Responsabilité liée au WiFi public : pourquoi le filtrage de contenu est obligatoire

Ce guide de référence technique présente les risques juridiques et opérationnels liés à la fourniture d'un WiFi public non filtré, en expliquant pourquoi le filtrage de contenu est une exigence de déploiement obligatoire pour les exploitants de sites. Il fournit des stratégies d'architecture exploitables, des étapes de mise en œuvre et des tactiques de atténuation des risques pour protéger les réseaux contre les activités illégales, les violations de droits d'auteur et le non-respect des réglementations. Les exploitants de sites et les directeurs techniques y trouveront des études de cas concrètes, des cadres de décision et des conseils de configuration pour mettre en œuvre un environnement de Guest WiFi défendable et conforme.

📖 7 min de lecture📝 1,605 mots🔧 2 exemples concrets❓ 3 questions d'entraînement📚 9 définitions clés

Écouter ce guide

Voir la transcription du podcast

Ravi de vous retrouver pour ce nouveau Briefing Technique Purple. Je suis votre hôte, et aujourd'hui nous abordons un sujet crucial pour tout exploitant de site, responsable informatique ou CTO gérant des réseaux publics : la responsabilité liée au WiFi public et pourquoi le filtrage de contenu n'est plus une option, mais une obligation absolue.

Si vous exploitez un réseau dans l'hôtellerie, le commerce de détail ou un grand espace public, vous êtes un fournisseur d'accès à Internet aux yeux de la loi. Et cela signifie que vous portez une part de risque. Aujourd'hui, nous allons droit au but pour analyser les risques juridiques d'un WiFi public non filtré — du piratage aux contenus illégaux — et expliquer précisément comment concevoir une solution pour les atténuer.

[SEGMENT 1 : LE CONTEXTE ET LE RISQUE]

Commençons par la réalité du terrain. Lorsque vous déployez un WiFi invité, vous ouvrez un canal vers Internet. Si ce canal n'est pas filtré, votre adresse IP est celle qui est associée à chaque flux de trafic généré par vos invités.

Nous parlons ici de violation de droits d'auteur, de téléchargement de torrents, d'accès à des contenus pédopornographiques et de diffusion de logiciels malveillants. Si un invité télécharge un film piraté sur votre réseau, la mise en demeure du titulaire des droits d'auteur vous est adressée. Si un invité accède à des contenus illégaux, ce sont les forces de l'ordre qui frappent à votre porte.

Le cadre juridique de la plupart des juridictions prévoit des protections de type "safe harbour" (port de sécurité) pour les FAI, mais uniquement si vous prenez des mesures raisonnables pour prévenir les abus et si vous pouvez identifier l'utilisateur. Sans piste d'audit et sans filtrage actif, vous perdez cette protection. C'est aussi simple que cela.

[SEGMENT 2 : ANALYSE TECHNIQUE APPROFONDIE]

Alors, comment résoudre ce problème sur le plan technique ? Cela nécessite une approche multicouche. Vous ne pouvez pas vous contenter d'un simple filtrage DNS en périphérie de réseau.

Tout d'abord, vous avez besoin d'une authentification robuste. C'est là que votre Captive Portal intervient. Nous recommandons vivement d'implémenter la norme 802.1X dans la mesure du possible, ou au minimum, un Captive Portal qui exige des identifiants vérifiables — authentification par SMS, connexion via les réseaux sociaux ou intégration avec une base de données de fidélité. Vous devez lier une adresse MAC et un bail IP à une identité vérifiée. C'est votre piste d'audit.

Ensuite vient le moteur de filtrage de contenu. Celui-ci doit être positionné en coupure (inline), généralement intégré à votre passerelle ou à votre pare-feu, ou fourni via un service de filtrage DNS basé sur le cloud qui s'intègre à votre plateforme d'analyse WiFi.

