Qu'est-ce que l'authentification RADIUS et comment fonctionne-t-elle ?

Ce guide fournit une référence technique définitive sur l'authentification RADIUS pour les responsables informatiques gérant des déploiements WiFi d'entreprise et invités. Il démystifie le protocole AAA, explique comment les méthodes 802.1X et EAP fonctionnent ensemble, et détaille comment la plateforme cloud de Purple simplifie le déploiement pour les hôtels, les chaînes de magasins, les stades et les organisations du secteur public. Les lecteurs repartiront avec une feuille de route de mise en œuvre claire, des études de cas réelles et les cadres de décision nécessaires pour migrer de clés pré-partagées non sécurisées vers une architecture de contrôle d'accès réseau robuste et axée sur l'identité.

📖 6 min de lecture📝 1,416 mots🔧 2 exemples concrets❓ 3 questions d'entraînement📚 10 définitions clés

Écouter ce guide

Voir la transcription du podcast

### Qu'est-ce que l'authentification RADIUS et comment cela fonctionne-t-il ? — Dossier technique Purple

**[INTRO — 1 minute]**

Bienvenue dans ce dossier technique Purple. Je suis votre hôte, et au cours des dix prochaines minutes, nous allons démystifier l'une des technologies les plus critiques pour la sécurité des réseaux d'entreprise : l'authentification RADIUS. Si vous êtes responsable informatique, architecte réseau ou CTO en charge du WiFi au sein d'un grand site (un hôtel, une chaîne de magasins, un stade ou un centre de congrès), ce briefing s'adresse tout particulièrement à vous. Nous allons faire l'impasse sur le jargon inutile, vous expliquer clairement l'architecture et vous apporter les connaissances pratiques indispensables pour prendre des décisions éclairées ce trimestre.

Commençons par une vue d'ensemble. Pourquoi est-ce si important ?

Si vous gérez encore le WiFi de vos invités ou de vos collaborateurs à l'aide d'un mot de passe unique partagé (une clé pré-partagée, ou PSK), vous vous exposez à un risque de sécurité important et croissant. Ce mot de passe finit par être partagé, écrit sur des reçus, pris en photo sur des tableaux blancs et transmis via des applications de messagerie. Une fois divulgué, vous n'avez plus aucune visibilité sur les personnes connectées à votre réseau, aucune possibilité de révoquer l'accès d'un seul utilisateur sans perturber tous les autres, et aucun historique d'audit en cas de problème. Pour les organisations soumises aux normes PCI DSS, au GDPR ou à la loi HIPAA, il ne s'agit pas seulement d'un problème technique. C'est un risque de non-conformité.

RADIUS est la solution adoptée par l'industrie pour répondre à ce problème. Voyons donc précisément ce que c'est et comment cela fonctionne.

**[ANALYSE TECHNIQUE APPROFONDIE — 5 minutes]**

RADIUS signifie Remote Authentication Dial-In User Service. Ce nom est un héritage historique des débuts de l'internet par ligne commutée, mais le protocole a considérablement évolué et reste aujourd'hui le pilier du contrôle d'accès aux réseaux d'entreprise. À la base, RADIUS est un système centralisé basé sur un serveur qui gère l'accès au réseau à l'aide d'un framework appelé AAA (Authentication, Authorization, and Accounting). Ces trois piliers sont le fondement de tout ce dont nous allons parler aujourd'hui.

L'Authentification est le premier pilier : vérifier l'identité d'une personne. L'Autorisation est le second : déterminer ce qu'elle est autorisée à faire. Et la Comptabilisation (Accounting) est le troisième : enregistrer ce qu'elle a réellement fait. Analysons chacun de ces points.

L'Authentification. Lorsqu'un utilisateur tente de se connecter à un réseau WiFi sécurisé par WPA2-Enterprise ou WPA3-Enterprise, son appareil — que nous appelons le Supplicant — envoie une demande de connexion au point d'accès sans fil. Le point d'accès, que nous appelons l'Authenticator, ne prend pas lui-même la décision d'authentification. Il agit comme un relais, transmettant la demande au serveur RADIUS. Le serveur RADIUS valide ensuite l'identité de l'utilisateur par rapport à une source d'identité configurée. Il peut s'agir de Microsoft Active Directory, d'Azure Active Directory, de Google Workspace, d'Okta ou d'une base de données d'utilisateurs locale. La source d'identité constitue la source unique de vérité pour déterminer qui est autorisé à accéder à votre réseau.

Le serveur RADIUS peut valider l'identité de plusieurs manières. Les plus courantes dans les environnements d'entreprise sont les méthodes basées sur les identifiants, où l'utilisateur fournit un nom d'utilisateur et un mot de passe, et les méthodes basées sur les certificats, où l'appareil de l'utilisateur présente un certificat numérique. Nous aborderons les implications de chacune en matière de sécurité dans un instant.

Autorisation. Une fois l'utilisateur authentifié, le serveur RADIUS ne se contente pas de donner son accord et de s'effacer. Il indique également au point d'accès exactement ce qu'il doit faire avec cet utilisateur. Il renvoie un ensemble d'attributs — des instructions, essentiellement — qui définissent l'expérience réseau de l'utilisateur. Le plus important d'entre eux est généralement l'attribution du VLAN. Le serveur RADIUS peut par exemple indiquer : cet utilisateur est membre du groupe du personnel de l'entreprise, attribuez-lui le VLAN dix, qui a accès aux serveurs de fichiers internes et aux imprimantes. Ou alors : cet utilisateur est un invité, attribuez-lui le VLAN vingt, qui n'a qu'un accès internet et est complètement isolé du réseau de l'entreprise. Cette attribution dynamique de VLAN est l'une des fonctionnalités les plus puissantes de RADIUS, et c'est le mécanisme qui permet une segmentation réseau appropriée.

