Per-Device PSK par constructeur : iPSK, DPSK, MPSK et PPSK comparés (et support de WPA3)

PSK par appareil par constructeur : comparaison d'iPSK, DPSK, MPSK et PPSK, et support de WPA3. Un briefing technique Purple. Introduction et contexte. Bienvenue dans la série de briefings techniques Purple. Je vais vous présenter l'un des sujets les plus importants sur le plan pratique - et fréquemment mal compris - dans le domaine du WiFi d'entreprise à l'heure actuelle : les clés pré-partagées par appareil. Plus précisément, nous allons comparer la manière dont chacun des principaux constructeurs implémente cette fonctionnalité, comment ils la nomment, comment elle fonctionne réellement en coulisses et - point critique - ce qui se passe lorsque vous tentez de passer au WPA3. Si vous êtes responsable informatique, architecte réseau ou directeur des opérations de site gérant le WiFi sur un parc hôtelier, une chaîne de magasins, un stade ou un campus du secteur public, ce briefing vous est destiné. Vous avez probablement déjà rencontré cette profusion d'acronymes : iPSK, DPSK, MPSK, PPSK. Ils font tous référence au même concept - attribuer à chaque appareil ou utilisateur son propre mot de passe unique sur un seul SSID - mais les implémentations diffèrent considérablement, et ces différences comptent lorsque vous planifiez le renouvellement de votre infrastructure. Commençons par les fondamentaux, puis passons en revue chaque constructeur, et terminons par la question du WPA3 avec laquelle tout le monde se débat actuellement. Analyse technique approfondie. Alors, qu'est-ce que le PSK par appareil, et pourquoi existe-t-il ? Le WPA2-Personnel traditionnel utilise une seule phrase secrète partagée pour l'ensemble d'un SSID. Tous les utilisateurs de votre réseau invité utilisent le même mot de passe. Cela pose deux problèmes. Premièrement, vous ne pouvez pas révoquer l'accès d'un seul appareil sans modifier le mot de passe de tout le monde. Deuxièmement, vous n'avez aucune visibilité par appareil ni application de politique. Le PSK par appareil résout ces deux problèmes. Chaque appareil ou utilisateur obtient un identifiant unique. Vous pouvez en révoquer un sans toucher aux autres. Vous pouvez attribuer différents VLAN, politiques de bande passante ou horaires d'accès par clé. C'est le juste milieu entre la simplicité du WPA2-Personnel et la complexité d'une authentification d'entreprise 802.1X complète. Voyons maintenant comment chaque constructeur implémente cela. Cisco Meraki l'appelle iPSK - Identity Pre-Shared Key. Meraki prend en charge deux modes. Sans RADIUS, vous configurez jusqu'à cinq PSK uniques directement dans le tableau de bord Meraki, chacun associé à un VLAN. C'est rapide à configurer et cela ne nécessite aucune infrastructure externe. Avec RADIUS - généralement Cisco ISE - vous pouvez passer à des milliers de clés. Le client s'associe, l'AP envoie l'adresse MAC et un indice PSK au serveur RADIUS, le serveur renvoie la clé par appareil correcte, et la poignée de main standard à quatre voies WPA2 se termine en utilisant cette clé comme clé maîtresse par paire (PMK). L'élément clé ici est que le serveur RADIUS effectue la recherche, et non l'AP. L'AP ne fait que faciliter l'échange. HPE Aruba l'appelle MPSK - Multiple Pre-Shared Key. Aruba Central et Aruba Instant prennent en charge le MPSK sous deux modes : MPSK Local, où les clés sont stockées sur le contrôleur ou le cluster d'AP, et MPSK avec ClearPass, le moteur de politiques et de RADIUS d'Aruba. ClearPass peut héberger des dizaines de milliers de clés, attribuer des VLAN dynamiques et appliquer des politiques basées sur les rôles par clé. Le flux d'authentification est essentiellement le même que le mode RADIUS de Meraki - la recherche basée sur l'adresse MAC renvoie la clé par appareil avant la liaison à quatre voies (four-way handshake). Ruckus - qui fait désormais partie de CommScope - l'appelle DPSK, Dynamic Pre-Shared Key. C'est sans doute l'implémentation la plus mature du marché. Le DPSK de Ruckus est disponible depuis les débuts de SmartZone. En mode local, le service DPSK s'exécute sur le contrôleur et héberge la base de données de clés. En mode RADIUS, il s'intègre à Cloudpath, la propre plateforme de contrôle d'accès réseau de Ruckus. Ce qui rend Ruckus remarquable, c'est le DPSK3 - leur extension WPA3 du DPSK, sur laquelle nous reviendrons bientôt. Le DPSK3 est disponible sur les points d'accès Wi-Fi 6, 6E et 7 exécutant le firmware 7.0 ou ultérieur, et il fonctionne en mode mixte WPA2 / WPA3. Juniper Mist l'appelle PPSK - Private Pre-Shared Key - ou parfois Multi-PSK. Mist stocke les clés dans le cloud, dans la base de données de clés de l'organisation ou du site Mist, avec une limite de 5 000 clés par site. Les clés peuvent être attribuées par utilisateur, par appareil ou par groupe. Mist s'intègre également à son service Access Assurance - le NAC natif dans le cloud - qui ajoute une recherche PSK basée sur RADIUS. De plus, Juniper a annoncé la prise en charge de WPA3 RADIUS PSK via Access Assurance, permettant à un seul SSID WPA3-Personal de desservir plusieurs phrases de passe. C'est l'une des implémentations les plus tournées vers l'avenir sur le marché. Extreme Networks - qui a acquis Aerohive - l'appelle PPSK, Private Pre-Shared Key, via ExtremeCloud IQ. L'implémentation d'Extreme prend en charge le stockage local des clés sur l'AP lui-même, ce qui est utile pour les succursales ou les sites distants à connectivité limitée. Elle prend également en charge la recherche basée sur RADIUS via le service RADIUS cloud d'ExtremeCloud IQ. L'association MAC (MAC binding) est disponible, ce qui lie un PPSK à l'adresse MAC d'un appareil spécifique pour une sécurité accrue. Fortinet l'appelle MPSK, Multiple Pre-Shared Key, géré via FortiAP et le contrôleur sans fil FortiGate. L'implémentation de Fortinet se distingue car elle prend explicitement en charge les modes de sécurité WPA3-SAE et de transition WPA3-SAE dans ses profils MPSK - depuis le firmware FortiAP 8.0. Vous pouvez créer un profil MPSK avec des clés WPA3-SAE, les attribuer à un VAP et activer l'attribution dynamique de VLAN par clé. C'est l'une des implémentations MPSK WPA3 les plus abouties aujourd'hui. Ubiquiti UniFi l'appelle Private Pre-Shared Keys, ou Private PSK. L'implémentation de UniFi est uniquement locale - les clés sont stockées dans le contrôleur UniFi Network, et non dans un serveur RADIUS externe. Vous pouvez attribuer différents VLANs par clé et définir des limites de clients par clé. La limitation importante : à la mi-2026, le Private PSK de UniFi ne fonctionne que sur les réseaux WPA2 en 2,4 GHz et 5 GHz. Le WPA3 et le 6 GHz ne sont pas pris en charge. Pour les déploiements de petite taille, cela convient, mais c'est une contrainte qu'il convient de connaître avant de s'engager dans un parc UniFi à grande échelle. Maintenant, la question du WPA3. C'est là que cela devient techniquement intéressant. Le WPA2-Personal utilise une liaison à quatre voies (four-way handshake). Le client et l'AP dérivent une clé transitoire par paire (Pairwise Transient Key) à partir d'une clé maîtresse par paire (Pairwise Master Key) partagée, qui est elle-même dérivée de la phrase secrète. Comme la dérivation de la PMK se produit après la recherche RADIUS, l'AP peut y substituer une clé par appareil à ce moment-là. Le standard s'en moque - il voit simplement une PMK valide. Le WPA3-Personal remplace la liaison à quatre voies par le protocole SAE - Simultaneous Authentication of Equals. Le SAE est un protocole basé sur Diffie-Hellman. Les deux parties s'engagent sur un élément de mot de passe partagé dérivé de la phrase secrète avant que l'association ne se termine. La différence essentielle : le mot de passe doit être connu des deux parties avant le début de l'échange