WiFi sans mot de passe : Qu'est-ce que c'est et comment l'implémenter

Ce guide de référence technique fournit aux architectes réseau et aux responsables informatiques un plan complet pour passer de mots de passe partagés vulnérables à une authentification WiFi sécurisée basée sur des certificats. Il couvre l'architecture 802.1X, les stratégies de déploiement EAP-TLS, la gestion PKI et l'impact commercial mesurable de la réduction de la charge de travail du support technique tout en renforçant la posture de sécurité de l'entreprise et la préparation à la conformité.

📖 8 min de lecture📝 1,800 mots🔧 2 exemples concrets❓ 3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast

[0:00 - 1:00] Introduction & Contexte
Bonjour et bienvenue dans ce briefing technique de Purple. Je suis votre architecte de solutions senior pour la session d'aujourd'hui, et nous abordons un changement d'architecture critique pour les réseaux d'entreprise : le passage au WiFi sans mot de passe.

Si vous êtes directeur informatique d'une chaîne de vente au détail, gérez un grand hôtel ou supervisez un campus du secteur public, vous connaissez déjà la douleur de la clé pré-partagée — le PSK. C'est le mot de passe unique que tout le monde partage. C'est un cauchemar de sécurité, cela rend les audits de conformité comme PCI DSS incroyablement pénibles et, franchement, c'est une charge énorme pour votre support technique. Chaque fois qu'un membre du personnel s'en va, vous devriez techniquement renouveler ce mot de passe. Mais vous ne le faites pas, car cela interrompt la connectivité de chaque scanner, tablette et ordinateur portable du bâtiment. Aujourd'hui, nous discutons de la solution : l'authentification WiFi basée sur des certificats et sensible à l'identité. C'est sécurisé, c'est évolutif et cela change fondamentalement l'économie opérationnelle de la gestion des accès sans fil. Plongeons dans l'architecture.

[1:00 - 6:00] Plongée technique
Pour comprendre le WiFi sans mot de passe, nous devons examiner la norme IEEE 802.1X. Ce n'est pas une technologie nouvelle, mais la façon dont nous la déployons à grande échelle a considérablement évolué.

Le 802.1X repose sur trois composants. Tout d'abord, le Suppliant — c'est l'appareil client, votre ordinateur portable ou votre smartphone. Deuxièmement, l'Authentificateur — généralement votre point d'accès sans fil. Et troisièmement, le serveur d'authentification — votre serveur RADIUS, lié à un fournisseur d'identité, ou IdP, comme Active Directory ou Okta.

Quand nous parlons de 'sans mot de passe' dans un contexte d'entreprise, nous parlons presque toujours d'EAP-TLS — Extensible Authentication Protocol avec Transport Layer Security. L'EAP-TLS est la référence absolue car il impose une authentification mutuelle. Le réseau prouve sa légitimité à l'appareil — empêchant les attaques de type 'evil twin' — et l'appareil prouve son identité au réseau à l'aide d'un certificat numérique unique. Aucun mot de passe n'est jamais transmis sur le réseau.

Le moteur derrière cela est votre infrastructure de clés publiques, ou PKI. C'était autrefois un véritable casse-tête à mettre en place sur site. Mais aujourd'hui, les solutions PKI et RADIUS gérées dans le cloud ont considérablement démocratisé cette infrastructure.

La véritable magie opère lors de l'intégration des appareils. Pour vos actifs d'entreprise — les ordinateurs portables et les tablettes gérées — vous exploitez votre plateforme de gestion des appareils mobiles (MDM), comme Intune ou Jamf. Le MDM utilise un protocole appelé SCEP — Simple Certificate Enrollment Protocol — pour demander silencieusement un certificat à l'autorité de certification et le pousser vers l'appareil. C'est sans friction (zero-touch) pour l'utilisateur. Il ouvre son ordinateur portable et il est connecté en toute sécurité. Aucun mot de passe requis. Aucun appel au support technique nécessaire.

Pour les appareils non gérés — BYOD ou invités — nous utilisons des portails d'intégration. L'utilisateur s'authentifie une fois auprès de son annuaire d'entreprise, ou peut-être via un Captive Portal pour les invités, et un certificat temporaire ou un profil Passpoint est poussé sur son appareil.

En parlant de Passpoint, ou Hotspot 2.0, c'est crucial pour les sites comme les stades, les centres de conférences ou les grands environnements de vente au détail. Cela permet aux appareils de découvrir et de se connecter automatiquement aux réseaux autorisés, un peu comme l'itinérance cellulaire. C'est là que des plateformes comme Purple apportent une valeur immense. Purple peut agir en tant que fournisseur d'identité pour des services comme OpenRoaming. Un invité entre, son appareil reconnaît le réseau, s'authentifie en toute sécurité en arrière-plan à l'aide d'un certificat, et il est en ligne. Pas de Captive Portal à chaque visite, mais vous bénéficiez toujours des capacités d'analyse et d'engagement en arrière-plan.

