Qu'est-ce qu'un supplicant 802.1X ? Types de clients et configuration d'appareil
Ce guide explique le rôle du supplicant 802.1X dans l'authentification WiFi d'entreprise. Il couvre l'architecture technique, compare les supplicants natifs des OS avec les clients tiers et fournit des conseils de configuration pratiques pour les équipes informatiques déployant EAP-TLS et PEAP.
Écouter ce guide
Voir la transcription du podcast
- Synthèse
- Analyse technique approfondie
- Les trois composants de 802.1X
- Méthodes EAP : Le langage du supplicant
- Guide d'implémentation
- Suppliants natifs de l'OS
- Logiciels suppliants tiers
- Configuration de la validation du certificat du serveur
- Bonnes pratiques
- Dépannage et atténuation des risques
- ROI et impact commercial

Synthèse
Lorsqu'un appareil se connecte à un réseau d'entreprise, le supplicant 802.1X est le composant logiciel chargé de prouver son identité. Pour les responsables informatiques et les architectes réseau des grands espaces, comprendre le fonctionnement du supplicant est essentiel pour sécuriser l'accès au réseau sans générer de tickets d'assistance. Ce guide démystifie l'agent côté appareil dans l'authentification IEEE 802.1X, en opposant les fonctionnalités natives du système d'exploitation aux logiciels supplicants tiers. Nous examinerons comment configurer les supplicants pour EAP-TLS et PEAP-MSCHAPv2, explorerons des scénarios de déploiement réels dans l'hôtellerie et le commerce de détail, et détaillerons comment une configuration correcte du supplicant s'intègre aux réseaux basés sur l'identité pour optimiser l'accès. Que vous gériez un hôtel de 200 chambres ou un espace événementiel de plus de 80 000 places, la configuration correcte du supplicant est la pierre angulaire d'un WiFi sécurisé et fiable.
Analyse technique approfondie
La norme IEEE 802.1X définit le contrôle d'accès réseau basé sur les ports. Elle repose sur un principe simple : bloquer tout le trafic à la périphérie du réseau jusqu'à ce qu'un appareil prouve son identité. Le supplicant est le participant côté client dans ce processus.
Les trois composants de 802.1X
L'authentification nécessite trois entités distinctes :
- Supplicant : L'appareil client (ordinateur portable, smartphone ou tablette) demandant l'accès au réseau.
- Authentificateur : L'appareil d'accès réseau, tel qu'un point d'accès Cisco Meraki, HPE Aruba, Ruckus ou Juniper Mist.
- Serveur d'authentification : Le serveur RADIUS qui valide les identifiants par rapport à un fournisseur d'identité comme Microsoft Entra ID ou Okta.
Avant l'authentification, le port de l'authentificateur est dans un état non autorisé, ne permettant que le trafic EAPOL (Extensible Authentication Protocol over LAN). Le supplicant lance le processus avec une trame EAPOL-Start. L'authentificateur demande l'identité, et le supplicant répond. Cette identité est transmise au serveur RADIUS, qui détermine la méthode EAP à utiliser. Une fois la validation réussie, le serveur RADIUS envoie un message Access-Accept, le port passe à un état autorisé et l'appareil est généralement attribué à un VLAN spécifique.

Méthodes EAP : Le langage du supplicant
Le supplicant et le serveur RADIUS doivent s'accorder sur une méthode EAP (Extensible Authentication Protocol). Le choix de la méthode EAP dicte le niveau de sécurité et la charge de configuration du supplicant.
EAP-TLS (Transport Layer Security) EAP-TLS nécessite une authentification mutuelle basée sur des certificats. Le suppliant fournit un certificat client pour prouver son identité, et le serveur RADIUS fournit un certificat serveur pour prouver la légitimité du réseau. Cette méthode sans mot de passe élimine le vol d'identifiants et est requise par des cadres de sécurité stricts tels que la norme NIST SP 800-171. Le suppliant doit être configuré pour faire confiance à l'autorité de certification (CA) émettrice et posséder un certificat client valide.
PEAP (Protected EAP) Dans les scénarios où une infrastructure à clés publiques (PKI) complète n'est pas réalisable, PEAP est largement utilisé. Il encapsule une méthode d'authentification interne (généralement MSCHAPv2) dans un tunnel TLS sécurisé. Le serveur RADIUS fournit un certificat, mais le suppliant n'a besoin de fournir qu'un nom d'utilisateur et un mot de passe. Bien que PEAP soit plus facile à déployer, il est très vulnérable à la collecte d'identifiants si le suppliant n'est pas strictement configuré pour valider le certificat du serveur.
