Atténuer les vulnérabilités RADIUS : un guide de renforcement de la sécurité
Ce guide fournit une référence complète et pratique pour les responsables informatiques, les architectes réseau et les directeurs de la technologie responsables de l'infrastructure WiFi d'entreprise dans les secteurs de l'hôtellerie, du commerce de détail, de l'événementiel et du secteur public. Il couvre l'ensemble de la surface d'attaque des déploiements de serveurs RADIUS - des vulnérabilités de collision MD5 et des secrets partagés faibles au transport UDP non chiffré et aux méthodes EAP mal configurées - et propose une feuille de route de renforcement hiérarchisée, alignée sur les exigences IEEE 802.1X, PCI DSS et GDPR. Les organisations qui mettent en œuvre ces recommandations réduiront considérablement leur exposition aux attaques réseau basées sur les identifiants, respecteront leurs obligations de conformité et établiront une posture de sécurité solide pour leur infrastructure WiFi invités et d'entreprise.
Écouter ce guide
Voir la transcription du podcast
- Résumé opérationnel
- Analyse technique approfondie
- Comment fonctionne RADIUS et où se situent ses faiblesses
- L'attaque BlastRADIUS en détail
- Guide d'implémentation
- Phase 1 : Correctif immédiat (semaines 1 et 2)
- Phase 2 : Hygiène des secrets partagés (semaines 2 - 4)
- Phase 3 : Rationalisation des méthodes EAP (mois 1 - 2)
- Phase 4 : Déploiement de RadSec (mois 2 - 3)
- Phase 5 : Authentification multifacteur pour l'accès administratif (mois 2 - 3)
- Phase 6 : Intégration SIEM et alertes (mois 3-4)
- Bonnes Pratiques
- Dépannage et atténuation des risques
- Modes de défaillance courants
- Registre des risques
- ROI et impact commercial
- Quantifier le risque
- Points de repère pour les coûts de mise en œuvre
- Avantages opérationnels au-delà de la sécurité

Résumé opérationnel
RADIUS (Remote Authentication Dial-In User Service) reste le protocole principal pour le contrôle d'accès réseau dans les déploiements de WiFi d'entreprise, soutenant l'authentification 802.1X dans les hôtels, les points de vente, les stades, les centres de conférence et les bâtiments du secteur public. Pourtant, l'architecture de RADIUS date des années 1990, et plusieurs de ses choix de conception fondamentaux - dépendance au hachage MD5, transport UDP sans chiffrement natif et secrets partagés statiques - sont devenus des risques importants dans le paysage de menaces actuel.
En juillet 2024, la vulnérabilité BlastRADIUS (CVE-2024-3596) a démontré qu'un attaquant de type "man-in-the-middle" peut forger des réponses RADIUS Access-Accept en exploitant les faiblesses d'intégrité de MD5 dans les paquets Access-Request. La vulnérabilité affecte toutes les implémentations RADIUS majeures, y compris FreeRADIUS, Cisco ISE et Microsoft NPS. Les déploiements non corrigés restent vulnérables.
Ce guide fournit une feuille de route de sécurisation prioritaire couvrant la gestion des correctifs, l'hygiène des secrets partagés, la sélection de la méthode EAP, le déploiement de RadSec, l'authentification multifacteur pour l'accès administratif et l'intégration SIEM pour la détection des anomalies. Il est écrit pour les professionnels de l'IT qui doivent prendre des décisions défendables ce trimestre, et non l'année prochaine.

Analyse technique approfondie
Comment fonctionne RADIUS et où se situent ses faiblesses
RADIUS fonctionne comme un protocole client-serveur entre un serveur d'accès réseau (NAS) - généralement un point d'accès WiFi, un commutateur ou un concentrateur VPN - et un serveur RADIUS, qui valide les identifiants par rapport à un répertoire d'identités d'arrière-plan tel que Active Directory ou LDAP. L'échange d'authentification suit le modèle de demande-défi-réponse défini dans la RFC 2865, la comptabilité étant gérée séparément sous la RFC 2866.
Le protocole transmet les paquets d'authentification via UDP, en utilisant le port 1812 pour l'authentification et le port 1813 pour la comptabilité. Le secret partagé - la clé pré-partagée configurée à la fois sur le NAS et le serveur RADIUS - est utilisé pour générer le champ Response Authenticator et pour chiffrer l'attribut User-Password via un chiffrement XOR basé sur MD5. Il ne s'agit pas de chiffrement au sens moderne du terme ; c'est un obscurcissement qui dépend entièrement du secret et de la force du secret partagé.
Les cinq principales catégories de vulnérabilités dans un déploiement RADIUS classique sont les suivantes.
Vulnérabilités de collision MD5 et d'intégrité. L'attaque BlastRADIUS (CVE-2024-3596) exploite l'absence de protection de l'intégrité sur les paquets Access-Request. Comme de nombreuses configurations n'incluent pas par défaut l'attribut Message-Authenticator provenant du NAS, un attaquant en situation d'interception (man-in-the-middle) peut injecter des attributs falsifiés avant que le paquet n'atteigne le serveur RADIUS. En utilisant une technique de collision de préfixes choisis MD5, l'attaquant peut manipuler le paquet de manière à ce que le serveur RADIUS calcule un Response Authenticator valide pour le paquet modifié, renvoyant un Access-Accept pour une requête qui aurait dû être rejetée. La correction consiste à imposer l'attribut Message-Authenticator sur tous les paquets Access-Request, ce qui fournit une protection d'intégrité HMAC-MD5 sur l'ensemble du paquet. Cela nécessite des modifications de configuration à la fois sur le NAS et sur le serveur RADIUS, et non un simple correctif de serveur.