De plus, le 802.1X permet une attribution dynamique de VLAN. Le serveur RADIUS examine le certificat, identifie le groupe de l'utilisateur et indique au point d'accès de le placer sur un VLAN spécifique. Vos terminaux de point de vente sont isolés de votre personnel d'entreprise, qui est lui-même isolé du réseau invité. C'est précisément ainsi que vous assurez la conformité et limitez votre rayon d'impact en cas d'incident de sécurité.

[6:00 - 8:00] Recommandations de mise en œuvre et pièges
Lorsque vous êtes prêt à déployer, adoptez une approche progressive.

Tout d'abord, auditez votre infrastructure. Assurez-vous que vos contrôleurs LAN sans fil et vos points d'accès prennent en charge le WPA3-Enterprise et le 802.1X. Le matériel hérité peut nécessiter des mises à jour de firmware ou un remplacement.

Deuxièmement, organisez votre PKI et votre RADIUS. Je recommande vivement le cloud-RADIUS pour l'évolutivité et la redondance. Les serveurs RADIUS sur site deviennent des points de défaillance uniques dans les déploiements distribués.

Troisièmement, soignez l'expérience d'intégration. S'il est difficile pour les utilisateurs d'obtenir leurs certificats, votre support technique sera submergé pendant la transition.

Maintenant, quels sont les pièges ? Le plus important est le décalage d'horloge (clock skew). L'EAP-TLS repose fortement sur la cryptographie, qui elle-même dépend d'une heure précise. Si l'heure de votre appareil client est désynchronisée par rapport à votre serveur RADIUS, la validation du certificat échouera — silencieusement. L'utilisateur ne peut tout simplement pas se connecter et ne sait pas pourquoi. Assurez-vous que tout se synchronise avec une source NTP fiable.

Un autre problème courant est la confiance dans la chaîne de certificats. Si l'appareil client n'a pas installé l'autorité de certification racine et les autorités de certification intermédiaires, il rejettera le certificat du serveur. Assurez-vous toujours que votre serveur RADIUS est configuré pour envoyer la chaîne de certificats complète pendant l'échange EAP.

Enfin, ne coupez pas l'ancien réseau PSK du jour au lendemain. Faites fonctionner les deux SSIDs en parallèle, mais limitez la bande passante sur l'ancien réseau pour inciter les utilisateurs à migrer vers le SSID sécurisé. Accordez-vous quatre à six semaines pour la transition.

[8:00 - 9:00] Questions-réponses rapides
Question un : Le WiFi sans mot de passe est-il réservé aux grandes entreprises ? Plus maintenant. Les solutions RADIUS et PKI gérées dans le cloud ont rendu cela accessible également aux entreprises de taille moyenne. Les économies opérationnelles — rien que par la réduction des sollicitations du support technique — justifient souvent l'investissement dès la première année.

Question deux : Que se passe-t-il si un appareil est perdu ou volé ? C'est toute la beauté d'EAP-TLS. Vous ne changez pas un mot de passe qui affecte chaque utilisateur du réseau. Vous révoquez simplement le certificat de cet appareil spécifique dans votre PKI. Le serveur RADIUS vérifie la liste de révocation de certificats (CRL) ou utilise l'OCSP — le protocole de statut de certificat en ligne — et bloque immédiatement cet appareil du réseau. Chirurgical, précis et instantané.

[9:00 - 10:00] Résumé et prochaines étapes
Pour résumer, passer au WiFi sans mot de passe via le 802.1X et l'EAP-TLS est un impératif stratégique pour toute organisation gérant le WiFi à grande échelle. Cela élimine les vulnérabilités de sécurité des mots de passe partagés, permet une segmentation granulaire du réseau pour la conformité avec des cadres comme PCI DSS et GDPR, et réduit considérablement la charge de travail du support technique.

Pour vos prochaines étapes, je vous recommande de mener une évaluation de la préparation de votre infrastructure ce trimestre. Évaluez les fournisseurs de cloud-RADIUS et examinez de près comment des plateformes comme Purple peuvent simplifier le processus d'intégration — en particulier pour les scénarios d'invités et de BYOD — transformant ce qui est fondamentalement une mise à niveau de sécurité en un véritable outil de développement commercial.

Merci pour votre temps aujourd'hui. Si vous souhaitez découvrir comment Purple peut soutenir votre déploiement de WiFi sans mot de passe, visitez purple point ai.

