La vie du PPSK : comparaison des fonctionnalités et des modèles de déploiement

Bienvenue dans la série technique Purple WiFi. Aujourd'hui, nous abordons le cycle de vie du PPSK - Private Pre-Shared Key - en comparant ses fonctionnalités et ses modèles de déploiement pour les promoteurs immobiliers, les propriétaires et les opérateurs de colocation et de build-to-rent. Commençons par le contexte. Si vous gérez un bâtiment résidentiel - qu'il s'agisse d'un ensemble de 50 logements en build-to-rent, d'une résidence étudiante ou d'un espace de co-living - vous avez très certainement rencontré le même problème de WiFi. Un mot de passe partagé pour tout le bâtiment. Quelqu'un déménage, vous changez la clé, et soudain 200 résidents ne peuvent plus connecter leurs appareils. Ou pire, vous ne la changez pas, et votre ancien locataire a toujours accès au réseau. Le PSK standard - Pre-Shared Key - n'a jamais été conçu pour cela. Il a été conçu pour un foyer de quatre personnes qui se font toutes confiance. Pas pour un bâtiment de 300 résidents qui ne se connaissent pas. Alors, qu'est-ce que le PPSK ? Le Private Pre-Shared Key attribue à chaque résident, ou à chaque appareil, son propre mot de passe WiFi unique. Ils se connectent tous au même nom de réseau - le même SSID - mais chaque clé est unique pour ce résident. Lorsque le résident A se connecte, le réseau sait qu'il s'agit du résident A. Lorsqu'il déménage, vous révoquez sa clé. Personne d'autre n'est affecté. Pas un seul autre résident n'a besoin de reconnecter un seul appareil. Maintenant, vous vous dites peut-être - n'est-ce pas exactement ce que fait le 802.1X ? Et vous auriez à moitié raison. Le 802.1X, la norme d'authentification d'entreprise de l'IEEE, fournit également des identifiants individuels. Mais il nécessite une infrastructure de certificats, un serveur RADIUS et une configuration du demandeur côté client. Les Chromecast, consoles PlayStation et thermostats intelligents de vos résidents ne peuvent pas gérer le 802.1X. Ils n'ont pas la pile logicielle nécessaire pour cela. Le PPSK fonctionne avec tous les appareils qui peuvent se connecter au WiFi - car du point de vue de l'appareil, il s'agit simplement de saisir un mot de passe. C'est là l'essence même du PPSK. Vous bénéficiez d'une responsabilité individuelle - l'avantage de sécurité du 802.1X - sans la surcharge d'infrastructure ni les problèmes de compatibilité des appareils. Parlons maintenant du paysage des constructeurs, car la terminologie varie. Aruba l'appelle MPSK - Multi-PSK. Cisco Meraki l'appelle iPSK - Identity PSK - et y a récemment ajouté WiFi Personal Network. Ruckus l'appelle DPSK - Dynamic PSK. Extreme Networks, pionnier de cette technologie, l'appelle PPSK. Juniper Mist utilise l'ePSK. Le concept sous-jacent est identique pour tous. Un seul SSID, plusieurs clés, et une isolation par utilisateur. Chez Purple, nous nous positionnons au-dessus de tout cela en tant que solution cloud overlay indépendante du matériel. Nous fonctionnons sur Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme et Fortinet. Nous gérons le cycle de vie des clés - provisionnement, rotation, révocation - quels que soient les points d'accès installés au plafond. Passons à l'architecture. Dans un déploiement PPSK, le point d'accès - ou le contrôleur associé - contient une table associant chaque clé à un VLAN. Lorsqu'un appareil se connecte avec la clé du résident A, le point d'accès attribue cet appareil au VLAN du résident A. Les appareils du résident B se retrouvent sur le VLAN du résident B. Au niveau de la couche Layer 2, ils sont totalement invisibles les uns pour les autres. C'est ce que nous appelons la bulle WiFi. Chaque résident bénéficie d'un réseau local privé - son propre réseau domestique virtuel - même s'il partage l'infrastructure physique. Son téléphone détecte son