PPSK WPA3 : comparaison des fonctionnalités et des modèles de déploiement

Bienvenue dans ce briefing technique de Purple. Je suis votre hôte et, aujourd'hui, nous abordons une question qui se pose à presque tous les architectes réseau travaillant actuellement dans l'immobilier multi-locataire, l'hôtellerie ou le commerce de détail : comment se comparent réellement PPSK et WPA3, et quel modèle de déploiement convient le mieux à votre environnement ? Commençons par le contexte. Si vous êtes un promoteur immobilier, un opérateur de logements locatifs ou un syndic gérant un immeuble résidentiel doté d'une infrastructure WiFi partagée, vous avez probablement entendu ces deux termes. PPSK, qui signifie Private Pre-Shared Key, et WPA3, la dernière génération de sécurité WiFi de la Wi-Fi Alliance. Ils sont souvent présentés comme des technologies concurrentes. Ce n'est pas le cas. Ils résolvent des problèmes différents. Et dans de nombreux déploiements, vous avez besoin des deux. Définissons donc clairement nos termes avant d'aller plus loin. WPA3 est une norme de certification de sécurité, ratifiée par la Wi-Fi Alliance en 2018. Elle se décline en deux versions principales. WPA3-Personal, qui remplace l'ancien mécanisme de clé prépartagée par un protocole appelé SAE - Simultaneous Authentication of Equals. Et WPA3-Enterprise, qui s'appuie sur le framework 802.1X et introduit une suite cryptographique optionnelle de 192 bits pour les environnements de haute sécurité. L'amélioration critique de WPA3-Personal est que le protocole SAE élimine les attaques par dictionnaire hors ligne. Avec le WPA2, si un attaquant capturait le handshake à quatre voies lors de la connexion d'un appareil à votre réseau, il pouvait récupérer ces données et exécuter des outils de craquage par force brute indéfiniment, sans jamais plus interagir avec votre réseau. Le protocole SAE met fin à cela. Chaque tentative de mot de passe nécessite une interaction active avec le point d'accès. Cela rend le craquage hors ligne pratiquement impossible. WPA3 impose également les cadres de gestion protégés (Protected Management Frames), ou PMF, définis dans la norme IEEE 802.11w. Cela protège le trafic de gestion entre les appareils et les points d'accès contre l'usurpation d'identité et les attaques par relecture. En WPA2, le PMF était optionnel. En WPA3, il est non négociable. Passons maintenant au PPSK. Le Private Pre-Shared Key est une technologie propriétaire - et ce mot propriétaire est important, nous y reviendrons. Le concept de base est simple : au lieu que chaque appareil sur un SSID partage le même mot de passe, chaque appareil ou chaque utilisateur reçoit une phrase de passe unique. Les différents fabricants l'appellent différemment. Cisco l'appelle iPSK. Extreme Networks l'appelle PPSK. Ruckus l'appelle DPSK. Juniper Mist l'appelle Multi-PSK. HPE Aruba l'appelle MPSK. Cambium l'appelle ePSK. Le mécanisme sous-jacent est le même pour tous. Voici comment cela fonctionne techniquement. En WPA2-Personal standard, la clé prépartagée est dérivée de votre phrase de passe à l'aide d'une formule définie dans la norme 802.11i. Chaque appareil utilisant le même mot de passe dérive la même PSK. Dans une mise en œuvre PPSK, chaque phrase de passe unique dérive une PSK différente. Lorsqu'un appareil se connecte, le point d'accès ou un serveur RADIUS teste chaque PSK stockée par rapport au Message Integrity Check lors du handshake à quatre voies jusqu'à trouver une correspondance. C'est ainsi que l'appareil est identifié. Le résultat pratique est que vous pouvez attribuer à chaque résident d'un immeuble BTR, à chaque membre du personnel d'un hôtel ou à chaque catégorie d'appareils IoT sa propre phrase de passe unique, et mapper cette phrase de passe à un VLAN spécifique. Le résident de l'appartement un obtient la phrase de passe