Passer au contenu principal
Français

Implémentation de l'authentification 802.1X sur les appareils mobiles

Ce guide complet fournit aux responsables informatiques un plan technique pour implémenter l'authentification 802.1X sur les appareils iOS et Android. Il couvre l'architecture, la sélection de la méthode EAP, le provisionnement MDM et le dépannage pour garantir un accès réseau mobile sécurisé et évolutif.

📖 4 min de lecture📝 795 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
SCRIPT DE PODCAST : Implémentation de l'authentification 802.1X sur les appareils mobiles Durée : ~10 minutes | Voix : Anglais britannique, masculin, ton de consultant senior Structure : Introduction & Contexte (1 min) → Plongée technique (5 min) → Recommandations d'implémentation & Pièges (2 min) → Questions-réponses rapides (1 min) → Résumé & Prochaines étapes (1 min) --- [INTRODUCTION & CONTEXTE — ~1 minute] Bienvenue. Aujourd'hui, nous abordons un sujet qui revient constamment dans les projets WiFi d'entreprise : l'authentification 802.1X sur les appareils mobiles. Si vous gérez un réseau hôtelier, un parc de points de vente, un stade ou tout autre site du secteur public où le personnel et les clients se connectent sur des iPhones et des terminaux Android, c'est la norme que vous devez parfaitement maîtriser. Le 802.1X n'est pas nouveau. C'est le pilier de la sécurité sans fil en entreprise depuis plus de deux décennies. Mais les appareils mobiles ont considérablement modifié le paysage de l'implémentation. La gestion des certificats, le choix de la méthode EAP, les flux de déploiement MDM — ce sont autant de domaines où les projets peuvent dérailler, et où une exécution correcte apporte un gain de sécurité et d'efficacité opérationnelle significatif. Passons donc en revue l'architecture, les étapes d'implémentation pour Apple et Android, ainsi que les modes de défaillance courants qui font perdre des semaines de dépannage aux équipes. --- [PLONGÉE TECHNIQUE — ~5 minutes] Commençons par les fondamentaux. L'IEEE 802.1X est une norme de contrôle d'accès réseau basée sur les ports. Elle définit trois rôles : le suppliant (votre appareil mobile), l'authentificateur (généralement votre point d'accès sans fil ou votre contrôleur LAN sans fil) et le serveur d'authentification (presque toujours un serveur RADIUS). Lorsqu'un appareil tente de se connecter à un SSID sécurisé par 802.1X, le point d'accès n'accorde pas immédiatement un accès complet au réseau. À la place, il ouvre un port contrôlé et lance un échange EAP (Extensible Authentication Protocol). L'appareil présente ses identifiants, le point d'accès les transmet au serveur RADIUS, et le serveur RADIUS accepte ou rejette la connexion. Ce n'est qu'après acceptation que le point d'accès ouvre le port non contrôlé et autorise l'ensemble du trafic réseau. Le choix de la méthode EAP est crucial, et c'est là que les déploiements mobiles diffèrent des réseaux d'entreprise traditionnels centrés sur les ordinateurs portables. L'EAP-TLS est la référence absolue. Il utilise une authentification mutuelle basée sur des certificats : le serveur et le client présentent tous deux des certificats. Il n'y a ni nom d'utilisateur ni mot de passe dans l'échange. Cette méthode résiste au phishing d'identifiants, aux attaques de l'homme du milieu et aux attaques par force brute. iOS et Android la prennent en charge nativement. Le défi réside dans la gestion du cycle de vie des certificats : vous avez besoin d'une PKI fonctionnelle et devez déployer les certificats clients sur les appareils, ce qui rend l'usage d'un MDM pratiquement obligatoire. PEAP avec MSCHAPv2 est la méthode la plus largement déployée en pratique. Elle encapsule MSCHAPv2 dans un tunnel TLS, de sorte que les identifiants sont protégés en transit. iOS et Android la prennent tous deux en charge nativement. Le compromis est qu'elle repose sur un nom d'utilisateur et un mot de passe, ce qui introduit une charge de gestion des identifiants et un risque d'exposition si le certificat du serveur n'est pas correctement validé du côté client. EAP-TTLS avec PAP est courant dans les environnements dotés d'annuaires LDAP existants. Android le prend en charge nativement ; iOS nécessite un profil de configuration. Il convient de noter que PAP transmet le mot de passe en clair à l'intérieur du tunnel TLS, l'intégrité du tunnel est donc primordiale ici. EAP-FAST est principalement une solution Cisco. iOS le prend en charge nativement ; la prise