Réseaux Wi-Fi public 10/07/2024 · 6 min de lecture

Réseaux Wi-Fi 802.1X : authentification individuelle et contrôle d'accès par port

Réseaux Wi-Fi 802.1X : authentification individuelle et contrôle d'accès par port

Le Wi-Fi 802.1X est souvent présenté comme « le Wi-Fi d'entreprise ». C'est à la fois juste et réducteur. Cette norme d'authentification réseau — dont le nom officiel est IEEE 802.1X — ne définit pas un protocole Wi-Fi à proprement parler, mais un cadre de contrôle d'accès par port qui s'applique aussi bien aux réseaux filaires qu'aux réseaux sans fil. Comprendre sa logique, ses contraintes et ses cas d'usage légitimes permet d'éviter à la fois la sous-utilisation et le sur-dimensionnement.

Le problème que résout 802.1X

Les réseaux Wi-Fi classiques en mode PSK (Pre-Shared Key) partagent un mot de passe unique entre tous les utilisateurs. Cette approche présente plusieurs failles structurelles :

  • Impossibilité d'identifier individuellement un utilisateur : tous les appareils présentent la même clé, les journaux de connexion ne permettent pas de tracer qui a fait quoi.
  • Fragilité en cas de départ ou de fuite : si le mot de passe est divulgué ou qu'un employé quitte l'organisation, il faut le changer pour tous les équipements connectés — une opération lourde dans les environnements avec des centaines d'appareils.
  • Absence de granularité : tous les utilisateurs accèdent aux mêmes ressources avec le même niveau de confiance.

802.1X répond à ces problèmes en remplaçant le secret partagé par une authentification individuelle, vérifiée par un serveur tiers.

Architecture : trois acteurs, un dialogue

Le modèle 802.1X repose sur trois composants :

  • Le supplicant : le client qui cherche à se connecter (ordinateur, smartphone, imprimante). Il embarque un logiciel (souvent intégré au système d'exploitation) qui gère le dialogue d'authentification.
  • L'authenticator : le point d'accès Wi-Fi (ou le switch en filaire). Il joue le rôle de garde-barrière : il laisse passer uniquement les échanges d'authentification tant que l'identité n'est pas validée, puis ouvre l'accès réseau.
  • Le serveur d'authentification : typiquement un serveur RADIUS (Remote Authentication Dial-In User Service). C'est lui qui vérifie les identifiants et retourne la décision d'accès à l'authenticator.

Le protocole utilisé pour le dialogue entre le supplicant et le serveur RADIUS est EAP (Extensible Authentication Protocol), qui supporte plusieurs méthodes d'authentification : certificats numériques (EAP-TLS), identifiant/mot de passe protégé (PEAP-MSCHAPv2), ou combinaisons des deux.

Les méthodes EAP : un choix structurant

Le choix de la méthode EAP conditionne le niveau de sécurité et la complexité de déploiement :

  • EAP-TLS : authentification mutuelle par certificats — le serveur et le client se présentent chacun un certificat. C'est la méthode la plus robuste, mais elle nécessite une PKI (infrastructure de clés publiques) pour émettre et gérer les certificats clients. Recommandée pour les environnements à forte exigence de sécurité.
  • PEAP-MSCHAPv2 : le client s'authentifie avec un identifiant et un mot de passe, le serveur présente un certificat. Plus simple à déployer (pas de PKI côté client), suffisant pour la plupart des usages organisationnels.
  • EAP-TTLS : similaire à PEAP, avec une flexibilité accrue sur les méthodes d'authentification internes. Moins supporté nativement sur les clients Windows.