Secrets partagés faibles ou statiques. Le secret partagé est l'ancrage cryptographique de l'échange RADIUS. Si le secret est court, facile à deviner ou s'il n'est jamais renouvelé, un attaquant qui capture le trafic RADIUS (faisable par usurpation ARP ou via un équipement réseau compromis) peut forcer l'attribut User-Password hors ligne par force brute. Les directives du NIST SP 800-63B sur les secrets mémorisés s'appliquent ici : les secrets doivent comporter au moins 20 caractères, être générés de manière aléatoire et être stockés dans un système de gestion des secrets. Pour les grands réseaux comptant des dizaines ou des centaines d'équipements NAS, la rotation manuelle est impossible d'un point de vue opérationnel ; l'automatisation via HashiCorp Vault ou un gestionnaire de secrets similaire est la bonne approche.
Transport UDP non chiffré. Le protocole RADIUS standard sur UDP ne fournit aucune confidentialité au niveau de la couche de transport. L'attribut User-Password est obfusqué mais n'est pas chiffré. Tous les autres attributs - y compris les noms d'utilisateur, les IP des NAS et les métadonnées de session - transitent en clair. RadSec (RADIUS sur TLS), défini dans l'RFC 6614 et mis à jour dans l'RFC 7360, résout ce problème en enveloppant le protocole RADIUS dans un tunnel TLS sur le port TCP 2083, établissant ainsi une session TLS 1.2 ou TLS 1.3. RadSec fournit une authentification mutuelle par certificat entre le NAS et le serveur RADIUS, un chiffrement complet de la charge utile et une protection contre le rejeu. C'est le transport correct pour tout trafic RADIUS qui traverse une limite de réseau non approuvée.
Sélection de la méthode EAP. Le protocole EAP (Extensible Authentication Protocol) définit les méthodes d'authentification internes utilisées au sein du framework 802.1X. EAP-MD5 est obsolète et doit être immédiatement retiré de tous les déploiements - il ne fournit aucune authentification mutuelle ni aucune résistance aux attaques de collecte d'identifiants. PEAP (Protected EAP) et EAP-TTLS établissent un tunnel TLS à l'aide d'un certificat de serveur avant de transmettre les identifiants, offrant une authentification mutuelle et protégeant la méthode interne contre l'écoute clandestine. EAP-TLS élimine complètement les mots de passe, exigeant des certificats X.509 à la fois sur le serveur et sur le client. Il est insensible au phishing et aux attaques par force brute, et constitue la méthode recommandée pour les environnements hautement sécurisés. Journalisation et surveillance insuffisantes. La comptabilité RADIUS enregistre chaque événement d'authentification - réussite, échec, début de session, fin de session. Ces données sont précieuses sur le plan opérationnel pour la planification des capacités et sur le plan commercial pour WiFi Analytics , mais elles constituent également une source essentielle de télémétrie de sécurité. Les vagues d'échecs d'authentification, les authentifications à partir d'adresses MAC inconnues et les schémas d'accès en dehors des heures d'ouverture sont tous détectables à partir des journaux de comptabilité RADIUS. La plupart des organisations n'intègrent pas ces données dans un SIEM, et celles qui le font configurent rarement des seuils d'alerte.

L'attaque BlastRADIUS en détail
L'attaque BlastRADIUS a été révélée en juillet 2024 par des chercheurs de l'Université de Boston et de l'UC San Diego. L'attaque nécessite une position d'intercepteur (man-in-the-middle) entre le NAS et le serveur RADIUS - ce qui est réalisable via un empoisonnement ARP sur un segment de réseau partagé, un routeur compromis ou un initié malveillant ayant accès au réseau.
L'attaque se déroule comme suit : l'attaquant intercepte un paquet Access-Request provenant du NAS. Comme le paquet ne contient pas l'attribut Message-Authenticator (la configuration par défaut dans de nombreux cas), l'attaquant est libre de modifier la liste des attributs du paquet. En utilisant une collision de préfixes choisis MD5, l'attaquant construit un paquet modifié pour lequel le serveur RADIUS calculera le même Response Authenticator que l'original. Le serveur renvoie donc un Access-Accept pour une requête contenant des attributs contrôlés par l'attaquant - y compris un Service-Type de type Administrative qui autorise un accès complet au réseau.
L'attaque est efficace contre les déploiements PEAP et EAP-TTLS utilisant MSCHAPv2 comme méthode interne. Elle n'affecte pas les déploiements EAP-TLS, où l'authentification mutuelle basée sur des certificats offre une protection de l'intégrité que le MD5 ne peut pas contourner.
Pour les organisations qui gèrent à la fois un Guest WiFi et un réseau d'entreprise 802.1X, l'instance RADIUS du réseau invités doit également être corrigée, même si elle utilise le contournement d'authentification MAC plutôt que l'EAP. L'hygiène des secrets partagés et l'obligation du Message-Authenticator s'appliquent de la même manière.
Guide d'implémentation
Phase 1 : Correctif immédiat (semaines 1 et 2)
La priorité absolue est l'application des correctifs. FreeRADIUS 3.2.5 et 3.0.27 contiennent les correctifs pour BlastRADIUS et imposent le Message-Authenticator par défaut. Cisco ISE 3.1 Patch 8, 3.2 Patch 4 et 3.3 Patch 1 corrigent la vulnérabilité. Microsoft a publié la mise à jour KB5040434 pour Windows Server 2022 NPS en juillet 2024. Vérifiez vos versions actuelles et appliquez les correctifs lors de votre prochaine fenêtre de maintenance planifiée.
En même temps, auditez le micrologiciel de vos appareils NAS. L'application de Message-Authenticator n'est efficace que si le NAS envoie également l'attribut. Consultez les avis de vos fournisseurs de commutateurs et de points d'accès - Aruba, Ruckus, Cisco et Juniper ont tous publié des mises à jour de micrologiciel pour BlastRADIUS. Si vous utilisez du matériel Ruckus, le wireless access point Ruckus guide fournit un contexte pertinent pour la gestion des micrologiciels.