en charge d'Android est incohérente selon les fabricants et les versions d'OS. Pour la plupart des déploiements mobiles d'entreprise aujourd'hui, la recommandation est d'utiliser EAP-TLS là où vous disposez d'une couverture MDM, et PEAP-MSCHAPv2 là où ce n'est pas le cas — avec une validation stricte du certificat du serveur appliquée. Parlons maintenant de l'infrastructure. Votre serveur RADIUS est le cœur du déploiement. Microsoft NPS, FreeRADIUS, Cisco ISE et Aruba ClearPass sont les principales options. Pour les déploiements cloud-native, JumpCloud, Foxpass et Portnox proposent du RADIUS-as-a-service, ce qui élimine la charge liée à l'infrastructure sur site. Votre serveur RADIUS doit être configuré avec la bonne méthode EAP, le secret partagé pour chaque point d'accès ou WLC, et l'annuaire d'utilisateurs — qu'il s'agisse d'Active Directory, de LDAP ou d'une base de données locale. Pour EAP-TLS, il a également besoin de la chaîne de certificats de l'AC pour valider les certificats clients. Du côté de l'autorité de certification, vous disposez de trois options. Une PKI interne utilisant Microsoft ADCS ou une AC autonome vous offre un contrôle total et un coût de certificat nul, mais nécessite une maturité opérationnelle pour être gérée. Un service PKI cloud — SCEPman, Smallstep ou similaire — s'intègre parfaitement aux plateformes MDM modernes et réduit considérablement la charge opérationnelle. Les certificats publics d'une AC commerciale sont rarement utilisés pour l'authentification des clients en raison de leur coût et de leur complexité. Passons maintenant à la configuration des appareils. Sur iOS, le chemin de déploiement le plus propre est Apple Configurator ou une plateforme MDM comme Jamf, Microsoft Intune ou Mosyle. Vous poussez un profil de configuration WiFi qui spécifie l'SSID, la méthode EAP, le certificat de serveur à approuver et — pour EAP-TLS — le certificat client. Le profil gère tout de manière transparente. Les utilisateurs se connectent sans aucune étape manuelle. La configuration manuelle sur iOS est possible mais fragile. Les utilisateurs accèdent à Réglages, WiFi, appuient sur l'SSID, saisissent leurs identifiants, puis se voient présenter une invite d'approbation de certificat. Si le certificat du serveur ne provient pas d'une AC de confiance, iOS affiche un avertissement. Les utilisateurs appuient généralement sur "Se fier" sans le lire, ce qui va totalement à l'encontre de l'objectif de la validation de certificat. C'est pourquoi le provisionnement par MDM n'est pas facultatif pour les déploiements sérieux. Sur Android, la situation est plus fragmentée. Android 11 et les versions ultérieures exigent la spécification d'un certificat CA lors de la connexion à un réseau 802.1X — vous ne pouvez plus sélectionner « Ne pas valider » sur un Android moderne sans recevoir d'avertissement. Il s'agit d'une amélioration positive de la sécurité, mais cela signifie que vous devez distribuer votre certificat CA aux appareils Android, soit via un MDM — Android Enterprise avec Intune ou VMware Workspace ONE — soit en l'installant manuellement depuis le stockage de l'appareil. Android présente également des particularités propres à chaque fabricant. Les appareils Samsung équipés de One UI gèrent les certificats de manière légèrement différente de l'Android d'origine. Certains appareils Huawei plus anciens présentent des problèmes de compatibilité EAP-TLS avec des suites de chiffrement spécifiques. Tester l'ensemble de votre parc d'appareils cibles avant le déploiement est indispensable. Pour l'infrastructure sans fil, vos points d'accès ou votre WLC doivent être configurés avec le SSID défini sur WPA2-Enterprise ou WPA3-Enterprise, l'IP du serveur RADIUS et le secret partagé, et — point critique — la comptabilité RADIUS (RADIUS accounting) si vous souhaitez une visibilité des sessions par utilisateur. Le WPA3-Enterprise avec le mode 192 bits est la bonne pratique actuelle pour les environnements hautement sécurisés, et il s'associe parfaitement avec EAP-TLS. Si vous ne planifiez pas déjà votre migration vers le WPA3, le guide sur l'implémentation de WPA3-Enterprise pour une sécurité sans fil renforcée mérite d'être lu en parallèle de celui-ci. --- [RECOMMANDATIONS D'IMPLÉMENTATION ET PIÈGES À ÉVITER — ~2 minutes] Voici les trois éléments qui font le plus souvent dérailler les déploiements mobiles 802.1X. Premièrement : les échecs de confiance des certificats. C'est le générateur de tickets de support