Chromecast. Son enceinte connectée s'associe à ses ampoules. Sa console obtient un type NAT ouvert. Cela fonctionne exactement comme un routeur domestique, car du point de vue du réseau, il s'agit d'un routeur domestique - mais virtuel. Le serveur RADIUS est facultatif chez certains fabricants pour les petits déploiements, mais pour tout ce qui dépasse quelques dizaines d'unités, l'intégration de RADIUS est indispensable. Cela vous permet de centraliser les journaux, de gérer l'attribution dynamique des VLAN et de vous intégrer à votre fournisseur d'identité - Microsoft Entra ID, Okta ou Google Workspace. Purple propose RADIUS-as-a-Service au sein de sa plateforme, vous évitant ainsi d'avoir à gérer votre propre serveur. De plus, le WPA3 ajoute une couche de sécurité supplémentaire. WPA3-Personal a introduit le protocole SAE - Simultaneous Authentication of Equals - qui remplace l'ancien handshake à 4 voies. Le protocole SAE résiste aux attaques par dictionnaire hors ligne, ce qui signifie que même si quelqu'un intercepte le handshake, il ne peut pas forcer la clé hors ligne. Pour les déploiements PPSK, le mode de transition WPA3 - qui prend en charge simultanément les clients WPA2 et WPA3 - constitue le point de départ idéal pour 2025 et au-delà. La plupart des points d'accès de Cisco Meraki, HPE Aruba et Ruckus gèrent déjà cette fonctionnalité aujourd'hui. Examinons deux scénarios réels de déploiement, car la théorie a ses limites. Premier scénario : un projet immobilier résidentiel locatif de 200 unités à Manchester. Le promoteur pré-équipe le bâtiment avec des points d'accès HPE Aruba - un par étage, installé dans les couloirs. Il souhaite que les résidents bénéficient du WiFi dès le premier jour de leur location, sans délai d'attente pour l'activation du haut débit, et souhaite facturer ce service comme une prestation premium incluse dans l'offre de services. L'architecture ici est simple. Un seul SSID pour tout le bâtiment - utilisons le nom de l'immeuble. Purple génère une clé MPSK unique pour chaque appartement lors du parcours d'accueil avant l'emménagement. Le résident reçoit sa clé par e-mail avant son arrivée. Il s'installe, connecte son téléphone, et tous ses autres appareils utilisent la même clé. Son Chromecast fonctionne. Son Alexa fonctionne. Sa PlayStation obtient un type NAT ouvert. Lorsqu'il déménage, le système de gestion immobilière déclenche un webhook vers l'API de Purple. Purple révoque la clé. Le résident suivant reçoit une nouvelle clé. Personne d'autre dans le bâtiment n'est impacté. L'ensemble du cycle de vie - attribution, rotation, révocation - est automatisé. Le gestionnaire immobilier n'intervient jamais sur le réseau. Le résultat commercial : les recherches de la British Property Federation montrent que les opérateurs BTR obtiennent une prime de loyer de quinze à trente livres par unité et par mois lorsque le WiFi est inclus comme un équipement géré. Les périodes de vacance diminuent de cinq à dix jours car la connectivité le jour de l'emménagement est garantie. Et le coût par porte d'une surcouche logicielle sur du matériel propre est généralement de trente à cinquante pour cent inférieur à celui des contrats haut débit par unité. Deuxième scénario : une résidence étudiante de 600 lits construite à cet effet. Le défi ici est la semaine de cohorte - la première semaine de septembre, lorsque six cents étudiants arrivent simultanément, chacun avec une moyenne de sept appareils. Ordinateurs portables, téléphones, tablettes, consoles, enceintes connectées. Cela représente plus de quatre mille appareils qui tentent de se connecter en 48 heures. Avec une configuration PSK standard, c'est un cauchemar pour l'assistance. Avec PPSK, chaque étudiant reçoit sa clé dans l'e-mail de bienvenue avant son arrivée. Ils arrivent, se connectent une fois, et tous leurs appareils