Le filtre doit catégoriser le trafic de manière dynamique. Vous devez appliquer des politiques qui bloquent les domaines malveillants connus, les protocoles de partage de fichiers en pair-à-pair comme BitTorrent, ainsi que les catégories de contenus pour adultes ou illégaux.

Parlons maintenant du chiffrement. Avec l'essor du DNS over HTTPS, les invités peuvent contourner les filtres DNS standards. Votre architecture doit en tenir compte. Vous devez bloquer les résolveurs DNS over HTTPS connus au niveau du pare-feu pour forcer le trafic à repasser par votre DNS géré, ou implémenter l'inspection approfondie des paquets (DPI) si votre matériel le permet, bien que l'inspection approfondie des paquets introduise une surcharge de traitement sur le débit.Pour les déploiements à grande échelle — comme un stade ou une grande chaîne de magasins — le débit est crucial. Vous ne pouvez pas vous permettre d'introduire de la latence. Le filtrage DNS basé sur le cloud, combiné à une mise en cache locale, est généralement l'approche la plus évolutive. Il vérifie la requête de domaine par rapport à une base de données de menaces en temps réel avant de résoudre l'IP. S'il est bloqué, l'utilisateur est redirigé vers une page expliquant la politique.

[SEGMENT 3 : RECOMMANDATIONS DE MISE EN ŒUVRE ET PIÈGES À ÉVITER]

Passons à la mise en œuvre. Le plus grand piège que nous constatons est la mentalité du « configurer et oublier ». Les bases de données de renseignements sur les menaces se mettent à jour constamment ; vos politiques doivent être dynamiques.

Une autre erreur courante est le sur-filtrage. Si vous bloquez des applications professionnelles légitimes, vous allez noyer votre support technique sous les tickets. Vous avez besoin d'une politique granulaire. Bloquez le P2P, bloquez les logiciels malveillants, bloquez les contenus illégaux. Mais veillez à mettre sur liste blanche les services essentiels.

Lors d'un déploiement sur plusieurs sites, une gestion centralisée est non négociable. Vous avez besoin d'une interface unique pour déployer les mises à jour de politiques sur tous les points d'accès et passerelles simultanément. C'est là qu'une plateforme comme le WiFi Analytics de Purple devient inestimable — elle associe l'identité, l'emplacement et la politique.

De plus, assurez-vous que votre journalisation est conforme aux réglementations locales, comme le GDPR. Vous devez conserver les journaux de connexion — qui s'est connecté, quand, et quelle IP lui a été attribuée — mais vous devez le faire de manière sécurisée et uniquement pendant la période de conservation légalement requise.

[SEGMENT 4 : QUESTIONS-RÉPONSES RAPIDES]

Abordons quelques questions courantes.

Question une : Le filtrage de contenu ralentit-il le réseau ?

S'il est correctement conçu à l'aide du filtrage DNS cloud, la latence est négligeable — généralement moins de 20 millisecondes. L'inspection approfondie des paquets ralentira les choses, utilisez-la donc de manière sélective.

Question deux : Les utilisateurs ne peuvent-ils pas simplement utiliser un VPN ?

Oui, ils le peuvent. Et vous pouvez choisir de bloquer les ports VPN connus si vous le souhaitez. Cependant, si un utilisateur utilise un VPN, le trafic est chiffré et sort par l'IP du fournisseur de VPN, pas la vôtre. La responsabilité est transférée au fournisseur de VPN.

Question trois : La randomisation des adresses MAC est-elle un problème ?

Oui, iOS et Android randomisent les adresses MAC. C'est pourquoi l'authentification par session via le Captive Portal est essentielle. Vous authentifiez la session, pas seulement le matériel.

[SEGMENT 5 : RÉSUMÉ ET PROCHAINES ÉTAPES]

Pour résumer : Un Wi-Fi public non filtré est un risque massif et non géré. Vous devez mettre en œuvre un filtrage de contenu et une authentification robuste pour protéger votre établissement, maintenir votre statut d'hébergeur protégé et garantir un environnement sûr pour tous les visiteurs.

