Avantages et inconvnients du Wi-Fi en milieu professionnel

09/2006 Bruno Kerouanton Diffusion libre sous licence Creative Commons Les technologies de rseaux-locaux sans-fil se dmocratisent notamment grce aux offres Internet grand public. Si ces rseaux offrent des avantages et un confort d'utilisation vidents pour le particulier, il faut en examiner plus prcisment les caractristiques lorsque l'on souhaite s'en servir en entreprise, car un certain nombre d'inconvnients masqus pour le particulier peuvent ressurgir.

Les avantages du Wi-Fi

1. Facilit d'utilisation
L'utilisation de rseaux Wi-Fi procure un confort d'utilisation non ngligeable aux utilisateurs tant particuliers que professionnels, ceux-ci n'ayant pas se brancher un mur , et tant par consquent libres de leurs mouvements et non contraints se placer prs de la prise rseau murale. Ce confort est encore plus fortement peru par les utilisateurs d'ordinateurs portables, ceux-ci n'ont en effet plus aucun fil brancher car l'alimentation est fournie par la batterie, ce qui leur procure un confort d'utilisation ingal. De plus, pour le personnel extrieur et les nomades, cela permet de se connecter rapidement et sans difficult au rseau de l'entreprise. Il est mme envisageable de mettre en place des rseaux Wi-Fi de plusieurs natures, certains tant raccords au rseau interne de l'entreprise et usage exclusif des employs, et d'autres tant semi-publics (forme d'extranet ou de rseau collaborateurs), voire totalement ouverts Internet sous la forme de hot-spots. Au tout dbut des rseaux 802.11, il y avait un certain nombre de contraintes lis au manque d'interoprabilit entre constructeurs, mais le consortium Wi-Fi a permis de gommer ces diffrences. Il subsistait nanmoins un certain inconfort li au fait que les rseaux devaient tre configurs manuellement par les utilisateurs, ceux-ci tant dans l'obligation d'assimiler un certain nombre de notions fortement techniques et d'acronymes sotriques tels que SSID, WEP, ou clefs 128 bits. Afin de ne pas dcourager les utilisateurs, et avec l'arrive imminente du WPA (voir plus bas) qui introduit son tour de nouveaux concepts et acronymes indigestes pour le nophyte, certains constructeurs ont commenc intgrer dans leurs quipements un mcanisme de configuration automatique, qui fonctionne en appuyant sur un seul bouton. Cela reprsente une avance considrable, et permet dsormais tout utilisateur sans aucune connaissance en rseaux de bnficier du Wi-Fi en mode scuris WPA.

2. Scurit
Les rseaux Wi-Fi ont rapidement souffert d'une trs mauvaise notorit cause de la mauvaise conception des mcanismes de scurit (WEP) qui pouvaient tre contourns sans trop de difficults, et du fait que par dfaut ces mcanismes mme insuffisants n'taient pas activs, laissant le rseau la merci du tout venant. Les constructeurs ont ragi en rdigeant la norme 802.11i, qui propose des mcanismes de scurit plus robustes et bass sur les conclusions tires de l'chec cuisant du WEP. Malheureusement cette norme impose l'utilisation de l'algorithme de chiffrement AES, ce qui ncessite de changer l'ensemble des quipements Wi-Fi actuels, ceux-ci ne comportant pas le module de chiffrement

adapt. Afin d'effectuer une transition en douceur vers la norme 802.11i et pour ne pas obliger l'ensemble des utilisateurs changer leur matriel de suite, la norme WPA a t mise au point et s'est impose comme standard actuel. Il s'agit en fait d'une version de la norme 802.11i qui a t allge afin de pouvoir conserver le matriel existant. Ainsi, bien que n'utilisant pas l'algorithme de chiffrement AES, WPA renforce considrablement le niveau de scurit des liaisons Wi-Fi, et les experts s'accordent dire que son utilisation permet de s'affranchir en toute confiance des problmes de scurit initialement constats avec le WEP. L'une des principales volutions du WPA par rapport au WEP est que la clef de chiffrement permettant de scuriser le canal radio est recalcule frquemment, ce qui ne laisse pas le temps un attaquant de raliser son attaque. Cet aspect est bas sur le protocole TKIP (Temporal Key Integrity Protocol). L'autre volution majeure du WPA permet l'authentification du poste souhaitant se connecter, de manire efficace. Pour cela, il est fait appel la norme 802.1x, qui dfinit une mthode d'authentification fonctionnant aussi bien sur les rseaux filaires que radio. Lorsqu'un PC souhaite se raccorder au rseau, le point d'accs ou le commutateur compatible 802.1x lui demande de s'identifier par le biais d'un mot de passe ou mieux encore par le biais d'un certificat X509, selon le mode d'authentification choisi (EAP-TLS, EAP-TTLS, EAP-LEAP, EAP-PEAP etc.). Cette information est envoye un serveur Radius, qui effectue la vrification dans sa propre base d'autorisations ou bien via un serveur d'authentification tel qu'Active Directory. Une fois cette tape valide, le point d'accs ou le commutateur autorisent l'accs et attribuent un VLAN l'ordinateur distant, qui pourra ainsi ensuite obtenir son adresse IP etc. Il existe des mthodes rcentes d'attaque du protocole WPA, mais elles ncessitent des ressources onreuses (processeurs spcialiss et FPGA)1, que l'on ne peut pas considrer pour le moment comme tant la porte du non spcialiste.

