Qu'est-ce que l'authentification PEAP ? Comment le PEAP sécurise votre WiFi

Ce guide de référence détaille l'authentification PEAP pour les réseaux WiFi d'entreprise, en analysant son architecture, ses limites de sécurité par rapport à EAP-TLS et ses stratégies de déploiement pratiques. Conçu pour les responsables informatiques et les architectes réseau, il fournit des conseils concrets sur les cas où PEAP-MSCHAPv2 reste approprié et sur la manière de le sécuriser contre les menaces modernes.

📖 5 min de lecture📝 1,239 mots🔧 2 exemples concrets❓ 3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast

Qu'est-ce que l'authentification PEAP ? Comment le PEAP sécurise votre WiFi. Un point d'information Purple sur l'intelligence WiFi d'entreprise.

Bienvenue. Si vous êtes responsable de la sécurité réseau d'un groupe hôtelier, d'un parc de magasins, d'un stade ou d'une organisation du secteur public, ce point d'information est pour vous. Au cours des dix prochaines minutes, nous allons aborder l'authentification PEAP : ce qu'elle est réellement, son fonctionnement interne, sa place dans votre architecture de sécurité et, surtout, quand elle constitue le bon choix et quand vous devriez envisager une solution plus robuste. C'est parti.

Première partie : Contexte et importance actuelle.

La plupart des déploiements WiFi d'entreprise reposent aujourd'hui sur l'un des deux modèles d'authentification suivants. Soit vous disposez d'une clé pré-partagée (un mot de passe unique partagé au sein de l'organisation), soit vous utilisez le 802.1X, qui est la norme IEEE pour le contrôle d'accès réseau basé sur les ports. Le PEAP s'inscrit résolument dans la catégorie 802.1X, et c'est de loin la méthode EAP la plus largement déployée dans les environnements d'entreprise et institutionnels à l'échelle mondiale.

La raison pour laquelle le PEAP est devenu si dominant est simple : il a résolu un véritable problème opérationnel. Avant le PEAP, le déploiement d'une authentification WiFi basée sur des certificats impliquait d'émettre des certificats clients pour chaque appareil (chaque ordinateur portable, chaque téléphone, chaque tablette). Pour une organisation de cents employés avec une politique BYOD, c'est un casse-tête de déploiement de PKI pour lequel la plupart des équipes informatiques n'avaient tout simplement ni le budget ni le temps. Le PEAP a offert une voie intermédiaire : une authentification robuste côté serveur via TLS, avec des identifiants de type nom d'utilisateur et mot de passe côté client. Aucun certificat client n'est requis.

Ce compromis a fait du PEAP la norme de facto pour l'authentification WiFi d'entreprise dans les années 2000 et 2010, et il reste extrêmement courant aujourd'hui. Comprendre son architecture — et ses limites — est essentiel pour quiconque prend des décisions d'infrastructure en 2024 et au-delà.

Deuxième partie : Analyse technique approfondie.

Voyons en détail ce qui se passe exactement lorsqu'un appareil s'authentifie via PEAP. Le processus comporte deux phases distinctes, et il est essentiel de comprendre les deux.

Les trois acteurs de cet échange sont : le supplicant (l'appareil client, qu'il s'agisse d'un ordinateur portable, d'un smartphone ou d'un terminal IoT) ; l'authentificateur (généralement le point d'accès sans fil ou le contrôleur LAN sans fil) ; et le serveur d'authentification (presque toujours un serveur RADIUS, tel que Microsoft NPS, FreeRADIUS ou un service RADIUS hébergé dans le cloud).

La première phase est l'établissement du tunnel TLS. Lorsque le supplicant tente de se connecter, l'authentificateur n'accorde pas l'accès immédiatement. Au lieu de cela, il lance un échange EAP sur le réseau local (il s'agit d'EAPOL, EAP over LAN). L'authentificateur transmet cet échange au serveur RADIUS, qui présente son certificat TLS côté serveur au client. Le client valide ce certificat par rapport à son magasin de certificats de confiance. Si la validation réussit, un tunnel TLS est établi entre le client et le serveur RADIUS. Ce tunnel est chiffré (généralement en TLS 1.2 ou 1.3 dans les déploiements modernes).