Comptabilité. Ce troisième pilier est souvent négligé, mais il est d'une importance capitale pour la conformité et les opérations. Au fur et à mesure que la session d'un utilisateur progresse, le serveur RADIUS enregistre des informations clés : l'heure de connexion, l'heure de déconnexion, la durée totale de la session, le volume de données transférées et l'adresse MAC de son appareil. Cela crée une piste d'audit détaillée pour chaque connexion sur votre réseau. Sous la norme GDPR et les exigences de conformité comme PCI DSS 4.0, ce type de journalisation n'est pas facultatif — c'est une exigence stricte. Et en cas d'incident de sécurité, ces journaux sont précieux pour l'investigation numérique.

Parlons maintenant de la norme technique qui permet de faire fonctionner tout cela : IEEE 802.1X.

802.1X est la norme qui définit le contrôle d'accès réseau basé sur les ports. C'est le protocole qui permet à un point d'accès de bloquer tout le trafic réseau provenant d'un appareil jusqu'à ce que le serveur RADIUS ait confirmé que l'appareil est autorisé. La communication entre l'appareil de l'utilisateur et le point d'accès utilise un protocole appelé EAP — l'Extensible Authentication Protocol. L'EAP est essentiellement un framework qui prend en charge plusieurs méthodes d'authentification.

Les trois méthodes EAP les plus courantes dans le WiFi d'entreprise sont : PEAP, qui signifie Protected Extensible Authentication Protocol ; EAP-TTLS ; et EAP-TLS.

PEAP et EAP-TTLS sont des méthodes basées sur les identifiants. Elles créent un tunnel chiffré entre l'appareil et le serveur RADIUS, puis le nom d'utilisateur et le mot de passe de l'utilisateur sont vérifiés à l'intérieur de ce tunnel. Elles sont relativement faciles à déployer et fonctionnent bien dans les environnements qui ne sont pas encore prêts pour une infrastructure de certificats complète.

EAP-TLS est la référence absolue. Cette méthode repose sur des certificats, ce qui signifie que le serveur et l'appareil client présentent tous deux des certificats numériques pour s'authentifier mutuellement. Aucun mot de passe n'intervient. Cela élimine totalement le risque de vol d'identifiants, d'attaques par phishing et d'attaques de type "man-in-the-middle". Pour les appareils d'entreprise, EAP-TLS est la méthode d'authentification vers laquelle vous devez tendre.

**[DÉPLOIEMENT ET PIÈGES À ÉVITER — 2 minutes]**

Alors, comment déployer concrètement tout cela ? Laissez-moi vous guider à travers les étapes clés.

Premièrement, choisissez votre serveur RADIUS. Vous pouvez déployer un serveur sur site — Network Policy Server de Microsoft est un choix courant dans les environnements Windows — ou utiliser un service RADIUS basé sur le cloud. Les plateformes Cloud RADIUS, comme celle proposée par Purple, offrent une infrastructure entièrement gérée et hautement disponible, sans les coûts opérationnels associés. Pour les organisations multisites, l'approche cloud est presque toujours le meilleur choix.

Deuxièmement, intégrez votre source d'identité. Connectez votre serveur RADIUS à l'annuaire d'identités de votre entreprise. La plupart des plateformes cloud RADIUS modernes prennent en charge l'intégration directe avec Azure AD, Google Workspace et Okta.

Troisièmement, configurez votre matériel réseau. Créez un nouveau SSID configuré pour WPA2-Enterprise ou WPA3-Enterprise et pointez-le vers votre serveur RADIUS. Vous configurerez également un secret partagé — un mot de passe qui chiffre les communications entre le point d'accès et le serveur RADIUS. Ce secret partagé doit correspondre exactement des deux côtés. Une non-concordance à ce niveau est l'une des causes les plus fréquentes d'échec d'authentification lors du déploiement initial.

Quatrièmement, définissez vos politiques d'autorisation. Associez les groupes d'utilisateurs aux politiques réseau — le personnel bénéficie d'un accès complet sur le VLAN dix, les invités ont un accès uniquement à Internet sur le VLAN vingt.

Cinquièmement, intégrez vos utilisateurs. Pour le personnel de l'entreprise, déployez les profils WiFi via votre plateforme MDM. Pour les invités, utilisez un Captive Portal. La plateforme de Purple automatise le flux d'intégration des invités, en prenant en charge les connexions via les réseaux sociaux, les formulaires d'inscription et les codes promotionnels.

**[QUESTIONS-RÉPONSES RAPIDES — 1 minute]**

Passons à une session rapide de questions-réponses sur les sujets que nous entendons le plus souvent.

Première question : Quelle est la différence entre RADIUS et un Captive Portal ? Un Captive Portal est la page de connexion que les invités voient lorsqu'ils se connectent. Il fonctionne avec RADIUS. Le portail est l'interface utilisateur ; RADIUS est le moteur d'arrière-plan.

Deuxième question : Puis-je utiliser RADIUS pour les réseaux filaires ? Absolument. La norme 802.1X s'applique de la même manière à l'Ethernet filaire et aux réseaux sans fil.

