clair à l'intérieur du tunnel ; MS-CHAPv2 utilise un mécanisme de défi-réponse. Le tunnel chiffre tout le trafic d'authentification interne.

Exemples concrets

Une chaîne nationale de vente au détail comptant 400 magasins doit sécuriser ses terminaux de point de vente (POS) et les scanners portables de son personnel. L'environnement entre dans le champ d'application de la norme PCI-DSS 4.0. Tous les appareils sont enregistrés dans Microsoft Intune. Quel protocole doivent-ils déployer, et quelles sont les principales étapes de configuration ?

Déployez EAP-TLS. Étape 1 : Établissez une infrastructure PKI à deux niveaux avec une CA racine hors ligne (air-gapped) et une CA d'émission en ligne. Étape 2 : Configurez Microsoft Intune avec un profil de certificat SCEP ciblant tous les appareils de point de vente et les scanners. Étape 3 : Déployez un serveur RADIUS (Microsoft NPS ou RADIUS cloud) et configurez-le pour valider les certificats clients par rapport à la CA interne. Étape 4 : Activez la vérification CRL ou OCSP sur le serveur RADIUS. Étape 5 : Diffusez un profil WiFi via Intune en spécifiant l'SSID, EAP-TLS comme méthode d'authentification, la CA racine de confiance et le nom attendu du serveur RADIUS. Étape 6 : Effectuez un test avec un groupe pilote de 10 appareils avant de procéder au déploiement sur les 400 sites. Étape 7 : Établissez un processus de surveillance de l'expiration des certificats avec des alertes à 60, 30 et 7 jours avant l'échéance.

Commentaire de l'examinateur : EAP-TLS est le choix correct car la norme PCI-DSS 4.0 recommande fortement l'authentification mutuelle par certificat pour les réseaux sans fil dans l'environnement des données de titulaires de carte. S'en remettre à des mots de passe (EAP-TTLS) pour des appareils de point de vente introduit un risque inacceptable de vol d'identifiants. L'intégration MDM via SCEP est essentielle - l'installation manuelle de certificats sur 400 sites est impossible d'un point de vue opérationnel. Le point de défaillance le plus courant dans ce scénario est l'oubli d'imposer la validation du certificat du serveur dans le profil WiFi Intune, ce qui laisserait les appareils vulnérables aux attaques de type Evil Twin malgré le déploiement d'EAP-TLS.

Un grand campus universitaire doit fournir un WiFi sécurisé à 20 000 étudiants utilisant un mélange d'ordinateurs portables personnels, de smartphones et de tablettes (BYOD). L'équipe informatique ne peut pas installer de certificats sur les appareils personnels. L'université utilise Microsoft Entra ID pour la gestion des identités. Quel protocole doivent-ils déployer ?

Déployez EAP-TTLS avec MS-CHAPv2 comme méthode d'authentification interne, intégrée à Microsoft Entra ID via RADIUS. Étape 1 : Obtenez un certificat serveur auprès d'une CA publique de confiance pour tous les principaux systèmes d'exploitation, ou déployez une CA interne et distribuez le certificat racine via les outils de gestion d'appareils de l'université pour les appareils gérés. Étape 2 : Configurez le serveur RADIUS pour s'authentifier auprès de Microsoft Entra ID à l'aide de LDAP ou d'un proxy RADIUS. Étape 3 : Créez un guide d'intégration WiFi pour les étudiants spécifiant l'SSID, EAP-TTLS, MS-CHAPv2 et la CA de confiance. Étape 4 : Appliquez des politiques de mots de passe forts au niveau de Microsoft Entra ID et envisagez d'activer l'authentification multifacteur pour l'enregistrement initial. Étape 5 : Configurez le profil WiFi pour imposer la validation du certificat du serveur et spécifiez la CA de confiance ainsi que le nom du serveur RADIUS.

