PPSK 12 : comparaison des fonctionnalités et des modèles de déploiement

Bienvenue au briefing technique de Purple. Aujourd'hui, nous abordons PPSK 12 - c'est-à-dire le Private Pre-Shared Key avec une longueur de clé minimale de 12 caractères - en comparant ses fonctionnalités et ses modèles de déploiement pour les promoteurs immobiliers, les propriétaires et les exploitants de logements locatifs. Commençons par le contexte. Si vous gérez un immeuble résidentiel de 50, 100 ou 300 logements, vous êtes confronté à un problème de WiFi qu'un mot de passe partagé ou qu'un déploiement complet d'entreprise 802.1X ne résout pas proprement. Un mot de passe partagé signifie que chaque résident se trouve sur le même réseau. Si une personne déménage et que vous changez le mot de passe, vous perturbez la configuration de la maison connectée de tous les autres résidents. Le 802.1X complet est la référence absolue pour les appareils gérés par l'entreprise, mais il nécessite une infrastructure à clés publiques, une gestion des certificats et une configuration de demandeur sur chaque appareil. Les Chromecasts, les enceintes connectées et les consoles de jeux de vos résidents ne peuvent tout simplement pas faire cela. Le PPSK se situe précisément entre ces deux extrêmes. Chaque résident reçoit sa propre clé pré-partagée unique - un minimum de 12 caractères, mélangeant majuscules et minuscules, chiffres et symboles. Tous les résidents se connectent au même SSID. Du point de vue du résident, l'expérience est exactement celle d'un réseau WiFi domestique. De votre point de vue en tant qu'exploitant, chaque connexion est identifiée individuellement, cryptée individuellement et révocable individuellement. Première section : l'architecture technique. Lorsqu'un appareil se connecte à un SSID compatible PPSK, le contrôleur LAN sans fil intercepte la tentative de connexion et transmet l'adresse MAC de l'appareil à un serveur RADIUS. RADIUS - Remote Authentication Dial-In User Service - est le moteur d'authentification. Le serveur RADIUS recherche cette adresse MAC dans son magasin d'identités et renvoie une réponse Access-Accept. La clé pré-partagée unique de ce résident, ainsi qu'une attribution de VLAN, sont intégrées dans cette réponse. Le contrôleur valide la clé présentée par l'appareil par rapport à la clé renvoyée par le serveur RADIUS. Si elles correspondent, l'appareil s'authentifie et se retrouve sur le bon segment de réseau. Le résultat est ce que nous appelons une bulle WiFi par résident. Chaque appareil connecté avec la clé du résident A voit tous les autres appareils connectés avec la clé du résident A. Leur téléphone détecte leur Chromecast. Leur enceinte connectée s'associe à leurs ampoules. Leur console trouve leur téléviseur. Aucun appareil connecté avec la clé du résident A ne voit les appareils connectés avec une autre clé. Les appareils du résident B sont invisibles pour le résident A, même s'ils se trouvent sur le même point d'accès physique. Les principaux fournisseurs implémentent cela de manière légèrement différente. Cisco Meraki l'appelle iPSK - Identity PSK. HPE Aruba l'appelle MPSK - Multi-PSK. Ruckus l'appelle DPSK - Dynamic PSK. Juniper Mist utilise le PPSK. Le principe sous-jacent est identique pour les quatre. Les détails d'implémentation diffèrent quant à la manière dont les attributs RADIUS sont structurés et au nombre de clés uniques qu'un seul SSID peut prendre en charge.À propos de la longueur de la clé : le minimum de 12 caractères n'est pas arbitraire. Les clés WPA2-PSK sont dérivées via PBKDF2 avec 4 096 itérations de HMAC-SHA1. Une clé de moins de 12 caractères est vulnérable aux attaques par dictionnaire hors ligne, en particulier avec les outils de piratage modernes accélérés par GPU. À partir de 12 caractères avec des classes de caractères mixtes, l'espace de recherche est assez grand pour rendre les attaques par force brute informatiquement irréalisables. Certaines plateformes, y compris UniFi, imposent ce minimum au niveau de l'interface utilisateur. Vous devriez l'imposer dans votre politique de génération de clés, que la plateforme l'exige ou non. Section deux : modèles de déploiement. Il existe trois architectures de déploiement pour le PPSK, et le choix de la bonne dépend de votre portefeuille immobilier et de la capacité de votre équipe. La première est le cloud RADIUS. Vos points d'accès s'authentifient auprès d'un service RADIUS hébergé dans le cloud, généralement sur plusieurs zones de disponibilité. C'est le bon choix pour les portefeuilles multi-sites - un opérateur de BTR avec des propriétés dans plusieurs villes, par exemple. Le cloud RADIUS élimine le matériel par site, automatise