numéro un. Sur iOS, si le certificat du serveur RADIUS n'est pas inclus dans la liste des certificats de confiance du profil WiFi, les utilisateurs reçoivent une invite de confiance lors de la première connexion. Sur Android, si le certificat CA n'est pas installé, les versions modernes refuseront de se connecter ou afficheront un avertissement persistant. La solution consiste à toujours inclure la chaîne de certificats complète — CA racine et toutes les CA intermédiaires — dans vos profils MDM. Ne vous fiez pas au magasin de confiance système de l'appareil pour votre CA interne. Deuxièmement : le délai d'expiration et la latence RADIUS. Les appareils mobiles sont impatients. Si votre serveur RADIUS met plus de deux à trois secondes à répondre, iOS et Android tenteront tous deux de se reconnecter et finiront par échouer. Ce problème est particulièrement aigu dans les environnements à haute densité — stades, centres de conférence — où des centaines d'appareils s'authentifient simultanément. Assurez-vous que votre infrastructure RADIUS est dimensionnée de manière appropriée, envisagez de déployer des serveurs proxy RADIUS au niveau régional et ajustez vos paramètres de tentative et de délai d'expiration sur le WLC. Troisièmement : l'incompatibilité de la méthode EAP. Cela semble évident, mais c'est étonnamment courant. La méthode EAP configurée sur le WLC doit correspondre à ce que le serveur RADIUS annonce, qui doit lui-même correspondre à ce que spécifie le profil du client. Une incompatibilité entraîne un échec d'authentification silencieux avec un minimum d'informations de diagnostic. Validez toujours l'intégralité de la négociation EAP à l'aide d'une capture de paquets sur le serveur RADIUS lors des tests initiaux. Du côté du MDM, la recommandation pratique est d'utiliser l'authentification par certificat pour les appareils appartenant à l'entreprise et PEAP pour les scénarios BYOD où vous ne pouvez pas déployer de certificats clients. Cela vous permet de bénéficier des avantages de sécurité d'EAP-TLS là où cela compte le plus, sans la lourdeur de la gestion des certificats pour la multitude d'appareils personnels. --- [QUESTIONS-RÉPONSES RAPIDES — ~1 minute] Puis-je exécuter le 802.1X et un SSID invité sur la même infrastructure ? Absolument. Utilisez des SSIDs distincts — un WPA2/3-Enterprise pour le 802.1X, un autre pour l'accès invité avec un Captive Portal. La segmentation VLAN permet d'isoler le trafic. Ai-je besoin d'un serveur RADIUS sur site ? Plus maintenant. Les services RADIUS dans le cloud sont matures et fiables. Pour les sites disposant d'une connexion Internet instable, une instance RADIUS locale en secours reste une option à envisager. Qu'en est-il des appareils IoT qui ne prennent pas en charge le 802.1X ? Utilisez le contournement d'authentification MAC — MAB — pour ces appareils, et placez-les sur un VLAN restreint avec des règles de pare-feu. Ne les laissez pas sur le même segment que vos appareils authentifiés par 802.1X. Le 802.1X est-il suffisant pour la conformité PCI DSS ? C'est un contrôle robuste, mais la norme PCI DSS exige une approche multicouche. Le 802.1X gère le contrôle d'accès au réseau ; vous avez toujours besoin de chiffrement, de surveillance et de segmentation pour répondre à l'ensemble des exigences. --- [RÉSUMÉ & PROCHAINES ÉTAPES — ~1 minute] Pour résumer : l'authentification 802.1X sur les appareils mobiles est une norme mature et bien prise en charge qui offre une amélioration significative de la sécurité par rapport aux réseaux à clé pré-partagée. La complexité de la mise en œuvre est réelle mais gérable avec les bons outils — spécifiquement, un MDM pour la distribution des profils et un serveur RADIUS cloud ou sur site correctement dimensionné. Vos prochaines étapes immédiates : auditez votre infrastructure sans fil actuelle pour vérifier sa compatibilité avec le WPA2-Enterprise, évaluez votre couverture MDM sur l'ensemble du parc d'appareils, et choisissez votre méthode EAP selon que vous disposez ou non d'une infrastructure PKI. Si vous partez de zéro, PEAP-MSCHAPv2 avec intégration Active Directory est la voie la plus rapide vers un déploiement fonctionnel. Si vous disposez d'un MDM et d'une PKI, passez directement à EAP-TLS. Pour aller plus loin, le guide de mise en œuvre de WPA3-Enterprise et les ressources de Purple sur l'architecture WiFi d'entreprise constituent d'excellentes prochaines étapes. Merci pour votre écoute — à la prochaine. --- FIN DU SCRIPT