Ce que 802.1X apporte concrètement

  • Traçabilité individuelle : chaque connexion est associée à une identité nominative dans les journaux du serveur RADIUS. En cas d'incident de sécurité ou d'enquête, il est possible de déterminer quel utilisateur était connecté à quel moment depuis quel équipement.
  • Révocation instantanée : désactiver un compte utilisateur dans l'annuaire (Active Directory, LDAP) suffit à couper son accès Wi-Fi, sans toucher à la configuration des points d'accès.
  • Segmentation dynamique : le serveur RADIUS peut retourner, en même temps que la décision d'accès, un attribut VLAN. L'utilisateur est alors automatiquement placé dans le réseau correspondant à son profil — réseau invité, réseau métier, réseau de production — sans configuration manuelle sur le point d'accès.
  • Résistance au partage de credentials : chaque utilisateur dispose de ses propres identifiants. Le partage est détectable et peut être bloqué par des politiques de connexion simultanée.

Quand cela fait sens de l'implémenter

802.1X est pertinent dès que l'une de ces conditions est réunie :

  • Obligation de traçabilité nominative : collectivités soumises aux exigences de l'ANSSI, établissements de santé, établissements d'enseignement supérieur, administrations traitant des données sensibles.
  • Gestion d'un parc important : au-delà d'une cinquantaine d'utilisateurs, la gestion d'un mot de passe partagé devient opérationnellement coûteuse. 802.1X délègue la gestion des accès à l'annuaire existant.
  • Turnover ou personnel externe fréquent : prestataires, stagiaires, agents temporaires. Chaque arrivée et départ est géré dans l'annuaire sans impact sur l'infrastructure réseau.
  • Exigences de segmentation réseau : si différents profils d'utilisateurs doivent accéder à des réseaux différents depuis le même SSID, le VLAN dynamique de RADIUS est la solution la plus propre.
  • Conformité aux référentiels de sécurité : le RGS (Référentiel Général de Sécurité) et les guides de l'ANSSI recommandent explicitement 802.1X pour les réseaux Wi-Fi des administrations.

Quand ce n'est pas adapté

802.1X n'est pas la réponse à tout :

  • Accès invités ou public : les visiteurs n'ont pas de compte dans l'annuaire. Pour eux, un SSID dédié en PSK ou avec portail captif est plus approprié.
  • Appareils IoT sans supplicant : caméras IP, capteurs, automates industriels. Ces équipements ne savent généralement pas parler EAP. La solution est de les isoler sur un SSID ou VLAN dédié avec authentification par adresse MAC.
  • Petites structures sans annuaire : déployer un serveur RADIUS et une PKI pour dix utilisateurs est disproportionné. Un PSK avec rotation régulière suffit dans ce cas.

Les prérequis à anticiper

Un déploiement 802.1X réussi suppose d'avoir anticipé plusieurs éléments :

  • Serveur RADIUS : FreeRADIUS (open source), Windows NPS (inclus dans Windows Server), ou solution cloud intégrée (Cisco ISE, Aruba ClearPass, Juniper Mist). Le choix dépend de l'écosystème existant et des compétences internes.
  • Annuaire utilisateurs : Active Directory ou LDAP. Le serveur RADIUS s'y connecte pour vérifier les identités.
  • Infrastructure PKI (si EAP-TLS) : autorité de certification interne ou commerciale, procédures d'émission et de renouvellement des certificats, distribution sur les postes.
  • Configuration des supplicants : les postes managés (via GPO ou MDM) peuvent être préconfigurés automatiquement. Les appareils personnels (BYOD) nécessitent un processus d'onboarding guidé.
  • Points d'accès compatibles : tous les équipements Wi-Fi professionnels modernes supportent 802.1X. Ce n'est pas le cas des équipements grand public.

Le Wi-Fi 802.1X n'est pas plus complexe qu'il ne le paraît une fois l'infrastructure en place — mais cette infrastructure doit être bien dimensionnée dès le départ. C'est un investissement initial qui simplifie durablement la gestion des accès dans les organisations de taille significative.

Sur le même thème

Tous les articles
Parlons de votre projet

Besoin d'un expert Smart City ?

De la stratégie à la mise en œuvre, je vous accompagne en toute indépendance vis-à-vis des éditeurs.

Envoyer un e-mail Démarrer un chat
✉️sebastiennauer@gmail.com linkedin.com/in/sebastiennauer 𝕏@SebastienNauer