Points clés à retenir

✓Le WiFi sans mot de passe remplace les mots de passe partagés (PSK) par des certificats numériques uniques par appareil, améliorant fondamentalement la sécurité du réseau d'entreprise.
✓La norme IEEE 802.1X avec EAP-TLS fournit une authentification mutuelle — l'appareil et le réseau vérifient l'identité de l'autre de manière cryptographique.
✓L'élimination des mots de passe partagés réduit considérablement les tickets d'assistance liés aux problèmes de connectivité, à la rotation des mots de passe et à la compromission des identifiants.
✓Le déploiement nécessite trois composants essentiels : un serveur RADIUS, un fournisseur d'identité (IdP) et une infrastructure de clés publiques (PKI) pour la gestion du cycle de vie des certificats.
✓La gestion des appareils mobiles (MDM) avec SCEP permet un provisionnement de certificats sans friction (zero-touch) pour les actifs de l'entreprise, sans aucune interaction de l'utilisateur.
✓Passpoint (Hotspot 2.0) et les plateformes comme Purple offrent une intégration fluide et sécurisée pour les accès invités et BYOD, agissant comme un IdP pour OpenRoaming.
✓L'attribution dynamique de VLAN via RADIUS permet une segmentation granulaire du réseau basée sur l'identité de l'utilisateur, une exigence clé pour la conformité PCI DSS et GDPR.

Résumé exécutif

La transition de clés pré-partagées (PSK) partagées vers une authentification WiFi sans mot de passe basée sur des certificats représente un changement d'architecture critique pour les réseaux d'entreprise. Pour les responsables informatiques et les architectes réseau opérant à grande échelle — que ce soit dans un hôtel de 200 chambres, une chaîne nationale de vente au détail ou un vaste campus du secteur public — l'approche héritée consistant à gérer un mot de passe unique pour tous les accès invités ou BYOD n'est plus viable. Elle introduit des vulnérabilités de sécurité inacceptables, complique la conformité avec des cadres comme PCI DSS et GDPR, et génère un volume disproportionné de tickets d'assistance liés à des problèmes de connectivité et à la rotation des mots de passe.

Le WiFi sans mot de passe, fondamentalement basé sur la norme IEEE 802.1X et l'EAP-TLS (Extensible Authentication Protocol - Transport Layer Security), élimine ces points de friction. En émettant des certificats uniques et cryptographiquement sécurisés pour chaque appareil, les administrateurs réseau peuvent appliquer un contrôle d'accès granulaire et sensible à l'identité. Ce guide fournit une référence technique complète pour la mise en œuvre du WiFi sans mot de passe, détaillant l'architecture sous-jacente, les méthodologies de déploiement et le retour sur investissement (ROI) mesurable réalisable grâce à la réduction des coûts opérationnels et à l'atténuation des risques. De plus, nous explorons comment l'intégration d'une plateforme comme le Guest WiFi de Purple peut simplifier cette transition, en agissant comme un fournisseur d'identité (IdP) robuste pour faciliter une intégration fluide et sécurisée.

Plongée technique : L'architecture du WiFi sans mot de passe

Pour comprendre la mise en œuvre du WiFi sans mot de passe, il faut d'abord déconstruire les composants clés du cadre d'authentification 802.1X. Contrairement au WPA2-Personal, qui repose sur un secret partagé, le 802.1X fonctionne sur un modèle tripartite : le Suppliant, l'Authentificateur et le Serveur d'authentification.

Le modèle tripartite 802.1X

Le Suppliant est l'appareil client — un smartphone, un ordinateur portable ou un capteur IoT — qui tente de se connecter au réseau. Dans un environnement sans mot de passe, le suppliant doit posséder un certificat numérique valide plutôt qu'un mot de passe. L'Authentificateur est généralement le point d'accès sans fil (WAP) ou le contrôleur LAN sans fil. Il agit comme un gardien, n'évaluant pas lui-même les identifiants, mais encapsulant la demande du suppliant et la transmettant au serveur d'authentification via le protocole RADIUS. Le Serveur d'authentification est l'autorité centralisée — souvent un serveur RADIUS intégré à un fournisseur d'identité (IdP) tel qu'Active Directory, LDAP ou un service d'annuaire cloud natif. Le serveur valide le certificat présenté par le suppliant par rapport à sa base de données et à une liste de révocation de certificats (CRL).

EAP-TLS : La référence absolue pour l'authentification sans mot de passe

Bien que le 802.1X prenne en charge diverses méthodes d'EAP (Extensible Authentication Protocol), l'EAP-TLS est universellement reconnu comme la norme la plus sécurisée pour les déploiements d'entreprise. L'EAP-TLS impose une authentification mutuelle : le serveur RADIUS présente son certificat au suppliant, prouvant que le réseau est légitime et empêchant les attaques de type 'evil twin' ; et le suppliant présente son certificat client unique au serveur RADIUS, prouvant son identité sans transmettre de hachages de mot de passe sur le réseau. Ce protocole d'accord cryptographique mutuel établit un tunnel TLS sécurisé à travers lequel l'autorisation finale et la dérivation de clé ont lieu, garantissant une intégrité et une confidentialité maximales des données.

