Passer au contenu principal
Français

eduroam et 802.1X : Authentification WiFi sécurisée pour l'enseignement supérieur

Ce guide de référence technique faisant autorité explique l'architecture, le déploiement et la sécurité d'eduroam et de l'authentification 802.1X. Conçu pour les responsables informatiques et les architectes réseau, il couvre les étapes de mise en œuvre pratique, la sélection de la méthode EAP et la manière dont les exploitants de sites peuvent prendre en charge l'itinérance académique en toute sécurité.

📖 6 min de lecture📝 1,343 mots🔧 3 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
SCRIPT DE PODCAST : eduroam et 802.1X — L'authentification WiFi sécurisée pour l'enseignement supérieur Durée : environ 10 minutes Voix : Anglais britannique, homme, ton de consultant senior — confiant, conversationnel, faisant autorité --- [INTRO — 1 minute] Bienvenue. Je vais passer les dix prochaines minutes à vous présenter eduroam et 802.1X — ce qu'ils sont, comment ils fonctionnent réellement sous le capot, et ce que votre équipe doit savoir avant de déployer ou de s'intégrer à l'un ou l'autre. Si vous êtes responsable informatique, architecte réseau ou CTO dans une université, un établissement d'enseignement supérieur ou un institut de recherche — ou si vous êtes un exploitant de site qui doit comprendre ce que vos visiteurs académiques attendent de votre infrastructure sans fil — ce briefing est fait pour vous. Commençons par une vue d'ensemble. eduroam signifie "education roaming" (itinérance éducative). Il s'agit d'un service mondial d'itinérance WiFi qui permet aux étudiants, chercheurs et personnels des institutions membres de se connecter à Internet sur n'importe quel site participant — automatiquement, de manière sécurisée, en utilisant les identifiants de leur institution d'origine. Pas de Captive Portal. Pas de codes de coupon. Pas besoin de demander un mot de passe à l'accueil. Il fonctionne depuis 2003, couvre aujourd'hui plus de 10 000 institutions dans plus de 100 pays et constitue le standard de facto pour les réseaux sans fil des campus de l'enseignement supérieur dans le monde entier. Si votre organisation est en contact avec des universités — que vous soyez un hôtel à proximité d'un campus, un centre de conférence accueillant des événements académiques ou une bibliothèque publique dans une ville universitaire — la compréhension d'eduroam est directement pertinente pour votre stratégie réseau. --- [PLONGÉE TECHNIQUE — 5 minutes] Très bien. Entrons dans la mécanique. eduroam repose sur la norme IEEE 802.1X — le standard de contrôle d'accès réseau basé sur les ports. La norme 802.1X définit un cadre pour l'authentification des appareils avant qu'ils ne soient autorisés à accéder à un réseau. Conçue à l'origine pour l'Ethernet filaire, elle s'adapte parfaitement au sans fil et constitue le fondement de ce que nous appelons la sécurité WPA2-Enterprise ou WPA3-Enterprise. Le modèle 802.1X comporte trois composants. Tout d'abord, le Supplicant — c'est l'appareil qui tente de se connecter. L'ordinateur portable d'un étudiant, le téléphone d'un chercheur. Deuxièmement, l'Authenticator — c'est votre point d'accès réseau ou votre commutateur managé. Il se situe entre le supplicant et le reste du réseau et joue le rôle de gardien. Troisièmement, le serveur d'authentification — presque toujours un serveur RADIUS. RADIUS signifie Remote Authentication Dial-In User Service. C'est le composant qui valide réellement les identifiants. Voici comment fonctionne la phase de négociation (handshake). L'appareil de l'étudiant s'associe au point d'accès sans fil. Le point d'accès n'accorde pas encore un accès complet au réseau — il ouvre ce que l'on appelle un port contrôlé, mais uniquement pour le trafic EAP. L'EAP est le protocole d'authentification extensible (Extensible Authentication Protocol). Le point d'accès sert de proxy pour la conversation EAP entre l'appareil et le serveur RADIUS. Le serveur RADIUS interroge l'appareil, l'appareil répond avec des identifiants — généralement un nom d'utilisateur et un mot de passe, ou un certificat — et si le serveur RADIUS valide la demande, il renvoie un message Access-Accept. Le point d'accès ouvre alors le port réseau complet. L'ensemble de cet échange prend moins de deux secondes dans un déploiement bien configuré. Maintenant, comment eduroam s'intègre-t-il là-dedans ? eduroam utilise une infrastructure de proxy RADIUS hiérarchique. Chaque établissement participant gère son propre serveur RADIUS — appelé le fournisseur d'identité, ou IdP. Lorsqu'un étudiant de l'Université de