Vos prochaines étapes ? Auditez votre déploiement actuel. Enregistrez-vous les sessions de manière adéquate ? Bloquez-vous le P2P et les contenus illégaux ? Si ce n'est pas le cas, il est temps de mettre à niveau votre architecture.

Merci d'avoir participé à ce briefing technique. Restez en sécurité, et à la prochaine fois.

Points clés à retenir

✓Fournir un WiFi public non filtré engage la responsabilité juridique des exploitants de sites pour le trafic illégal en tant que FAI de fait — les protections de type « safe harbour » sont conditionnées par la mise en œuvre de mesures techniques raisonnables.
✓Le filtrage actif du contenu et l'authentification obligatoire des utilisateurs sont non négociables pour maintenir le safe harbour et démontrer la conformité réglementaire.
✓Un Captive Portal est essentiel pour créer une piste d'audit reliant chaque session réseau à une identité d'utilisateur vérifiée — l'accès anonyme est juridiquement indéfendable.
✓Le filtrage DNS basé sur le cloud est l'approche la plus évolutive et à faible latence pour les environnements à haut débit ; le DPI doit être utilisé de manière sélective en raison de sa charge sur le débit.
✓Les pare-feu doivent être configurés pour bloquer les protocoles P2P au niveau de la couche applicative et pour bloquer les tentatives de contournement via le DNS over HTTPS (DoH) — le filtrage DNS seul est insuffisant.
✓La randomisation des adresses MAC dans les appareils modernes signifie que l'authentification basée sur la session, et non le suivi matériel, doit être le fondement de la piste d'audit.
✓Un filtrage de contenu approprié améliore les performances globales du réseau en éliminant le trafic P2P et de botnets gourmand en bande passante, offrant un ROI mesurable au-delà de la simple atténuation des risques.

Executive Summary

For IT managers, network architects, and CTOs overseeing public venues, deploying Guest WiFi is a baseline operational requirement. However, providing an open pipe to the internet without robust content filtering exposes the venue to severe legal, financial, and reputational risks. When you provide public internet access, your organisation assumes the role of an Internet Service Provider (ISP). If malicious or illegal traffic — such as copyright infringement, peer-to-peer (P2P) piracy, or Child Sexual Abuse Material (CSAM) — originates from your public IP addresses, the liability often falls on the venue operator.

This guide provides a definitive technical framework for implementing mandatory content filtering. We explore the architecture required to maintain safe harbour protections, ensure regulatory compliance (including GDPR and PCI DSS), and maintain network performance. By integrating robust filtering with WiFi Analytics , venues in Retail , Hospitality , Healthcare , and Transport sectors can mitigate risk while maintaining a seamless guest experience.

Technical Deep-Dive

The Legal Landscape and Safe Harbour

The primary driver for content filtering is public WiFi legal liability. In most jurisdictions, ISPs and public WiFi providers are protected by "safe harbour" provisions — for example, the Digital Millennium Copyright Act (DMCA) in the US, or the E-Commerce Directive and its successor frameworks in the EU. However, these protections are explicitly conditional. To qualify, providers must demonstrate they have taken reasonable technical steps to prevent illegal activity and can assist law enforcement when required.

Without an audit trail and active filtering, a venue cannot prove it took reasonable steps, which nullifies safe harbour protections entirely. This is particularly critical for public sector deployments, where accountability requirements are even more stringent. For context on how public sector digital infrastructure is evolving, see Purple Appoints Iain Fox as VP Growth – Public Sector to Drive Digital Inclusion and Smart City Innovation .

The three primary legal risk vectors for unfiltered networks are:

Risk Vector	Legal Exposure	Example Consequence
Copyright Infringement (P2P)	Civil liability, cease and desist orders	Rights holder sues the venue for facilitating infringement
CSAM Distribution	Criminal prosecution	Police investigation, licence revocation
GDPR Non-Compliance	Regulatory fines up to 4% of global turnover	ICO enforcement action for inadequate logging

Architecture of a Filtered Network

Effective content filtering requires a multi-layered architecture. No single control is sufficient. The following layers must work in concert:

Layer 1 — Authentication (Captive Portal): Before network access is granted, users must authenticate. This ties a device (MAC address) and an IP lease to a verified identity via SMS, email, or social login. This is the foundation of your audit trail. For more on why this record-keeping is critical, see Explain what is audit trail for IT Security in 2026 .