Troisième question : RADIUS est-il difficile à configurer ? Il a la réputation d'être complexe, mais les plateformes cloud modernes ont radicalement changé la donne. Avec un service géré comme Purple, vous pouvez rendre un déploiement RADIUS opérationnel pour la production très rapidement.

**[RÉSUMÉ ET PROCHAINES ÉTAPES — 1 minute]**

En résumé : RADIUS est le protocole centralisé qui alimente la sécurité WiFi des entreprises. Il implémente le framework AAA pour vous offrir un contrôle granulaire sur qui peut accéder à votre réseau, ce qu'ils peuvent faire, ainsi qu'un historique d'audit complet de leur activité. Pour les exploitants de sites, les hôteliers, les détaillants et les organisations du secteur public, le déploiement de RADIUS est l'étape fondamentale pour créer une infrastructure WiFi sécurisée, conforme et gérée de manière professionnelle.

Votre prochaine étape est claire : si vous utilisez encore des clés pré-partagées, commencez à planifier votre migration dès aujourd'hui. Vérifiez la prise en charge de WPA3-Enterprise sur votre matériel actuel, évaluez vos options d'intégration d'annuaire d'identités et découvrez une plateforme RADIUS cloud capable de s'adapter à la croissance de votre organisation.

C'est tout pour ce Briefing Technique Purple. Merci de votre écoute. Pour en savoir plus sur la façon dont Purple peut vous aider à déployer un WiFi sécurisé et intelligent sur l'ensemble de vos sites, rendez-vous sur purple dot ai. D'ici là, restez en sécurité.

Points clés à retenir

✓RADIUS est le protocole standard de l'industrie pour le contrôle d'accès réseau centralisé, implémentant le framework AAA (Authentication, Authorization, Accounting) pour gérer qui peut accéder à votre WiFi, ce qu'ils peuvent faire, et journaliser toute l'activité.
✓Il remplace les clés pré-partagées (PSK) non sécurisées par une authentification robuste basée sur l'identité, garantissant que chaque utilisateur et appareil possède une identité unique et vérifiable sur le réseau.
✓IEEE 802.1X est la norme qui permet à RADIUS de fonctionner avec les points d'accès WiFi, bloquant tout trafic réseau provenant d'un appareil jusqu'à ce que le serveur RADIUS ait confirmé l'autorisation.
✓EAP-TLS (authentification par certificat) est la référence absolue pour les appareils d'entreprise, éliminant totalement les mots de passe et offrant la protection la plus solide contre le vol d'identifiants et le phishing.
✓L'attribution dynamique de VLAN via les politiques d'autorisation RADIUS est le mécanisme qui applique la segmentation du réseau — un contrôle obligatoire pour la conformité PCI DSS et une pierre angulaire de l'architecture Zero Trust.
✓Pour le WiFi invité, RADIUS fonctionne en conjonction avec un Captive Portal : le portail gère l'expérience d'intégration de l'utilisateur, tandis que RADIUS gère l'authentification en arrière-plan et l'application des politiques de session.
✓Les plateformes RADIUS basées sur le cloud telles que Purple simplifient le déploiement, offrent une haute disponibilité intégrée et s'intègrent directement aux fournisseurs d'identité modernes (Azure AD, Google Workspace, Okta), rendant le contrôle d'accès réseau de classe entreprise accessible aux organisations de toutes tailles.

Résumé Exécutif

Pour les responsables informatiques des sites multi-sites — hôtels, chaînes de vente au détail, stades et centres de conférence — offrir un accès WiFi sécurisé et fiable à des milliers d'utilisateurs quotidiens est un service critique qui comporte d'importants risques opérationnels et réglementaires. L'approche traditionnelle consistant à utiliser une clé pré-partagée unique (PSK) pour les réseaux invités et collaborateurs n'est plus une posture de sécurité défendable. Elle expose les organisations à des violations de conformité sous PCI DSS et GDPR, à des interruptions opérationnelles et à des dommages réputationnels dus à d'éventuelles failles de sécurité.

La solution moderne et standard de l'industrie consiste à centraliser le contrôle d'accès au réseau via le protocole RADIUS (Remote Authentication Dial-In User Service). RADIUS fournit un cadre robuste pour les trois piliers de la sécurité réseau — Authentification, Autorisation et Comptabilité (AAA) — en imposant un accès basé sur l'identité pour chaque utilisateur et appareil. En s'intégrant à un annuaire d'identités existant tel qu'Azure AD, Google Workspace ou Okta, RADIUS garantit que seules les personnes autorisées peuvent se connecter, et que leur accès est précisément adapté à leur rôle.

Ce guide fournit un aperçu pratique et exploitable de RADIUS, de la norme sous-jacente IEEE 802.1X, et de la manière dont la plateforme d'intelligence WiFi de Purple simplifie la complexité du déploiement. Il est rédigé pour les architectes réseau et les responsables informatiques qui doivent prendre des décisions de mise en œuvre ce trimestre, et non l'année prochaine.

Analyse Technique Approfondie

Le Cadre AAA : Authentification, Autorisation et Comptabilité

RADIUS fonctionne sur le modèle client-serveur et s'articule autour du cadre AAA, un concept fondamental de la sécurité réseau. Comprendre chaque composant est essentiel pour un déploiement réussi.