header_image.png

Synthèse de haut niveau

L'implémentation de l'authentification 802.1X sur les appareils mobiles n'est plus facultative pour les environnements d'entreprise. Qu'il s'agisse de gérer un bureau d'entreprise, un hôtel de 500 chambres ou un stade, la dépendance aux clés pré-partagées (PSK) présente un risque de sécurité inacceptable. Ce guide fournit un plan technique complet pour déployer 802.1X sur les parcs iOS et Android. Nous aborderons les exigences architecturales, la sélection de la méthode EAP (Extensible Authentication Protocol), le provisionnement via MDM (Mobile Device Management) et les modes de défaillance courants.

En passant à 802.1X, les organisations bénéficient d'un contrôle d'accès réseau granulaire, d'une sécurité accrue du Guest WiFi et de la conformité avec des cadres tels que PCI DSS et le GDPR. Cette transition nécessite une orchestration minutieuse entre l'infrastructure sans fil, le serveur RADIUS et les terminaux mobiles.

Analyse technique approfondie : Architecture et méthodes EAP

La norme IEEE 802.1X définit le contrôle d'accès réseau basé sur les ports, comprenant trois composants principaux : le supplicant (appareil mobile), l'authentificateur (point d'accès sans fil ou contrôleur) et le serveur d'authentification (RADIUS).

architecture_overview.png

Lorsqu'un appareil mobile tente de se connecter, l'authentificateur bloque tout le trafic à l'exception des paquets EAP over LAN (EAPoL) jusqu'à ce que le serveur RADIUS valide avec succès les identifiants. Le choix de la méthode EAP dicte le niveau de sécurité et la complexité du déploiement.

Sélection de la méthode EAP pour mobile

Les systèmes d'exploitation mobiles présentent différents niveaux de support natif pour les méthodes EAP. Les deux normes dominantes pour les déploiements d'entreprise sont EAP-TLS et PEAP-MSCHAPv2.

eap_comparison_chart.png

EAP-TLS est la méthode la plus sécurisée, reposant sur une authentification mutuelle basée sur des certificats. Elle élimine les risques de vol d'identifiants mais nécessite une infrastructure à clés publiques (PKI) robuste et un MDM pour la distribution des certificats. iOS et Android prennent tous deux en charge EAP-TLS de manière native.

PEAP-MSCHAPv2 encapsule l'échange d'authentification dans un tunnel TLS, permettant l'utilisation des identifiants Active Directory. Bien que plus facile à déployer sans PKI, cette méthode est vulnérable à la collecte d'identifiants si l'appareil client n'est pas rigoureusement configuré pour valider le certificat du serveur.

Guide d'implémentation

Le déploiement de 802.1X nécessite une configuration coordonnée sur l'ensemble de l'infrastructure réseau et du parc mobile.