Layer 2 — DNS Filtering Engine: The most scalable approach for high-throughput environments is cloud-based DNS filtering. When a user requests a domain, the DNS resolver checks the request against a real-time threat intelligence database. If the domain is categorized as malicious or illegal — malware, adult content, piracy trackers — the resolution is blocked and the user is redirected to a policy-compliant block page.

Layer 3 — Application Layer Gateway (Firewall): DNS filtering alone is insufficient. Users can bypass DNS filters using direct IP connections or encrypted DNS (DNS over HTTPS — DoH). The network gateway must block known DoH resolvers and restrict specific protocols, particularly P2P protocols like BitTorrent, which are the primary vector for copyright infringement on public networks.

Layer 4 — Logging and Audit Trail: All session data — authenticated identity, MAC address, assigned IP, timestamps, and session duration — must be logged securely and retained for the legally mandated period. This data must be accessible to law enforcement on request without compromising other users' data under GDPR principles.

Addressing the DoH Problem

DNS over HTTPS (DoH) is the single biggest technical challenge for content filtering in 2025 and beyond. Modern browsers — including Chrome, Firefox, and Edge — can be configured to use DoH by default, routing DNS queries over HTTPS to resolvers like Cloudflare (1.1.1.1) or Google (8.8.8.8). This completely bypasses your managed DNS filtering layer.

The mitigation strategy has two components:

Blocklist known DoH resolver IPs at the firewall level. Maintain an updated list of known DoH endpoints and block outbound HTTPS traffic to those specific IPs.
Intercept and redirect all port 53 traffic to your managed DNS resolver using firewall NAT rules, preventing manual DNS override by guests.

Implementation Guide

Deploying a robust filtering solution requires careful planning to balance security with user experience. The following steps apply to venues of all scales, from a single-site hotel to a multi-location Retail chain.

Step 1: Define the Acceptable Use Policy

Establish a clear Acceptable Use Policy (AUP) that guests must accept at the captive portal. The technical filtering policy must mirror the AUP. At a minimum, block: known malware and phishing domains; CSAM (integrate with databases such as the Internet Watch Foundation blocklist); P2P file-sharing protocols; and adult content for family-appropriate venues.

Step 2: Configure the Captive Portal and Authentication

Ensure the captive portal mandates authentication. Anonymous access is the enemy of the audit trail. Implement session limits and ensure DHCP lease times are optimised for high-turnover environments. For Hospitality deployments, integrate with the Property Management System (PMS) to authenticate guests against their booking reference.

Step 3: Deploy DNS Filtering and Gateway Rules

Integrate a cloud DNS filtering service. Configure the network gateway to intercept all outbound DNS requests on port 53 and force them through the approved filtering service. Implement firewall rules to block known DoH endpoints. Configure application-layer rules to drop P2P protocol traffic.

Step 4: Whitelist Critical Services

Ensure critical venue services are whitelisted before go-live. If your venue uses location services or navigation tools — for example, Purple Launches Offline Maps Mode for Seamless, Secure Navigation to WiFi Hotspots — ensure the relevant endpoints are accessible. Also prepare support teams for common post-deployment issues; filtering can occasionally cause connectivity anomalies, as discussed in Solving the Connected but No Internet Error on Guest WiFi .

Step 5: Test and Validate

Before going live, conduct a structured test: attempt to access known blocked categories from a guest device, verify the block page is displayed, verify the audit log captures the session, and confirm legitimate traffic is unaffected.