Pour la résolution des problèmes d'authentification Windows 11 802.1X qui peuvent apparaître après l'application des correctifs, la cause la plus fréquente est le serveur NPS rejetant les connexions des clients qui n'incluent pas Message-Authenticator - un comportement de sécurité correct qui peut nécessiter une reconfiguration du demandeur sur les anciens clients Windows.
Phase 2 : Hygiène des secrets partagés (semaines 2 - 4)
Exportez la liste complète des clients NAS enregistrés sur vos serveurs RADIUS. Pour chaque entrée, notez la longueur du secret partagé et la date de sa dernière modification. Tout secret inférieur à 20 caractères, ou inchangé depuis plus de 24 mois, doit être renouvelé immédiatement.
Pour les nouveaux secrets, utilisez un générateur de clés aléatoires cryptographiques - openssl rand -base64 32 produit une chaîne base64 de 44 caractères parfaitement adaptée pour une utilisation en tant que secret partagé RADIUS. Stockez tous les secrets dans un système de gestion des secrets. Mettez en œuvre un calendrier de rotation : annuel pour les appareils NAS à faible risque, tous les six mois pour les appareils NAS concernés par le PCI-DSS.
Phase 3 : Rationalisation des méthodes EAP (mois 1 - 2)
Auditez les méthodes EAP autorisées par vos serveurs RADIUS. Désactivez EAP-MD5. Si vous utilisez PEAP-MSCHAPv2, vérifiez que tous les demandeurs imposent la validation du certificat du serveur - un demandeur mal configuré qui accepte n'importe quel certificat de serveur est vulnérable aux attaques par faux serveur RADIUS. Pour les environnements concernés par le PCI-DSS, EAP-TLS est recommandé. Si vous ne disposez pas d'infrastructure de certificats existante, commencez la planification de votre PKI.
Pour la sécurisation des réseaux WiFi invités , notez que les réseaux invités utilisent généralement l'authentification par Captive Portal plutôt que le 802.1X, de sorte que le renforcement de la méthode EAP s'applique principalement aux SSIDs de l'entreprise et du personnel.
Phase 4 : Déploiement de RadSec (mois 2 - 3)
Identifiez chaque chemin de trafic RADIUS qui traverse une limite de réseau non approuvée. Les scénarios courants incluent un serveur RADIUS central desservant des hôtels distants via Internet ; des appareils NAS sur site accédant à un service RADIUS cloud ; et des chaînes de proxy RADIUS où le trafic traverse plusieurs domaines réseau.
Pour chaque chemin identifié, configurez RadSec. Sur FreeRADIUS, cela signifie activer l'écouteur tls sur le port 2083 et configurer le TLS mutuel avec des certificats de votre PKI. Sur Cisco ISE, RadSec est configuré sous Administration > Network Devices. Assurez le support de TLS 1.2 au minimum ; désactivez explicitement TLS 1.0 et 1.1.
Phase 5 : Authentification multifacteur pour l'accès administratif (mois 2 - 3)
L'interface de gestion d'un serveur RADIUS est une cible de haute valeur. Un attaquant qui compromet le serveur RADIUS peut modifier la politique d'authentification, extraire des secrets partagés et rediriger les flux d'authentification. Imposez le MFA sur les connexions d'administration de tous les serveurs RADIUS et de leurs systèmes d'exploitation sous-jacents. Restreignez l'accès de gestion à un VLAN de gestion hors bande dédié. Implémentez un contrôle d'accès basé sur les rôles : les ingénieurs réseau ne doivent pas disposer des mêmes privilèges que les administrateurs de sécurité.
Phase 6 : Intégration SIEM et alertes (mois 3-4)
Configurez vos serveurs RADIUS pour transférer les journaux de comptabilité vers votre SIEM en temps réel. Définissez les seuils d'alerte de référence suivants :
| Alerte | Seuil | Sévérité |
|---|---|---|
| Échecs d'authentification multiples à partir d'une seule adresse MAC | >5 en 60 secondes | Haute |
| Pic du taux de rejets d'accès | 200 % au-dessus de la valeur de référence sur 7 jours | Moyenne |
| Authentification à partir d'une nouvelle adresse MAC sur un SSID d'entreprise | Première occurrence | Moyenne |
| Certificat du serveur RADIUS proche de l'expiration | 90 / 30 / 7 jours | Haute / Critique / Critique |
| Erreurs de non-concordance de secret partagé | Toute occurrence | Haute |
Bonnes Pratiques
Les recommandations suivantes synthétisent le consensus entre IEEE 802.1X, NIST SP 800-63B, PCI DSS v4.0 et les avis de sécurité des fournisseurs.
Gestion des certificats. Tout déploiement utilisant EAP-TLS ou RadSec intègre des certificats X.509 dans son parcours d'authentification. L'expiration des certificats est la cause la plus fréquente de panne d'authentification soudaine et totale dans les déploiements WiFi d'entreprise. Implémentez une gestion automatisée du cycle de vie des certificats. Définissez des alertes de surveillance à 90, 30 et 7 jours avant l'expiration. Pour les certificats de serveur RADIUS, utilisez des clés RSA d'au moins 2048 bits ou ECDSA de 256 bits, et des algorithmes de signature SHA-256 ou plus puissants. N'utilisez pas SHA-1.
Segmentation du réseau. Les serveurs RADIUS doivent être placés sur un segment de gestion dédié, isolé des réseaux invités et d'entreprise généraux. L'accès aux ports RADIUS (UDP 1812, 1813, et TCP 2083 pour RadSec) doit être restreint par des ACL de pare-feu aux adresses IP spécifiques des équipements NAS enregistrés. N'autorisez aucun accès Internet direct aux ports RADIUS.