1. Configuration du serveur RADIUS

Le serveur RADIUS (par exemple, Microsoft NPS, Cisco ISE ou des alternatives cloud comme JumpCloud) doit être configuré pour prendre en charge la méthode EAP choisie. Pour PEAP, installez un certificat de serveur émis par une autorité de certification (CA) de confiance. Pour EAP-TLS, configurez le serveur pour qu'il fasse confiance à la CA émettant les certificats clients. Assurez-vous que le serveur RADIUS est intégré à votre service d'annuaire (AD, LDAP) ou à votre fournisseur d'identité.

2. Configuration de l'infrastructure sans fil

Configurez vos points d'accès (AP) ou votre contrôleur LAN sans fil (WLC) pour diffuser un SSID avec une sécurité WPA2-Enterprise ou WPA3-Enterprise. Spécifiez l'adresse IP et le secret partagé du serveur RADIUS. Activez la comptabilité RADIUS pour suivre les sessions des utilisateurs, ce qui est crucial pour les WiFi Analytics et le dépannage.

Pour les déploiements avancés, pensez à consulter notre guide sur l'implémentation de WPA3-Enterprise pour une sécurité sans fil renforcée .

3. Provisionnement des appareils mobiles (MDM)

La configuration manuelle de 802.1X sur les appareils mobiles est fortement déconseillée en raison des risques d'erreur humaine et de sécurité (par exemple, les utilisateurs acceptant des certificats de serveurs frauduleux). Utilisez une solution MDM (Jamf, Intune, Workspace ONE) pour déployer un profil de configuration WiFi.

  • iOS : Utilisez Apple Configurator ou un MDM pour déployer un profil contenant le SSID, la méthode EAP et la chaîne de certificats de serveur de confiance. Pour EAP-TLS, le profil doit également déployer le certificat client.
  • Android : Android 11+ exige strictement la validation du certificat du serveur. Le MDM doit déployer le certificat de la CA dans le magasin de confiance de l'appareil, parallèlement au profil WiFi.

Bonnes pratiques

  1. Exiger la validation du certificat du serveur : Ne permettez jamais aux appareils de se connecter sans valider le certificat du serveur RADIUS. Cela empêche les attaques de type "man-in-the-middle".
  2. Utiliser un MDM pour le provisionnement : S'en remettre aux utilisateurs pour configurer manuellement les paramètres 802.1X entraîne des coûts de support technique et des vulnérabilités de sécurité.
  3. Segmenter le trafic : Placez les utilisateurs authentifiés via 802.1X sur un VLAN distinct du trafic invité ou des appareils IoT.
  4. Implémenter le Cloud RADIUS : Pour les environnements distribués tels que les chaînes de Retail ou les établissements de Hospitality , le Cloud RADIUS réduit les dépendances vis-à-vis des infrastructures sur site.

Dépannage et atténuation des risques

Les modes de défaillance les plus courants dans les déploiements mobiles 802.1X concernent les certificats et les délais d'attente (timeouts).

  • Erreurs de confiance de certificat : Si les appareils iOS invitent les utilisateurs à faire confiance à un certificat, ou si les appareils Android refusent de se connecter, il est probable que la chaîne de certificats complète (CA racine et intermédiaires) soit manquante dans le profil MDM.
  • Latence RADIUS : Les appareils mobiles abandonneront la connexion si le serveur RADIUS met plus de 2 à 3 secondes à répondre. Assurez-vous que votre infrastructure RADIUS est correctement dimensionnée, en particulier dans les environnements à haute densité.
  • Incohérence EAP : Assurez-vous que la méthode EAP configurée sur le WLC correspond à celle du serveur RADIUS et du profil client.

ROI & Impact Métier

L'implémentation du 802.1X réduit considérablement le risque d'accès réseau non autorisé et de déplacement latéral. Pour une entreprise de 10 000 salariés, l'automatisation de l'intégration au WiFi via MDM et 802.1X peut faire gagner des centaines d'heures de support informatique par an par rapport à la gestion des rotations de clés PSK. De plus, la visibilité granulaire offerte par la comptabilité RADIUS facilite la conformité réglementaire et aide à la planification des capacités.

Écoutez notre podcast complet pour plus d'informations :

Définitions clés

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports, qui fournit un mécanisme d'authentification aux appareils souhaitant se connecter à un LAN ou un WLAN.

La norme fondamentale remplaçant les mots de passe partagés non sécurisés (PSK) dans les environnements d'entreprise.