la rotation des certificats et évolue de manière élastique. La plateforme de Purple offre une disponibilité de 99,999 % sur son infrastructure d'authentification. Le compromis est la dépendance au WAN : si la connexion internet d'un site tombe, les nouveaux appareils ne peuvent pas s'authentifier tant que la connectivité n'est pas rétablie. Atténuez cela avec le SD-WAN et la mise en cache locale des identifiants sur le contrôleur. La deuxième est le RADIUS sur site. Un serveur RADIUS - généralement Microsoft NPS ou FreeRADIUS - fonctionne sur du matériel ou une machine virtuelle sur le site. Cela vous offre une latence d'authentification inférieure à la milliseconde, une souveraineté totale des données et aucune dépendance au WAN. C'est le bon choix pour une seule grande propriété avec des exigences strictes en matière de résidence des données, ou pour les environnements où la connectivité internet n'est pas fiable. Le coût opérationnel est plus élevé : votre équipe gère les correctifs, la rotation des certificats et la santé des serveurs. L'expiration des certificats est la cause la plus fréquente d'interruptions complètes de l'authentification dans les déploiements sur site. Intégrez le renouvellement automatisé des certificats dans votre guide opérationnel dès le premier jour. La troisième est hybride. Le cloud RADIUS gère les SSID invités et IoT. Le RADIUS sur site gère tous les SSID d'entreprise ou du personnel qui s'authentifient auprès d'un Active Directory interne. C'est un modèle pragmatique pour les projets à usage mixte - un bâtiment BTR avec des commerces au rez-de-chaussée ou un espace de coworking, par exemple. La plateforme de Purple prend en charge ce modèle hybride de manière native, fonctionnant sur les points d'accès Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks et Fortinet. Section trois : gestion du cycle de vie des clés. La technologie est la partie la plus facile. La gestion du cycle de vie des clés est l'élément qui détermine la réussite ou l'échec opérationnel des déploiements. Lors de l'emménagement, une clé unique est générée et attribuée automatiquement pour le résident - idéalement via une intégration API avec votre système de gestion immobilière. Le résident reçoit la clé par le biais d'un e-mail de bienvenue ou de l'application résident. Tous ses appareils se connectent à l'aide de cette clé unique. Lors du déménagement, la clé est révoquée. Aucun autre résident n'est affecté. Pas de rotation de mot de passe. Pas de tickets de support. En cours de bail, les résidents ajoutent des appareils. Un portail en libre-service ou une application résident qui fournit la clé existante du résident à un nouvel appareil - sans exposer cette clé aux autres résidents - est l'approche correcte. La plateforme de Purple fournit ce flux de travail de manière native. Le risque opérationnel critique est la randomisation des adresses MAC. iOS 14 et versions ultérieures, Android 10 et versions ultérieures, ainsi que Windows 11 randomisent tous les adresses MAC par défaut pour des raisons de confidentialité. Si un appareil présente une adresse MAC randomisée, votre serveur RADIUS ne trouvera pas de correspondance et rejettera la connexion. La solution consiste à configurer votre SSID pour exiger que les clients utilisent l'adresse MAC permanente de leur appareil, ou à mettre en œuvre un flux de travail de pré-enregistrement. Cela doit figurer dans votre plan de déploiement dès le premier jour, et non être découvert lors de la mise en service. Section quatre : WPA3 et la prise en compte de la bande 6 GHz. Un mot sur le WPA3, car c'est là que je vois les opérateurs commettre des erreurs de planification. Le PPSK, tel qu'il est actuellement mis en œuvre, repose sur la poignée de main à quatre voies du WPA2-PSK. WPA3 introduit SAE (Simultaneous Authentication of Equals), qui modifie le mécanisme de poignée de main. Le SAE ne prend actuellement en charge qu'une seule clé par SSID. Cela signifie qu'un SSID purement WPA3 ne peut pas prendre en charge plusieurs clés pré-partagées uniques. Dans la bande 6 GHz, introduite avec le WiFi 6E, le WPA3 est obligatoire. Vous ne pouvez pas du tout exécuter de WPA2 dans la bande 6 GHz. Par conséquent, si vous déployez des points d'accès WiFi 6E ou WiFi 7 et que vous souhaitez utiliser la bande 6 GHz, le PPSK n'y est pas disponible aujourd'hui. La recommandation pratique pour les déploiements de 2025 et 2026 est une stratégie double bande. Exécutez votre SSID PPSK sur 2,4 GHz et 5 GHz en mode WPA2 ou en mode de transition WPA2/WPA3. Utilisez un SSID WPA3-Enterprise distinct sur 6 GHz pour les appareils gérés qui le prennent en charge. Cela vous offre