Guide d'implémentation
Lors du déploiement de 802.1X, les équipes informatiques doivent choisir entre l'utilisation du suppliant natif intégré au système d'exploitation ou le déploiement d'un logiciel suppliant tiers.
Suppliants natifs de l'OS
Chaque système d'exploitation moderne comprend un suppliant 802.1X natif. Windows utilise les services Wired AutoConfig et WLAN AutoConfig. Les appareils Apple utilisent des profils réseau. Android intègre cela dans ses paramètres WiFi.
Les suppliants natifs sont idéaux pour les flottes gérées. À l'aide de plateformes de gestion des appareils mobiles (MDM) telles que Microsoft Intune ou Jamf, les administrateurs informatiques peuvent pousser silencieusement des profils de configuration qui définissent l'SSID, la méthode EAP, les autorités de certification racines de confiance et les processus d'inscription de certificats via SCEP. L'expérience utilisateur est fluide ; l'appareil s'authentifie en arrière-plan.
Logiciels suppliants tiers
Les suppliants tiers, tels que Cisco AnyConnect Network Access Manager ou SecureW2 JoinNow, sont nécessaires dans des scénarios spécifiques :
- Protocoles propriétaires : L'utilisation de Cisco EAP-FAST nécessite un suppliant Cisco.
- Onboarding BYOD : Les outils tiers agissent souvent comme des assistants de configuration, guidant les utilisateurs pour installer des certificats sur des appareils non gérés où la configuration native est complexe (particulièrement dans les environnements Android fragmentés).
- Contrôle strict de la configuration : Les suppliants tiers peuvent verrouiller les paramètres, empêchant les utilisateurs de désactiver la validation du certificat du serveur.

Configuration de la validation du certificat du serveur
Quel que soit le suppliant choisi, la configuration de la validation du certificat du serveur est essentielle, en particulier pour PEAP. Si le suppliant ne valide pas le certificat du serveur RADIUS, il enverra aveuglément des identifiants à un point d'accès malveillant imitant votre SSID. Sous Windows, cela signifie cocher « Valider l'identité du serveur en validant le certificat » dans les propriétés PEAP, sélectionner l'autorité de certification racine de confiance (Root CA) et spécifier les noms de serveur exacts auxquels le client doit s'attendre. Sur les appareils Apple, le profil de configuration doit explicitement lister les certificats de confiance.
Bonnes pratiques
- Imposer la validation du serveur : Lors du déploiement de PEAP, ne le faites jamais sans configurer les supplicants pour valider le certificat du serveur RADIUS. C'est la principale ligne de défense contre les attaques de type « evil twin ».
- Automatiser le cycle de vie des certificats : Lors de l'utilisation d'EAP-TLS, automatisez l'enrôlement et le renouvellement des certificats clients via MDM à l'aide de SCEP ou NDES. La gestion manuelle des certificats n'est pas évolutive et entraîne des échecs d'authentification soudains.
- Ségréguer par identité : Utilisez les attributs RADIUS pour attribuer des VLAN en fonction de l'identité validée. Les appareils des employés et les terminaux de point de vente doivent s'authentifier sur le même SSID mais aboutir sur des VLAN entièrement différents.
- Planifier pour l'IoT : La plupart des appareils IoT ne disposent pas de supplicants 802.1X. Pour ces appareils, utilisez le contournement d'adresse MAC (MAB), mais assurez-vous qu'ils soient strictement isolés sur un VLAN IoT dédié.
Dépannage et atténuation des risques
Lorsqu'un appareil ne parvient pas à se connecter, le problème se situe presque toujours au niveau de la configuration du client ou de la chaîne de certificats.
- « Connecté, pas d'Internet » : Cela indique généralement un échec d'attribution de VLAN ou des problèmes de DHCP post-authentification. Vérifiez les journaux RADIUS pour vérifier que le message Access-Accept contient le bon Tunnel-Private-Group-Id.
- Échecs silencieux sous Windows 11 : Les récentes mises à jour de fonctionnalités de Windows 11 (telles que la version 24H2) ont modifié la façon dont le supplicant natif gère le repli EAP-TLS. Testez toujours les profils par rapport aux nouvelles versions du système d'exploitation avant un déploiement à grande échelle.
- Expiration du certificat : Si un groupe d'appareils se déconnecte soudainement, vérifiez la période de validité des certificats clients. Assurez-vous que votre MDM les renouvelle avec succès avant leur expiration.
ROI et impact commercial
La migration vers le 802.1X avec des supplicants correctement configurés offre une valeur commerciale mesurable. En éliminant les mots de passe partagés (Pre-Shared Keys/PSK), vous supprimez complètement la charge opérationnelle liée à la rotation des mots de passe lors du départ d'employés. Le passage à l'EAP-TLS peut éliminer entièrement les tickets de réinitialisation de mot de passe, libérant ainsi un temps de productivité important pour le centre de services.