Manchester, par exemple, visite l'Imperial College de Londres et se connecte au SSID eduroam, son appareil envoie ses identifiants au format utilisateur@manchester.ac.uk. Le serveur RADIUS d'Imperial détecte le domaine (realm) — la partie située après le symbole @ — et relaie la demande d'authentification vers le serveur RADIUS national, géré au Royaume-Uni par Jisc, le réseau national de recherche et d'enseignement. Jisc achemine ensuite la demande vers le serveur RADIUS de l'Université de Manchester, qui valide les identifiants et renvoie un message Accept ou Reject. Toute la chaîne se résout en quelques millisecondes. C'est cette chaîne de proxy qui permet à eduroam de fonctionner au-delà des frontières institutionnelles sans aucun secret pré-partagé entre les établissements. Chaque étape de la chaîne utilise un secret RADIUS partagé uniquement avec son voisin immédiat. Le mot de passe réel de l'étudiant ne quitte jamais le serveur RADIUS de son établissement d'origine — il est protégé de bout en bout par le tunnel EAP. En parlant de méthodes EAP — c'est là que de nombreux déploiements échouent, alors soyez attentif. Les méthodes EAP les plus courantes dans eduroam sont PEAP (Protected EAP) et EAP-TLS. PEAP encapsule une méthode d'authentification interne, généralement MSCHAPv2, dans un tunnel TLS. Elle nécessite un certificat côté serveur sur le serveur RADIUS, mais le client n'a besoin que d'un nom d'utilisateur et d'un mot de passe. EAP-TLS est l'option la plus sécurisée — elle utilise une authentification mutuelle par certificat, ce qui signifie que le serveur et le client présentent tous deux des certificats. Elle est plus difficile à déployer à grande échelle car vous avez besoin d'une PKI pour émettre des certificats clients, mais elle est essentiellement immunisée contre le phishing d'identifiants. L'exigence de sécurité critique que de nombreuses institutions ne respectent pas correctement est la validation du certificat côté client. Lorsqu'un appareil se connecte à eduroam via PEAP, il doit vérifier le certificat du serveur RADIUS avant de soumettre ses identifiants. Si l'appareil est mal configuré et accepte n'importe quel certificat, un attaquant peut déployer un point d'accès malveillant diffusant l'SSID eduroam, présenter un certificat auto-signé et intercepter les identifiants. Il s'agit d'un vecteur d'attaque connu. La solution consiste à configurer vos profils de demandeur (supplicant) — via MDM pour les appareils gérés, ou via l'outil d'assistance à la configuration eduroam, appelé CAT, pour les appareils personnels — afin de verrouiller l'autorité de certification et le nom de serveur attendus. D'un point de vue des normes, les déploiements eduroam doivent être conformes à la définition du service de politique eduroam, qui impose le protocole TLS 1.2 ou supérieur pour toutes les connexions RADIUS sur TLS, interdit l'utilisation de méthodes EAP faibles comme EAP-MD5 ou LEAP, et exige que toutes les connexions proxy RADIUS utilisent RadSec — RADIUS sur TLS — plutôt que le protocole UDP RADIUS standard lorsque cela est possible. Cela s'aligne sur les directives du NCSC au Royaume-Uni et du NIST SP 800-120 aux États-Unis. Un autre point technique important à souligner : l'attribution des VLAN. Dans un déploiement eduroam bien architecturé, la réponse RADIUS Access-Accept inclut des attributs VLAN qui indiquent au point d'accès quel VLAN attribuer à l'appareil qui se connecte. Cela vous permet de segmenter le trafic — en plaçant les étudiants visiteurs sur un VLAN restreint avec un accès Internet uniquement, tandis que votre propre personnel est dirigé vers le réseau interne. C'est essentiel pour la conformité, en particulier si vous êtes soumis à la norme PCI DSS ou si vous devez maintenir une séparation entre les réseaux de données de recherche et le trafic Internet général. --- [RECOMMANDATIONS DE MISE EN ŒUVRE ET PIÈGES À ÉVITER — 2 minutes] Voici quelques conseils pratiques. Si vous déployez eduroam pour la première fois, votre premier contact doit être votre NREN national — au Royaume-Uni, il s'agit de Jisc, en Irlande de HEAnet, et aux États-Unis d'Internet2. Ils gèrent l'adhésion à la fédération et vous attribueront un domaine RADIUS. Vous ne pouvez pas participer à eduroam sans être membre de votre fédération nationale. Votre liste de contrôle d'infrastructure : vous avez besoin de points d'accès compatibles 802.1X — n'importe quel équipement de classe entreprise de Cisco, Aruba, Juniper, Ruckus ou Ubiquiti UniFi fera l'affaire. Vous avez besoin d'un serveur RADIUS — FreeRADIUS est la norme open-source, ou