A, qui est mappée sur le VLAN 10. Le résident de l'appartement deux obtient la phrase de passe B, qui est mappée sur le VLAN 20. Leur trafic est isolé au niveau de la couche 2. Ils partagent un seul SSID, un seul ensemble de points d'accès, une seule infrastructure - mais ils ne peuvent pas voir les appareils des uns et des autres. C'est là que la tension entre PPSK et WPA3 devient architecturalement importante. Et c'est la partie que la plupart des guides passent sous silence. Le PPSK, dans sa forme traditionnelle, fonctionne sur WPA2. Le mécanisme multi-PSK s'appuie sur la liaison à quatre voies définie dans la norme 802.11i, qui sous-tend le WPA2. WPA3-Personal remplace cette liaison par SAE. Les deux mécanismes sont fondamentalement incompatibles au niveau du protocole. Cela signifie que si vous configurez un SSID WPA3-Personal pur sur la plupart des points d'accès aujourd'hui, vous ne pouvez pas exécuter simultanément PPSK sur ce même SSID. La liaison SAE ne prend pas en charge le flux de travail d'essai et de correspondance multi-PSK. Cependant - et c'est important - le secteur résout activement ce problème. La plateforme Access Assurance de Juniper Mist prend désormais en charge le WPA3 Multi-PSK, en utilisant une approche basée sur RADIUS où le point d'accès fonctionne en mode WPA3-SAE et le serveur RADIUS gère la recherche de clé par appareil. La solution iPSK de Cisco prend également en charge le WPA3-SAE avec un serveur RADIUS externe stockant les correspondances d'adresses MAC avec les PSK. La bande 6GHz, introduite avec le Wi-Fi 6E sous la norme 802.11ax, impose le WPA3. Ainsi, tout déploiement ciblant la bande 6GHz doit trouver une solution PPSK compatible avec le WPA3. Le résultat pratique pour votre décision de déploiement est le suivant : si vous utilisez du matériel Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks ou Fortinet, vérifiez le micrologiciel actuel de votre fournisseur pour la prise en charge du WPA3 et du multi-PSK avant de finaliser votre architecture de sécurité. Le paysage évolue rapidement. Parlons des modèles de déploiement. Il existe trois modèles principaux que nous observons sur le terrain. Le premier est le PPSK sans RADIUS, parfois appelé PPSK local ou PPSK basé sur un contrôleur. Le pool de PSK est stocké directement sur le point d'accès ou le contrôleur sans fil. C'est le déploiement le plus simple. Aucun serveur d'authentification externe n'est requis. Cela fonctionne bien pour les sites plus petits - une seule succursale de vente au détail, un espace de coworking de moins de 500 membres ou un petit immeuble résidentiel. La limite est l'évolutivité. La plupart des implémentations basées sur un contrôleur limitent le nombre de PSK à quelques centaines ou quelques milliers. La gestion des clés devient manuelle. Et comme les clés sont stockées localement, révoquer une clé compromise nécessite d'intervenir directement sur le contrôleur.Le deuxième modèle est le PPSK avec RADIUS. Ici, le pool de clés PSK réside dans un serveur RADIUS externe. Lorsqu'un appareil se connecte, le point d'accès transmet la demande d'authentification au serveur RADIUS, qui recherche la clé PSK correcte pour cet appareil et la renvoie au point d'accès. Ce modèle s'adapte à des dizaines de milliers d'appareils. Il s'intègre aux fournisseurs d'identité - Microsoft Entra ID, Okta, Google Workspace - ce qui vous permet d'automatiser le provisionnement et le déprovisionnement. Lorsqu'un résident déménage d'un bâtiment BTR, vous révoquez son accès dans le fournisseur d'identité, et son accès WiFi disparaît en quelques secondes. Pas de rotation manuelle des clés. C'est sur cette architecture que repose la plateforme Multi-Tenant WiFi de Purple. Le troisième modèle est le WPA3-Enterprise avec 802.1X. Aucune clé PSK ici. Chaque appareil s'authentifie à l'aide d'un