Le rôle de l'infrastructure de clés publiques (PKI)

La mise en œuvre d'EAP-TLS nécessite une infrastructure de clés publiques (PKI) robuste. La PKI est responsable de la génération, de l'émission et de la gestion du cycle de vie des certificats numériques. Historiquement, la gestion d'une autorité de certification (CA) locale était un obstacle majeur à l'adoption. Cependant, les solutions PKI modernes gérées dans le cloud et les intégrations de gestion des appareils mobiles (MDM) ont automatisé le processus de provisionnement, permettant de pousser silencieusement les certificats vers les appareils gérés via des protocoles comme SCEP (Simple Certificate Enrollment Protocol) ou EST (Enrollment over Secure Transport).

Pour les appareils non gérés — accès BYOD ou invités — les plateformes d'intégration fournissent un portail en libre-service où les utilisateurs s'authentifient une fois (par exemple, via OAuth ou SAML par rapport à un annuaire d'entreprise, ou via un Captive Portal pour les invités) et reçoivent ensuite un certificat temporaire ou un profil sécurisé tel que Passpoint/Hotspot 2.0.

Guide de mise en œuvre : Déploiement étape par étape

Le déploiement d'une architecture WiFi sans mot de passe nécessite une planification minutieuse et une exécution progressive. Les étapes suivantes décrivent une approche neutre vis-à-vis des fournisseurs, adaptée aux environnements d'entreprise à grande échelle, tels que ceux que l'on trouve dans les secteurs de la Santé ou des Transports .

Phase 1 : Évaluation et préparation de l'infrastructure

Avant de modifier les méthodes d'authentification, assurez-vous que l'infrastructure réseau sous-jacente prend en charge les protocoles requis. Vérifiez que tous les contrôleurs LAN sans fil et points d'accès prennent en charge le 802.1X et le WPA3-Enterprise — le matériel hérité peut nécessiter des mises à jour de firmware ou un remplacement. Sélectionnez une solution RADIUS robuste capable de gérer la charge d'authentification attendue ; les solutions cloud-RADIUS offrent une disponibilité et une évolutivité élevées par rapport aux déploiements sur site. Déterminez la source unique de vérité pour les identités des utilisateurs (par exemple, Azure AD, Okta, Google Workspace) et confirmez que le serveur RADIUSr peut communiquer avec cet annuaire.

Phase 2 : Configuration de la PKI et gestion des certificats

Le fondement de l'accès sans mot de passe est la gestion du cycle de vie des certificats. Déployez une autorité de certification (CA) de confiance : pour les appareils d'entreprise internes, une CA interne suffit ; pour l'accès invité ou le BYOD, envisagez une CA publique ou un service d'intégration spécialisé. Définissez des politiques de validité des certificats claires — les appareils d'entreprise peuvent recevoir des certificats valides pendant un an, tandis que les certificats invités peuvent expirer après 24 heures. Configurez des mécanismes de révocation, en veillant à ce que le serveur RADIUS vérifie les listes de révocation de certificats (CRL) ou utilise le protocole OCSP pour bloquer immédiatement l'accès des appareils perdus ou compromis.

Phase 3 : Intégration et provisionnement des appareils

L'expérience d'intégration détermine le succès du déploiement. Pour les appareils d'entreprise gérés, exploitez une solution MDM (par exemple, Microsoft Intune, Jamf) pour pousser silencieusement le certificat de la CA et le certificat client unique à l'aide de SCEP ou EST. Cela ne nécessite aucune interaction de l'utilisateur. Pour les appareils BYOD non gérés, implémentez un portail d'intégration sécurisé où les utilisateurs se connectent à un SSID de provisionnement ouvert, s'authentifient via des identifiants d'entreprise (SAML/OAuth) et téléchargent un profil de configuration qui installe les certificats nécessaires et configure le SSID sécurisé. Pour l'accès invité dans des environnements comme l' Hôtellerie ou le Commerce de détail , intégrez une plateforme comme WiFi Analytics de Purple. Purple peut agir en tant qu'IdP, permettant aux invités de s'authentifier via un réseau social ou un portail personnalisé, après quoi ils sont transférés de manière transparente vers une connexion sécurisée et chiffrée — exploitant souvent les normes OpenRoaming ou Passpoint — sans jamais avoir à saisir de mot de passe réseau.