SAE. Il n'y a aucun moment dans le protocole où un serveur RADIUS peut injecter une clé différente par appareil. L'AP et le client effectuent déjà un échange cryptographique avec une valeur partagée unique. C'est pourquoi le WPA3 ne permet actuellement qu'une seule clé par SSID dans sa forme standard. Ce n'est pas une limitation du firmware. C'est une contrainte du protocole. Les solutions de contournement se classent en trois catégories. Premièrement, le mode de transition WPA3 - également appelé mode mixte WPA2 / WPA3. Le SSID diffuse à la fois le WPA2-PSK et le WPA3-SAE. Les clients WPA2 utilisent la liaison à quatre voies et peuvent recevoir des clés par appareil via RADIUS. Les clients WPA3 utilisent le SAE avec un mot de passe partagé unique. C'est l'approche la plus largement déployée aujourd'hui et elle est prise en charge par Cisco Meraki, HPE Aruba, Ruckus et d'autres. Deuxièmement, les extensions propriétaires. Le DPSK3 de Ruckus en est l'exemple le plus clair. En fonctionnant en mode mixte WPA2 / WPA3 avec Cloudpath comme backend RADIUS, le DPSK3 permet aux appareils compatibles WPA3 d'utiliser le SAE tandis que le système gère l'association des clés par appareil via l'intégration Cloudpath. Le WPA3 RADIUS PSK de Juniper Access Assurance adopte une approche similaire. Le MPSK de Fortinet avec le mode de transition WPA3-SAE vous permet de mélanger des clés WPA2-Personal et WPA3-SAE dans le même profil MPSK. Troisièmement, le passage au 802.1X. Pour les terminaux managés - ordinateurs portables d'entreprise, appareils du personnel, tout ce sur quoi vous pouvez déployer un certificat - le WPA3-Enterprise avec EAP-TLS est la réponse idéale. Il est entièrement compatible avec le WPA3 et le 6 GHz, fournit une identité par appareil et s'intègre à Microsoft Entra ID, Okta et Google Workspace. Le compromis réside dans la complexité du déploiement et la nécessité d'une infrastructure de certificats. Recommandations d'implémentation et pièges à éviter. Alors, que devriez-vous faire concrètement ? Si vous gérez un parc hôtelier comprenant un mélange d'appareils de clients, de capteurs IoT et d'appareils du personnel, la réponse pragmatique en 2026 est une conception SSID hybride. Conservez un SSID WPA2-Personal avec PSK par appareil pour l'IoT hérité et les appareils des clients. Configurez un SSID WPA3-Enterprise pour les appareils du personnel que vous contrôlez. Utilisez le mode de transition sur votre SSID principal pour les clients afin de prendre en charge à la fois les clients WPA2 et WPA3 sans fragmenter votre nombre de SSID. Si vous utilisez du matériel Ruckus et disposez d'équipements Wi-Fi 6 ou plus récents, DPSK3 en mode mixte WPA2 / WPA3 avec Cloudpath mérite d'être évalué. Cela vous offre ce qui se rapproche le plus du PSK natif par appareil WPA3 disponible aujourd'hui. Si vous utilisez Fortinet, le profil MPSK avec transition WPA3-SAE est simple à configurer et vous offre une voie de migration propre. Si vous êtes sur UniFi, indiquez clairement à vos parties prenantes que le Private PSK est exclusivement WPA2. Pour les sites déployant du Wi-Fi 6E ou Wi-Fi 7 avec des radios 6 GHz, vous aurez besoin d'une stratégie d'authentification différente pour cette bande. Le piège le plus courant que nous observons est de supposer que l'activation de WPA3 sur un SSID existant avec PSK par appareil fonctionnera tout simplement. Ce n'est pas le cas. Testez d'abord sur un site pilote. Vérifiez les versions du firmware de vos points d'accès — DPSK3 nécessite le firmware 7.0 ou ultérieur sur Ruckus, par exemple. Et vérifiez la compatibilité de votre serveur RADIUS — Ruckus DPSK3 en mode mixte nécessite spécifiquement Cloudpath, et non un serveur RADIUS générique. Un second piège est la prolifération des clés. Le PSK par appareil est excellent pour la traçabilité, mais uniquement si vous disposez d'un processus pour révoquer les clés lorsque les