Déploiement d'une nouvelle solution d'authentification Wi-Fi mondiale

Présentation du projet

L'authentification Wi-Fi mondiale de Criteo reposait sur des Kemp LoadMasters distribuant les requêtes LDAPS vers des contrôleurs de domaine Active Directory on-premise. Deux problèmes ont convergé pour rendre une intervention urgente : les Kemp en production tournaient sur des versions gratuites, sans support, avec des failles de sécurité connues et non corrigées. Et la solution d'authentification côté utilisateur était une splash page faite maison, avec un login/mot de passe sans MFA, une URL peu rassurante, et un processus de connexion que les nouveaux arrivants avaient du mal à comprendre.

S'y ajoutait un contexte stratégique : Criteo passait en cloud-first avec Entra ID comme fournisseur d'identité principal. La solution retenue a été l'intégration native Meraki + Entra ID, qui remplace intégralement la splash page maison et l'authentification LDAPS par une authentification cloud, avec MFA et ouverture vers le passkey.

Étapes et acteurs

La première étape a été de cartographier précisément ce qui existait : les acteurs impliqués, les technologies en place, et le parcours réel de l'utilisateur lors d'une connexion Wi-Fi. C'est là qu'on voit les vraies limites : les Kemp tournaient sur des versions gratuites sans support, avec des failles connues non corrigées. La splash page était faite maison, avec un login/mot de passe sans MFA, et une URL qui inspirait la méfiance aux collaborateurs non avertis. Fonctionnellement ça marchait, mais c'était un point de fragilité sécurité et une friction UX réelle.

Avant de toucher quoi que ce soit en production, j'ai documenté l'état existant de façon exhaustive : SSIDs en place, flux d'authentification, politiques d'accès associées. Et j'ai rédigé un rollback plan pour chaque étape, piloté en Agile. Sur un système qui gère l'authentification Wi-Fi de tous les sites Criteo simultanément, on ne se permet pas d'intervenir sans filet.

Pour la mise en place de l'intégration Meraki + Entra ID, j'ai d'abord tout validé dans le Lab réseau. J'ai configuré l'intégration côté Meraki Dashboard, testé l'authentification avec des comptes Azure AD réels, et vérifié le comportement de bout en bout. Ce n'est qu'après validation complète en Lab que j'ai lancé la bascule en production. La coordination avec l'équipe IAM était constante : ils géraient la configuration des groupes Entra ID autorisés et des politiques d'accès conditionnel, moi je gérais la partie Meraki Dashboard.

La bascule s'est faite sur les 10 sites mondiaux en même temps, pas site par site. Ce qui rend ça viable, c'est le mécanisme de token de l'authentification Meraki + Entra ID : chaque appareil se voit délivrer un token lié à son adresse physique, valable 3 mois. Une fois le token en place, l'utilisateur n'a plus besoin de ressaisir ses credentials jusqu'à expiration. La transition est donc naturelle : chaque utilisateur bascule vers la nouvelle méthode à l'expiration de son propre token, sur sa propre timeline. Aucun big bang, aucune reconnexion forcée ressentie.

Un cas résiduel est apparu sur certains téléphones mobiles. En BYOD, quand l'utilisateur se connecte au SSID avec un token expiré, le téléphone ne reçoit pas encore d'accès réseau. Le MPTCP (Multipath TCP) interprète ça comme un Wi-Fi faible et ouvre automatiquement un flux de secours via le cellulaire, ce qui casse le flux Meraki vers Entra ID au moment de la redirection vers la splash page, résultant en une page blanche. Comme on est en BYOD, le problème est côté device et trop hétérogène pour être corrigé au niveau infra. On a clôturé proprement : rédaction d'une KB publiée sur le portail, avec le workaround à appliquer, transmise au support pour débloquer les utilisateurs si besoin.

Dans les semaines qui ont suivi, j'ai surveillé les métriques d'authentification : taux d'échec, latences, volume de tickets de support Wi-Fi. On tourne autour de 85 % d'authentifications réussies sur les mobiles. Le reste correspond à des erreurs côté device, mauvais credentials ou problèmes de compte, pas à la configuration réseau. Sur les machines managées, le taux est significativement plus élevé.