Best Practices

Dynamic Threat Intelligence: Static blocklists are obsolete within hours of publication. Ensure your filtering engine uses real-time, continuously updated threat intelligence to categorize new domains as they emerge. Threat actors register new domains daily specifically to evade static lists.

Granular Policy Control: Avoid blanket bans that disrupt legitimate business. Blocking all video streaming may be appropriate for a corporate office network but would be entirely inappropriate for a hotel. Define policies per SSID, per venue type, or per time of day where the platform supports it.

Encrypted Traffic Management: As TLS 1.3 and DoH become standard, relying solely on DNS is insufficient. Evaluate hardware capable of Server Name Indication (SNI) inspection as a middle ground between full DPI and DNS-only filtering. SNI inspection reads the unencrypted server name in the TLS handshake without decrypting the payload, offering category-level blocking with minimal throughput impact.

Compliance Logging: Maintain connection logs — MAC address, assigned IP, timestamp, authenticated identity — in compliance with local data retention laws. Under GDPR, do not log full browsing history; log only connection metadata. Ensure logs are encrypted at rest and access-controlled.

Troubleshooting & Risk Mitigation

Common Failure Modes

The DoH Bypass: Guests using modern browsers configured to use DNS over HTTPS will bypass standard DNS filters. Mitigation: Maintain an updated blocklist of DoH provider IPs at the firewall level and redirect all port 53 traffic via NAT.

MAC Randomization: Modern iOS and Android devices randomize MAC addresses per SSID, breaking traditional device tracking. Mitigation: Rely on session-based authentication tied to the captive portal login, rather than persistent MAC tracking. The session ID, not the MAC, becomes the audit key.

Over-Filtering and False Positives: Aggressive filtering blocks legitimate traffic, generating helpdesk tickets and degrading the guest experience. Mitigation: Implement a rapid whitelist review process. Monitor blocked domain logs weekly and whitelist confirmed false positives within 24 hours.

Policy Drift Across Sites: In multi-site deployments, manually managed policies diverge over time. Site A may have an outdated blocklist while Site B is current. Mitigation: Enforce centralised, cloud-managed policy distribution with version control. All sites must pull from the same policy baseline.

ROI & Business Impact

The Return on Investment (ROI) for content filtering is primarily measured in risk avoidance. A single copyright infringement lawsuit or ICO enforcement action can cost tens of thousands of pounds — far exceeding the annual cost of a filtering solution. The table below illustrates the cost differential:

Cost Item	Unfiltered Network	Filtered Network
Annual filtering solution cost	£0	£2,000–£15,000 (scale-dependent)
Copyright infringement settlement	£10,000–£100,000+	£0 (mitigated)
GDPR fine (inadequate logging)	Up to 4% global turnover	£0 (compliant)
Reputational damage / brand impact	Significant	Minimal
Network performance (P2P removed)	Degraded	Improved

Furthermore, filtering improves overall network performance. By blocking bandwidth-heavy P2P traffic and malware botnets, you preserve throughput for legitimate guests, improving the user experience and reducing infrastructure strain. When combined with a robust WiFi Analytics platform, the network transforms from an unmanaged liability into a secure, data-generating asset that drives measurable business outcomes.

Définitions clés

Safe Harbour

Dispositions juridiques qui protègent les FAI et les opérateurs de réseau de toute responsabilité quant aux actions de leurs utilisateurs, à condition qu'ils prennent des mesures techniques raisonnables pour prévenir les abus et puissent aider les forces de l'ordre.

Le principal bouclier juridique pour les exploitants de sites. Le filtrage de contenu et la journalisation d'audit sont les conditions techniques qui maintiennent le statut de Safe Harbour.

Captive Portal

Une page web que les utilisateurs doivent consulter et avec laquelle ils doivent interagir avant de pouvoir accéder à un réseau public, utilisée pour l'authentification, l'acceptation de la charte d'utilisation et l'initiation de la session.

Le mécanisme principal pour établir l'identité de l'utilisateur et créer une piste d'audit. Sans lui, l'accès anonyme rend le Safe Harbour intenable.