3. Autres avantages
La mise en place de rseaux Wi-Fi procure un certain nombre d'avantages annexes. Parmi ceux-ci, le sentiment procur au personnel et aux visiteurs que l'entreprise est la pointe de l'innovation, puisqu'elle met en uvre des nouvelles technologies. De plus, la dmocratisation et la banalisation de cette technologie contribue une baisse des cots non ngligeable, qui peut constituer un lment dcisif lors d'investissements d'autant plus important qu'il est devenu courant d'avoir du Wi-Fi en standard sur les ordinateurs portables voire sur les imprimantes, ce qui rduit donc encore plus le cot peru.

Les inconvnients du Wi-Fi

Malheureusement, il existe nombre d'inconvnients lis au dploiement d'un rseau Wi-Fi en entreprise. Ces problmes ne sont que rarement perus par le particulier, car celui-ci ne se sert gnralement que d'un seul point d'accs pour y relier un ou deux ordinateurs au plus. Ds que l'on envisage le dploiement de dizaines voire de centaines de points d'accs, pour un nombre de PC encore plus importants, les caractristiques ne sont plus tout les mmes et il faut effectuer une tude
1 Source : http://www.recon.cx/en/s/dhulton.html

srieuse avant de pouvoir affirmer avec certitude si la rentabilit de l'opration est relle.

1. Cblage
Si le cblage vers chaque PC n'est dsormais plus ncessaire, il faut tout de mme acheminer le rseau Ethernet vers l'ensemble des points d'accs, ceux-ci pouvant tre nombreux car situs proximit des postes utilisateurs, de l'ordre de quelques mtres. Au final, et si l'on souhaite obtenir une qualit de rseau correcte il faut prvoir environ un point d'accs pour 5 utilisateurs maximum, soit 20 points d'accs pour 100 personnes. Il faudra pour chacun de ces points d'accs faire parvenir non seulement le rseau Ethernet, mais galement une arrive 220v afin d'alimenter le point d'accs, ce qui reprsente un cot de cblage souvent oubli. Une solution existe pour certaines marques de points d'accs, et permet de faire transiter la tension d'alimentation ncessaire au fonctionnement du point d'accs via le cble rseau, vitant ainsi le cblage 220v. Cela ncessite cependant l'acquisition de commutateurs (switches) spciaux munis de modules d'injection de courant PoE (Power Over Ethernet), au cot souvent lev. Dans le cas o l'on souhaite mettre en place plusieurs rseaux distincts pour le personnel interne et externe, ou dans le cadre de plusieurs services ou projets compartiments, il faudra prvoir l'utilisation de SSID ddis par rseau. Rares sont les quipements qui sont capables de supporter la gestion simultane de plusieurs SSID, et on devra par consquent quiper le btiment de plusieurs rseaux Wi-Fi distincts, ce qui augmentera d'autant les cots de cblage et de gestion.

2. Disponibilit
La rsistance aux perturbations lectromagntiques volontaires (brouillage) ou non (moteurs, catnaires, soudures etc.) reste faible malgr l'utilisation de technologies talement de spectre. La mise en marche d'un simple four micro-ondes suffit parfois pour perturber l'ensemble d'un rseau Wi-Fi, provoquant un ralentissement du dbit voire la coupure momentane du rseau. Il faut en tenir compte lors de l'installation des points d'accs. En pratique, il n'existe aucune garantie de disponibilit ou de qualit d'un rseau sans-fil, qui reste la merci de perturbations radio. Si l'on souhaite une disponibilit maximale pour les utilisateurs, et leur garantir un accs au rseau, il faut opter pour des liaisons filaires.

