Le portail captif est la technologie la plus répandue pour les accès Wi-Fi ouverts au public. Hôtels, gares, mairies, parcs, médiathèques : dès qu'un réseau sans fil est destiné à des usagers extérieurs à l'organisation, le portail captif s'impose comme la solution de référence. Mais sa simplicité apparente masque des enjeux techniques, juridiques et opérationnels qu'il convient de maîtriser avant tout déploiement.
Le principe de fonctionnement
Un portail captif intercepte le trafic HTTP d'un utilisateur fraîchement connecté au réseau Wi-Fi et le redirige vers une page d'authentification ou d'acceptation de conditions d'utilisation. Tant que l'utilisateur n'a pas complété cette étape, son accès à internet est bloqué — seul le dialogue avec le portail est autorisé.
Techniquement, le mécanisme repose sur plusieurs briques :
- Un serveur DHCP qui attribue une adresse IP à l'appareil connecté, mais avec une passerelle pointant vers le système de contrôle d'accès.
- Un DNS captif qui répond à toutes les requêtes DNS par l'adresse IP du portail, forçant le navigateur à atterrir sur la page d'accueil du portail quelle que soit l'URL demandée.
- Un pare-feu qui bloque tout le trafic sortant à l'exception du dialogue avec le portail, et qui lève ce blocage une fois l'authentification validée — généralement en autorisant l'adresse MAC de l'appareil.
- La page du portail elle-même, qui peut proposer un accès libre avec simple acceptation des CGU, une authentification par code SMS, une connexion via identifiant/mot de passe, ou un paiement.
Les particularités techniques à connaître
La détection automatique du portail captif
Les systèmes d'exploitation modernes (iOS, Android, Windows, macOS) détectent automatiquement la présence d'un portail captif en effectuant une requête HTTP vers un serveur de détection connu (captive.apple.com, connectivitycheck.gstatic.com, etc.). Si la réponse est celle du portail plutôt que la réponse attendue, l'OS ouvre automatiquement une fenêtre de navigation dédiée. Ce mécanisme est robuste pour HTTP, mais les connexions HTTPS vers des domaines inconnus du portail échouent sans warning clair — un point de friction fréquent pour les utilisateurs.
Les limitations liées à HTTPS et HSTS
La généralisation de HTTPS complique la vie des portails captifs. Un navigateur qui tente d'accéder à un site HTTPS ne peut pas être redirigé vers le portail sans provoquer une erreur de certificat. Les OS modernes ont partiellement contourné ce problème via la détection automatique du portail (voir ci-dessus), mais des cas d'échec subsistent, notamment pour les applications mobiles qui n'utilisent pas le navigateur système.
L'authentification par adresse MAC et ses limites
La méthode traditionnelle de déblocage repose sur l'adresse MAC de l'appareil. Une fois le portail validé, l'adresse MAC est ajoutée à une liste blanche dans le pare-feu. Cette approche présente un défaut majeur : depuis iOS 14 et Android 10, les appareils utilisent des adresses MAC aléatoires (MAC randomization) qui changent à chaque connexion ou à chaque session. Le résultat : les sessions persistent mal et les utilisateurs doivent régulièrement repasser par le portail, même si leur session théorique est encore active.
La gestion des sessions
Le portail captif gère des sessions avec une durée limitée. À l'expiration, l'utilisateur doit s'authentifier à nouveau. Cette durée est un paramètre de configuration qui dépend des choix opérationnels : quelques heures pour un accès en lieu de passage, plusieurs jours pour un accès récurrent (bibliothèque, espace de coworking). La cohérence entre la durée de session et l'expérience utilisateur est un point souvent négligé lors du déploiement.