sont sur leur segment privé. La console de jeux obtient le bon type de NAT. La smart TV diffuse sans mise en mémoire tampon. L'ordinateur portable se connecte au VPN de l'université sans interférence avec le trafic des autres résidents. La principale différence opérationnelle par rapport au BTR est la rotation annuelle de la cohorte. Chaque mois d'août, vous attribuez en masse de nouvelles clés pour la cohorte entrante et vous révoquez en masse les clés de la cohorte sortante. Purple gère cela via une intégration SCIM avec le système de gestion des étudiants, ou via un import CSV si le système ne prend pas en charge SCIM. Dans les deux cas, il s'agit d'une opération planifiée et non manuelle. Permettez-moi maintenant d'aborder les pièges de la mise en œuvre, car il y en a quelques-uns qui surprennent les gens. Premier point : l'épuisement des VLAN. Chaque segment de résident a besoin de son propre VLAN. Un bâtiment de 500 unités nécessite 500 VLANs. La plupart des commutateurs d'entreprise prennent en charge 4 096 VLANs sous la norme 802.1Q, vous risquez donc peu d'atteindre le plafond, mais vous devez planifier votre plage de VLANs dès la phase de conception. Ne laissez pas cela pour plus tard. Deuxième point : le mDNS et la découverte d'appareils. Par défaut, le mDNS - le protocole utilisé par Chromecast, AirPlay et Sonos pour découvrir les appareils - ne traverse pas les limites des VLANs. Vous devez configurer une réflexion ou un proxy mDNS sur votre contrôleur ou passerelle pour permettre la découverte au sein du VLAN d'un résident tout en la bloquant entre les VLANs. Tous les principaux fournisseurs prennent cela en charge, mais ce n'est pas toujours activé par défaut. Vérifiez-le avant la mise en service. Troisième point : la randomisation des adresses MAC. Les appareils iOS et Android modernes randomisent leur adresse MAC par réseau pour protéger la vie privée. Cela perturbe tout flux d'authentification ou d'enregistrement d'appareil basé sur l'adresse MAC. Le PPSK contourne entièrement ce problème - l'authentification est basée sur la clé, et non sur l'adresse MAC - mais si vous appliquez des règles de filtrage MAC supplémentaires, vous devez tenir compte de la randomisation.Quatrièmement : la longueur et la complexité des clés. Les clés PPSK doivent comporter au moins 20 caractères, être générées de manière aléatoire et ne jamais être réutilisées d'un résident à l'autre. Une clé faible compromet l'ensemble du modèle d'isolation. Purple génère par défaut des clés de manière cryptographiquement aléatoire. Si vous générez des clés manuellement ou via une intégration avec un système de gestion immobilière, imposez une longueur minimale dans votre flux de travail de provisionnement. Cinquièmement : le flux d'intégration de l'IoT. Les appareils de maison connectée - thermostats, serrures de porte, prises intelligentes - utilisent souvent un mode de configuration Bluetooth ou WiFi temporaire avant de rejoindre le réseau principal. Vos instructions d'intégration pour les résidents doivent en tenir compte. L'appareil doit rejoindre le réseau PPSK du résident, et non le réseau de gestion du bâtiment. Un guide de configuration clair et illustré réduit considérablement les tickets de support. Passons à une session de questions-réponses rapide pour aborder les questions que nous entendons le plus souvent. Question : Ai-je besoin d'un serveur RADIUS pour le PPSK ? Réponse : Cela dépend de l'échelle et du fournisseur. L'iPSK de Cisco Meraki prend en charge jusqu'à 50 clés sans RADIUS, mais s'étend jusqu'à 5 000 avec RADIUS via WiFi Personal Network. L'MPSK d'Aruba nécessite RADIUS pour l'attribution dynamique de VLAN. Pour tout déploiement supérieur à 50 unités, utilisez RADIUS. Purple fournit un service de RADIUS-as-a-Service, vous n'avez donc pas besoin de gérer le vôtre. Question : Les