Redondance et haute disponibilité. Un serveur RADIUS unique constitue un point de défaillance unique pour l'ensemble de votre infrastructure de contrôle d'accès au réseau. Déployez au moins deux serveurs RADIUS dans une configuration active-passive ou active-active. Pour les déploiements dans le secteur de l' Hôtellerie avec des exigences de connectivité invité 24h/24 et 7j/7, l'indisponibilité du serveur RADIUS se traduit directement par une panne du WiFi invité - un risque réputationnel et commercial.
WPA3 et 802.1X. WPA3-Enterprise en mode de sécurité 192 bits, requis pour les déploiements gouvernementaux et hautement sécurisés, impose AES-256-GCMP pour le chiffrement des données et HMAC-SHA-384 pour l'authentification. Pour la plupart des déploiements d'entreprise, WPA3-Enterprise avec une sécurité standard de 128 bits constitue déjà une amélioration significative par rapport à WPA2-Enterprise, en particulier lorsqu'il est combiné avec EAP-TLS. Les environnements de Vente au détail traitant des paiements par carte doivent considérer l'adoption de WPA3-Enterprise comme une mesure de réduction des risques PCI-DSS.
Cadence des correctifs fournisseurs. Abonnez-vous aux avis de sécurité de votre fournisseur de serveur RADIUS et de vos fournisseurs d'équipements NAS. FreeRADIUS, Cisco, Microsoft, Aruba et Ruckus publient tous des notifications CVE. Intégrez-les dans votre programme de gestion des vulnérabilités avec des SLA définis : correctifs des vulnérabilités critiques (CVSS ≥ 9.0) sous 72 heures ; correctifs des vulnérabilités de gravité élevée (CVSS 7.0-8.9) sous 14 jours.
Dépannage et atténuation des risques
Modes de défaillance courants
Échecs d'authentification après l'application de correctifs. Après l'application des correctifs BlastRADIUS, certains équipements NAS peuvent ne pas s'authentifier si leur micrologiciel ne prend pas en charge l'attribut Message-Authenticator. Symptôme : une augmentation soudaine des réponses Access-Reject sans modification des identifiants des utilisateurs. Diagnostic : activez les journaux de débogage RADIUS et recherchez les erreurs "Message-Authenticator required but not present". Résolution : mettez à jour le micrologiciel du NAS, ou à titre temporaire, configurez le serveur RADIUS pour accepter les requêtes sans Message-Authenticator provenant d'adresses IP de NAS spécifiques en attendant la mise à jour programmée du micrologiciel.
Échecs de validation de certificat dans EAP-TLS. Symptôme : les clients reçoivent un message "échec de l'authentification" sans réponse Access-Reject correspondante dans le journal RADIUS. Diagnostic : vérifiez la chaîne de certificats du serveur RADIUS - l'autorité de certification (CA) émettrice est-elle approuvée par le demandeur client ? Le certificat du serveur est-il toujours valide ? Résolution : assurez-vous que la chaîne de certificats complète (feuille + intermédiaire + racine) est configurée sur le serveur RADIUS. Déployez les certificats de CA racine sur les appareils clients via MDM ou stratégie de groupe.
Échecs de liaison TLS RadSec. Symptôme : les équipements NAS ne parviennent pas à établir de connexions RadSec après une modification de configuration. Diagnostic : vérifiez la compatibilité de la version TLS - les anciens micrologiciels NAS peuvent ne pas prendre en charge TLS 1.2. Vérifiez l'authentification mutuelle des certificats - les deux parties doivent approuver la CA de l'autre. Résolution : vérifiez la prise en charge de la version TLS dans les notes de version du micrologiciel du NAS ; assurez-vous que les certificats de l'équipement NAS sont émis par la même CA que celle approuvée par le serveur RADIUS.
Incohérence du secret partagé. Symptôme : chaque authentification provenant d'un NAS particulier échoue avec des erreurs "invalid authenticator". Diagnostic : une incohérence du secret partagé entre la configuration du NAS et l'entrée client du serveur RADIUS. Résolution : saisissez à nouveau le secret partagé des deux côtés, en vérifiant l'absence d'espaces finals ou de problèmes de codage des caractères. Copiez-collez depuis votre gestionnaire de secrets pour éviter les erreurs de transcription.
Registre des risques
| Risque | Probabilité | Impact | Mesures d'atténuation |
|---|---|---|---|
| Exploitation BlastRADIUS | Élevé (si non corrigé) | Critique | Correctif + application de Message-Authenticator |
| Force brute sur secret partagé | Moyen | Élevé | Secrets aléatoires de 32 caractères, rotation annuelle |
| Serveur RADIUS malveillant | Moyen | Élevé | Authentification mutuelle EAP-TLS, épinglage de certificat |
| Expiration de certificat de serveur RADIUS | Élevé | Critique | Surveillance automatisée, alertes anticipées à 90 jours |
| Credential stuffing via 802.1X | Moyen | Élevé | Politique de verrouillage de compte, alertes SIEM |
| Compromission du serveur RADIUS | Faible | Critique | MFA sur l'accès administrateur, segmentation réseau |
ROI et impact commercial
Quantifier le risque
L'intérêt financier du renforcement de RADIUS est plus évident lorsqu'on le compare aux coûts d'une violation de données. Le coût moyen d'une violation de données au Royaume-Uni en 2024 était de 3,58 millions de livres sterling, englobant les amendes réglementaires, les mesures correctives, les frais juridiques et les atteintes à la réputation. Pour les organisations concernées par PCI-DSS - soit pratiquement tous les opérateurs de la Vente au détail et de l' Hôtellerie acceptant les paiements par carte via WiFi - une violation du contrôle d'accès au réseau qui expose les données des titulaires de carte déclenche une enquête médico-légale obligatoire, des amendes potentielles des réseaux de cartes et une suspension possible des droits de traitement des cartes.