Supplicant

Le client logiciel sur l'appareil mobile qui demande l'accès au réseau et gère l'échange EAP.

Les paramètres WiFi natifs sur iOS ou Android font office de supplicant.

Authentificateur

L'équipement réseau (AP ou WLC) qui facilite le processus d'authentification entre le supplicant et le serveur RADIUS.

L'AP bloque le trafic jusqu'à ce que l'authentification réussisse.

Serveur RADIUS

Remote Authentication Dial-In User Service ; un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilité (AAA).

Le moteur de décision qui valide les identifiants par rapport à un annuaire (par exemple, Active Directory).

EAP (Extensible Authentication Protocol)

Un cadre d'authentification fréquemment utilisé dans les réseaux sans fil et les connexions point à point.

Le protocole transportant les données d'authentification entre l'appareil mobile et le serveur RADIUS.

EAP-TLS

Une méthode EAP qui utilise l'infrastructure à clés publiques (PKI) pour exiger que le client et le serveur présentent tous deux des certificats pour une authentification mutuelle.

La méthode la plus sécurisée, idéale pour les appareils d'entreprise entièrement gérés.

PEAP-MSCHAPv2

Protected EAP ; crée un tunnel TLS chiffré au sein duquel le client s'authentifie à l'aide d'un nom d'utilisateur et d'un mot de passe.

La méthode la plus courante, équilibrant sécurité et facilité de déploiement pour les environnements sans PKI.

MDM (Mobile Device Management)

Logiciel utilisé par les services informatiques pour surveiller, gérer et sécuriser les appareils mobiles des employés.

Essentiel pour configurer silencieusement les paramètres 802.1X et distribuer les certificats sans intervention de l'utilisateur.

Exemples concrets

Un hôtel de 500 chambres doit déployer un WiFi sécurisé pour les appareils mobiles du personnel (un mélange d'appareils iOS appartenant à l'entreprise et d'appareils Android personnels/BYOD). Ils utilisent actuellement un WPA2-PSK partagé.

Déployer un SSID 802.1X utilisant PEAP-MSCHAPv2. Intégrer un serveur RADIUS cloud avec l'Azure AD de l'hôtel. Pour les appareils iOS de l'entreprise, utiliser un MDM pour pousser le profil WiFi et le certificat de l'autorité de certification (CA) de confiance. Pour les appareils Android personnels (BYOD), fournir un portail d'intégration (comme SecureW2) pour configurer automatiquement le supplicant de l'appareil et installer le certificat CA, évitant ainsi les erreurs de configuration manuelle.

Commentaire de l'examinateur : Cette approche équilibre la sécurité et la faisabilité opérationnelle. L'EAP-TLS serait trop complexe pour le segment BYOD, tandis que le PEAP-MSCHAPv2 avec intégration automatisée garantit la protection des identifiants et la validation du certificat du serveur.

Une grande organisation du secteur public déploie 5 000 tablettes Android d'entreprise pour ses agents de terrain et exige le plus haut niveau de sécurité réseau.

Implémenter l'EAP-TLS. Déployer une PKI interne ou une CA cloud. Utiliser le MDM de l'organisation (par exemple, VMware Workspace ONE) pour générer et pousser des certificats clients uniques vers chaque tablette Android, ainsi que le profil de configuration WiFi et le certificat de la CA racine. Configurer le serveur RADIUS pour accepter uniquement les connexions EAP-TLS.

Commentaire de l'examinateur : Étant donné que les appareils sont entièrement gérés, l'EAP-TLS est le choix approprié. Il élimine le risque de vol d'identifiants et fournit une authentification mutuelle forte, répondant aux exigences strictes de sécurité du secteur public.

Questions d'entraînement

Q1. Votre organisation déploie le protocole 802.1X pour une flotte d'appareils Android personnels (BYOD). Vous ne disposez pas de solution MDM. Les utilisateurs se plaignent de ne pas pouvoir se connecter au nouveau SSID et voient s'afficher une erreur « Doit spécifier un domaine » ou « Certificat CA requis ».

Conseil : Considérez la manière dont les versions récentes d'Android gèrent la validation des certificats de serveur par rapport aux anciennes versions.