L'Authentification est le processus de vérification de l'identité d'un utilisateur. Lorsqu'un utilisateur tente de se connecter à un réseau WiFi sécurisé avec WPA2/WPA3-Enterprise, son appareil — le Supplicant — envoie ses identifiants au point d'accès sans fil (Wireless Access Point) — l'Authentificateur. L'Authentificateur ne prend pas lui-même la décision d'accès ; il transmet la demande au serveur RADIUS. Le serveur RADIUS valide ces identifiants par rapport à une source d'identité configurée : Microsoft Active Directory, un IdP cloud tel qu'Okta, ou une base de données locale d'utilisateurs. La validation peut utiliser une combinaison de nom d'utilisateur et de mot de passe ou, pour une sécurité nettement renforcée, un certificat numérique via une méthode EAP telle que EAP-TLS.

L'autorisation détermine ce qu'un utilisateur authentifié est autorisé à faire. En fonction des politiques définies par l'administrateur réseau, le serveur RADIUS renvoie des attributs spécifiques à l'authentificateur. Ces attributs dictent l'attribution du VLAN (séparant le trafic invité du trafic d'entreprise), les limites de bande passante et les restrictions d'accès selon l'heure de la journée. Cette application granulaire et dynamique des politiques est l'un des principaux avantages de RADIUS par rapport aux systèmes statiques basés sur PSK.

L'accounting (comptabilisation) suit l'activité de l'utilisateur tout au long de la session. Le serveur RADIUS enregistre les horodatages de connexion, la durée de la session, les données transférées et les adresses MAC des appareils. Cette piste d'audit est inestimable pour le dépannage, la planification de la capacité et les rapports de conformité. Selon la norme PCI DSS 4.0, l'enregistrement et la surveillance de tous les accès aux ressources réseau constituent un contrôle obligatoire.

Comment RADIUS et 802.1X travaillent ensemble

La norme IEEE 802.1X définit le contrôle d'accès réseau basé sur les ports. Dans un contexte WiFi, le 802.1X permet à un point d'accès de bloquer tout le trafic provenant d'un appareil — à l'exception des messages d'authentification — jusqu'à ce que le serveur RADIUS ait confirmé l'autorisation. La communication entre le Supplicant et l'Authentificateur utilise le protocole d'authentification extensible (EAP), transporté sur le réseau local sous le nom d'EAPOL (EAP over LAN). L'Authentificateur relaie ensuite ces informations au serveur RADIUS en utilisant le protocole RADIUS.

Le choix de la méthode EAP est une décision de sécurité essentielle :

Méthode EAP	Type d'authentification	Niveau de sécurité	Cas d'utilisation recommandé
EAP-TLS	Basé sur des certificats	Le plus élevé	Appareils gérés par l'entreprise — la référence absolue
PEAP-MSCHAPv2	Basé sur des identifiants	Moyen	Environnements majoritairement Windows en transition vers les certificats
EAP-TTLS/PAP	Basé sur des identifiants	Moyen	Environnements avec OS mixtes prenant en charge les anciens appareils

Pour les appareils d'entreprise, EAP-TLS est l'état cible. Il utilise une authentification mutuelle par certificat — le client et le serveur présentent tous deux des certificats — éliminant complètement les mots de passe et les risques associés de vol d'identifiants et de phishing.

Ports et transport RADIUS

Par défaut, RADIUS utilise le port UDP 1812 pour l'authentification et l'autorisation, et le port UDP 1813 pour l'accounting. Certains déploiements existants utilisent les ports 1645 et 1646. Depuis la RFC 6613, RADIUS peut également fonctionner sur TCP avec TLS (RadSec), ce qui est de plus en plus utilisé dans les déploiements cloud pour une sécurité de transport renforcée.

Guide de mise en œuvre

Transition de PSK vers RADIUS : Une feuille de route en cinq étapes

Étape 1 : Sélectionnez votre infrastructure RADIUS. Choisissez entre un serveur sur site (Microsoft NPS pour les environnements Windows, FreeRADIUS pour les déploiements open source) ou un service RADIUS basé sur le cloud. Pour les organisations multisites, une plateforme RADIUS cloud telle que celle de Purple est presque toujours le choix idéal. Elle offre une haute disponibilité intégrée, une redondance géographique et élimine la charge opérationnelle liée à la gestion des serveurs.

Étape 2 : Intégrez votre source d'identité. Connectez le serveur RADIUS à l'annuaire d'identités faisant autorité au sein de votre organisation. Les plateformes RADIUS cloud modernes prennent en charge l'intégration directe avec Azure AD, Google Workspace et Okta via SAML ou LDAP. Pour les utilisateurs invités, la source d'identité est généralement un CRM, un système de gestion hôtelière (PMS) ou une plateforme WiFi pour invités dédiée.

Étape 3 : Configurez le matériel réseau. Sur votre contrôleur LAN sans fil ou vos points d'accès, créez un nouveau SSID configuré pour le WPA2-Enterprise ou le WPA3-Enterprise. Pointez le SSID vers l'adresse IP de votre serveur RADIUS et configurez le secret partagé — un mot de passe qui chiffre les communications entre le point d'accès et le serveur RADIUS. Cette valeur doit correspondre exactement des deux côtés ; une incompatibilité est l'une des causes les plus courantes d'échec lors du déploiement initial.