vous pouvez utiliser Microsoft NPS, Cisco ISE ou Aruba ClearPass. Vous avez besoin d'un certificat TLS valide pour votre serveur RADIUS, émis par une autorité de certification approuvée par la communauté eduroam — généralement un certificat provenant de la PKI de votre institution ou d'une autorité de certification commerciale figurant sur la liste approuvée d'eduroam. Les trois échecs de déploiement les plus courants que je constate sont : premièrement, une mauvaise configuration des certificats — soit le certificat RADIUS a expiré, soit les profils de suppliant client ne sont pas correctement épinglés. Deuxièmement, les délais d'attente du proxy RADIUS — si votre connexion NREN en amont présente des problèmes de latence, l'authentification expirera et les utilisateurs verront des échecs de connexion ressemblant à des erreurs d'identifiants. Troisièmement, une mauvaise configuration des VLAN — les utilisateurs visiteurs se retrouvent sur le mauvais segment de réseau, soit sans accès à Internet, soit, pire encore, avec un accès à des ressources internes qu'ils ne devraient pas voir. Du côté client, déployez les profils eduroam CAT sur tous les appareils gérés via votre plateforme MDM. Pour les appareils personnels, publiez le lien de l'installateur CAT de manière bien visible. Cette simple étape élimine la majorité des tickets de support. Pour les sites qui ne sont pas des établissements d'enseignement supérieur mais qui souhaitent offrir un accès eduroam — centres de conférence, hôtels et autres —, le processus s'appelle eduroam Visitor Access, ou eVA. Il permet aux organisations non membres d'héberger l'SSID eduroam et de relayer l'authentification vers la fédération sans être membres à part entière. Cela vaut la peine d'être étudié si vous accueillez régulièrement des conférences académiques ou des événements universitaires. --- [Q&A RAPIDE — 1 minute] Questions rapides que l'on me pose régulièrement. "eduroam peut-il remplacer entièrement notre WiFi invité ?" Non. eduroam ne fonctionne que pour les utilisateurs qui possèdent des identifiants dans une institution membre. Vous avez toujours besoin d'une solution de WiFi invité distincte pour tous les autres — visiteurs, prestataires, grand public. "eduroam est-il conforme au GDPR ?" Oui, avec des réserves. L'architecture de la fédération signifie que votre institution traite les données d'authentification, mais vous devez vous assurer que vos avis de confidentialité couvrent cela et que vos journaux RADIUS sont gérés de manière appropriée. "Pouvons-nous utiliser le WPA3 avec eduroam ?" Oui. Le WPA3-Enterprise est entièrement compatible avec le 802.1X et constitue la norme recommandée pour les nouveaux déploiements. Il ajoute un chiffrement en mode 192 bits pour les environnements à haute sécurité. "Quelle est la différence entre eduroam et OpenRoaming ?" OpenRoaming est une initiative industrielle plus large de la Wireless Broadband Alliance qui utilise la même architecture de proxy 802.1X et RADIUS, mais étend l'itinérance au-delà de l'éducation aux sites commerciaux. Certaines plateformes, dont Purple, prennent en charge OpenRoaming dans le cadre de leur offre de WiFi invité. --- [RÉSUMÉ ET PROCHAINES ÉTAPES — 1 minute] Pour conclure. eduroam est un service d'itinérance WiFi mature, bien gouverné et déployé à l'échelle mondiale, basé sur le 802.1X et une infrastructure de proxy RADIUS hiérarchique. Il offre une authentification par utilisateur, un chiffrement fort et une itinérance transparente à travers plus de 10 000 institutions — sans mots de passe partagés ni Captive Portals. Pour les équipes informatiques qui déploient ou mettent à niveau le réseau sans fil d'un campus : donnez la priorité à l'EAP-TLS par rapport au PEAP là où votre PKI peut le prendre en charge, imposez la validation des certificats sur tous les profils clients, utilisez RadSec pour toutes les connexions proxy RADIUS et segmentez les utilisateurs visiteurs dans un VLAN dédié. Pour les exploitants de sites : si vous accueillez régulièrement des visiteurs universitaires, renseignez-vous sur eduroam Visitor Access. Et que vous déployiez eduroam ou non, votre infrastructure WiFi pour invités doit reposer sur des principes 802.1X de classe entreprise — et non sur des PSK partagés. Si vous souhaitez approfondir l'un de ces sujets — l'architecture RADIUS, la conception PKI pour EAP-TLS, ou la manière dont des plateformes comme Purple s'intègrent à eduroam et OpenRoaming — le guide écrit complet est disponible via le lien dans les notes de l'émission. Merci pour votre écoute. À la prochaine. --- FIN DU SCRIPT