l'isolation par résident du PPSK pour l'ensemble des appareils, et la sécurité renforcée du WPA3 pour les appareils qui peuvent l'utiliser. Des fabricants tels que Cisco Meraki, HPE Aruba et Juniper Mist travaillent activement sur des implémentations PPSK compatibles avec le WPA3. Section cinq : conformité et confidentialité des données. Les déploiements PPSK dans les environnements résidentiels s'inscrivent dans un contexte de confidentialité plus sensible que le WiFi pour les invités. Les résidents ont une relation continue avec vous, et l'exposition des données s'étend sur des années plutôt que sur des minutes. L'isolation des résidents est elle-même une exigence de confidentialité en vertu du GDPR. Vous avez un devoir de diligence pour empêcher un résident de découvrir ou d'interagir avec les appareils d'un autre résident. Le PPSK est le mécanisme technique qui permet d'y parvenir. L'attribution de VLAN par résident garantit une isolation de couche 2, même sur une infrastructure physique partagée. Les journaux d'authentification ne doivent être conservés que le temps nécessaire à la sécurité et aux opérations. Six mois constituent un plafond courant pour les déploiements résidentiels. Purple stocke les données dans des régions sélectionnables, prenant en charge les exigences de résidence des données au Royaume-Uni, dans l'UE et aux États-Unis. Pour les opérateurs de BTR avec des commerces de détail ou des locataires de restauration au rez-de-chaussée, la norme PCI-DSS est pertinente. Le PPSK avec attribution de VLAN par locataire vous permet de démontrer que les appareils de traitement des paiements se trouvent sur un segment cryptographiquement isolé, même sur une infrastructure physique partagée. Il s'agit d'un avantage de conformité significatif par rapport à un déploiement avec mot de passe partagé. Section six : questions-réponses rapides. Combien de clés uniques un seul SSID peut-il prendre en charge ? Cela dépend du contrôleur. Cisco Meraki prend en charge jusqu'à 5 000 iPSK par SSID sans RADIUS, et de manière pratiquement illimitée avec RADIUS. Ruckus DPSK en prend en charge des milliers par zone. En pratique, le facteur limitant est la capacité de la base de données de votre serveur RADIUS et ses performances de requête, et non le contrôleur sans fil. Le PPSK fonctionne-t-il avec les appareils IoT ? Oui. Les appareils IoT - haut-parleurs intelligents, thermostats, capteurs, serrures - se connectent en utilisant la clé du résident exactement comme n'importe quel autre appareil. Ils se retrouvent dans le VLAN du résident et peuvent découvrir d'autres appareils sur la même clé. C'est la raison principale pour laquelle le PPSK est l'architecture appropriée pour les déploiements BTR et MDU, où 15 à 25 appareils par foyer est désormais la norme. Quel est l'intérêt commercial ? Un service WiFi géré avec isolation par résident permet d'obtenir un supplément de loyer de 15 £ à 30 £ par logement et par mois selon les recherches sur le BTR de la British Property Federation. Les périodes d'inoccupation diminuent de cinq à dix jours lorsque le WiFi d'emménagement est prêt dès le premier jour. Le volume de tickets de support pour Chromecast et les problèmes de maison intelligente chute à près de zéro lorsque le PPSK est correctement déployé. Résumé et prochaines étapes. Le PPSK avec une longueur minimale de clé de 12 caractères est l'architecture d'authentification WiFi appropriée pour les déploiements BTR, MDU, de logements étudiants et de logements sociaux. Il offre une isolation par résident, une prise en charge complète de l'IoT et une gestion automatisée du cycle de vie des clés sans la surcharge d'infrastructure de 802.1X. Choisissez le RADIUS cloud pour les portefeuilles multisites. Choisissez le RADIUS sur site pour les grandes propriétés uniques ayant des exigences de souveraineté des données. Utilisez un modèle hybride pour les développements à usage mixte. Planifiez la randomisation des adresses MAC dès le premier jour. Établissez une stratégie double bande pour les déploiements WiFi 6E et WiFi 7 pendant que les implémentations PPSK compatibles WPA3 arrivent à maturité. Les trois actions à mener ce trimestre : auditer votre modèle d'authentification actuel par rapport à ces critères, évaluer votre infrastructure RADIUS et définir votre flux de gestion du cycle de vie des clés, y compris l'intégration avec votre système de gestion immobilière. La plateforme Multi-Tenant WiFi de Purple fonctionne sur les points d'accès que vous possédez déjà, sur 80 000 sites actifs, et offre une disponibilité de 99,999 % sur son infrastructure d'authentification. Merci d'avoir participé à ce briefing technique Purple.