De plus, le 802.1X permet une isolation réseau basée sur l'identité sur un seul SSID. Au lieu de diffuser des réseaux distincts pour le Guest WiFi , le personnel et les opérations, un seul SSID peut acheminer le trafic de manière sécurisée en fonction des identifiants des clients. Cela réduit les interférences de canaux et améliore les performances globales du réseau, soutenant directement l'approche de superposition cloud de Purple pour une gestion de réseau indépendante du matériel. Pour des analyses plus approfondies, explorez notre fonctionnalité de WiFi Analytics .
Définitions clés
Supplicant 802.1X
Le composant logiciel sur un appareil client qui gère le processus d'authentification requis pour rejoindre un réseau protégé par la norme IEEE 802.1X.
Les équipes informatiques configurent le supplicant pour définir comment un appareil prouve son identité au réseau.
Authentificateur
L'équipement réseau (commutateur ou point d'accès) qui bloque le trafic jusqu'à ce que le supplicant s'authentifie avec succès.
Le matériel de fournisseurs comme Cisco Meraki ou HPE Aruba agit comme authentificateur, relayant les messages entre l'appareil et le serveur.
RADIUS
Remote Authentication Dial-In User Service. Le serveur qui vérifie les identifiants fournis par le supplicant.
Le serveur RADIUS vérifie l'identité par rapport à des annuaires comme Okta ou Microsoft Entra ID avant d'accorder l'accès.
EAP-TLS
Extensible Authentication Protocol with Transport Layer Security. Une méthode d'authentification nécessitant des certificats numériques à la fois du client et du serveur.
Considéré comme la méthode la plus sécurisée pour les réseaux d'entreprise, éliminant le besoin de mots de passe.
PEAP
Protected Extensible Authentication Protocol. Une méthode d'authentification qui crée un tunnel TLS sécurisé pour protéger l'authentification basée sur mot de passe.
Couramment utilisé dans les environnements BYOD où le déploiement de certificats clients sur des appareils non gérés est trop complexe.
EAPOL
Extensible Authentication Protocol over LAN. Le protocole utilisé pour encapsuler les messages EAP entre le supplicant et l'authentificateur.
Avant l'authentification, EAPOL est le seul type de trafic que l'authentificateur autorise à travers le port.
MAC Authentication Bypass (MAB)
Une méthode d'authentification de repli où le réseau utilise l'adresse MAC de l'appareil comme identité.
Utilisé pour les imprimantes, les caméras et les appareils IoT qui ne disposent pas d'un supplicant 802.1X.
Attribution de VLAN
Le processus de placement dynamique d'un appareil authentifié sur un segment de réseau virtuel spécifique.
Le serveur RADIUS indique à l'authentificateur quel VLAN attribuer en fonction de l'identité du supplicant.
Exemples concrets
Un hôtel de 200 chambres doit sécuriser le réseau de son personnel. Utilisant actuellement WPA2-Personal avec un mot de passe partagé, il souhaite passer au 802.1X. Le personnel utilise un mélange d'ordinateurs portables Windows appartenant à l'entreprise et de téléphones Android personnels pour la gestion des plannings. Comment doivent-ils configurer les supplicants ?
L'hôtel devrait déployer une approche hybride. Pour les ordinateurs portables Windows de l'entreprise, ils doivent utiliser le supplicant Windows natif configuré via Microsoft Intune. Le profil MDM doit pousser les paramètres EAP-TLS, installer la CA racine et automatiser l'enrôlement des certificats clients via SCEP. Pour les téléphones Android personnels, ils doivent déployer un agent d'intégration tiers (comme SecureW2) via un portail en libre-service. Le membre du personnel se connecte au portail à l'aide de ses identifiants Microsoft Entra ID, et l'agent configure automatiquement le supplicant Android natif pour PEAP-MSCHAPv2, garantissant ainsi le verrouillage de la validation du certificat du serveur.
Une grande chaîne de vente au détail comptant 50 magasins déploie de nouvelles tablettes de point de vente (POS) mobiles. La norme PCI-DSS exige une isolation stricte du réseau. Comment la configuration du supplicant doit-elle garantir la conformité ?
Les tablettes doivent être gérées via MDM. Le MDM pousse un profil de configuration de supplicant natif imposant EAP-TLS. Chaque tablette reçoit un certificat client unique contenant un attribut l'identifiant comme un appareil POS. Lorsque le supplicant de la tablette s'authentifie, le serveur RADIUS lit cet attribut et renvoie une attribution de VLAN spécifiquement pour le segment de réseau conforme PCI. La configuration du supplicant doit être verrouillée afin que le personnel du magasin ne puisse pas modifier les paramètres réseau.