La deuxième phase est l'authentification interne. À l'intérieur de ce tunnel chiffré, les identifiants réels sont échangés. Dans le déploiement le plus courant (PEAP-MSCHAPv2), le client envoie un nom d'utilisateur et un mot de passe à l'aide du protocole Microsoft Challenge Handshake Authentication Protocol version 2. Le serveur RADIUS valide ces identifiants par rapport à son référentiel d'identités, qui peut être Active Directory, LDAP ou un fournisseur d'identité cloud. Si les identifiants sont valides, le serveur RADIUS renvoie un message Access-Accept via l'authentificateur, et le client se voit accorder l'accès au réseau.

La propriété de sécurité clé ici est que l'échange MSCHAPv2 se produit à l'intérieur du tunnel TLS. Un attaquant surveillant passivement le canal sans fil ne peut pas voir les identifiants en transit. C'est la proposition de valeur fondamentale du PEAP.

Maintenant, quelles sont les limites de PEAP-MSCHAPv2 ? Il existe deux problèmes importants que tout architecte soucieux de la sécurité doit comprendre.

Premièrement : la validation du certificat du serveur. Le PEAP exige uniquement que le serveur présente un certificat (il n'exige pas que le client en présente un). Cela crée un vecteur d'attaque bien documenté. Si un appareil client est mal configuré pour accepter n'importe quel certificat (ou pour accepter des certificats de n'importe quelle AC), un attaquant peut mettre en place un point d'accès malveillant, présenter un certificat frauduleux et intercepter la liaison MSCHAPv2. Des outils comme hostapd-wpe ont rendu cette attaque extrêmement accessible. La parade consiste en une configuration rigoureuse du supplicant : imposer la validation du certificat du serveur, épingler l'AC attendue et spécifier le nom commun (CN) du serveur. C'est non négociable dans tout déploiement sérieux.

Deuxièmement : MSCHAPv2 est un protocole ancien présentant des faiblesses connues. Les recherches menées en 2012 par Moxie Marlinspike ont démontré que les paires défi-réponse MSCHAPv2 peuvent être déchiffrées hors ligne avec une puissance de calcul suffisante. Si un attaquant parvient à capturer l'échange d'authentification interne (par exemple via l'attaque par point d'accès malveillant décrite ci-dessus), il peut tenter de récupérer le mot de passe en clair hors ligne. La force de votre politique de mots de passe affecte donc directement votre niveau d'exposition. Des mots de passe longs, complexes et générés de manière aléatoire réduisent considérablement ce risque.

Comparez cela à EAP-TLS, où le serveur et le client présentent tous deux des certificats. Il n'y a pas de mots de passe à voler. La surface d'attaque est considérablement réduite. La contrepartie est la complexité opérationnelle : vous avez besoin d'une PKI, vous devez émettre et gérer des certificats clients, et vous devez disposer d'un mécanisme pour les distribuer à chaque appareil. Pour les organisations disposant d'un déploiement MDM mature et d'une PKI bien gérée, EAP-TLS est la référence absolue. Pour toutes les autres, PEAP-MSCHAPv2 avec une configuration rigoureuse reste un choix défendable et pratique.

Troisième partie : Recommandations de mise en œuvre et pièges à éviter.

Laissez-moi vous donner des conseils pratiques de déploiement. Ce sont ces éléments qui séparent un déploiement PEAP sécurisé d'un déploiement vulnérable.

Numéro un : imposez la validation du certificat du serveur sur chaque supplicant. C'est l'élément de configuration le plus important. Sous Windows, il s'agit de la case à cocher « Valider le certificat du serveur » dans le profil du réseau sans fil. Sous iOS et Android, il s'agit du champ du certificat de l'AC dans la configuration EAP. Si cela n'est pas configuré, votre déploiement PEAP est vulnérable aux attaques par point d'accès malveillant, quel que soit le niveau de configuration du reste.

Numéro deux : déployez via MDM ou GPO, pas par configuration manuelle. La configuration manuelle par les utilisateurs finaux n'est pas fiable. Les utilisateurs cliqueront pour passer outre les avertissements de certificat. Ils configureront mal le champ de l'AC. Poussez vos profils sans fil via Microsoft Intune, Jamf ou les stratégies de groupe (GPO). Cela garantit une configuration cohérente et conforme aux politiques de sécurité des supplicants sur l'ensemble de votre parc.

Numéro trois : utilisez TLS 1.2 au minimum sur votre serveur RADIUS. Désactivez TLS 1.0 et 1.1. La plupart des implémentations RADIUS modernes le prennent en charge, mais cela vaut la peine de le vérifier, en particulier sur les déploiements sur site plus anciens.