Pour les organisations de la Santé , une violation du GDPR impliquant des données de patients consultées via un serveur RADIUS compromis entraîne des amendes pouvant aller jusqu'à 4 % du chiffre d'affaires annuel mondial en vertu de l'article 83(5). Le registre des sanctions de l'ICO démontre que les défaillances de sécurité réseau sont traitées comme de la négligence et non comme un simple incident technique.
Points de repère pour les coûts de mise en œuvre
Les estimations de coûts suivantes supposent un réseau d'entreprise de 500 appareils :
| Activité de renforcement | Coût estimé | Calendrier |
|---|---|---|
| Application de correctifs (FreeRADIUS / NPS / ISE) | Main-d'œuvre interne uniquement | 1 à 2 semaines |
| Audit et rotation des secrets partagés | Main-d'œuvre interne + licence de gestionnaire de secrets (~2 000 £/an) | 2 à 4 semaines |
| Déploiement PKI EAP-TLS | 15 000 £ - 30 000 £ (outillage + services professionnels) | 2 à 3 mois |
| Implémentation RadSec | Main-d'œuvre interne + coûts des certificats (~1 500 £) | 4 à 6 semaines |
| Intégration SIEM et alertes | Dépend du SIEM existant ; 0 £ - 10 000 £ | 4 à 8 semaines |
L'investissement total de renforcement pour une entreprise de taille moyenne est d'environ 20 000 £ à 45 000 £. Face au coût de référence d'une violation de 3,58 millions de livres sterling, le ROI ajusté au risque est particulièrement convaincant, même selon des hypothèses prudentes de probabilité de violation.
Avantages opérationnels au-delà de la sécurité
Une infrastructure RADIUS renforcée offre également des avantages opérationnels. Une authentification fiable et bien surveillée réduit les tickets d'assistance liés à la connectivité WiFi. Les données de comptabilité RADIUS, lorsqu'elles sont intégrées à la solution WiFi Analytics , offrent une visibilité au niveau de la session sur les modèles d'utilisation du réseau, les temps de présence et les types d'appareils - des données ayant une valeur commerciale directe pour les gestionnaires de sites dans les secteurs de l' Hôtellerie et des Transports . Pour les organisations du secteur public et de la Santé , un programme documenté de sécurisation RADIUS fournit la preuve de contrôles techniques pour les évaluations Cyber Essentials Plus, ISO 27001 et NHS DSPT - réduisant ainsi l'effort d'audit et démontrant une diligence raisonnable auprès des régulateurs.
Définitions clés
RADIUS (Remote Authentication Dial-In User Service)
Un protocole client-serveur défini dans la RFC 2865 qui fournit une authentification, une autorisation et une comptabilité (AAA) centralisées pour l'accès au réseau. Les serveurs RADIUS valident les identifiants soumis par les équipements réseau (NAS) par rapport à un référentiel d'identité d'arrière-plan tel que Active Directory ou LDAP.
Les équipes informatiques rencontrent RADIUS en tant que backend d'authentification pour le WiFi 802.1X, l'authentification des ports filaires, l'accès VPN et la gestion des équipements réseau. C'est le protocole qui décide qui accède au réseau.
IEEE 802.1X
Une norme IEEE pour le contrôle d'accès réseau basé sur les ports qui définit l'encapsulation d'EAP sur LAN (EAPOL). Elle fournit un framework d'authentification pour les réseaux filaires et sans fil, exigeant que les appareils s'authentifient avant de pouvoir accéder au réseau.
Le 802.1X est la norme qui permet le fonctionnement de l'authentification WiFi d'entreprise. Lorsqu'un membre du personnel se connecte à un SSID d'entreprise et qu'on lui demande ses identifiants, le 802.1X est le framework qui orchestre cet échange, avec RADIUS en tant que backend.
EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)
Une méthode EAP qui utilise des certificats X.509 pour l'authentification mutuelle entre le client et le serveur RADIUS. Les deux parties doivent présenter des certificats valides, ce qui élimine totalement les mots de passe de l'échange d'authentification.
EAP-TLS est la référence absolue pour l'authentification WiFi d'entreprise. Il est protégé contre le phishing d'identifiants et les attaques par force brute. L'exigence opérationnelle est une infrastructure PKI pour émettre et gérer les certificats clients.
RadSec (RADIUS over TLS)
Un protocole défini dans la norme RFC 6614 qui encapsule les paquets RADIUS dans une session TLS sur le port TCP 2083. Il fournit un chiffrement de la couche de transport, une authentification mutuelle par certificat et une protection contre le rejeu pour le trafic RADIUS.
RadSec est requis pour tout trafic RADIUS qui traverse une limite de réseau non approuvée - liaisons WAN, connexions Internet ou infrastructure réseau partagée. C'est le remplacement correct de RADIUS standard sur UDP dans les déploiements multisites.
BlastRADIUS (CVE-2024-3596)
Une attaque de l'homme du milieu divulguée en juillet 2024 qui exploite l'absence de protection de l'intégrité sur les paquets RADIUS Access-Request. En utilisant des techniques de collision de préfixes choisis MD5, un attaquant peut usurper une réponse Access-Accept, accordant un accès réseau à un utilisateur non authentifié.
BlastRADIUS affecte toutes les implémentations RADIUS majeures, y compris FreeRADIUS, Cisco ISE et Microsoft NPS. Les organisations qui n'ont pas appliqué les correctifs publiés en juillet 2024 restent exposées à cette attaque.
