La mise à jour Android 11 interrompra la connexion à certains réseaux WiFi d'entreprise. Voici pourquoi et ce que vous pouvez faire pour y remédier.
Si vous possédez un Google Pixel et que vous avez mis à jour à la dernière mise à jour de sécurité de décembre 2020, vous avez peut-être constaté que vous ne parvenez pas à vous connecter à certains réseaux WiFi d'entreprise. Si tel est le cas, sachez que vous n’êtes pas seul. Il ne s’agit pas d’un bug, mais plutôt d’un changement intentionnel que Google a apporté à Android 11 et qui se trouve être présent dans la version proposée aux téléphones Pixel en décembre. Tous les téléphones Android qui recevront une mise à jour vers Android 11 devraient éventuellement bénéficier de ce changement*, ce qui signifie nous allons voir beaucoup de plaintes de colère dans un avenir proche de la part d'utilisateurs qui ne peuvent pas ajouter leur WiFi d'entreprise réseau. Voici ce que vous devez savoir sur les raisons pour lesquelles Google a effectué ce changement et ce que vous pouvez faire pour y remédier.
Pourquoi ne puis-je pas ajouter mon réseau WiFi d'entreprise dans Android 11?
Le problème que de nombreux utilisateurs rencontreront après la mise à jour vers Android 11* est que l'option « Ne pas valider » dans la liste déroulante « Certificat CA » a été supprimée. Cette option apparaissait auparavant lors de l'ajout d'un nouveau réseau WiFi avec sécurité WPA2-Enterprise.
Pourquoi cette option a-t-elle été supprimée? Selon Google, demander aux utilisateurs de sélectionner l'option « Ne pas valider » constitue un risque pour la sécurité, car cela ouvre la possibilité de divulguer les informations d'identification des utilisateurs. Par exemple, si un utilisateur souhaite effectuer des opérations bancaires en ligne, il pointe son navigateur vers le nom de domaine connu appartenant à sa banque (par exemple www.bankofamerica.com). Si l'utilisateur remarque qu'il a cliqué sur un lien et que son navigateur a chargé une page Web provenant du mauvais domaine, il hésitera bien sûr à fournir ses informations de compte bancaire. Mais en plus de cela, comment l’utilisateur peut-il savoir que le serveur auquel son navigateur se connecte est le même que celui auquel tout le monde se connecte? En d’autres termes, comment savoir que le site bancaire consulté n’est pas simplement une fausse version injectée par un tiers malveillant ayant accédé au réseau? Les navigateurs Web s'assurent que cela ne se produit pas en vérifiant le certificat du serveur, mais lorsque l'utilisateur active l'option "Ne pas "valider" lors de la connexion à leur réseau WiFi d'entreprise, ils empêchent l'appareil d'établir un certificat validation. Si un attaquant effectue une attaque de l'homme du milieu et prend le contrôle du réseau, il peut alors pointer les appareils clients vers des serveurs illégitimes appartenant à l'attaquant.
Les administrateurs réseau sont avertis depuis des années de ce risque de sécurité potentiel, mais il existe encore de nombreuses entreprises, universités, écoles, organisations gouvernementales et autres institutions qui ont configuré leurs profils réseau de manière incertaine. À l'avenir, les exigences de sécurité adoptées par la WiFi Alliance pour la spécification WPA3 ont rendu obligatoire ce changement, mais comme nous le savons tous, de nombreuses organisations et gouvernements tardent à améliorer les choses et ont tendance à faire preuve de laxisme en matière de sécurité. Certaines organisations, même connaissant les risques encourus, recommandent toujours aux utilisateurs de désactiver la validation des certificats lors de la connexion à leur réseau WiFi.
Cela pourrait prendre des années avant que les appareils et les routeurs prenant en charge WPA3 ne se généralisent, c'est pourquoi Google fait un grand pas en avant dès maintenant pour garantir que les utilisateurs ne peuvent plus s'exposer aux risques de sauter le certificat du serveur validation. Avec ce changement, ils avertissent les administrateurs réseau qui continuent de voir les utilisateurs se connecter de manière non sécurisée au WiFi de leur entreprise. Espérons que suffisamment d'utilisateurs se plaindront à leur administrateur réseau du fait qu'ils ne peuvent pas ajouter leur réseau WiFi d'entreprise comme indiqué, ce qui les incitera à apporter des modifications.
*En raison du fonctionnement des mises à jour du logiciel Android, il est possible que la version initiale d'Android 11 pour votre appareil particulier ne soit pas affectée par ce changement. Ce changement n'a été introduit sur les téléphones Pixel qu'avec la mise à jour de décembre 2020, qui porte le numéro de build RQ1A/D selon le modèle. Cependant, comme il s'agit d'un changement au niveau de la plate-forme fusionné avec le projet Android Open Source (AOSP) dans le cadre de la version "R QPR1" (comme on l'appelle en interne), nous nous attendons à ce que d'autres téléphones Android le proposent à terme changement.
Quelles sont les solutions à ce problème?
La première étape dans cette situation est de réaliser que l’utilisateur ne peut pas faire grand-chose sur son appareil. Ce changement ne peut être évité que si l'utilisateur choisit de ne pas mettre à jour son appareil, mais cela ouvre potentiellement toute une série d'autres problèmes, ce n'est donc pas recommandé. Il est donc impératif de communiquer ce problème à l'administrateur réseau du réseau WiFi concerné.
Google recommande aux administrateurs réseau d'expliquer aux utilisateurs comment installer un certificat d'autorité de certification racine ou utiliser un magasin de confiance du système comme un navigateur, et en outre, expliquez-leur comment configurer le domaine du serveur nom. Cela permettra au système d'exploitation d'authentifier le serveur en toute sécurité, mais cela nécessitera que l'utilisateur effectue quelques étapes supplémentaires lors de l'ajout d'un réseau WiFi. Alternativement, Google indique que les administrateurs réseau peuvent créer une application qui utilise API de suggestion WiFi d'Android pour configurer automatiquement le réseau pour l'utilisateur. Pour rendre les choses encore plus faciles pour les utilisateurs, un administrateur réseau peut utiliser Passpoint, un protocole WiFi pris en charge sur tous les appareils exécutant Android 11 - et guide l'utilisateur dans la configuration de son appareil, lui permettant de se reconnecter automatiquement chaque fois qu'il est à proximité du réseau. Étant donné qu'aucune de ces solutions n'exige que l'utilisateur mette à jour un logiciel ou un matériel, il peut continuer à utiliser le même appareil qu'il possède déjà.
En pratique, cependant, il faudra un certain temps aux entreprises et autres institutions pour adopter ces solutions. En effet, ils doivent être informés en premier lieu de ce changement, qui, certes, n'a pas été très bien communiqué aux utilisateurs. De nombreux administrateurs réseau j'ai observé ces changements depuis des mois, mais nombreux sont ceux qui ne le savent peut-être pas. Si vous êtes un administrateur réseau et que vous recherchez plus d'informations sur ce qui change, vous pouvez en apprendre davantage dans cet article de SécuriséW2.