Filtrage DNS

Le processus de blocage de l'accès à certains sites web ou adresses IP en interceptant et en évaluant les requêtes du système de noms de domaine (DNS) par rapport à une base de données de cybermenaces avant de résoudre l'adresse IP.

La méthode la plus efficace et à faible latence pour bloquer le contenu malveillant ou inapproprié à grande échelle. Adaptée aux environnements à haut débit sans nécessiter de matériel DPI.

Piste d'audit

Un enregistrement chronologique et inviolable des événements réseau, comprenant l'authentification de l'utilisateur, les attributions de baux IP, les heures de début/fin de session et l'identité authentifiée.

Requise pour répondre aux demandes des forces de l'ordre, démontrer la conformité réglementaire et prouver que des mesures raisonnables ont été prises pour prévenir les activités illégales.

Inspection approfondie des paquets (DPI)

Filtrage avancé des paquets réseau qui examine la charge utile des données d'un paquet lorsqu'il passe par un point d'inspection, permettant l'identification et le contrôle au niveau de l'application.

Offre le contrôle le plus granulaire mais nécessite une puissance de traitement importante et peut réduire le débit du réseau. À utiliser de préférence de manière sélective pour la détection de protocoles à haut risque.

DNS over HTTPS (DoH)

Un protocole permettant d'effectuer une résolution DNS à distance via le protocole HTTPS, chiffrant la requête DNS pour empêcher l'interception ou la manipulation par les opérateurs de réseau.

Le principal mécanisme de contournement qui compromet le filtrage basé uniquement sur le DNS. Doit être bloqué au niveau du pare-feu en maintenant une liste de blocage des IP de résolveurs DoH connus.

Peer-to-Peer (P2P)

Un modèle de communication décentralisé où chaque nœud participant dispose de capacités équivalentes, couramment utilisé pour le partage de fichiers via des protocoles tels que BitTorrent.

Le principal vecteur de violation des droits d'auteur sur les réseaux publics. Doit être bloqué à la fois au niveau du DNS et de la couche applicative (règles de port/protocole du pare-feu) pour une atténuation efficace.

Randomisation des adresses MAC

Une fonctionnalité de confidentialité dans les systèmes d'exploitation modernes (iOS 14+, Android 10+) qui utilise une adresse MAC aléatoire lors de la connexion aux réseaux WiFi, empêchant le suivi persistant des appareils.

Brise le suivi traditionnel des appareils basé sur l'adresse MAC, obligeant les opérateurs de réseau à s'appuyer sur l'authentification par session via le Captive Portal comme principal identifiant d'audit.

Server Name Indication (SNI)

Une extension du protocole TLS qui permet au client d'indiquer le nom d'hôte auquel il se connecte lors de la phase de handshake TLS, avant que la session chiffrée ne soit établie.

Permet le blocage de contenu par catégorie sur le trafic HTTPS sans déchiffrement complet de la charge utile, offrant un juste milieu entre le filtrage uniquement DNS et le DPI complet.

Exemples concrets

Un hôtel de 200 chambres reçoit des notifications automatisées de violation de droits d'auteur de la part de son FAI parce que des clients téléchargent des films en torrent via le Guest WiFi ouvert. L'hôtel utilise actuellement un réseau WPA2-PSK de base sans Captive Portal ni filtrage de contenu.

Étape 1 : Supprimer la clé PSK partagée et la remplacer par un SSID ouvert précédé d'un Captive Portal. Étape 2 : Exiger que les clients s'authentifient à l'aide de leur numéro de chambre et de leur nom de famille via une intégration PMS, ou via une vérification par SMS/e-mail. Étape 3 : Déployer un service de filtrage DNS basé sur le cloud intégré à la passerelle réseau, en activant les catégories de blocage « P2P/Partage de fichiers » et « Logiciels malveillants ». Étape 4 : Configurer le pare-feu de la passerelle pour bloquer tout le trafic sortant sur les ports BitTorrent standard (6881–6889 TCP/UDP) et bloquer les domaines de trackers de torrent connus via le filtre DNS. Étape 5 : Implémenter des règles NAT pour intercepter tout le trafic du port 53 et le rediriger vers le résolveur DNS géré. Étape 6 : Activer la journalisation des sessions pour capturer l'adresse MAC, l'IP attribuée, l'identité authentifiée et les horodatages de toutes les sessions.