Message-Authenticator
Un attribut RADIUS (Attribut 80) qui fournit une protection d'intégrité HMAC-MD5 sur l'ensemble du paquet RADIUS. Lorsqu'il est présent dans un Access-Request, il empêche l'attaque par modification de paquet utilisée dans BlastRADIUS.
L'application de Message-Authenticator sur tous les paquets Access-Request est la principale mesure d'atténuation contre BlastRADIUS. Il doit être configuré à la fois sur le serveur RADIUS (pour exiger l'attribut) et sur l'appareil NAS (pour inclure l'attribut dans les requêtes).
NAS (Network Access Server)
Dans la terminologie RADIUS, le NAS est l'appareil réseau - généralement un point d'accès WiFi, un commutateur ou un concentrateur VPN - qui agit en tant que client RADIUS. Il intercepte les demandes de connexion des appareils finaux et transmet les demandes d'authentification au serveur RADIUS.
Les appareils NAS sont les clients RADIUS dans un déploiement. Les secrets partagés sont configurés par NAS. L'atténuation de BlastRADIUS nécessite des mises à jour de micrologiciel sur les appareils NAS ainsi que des correctifs sur le serveur RADIUS.
PEAP (Protected Extensible Authentication Protocol)
Une méthode EAP qui établit un tunnel TLS à l'aide d'un certificat côté serveur avant de transmettre la méthode d'authentification interne (généralement MSCHAPv2). Elle fournit une authentification mutuelle et protège les identifiants contre l'interception.
PEAP-MSCHAPv2 est la méthode d'authentification WiFi d'entreprise la plus largement déployée. Elle est conforme à la norme PCI-DSS et plus simple à utiliser que EAP-TLS car elle ne nécessite pas de certificats clients. Cependant, elle est vulnérable aux attaques de serveurs RADIUS malveillants si la validation des certificats côté client n'est pas appliquée.
Secret partagé
Une clé pré-partagée configurée à la fois sur le serveur RADIUS et sur chaque appareil NAS. Elle est utilisée pour générer le champ Response Authenticator et pour masquer l'attribut User-Password. Ce n'est pas un mot de passe pour les utilisateurs finaux - c'est un identifiant d'authentification de serveur à serveur.
Les secrets partagés faibles ou statiques constituent l'une des vulnérabilités RADIUS les plus courantes. Un attaquant qui capture le trafic RADIUS peut mener une attaque par force brute hors ligne contre un secret partagé faible. La longueur minimale recommandée est de 32 caractères, générés de manière aléatoire.
PCI DSS (Payment Card Industry Data Security Standard)
Un ensemble de normes de sécurité imposées par les principaux réseaux de cartes (Visa, Mastercard, Amex) pour les organisations qui traitent, stockent ou transmettent des données de titulaires de cartes. La version 4.0, en vigueur depuis mars 2024, comprend des exigences spécifiques pour le contrôle d'accès au réseau et l'authentification forte.
Les secteurs de la vente au détail et de l'hôtellerie disposant de terminaux de paiement connectés en WiFi entrent dans le champ d'application de la norme PCI-DSS. Les vulnérabilités du serveur RADIUS qui pourraient permettre un accès réseau non autorisé aux environnements de données des titulaires de cartes constituent un risque direct de non-conformité.
Exemples concrets
Un groupe hôtelier de 12 établissements (350 chambres) utilise un serveur RADIUS centralisé hébergé dans le centre de données de son siège social. Chaque établissement se connecte via un WAN MPLS partagé. Un audit de sécurité a signalé que le trafic RADIUS n'est pas chiffré sur le WAN, que les secrets partagés sont des chaînes de 8 caractères définies lors du déploiement initial il y a cinq ans, et que le serveur RADIUS fonctionne sous FreeRADIUS 3.0.21. Le groupe traite les paiements par carte via des terminaux de paiement connectés en WiFi dans ses restaurants et ses spas. Quels sont les niveaux de priorité de correction et la séquence de mise en œuvre ?
La séquence de correction doit être ordonnée par gravité des risques et par rapidité de mise en œuvre. Étape 1 (immédiate, sous 72 heures) : Mettre à jour FreeRADIUS vers la version 3.2.5 ou 3.0.27. Cela corrige BlastRADIUS et impose Message-Authenticator par défaut. Simultanément, vérifier les versions de firmware des points d'accès dans les 12 établissements et planifier les mises à jour pour tous les appareils NAS qui ne prennent pas en charge Message-Authenticator. Étape 2 (semaines 1 et 2) : Renouveler tous les secrets partagés. Générer des secrets aléatoires de 32 caractères à l'aide de la commande openssl rand -base64 32 pour chacun des enregistrements NAS des 12 établissements. Les stocker dans HashiCorp Vault ou un outil équivalent. Documenter la date de renouvellement. Étape 3 (mois 1 et 2) : Implémenter RadSec sur le chemin WAN. Configurer le serveur FreeRADIUS pour accepter les connexions RadSec sur le port TCP 2083. Émettre des certificats TLS à partir d'une autorité de certification (CA) interne pour les appareils NAS de chaque établissement. Mettre à jour les règles de pare-feu pour autoriser le port TCP 2083 depuis les plages d'adresses IP NAS des établissements vers le serveur RADIUS. Désactiver le port UDP 1812/1813 sur les interfaces orientées WAN une fois que le fonctionnement de RadSec est confirmé. Étape 4 (mois 2 et 3) : Pour le SSID WiFi des terminaux de paiement concerné par la norme PCI DSS, migrer de PEAP-MSCHAPv2 vers EAP-TLS. Déployer une PKI interne (Microsoft ADCS ou le moteur PKI HashiCorp Vault). Émettre des certificats clients pour les terminaux de paiement via MDM. Mettre à jour la politique RADIUS pour exiger EAP-TLS pour le SSID des terminaux de paiement. Étape 5 (mois 3) : Intégrer les journaux de comptabilité RADIUS dans le SIEM. Configurer des alertes pour les pics d'échecs d'authentification et l'expiration des certificats.