Phase 4 : Configuration du réseau et tests

Créez le nouveau SSID configuré pour WPA3-Enterprise (ou WPA2-Enterprise si la prise en charge des systèmes existants est requise) et l'authentification 802.1X, en orientant l'authentificateur vers le serveur RADIUS. Configurez le serveur RADIUS pour renvoyer des attributs spécifiques en cas d'authentification réussie — par exemple, en attribuant l'utilisateur à un VLAN spécifique en fonction de son appartenance à un groupe, en plaçant le personnel sur un VLAN d'entreprise et les invités sur un VLAN isolé uniquement Internet. Déployez d'abord le SSID sécurisé auprès d'un petit groupe pilote (le service informatique est généralement idéal) et surveillez méticuleusement les journaux d'authentification pour identifier toute erreur de validation de certificat ou tout délai d'attente RADIUS avant un déploiement complet.

Bonnes pratiques pour les environnements d'entreprise

Imposer l'authentification mutuelle : Ne déployez jamais EAP-TLS sans exiger que le suppliant valide le certificat du serveur. Le non-respect de cette consigne expose le réseau à des attaques de type Man-in-the-Middle (MitM).

Implémenter une validation stricte des certificats : Configurez les suppliants pour qu'ils fassent explicitement confiance uniquement à la CA spécifique qui a émis le certificat du serveur RADIUS, et vérifiez le Common Name (CN) ou le Subject Alternative Name (SAN) du serveur.

Exploiter Passpoint (Hotspot 2.0) : Pour les lieux publics, Passpoint représente l'avenir de la connectivité sans mot de passe. Il permet aux appareils de découvrir automatiquement et de se connecter en toute sécurité aux réseaux autorisés à l'aide d'identifiants fournis par leur opérateur mobile ou un IdP tiers, fonctionnant de la même manière que l'itinérance cellulaire. La licence Connect de Purple facilite cela en agissant comme un fournisseur d'identité pour des services comme OpenRoaming.

Segmenter le trafic : Utilisez toujours l'attribution dynamique de VLAN via RADIUS pour séparer logiquement les différentes classes d'utilisateurs (terminaux de point de vente, personnel d'entreprise, appareils IoT, invités). Cela limite la portée de toute compromission potentielle. Pour en savoir plus sur la segmentation des réseaux spécialisés, consultez notre guide sur le WiFi dans les hôpitaux : un guide pour sécuriser les réseaux cliniques .

Dépannage et atténuation des risques

Même avec une planification méticuleuse, des problèmes peuvent survenir. Comprendre les modes de défaillance courants est essentiel pour une résolution rapide.

Le décalage d'horloge (Clock Skew) est la cause la plus fréquente d'échecs d'authentification EAP-TLS. La validation des certificats repose sur une heure précise ; si l'heure du suppliant, du serveur RADIUS ou de la CA est désynchronisée de plus de quelques minutes, la validation échouera silencieusement. Assurez-vous que toute l'infrastructure s'appuie sur une source NTP fiable.

Les problèmes de chaîne de certificats surviennent lorsque le suppliant n'a pas installé la chaîne de confiance complète — y compris les CA intermédiaires. Il rejettera le certificat du serveur. Assurez-vous toujours que le serveur RADIUS est configuré pour envoyer la chaîne de certificats complète lors de l'échange EAP.

Les délais d'attente RADIUS peuvent survenir si la latence entre l'authentificateur (WAP) et le serveur RADIUS est trop élevée, provoquant l'expiration de la liaison EAP. Cela est fréquent dans les déploiements distribués utilisant un RADIUS cloud centralisé. Ajustez les valeurs de délai d'attente sur le WLC ou envisagez de déployer des proxys RADIUS régionaux.

Certificats obsolètes : Les appareils tentant de s'authentifier avec des certificats expirés seront rejetés silencieusement. Implémentez une surveillance robuste pour alerter les administrateurs des expirations de certificats imminentes avant qu'elles n'impactent les utilisateurs.

Pour atténuer les risques, maintenez temporairement le réseau PSK existant pendant la transition, mais limitez sa bande passante ou ses privilèges d'accès pour encourager la migration. Transférez tous les journaux d'authentification RADIUS vers une plateforme SIEM et effectuez des examens périodiques de l'infrastructure PKI et des politiques RADIUS pour garantir l'alignement avec les normes de sécurité actuelles.

ROI et impact commercial

La transition vers un WiFi sans mot de passe est un investissement stratégique avec un retour mesurable sur plusieurs dimensions.

