Validation obligatoire du certificat serveur
Les clients doivent vérifier le certificat du serveur RADIUS avant d'envoyer les identifiants. Cela met fin à l'attaque « evil-twin » qui affectait les déploiements WPA2-Enterprise mal configurés.
WPA2 & WPA3-Enterprise. Un WiFi sécurisé, sans mot de passe partagé.
Déployez le WPA2-Enterprise ou le WPA3-Enterprise avec 802.1X sur vos points d'accès existants. Chaque utilisateur s'authentifie auprès de votre fournisseur d'identité, chaque appareil reçoit une clé de session unique et l'accès peut être révoqué par appareil en un seul clic. Purple gère l'infrastructure RADIUS et de certificats en tant que service cloud — vous conservez le matériel que vous possédez déjà.
TL;DR / Key Takeaways
- WPA2 and WPA3-Enterprise offer the highest level of WiFi security, utilizing 802.1X authentication to secure connections.
- Instead of a single pre-shared key (PSK), each user or device authenticates uniquely, preventing lateral movement and shared-password leaks.
- Provides centralized visibility and immediate revocation of access when employees leave or devices are compromised.
- Integrates natively with Identity Providers (IdP) like Microsoft Entra ID, Okta, and Google Workspace for seamless onboarding.
Personal vs. Enterprise — choisissez le bon mode
La norme WPA dispose de deux modes. Le WPA-Personal (WPA2-PSK, WPA3-SAE) utilise un mot de passe unique partagé par tous ceux qui rejoignent le SSID. Suffisant pour un usage domestique. Le WPA-Enterprise authentifie chaque utilisateur ou appareil individuellement via 802.1X auprès d'un serveur RADIUS. Requis pour tout établissement soucieux de la révocation, de l'audit ou de la conformité.
| WPA-Personal (PSK / SAE) | WPA-Enterprise (802.1X) | |
|---|---|---|
| Identifiant | Phrase secrète partagée | Certificat par utilisateur, mot de passe ou iPSK |
| Infrastructure | Juste les points d'accès | Points d'accès + serveur RADIUS (ou RADIUS-as-a-Service) |
| Révocation | Renouveler la phrase secrète à l'échelle du réseau | Désactiver un utilisateur dans l'IdP |
| Piste d'audit | Aucune — tous les appareils semblent identiques | Journaux de session par utilisateur |
| Idéal pour | Domiciles, très petits lieux à confiance unique | Bureaux, hôtels, campus, stades, tout secteur réglementé |
WPA3-Enterprise vs WPA2-Enterprise
Le WPA3 n'est pas seulement une version améliorée du WPA2. Quatre changements sont essentiels pour les déploiements en entreprise.
Trames de gestion protégées (PMF)
Les trames de désauthentification et de désassociation sont signées cryptographiquement, de sorte que les attaquants ne peuvent plus déconnecter les clients du réseau avec des trames usurpées.
Mode Suite B 192 bits
Mode haute sécurité optionnel pour le gouvernement, la défense et les infrastructures critiques. Cryptographie Suite B de bout en bout — échange de clés, chiffrement et MAC.
Rétrocompatibilité
Le WPA3-Enterprise peut fonctionner en mode transition sur le même SSID que le WPA2, vous n'avez donc pas besoin d'une bascule brutale. Les clients récents négocient le WPA3 ; les plus anciens se rabattent sur le WPA2-Enterprise.
Le flux d'authentification 802.1X
Trois acteurs, une seule poignée de main. La séquence est la même que vous utilisiez EAP-TLS, PEAP ou EAP-TTLS.
- Le supplicant (ordinateur client, téléphone, IoT) tente de s'associer.
- L<strong>authentificateur</strong> (point daccès) maintient le client dans un port non contrôlé 802.1X, relayant uniquement les trames EAP.
- Le supplicant présente son identifiant — un certificat (EAP-TLS), un nom d'utilisateur + mot de passe (PEAP) ou un iPSK.
- Le serveur d'authentification (RADIUS) valide l'identifiant auprès du fournisseur d'identité.
- Le RADIUS répond
Access-Acceptavec le VLAN et la politique ; le point d'accès ouvre le port contrôlé vers le segment correct. - La clé de session est dérivée de la poignée de main 802.1X — unique à cet appareil et à cette session.
Comment Purple déploie le WPA-Enterprise
Purple exploite le RADIUS et (en option) l'autorité de certification en tant que services cloud. Vous conservez vos points d'accès existants.
- Jour 0 : Connectez votre IdP (Entra ID, Okta, Google Workspace). Choisissez la méthode EAP — EAP-TLS pour les flottes gérées, PEAP pour les déploiements de transition, iPSK pour le BYOD.
- Jour 1 : Dirigez le paramètre RADIUS des points d'accès vers Purple. Configurez le SSID pour le WPA2 ou le WPA3-Enterprise. Poussez le profil d'intégration via MDM.
- En continu : Les utilisateurs sont provisionnés et déprovisionnés via SCIM — pas de rotation manuelle des mots de passe WiFi. Les certificats se renouvellent automatiquement. Le SIEM reçoit le journal d'authentification complet via webhook.
Couverture à travers les produits Purple
- WiFi pour le personnel : WPA2/3-Enterprise avec EAP-TLS pour les ordinateurs portables gérés et PEAP pour les appareils hérités.
- WiFi multi-locataire : iPSK sur un seul SSID, avec chaque locataire isolé dans un Private Area Network.