Les enjeux RGPD spécifiques aux portails captifs
Le portail captif est, par nature, un point de collecte de données personnelles. Chaque connexion génère a minima un horodatage, une adresse MAC et une adresse IP. Si le portail demande un nom, un e-mail ou un numéro de téléphone, la collecte est encore plus explicite. Plusieurs obligations s'appliquent :
- Base légale : la collecte doit s'appuyer sur une base légale au sens du RGPD. Pour un portail public, c'est le plus souvent l'intérêt légitime ou le consentement (pour la collecte d'e-mail à des fins de marketing). La simple acceptation des CGU ne vaut pas consentement au sens du RGPD si elle est présentée comme obligatoire pour accéder au service.
- Durée de conservation : les données de connexion (logs) doivent être conservées selon les durées légales applicables. En France, les opérateurs de réseaux ouverts au public sont soumis à l'article L. 34-1 du Code des postes et communications électroniques, qui impose une conservation d'un an des données de connexion à des fins judiciaires.
- Information des utilisateurs : la page du portail doit comporter un lien vers la politique de confidentialité décrivant les données collectées, leur finalité et leur durée de conservation.
- Sécurité des données collectées : les logs de connexion contiennent des données personnelles. Ils doivent être stockés de façon sécurisée, avec des accès contrôlés et journalisés.
Quand le portail captif fait sens
Le portail captif est adapté aux situations suivantes :
- Accès Wi-Fi public ouvert à des inconnus : communes, transports, lieux culturels, hôtellerie. L'utilisateur n'a pas de compte dans un annuaire et n'a pas à en créer un. Le portail permet de recueillir l'acceptation des conditions d'utilisation et de constituer les logs de connexion imposés par la loi.
- Accès visiteur dans une organisation : les portails captifs sont idéaux pour les SSID invités dans les bâtiments tertiaires. Les visiteurs accèdent à internet sans toucher au réseau interne, avec une authentification légère (code à usage unique, code affiché à l'accueil).
- Monétisation de l'accès : hôtels, campings, événements. Le portail captif intègre facilement un module de paiement pour des accès payants ou des durées limitées.
- Collecte optionnelle de données de contact : certains portails proposent un accès gratuit en échange d'une adresse e-mail. Ce modèle est légal à condition que le consentement soit libre (une alternative d'accès sans inscription doit exister) et que l'utilisation des données soit clairement expliquée.
Quand ce n'est pas la bonne solution
- Réseau d'entreprise avec des collaborateurs identifiés : le portail captif ne permet pas une authentification robuste liée à un annuaire. Pour les collaborateurs, 802.1X avec authentification RADIUS est plus approprié.
- Environnements avec beaucoup d'applications non-HTTP : les appareils IoT, les applications métier sur protocoles propriétaires ou les clients VPN ne savent pas interagir avec un portail captif. Ils resteront bloqués si leur trafic passe par un réseau à portail captif.
- Exigences de sécurité élevées : l'authentification par portail captif repose sur la session MAC/IP, pas sur une identité cryptographiquement vérifiée. Elle ne résiste pas aux attaques par usurpation d'adresse MAC.
Choisir la bonne solution logicielle
L'écosystème des portails captifs est large :
- Intégré aux contrôleurs Wi-Fi : Cisco Meraki, Ubiquiti UniFi, Aruba Central proposent des portails captifs configurables directement depuis leur console d'administration. C'est la solution la plus simple pour des déploiements standards.
- Solutions open source : PfSense/OPNsense avec le module Captive Portal, ou OpenWrt. Flexibles et sans coût de licence, mais nécessitent des compétences réseau internes pour le déploiement et la maintenance.
- Plateformes SaaS spécialisées : Cisco DNA Spaces, Tanaza, Socialwiifi. Elles ajoutent des fonctionnalités marketing (collecte de données, statistiques de fréquentation, intégration CRM) au-dessus du portail de base. Pertinentes pour les établissements qui souhaitent exploiter les données de fréquentation Wi-Fi.
Le choix entre ces options dépend moins de la technologie que du cas d'usage : un portail public simple pour une mairie n'a pas les mêmes besoins qu'un portail Wi-Fi dans un réseau de commerces cherchant à fidéliser ses clients.