header_image.png

Synthèse

Pour les établissements d'enseignement supérieur et les sites qui accueillent leurs étudiants et leur personnel, fournir une connectivité sans fil sécurisée et fluide n'est plus un luxe, c'est un impératif opérationnel. La norme pour cette connectivité est eduroam, un service d'itinérance mondial basé sur le framework IEEE 802.1X.

Ce guide fournit aux responsables informatiques, aux architectes réseau et aux directeurs d'exploitation de sites une référence complète et neutre vis-à-vis des fournisseurs pour comprendre, déployer et dépanner le 802.1X et eduroam. Nous dépassons les modèles théoriques de base pour aborder les réalités pratiques du WiFi d'entreprise sur les campus, notamment la gestion des certificats, l'architecture proxy RADIUS et l'intégration avec des stratégies de réseau invité plus larges.

Que vous mettiez à niveau un réseau universitaire vieillissant ou que vous configuriez un centre de conférence pour accueillir des visiteurs académiques, l'implémentation correcte du 802.1X atténue des risques de sécurité majeurs, en particulier le vol d'identifiants, tout en réduisant considérablement les coûts de support. Pour les sites en dehors de l'enseignement supérieur traditionnel, la compréhension de ces normes est essentielle pour évaluer les fédérations d'itinérance commerciales telles qu'OpenRoaming, qui partagent la même architecture sous-jacente.

Analyse technique approfondie : 802.1X et l'architecture eduroam

À la base, eduroam est une implémentation de l'IEEE 802.1X, la norme pour le contrôle d'accès réseau basé sur les ports. Bien que conçu à l'origine pour les réseaux câblés, le 802.1X constitue le fondement de la sécurité WPA2-Enterprise et WPA3-Enterprise.

Le triangle 802.1X

Le framework 802.1X repose sur l'interaction de trois composants distincts pour autoriser l'accès :

  1. Supplicant (Demandeur) : L'appareil client (par exemple, l'ordinateur portable ou le smartphone d'un étudiant) qui demande l'accès au réseau.
  2. Authenticator (Authentificateur) : L'appareil d'accès réseau (par exemple, un point d'accès sans fil ou un commutateur géré). Il agit comme un gardien, bloquant tout le trafic à l'exception des messages d'authentification jusqu'à ce que l'appareil soit autorisé.
  3. Authentication Server (Serveur d'authentification) : Le système backend qui valide les identifiants, presque universellement un serveur RADIUS (Remote Authentication Dial-In User Service).

Lorsqu'un appareil se connecte, l'authentificateur établit un port contrôlé. Il transmet les messages EAP (Extensible Authentication Protocol) entre le demandeur et le serveur d'authentification. Si les identifiants sont valides, le serveur renvoie un message RADIUS Access-Accept, et l'authentificateur ouvre le port pour le trafic IP standard.

architecture_overview.png

La hiérarchie des proxys RADIUS eduroam

Ce qui rend eduroam unique, c'est son architecture fédérée. Elle permet aux utilisateurs de s'authentifier dans n'importe quel établissement participant à l'aide de leurs identifiants d'origine, sans que l'établissement d'accueil n'ait besoin d'une copie de ces identifiants.

Ceci est rendu possible grâce à une chaîne hiérarchique de proxys RADIUS. Lorsqu'un utilisateur de username@university.ac.uk se connecte au SSID eduroam dans un établissement d'accueil :

  1. L'appareil de l'utilisateur envoie une demande d'authentification au format username@university.ac.uk.
  2. Le serveur RADIUS de l'établissement d'accueil examine le domaine (la partie située après le @). Reconnaissant qu'il s'agit d'un domaine externe, il relaie la demande au serveur RADIUS national de premier niveau (géré par le réseau national de recherche et d'enseignement, ou NREN).
  3. Le serveur national achemine la demande vers le serveur RADIUS de l'établissement d'origine (university.ac.uk).
  4. L'établissement d'origine valide les identifiants et renvoie un message Access-Accept ou Access-Reject le long de la chaîne.

L'ensemble de ce processus prend généralement moins de deux secondes. Point crucial, le mot de passe de l'utilisateur n'est jamais exposé à l'établissement d'accueil ni aux proxys intermédiaires ; il est protégé au sein d'un tunnel EAP chiffré établi directement entre le demandeur et le serveur RADIUS d'origine.

Méthodes EAP : Sécurité vs Déploiement

Le choix de la méthode EAP détermine la manière dont le tunnel chiffré est formé et dont les identifiants sont échangés. La définition de la politique de service eduroam limite strictement les méthodes autorisées afin de garantir la sécurité.