Voir la réponse type

Les versions modernes d'Android (11+) ne permettent plus aux utilisateurs de contourner la validation du certificat du serveur (« Ne pas valider »). Sans MDM pour pousser le certificat CA, les utilisateurs doivent télécharger et installer manuellement le certificat CA dans le magasin de confiance de leur appareil, puis configurer manuellement le profil WiFi pour utiliser ce certificat spécifique. Une meilleure solution à long terme consiste à implémenter un portail d'intégration pour automatiser ce processus.

Q2. Vous avez déployé EAP-TLS à l'aide d'une PKI interne Microsoft ADCS. Les ordinateurs portables Windows se connectent parfaitement, mais les appareils iOS déployés via le MDM Jamf échouent silencieusement à l'authentification.

Conseil : Pensez à la chaîne de certification complète et à ce dont l'appareil iOS a besoin pour faire confiance au serveur.

Voir la réponse type

Les appareils iOS ne disposent probablement pas du certificat de l'Autorité de Certification (CA) Racine (et des éventuelles CA intermédiaires) de la PKI interne. Les ordinateurs portables Windows font automatiquement confiance à la CA Racine ADCS via les stratégies de groupe. Le profil WiFi du MDM Jamf doit être mis à jour pour inclure explicitement la charge utile du certificat de la CA Racine afin que l'appareil iOS puisse valider le certificat du serveur RADIUS lors de la liaison TLS.

Q3. Lors d'un événement à forte affluence dans un stade, de nombreux appareils mobiles ne parviennent pas à se connecter au réseau 802.1X, tandis que d'autres se connectent sans problème. Les captures de paquets montrent que les AP envoient des requêtes RADIUS Access-Request, mais le serveur RADIUS répond par des Access-Reject après plusieurs secondes, ou ne répond pas du tout.

Conseil : Considérez la « règle des 3 secondes » pour les appareils mobiles et les performances RADIUS.

Voir la réponse type

Le serveur RADIUS est probablement submergé par le volume de demandes d'authentification simultanées, ce qui entraîne une latence élevée. Les appareils mobiles ont des seuils de temporisation courts (souvent 3 secondes) et vont abandonner la connexion ou réessayer, ce qui aggrave encore la charge. La solution consiste à dimensionner l'infrastructure RADIUS (par exemple, en ajoutant des nœuds ou en déployant des proxys régionaux) et à ajuster les paramètres de temporisation/tentative du WLC.

Continuer la lecture de cette série

Per-Device PSK par constructeur : iPSK, DPSK, MPSK et PPSK comparés (et support de WPA3)

Une comparaison complète des implémentations de per-device PSK chez Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet et Ubiquiti UniFi. Découvrez comment le WPA3-SAE impacte les stratégies de clés par appareil et quand déployer des modes de transition par rapport à une migration vers le 802.1X.

Lire le guide →

Comparatif des méthodes d'authentification par Captive Portal

Ce guide de référence technique et d'autorité évalue les compromis architecturaux, opérationnels et de conformité des cinq principales méthodes d'authentification par captive portal. Il fournit aux architectes réseau, directeurs informatiques et responsables marketing les données quantitatives et les cadres de décision nécessaires pour équilibrer la friction d'intégration des invités avec les exigences de collecte de données au sein des sites d'entreprise.

Lire le guide →

Qu'est-ce que l'authentification par adresse MAC ? Quand l'utiliser et quand l'éviter

Ce guide de référence technique faisant autorité couvre l'authentification par adresse MAC dans les environnements WiFi d'entreprise — comment fonctionne l'authentification MAC basée sur RADIUS au niveau de la couche 2, ses vulnérabilités de sécurité inhérentes (y compris le spoofing MAC et l'impact de la randomisation MAC au niveau du système d'exploitation), et les contextes opérationnels précis où elle reste un outil valable pour gérer l'IoT et les appareils sans écran (headless). Il fournit des conseils de déploiement exploitables pour les responsables informatiques et les architectes réseau dans les secteurs de l'hôtellerie, du commerce de détail, de la santé et des espaces publics, avec des exemples concrets, des cadres de décision et le contexte d'intégration pour le WiFi invité et la plateforme d'analyse de Purple.

Lire le guide →