Étape 4 : Définissez les politiques d'autorisation. Créez des règles sur le serveur RADIUS associant les groupes d'utilisateurs à des politiques réseau. Un ensemble de politiques types pour un hôtel pourrait inclure : le personnel sur le VLAN 10 avec un accès interne complet ; les prestataires sur le VLAN 30 avec un accès limité et un plafond de bande passante de 50 Mbps ; les invités sur le VLAN 20 avec un accès Internet uniquement et une limite de session de 8 heures.

Étape 5 : Intégrez les utilisateurs et les appareils. Pour le personnel de l'entreprise, déployez des profils WiFi avec des paramètres 802.1X via votre plateforme MDM. Pour les invités, déployez un Captive Portal. La plateforme de Purple automatise le flux d'intégration des invités — en prenant en charge les connexions via les réseaux sociaux, les formulaires d'inscription et les codes de réduction — et crée des comptes d'utilisateurs RADIUS temporaires qui expirent automatiquement.

Bonnes pratiques

Adoptez le WPA3-Enterprise. Lorsque le matériel le prend en charge, le WPA3-Enterprise apporte des améliorations de sécurité significatives par rapport au WPA2-Enterprise, notamment les cadres de gestion protégés (PMF) et un chiffrement plus fort via le mode de sécurité 192 bits. Effectuez un audit matériel pour identifier les points d'accès qui nécessitent des mises à jour de firmware ou un remplacement.

Implémentez EAP-TLS pour les appareils d'entreprise. L'authentification par certificat élimine la vulnérabilité liée aux mots de passe. Intégrez votre serveur RADIUS à votre PKI ou utilisez une solution de gestion des certificats basée sur le cloud. Automatisez le déploiement des certificats via MDM pour minimiser la charge de travail informatique.

Imposez la segmentation VLAN. L'attribution dynamique de VLAN via RADIUS est non négociable pour la conformité PCI DSS et l'architecture Zero Trust. Assurez-vous que vos commutateurs réseau et pare-feux appliquent des politiques de routage inter-VLAN qui empêchent le trafic invité d'accéder aux ressources de l'entreprise.

Déployez une infrastructure RADIUS redondante. Configurez au moins un serveur RADIUS principal et un serveur secondaire sur vos points d'accès. Les plateformes Cloud RADIUS fournissent généralement cela automatiquement. Testez régulièrement le basculement.

Résolution des problèmes et atténuation des risques

Mode de défaillance	Cause racine	Résolution
Tous les utilisateurs sont rejetés	Incohérence du secret partagé entre l'AP et le serveur RADIUS	Vérifiez le secret partagé sur la configuration de l'AP et du serveur RADIUS
Erreurs de certificat sur les appareils clients	Certificat du serveur RADIUS non approuvé par le client	Installez le certificat de l'autorité de certification (CA) racine sur tous les appareils clients via MDM
Échecs d'authentification intermittents	Serveur RADIUS surchargé ou inaccessible	Implémentez un serveur RADIUS secondaire ; examinez la capacité du serveur
Le portail invité ne redirige pas	Mauvaise configuration du Walled Garden	Assurez-vous que l'URL du portail et les domaines des fournisseurs de connexion sociale sont dans le Walled Garden
Les utilisateurs ne peuvent pas se reconnecter après l'expiration de la session	Session d'accounting non résiliée correctement	Examinez la configuration de l'accounting RADIUS ; recherchez les sessions obsolètes

ROI et impact commercial

L'analyse de rentabilité d'un déploiement RADIUS est convaincante à plusieurs égards. La réduction des risques de sécurité est le bénéfice le plus immédiat : le remplacement d'une clé PSK partagée par un accès basé sur l'identité élimine le vecteur le plus courant d'intrusion réseau via le WiFi, évitant potentiellement des coûts de violation qui s'élèvent en moyenne à 3,4 millions de livres sterling pour les entreprises britanniques. La garantie de conformité aux normes PCI DSS, GDPR et aux réglementations sectorielles spécifiques est obtenue grâce à la combinaison d'un contrôle d'accès basé sur l'identité et de journaux d'accounting complets. Les gains d'efficacité opérationnelle sont significatifs dans les déploiements de grande envergure — la gestion centralisée des politiques signifie que l'intégration d'un nouvel utilisateur ou la révocation de l'accès d'un employé sur le départ est une action unique dans l'annuaire d'identités, et non une reconfiguration manuelle sur des dizaines de points d'accès. Enfin, les données d'accounting générées par RADIUS fournissent des informations exploitables pour la planification des capacités, permettant de fonder les décisions d'investissement dans l'infrastructure sur des données d'utilisation réelles plutôt que sur des estimations.

Définitions clés

RADIUS (Remote Authentication Dial-In User Service)

Un protocole réseau, standardisé par la norme RFC 2865, qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilisation (AAA) pour les utilisateurs se connectant à un service réseau. Il fonctionne sur un modèle client-serveur, où le serveur d'accès réseau (NAS) est le client et le serveur RADIUS est l'autorité décisionnelle.

Il s'agit du moteur central de la sécurité WiFi d'entreprise. Lorsqu'un responsable informatique parle de « passer au 802.1X », il fait presque toujours référence au déploiement d'un serveur RADIUS.

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports (PNAC). Elle définit l'encapsulation du protocole d'authentification extensible (EAP) sur les réseaux IEEE 802, permettant à un authentificateur (par exemple, un point d'accès WiFi) d'imposer une authentification avant d'accorder l'accès au réseau.

C'est la norme qui permet à RADIUS de fonctionner avec le WiFi. Lors de la configuration d'un SSID pour « WPA2-Enterprise », vous activez le 802.1X sur ce SSID.