Numéro quatre : intégrez votre fournisseur d'identité. PEAP-MSCHAPv2 s'authentifie par rapport à un référentiel d'identifiants. Ce référentiel doit être votre fournisseur d'identité de référence : Active Directory, Azure AD via l'extension NPS, ou un service RADIUS cloud avec intégration LDAP. Cela signifie que lorsqu'un employé s'en va, la désactivation de son compte révoque immédiatement son accès WiFi. Pas de secrets partagés à renouveler, pas de déprovisionnement manuel.

Numéro cinq : gérez votre réseau invité séparément. Le PEAP est une méthode d'authentification d'entreprise. Pour le WiFi invité — où vous accueillez des visiteurs, des clients ou des participants à des événements — vous avez besoin d'une approche différente. Les plateformes comme Purple fournissent une couche WiFi invité dédiée qui gère l'authentification par Captive Portal, la capture de données et les analyses sans nécessiter d'infrastructure RADIUS sur l'SSID invité. Conservez votre SSID d'entreprise sur du 802.1X avec PEAP, et votre SSID invité sur un réseau séparé et isolé avec un parcours d'accès adapté.

Numéro six : planifiez le renouvellement des certificats. Le certificat de votre serveur RADIUS va expirer. Lorsque cela se produira, tous les clients ayant épinglé ce certificat ne parviendront plus à s'authentifier tant que le nouveau certificat n'aura pas été distribué. Intégrez le renouvellement des certificats dans votre calendrier opérationnel (au moins 90 jours avant l'expiration) et testez le processus de renouvellement dans un environnement de pré-production avant de le déployer en production.

Les modes de défaillance les plus courants que je constate sur le terrain sont : la validation des certificats non imposée, entraînant une vulnérabilité aux points d'accès malveillants ; des certificats de serveur RADIUS qui expirent sans avertissement, provoquant des pannes d'authentification généralisées ; et l'authentification interne MSCHAPv2 exposée parce que le serveur RADIUS est accessible depuis un segment réseau inapproprié. Ces trois problèmes peuvent être évités grâce à une planification adéquate.

Quatrième partie : Questions-réponses rapides.

Le PEAP peut-il fonctionner avec des fournisseurs d'identité cloud comme Azure AD ? Oui. L'extension NPS de Microsoft pour Azure AD MFA vous permet de relayer l'authentification PEAP via Azure AD, activant ainsi l'authentification multifacteur sur votre WiFi. Alternativement, des services RADIUS cloud comme Cisco ISE, Aruba ClearPass ou JumpCloud RADIUS peuvent s'intégrer directement à Azure AD ou Okta.

Le PEAP est-il conforme à la norme PCI DSS ? PEAP-MSCHAPv2 peut être utilisé dans des environnements PCI DSS, mais vous devez vous assurer que la validation du certificat du serveur est imposée, que TLS 1.2 ou supérieur est utilisé et que le serveur RADIUS est correctement segmenté. La norme PCI DSS 4.0 renforce les exigences relatives aux contrôles d'accès réseau — examinez les exigences applicables avec votre QSA.

Dois-je migrer du PEAP vers EAP-TLS ? Si vous disposez d'un déploiement MDM mature et de la capacité opérationnelle de gérer une PKI, oui — EAP-TLS est le choix le plus robuste. Si vous gérez un parc mixte comprenant des appareils personnels, du matériel hérité ou une couverture MDM limitée, PEAP-MSCHAPv2 avec une configuration rigoureuse reste approprié. Il s'agit d'une décision basée sur le risque, et non d'un choix binaire.

Qu'en est-il de WPA3-Enterprise ? WPA3-Enterprise impose un mode de sécurité 192 bits pour les environnements hautement sécurisés, mais prend toujours en charge les méthodes EAP, y compris le PEAP. Le WPA3 améliore le chiffrement des communications radio mais ne modifie pas l'échange d'authentification EAP lui-même.

Cinquième partie : Résumé et prochaines étapes.

En résumé : le PEAP est un protocole d'authentification en deux phases qui enveloppe des identifiants internes — généralement MSCHAPv2 — dans un tunnel TLS. C'est la méthode EAP 802.1X la plus largement déployée car elle élimine le besoin de certificats clients tout en offrant une authentification robuste du serveur. Sa principale vulnérabilité réside dans les attaques par point d'accès malveillant, rendues possibles par des supplicants mal configurés qui ne valident pas le certificat du serveur. Atténuez ce risque grâce à des profils sans fil imposés par MDM, à l'épinglage de l'AC et à la validation du nom du serveur.