Métrique	PSK partagé	Basé sur les certificats (802.1X)
Tickets d'assistance (connectivité)	Élevé — réinitialisations de mot de passe fréquentes	Presque nul — provisionnement automatisé
Risque de sécurité	Élevé — un seul identifiant pour tous	Faible — unique, révocable par appareil
Niveau de conformité	Faible — aucune responsabilité individuelle	Fort — piste d'audit complète par appareil
Temps d'intégration (entreprise)	Minutes (manuel)	Secondes (automatisé via MDM)
Révocation des identifiants	Perturbateur — nécessite une rotation complète de la PSK	Instantané — révocation du certificat individuel

Réduction de la charge de travail du support technique : La gestion des mots de passe partagés est une source importante de consommation des ressources informatiques. L'authentification sans mot de passe, en particulier lorsqu'elle est automatisée via un MDM ou un portail d'intégration en libre-service, élimine pratiquement les tickets de support liés aux mots de passe.

Posture de sécurité renforcée : En éliminant les secrets partagés, le risque de vol d'identifiants et d'accès non autorisé au réseau est considérablement réduit. Chaque appareil dispose d'une identité unique et sécurisée par cryptographie qui peut être instantanément révoquée si l'appareil est perdu ou compromis.

Conformité simplifiée : Les cadres réglementaires tels que PCI DSS exigent des contrôles d'accès stricts et une responsabilité individuelle. L'authentification basée sur des certificats fournit une piste d'audit claire indiquant précisément quel appareil a accédé au réseau et à quel moment, simplifiant ainsi les rapports de conformité.

Expérience utilisateur et capture de données améliorées : Une fois configuré, le processus de connexion est entièrement transparent pour l'utilisateur. Dans des environnements tels que le Secteur du commerce de détail , cette connectivité sans friction encourage les utilisateurs à se connecter au réseau, permettant aux établissements de capturer des données de première main précieuses et de stimuler un engagement personnalisé via des plateformes comme Purple.

Pour les organisations qui gèrent des environnements RF complexes, il est crucial de comprendre l'interaction entre l'authentification et l'infrastructure physique. Vous trouverez d'autres informations sur les considérations relatives aux infrastructures dans Votre guide sur les points d'accès sans fil Ruckus . De plus, il peut être utile de comprendre comment s'appliquent des concepts de réseau plus larges ; consultez notre guide sur les Réseaux personnels (PAN) : Technologies, applications, sécurité et tendances futures .

Définitions clés

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports, fournissant un mécanisme d'authentification aux appareils souhaitant se connecter à un LAN ou WLAN. C'est le protocole fondamental pour un WiFi d'entreprise sans mot de passe.

La norme fondamentale qui sous-tend toute l'authentification WiFi d'entreprise, remplaçant le modèle PSK partagé.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Une méthode EAP hautement sécurisée qui nécessite une authentification mutuelle à l'aide de certificats numériques sur le client et le serveur. Aucun mot de passe n'est transmis sur le réseau.

Considéré comme la référence absolue en matière de sécurité sans fil. La méthode de choix pour toute organisation soucieuse d'éliminer les risques liés aux identifiants.

RADIUS (Remote Authentication Dial-In User Service)

Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilisation (AAA) pour les utilisateurs qui se connectent et utilisent un service réseau.

Le moteur qui traite les demandes d'authentification des points d'accès et les valide par rapport à un annuaire. Un serveur RADIUS est un composant obligatoire de tout déploiement 802.1X.

Supplicant

L'appareil client (par ex., ordinateur portable, smartphone, capteur IoT) tentant d'accéder au réseau. Dans le protocole 802.1X, le suppliant doit présenter un certificat ou un identifiant valide pour obtenir l'accès.

Le point de départ de chaque demande d'authentification. Comprendre les capacités du suppliant (par exemple, s'il prend en charge EAP-TLS) est essentiel pendant la phase de planification.

PKI (Public Key Infrastructure)

Un ensemble de rôles, de politiques, de matériel, de logiciels et de procédures nécessaires pour créer, gérer, distribuer, utiliser, stocker et révoquer des certificats numériques et gérer le chiffrement par clé publique.

Le système sous-jacent requis pour émettre et gérer les certificats utilisés dans EAP-TLS. Sans une PKI fonctionnelle, l'authentification basée sur des certificats n'est pas possible.

Passpoint (Hotspot 2.0)

Une norme de la Wi-Fi Alliance qui simplifie l'accès au réseau, permettant aux appareils de découvrir et de se connecter automatiquement aux réseaux WiFi autorisés sans étapes d'authentification manuelles.

Permet une expérience d'itinérance fluide, similaire à celle du réseau cellulaire, pour les utilisateurs sur différents sites. Particulièrement pertinent pour les déploiements dans l'hôtellerie, la vente au détail et le secteur public.

Dynamic VLAN Assignment

Le processus par lequel un serveur RADIUS ordonne à l'authentificateur de placer un utilisateur authentifié avec succès sur un réseau local virtuel (VLAN) spécifique en fonction de son identité ou de son appartenance à un groupe.

Crucial pour la segmentation du réseau, garantissant que les appareils IoT, les invités et le personnel de l'entreprise sont logiquement isolés les uns des autres — une exigence clé pour la conformité PCI DSS.