certificat ou d'un identifiant via EAP-TLS ou PEAP. C'est la référence absolue pour les environnements d'entreprise, la santé et tous les secteurs soumis à des exigences de conformité strictes comme PCI-DSS ou ISO 27001. La charge de gestion est plus élevée - vous avez besoin d'une infrastructure à clés publiques pour la gestion des certificats, et chaque appareil doit être enregistré. Pour un bâtiment BTR où les résidents apportent leurs propres appareils, c'est rarement pratique. Pour le réseau du personnel d'un hôtel ou le parc d'appareils cliniques d'un hôpital, c'est la solution idéale. Examinons maintenant deux scénarios réels pour rendre cela concret. Premier scénario. Un ensemble résidentiel de type build-to-rent de 200 logements. L'opérateur souhaite que chaque résident dispose de son propre segment de réseau privé, sans aucune visibilité sur les appartements voisins. Il doit également prendre en charge les appareils domestiques intelligents - thermostats, sonnettes vidéo, enceintes connectées - qui ne fonctionnent généralement qu'en WPA2. Et il souhaite que la charge de gestion du réseau soit la plus faible possible. L'architecture appropriée ici est le PPSK avec RADIUS sur un SSID en mode de transition WPA2 ou WPA2/WPA3. Chaque résident reçoit un mot de passe unique à son arrivée, fourni automatiquement via le système de gestion immobilière intégré au serveur RADIUS. Ses appareils - téléphones, ordinateurs portables, Smart TV - se connectent à l'aide de ce mot de passe et accèdent à son VLAN dédié. Leurs appareils IoT se connectent à l'aide d'un mot de passe IoT distinct qui est associé à un VLAN IoT restreint sans accès au segment résidentiel principal. Lorsqu'ils déménagent, le système de gestion immobilière déclenche le déprovisionnement. Leur mot de passe est révoqué. L'accès prend fin. La plateforme Multi-Tenant WiFi de Purple gère précisément ce flux de travail, en s'intégrant au matériel de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti, UniFi, Cambium, Extreme Networks et Fortinet. Grâce à l'interface cloud, vous gérez l'ensemble du parc à partir d'un seul tableau de bord, quel que soit le matériel installé sur site. Deuxième scénario. Un hôtel de 150 chambres. L'hôtel a besoin de trois segments de réseau distincts : un WiFi invités pour les clients de l'hôtel, un WiFi personnel pour les appareils opérationnels, et un réseau de gestion technique du bâtiment pour la vidéosurveillance, le contrôle des accès et la CVC. Le réseau invités doit être fluide. Le réseau personnel doit être sécurisé et auditable. Le réseau de gestion du bâtiment doit être totalement isolé. Ici, l'architecture repose sur un modèle à trois SSID. Le SSID invités utilise WPA3-Personal avec SAE, ou Enhanced Open avec Opportunistic Wireless Encryption pour une expérience totalement sans mot de passe, combiné avec le Captive Portal de Purple pour un enregistrement basé sur le consentement. Le SSID personnel utilise WPA3-Enterprise avec 802.1X, avec une authentification via Microsoft Entra ID. Le SSID de gestion du bâtiment utilise PPSK avec un VLAN dédié, isolé de tout autre trafic au niveau du pare-feu. Abordons maintenant les pièges de mise en œuvre les plus courants, car c'est là que les déploiements échouent. Le premier est la compatibilité PMF. Le WPA3 impose les Protected Management Frames. Si vous possédez des appareils existants - anciens scanners de codes-barres, terminaux de point de vente, certains équipements médicaux - qui ne prennent pas en charge PMF, ils ne parviendront pas à se connecter à un SSID exclusivement WPA3. Le symptôme est que l'appareil voit le réseau mais ne peut pas s'y associer. La solution est soit le mode de transition WPA3, qui permet aux clients WPA2 et WPA3 de se connecter au même SSID, soit un SSID WPA2 dédié sur un VLAN isolé pour ces appareils existants. Le