Commentaire de l'examinateur : Cette approche établit immédiatement une piste d'audit en liant chaque session réseau à une identité de client vérifiée. Le blocage du P2P au niveau du DNS et des ports offre une défense en profondeur contre le piratage, répondant directement aux notifications du FAI et rétablissant la protection de l'hébergeur (safe harbour). L'intégration PMS est essentielle dans l'hôtellerie : elle élimine l'accès anonyme sans ajouter de friction pour les clients légitimes.

Une grande chaîne de vente au détail déploie un Guest WiFi dans 500 magasins. Elle doit garantir la conformité avec des politiques adaptées aux familles et empêcher la distribution de logiciels malveillants, mais elle ne peut pas se permettre d'installer du matériel DPI à haute latence dans chaque succursale. Elle a également besoin d'une application cohérente des politiques sur tous les sites.

Étape 1 : Déployer une architecture WiFi cloud gérée de manière centralisée avec un contrôleur cloud gérant les points d'accès des 500 succursales. Étape 2 : Implémenter une solution de filtrage DNS basée sur le cloud appliquée au niveau du SSID, configurée de manière centralisée et déployée simultanément sur tous les sites. Étape 3 : Configurer la politique de manière centralisée pour bloquer les catégories « Adulte », « Logiciels malveillants », « Hameçonnage » et « P2P ». Étape 4 : Utiliser le contrôleur cloud pour appliquer des règles NAT redirigeant tout le trafic du port 53 vers le résolveur DNS géré sur chaque site. Étape 5 : Configurer un agrégateur de journaux centralisé pour collecter les journaux de session des 500 sites dans une seule plateforme SIEM ou de gestion des journaux pour les rapports de conformité.

Commentaire de l'examinateur : Pour les environnements de vente au détail très distribués, le filtrage DNS cloud centralisé est la seule solution évolutive. Il introduit une latence négligeable — généralement inférieure à 20 ms — ce qui est crucial pour les environnements de vente au détail où l'expérience client est primordiale. La gestion centralisée des politiques élimine les dérives de configuration entre les sites et garantit une posture de conformité unique. L'absence de matériel DPI sur site dans chaque succursale réduit considérablement les dépenses d'investissement et les coûts de maintenance continus.

Questions d'entraînement

Q1. Votre établissement met à niveau son Wi-Fi invité. L'architecte réseau propose de supprimer le Captive Portal pour offrir une expérience utilisateur plus fluide, en s'appuyant uniquement sur un filtre DNS cloud pour bloquer les contenus indésirables. Quel est le principal risque juridique de cette approche, et que recommanderiez-vous à la place ?

Conseil : Considérez ce qui se passe si les forces de l'ordre demandent des informations sur une adresse IP spécifique utilisée à un moment précis.

Voir la réponse type

La suppression du Captive Portal élimine la couche d'authentification, ce qui signifie qu'il n'y a pas de piste d'audit reliant une session réseau à l'identité d'un utilisateur spécifique. Bien que le filtre DNS bloque les sites malveillants connus, si un utilisateur le contourne ou commet un acte illégal non détecté par le filtre, l'établissement ne pourra pas identifier l'utilisateur. Cela annule les protections de type "safe harbour", laissant l'établissement entièrement responsable. La recommandation est de conserver le Captive Portal avec authentification obligatoire, et d'utiliser le filtre DNS comme une couche complémentaire — et non comme un substitut à la vérification d'identité.