SCEP (Simple Certificate Enrollment Protocol)

Un protocole qui permet aux appareils réseau de demander et de recevoir automatiquement des certificats numériques auprès d'une autorité de certification, généralement orchestré par une solution MDM.

Le mécanisme qui permet de fournir des certificats sans friction (zero-touch) pour les appareils de l'entreprise, éliminant ainsi le besoin d'une installation manuelle des certificats.

Exemples concrets

Une chaîne nationale de vente au détail comptant 500 points de vente utilise actuellement un seul réseau WPA2-Personal (PSK) pour les opérations en magasin (scanners d'inventaire, tablettes POS) et les ordinateurs portables du personnel de l'entreprise. Le directeur informatique doit améliorer la sécurité pour se conformer à la norme PCI DSS et réduire la charge opérationnelle liée au renouvellement du PSK à chaque départ d'un employé. Comment doivent-ils implémenter le WiFi sans mot de passe ?

Déployer une solution Cloud-RADIUS intégrée au fournisseur d'identité central (par ex., Azure AD). 2. Pour les ordinateurs portables de l'entreprise, utiliser le MDM existant (Microsoft Intune) pour pousser un certificat client unique via SCEP, en configurant les appareils pour qu'ils se connectent à un nouveau SSID 'Corp-Secure' à l'aide d'EAP-TLS. 3. Pour les scanners d'inventaire et les tablettes POS, utiliser un portail d'intégration pour fournir des certificats spécifiques aux appareils, en les liant à un VLAN dédié 'Ops-Secure' via des attributs RADIUS. 4. Conserver temporairement le réseau PSK, mais changer le mot de passe et le restreindre à un VLAN de quarantaine pour identifier les appareils hérités qui n'ont pas migré. 5. Une fois tous les appareils vérifiés sur le réseau 802.1X, décommissionner le SSID PSK.

Commentaire de l'examinateur : Cette approche progressive minimise les perturbations tout en atteignant les objectifs fondamentaux. L'exploitation du MDM pour les ordinateurs portables offre une expérience sans friction (zero-touch) pour le personnel. La segmentation du trafic des POS et des scanners via l'attribution dynamique de VLAN répond directement aux exigences de la norme PCI DSS en isolant les systèmes concernés du trafic général de l'entreprise. Le VLAN de quarantaine temporaire est une étape essentielle de limitation des risques pour assurer la continuité des activités pendant la transition.

Un grand centre de conférences souhaite offrir un WiFi fluide et sécurisé aux participants sans imprimer de mots de passe sur les badges ni leur imposer de se reconnecter chaque jour à un Captive Portal. Ils souhaitent exploiter leur plateforme d'analyse Purple existante. Comment peuvent-ils y parvenir ?

Le site met en œuvre une infrastructure réseau compatible Passpoint (Hotspot 2.0). 2. Il utilise la licence Connect de Purple, en configurant Purple comme fournisseur d'identité (IdP) pour OpenRoaming. 3. Lorsqu'un participant arrive, si son appareil dispose déjà d'un profil OpenRoaming (par exemple, de son opérateur mobile ou d'un site précédent), il se connecte automatiquement et de manière sécurisée via EAP-TTLS ou EAP-TLS. 4. Pour les utilisateurs sans profil, ils se connectent à un SSID d'intégration standard, s'authentifient une fois via le Captive Portal de Purple (fournissant des données de première partie précieuses) et sont invités à télécharger un profil Passpoint sécurisé. 5. Pour le reste de l'événement, et lors des visites ultérieures, l'utilisateur se connecte automatiquement au réseau sécurisé sans aucun mot de passe.

Commentaire de l'examinateur : Cette solution équilibre efficacement la sécurité, l'expérience utilisateur et les objectifs marketing. En utilisant Passpoint et OpenRoaming, le site offre une expérience de connectivité similaire à celle du réseau cellulaire. L'intégration de Purple en tant qu'IdP garantit que le site capture toujours les analyses et les consentements marketing nécessaires lors de la phase d'intégration initiale, tout en éliminant la friction des connexions quotidiennes au Captive Portal.

Questions d'entraînement

Q1. Vous déployez EAP-TLS sur un campus universitaire. Pendant la phase pilote, plusieurs ordinateurs portables Windows ne parviennent pas à se connecter, signalant une erreur d'authentification. Les journaux RADIUS indiquent que le serveur a rejeté les certificats clients. Les certificats sont valides et émis par l'autorité de certification interne appropriée. Quelle est la cause la plus probable et comment la résoudre ?

Conseil : Prenez en compte les facteurs environnementaux sur lesquels repose la validation cryptographique des certificats, au-delà du contenu du certificat lui-même.