Une chaîne de vente au détail régionale de 45 magasins utilise WPA2-Personal (clé pré-partagée) pour le WiFi du personnel et un réseau ouvert pour le WiFi des clients. Le directeur informatique souhaite migrer le WiFi du personnel vers une authentification 802.1X à l'aide de Microsoft NPS comme serveur RADIUS, intégré à Active Directory. Les magasins disposent d'un mélange de points d'accès Aruba et Cisco. La chaîne entre dans le champ d'application de PCI-DSS. Quelle architecture doivent-ils déployer et quelles sont les décisions de configuration clés ?
L'architecture recommandée est le 802.1X avec PEAP-MSCHAPv2 comme méthode EAP initiale, avec une feuille de route documentée vers EAP-TLS. Le serveur NPS doit être déployé en paire redondante (primaire + secondaire) dans le centre de données central, avec une configuration de proxy RADIUS sur les points d'accès pour basculer automatiquement. Décisions de configuration : (1) Politique réseau NPS : créez une politique correspondant au SSID du personnel avec PEAP-MSCHAPv2, exigeant l'appartenance à un groupe de sécurité AD (par exemple, « WiFi-Staff-Access »). Définissez le délai d'expiration de la session à 8 heures pour forcer la réauthentification. (2) Certificat : déployez un certificat de serveur NPS à partir d'une autorité de certification Microsoft ADCS interne. Diffusez le certificat de l'autorité de certification racine sur tous les appareils du personnel via une stratégie de groupe (Windows) et un MDM (iOS/Android). (3) Configuration du demandeur : configurez les appareils Windows via une stratégie de groupe (Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies de réseau sans fil). Pour les appareils iOS et Android, utilisez un profil MDM. Imposez la validation du certificat du serveur - n'autorisez pas les utilisateurs à accepter des certificats arbitraires. (4) Configuration des points d'accès : sur Aruba, configurez le serveur RADIUS sous Authentification > Serveurs. Définissez le secret partagé sur une chaîne aléatoire de 32 caractères. Activez RadSec si le micrologiciel Aruba le prend en charge (AOS 8.9+). Sur Cisco, configurez sous Sécurité > AAA > RADIUS. (5) Journalisation NPS : activez la journalisation de la comptabilité NPS vers une base de données SQL Server. Configurez une période de conservation des journaux de 90 jours minimum pour la conformité PCI-DSS. (6) Post-migration : désactivez WPA2-Personal sur le SSID du personnel. Conservez-le uniquement comme SSID de secours avec une clé PSK complexe stockée dans le gestionnaire de secrets, à utiliser uniquement lorsque le NPS n'est pas disponible.
Questions d'entraînement
Q1. Votre organisation gère un serveur FreeRADIUS 3.0.21 prenant en charge l'authentification 802.1X pour 800 appareils du personnel sur un campus unique. Le serveur RADIUS se trouve sur le même VLAN de gestion que tous les points d'accès. Un test d'intrusion a révélé que les points d'accès envoient des paquets Access-Request sans l'attribut Message-Authenticator. L'équipe de sécurité souhaite appliquer immédiatement Message-Authenticator, mais l'équipe des opérations réseau craint de perturber l'authentification de 800 utilisateurs. Comment planifiez-vous la remédiation pour minimiser l'interruption de service ?
Conseil : Considérez la différence entre le serveur RADIUS qui exige Message-Authenticator et les appareils NAS qui l'envoient. Il s'agit de deux modifications de configuration distinctes avec des profils de risque différents.
Voir la réponse type
La séquence correcte est : (1) Tout d'abord, appliquez le correctif pour FreeRADIUS vers la version 3.2.5. Cette version applique Message-Authenticator par défaut mais inclut un mode de compatibilité qui enregistre un avertissement au lieu de rejeter les paquets qui ne contiennent pas l'attribut. Cela vous permet d'appliquer le correctif sans interrompre immédiatement l'authentification. (2) Auditez les versions du micrologiciel des points d'accès. Identifiez les modèles et les versions de micrologiciel qui prennent en charge Message-Authenticator dans les paquets Access-Request. (3) Mettez à jour le micrologiciel des points d'accès par lots, en commençant par un groupe pilote de 50 appareils. Vérifiez que l'authentification continue de fonctionner après chaque lot. (4) Une fois qu'il est confirmé que tous les points d'accès envoient Message-Authenticator, activez l'application stricte sur le serveur FreeRADIUS (require_message_authenticator = yes dans clients.conf). (5) Surveillez les journaux RADIUS pour détecter tout avertissement restant de type "Message-Authenticator manquant", ce qui indiquerait des appareils NAS qui ont manqué la mise à jour du micrologiciel. Le principe clé est que vous pouvez d'abord corriger le serveur sans rien perturber, car le mode de compatibilité permet une période de transition. L'application du rejet strict sur le serveur doit être la dernière étape, après la mise à jour de tous les appareils NAS.
Q2. Un opérateur de centre de conférences gère un serveur RADIUS unique prenant en charge à la fois le SSID du personnel de l'entreprise (802.1X avec PEAP-MSCHAPv2) et le WiFi des invités de l'événement (Captive Portal avec MAC Authentication Bypass). Le responsable informatique demande si l'instance RADIUS du WiFi des invités doit être sécurisée selon les mêmes normes que l'instance RADIUS de l'entreprise, étant donné que les invités ne s'authentifient pas avec des identifiants d'entreprise. Quelle est votre recommandation ?
Conseil : Considérez les vecteurs d'attaque qui s'appliquent au MAC Authentication Bypass par rapport à l'authentification basée sur EAP, ainsi que le risque de mouvement latéral entre les instances RADIUS des invités et de l'entreprise.