  • PEAP (Protected EAP) : Le déploiement le plus courant. Il établit un tunnel TLS à l'aide d'un certificat côté serveur sur le serveur RADIUS. Le client s'authentifie ensuite à l'intérieur de ce tunnel, généralement à l'aide de MSCHAPv2 (nom d'utilisateur et mot de passe). Il est relativement facile à déployer mais vulnérable aux attaques par point d'accès malveillant si les clients ne sont pas configurés pour valider strictement le certificat du serveur.
  • EAP-TLS : La référence absolue en matière de sécurité. Il nécessite une authentification mutuelle, ce qui signifie que le serveur RADIUS et l'appareil client doivent tous deux présenter des certificats valides. Bien qu'à l'abri du phishing d'identifiants, il nécessite une infrastructure à clés publiques (PKI) robuste pour émettre et gérer les certificats clients, ce qui rend son déploiement à grande échelle plus complexe.

Guide de mise en œuvre

Le déploiement de 802.1X et d'eduroam nécessite une coordination minutieuse entre l'infrastructure réseau, la gestion des identités et la configuration des clients.

1. Préparation de l'infrastructure

Assurez-vous que vos points d'accès et contrôleurs sans fil prennent en charge WPA2-Enterprise/WPA3-Enterprise et 802.1X. Tout matériel moderne de classe entreprise (Cisco, Aruba, Juniper, etc.) répondra à cette exigence. Vous devez également déployer une infrastructure RADIUS robuste (par exemple, FreeRADIUS, Cisco ISE, Aruba ClearPass) capable de gérer la charge d'authentification attendue et de relayer les demandes.

2. Gestion des certificats

Pour les déploiements PEAP, votre serveur RADIUS requiert un certificat TLS émis par une autorité de certification (CA) approuvée par vos clients. N'utilisez pas de certificats auto-signés pour les déploiements eduroam en production. Le certificat doit être renouvelé régulièrement pour éviter les interruptions d'authentification.

3. Configuration client (l'outil CAT)

Le point de défaillance le plus courant dans les déploiements eduroam est la mauvaise configuration du client. Les utilisateurs qui se connectent manuellement omettent souvent de configurer la validation du certificat, ce qui les expose au vol d'identifiants.

Pour atténuer ce risque, les institutions doivent utiliser l'eduroam Configuration Assistant Tool (CAT) ou une solution MDM pour distribuer des profils préconfigurés. Ces profils configurent automatiquement la méthode EAP appropriée, épinglent le certificat du serveur RADIUS attendu et définissent les protocoles d'authentification interne adéquats.

4. Attribution de VLAN et segmentation

Un déploiement mature utilise les attributs RADIUS pour attribuer dynamiquement des VLAN en fonction de l'identité de l'utilisateur.

  • Utilisateurs locaux : Assignés à des VLAN internes avec un accès approprié aux ressources du campus.
  • Utilisateurs visiteurs : Assignés à un VLAN invité restreint avec un accès Internet uniquement.

Cette segmentation est essentielle pour la sécurité et la conformité, garantissant que les appareils des visiteurs ne peuvent pas accéder aux réseaux internes sensibles.

comparison_chart.png

Bonnes pratiques et recommandations neutres vis-à-vis des fournisseurs

  • Priorisez le WPA3 : Pour les nouveaux déploiements, activez le WPA3-Enterprise pour bénéficier du chiffrement obligatoire de 192 bits et d'une protection améliorée contre les attaques par dictionnaire hors ligne.
  • Imposez la validation des certificats : Exigez l'utilisation de profils de configuration (via CAT ou MDM) pour garantir que les demandeurs valident strictement le certificat du serveur RADIUS avant de transmettre les identifiants.
  • Utilisez RadSec : Lors de la configuration des connexions proxy RADIUS vers la fédération nationale, utilisez RadSec (RADIUS sur TLS) plutôt que le simple UDP. Cela chiffre le trafic proxy et améliore la fiabilité sur les liaisons WAN.
  • Intégrez des solutions pour invités : eduroam ne dessert que les utilisateurs disposant d'identifiants académiques. Vous devez maintenir une solution de Guest WiFi distincte et sécurisée pour les prestataires, les visiteurs publics et les participants aux événements.
  • Examinez l'infrastructure associée : Assurez-vous que votre réseau sous-jacent est sécurisé. Lisez notre guide pour Protéger votre réseau avec un DNS fort et la sécurité pour plus de détails. Si vous déployez une infrastructure temporaire pour des événements universitaires, consultez Event WiFi: Planning and Deploying Temporary Wireless Networks ou la version portugaise Event WiFi: Planeamento e Implementação de Redes Sem Fios Temporárias .