AAA (Authentication, Authorization, Accounting)

Un framework de sécurité pour contrôler intelligemment l'accès aux ressources informatiques, appliquer des politiques et auditer l'utilisation. L'authentification vérifie l'identité, l'autorisation détermine les actions autorisées et la comptabilisation enregistre l'activité.

Les serveurs RADIUS sont souvent appelés « serveurs AAA ». La compréhension de ce framework est la base conceptuelle de toute conception de contrôle d'accès réseau.

Supplicant (Client)

Dans le framework 802.1X, le Supplicant est l'appareil client — un ordinateur portable, un smartphone ou un appareil IoT — qui demande l'accès au réseau. Le logiciel supplicant sur l'appareil gère l'échange d'authentification EAP.

Lors du dépannage des échecs d'authentification, la configuration du supplicant (par exemple, le profil WiFi sur un ordinateur portable) est souvent à l'origine du problème.

Authenticator (Authentificateur)

Dans le framework 802.1X, l'Authentificateur est l'équipement réseau — généralement un point d'accès sans fil ou un commutateur Ethernet — qui applique le contrôle d'accès. Il relaye les messages EAP entre le Supplicant et le serveur d'authentification, mais ne prend pas lui-même la décision d'authentification.

Le point d'accès est un relais, pas un décideur. C'est une distinction essentielle : le rôle du point d'accès est de transmettre la demande à RADIUS puis d'agir en fonction de la réponse.

EAP (Extensible Authentication Protocol)

Un framework d'authentification défini dans la norme RFC 3748 qui prend en charge plusieurs méthodes d'authentification. EAP lui-même ne définit pas de mécanisme d'authentification spécifique ; il fournit plutôt un format standard pour négocier et transporter diverses méthodes EAP (par exemple, EAP-TLS, PEAP, EAP-TTLS).

Lors de la configuration du 802.1X, vous devez choisir une méthode EAP. Le choix entre EAP-TLS (certificats) et PEAP (mots de passe) est l'une des décisions de sécurité les plus importantes dans un déploiement WiFi.

EAP-TLS (EAP Transport Layer Security)

Une méthode EAP basée sur des certificats qui fournit une authentification mutuelle entre le client et le serveur RADIUS à l'aide de certificats numériques X.509. Elle est largement considérée comme la méthode EAP la plus sécurisée, car elle élimine complètement l'utilisation de mots de passe.

EAP-TLS est la référence absolue pour l'authentification des appareils d'entreprise. Son déploiement nécessite une infrastructure à clés publiques (PKI) pour émettre et gérer les certificats clients, c'est pourquoi les solutions de gestion de certificats basées sur le cloud sont de plus en plus populaires.

Captive Portal

Une page web qui intercepte la connexion d'un utilisateur à un réseau WiFi public, lui demandant d'effectuer une action — telle que l'acceptation des conditions d'utilisation, la saisie d'identifiants ou l'authentification via un compte de réseau social — avant d'autoriser l'accès à Internet.

Les portails captifs (Captive Portals) fonctionnent en conjonction avec RADIUS pour le WiFi invité. Le portail est l'interface orientée utilisateur ; RADIUS est le moteur d'authentification principal qui valide la session de l'utilisateur et applique les politiques d'accès.

VLAN (Virtual Local Area Network)

Un segment de réseau logique créé au sein d'une infrastructure réseau physique. Les VLAN permettent aux administrateurs réseau d'isoler le trafic de différents groupes d'utilisateurs — tels que les invités, le personnel et les appareils IoT — même s'ils partagent le même matériel physique.

L'attribution dynamique de VLAN via RADIUS est le mécanisme qui permet la segmentation du réseau dans le WiFi d'entreprise. C'est une exigence fondamentale pour la conformité PCI DSS et l'architecture Zero Trust.

Shared Secret (Secret partagé)

Un mot de passe configuré à la fois sur le client RADIUS (le point d'accès) et sur le serveur RADIUS pour authentifier leur communication et chiffrer les valeurs des attributs RADIUS. Il doit être identique des deux côtés.

Une non-concordance du secret partagé est l'une des causes les plus courantes d'échec d'authentification RADIUS lors du déploiement initial. Copiez-collez toujours cette valeur plutôt que de la saisir manuellement.

Exemples concrets

Un hôtel de 500 chambres doit fournir un WiFi sécurisé à ses clients, aux participants de conférences et à son personnel. Les clients doivent bénéficier d'un parcours de connexion fluide, tandis que le personnel a besoin d'un accès sécurisé aux systèmes de gestion de propriété internes et aux points de vente. L'hôtel utilise Oracle OPERA comme système de gestion de propriété (PMS).

Déployer la plateforme cloud RADIUS de Purple intégrée au PMS Oracle OPERA de l'hôtel. Configurer trois SSIDs distincts : 'Hotel-Guest', 'Conference-WiFi' et 'Staff-Internal'. Le SSID 'Staff-Internal' est configuré pour WPA3-Enterprise avec EAP-TLS. Des certificats numériques sont déployés sur tous les appareils de l'hôtel via une plateforme MDM (par exemple, Jamf ou Microsoft Intune), permettant une authentification fluide et sans mot de passe pour le personnel. Le SSID 'Hotel-Guest' utilise un Captive Portal personnalisé intégré à OPERA. Lors de l'enregistrement, OPERA crée automatiquement un compte utilisateur RADIUS temporaire avec des identifiants valides pour la durée du séjour du client. Le client reçoit un QR code ou un e-mail de bienvenue contenant un lien de connexion directe. Le SSID 'Conference-WiFi' utilise un système de coupons au sein de la plateforme Purple, permettant aux coordinateurs d'événements de générer des codes d'accès uniques et limités dans le temps pour leurs participants. Les trois SSIDs utilisent l'attribution dynamique de VLAN pour appliquer une segmentation stricte du trafic.