Pour la plupart des déploiements WiFi d'entreprise — bureaux d'entreprise, réseaux administratifs d'hôtels, réseaux du personnel de vente au détail — PEAP-MSCHAPv2 avec une configuration appropriée est un choix judicieux et défendable. Pour les environnements hautement sécurisés, les secteurs réglementés ou les organisations disposant d'une infrastructure PKI mature, EAP-TLS offre une sécurité nettement supérieure et devrait être l'architecture cible.

Si vous exploitez également un WiFi invité parallèlement à votre réseau d'entreprise — ce qui est le cas de la plupart d'entre vous —, n'oubliez pas que le PEAP n'est pas l'outil adapté pour l'accueil des invités. Tournez-vous vers des plateformes comme Purple, qui fournissent une authentification WiFi invité dédiée avec des analyses, de la capture de données et une intégration marketing, permettant de séparer correctement vos trafics invité et d'entreprise tout en préservant votre conformité.

Pour aller plus loin, consultez les guides de Purple sur l'architecture des serveurs RADIUS et l'authentification WiFi d'entreprise. Les liens se trouvent dans les notes de l'émission.

Merci pour votre écoute. C'était un point d'information Purple sur l'intelligence WiFi d'entreprise.

Points clés à retenir

✓PEAP encapsule l'échange d'identifiants vulnérable MSCHAPv2 dans un tunnel TLS sécurisé.
✓Il offre une authentification de serveur robuste sans la charge administrative liée au déploiement de certificats clients.
✓Le fait de ne pas imposer la validation du certificat du serveur sur les appareils clients constitue la vulnérabilité la plus critique des déploiements PEAP.
✓Les profils sans fil doivent être déployés via MDM ou GPO pour empêcher les utilisateurs de contourner les avertissements de sécurité.
✓Bien que le PEAP soit très efficace pour les appareils gérés, EAP-TLS reste la référence absolue pour les environnements hautement sécurisés.
✓Le WiFi invité doit être isolé de l'infrastructure 802.1X de l'entreprise à l'aide de solutions de Captive Portal dédiées.
✓La surveillance automatisée du certificat du serveur RADIUS est essentielle pour prévenir les pannes à l'échelle du réseau.

Résumé analytique

Le protocole PEAP (Protected Extensible Authentication Protocol) reste aujourd'hui la méthode d'authentification 802.1X la plus largement déployée dans les environnements d'entreprise. Développé conjointement par Cisco, Microsoft et RSA Security, le PEAP a été conçu pour résoudre un défi opérationnel spécifique : comment obtenir une authentification robuste du serveur basée sur des certificats sans la charge administrative écrasante liée au déploiement de certificats clients sur chaque appareil du réseau.

Pour les directeurs informatiques et les architectes réseau qui gèrent des parcs complexes — que ce soit dans le secteur de la Vente au détail , de la Santé ou dans de grands bureaux d'entreprise —, PEAP-MSCHAPv2 offre un juste milieu pragmatique entre l'insécurité des clés pré-partagées (PSK) et la complexité de déploiement d'EAP-TLS. Cependant, cette commodité s'accompagne de compromis inhérents en matière de sécurité. Alors que les attaques par points d'accès malveillants deviennent de plus en plus sophistiquées, les déploiements PEAP mal configurés présentent une vulnérabilité critique.

Ce guide propose une analyse technique approfondie de l'architecture PEAP, de ses mécanismes opérationnels et des normes de configuration obligatoires requises pour le sécuriser dans les réseaux d'entreprise modernes.

Analyse technique approfondie : L'architecture du PEAP

Pour comprendre le PEAP, nous devons examiner son processus d'authentification en deux phases. Le PEAP fonctionne en établissant un tunnel externe sécurisé avant d'échanger des données d'identifiants sensibles dans le tunnel interne.

Phase 1 : Établissement du tunnel TLS

Lorsqu'un supplicant (appareil client) tente de se connecter au réseau, l'authentificateur (généralement un point d'accès sans fil) bloque tout le trafic à l'exception des trames EAPOL (Extensible Authentication Protocol over LAN). L'authentificateur transmet ces trames au serveur d'authentification, généralement un serveur RADIUS. Pour une compréhension plus large de cette infrastructure, reportez-vous à notre guide sur Qu'est-ce que RADIUS ? Comment les serveurs RADIUS sécurisent les réseaux WiFi .