Dépannage et atténuation des risques

En cas d'échec de l'authentification, un dépannage systématique est essentiel.

  1. Isoler le domaine de défaillance : Déterminez si la défaillance est locale (affectant vos propres utilisateurs sur votre propre réseau), distante (affectant vos utilisateurs ailleurs) ou entrante (affectant les visiteurs sur votre réseau).
  2. Vérifier les journaux RADIUS : Les journaux du serveur RADIUS constituent la source unique de vérité. Recherchez les messages Access-Reject (indiquant des identifiants incorrects ou des violations de politique) ou les expirations de délai (indiquant des problèmes de connectivité proxy).
  3. Vérifier la validité du certificat : Assurez-vous que le certificat du serveur RADIUS n'a pas expiré et que la chaîne de certificats complète est présentée au client.
  4. Surveiller la latence en amont : Une latence élevée sur la connexion au proxy RADIUS national peut entraîner des expirations de délai côté client, ce qui provoque des échecs de connexion même avec des identifiants corrects.

ROI et impact commercial

Pour les établissements d'enseignement supérieur, le ROI d'un déploiement eduroam adéquat se mesure par une réduction drastique des tickets d'assistance. En éliminant les Captive Portals et la saisie manuelle des mots de passe, les centres d'assistance informatique constatent une baisse significative des appels liés à la connectivité. (L'engagement de Purple dans ce secteur est évident ; voir Purple Signals Higher Education Ambitions with Appointment of VP Education Tim Peers ).

Pour les espaces commerciaux — tels que ceux de l' Hôtellerie , du Commerce de détail , de la Santé ou des Transports — la prise en charge d'eduroam Visitor Access (eVA) ou de fédérations similaires comme OpenRoaming offre une expérience fluide pour des profils d'utilisateurs à forte valeur ajoutée. Cela garantit que les visiteurs universitaires peuvent se connecter automatiquement et en toute sécurité, améliorant ainsi la satisfaction tout en permettant à l'établissement de maintenir une segmentation réseau stricte. Si votre établissement nécessite une bande passante dédiée pour prendre cela en charge, pensez à lire What Is a Leased Line? Dedicated Business Internet .

Lors de la planification des mises à niveau du réseau, l'intégration des capacités 802.1X garantit que l'infrastructure est prête pour les réseaux modernes basés sur l'identité, posant ainsi les bases d'outils avancés de WiFi Analytics et de services basés sur la localisation.

Définitions clés

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports (PNAC). Elle fournit un mécanisme d'authentification aux appareils souhaitant se connecter à un réseau LAN ou WLAN.

Le protocole fondamental pour la sécurité du WiFi d'entreprise, remplaçant les mots de passe partagés (PSK) par une authentification individualisée.

RADIUS (Remote Authentication Dial-In User Service)

Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilité (AAA) pour les utilisateurs qui se connectent et utilisent un service réseau.

Le serveur backend dans un déploiement 802.1X qui vérifie réellement les identifiants de l'utilisateur par rapport à un annuaire (comme Active Directory).

EAP (Extensible Authentication Protocol)

Un cadre d'authentification fréquemment utilisé dans les réseaux sans fil et les connexions point à point. Il permet le transport et l'utilisation de divers mécanismes d'authentification.

Le langage parlé entre l'appareil client et le serveur RADIUS lors de la phase de négociation (handshake) 802.1X.

Supplicant

L'appareil client (par exemple, un ordinateur portable, un smartphone) ou le logiciel sur cet appareil qui tente de s'authentifier sur un réseau à l'aide de la norme 802.1X.

L'entité qui demande l'accès. Sa configuration (notamment en ce qui concerne la validation des certificats) est essentielle pour la sécurité.

Authenticator

L'équipement réseau (par exemple, un point d'accès sans fil, un commutateur Ethernet) qui facilite le processus d'authentification 802.1X en transmettant les messages entre le Supplicant et le serveur d'authentification.

Le gardien qui bloque le trafic réseau jusqu'à ce que le serveur RADIUS donne son feu vert.

PEAP (Protected Extensible Authentication Protocol)

Une méthode EAP qui encapsule la transaction EAP dans un tunnel TLS établi à l'aide d'un certificat côté serveur, protégeant ainsi l'authentification interne (généralement un mot de passe).

La méthode d'authentification la plus courante pour eduroam, conciliant sécurité et facilité de déploiement.

RadSec

Un protocole de transmission des données RADIUS via TCP et TLS, plutôt que via le protocole UDP traditionnel.