Voir la réponse type

La cause la plus probable est le décalage d'horloge (Clock Skew). La validation des certificats EAP-TLS est extrêmement sensible aux écarts de temps. Si l'heure système des ordinateurs portables Windows est considérablement désynchronisée par rapport au serveur RADIUS ou à l'autorité de certification, les certificats seront considérés comme invalides même s'ils se trouvent dans leur période de validité déclarée. Résolution : assurez-vous que tous les appareils et composants d'infrastructure sont configurés pour se synchroniser avec un serveur NTP fiable. Vérifiez la synchronisation de l'heure sur le serveur RADIUS, l'autorité de certification et les appareils clients.

Q2. Un directeur informatique d'hôpital souhaite implémenter le WiFi sans mot de passe pour tous les appareils cliniques (pompes à perfusion, stations de travail mobiles) mais s'inquiète de la charge administrative liée à la gestion des certificats pour des milliers d'appareils sans écran (headless) qui ne peuvent pas utiliser de portail d'intégration. Quelle est l'approche recommandée ?

Conseil : Pensez aux protocoles de provisionnement automatisés utilisés par les systèmes de gestion d'appareils, et à la manière dont les certificats peuvent être distribués sans interaction de l'utilisateur.

Voir la réponse type

L'approche recommandée consiste à s'appuyer sur une solution de gestion des appareils mobiles (MDM) ou de gestion unifiée des terminaux (UEM) intégrée à la PKI de l'hôpital. En utilisant des protocoles tels que SCEP (Simple Certificate Enrollment Protocol) ou EST (Enrollment over Secure Transport), le MDM peut demander et installer silencieusement des certificats clients uniques sur les appareils cliniques à distance (over-the-air), ne nécessitant aucune intervention manuelle du personnel informatique ou des cliniciens. Le MDM doit également être configuré pour renouveler automatiquement les certificats avant leur expiration.

Q3. Votre organisation passe d'un réseau PSK partagé à un réseau 802.1X EAP-TLS. Vous prévoyez de faire fonctionner les deux SSIDs simultanément pendant un mois. Cependant, vous voulez vous assurer que les utilisateurs qui ont migré avec succès vers le réseau sécurisé ne reviennent pas accidentellement sur le réseau PSK moins sécurisé. Comment pouvez-vous configurer l'infrastructure pour éviter cela ?

Conseil : Considérez comment le serveur RADIUS peut être utilisé pour contrôler l'accès sur le réseau hérité, et quelles informations sont à sa disposition concernant les appareils déjà provisionnés.

Voir la réponse type

Implémentez une politique RADIUS sur l'ancien réseau PSK qui utilise le contournement d'authentification MAC (MAB) pour identifier les appareils. Lorsqu'un appareil s'authentifie avec succès via EAP-TLS sur le nouveau réseau, son adresse MAC est enregistrée dans la base de données RADIUS. La politique RADIUS pour l'ancien réseau PSK peut alors être configurée pour refuser l'accès — ou l'attribuer à un VLAN de quarantaine avec une bande passante restreinte — pour toute adresse MAC connue pour être provisionnée pour le 802.1X. Cela oblige l'appareil à utiliser le SSID sécurisé et évite un retour accidentel en arrière.

Continuer la lecture de cette série

Per-Device PSK by Vendor: iPSK, DPSK, MPSK and PPSK Compared (and WPA3 Support)

Une comparaison complète des implémentations PSK par appareil chez Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet et Ubiquiti UniFi. Découvrez comment le WPA3-SAE impacte les stratégies de clés par appareil et quand déployer des modes de transition plutôt que de passer au 802.1X.

What Is MAC Address Authentication? When to Use It and When to Avoid It

Ce guide de référence technique fait autorité sur l'authentification par adresse MAC dans les environnements WiFi d'entreprise – comment l'authentification MAC basée sur RADIUS fonctionne à la Couche 2, ses vulnérabilités de sécurité inhérentes (y compris l'usurpation d'adresse MAC et l'impact de la randomisation MAC au niveau du système d'exploitation), et les contextes opérationnels précis où elle reste un outil valide pour la gestion des appareils IoT et sans tête. Il fournit des conseils de déploiement exploitables pour les responsables informatiques et les architectes réseau dans les secteurs de l'hôtellerie, du commerce de détail, de la santé et des lieux publics, avec des exemples concrets, des cadres de décision et un contexte d'intégration pour la plateforme de WiFi invité et d'analyse de Purple.

How to Set Up Enterprise WiFi on iOS and macOS with 802.1X

This authoritative guide provides senior IT leaders with actionable steps for deploying 802.1X enterprise WiFi on iOS and macOS devices. It covers certificate-based authentication (EAP-TLS), MDM configuration profiles, and architecture integration to secure corporate networks while supporting BYOD initiatives.