Commentaire de l'examinateur : EAP-TTLS est le choix pragmatique ici. Gérer une PKI pour 20 000 appareils personnels non managés est impossible sur le plan opérationnel. EAP-TTLS fournit un tunnel sécurisé pour les identifiants, les protégeant de l'interception hertzienne tout en prenant en charge divers systèmes d'exploitation, notamment Windows, macOS, Linux, Android et iOS. Le risque critique dans ce scénario est que les étudiants configurent mal leurs appareils en ignorant la validation du certificat du serveur. La publication d'un guide d'intégration clair avec les étapes de configuration exactes, ainsi que l'utilisation d'un certificat de serveur publiquement approuvé, réduit considérablement ce risque.

Questions d'entraînement

Q1. Vous déployez EAP-TLS pour un parc de 5 000 ordinateurs portables d'entreprise répartis sur 50 sites de bureaux. Après avoir déployé le profil WiFi via Microsoft Intune, les appareils ne parviennent pas à se connecter. Les journaux du serveur RADIUS indiquent « CA inconnue » pour chaque tentative d'authentification échouée. Quelle est la cause la plus probable et comment la résoudre ?

Conseil : Pensez à la chaîne de validation des certificats du côté client, et à ce que le profil MDM doit inclure au-delà du simple paramétrage de la méthode EAP.

Voir la réponse type

Les appareils clients ne sont pas configurés pour faire confiance à l'autorité de certification interne qui a émis le certificat du serveur RADIUS. Le profil WiFi du MDM doit inclure le certificat de l'AC racine (et tous les certificats d'AC intermédiaires) et configurer le demandeur pour qu'il leur fasse confiance pour la validation du serveur. Sans cela, le client rejette le certificat du serveur RADIUS et met fin à la liaison. Résolution : mettre à jour le profil WiFi Intune pour inclure le certificat de l'AC racine de confiance sous le paramètre « Certificat racine pour la validation du serveur », puis redéployer le profil sur tous les appareils.

Q2. Votre organisation a déployé EAP-TTLS pour un environnement BYOD mixte. Lors d'un audit de sécurité, votre équipe de tests d'intrusion démontre qu'elle peut capturer les identifiants des utilisateurs en configurant un point d'accès malveillant avec un certificat auto-signé. Comment corriger cette vulnérabilité sans migrer vers EAP-TLS ?

Conseil : Pensez à ce qui se passe avant l'authentification interne et à la configuration du côté client qui empêche le tunnel TLS de s'établir avec un serveur non approuvé.

Voir la réponse type

La vulnérabilité existe parce que les appareils clients ne sont pas configurés pour valider le certificat du serveur RADIUS. Correction : mettre à jour tous les profils WiFi (via le MDM pour les appareils gérés, et via un nouveau guide d'intégration pour le BYOD) afin d'imposer la validation du certificat du serveur. Spécifiez l'AC de confiance et le nom attendu du serveur RADIUS dans le profil. Les clients ainsi configurés refuseront d'établir le tunnel TLS avec tout serveur incapable de présenter un certificat signé par l'AC de confiance spécifiée, éliminant ainsi le vecteur d'attaque par point d'accès malveillant.

Q3. Un directeur informatique d'hôpital souhaite déployer le 802.1X pour ses appareils IoT médicaux (pompes à perfusion, moniteurs patients, capteurs environnementaux). Il envisage d'utiliser EAP-TTLS car il estime que la gestion des certificats est trop complexe. Pourquoi ce raisonnement est-il erroné, et quelle est la bonne approche ?

Conseil : Pensez à la façon dont les appareils IoT sans interface gèrent les demandes d'authentification et à ce qui se passe lorsqu'un appareil ne peut pas saisir d'identifiants.