Recommandé pour sécuriser les connexions proxy entre les institutions et la fédération nationale eduroam, empêchant l'interception du trafic d'authentification.

Realm

La partie de l'identité d'un utilisateur qui suit le symbole « @ » (par exemple, « university.ac.uk » dans « user@university.ac.uk »).

Utilisé par les serveurs proxy RADIUS pour déterminer où acheminer la demande d'authentification dans un environnement fédéré comme eduroam.

Exemples concrets

Un hôtel de conférence de 400 chambres adjacent à une grande université accueille fréquemment des symposiums académiques. Le directeur informatique souhaite permettre aux universitaires de passage de se connecter automatiquement sans utiliser le Captive Portal standard de l'hôtel, tout en garantissant que ces visiteurs ne puissent pas accéder au réseau d'entreprise de l'hôtel ni au VLAN du réseau invité standard.

L'hôtel doit mettre en œuvre eduroam Visitor Access (eVA) ou rejoindre une fédération commerciale comme OpenRoaming.

  1. L'hôtel configure un nouvel SSID ('eduroam' ou 'OpenRoaming') sur ses points d'accès d'entreprise.
  2. Les points d'accès sont configurés pour utiliser WPA2-Enterprise/802.1X.
  3. L'hôtel déploie un serveur RADIUS local configuré pour relayer les requêtes d'authentification des domaines externes vers la fédération nationale (pour eduroam) ou le hub OpenRoaming.
  4. De manière cruciale, le serveur RADIUS local est configuré pour renvoyer un attribut d'ID de VLAN spécifique dans le message Access-Accept pour toutes les authentifications relayées.
  5. Les points d'accès placent ces utilisateurs authentifiés sur un VLAN isolé, uniquement dédié à Internet, complètement segmenté du trafic d'entreprise et des invités standards de l'hôtel.
Commentaire de l'examinateur : Cette approche exploite correctement l'architecture de proxy RADIUS pour déléguer l'authentification aux institutions d'origine des visiteurs. En utilisant l'attribution dynamique de VLAN via les attributs RADIUS, l'hôtel maintient une segmentation réseau stricte, répondant aux exigences de sécurité tout en offrant une expérience utilisateur fluide.

Une équipe informatique universitaire constate une recrudescence de comptes d'étudiants compromis. L'enquête révèle que les étudiants se connectent à un point d'accès malveillant diffusant le SSID 'eduroam' dans un café local. Le point d'accès malveillant utilise un certificat auto-signé pour collecter les identifiants via PEAP.

L'équipe informatique doit immédiatement imposer une validation stricte des certificats sur tous les appareils clients.

  1. Elle doit cesser de conseiller aux étudiants de se connecter manuellement au SSID et d'« accepter l'avertissement de certificat ».
  2. Elle déploie l'outil eduroam Configuration Assistant Tool (CAT) pour les appareils BYOD et met à jour les profils MDM pour les appareils gérés.
  3. Ces profils configurent le suppliant pour qu'il fasse uniquement confiance à l'autorité de certification (CA) spécifique qui a émis le certificat du serveur RADIUS de l'université, et pour qu'il vérifie le nom commun (CN) du serveur.
  4. Une fois configuré, si l'appareil d'un étudiant rencontre le point d'accès malveillant, l'établissement du tunnel EAP échouera car le certificat malveillant ne correspond pas à la CA/CN épinglée, empêchant ainsi la transmission des identifiants.
Commentaire de l'examinateur : Ce scénario met en évidence la vulnérabilité la plus critique des déploiements PEAP. La solution identifie correctement que le correctif réside dans la configuration côté client. S'en remettre à la vigilance des utilisateurs pour repérer les faux certificats est inefficace ; des contrôles techniques (épinglage de profil) sont obligatoires.

Une chaîne de vente au détail souhaite proposer OpenRoaming dans 50 points de vente en utilisant son infrastructure WiFi invité existante, qui repose actuellement sur un SSID ouvert avec un Captive Portal.

La chaîne de vente au détail doit mettre à niveau son réseau pour prendre en charge le 802.1X et le proxying RADIUS.

  1. L'équipe réseau active un nouvel SSID diffusant l'OI (identifiant d'organisation) du consortium OpenRoaming.
  2. Elle configure les points d'accès pour s'authentifier via 802.1X.
  3. Elle configure son serveur RADIUS central pour relayer les requêtes vers le hub de la fédération OpenRoaming.
  4. Elle s'assure que sa liaison Internet peut supporter l'augmentation attendue des connexions automatisées, en passant éventuellement à des lignes louées dédiées si nécessaire.
Commentaire de l'examinateur : Cela montre que le passage d'un Captive Portal à un modèle 802.1X fédéré nécessite des changements architecturaux fondamentaux, en particulier la mise en œuvre du proxying RADIUS et la capacité à gérer un volume accru de connexions automatisées.