Au cours de la phase 1, le serveur RADIUS présente son certificat numérique au supplicant. Le supplicant valide ce certificat par rapport à ses autorités de certification (AC) racines de confiance. Si la validation réussit, un tunnel TLS (Transport Layer Security) est établi entre le supplicant et le serveur RADIUS. Ce tunnel chiffré protège toutes les communications ultérieures contre l'écoute clandestine sur le support sans fil.

Phase 2 : Authentification interne

Une fois le tunnel TLS établi, l'authentification réelle de l'utilisateur a lieu à l'intérieur de ce canal sécurisé. Le protocole d'authentification interne le plus courant est MSCHAPv2 (Microsoft Challenge Handshake Authentication Protocol version 2).

À l'intérieur du tunnel, le supplicant envoie les identifiants de l'utilisateur (nom d'utilisateur et mot de passe) au serveur RADIUS. Le serveur vérifie ces identifiants par rapport à un référentiel d'identités, tel qu'Active Directory ou un annuaire LDAP. Si les identifiants sont valides, le serveur RADIUS renvoie un message Access-Accept à l'authentificateur, et le client se voit accorder l'accès au réseau.

Le principe de sécurité essentiel du PEAP est que l'échange vulnérable MSCHAPv2 est entièrement encapsulé dans le tunnel TLS chiffré, ce qui le protège de toute interception passive.

Guide d'implémentation : Sécuriser PEAP-MSCHAPv2

Bien que le PEAP soit très fonctionnel, sa configuration par défaut sur de nombreux systèmes d'exploitation clients le laisse vulnérable à des attaques sophistiquées. L'implémentation sécurisée du PEAP nécessite un respect rigoureux des normes de déploiement suivantes.

1. Validation obligatoire du certificat du serveur

La vulnérabilité la plus importante dans un déploiement PEAP est l'absence de validation obligatoire du certificat du serveur côté client. Comme le PEAP ne nécessite pas de certificat client, le supplicant doit être absolument certain qu'il communique avec le serveur RADIUS légitime avant de transmettre ses identifiants.

Si un appareil client est configuré pour faire confiance à n'importe quel certificat, un attaquant peut déployer un point d'accès malveillant, présenter un certificat frauduleux et intercepter la liaison MSCHAPv2. Des outils comme hostapd-wpe automatisent cette attaque.

Action d'implémentation : Les équipes informatiques doivent configurer tous les appareils de l'entreprise pour valider strictement le certificat du serveur. Cela implique d'épingler l'AC racine spécifique qui a émis le certificat du serveur RADIUS et de définir explicitement le nom commun (CN) ou le nom alternatif du sujet (SAN) attendu du serveur.

2. Profils sans fil imposés par MDM

Compter sur les utilisateurs finaux pour configurer manuellement les paramètres 802.1X est un gage d'échec. Les utilisateurs cliquent fréquemment pour passer outre les avertissements de certificat, compromettant ainsi l'intégrité du tunnel TLS.

Action d'implémentation : Les profils de réseau sans fil doivent être poussés vers tous les appareils de l'entreprise via des plateformes de gestion des appareils mobiles (MDM) (par exemple, Microsoft Intune, Jamf) ou des objets de stratégie de groupe (GPO). Ces profils doivent verrouiller les paramètres EAP, empêchant les utilisateurs de modifier les exigences de validation des certificats.

3. Abandon des protocoles obsolètes

Les anciennes versions de TLS contiennent des vulnérabilités cryptographiques connues. Les déploiements PEAP doivent imposer des normes de chiffrement modernes.

Action d'implémentation : Configurez le serveur RADIUS pour rejeter les connexions TLS 1.0 et TLS 1.1. Imposez TLS 1.2 comme minimum absolu, avec une préférence pour TLS 1.3 lorsqu'il est pris en charge par le parc de clients.

Bonnes pratiques : Segmentation stratégique du réseau

Une erreur d'architecture courante consiste à tenter d'utiliser le PEAP pour tous les accès sans fil, y compris les réseaux invités et BYOD. Le PEAP est conçu pour les appareils d'entreprise gérés qui s'authentifient auprès d'un annuaire central.

Isolation de l'accès invité

Pour les appareils n'appartenant pas à l'entreprise, le PEAP n'est pas l'outil adapté. Tenter de gérer les identifiants des invités dans un RADIUS l'annuaire crée une surcharge administrative inutile et introduit des risques de sécurité.