Q2. Un utilisateur se plaint de ne pas pouvoir accéder à un VPN d'entreprise légitime alors qu'il est connecté à votre Wi-Fi invité filtré. Vous vérifiez les journaux et constatez que la connexion est interrompue au niveau de la passerelle, et non au niveau du DNS. Quelles sont les deux causes les plus probables, et comment résoudriez-vous chacune d'elles ?

Conseil : Pensez à la façon dont les pare-feu gèrent le trafic chiffré et les ports non standard, ainsi qu'au fonctionnement des protocoles VPN.

Voir la réponse type

Cause 1 : Le pare-feu a une politique de sortie trop restrictive qui bloque les ports spécifiques utilisés par le protocole VPN — par exemple, UDP 500 et UDP 4500 pour IKEv2/IPsec, ou TCP/UDP 1194 pour OpenVPN. Résolution : Autoriser les ports VPN standard pour le trafic sortant tout en surveillant les abus. Cause 2 : Un moteur DPI rejette le trafic du tunnel chiffré car il ne peut pas inspecter la charge utile et est configuré pour bloquer les sessions chiffrées non reconnues. Résolution : Créer une exception au niveau de la couche applicative pour les protocoles VPN connus, ou désactiver le DPI pour le trafic sur les ports VPN standard.

Q3. Vous avez déployé une solution robuste de filtrage DNS cloud sur le réseau de votre établissement, mais votre tableau de bord d'analyse Wi-Fi indique une consommation de bande passante importante correspondant à du trafic BitTorrent. Comment cela est-il possible si le filtrage DNS est actif, et quels contrôles supplémentaires devez-vous mettre en œuvre ?

Conseil : Le DNS résout uniquement les noms en adresses IP. Considérez comment les logiciels P2P découvrent et se connectent aux pairs après le contact initial avec le tracker.

Voir la réponse type

BitTorrent et les autres protocoles P2P utilisent le DNS uniquement pour la découverte initiale du tracker. Une fois les pairs découverts, le client s'y connecte directement via l'adresse IP, contournant complètement le DNS. Le filtrage DNS seul ne peut pas arrêter le transfert de données de pair à pair une fois la connexion initiale établie. Pour résoudre ce problème, vous devez configurer le pare-feu de la passerelle réseau pour bloquer les protocoles P2P à l'aide d'un filtrage de la couche applicative ou en bloquant les plages de ports BitTorrent connues (6881–6889 TCP/UDP) et le protocole DHT (UDP 6881). De plus, envisagez d'activer la limitation de la bande passante pour tout trafic P2P résiduel utilisant des ports non standard.

Continuer la lecture de cette série

DNS Over HTTPS (DoH) : implications pour le filtrage du WiFi public

Ce guide de référence technique explique comment le DNS over HTTPS (DoH) contourne le filtrage de contenu traditionnel du port 53 sur les réseaux WiFi publics. Il fournit des stratégies d'atténuation exploitables et neutres vis-à-vis des fournisseurs pour permettre aux architectes réseau et aux responsables informatiques de regagner en visibilité, d'assurer la conformité et de sécuriser l'accès des invités dans les environnements d'entreprise.

Bloquer les logiciels malveillants et le phishing à la périphérie du réseau

Ce guide de référence technique présente l'architecture, le déploiement et l'impact commercial de la mise en œuvre d'une protection contre les menaces au niveau du réseau afin de sécuriser les appareils non gérés des invités et de l'IoT à la périphérie du réseau. Il fournit des conseils pratiques aux responsables informatiques pour bloquer de manière proactive les logiciels malveillants et le phishing.

Conformité IWF pour les réseaux WiFi publics au Royaume-Uni

Ce guide de référence détaille les exigences techniques, l'architecture et les stratégies de déploiement pour la mise en œuvre de réseaux WiFi publics conformes à l'IWF dans les établissements du Royaume-Uni. Il fournit aux responsables informatiques des cadres d'action concrets pour atténuer les risques juridiques tout en maintenant un accès réseau de haute performance.