- WiFi invité : OpenRoaming/Passpoint sur le SSID public, avec WPA3-Enhanced Open comme solution de repli le cas échéant.
- WiFi sans mot de passe : le hub plus large couvrant EAP-TLS, iPSK, Passpoint et SAML.
- RADIUS-as-a-Service : le moteur RADIUS cloud qui authentifie chaque demande de connexion.
Questions fréquemment posées
Qu'est-ce que le WPA-Enterprise ?
Le WPA-Enterprise est le mode de sécurité IEEE 802.11 conçu pour les organisations. Au lieu d'un mot de passe partagé unique (WPA-Personal), chaque utilisateur ou appareil s'authentifie individuellement auprès d'un serveur RADIUS via 802.1X, généralement avec un certificat (EAP-TLS) ou un nom d'utilisateur et un mot de passe (PEAP). Chaque session reçoit une clé de chiffrement unique et l'accès peut être révoqué par appareil sans perturber le reste du réseau.
Quelle est la différence entre le WPA2-Enterprise et le WPA3-Enterprise ?
Le WPA3-Enterprise corrige les faiblesses connues du WPA2-Enterprise. Les changements les plus importants : la validation du certificat serveur est désormais obligatoire (fermant le vecteur d'attaque « evil-twin » qui affectait le WPA2), les trames de gestion sont protégées et le mode optionnel Suite B 192 bits offre une cryptographie de niveau défense. Le WPA3-Enterprise est rétrocompatible avec le WPA2-Enterprise en mode transition, ce qui vous permet de migrer progressivement.
Comment fonctionne l'authentification 802.1X ?
Trois parties sont impliquées. Le supplicant (appareil client) demande à se connecter. L'authentificateur (point d'accès) maintient le client dans un état de quarantaine et transmet ses messages EAP à un serveur d'authentification (RADIUS). Le serveur RADIUS valide l'identifiant — certificat, mot de passe ou jeton — et indique au point d'accès d'accepter ou de rejeter la connexion. Chaque session réussie reçoit une clé de chiffrement unique dérivée de l'authentification, de sorte qu'un appareil compromis ne peut pas en décrypter un autre.
Qu'est-ce que l'EAP-TLS et pourquoi est-ce la référence ?
L'EAP-TLS utilise une poignée de main TLS avec authentification mutuelle par certificat. Le client prouve son identité avec un certificat d'appareil, le serveur prouve son identité avec un certificat de serveur, et la clé de session est négociée à l'intérieur du tunnel chiffré. Il n'y a pas de mot de passe à hameçonner ou à voler — il faudrait extraire la clé privée de l'appareil lui-même. Pour les flottes gérées avec un MDM, l'EAP-TLS est le choix par défaut idéal.
Puis-je déployer le WPA3-Enterprise sur mes points d'accès existants ?
La plupart des points d'accès de classe entreprise sortis à partir de 2020 prennent en charge le WPA3-Enterprise via le micrologiciel. Généralement, vous activez le WPA3-Enterprise sur le SSID et conservez le WPA2 comme solution de repli pendant la transition. Les points d'accès plus anciens peuvent ne prendre en charge que le WPA2-Enterprise — ceux-ci restent sécurisés lorsqu'ils sont associés à un RADIUS cloud et à l'EAP-TLS, une mise à niveau matérielle complète est donc rarement nécessaire.
Dois-je exploiter un serveur RADIUS pour utiliser le WPA-Enterprise ?
Oui — le WPA-Enterprise est défini autour d'un serveur d'authentification externe, ce qui en pratique signifie un RADIUS. Vous pouvez l'exécuter sur site (FreeRADIUS, Microsoft NPS, Cisco ISE) ou le consommer en tant que service. Le RADIUS-as-a-Service de Purple est l'option hébergée dans le cloud que la plupart des clients choisissent lorsqu'ils ne souhaitent pas gérer de serveurs.
Le WPA2-Enterprise est-il toujours sûr à déployer ?
Oui, lorsqu'il est déployé correctement. Les attaques connues sur le WPA2-Enterprise nécessitent soit un client mal configuré (pas de validation du certificat serveur, ce que le WPA3 rend obligatoire), soit un accès physique à un appareil. L'application de la validation du certificat serveur via MDM et l'utilisation de l'EAP-TLS éliminent les risques pratiques. Le WPA3-Enterprise reste préférable pour l'avenir, mais il n'y a aucune raison de migrer en urgence un déploiement WPA2-Enterprise fonctionnel.
Comment gérer les appareils qui ne prennent pas en charge le 802.1X ?
Deux bonnes options. Premièrement, l'iPSK (Identity PSK) donne à chaque appareil une clé pré-partagée unique sur un seul SSID — l'expérience utilisateur du WPA-Personal, la révocation par appareil du WPA-Enterprise. Deuxièmement, le MAC Authentication Bypass (MAB) admet les adresses MAC connues dans un VLAN restreint. Purple prend en charge les deux aux côtés du WPA2/3-Enterprise sur le même réseau.
WPA-Enterprise for your industry
See how wpa-enterprise works in venues like yours, and how Purple compares to alternatives.
Un WiFi sécurisé, sur les points d'accès que vous possédez déjà
Purple superpose le WPA2/3-Enterprise, le RADIUS cloud et les certificats gérés sur Cisco, Aruba, Ruckus, Juniper Mist, Meraki ou Ubiquiti. Opérationnel en quelques jours.