mode de transition est une stratégie de migration valide, mais il est vulnérable aux attaques par rétrogradation, il convient donc de le considérer comme temporaire. Le deuxième piège est la prolifération des clés. Dans un déploiement PPSK sans gestion appropriée du cycle de vie, vous accumulez des clés obsolètes. Anciens résidents, ex-employés, appareils déclassés - ils laissent tous des PSK orphelins dans votre base de données RADIUS. Chacun d'eux est un vecteur d'attaque potentiel. Automatisez le provisionnement et le déprovisionnement dès le premier jour, et auditez votre base de données PSK tous les trimestres. Le troisième piège concerne la planification de la bande 6GHz. Si vous déployez des points d'accès Wi-Fi 6E ou Wi-Fi 7 et souhaitez utiliser la bande 6GHz, le WPA3 est obligatoire. Vous ne pouvez pas exécuter WPA2 sur la bande 6GHz. Donc, si votre stratégie PPSK repose sur WPA2, vos radios 6GHz resteront inutilisées ou exécuteront un SSID distinct. Planifiez votre architecture de sécurité avant de finaliser l'achat de votre matériel. Passons maintenant à une séance de questions-réponses rapide. Question : Puis-je exécuter PPSK et WPA3 sur le même SSID ? Réponse : Sur la plupart des matériels actuels, pas de manière native. Cependant, Juniper Mist et Cisco prennent tous deux en charge le WPA3-SAE avec multi-PSK basé sur RADIUS. Vérifiez le firmware actuel de votre fournisseur. Attendez-vous à une prise en charge plus large chez tous les fournisseurs d'ici 12 à 18 mois. Question : Le PPSK est-il conforme à la norme PCI-DSS ? Réponse : Le PPSK peut répondre aux exigences de segmentation réseau de la norme PCI-DSS si chaque appareil de l'environnement de données de titulaires de carte se trouve sur son propre VLAN isolé, et que l'accès est contrôlé et auditable. Pour les environnements de données de titulaires de carte, le WPA3-Enterprise avec 802.1X et EAP-TLS reste le choix le plus sûr à long terme. Question : Que se passe-t-il si un résident partage sa PPSK avec un voisin ? Réponse : Son voisin se retrouve sur le même VLAN que le résident. Le voisin ne peut pas accéder au trafic des autres résidents. Mais cela signifie que l'exploitant de la propriété fournit un service à un utilisateur non autorisé. Atténuez ce risque en liant les PSK aux adresses MAC lorsque le matériel le prend en charge, ou en mettant en œuvre une surveillance de l'utilisation et des alertes d'anomalie. En résumé. PPSK et WPA3 sont complémentaires et non concurrents. PPSK résout le problème d'isolation multi-locataire - un seul SSID, des identifiants uniques par résident ou appareil, et une attribution automatique de VLAN. WPA3 résout le problème de sécurité de l'authentification - SAE élimine les attaques par dictionnaire hors ligne, PMF protège les trames de gestion, et la suite 192 bits répond aux exigences de conformité de haute sécurité. Pour les opérateurs de BTR et les propriétaires qui déploient aujourd'hui une infrastructure WiFi partagée, l'architecture recommandée est PPSK avec RADIUS pour l'isolation des résidents, fonctionnant en WPA2 ou en mode de transition WPA3 pour une large compatibilité des appareils, avec une trajectoire de migration claire vers le protocole PPSK natif WPA3 à mesure que le support des fournisseurs mûrit. Associez cela à un SSID WPA3-Enterprise dédié pour le personnel et les appareils opérationnels, et à un VLAN IoT isolé pour les systèmes de bâtiment intelligent. La plateforme WiFi Multi-Tenant de Purple chapeaute tout cela en tant que superposition cloud indépendante du matériel. Nous gérons l'intégration RADIUS, les flux de travail de provisionnement, les analyses et les rapports de conformité - sur plus de 80 000 sites actifs et 350 millions d'utilisateurs uniques. Certifié ISO 27001, conforme GDPR et CCPA, taux de disponibilité de 99,999 %. À la prochaine.