Voir la réponse type
L'instance RADIUS du WiFi invité nécessite un renforcement, mais les contrôles spécifiques diffèrent de ceux de l'instance d'entreprise. Le correctif BlastRADIUS s'applique de la même manière - la vulnérabilité affecte le serveur RADIUS quelle que soit la méthode d'authentification utilisée par les clients. L'hygiène des secrets partagés s'applique également - un secret partagé faible entre le contrôleur du Captive Portal invité et le serveur RADIUS est exploitable, que EAP soit utilisé ou non. Le principal risque supplémentaire réside dans le serveur RADIUS partagé : si les demandes d'authentification du SSID invité et du SSID d'entreprise sont traitées par le même processus de serveur RADIUS, une vulnérabilité dans le chemin RADIUS invité pourrait être utilisée pour pivoter vers la politique d'authentification de l'entreprise. L'architecture recommandée consiste à exécuter des instances RADIUS distinctes (ou au minimum des serveurs virtuels distincts au sein de FreeRADIUS) pour l'authentification des invités et de l'entreprise, avec des secrets partagés distincts et des ensembles de politiques distincts. Cela permet d'isoler les deux environnements de sorte qu'une compromission du chemin RADIUS invité ne compromette pas les identifiants de l'entreprise. Pour l'instance d'invité spécifiquement : appliquez le correctif pour BlastRADIUS, renouvelez les secrets partagés et assurez-vous que l'instance RADIUS invité n'a aucun accès à l'Active Directory de l'entreprise. Les exigences EAP-TLS et RadSec sont moins pertinentes pour un déploiement de Captive Portal, mais RadSec doit tout de même être envisagé si le contrôleur du Captive Portal se trouve dans un segment de réseau différent de celui du serveur RADIUS.
Q3. Un groupement hospitalier prévoit de migrer son WiFi clinique d'un accès WPA2-Personal vers une authentification 802.1X. Le groupement dispose de 1 200 appareils cliniques, notamment des ordinateurs portables Windows, des tablettes iOS et des terminaux portables Android. Le CISO souhaite que l'état cible soit EAP-TLS. Le directeur informatique s'inquiète de la complexité du déploiement de la PKI et propose PEAP-MSCHAPv2 comme solution permanente. Comment conseillez-vous le CISO et le directeur informatique, et quelle est la trajectoire de mise en œuvre recommandée ?
Conseil : Considérez le modèle de menace spécifique à un environnement de santé : quelles sont les conséquences d'une compromission d'identifiants, et comment EAP-TLS répond-il aux risques que PEAP-MSCHAPv2 ne traite pas ?
Voir la réponse type
L'instinct du CISO est correct, mais la préoccupation du directeur informatique est valide. Le conseil recommandé est le suivant : implémentez PEAP-MSCHAPv2 dès maintenant comme solution intermédiaire, avec une feuille de route engagée sur 12 mois pour migrer vers EAP-TLS. Les raisons pour lesquelles PEAP-MSCHAPv2 ne peut pas être accepté comme solution permanente dans le secteur de la santé sont : (1) PEAP-MSCHAPv2 est vulnérable aux attaques par faux serveurs RADIUS si la validation du certificat côté client n'est pas appliquée. Dans un environnement de santé où le personnel clinique peut connecter des appareils personnels, appliquer de manière cohérente la configuration du client d'authentification sur 1 200 appareils est un défi opérationnel. (2) Les identifiants MSCHAPv2, s'ils sont capturés via une attaque par faux serveur RADIUS, peuvent être piratés hors ligne à l'aide d'outils comme hashcat. Dans un contexte de santé, ces identifiants donnent probablement également accès aux systèmes cliniques. (3) Les évaluations NHS DSPT et CQC exigent de plus en plus des contrôles d'authentification forts pour l'accès au réseau clinique. EAP-TLS offre une position de preuve d'audit plus solide. La trajectoire de mise en œuvre : Mois 1-2 : Déployez PEAP-MSCHAPv2 avec validation obligatoire du certificat du serveur via des profils MDM sur les 1 200 appareils. Mois 3-6 : Déployez Microsoft ADCS en tant qu'infrastructure PKI. Enrôlez les appareils Windows via l'auto-enrôlement par stratégie de groupe. Mois 6-9 : Enrôlez les appareils iOS et Android via les profils de certificat MDM. Mois 9-12 : Migrez la politique du SSID clinique de PEAP vers EAP-TLS. Conservez PEAP comme solution de secours pour les appareils qui échouent à l'enrôlement du certificat, avec une surveillance renforcée. Pour en savoir plus sur l'architecture de sécurité des réseaux cliniques, le guide du WiFi à l'hôpital fournit un contexte de déploiement pertinent.
Continuer la lecture de cette série
HPE Aruba Instant et WiFi invités : configuration du Captive Portal avec Purple
Comment les points d'accès HPE Aruba Instant, gérés via Aruba Central ou le Virtual Controller, fonctionnent avec le WiFi invités de Purple à l'aide d'un Captive Portal externe, de RADIUS et d'une liste d'autorisation.
Grandstream GWN et WiFi invité : configuration du Captive Portal avec Purple
Découvrez comment les points d'accès Grandstream GWN fonctionnent avec le WiFi invité de Purple : une splash page externe, RADIUS et un walled garden, avec un lien vers le guide de configuration étape par étape de Purple pour les détails exacts.
Zyxel Nebula et WiFi invités : configuration du Captive Portal avec Purple
Découvrez comment les points d'accès Zyxel Nebula Cloud fonctionnent avec le WiFi invités de Purple : un Captive Portal externe, RADIUS et un walled garden, avec un lien vers le guide de configuration étape par étape de Purple pour un paramétrage précis.