résidents peuvent-ils utiliser le PPSK sur tous leurs appareils, y compris les consoles de jeux et les smart TV ? Réponse : Oui. C'est le principal avantage par rapport au 802.1X. Tout appareil prenant en charge le WPA2-Personal - c'est-à-dire tous les appareils WiFi fabriqués au cours des 15 dernières années - fonctionne avec le PPSK. Pas de certificats, pas de configuration de demandeur, pas de Captive Portal. Juste un mot de passe. Question : Que se passe-t-il lorsqu'un résident perd sa clé ou change de téléphone ? Réponse : Il demande une nouvelle clé via le portail ou l'application des résidents. Purple génère une nouvelle clé, et l'ancienne clé peut éventuellement être révoquée. La nouvelle clé fonctionne sur tous ses appareils. Il s'agit d'un flux en libre-service - aucune intervention informatique n'est requise. Question : Le PPSK est-il conforme au GDPR ? Réponse : Le PPSK en soi est un mécanisme d'accès au réseau, pas un outil de collecte de données. La conformité au GDPR dépend des données que vous collectez et de la manière dont vous les traitez. Purple est certifié GDPR et ISO 27001. Les journaux WiFi des résidents ne doivent être conservés que le temps nécessaire au fonctionnement - six mois est une limite courante. Les analyses agrégées sont généralement acceptables ; le suivi des comportements individuels à l'intérieur du logement d'un résident ne l'est pas. Question : Comment le PPSK se compare-t-il à Passpoint et OpenRoaming ? Réponse : Les cas d'utilisation sont différents. Passpoint - également connu sous le nom de Hotspot 2.0 - est conçu pour une itinérance transparente entre les sites et les opérateurs. OpenRoaming s'appuie sur Passpoint pour l'itinérance mondiale. Le PPSK est destiné à un accès persistant, basé sur l'identité, au sein d'une seule propriété ou d'un domaine. Ils sont complémentaires et non concurrents. Un développement BTR peut utiliser le PPSK pour les résidents et Passpoint pour l'accès des visiteurs dans les zones communes. Permettez-moi de conclure avec les points clés à retenir. Un : le PPSK est le modèle d'authentification idéal pour le WiFi résidentiel multi-locataires. Il offre une isolation par résident, une compatibilité IoT et une gestion automatisée du cycle de vie - sans l'infrastructure de certificats du 802.1X. Deux : la terminologie des fournisseurs varie - iPSK, MPSK, DPSK, ePSK - mais le concept est identique. Choisissez votre matériel en fonction des exigences de votre bâtiment, et utilisez une superposition indépendante du matériel comme Purple pour gérer le cycle de vie quel que soit le fournisseur. Trois : planifiez votre plage VLAN, la réflexion mDNS et le flux d'intégration IoT avant la mise en service. Ce sont les trois sources les plus courantes de tickets de support après déploiement. Quatre : le PPSK offre un retour sur investissement commercial mesurable. Quinze à trente livres par logement et par mois de supplément de loyer BTR, des périodes de vacance réduites de cinq à dix jours, et un coût par porte de trente à cinquante pour cent inférieur à celui des contrats haut débit par logement. Cinq : le mode de transition WPA3 est la bonne cible pour les nouveaux déploiements en 2025 et au-delà. Il prend en charge les clients WPA2 et WPA3, et la protection SAE renforce considérablement les clés contre les attaques hors ligne. Si vous souhaitez approfondir le sujet, le guide du WiFi multi-locataires de Purple couvre le dimensionnement des sous-réseaux, la planification des plages DHCP et les modèles de déploiement spécifiques aux secteurs du BTR, des résidences étudiantes, des logements sociaux et du coworking. Il existe également un outil gratuit de conception de sous-réseaux iPSK sur le site Web de Purple. Merci pour votre écoute. Si vous avez des questions, contactez l'un de nos architectes réseau sur purple.ai. À la prochaine.