Les établissements dans les secteurs de l' Hôtellerie et des Transports devraient mettre en œuvre une solution de Guest WiFi dédiée. Les plateformes comme Purple fournissent un processus d'intégration sécurisé, basé sur un Captive Portal, qui fonctionne de manière totalement indépendante de l'infrastructure 802.1X de l'entreprise. Cela garantit l'isolation du trafic des invités, tout en permettant une capture de données riche grâce aux WiFi Analytics .

Le rôle d'EAP-TLS

Lors de l'évaluation de PEAP, les architectes réseau doivent également prendre en compte EAP-TLS. EAP-TLS fournit une authentification mutuelle : le serveur et le client doivent tous deux présenter un certificat valide. Cela élimine totalement la dépendance aux mots de passe, rendant les attaques par vol d'identifiants obsolètes.

Bien qu'EAP-TLS offre une sécurité supérieure, il nécessite une infrastructure à clés publiques (PKI) robuste pour émettre et gérer les certificats clients. Pour les environnements hautement réglementés, EAP-TLS est l'architecture cible. Pour les organisations manquant de maturité en matière de PKI, un déploiement PEAP-MSCHAPv2 strictement configuré reste un choix défendable.

Dépannage et atténuation des risques

Même les déploiements PEAP bien conçus peuvent rencontrer des défaillances opérationnelles. Comprendre les modes de défaillance courants est essentiel pour une résolution rapide.

La crise de l'expiration des certificats

L'événement le plus perturbateur dans un environnement PEAP est l'expiration non gérée du certificat du serveur RADIUS. Lorsque le certificat expire, tous les clients imposant la validation interrompent immédiatement la connexion, ce qui entraîne une panne à l'échelle du réseau.

Mitigation : Mettez en œuvre une surveillance automatisée du certificat du serveur RADIUS. Établissez une procédure opérationnelle standard pour renouveler et déployer le nouveau certificat au moins 30 jours avant son expiration. Si vous utilisez une autorité de certification (CA) interne, assurez-vous que la hiérarchie de la CA elle-même est surveillée.

Politique de mots de passe et craquage hors ligne

Bien que le tunnel TLS protège l'échange MSCHAPv2 en transit, si un attaquant réussit à exécuter une attaque de point d'accès malveillant (rogue AP) en raison de clients mal configurés, il capturera les paires défi-réponse. Des recherches ont démontré que les hachages MSCHAPv2 peuvent être craqués hors ligne.

Mitigation : La complexité du mot de passe de l'utilisateur sous-jacent est la dernière ligne de défense. Imposez des politiques de mots de passe strictes (exigences de longueur minimale, règles de complexité et rotation régulière) afin d'augmenter le coût de calcul du craquage hors ligne.

ROI et impact commercial

La transition d'une clé PSK vers un déploiement PEAP 802.1X correctement géré apporte une valeur commerciale mesurable à plusieurs niveaux.

Réduction de la surcharge administrative : L'intégration de l'authentification WiFi directement avec le fournisseur d'identité de l'entreprise (par exemple, Active Directory) automatise l'intégration et la désactivation des utilisateurs. Lorsqu'un employé s'en va, la désactivation de son compte d'annuaire révoque immédiatement son accès au réseau, éliminant ainsi le besoin de renouveler un mot de passe partagé.
Audibilité renforcée : Le 802.1X offre une visibilité granulaire au niveau de l'utilisateur sur l'accès au réseau. Les équipes informatiques peuvent attribuer de manière définitive l'activité réseau à des individus spécifiques, une exigence essentielle pour les cadres de conformité tels que PCI DSS et GDPR.
Atténuation des risques : En abandonnant les clés partagées, les organisations réduisent considérablement le risque d'accès non autorisé par d'anciens employés ou des acteurs malveillants, protégeant ainsi la propriété intellectuelle et les données sensibles de l'entreprise.

Pour les organisations qui cherchent à optimiser leur architecture réseau globale parallèlement à leur sécurité sans fil, il est fortement recommandé d'explorer les solutions WAN modernes. En savoir plus sur Les avantages fondamentaux du SD-WAN pour les entreprises modernes .

Définitions clés

PEAP (Protected Extensible Authentication Protocol)

Un protocole d'authentification 802.1X qui encapsule une méthode d'authentification interne (généralement MSCHAPv2) dans un tunnel TLS sécurisé.