Voir la réponse type

Le raisonnement est erroné pour deux raisons. Premièrement, la plupart des appareils IoT médicaux sans écran ne disposent pas d'une interface utilisateur pour saisir des identifiants, ce qui rend l'authentification interne EAP-TTLS avec nom d'utilisateur/mot de passe opérationnellement impossible. Deuxièmement, EAP-TLS est en réalité plus simple pour l'IoT en pratique : les certificats peuvent être provisionnés lors de la phase de préparation des appareils avant le déploiement, et l'appareil s'authentifie automatiquement sans aucune interaction de l'utilisateur. La bonne approche consiste à utiliser EAP-TLS avec des certificats provisionnés via le système de gestion des appareils utilisé lors de la phase de préparation. Cela répond également aux exigences de la norme HIPAA pour une authentification sans fil forte dans les environnements de santé.

Q4. Vous êtes l'architecte réseau d'un groupe hôtelier comptant 200 établissements. Vous devez sécuriser le WiFi du personnel pour 3 000 appareils gérés (inscrits dans Intune) et fournir un accès WiFi sécurisé aux prestataires et fournisseurs tiers qui apportent leurs propres ordinateurs portables. Concevez l'architecture d'authentification.

Conseil : Déterminez si un SSID unique avec une méthode EAP unique peut desservir ces deux populations, et quelles sont les implications en matière de segmentation réseau qui découlent de ces deux types d'utilisateurs.

Voir la réponse type

Déployez deux SSIDs distincts avec des méthodes d'authentification et des affectations de VLAN différentes. SSID 1 (WiFi Personnel) : EAP-TLS, certificats poussés via Intune SCEP, VLAN affecté au segment de réseau du personnel avec un accès complet aux systèmes de gestion de l'hôtel. SSID 2 (WiFi Prestataires) : EAP-TTLS avec MS-CHAPv2, identifiants validés par rapport à un annuaire distinct ou un compte prestataire à durée limitée dans Microsoft Entra ID, VLAN affecté à un segment isolé uniquement connecté à Internet, sans accès aux systèmes internes. Les deux SSIDs doivent imposer la validation du certificat du serveur. Cette architecture offre au personnel le niveau de sécurité le plus élevé tout en fournissant aux prestataires une méthode d'authentification pratique, et la segmentation du réseau garantit qu'un identifiant prestataire compromis ne peut pas accéder aux systèmes de gestion internes de l'hôtel.

Continuer la lecture de cette série

Configuration de l'authentification RADIUS pour les réseaux WiFi invités et collaborateurs

Ce guide de référence technique présente l'architecture, la configuration et le déploiement de l'authentification RADIUS pour les réseaux WiFi d'entreprise destinés aux invités et aux collaborateurs. Il fournit aux architectes réseau et aux responsables informatiques les protocoles exacts, les normes de sécurité et les méthodologies de dépannage requis pour concevoir des systèmes de contrôle d'accès sans fil sécurisés et évolutifs.

Lire le guide →

Passpoint et OpenRoaming : Le Guide Complet

Ce guide de référence technique fournit une analyse complète des frameworks Passpoint (Hotspot 2.0) et WBA OpenRoaming au sein des réseaux WiFi d'entreprise. Il détaille les protocoles d'authentification sous-jacents, les composants architecturaux et les stratégies de déploiement nécessaires pour établir une connectivité invité sécurisée et fluide. Les architectes réseau et les responsables informatiques apprendront à concevoir, implémenter et dépanner ces normes afin d'éliminer les obstacles à la connexion manuelle tout en maintenant une sécurité de niveau entreprise.

Lire le guide →

Comment implémenter SCEP pour un BYOD sécurisé et l'enregistrement réseau dans l'enseignement supérieur

Ce guide technique propose aux architectes réseau et aux responsables informatiques un modèle neutre vis-à-vis des fournisseurs pour déployer l'enregistrement de certificats basé sur SCEP afin de sécuriser les réseaux de campus de l'enseignement supérieur. Il détaille comment migrer du PEAP basé sur mot de passe vers le 802.1X EAP-TLS, automatiser l'intégration du BYOD et appliquer une segmentation VLAN robuste.

Lire le guide →