appareils sont mis hors service. Sans gestion du cycle de vie, vous vous retrouvez avec des milliers de clés orphelines et aucune piste d'audit. Intégrez l'attribution de vos clés à votre flux de travail de gestion des appareils dès le premier jour. Questions et Réponses en mode rapide. Puis-je utiliser le PSK par appareil sur un SSID 6 GHz ? Non. Le 6 GHz impose le WPA3 exclusif, et le WPA3 ne prend pas en charge nativement le PSK par appareil. Utilisez le 802.1X ou un SSID distinct 2,4 / 5 GHz pour les appareils qui nécessitent un PSK par appareil. Le PSK par appareil répond-il aux exigences de la norme GDPR ou de la conformité PCI DSS ? Le PSK par appareil sur WPA2 peut répondre aux exigences de segmentation réseau de PCI DSS 4.0 si chaque clé est associée à un VLAN isolé. Cependant, PCI DSS recommande fortement le 802.1X pour les environnements contenant des données de titulaires de cartes. Vérifiez auprès de votre QSA. Quel est le nombre maximal de clés par SSID ? Cela varie considérablement. Cisco Meraki avec ISE prend en charge de très grands déploiements. Ruckus DPSK prend en charge des dizaines de milliers de clés. Juniper Mist limite à 5 000 par site. UniFi est concrètement limité par la mémoire du contrôleur. Vérifiez toujours la documentation du fournisseur pour votre version spécifique de firmware.Comment Purple s'intègre-t-il dans ce schéma ? Purple se positionne comme une surcouche cloud au-dessus de votre infrastructure matérielle existante. Nous nous intégrons avec Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme et Fortinet. Pour les déploiements de Guest WiFi et de WiFi pour le personnel, Purple gère la couche d'identité - authentification, capture de données, gestion du consentement - et renvoie l'attribution de VLAN ou de politique appropriée à votre matériel via RADIUS ou API. Vous conservez votre infrastructure PSK existante par appareil ; Purple ajoute la couche d'identité et d'analytics par-dessus. Synthèse et prochaines étapes. Rassemblons ces éléments. Le PSK par appareil - que vous l'appeliez iPSK, DPSK, MPSK ou PPSK - est une fonctionnalité mature et parfaitement prise en charge par tous les principaux fournisseurs de WiFi d'entreprise. Les implémentations diffèrent selon l'endroit où les clés sont stockées, leur mise à l'échelle et leur intégration avec RADIUS. Le protocole SAE de WPA3 crée une véritable contrainte technique pour le PSK par appareil. La norme ne le prend pas en charge nativement. Les solutions pratiques actuelles sont le mode de transition, les extensions propriétaires comme DPSK3, ou la transition vers 802.1X pour les appareils qui le prennent en charge. La synthèse par fournisseur : l'iPSK de Cisco Meraki fonctionne bien avec ISE en mode RADIUS ; la prise en charge de WPA3 se fait via le mode de transition. L'MPSK de HPE Aruba avec ClearPass est hautement évolutif ; l'MPSK WPA3 est en cours de développement actif. Le DPSK3 de Ruckus est la solution PSK par appareil WPA3 la plus mature du marché. L'Access Assurance de Juniper Mist ajoute le RADIUS PSK WPA3. Fortinet MPSK prend explicitement en charge WPA3-SAE dans ses profils MPSK. L'PPSK d'Extreme est solide pour les modes local et RADIUS. L'UniFi Private PSK est exclusivement WPA2 et local uniquement. Pour vos prochaines étapes : auditez votre déploiement actuel de PSK par appareil, identifiez les appareils compatibles WPA3 et concevez une stratégie d'SSID hybride qui dessert les deux. Si vous planifiez un renouvellement de matériel, donnez la priorité aux points d'accès Wi-Fi 6 ou Wi-Fi 7 avec prise en charge confirmée de DPSK3 ou de l'MPSK WPA3. Si vous souhaitez comprendre comment Purple s'intègre à votre fournisseur de matériel spécifique pour ajouter la gestion de l'identité et l'analytics par-dessus votre déploiement PSK par appareil, visitez purple.ai ou contactez votre équipe de compte. C'est tout pour ce briefing. Merci pour votre écoute.