Commentaire de l'examinateur : Cette architecture répond aux besoins de trois populations d'utilisateurs distinctes avec des méthodes d'authentification adaptées. L'intégration du PMS pour l'accès des clients constitue un gain d'efficacité opérationnelle clé, éliminant la gestion manuelle des identifiants à la réception. L'approche basée sur des certificats pour les appareils du personnel est le bon choix de sécurité pour les utilisateurs ayant accès à des systèmes internes sensibles. Le système de coupons pour les participants aux conférences offre un modèle d'autonomie évolutif pour la gestion des événements. La segmentation VLAN sur l'ensemble des trois SSIDs garantit qu'un appareil client compromis ne peut pas accéder au réseau interne de l'hôtel.

Une chaîne de vente au détail comptant 200 magasins au Royaume-Uni souhaite remplacer son réseau WiFi invité non sécurisé à mot de passe partagé. L'équipe marketing a besoin de données démographiques basées sur le consentement des visiteurs des magasins pour soutenir des campagnes ciblées. L'équipe informatique utilise Azure Active Directory pour toute la gestion des identités de l'entreprise.

Déployer la plateforme cloud RADIUS et le WiFi invité de Purple dans les 200 magasins à l'aide d'une configuration centralisée et standardisée. Pour l'accès invité, configurer un Captive Portal personnalisé sur un SSID invité dédié. Le portail propose une authentification via des comptes de réseaux sociaux (Facebook, Google) ou un formulaire d'inscription simple, collectant le consentement marketing conformément au GDPR. La plateforme de Purple agrège ces données dans un tableau de bord analytique centralisé, fournissant à l'équipe marketing les données démographiques des visiteurs, les temps de présence et les taux de visites répétées. Pour le personnel de l'entreprise, intégrer le serveur RADIUS au locataire Azure AD existant. Le personnel se connecte à un SSID 'Staff' distinct à l'aide de ses identifiants Azure AD via PEAP, avec un plan de migration progressif vers EAP-TLS avec certificats pour les rôles les plus exposés aux risques. Tout le trafic invité est isolé sur un VLAN dédié sans aucun accès au réseau interne du magasin ou aux systèmes de caisse (EPOS), respectant ainsi les exigences de segmentation réseau de la norme PCI DSS.

Commentaire de l'examinateur : Cette solution répond simultanément aux objectifs de sécurité, de conformité et de marketing. Les options de connexion sociale et de formulaire d'inscription offrent une expérience client fluide tout en générant de précieuses données de première main basées sur le consentement — un atout commercial majeur dans un environnement post-cookies tiers. L'intégration d'Azure AD pour l'accès du personnel est très efficace, capitalisant sur l'investissement existant en matière d'identité et évitant la création d'une base de données utilisateurs parallèle. L'approche progressive d'EAP-TLS est une stratégie de déploiement pragmatique qui apporte des améliorations de sécurité immédiates tout en préparant la transition vers l'état cible.

Questions d'entraînement

Q1. Vous êtes l'architecte informatique d'un grand centre de conférence. Une entreprise technologique majeure loue votre site pour une conférence de trois jours accueillant 5 000 participants. Le client exige que les participants puissent se connecter à un réseau WiFi sécurisé et performant sans avoir à saisir manuellement un mot de passe chaque jour. Le client utilise Okta comme fournisseur d'identité. Comment concevriez-vous la solution d'authentification ?

Conseil : Considérez comment fournir une expérience fluide et sans mot de passe pour un grand nombre d'utilisateurs d'une seule organisation externe. Pensez à l'authentification basée sur les certificats et à la manière de l'intégrer avec un fournisseur d'identité tiers pour un événement limité dans le temps.

Voir la réponse type

La solution optimale consiste à provisionner un SSID dédié pour la conférence, configuré en WPA3-Enterprise avec EAP-TLS. Intégrez votre plateforme RADIUS cloud au locataire Okta du client via une fédération SAML pour la durée de l'événement. Avant l'ouverture de la conférence, les participants sont dirigés vers un portail d'intégration unique où ils s'authentifient avec leurs identifiants Okta. Une fois l'authentification réussie, un certificat numérique unique est généré et installé sur leur appareil. Pour le reste de la conférence, leur appareil se connecte automatiquement et de manière sécurisée au SSID sans aucune autre interaction de l'utilisateur. Les certificats sont émis avec une période de validité correspondant à la durée de la conférence et sont automatiquement révoqués à la clôture. Cela offre une expérience fluide et sans mot de passe tout en maintenant une sécurité robuste, et tire parti de l'infrastructure d'identité existante du client plutôt que de créer un système d'identifiants distinct.

Q2. Un hôpital privé doit fournir un accès WiFi aux patients et aux visiteurs, mais doit s'assurer que ce trafic est complètement isolé du réseau utilisé pour les systèmes cliniques, les dossiers de santé informatisés et les dispositifs médicaux, afin de se conformer aux exigences HIPAA et NHS DSP Toolkit. Quelle fonctionnalité RADIUS est la plus critique pour réaliser cette isolation, et comment la configureriez-vous ?

