Peut-on sécuriser le Wi-Fi ? Les responsables réseaux s'y emploient, en mobilisant les technologies de VPN-IPSec, déjà éprouvées sur les accès nomades, ou le standard WPA (Wi-Fi protected access) conçu pour l'occasion. Le tout sur fond de controverse : selon la start-up Trapeze Networks, «  utiliser IPSec est une illusion. La bonne approche est celle du standard 802.1x avec un chiffrement utilisant du WEP dynamique et une gestion des clés, via TKip ou AES [c'est-à-dire du WPA, NDLR] ».

Le WPA est également conseillé par Hervé Schauer, du cabinet de consultants HSC : « Nous préconisons le 802.1x avec une authentification EAP-TLS, et du WPA. Et nous utilisons le serveur Radius de Windows 2000 ou FreeRadius. » Il insiste : « Il ne faut plus acheter de borne d'accès Wi-Fi qui ne fasse pas du 802.1x. » En pratique, des responsables réseaux déploient les deux technologies, VPN-IPSec et 802.1x, en complément l'une de l'autre. Étienne Didelot, consultant Wi-Fi chez l'intégrateur Arche, indique que « certains utilisateurs seront identifiés via un VPN-IPSec ; et d'autres, via WPA sur 802.1x, selon leurs applications » . Thomas Papiernik, consultant chez Net2S, renvoie les deux approches dos à dos et prévient : qu'il s'agisse « de 802.1x ou de VPN, les solutions fonctionnent, même si elles accroissent la tâche d'administration » . Que dire, alors, lorsqu'on intègre des centaines de bornes d'accès Wi-Fi à un réseau filaire ? « La gestion depuis un point central s'impose » , réagit Étienne Didelot, pour définir les droits par utilisateur et la bande passante associée, détecter les bornes pirates, optimiser les fréquences radio (et éviter les zones d'ombre ou les interférences) ou reconfigurer un point d'accès.

Pour favoriser cette centralisation, de nouvelles architectures radio émergent, proposées par de jeunes sociétés. Le principe : les points d'accès Wi-Fi s'allègent, tandis qu'un commutateur central prend à son compte de plus en plus de fonctions. Trapeze Networks ou Aruba Wireless Networks proposent ainsi des commutateurs, associés ou non à leurs propres points d'accès radio, respectivement qualifiés d' « hybrides » et de « légers » , selon l'épaisseur des fonctions embarquées. Ces offres concurrencent les architectures traditionnelles de Cisco Systems ou Proxim, qui exploitent des points d'accès « lourds » .

Une autre solution existe : il s'agit de passerelles de sécurité dédiées à la mobilité et livrées soit sous la forme d' appliances , comme chez Bluesocket, Vernier Networks ou ReefEdge, soit sous la forme d'un logiciel à placer sur un serveur, comme chez Columbitech, Ecutel ou Net-Motion Wireless.

Les architectures diffèrent en fonction des produits. «  Les bornes radio de Trapeze doivent être connectées à son commutateur, car elles sont alimentées selon une version spécifique du PoE (Power over Ethernet) », décrit François Lechat, consultant chez Dynetcom, intégrateur de Trapeze et d'Aruba. Pour sa part, le commutateur d'Aruba peut être placé sur un site central (à Paris, par exemple), tout en contrôlant les accès sur des sites distants (à Toulouse). Il est alors raccordé aux points d'accès radio via des commutateurs Ethernet intermédiaires. « Le commutateur de Trapèze opère au niveau 2 et mise sur 802.1x », rappelle Sébastien Chalifour, de Silicomp. « Celui d'Aruba fonctionne jusqu'au niveau 4 par des filtres, détaille François Lechat. Il intègre un IDS et un concentrateur de VPN-IPSec. » Ces produits peuvent aussi détecter les bornes d'accès pirates. « Aruba sait les inhiber » , ajoute François Bellini, p-dg de Teldata, également intégrateur d'Aruba.

Une autre grande tendance consiste à séparer l'ensemble des points d'accès Wi-Fi du reste du réseau. « C'est ce que nous recommandons », précise Étienne Didelot, d'Arche, qui revend pour cela le Security Switch 2250, de Nortel Networks. C'est également une architecture prônée par Bluesocket, qui s'interface avec tout type de point d'accès. « Tous les flux passent par nos passerelles, qui sont dimensionnées en conséquence, explique Sonia Navarro, responsable vente et marketing de Bluesocket. Une passerelle Bluesocket gère la bande passante par utilisateur ; la mobilité entre les sous- réseaux IP ; et la sécurité, via des VPN (IPSec, PPTP et L2TP). Elle intègre également un coupe-feu. » Quant à la détection de bornes radio pirates, « nous travaillons en partenariat avec AirMagnet » , conclut Sonia Navarro.

Cette gestion pointue de la couverture radio est essentielle. « Afin d'éviter les interférences, les antennes doivent émettre sur des canaux franchement séparés, les 1,6 et 13, dans la bande des 2,4 GHz , explique Vincent Adolphe, technicien radio chez Équipements Scientifiques, distributeur d'AirMagnet. Pour des raisons de compatibilité avec les équipements américains, le canal 13 est souvent remplacé par le 11. » Il faut aussi tenir compte du fait que les ondes traversent le sol et le plafond. Résultat : « Nous avons placé les bornes en quinconce entre les étages », explique Francis Cadevall, responsable réseau de la maison de retraite de la fondation Rothschild, qui a déployé quatre-vingt-trois bornes Wi-Fi.

Les commutateurs intègrent des outils d'aide à cette gestion des fréquences à valider sur le terrain. À noter qu'il existe un moyen pour circonscrire un réseau Wi-Fi à une zone donnée, une salle de réunion, par exemple. « Le logiciel de Bluesoft géolocalise les postes à partir du niveau du signal, et autorise ou interdit les accès » , explique Thomas Papiernik. La start-up AirFlow Networks annonce éliminer tout problème de trous et de perturbations en séparant, dans ses produits, les antennes des points d'accès. En conclusion, la confidentialité a un prix, qui ne se justifie qu'à bon escient. « Dans le cas de réseaux Wi-Fi limités aux entrepôts, indique Arnaud Affergan, responsable des partenaires chez Rayonnance, le cryptage est inutile, car un concurrent fera mieux d'avoir un espion à demeure que de procéder à des écoutes. »