Questions d'entraînement

Q1. Votre université déploie un nouveau réseau sans fil. Le CISO exige que le phishing d'identifiants via des points d'accès malveillants soit mathématiquement impossible. Quelle méthode EAP devez-vous sélectionner ?

Conseil : Considérez quelle méthode repose sur des mots de passe par rapport à celle qui repose entièrement sur des clés cryptographiques.

Voir la réponse type

Vous devez sélectionner EAP-TLS. Contrairement à PEAP, qui repose sur un mot de passe à l'intérieur d'un tunnel TLS, EAP-TLS nécessite une authentification mutuelle par certificat. Étant donné que l'appareil client s'authentifie à l'aide d'un certificat cryptographique plutôt que d'un mot de passe, il n'y a pas d'identifiants qu'un point d'accès malveillant puisse récupérer par phishing.

Q2. Un chercheur invité d'une autre université se plaint de ne pas pouvoir se connecter à votre réseau eduroam. Vos utilisateurs locaux se connectent sans problème. Vous vérifiez les journaux de votre serveur RADIUS local et constatez que la demande arrive, mais qu'elle expire avant la réception d'un Access-Accept. Quelle est la cause la plus probable ?

Conseil : Pensez au chemin que prend la demande d'authentification pour un utilisateur visiteur par rapport à un utilisateur local.

Voir la réponse type

La cause la plus probable est un problème de connectivité ou de latence entre votre serveur RADIUS local et le proxy RADIUS national de la NREN. Comme les utilisateurs locaux s'authentifient directement auprès de votre serveur, ils ne sont pas affectés. La demande de l'utilisateur visiteur doit être relayée en amont, et une expiration indique que la réponse de l'établissement d'origine ne revient pas à temps.

Q3. Vous êtes architecte réseau pour une chaîne de magasins située à proximité d'une grande université. Vous souhaitez offrir un accès WiFi transparent aux étudiants utilisant eduroam Visitor Access (eVA), mais vous devez respecter la norme PCI DSS pour vos terminaux de point de vente. Comment intégrer eVA de manière sécurisée ?

Conseil : Comment le protocole 802.1X permet-il au point d'accès réseau de différencier le trafic après l'authentification ?

Voir la réponse type

Vous intégrez eVA en configurant votre serveur RADIUS pour attribuer toutes les authentifications eVA réussies à un VLAN invité dédié, uniquement connecté à Internet. Le message Access-Accept du serveur RADIUS doit inclure l'ID de VLAN spécifique. Cela garantit que les appareils des étudiants sont complètement segmentés du VLAN conforme à la norme PCI utilisé par les terminaux de point de vente, répondant ainsi aux exigences de conformité.

Continuer la lecture de cette série

Per-Device PSK par constructeur : iPSK, DPSK, MPSK et PPSK comparés (et support de WPA3)

Une comparaison complète des implémentations de per-device PSK chez Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet et Ubiquiti UniFi. Découvrez comment le WPA3-SAE impacte les stratégies de clés par appareil et quand déployer des modes de transition par rapport à une migration vers le 802.1X.

Lire le guide →

Comparatif des méthodes d'authentification par Captive Portal

Ce guide de référence technique et d'autorité évalue les compromis architecturaux, opérationnels et de conformité des cinq principales méthodes d'authentification par captive portal. Il fournit aux architectes réseau, directeurs informatiques et responsables marketing les données quantitatives et les cadres de décision nécessaires pour équilibrer la friction d'intégration des invités avec les exigences de collecte de données au sein des sites d'entreprise.

Lire le guide →

Qu'est-ce que l'authentification par adresse MAC ? Quand l'utiliser et quand l'éviter

Ce guide de référence technique faisant autorité couvre l'authentification par adresse MAC dans les environnements WiFi d'entreprise — comment fonctionne l'authentification MAC basée sur RADIUS au niveau de la couche 2, ses vulnérabilités de sécurité inhérentes (y compris le spoofing MAC et l'impact de la randomisation MAC au niveau du système d'exploitation), et les contextes opérationnels précis où elle reste un outil valable pour gérer l'IoT et les appareils sans écran (headless). Il fournit des conseils de déploiement exploitables pour les responsables informatiques et les architectes réseau dans les secteurs de l'hôtellerie, du commerce de détail, de la santé et des espaces publics, avec des exemples concrets, des cadres de décision et le contexte d'intégration pour le WiFi invité et la plateforme d'analyse de Purple.

Lire le guide →