Conseil : Concentrez-vous sur le pilier Autorisation du framework AAA. La clé n'est pas seulement d'authentifier les utilisateurs, mais de contrôler ce qu'ils peuvent atteindre après l'authentification. Considérez comment RADIUS communique la politique réseau au point d'accès.

Voir la réponse type

La fonctionnalité la plus critique est l'attribution dynamique de VLAN via des politiques d'autorisation RADIUS. Vous créeriez un VLAN dédié « Patient-Guest » (par exemple, le VLAN 50) sur l'infrastructure réseau, configuré avec des règles de pare-feu qui n'autorisent que l'accès à Internet et interdisent explicitement tout trafic vers les VLAN du réseau clinique. Sur le serveur RADIUS, créez une politique d'autorisation qui attribue tout utilisateur s'authentifiant sur le SSID WiFi patient au VLAN 50, quels que soient ses identifiants. Le serveur RADIUS communique cette attribution au point d'accès via les attributs Tunnel-Type, Tunnel-Medium-Type et Tunnel-Private-Group-ID dans le message Access-Accept. Le point d'accès place ensuite le trafic de l'utilisateur dans le VLAN 50 au moment de la connexion. Cela garantit que même si l'appareil d'un patient est compromis, il ne dispose d'aucun chemin réseau vers les systèmes cliniques — une exigence fondamentale pour la conformité HIPAA et la sécurité du réseau clinique.

Q3. Votre organisation a déployé le 802.1X avec RADIUS sur l'ensemble de son parc d'entreprise. Un employé signale qu'il ne peut pas se connecter au WiFi de l'entreprise depuis son nouvel ordinateur portable, mais qu'il y parvient avec succès depuis son smartphone et son ancien ordinateur portable. Le support informatique a confirmé que le compte de l'employé est actif dans Azure AD. Quelle est votre approche de diagnostic, et quelles sont les trois causes profondes les plus probables ?

Conseil : Le problème est spécifique à l'appareil, pas à l'utilisateur — l'utilisateur peut s'authentifier depuis d'autres appareils. Cela restreint le problème à la configuration de l'appareil, à son certificat ou aux paramètres du demandeur (supplicant) de l'appareil. Commencez par les journaux du serveur RADIUS.

Voir la réponse type

L'approche de diagnostic consiste d'abord à examiner les journaux d'authentification du serveur RADIUS à la recherche de messages Access-Reject correspondant à l'adresse MAC du nouvel ordinateur portable. Le code de motif du rejet identifiera la cause profonde. Les trois causes les plus probables sont : (1) Certificat client manquant ou invalide — si le déploiement utilise EAP-TLS, le nouvel ordinateur portable n'a peut-être pas encore reçu de certificat via MDM. Vérifiez si l'appareil est inscrit dans la plateforme MDM et si la politique de déploiement de certificat a été appliquée. (2) Profil WiFi incorrect — le nouvel ordinateur portable peut avoir des paramètres de demandeur 802.1X incorrects, tels qu'une mauvaise méthode EAP, une configuration de confiance de certificat de serveur RADIUS incorrecte ou un format de nom d'utilisateur erroné. Vérifiez que le profil WiFi correspond au modèle standard de l'entreprise. (3) Appareil non encore enregistré dans l'annuaire d'identité — certaines politiques RADIUS effectuent une vérification de conformité de l'appareil par rapport à Azure AD. Si le nouvel ordinateur portable n'a pas encore finalisé sa jonction à Azure AD et son enregistrement d'appareil, il peut échouer à cette vérification même si le compte de l'utilisateur est actif.

Continuer la lecture de cette série

Serveur RADIUS : un guide complet pour les entreprises

Ce guide fournit aux responsables informatiques, architectes réseau et directeurs techniques une référence technique définitive sur l'authentification serveur RADIUS pour le WiFi d'entreprise. Il couvre le framework AAA, l'architecture 802.1X, la sélection de la méthode EAP, les arbitrages de déploiement entre cloud et sur site, ainsi que l'attribution dynamique de VLAN. Les exploitants de sites dans l'hôtellerie, le commerce, l'événementiel et le secteur public y trouveront des conseils de mise en œuvre pratiques, des études de cas réelles et les cadres décisionnels nécessaires pour migrer de clés prépartagées non sécurisées vers une architecture de contrôle d'accès réseau sécurisée et basée sur l'identité.

Aruba ClearPass vs. Purple WiFi : comparaison des fonctionnalités et co-déploiement

Un guide technique complet détaillant l'architecture de co-déploiement d'Aruba ClearPass et de Purple WiFi. Il traite de la configuration du proxy RADIUS, de l'attribution dynamique de VLAN et des meilleures pratiques pour fournir des réseaux d'invités sécurisés et axés sur l'analyse de données aux côtés du contrôle d'accès réseau (NAC) d'entreprise.

Cisco ISE vs. Purple WiFi : comparaison et complémentarité

Ce guide explique comment Cisco ISE et Purple WiFi remplissent des rôles distincts mais complémentaires au sein des réseaux d'entreprise. Il détaille comment utiliser Cisco ISE pour un accès d'entreprise sécurisé 802.1X tout en tirant parti de Purple pour un WiFi invité conforme au GDPR, des analyses marketing et l'intégration CRM.