3. Bande passante
Par conception, les points d'accs Wi-Fi se comportent en mode hub et non en mode switch . Cela signifie que le dbit total allou par point d'accs sera en fait rparti entre chaque PC connect, et sans garantie de bande passante. Par exemple, sur un rseau au dbit thorique de 54Mbit/s (802.11g) sur lequel seraient connects 10 PC, chacun d'entre eux aurait un dbit thorique maximal de 5,4Mbit/s. Comme aucune garantie de la bande passante n'est possible, il est envisageable qu'un PC puisse occuper la quasi-totalit de celle-ci, pnalisant ainsi les autres PC connects la mme borne qui n'auront qu'un dbit minimal. Il est possible de mettre en place sur certains modles de points d'accs des mcanismes de gestion de la bande passante, mais cela est complexe et doit tre mrement rflchi. Sur le plan technique la notion de collision est frquente, ce qui ralentit considrablement le dbit

ds-lors que plusieurs liaisons vers des PC sont en cours. En reprenant l'exemple prcdent, les 10 PC n'auront en pratique pas un dbit de 5,4Mbit/s, les collisions et les perturbations diverses tendront ce que le dbit soit de l'ordre de 1 ou 2Mbit/s. Par nature, un rseau radio peut tre brouill ou perturb de temps autre. Il faut tre conscient que lors du transfert de gros volumes de donnes (par exemples des fichiers vido, etc.), si une perturbation survient et que le protocole de transfert n'est pas en mesure de rcuprer cette interruption momentane, il y a de fortes chances que l'ensemble du transfert choue, et qu'il faille recommencer. Il existe des protocoles de transfert spcialiss et permettant la rception sans perturbation malgr d'ventuelles erreurs, par exemple dans le domaine de la tlvision ou de la voix sur IP, mais ces protocoles ne sont que rarement utiliss pour effectuer des transferts de fichiers plus classiques, et les applications dites mtier ayant effectuer de gros transferts de donnes implmentent encore plus rarement ces mcanismes auto-correcteurs.

4. Lourdeur d'administration
La mise en place d'un rseau Wi-Fi au sein d'une entreprise ncessite une tude pralable au niveau radio, afin de positionner les points d'accs et antennes de manire optimale. Il faut prvoir les ventuelles perturbations radio, l'organisation des canaux radio afin qu'il n'y ait pas de superposition de signaux, et l'optimisation du nombre de points d'accs en fonction du nombre de PC susceptibles de s'y connecter. Cette tude peut tre complexe et son cot peut ne pas tre ngligeable dans le cas d'environnements complexes. Compte-tenu du nombre de points d'accs que l'on dploiera au final, il sera ncessaire de consacrer des ressources pour leur administration (administrateur rseau), un ou plusieurs serveurs pour le fonctionnement (radius, administration, etc.), et trs probablement un logiciel d'administration centralise afin de ne pas avoir configurer chaque point d'accs individuellement. Tout cela reprsente un cot souvent oubli au dpart.

Conclusion
Comme on vient de le voir, si le rseau Wi-Fi reprsente des avantages en confort et en utilisation qui sont considrables, il n'est pas adapt de lourdes charges, et il faut savoir que les cots conomiss en vitant un cblage Ethernet pour les postes des utilisateurs peuvent tre dpasss par d'autres cots auxquels on n'a pas forcment pens l'origine. En pratique, les rseaux Wi-Fi sont performants en mode client-serveur avec des changes courts (navigation Internet par exemple), ce qui explique leur succs auprs des particuliers. Il est quasiment certain que lors de l'utilisation d'applications mtier lourdes (montage vido, transferts de gros fichiers, CAO et dessin, etc.) via des rseaux Wi-Fi, cela posera un certain nombre de difficults. Les problmes de scurit (confidentialit, intgrit) ont t rsolus avec succs, ce qui permet un dploiement sans crainte en entreprise par rapport cet aspect. Cependant l'aspect disponibilit ne pourra en aucun cas tre garanti, et pour les applications critiques ncessitant une disponibilit maximale, l'utilisation de rseaux Wi-Fi doit tre proscrite.