Questions d'entraînement
Q1. Votre organisation déploie PEAP-MSCHAPv2 pour un nouveau réseau BYOD destiné au personnel. Lors des tests, vous constatez que les appareils peuvent se connecter à un point d'accès de test diffusant le même SSID, alors qu'il n'est pas connecté à votre serveur RADIUS. Quelle étape de configuration du supplicant a été omise ?
Conseil : Réfléchissez à la manière dont le supplicant vérifie l'identité du réseau avant d'envoyer les identifiants MSCHAPv2.
Voir la réponse type
Le supplicant n'a pas été configuré pour valider le certificat du serveur. Avec PEAP, le supplicant doit être explicitement configuré pour faire confiance à l'autorité de certification racine (Root CA) spécifique qui a émis le certificat du serveur RADIUS, et pour vérifier le nom de domaine du serveur. Sans cela, le supplicant établira un tunnel TLS avec n'importe quel serveur présentant un certificat, exposant ainsi les identifiants de l'utilisateur à un point d'accès malveillant.
Q2. Une université migre son parc de PC portables Windows gérés de PEAP vers EAP-TLS. Elle déploie le nouveau profil de configuration via MDM, mais tous les appareils échouent à s'authentifier. Les journaux RADIUS indiquent « Échec de la liaison SSL/TLS EAP-TLS ». Quelle est la cause la plus probable ?
Conseil : EAP-TLS nécessite une authentification mutuelle. De quoi le client a-t-il besoin qu'il n'avait pas besoin avec PEAP ?
Voir la réponse type
Les appareils clients ne disposent pas d'un certificat client valide. EAP-TLS exige que le supplicant présente un certificat au serveur RADIUS. Le profil MDM doit être configuré non seulement pour définir la méthode EAP sur TLS, mais aussi pour déclencher un protocole tel que SCEP afin de demander et d'installer un certificat client à partir de la PKI de l'organisation avant de tenter de s'authentifier.
Q3. Vous devez connecter 50 téléviseurs connectés au réseau dans un environnement de [Santé](/industries/healthcare). Les téléviseurs ne prennent en charge que le WPA2-Personal (clé pré-partagée) et n'ont pas de supplicant 802.1X. Comment sécurisez-vous leur accès tout en maintenant le 802.1X pour les appareils du personnel ?
Conseil : Si l'appareil ne peut pas communiquer en EAP, l'authentificateur doit l'identifier d'une autre manière.
Voir la réponse type
Vous devez utiliser le MAC Authentication Bypass (MAB). L'authentificateur utilisera l'adresse MAC du téléviseur connecté comme nom d'utilisateur et mot de passe envoyés au serveur RADIUS. Les adresses MAC pouvant être usurpées, le serveur RADIUS doit être configuré pour attribuer ces appareils à un VLAN IoT isolé et hautement restreint qui n'autorise que le trafic nécessaire.
Continuer la lecture de cette série
Configuration de l'authentification RADIUS pour les réseaux WiFi invités et collaborateurs
Ce guide de référence technique présente l'architecture, la configuration et le déploiement de l'authentification RADIUS pour les réseaux WiFi d'entreprise destinés aux invités et aux collaborateurs. Il fournit aux architectes réseau et aux responsables informatiques les protocoles exacts, les normes de sécurité et les méthodologies de dépannage requis pour concevoir des systèmes de contrôle d'accès sans fil sécurisés et évolutifs.
Passpoint et OpenRoaming : Le Guide Complet
Ce guide de référence technique fournit une analyse complète des frameworks Passpoint (Hotspot 2.0) et WBA OpenRoaming au sein des réseaux WiFi d'entreprise. Il détaille les protocoles d'authentification sous-jacents, les composants architecturaux et les stratégies de déploiement nécessaires pour établir une connectivité invité sécurisée et fluide. Les architectes réseau et les responsables informatiques apprendront à concevoir, implémenter et dépanner ces normes afin d'éliminer les obstacles à la connexion manuelle tout en maintenant une sécurité de niveau entreprise.
Comment implémenter SCEP pour un BYOD sécurisé et l'enregistrement réseau dans l'enseignement supérieur
Ce guide technique propose aux architectes réseau et aux responsables informatiques un modèle neutre vis-à-vis des fournisseurs pour déployer l'enregistrement de certificats basé sur SCEP afin de sécuriser les réseaux de campus de l'enseignement supérieur. Il détaille comment migrer du PEAP basé sur mot de passe vers le 802.1X EAP-TLS, automatiser l'intégration du BYOD et appliquer une segmentation VLAN robuste.