Le standard dominant pour l'authentification WiFi d'entreprise en raison de son équilibre entre sécurité et facilité de déploiement.

802.1X

La norme IEEE pour le contrôle d'accès réseau basé sur les ports, fournissant un mécanisme d'authentification aux appareils souhaitant se connecter à un réseau LAN ou WLAN.

Le cadre fondamental dans lequel fonctionnent des protocoles tels que PEAP et EAP-TLS.

EAPOL (EAP over LAN)

Le protocole utilisé pour encapsuler les messages EAP sur un réseau local, utilisé lors des phases initiales de l'authentification 802.1X.

Le mécanisme par lequel le client et le point d'accès communiquent avant que le port réseau ne soit complètement ouvert.

Supplicant

L'appareil client (ordinateur portable, smartphone) demandant l'accès au réseau.

Le point de terminaison qui doit être correctement configuré pour valider le certificat du serveur dans un déploiement PEAP.

Authenticator

L'équipement réseau (point d'accès ou commutateur) qui facilite le processus d'authentification entre le supplicant et le serveur RADIUS.

Le point de contrôle qui bloque le trafic jusqu'à ce que l'authentification soit réussie.

RADIUS (Remote Authentication Dial-In User Service)

Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilisation (AAA).

Le serveur qui valide les identifiants de l'utilisateur et émet la décision finale d'acceptation ou de rejet.

MSCHAPv2

Un protocole d'authentification par défi-réponse développé par Microsoft, couramment utilisé comme méthode d'authentification interne au sein de PEAP.

Le protocole qui vérifie réellement le nom d'utilisateur et le mot de passe, mais qui nécessite la protection du tunnel TLS PEAP en raison de faiblesses cryptographiques.

EAP-TLS

Une méthode EAP qui nécessite une authentification mutuelle à l'aide de certificats numériques à la fois sur le client et sur le serveur.

L'alternative hautement sécurisée à PEAP, nécessitant le déploiement d'une PKI mais éliminant les vulnérabilités liées aux mots de passe.

Exemples concrets

Un hôtel de luxe de 300 chambres doit sécuriser le réseau WiFi de son personnel administratif et de service. Actuellement, ils utilisent un unique mot de passe WPA2-Personnel qui n'a pas été modifié depuis trois ans en raison des perturbations opérationnelles que générerait la mise à jour de tous les terminaux de point de vente et des tablettes du personnel. Comment doivent-ils implémenter PEAP pour résoudre ce problème ?

L'hôtel doit déployer une architecture 802.1X utilisant PEAP-MSCHAPv2, en intégrant son contrôleur LAN sans fil à son Active Directory central via un serveur RADIUS (par exemple, Microsoft NPS). Il doit utiliser sa plateforme MDM pour pousser un profil sans fil standardisé sur toutes les tablettes du personnel et les terminaux de point de vente. Ce profil doit explicitement imposer la validation du certificat du serveur, en épinglant l'AC qui a émis le certificat du serveur NPS. Le personnel s'authentifiera à l'aide de ses identifiants AD individuels.

Commentaire de l'examinateur : Cette approche élimine la vulnérabilité liée à une clé partagée statique. En liant l'authentification à l'AD, le départ d'un employé révoque immédiatement son accès WiFi. L'utilisation du MDM pour imposer la validation des certificats empêche les attaques par point d'accès malveillant (rogue AP), qui représentent un risque élevé dans les environnements hôteliers ouverts au public.

Une grande chaîne de vente au détail déploie des ordinateurs portables professionnels pour les directeurs de magasin dans 500 points de vente. Elle souhaite utiliser PEAP-MSCHAPv2 mais s'inquiète de la charge administrative liée à la gestion des certificats RADIUS sur autant de sites.

Au lieu de déployer des serveurs RADIUS locaux dans chaque magasin, le détaillant devrait utiliser une solution RADIUS hébergée dans le cloud et intégrée à son fournisseur d'identité cloud (par exemple, Azure AD ou Okta). Les points d'accès des 500 sites pointent vers les terminaux RADIUS cloud. Un unique certificat public de confiance mondiale est utilisé sur le serveur RADIUS cloud, et la charge utile MDM déployée sur les ordinateurs portables épingle ce certificat public spécifique.

Commentaire de l'examinateur : La centralisation de l'infrastructure RADIUS réduit considérablement les coûts de gestion. L'utilisation d'un certificat public simplifie la chaîne de confiance sur les appareils clients, à condition que le profil MDM épingle strictement le certificat attendu pour empêcher toute interception.

Questions d'entraînement

Q1. Vous auditez le réseau WiFi d'un hôpital. Ils utilisent PEAP-MSCHAPv2 pour les appareils du personnel. Lors de votre examen, vous remarquez que le profil MDM poussé sur les iPad n'a pas la case « Valider le certificat du serveur » cochée. Quel est le risque immédiat ?

Conseil : Pensez à ce qui se passe si un attaquant configure un appareil diffusant l'SSID de l'hôpital.

Voir la réponse type

Le risque immédiat est une attaque par point d'accès malveillant (Evil Twin). Comme les iPad ne valident pas le certificat du serveur, ils tenteront de s'authentifier auprès de n'importe quel point d'accès diffusant le bon SSID. Un attaquant peut intercepter la liaison (handshake) MSCHAPv2 et tenter de déchiffrer les mots de passe du personnel hors ligne, ce qui entraîne un compromis des identifiants.

Q2. Le service informatique d'une université prévoit de migrer le réseau des étudiants d'une clé pré-partagée (PSK) vers le 802.1X. Ils souhaitent utiliser EAP-TLS pour une sécurité maximale, mais font face à la résistance de l'équipe d'assistance. Pourquoi PEAP-MSCHAPv2 pourrait-il être un choix plus pratique dans ce scénario ?

Conseil : Pensez au modèle de propriété des appareils dans un environnement universitaire.

Voir la réponse type

Dans une université, les appareils ne sont pas gérés (BYOD). Le déploiement d'EAP-TLS nécessite d'émettre et d'installer un certificat client unique sur l'ordinateur portable, le téléphone et la tablette personnels de chaque étudiant. Cela représente une charge de support colossale pour l'assistance. PEAP-MSCHAPv2 exige uniquement que les étudiants saisissent leur nom d'utilisateur et leur mot de passe universitaires existants, ce qui simplifie considérablement l'intégration tout en offrant une mise à niveau majeure de la sécurité par rapport au PSK.

Q3. Le certificat du serveur RADIUS de votre organisation expire dans 14 jours. Il est émis par une AC publique. Quelles étapes devez-vous suivre pour garantir l'absence d'interruption sur le réseau sans fil PEAP-MSCHAPv2 ?

Conseil : Pensez à ce que les supplicants sont actuellement configurés pour approuver.

Voir la réponse type

Vous devez obtenir le nouveau certificat auprès de l'AC publique et l'installer sur le serveur RADIUS. De manière cruciale, vous devez examiner les profils sans fil MDM. Si les profils sont épinglés sur l'ancien certificat spécifique, ils doivent être mis à jour pour approuver le nouveau certificat avant l'expiration de l'ancien. Si les profils épinglent uniquement l'AC racine et que le nouveau certificat est émis par la même AC racine, la transition devrait se faire de manière transparente, mais elle doit être testée.

Continuer la lecture de cette série

Per-Device PSK by Vendor: iPSK, DPSK, MPSK and PPSK Compared (and WPA3 Support)

Une comparaison complète des implémentations PSK par appareil chez Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet et Ubiquiti UniFi. Découvrez comment le WPA3-SAE impacte les stratégies de clés par appareil et quand déployer des modes de transition plutôt que de passer au 802.1X.

What Is MAC Address Authentication? When to Use It and When to Avoid It

Ce guide de référence technique fait autorité sur l'authentification par adresse MAC dans les environnements WiFi d'entreprise – comment l'authentification MAC basée sur RADIUS fonctionne à la Couche 2, ses vulnérabilités de sécurité inhérentes (y compris l'usurpation d'adresse MAC et l'impact de la randomisation MAC au niveau du système d'exploitation), et les contextes opérationnels précis où elle reste un outil valide pour la gestion des appareils IoT et sans tête. Il fournit des conseils de déploiement exploitables pour les responsables informatiques et les architectes réseau dans les secteurs de l'hôtellerie, du commerce de détail, de la santé et des lieux publics, avec des exemples concrets, des cadres de décision et un contexte d'intégration pour la plateforme de WiFi invité et d'analyse de Purple.

How to Set Up Enterprise WiFi on iOS and macOS with 802.1X

This authoritative guide provides senior IT leaders with actionable steps for deploying 802.1X enterprise WiFi on iOS and macOS devices. It covers certificate-based authentication (EAP-TLS), MDM configuration profiles, and architecture integration to secure corporate networks while supporting BYOD initiatives.