1. Introduction — Pourquoi créer un accès Wi-Fi TEMPORAIRE ?

Fournir un accès Wi-Fi temporaire est courant dans les sociétés : visiteurs, événements, techniciens externes ou postes temporaires sur un chantier. L’objectif de ce tutoriel est double :

(1) vous donner des procédures prêtes à copier/coller pour créer un réseau invité temporaire en toute sécurité,

(2) fournir les artefacts professionnels (checklists, scripts, modèle de rapport) pour le DSI / RSSI.

Ce guide est écrit du point de vue d’un RSSI pragmatique : sécurité par défaut, contrôle d’accès minimal, observabilité et rapidité d’exécution. Les procédures sont explicitement détaillées étape par étape pour les administrateurs et les techniciens.

2. Concepts clés et risques (résumé)

Avant d’implémenter, comprenez ces notions :

• SSID invité : réseau distinct du réseau interne principal.
• VLAN : séparation réseau au niveau commutateur, obligatoire pour isoler le trafic invité.
• Client isolation (AP isolation) : empêche les clients connectés de se voir entre eux.
• Chiffrement : utiliser WPA2-Personal ou idéalement WPA3-Personal avec mot de passe fort ; pour un hotspot public, préférer captive portal + WPA2-Enterprise si possible.
• Captive portal : page d’acceptation / saisie de voucher permettant d’authentifier & limiter l’accès.
• TTL / durée : mécanisme automatique d’expiration (ex : voucher 4 heures/1 jour).
• Limitation bande passante & QoS : éviter que visiteurs saturent la connexion principale.
• Logging & supervision : journaliser les connexions (IP, MAC, durée) pour audit.
• Risques : lateral movement possible si isolation mal configurée, attaques man-in-the-middle sur captive portal en HTTP, divulgation d’informations internes.

3. Scénarios d’usage concrets

1. Visiteur ponctuel : accès 4 heures, SSID PUBLIC_VISITOR, isolation activée, limite download 10 Mbps.
2. Conference / événement : 200 participants, captive portal avec acceptation conditions + vouchers journaliers.
3. Technicien externe : accès restreint à un VLAN dédié, whitelist d’IP pour les outils de gestion, expiration 24h.
4. Chantier : accès pour tablettes métiers, DHCP statique sur plage spécifique, logs centralisés.

4. Stratégie de conception — exigences minimales

Pour tout accès Wi-Fi temporaire imposez :

• SSID dédié au guest.
• VLAN dédié sur le commutateur et AP.
• Client isolation activée.
• DHCP séparé (scope limité).
• Captive portal ou mot de passe unique et temporaire (voucher).
• Limitation du débit par client et par SSID.
• Journalisation centralisée (Syslog ou SIEM).
• Processus d’activation/désactivation automatisé (création/expiration des vouchers).
• Procédure de contrôle d’intégrité avant mise en production.

5. Mise en œuvre : procédures étape par étape (rapide & reproductible)

Remarque : interfaces constructeur variant, les étapes ci-dessous sont détaillées pour les systèmes les plus courants. Adaptez les adresses IP/admin login à votre infrastructure.

A. Windows 10 / 11 — créer un hotspot Wi-Fi temporaire (pour réunion rapide)

Utilisez cette méthode si vous n’avez pas d’AP ou de routeur dédié.

1. Ouvrir les paramètres
   • Cliquez sur Démarrer (icône Windows), puis Paramètres (icône roue dentée).
2. Accéder au Mobile Hotspot
   • Cliquez sur Réseau et Internet → dans le menu gauche sélectionnez Point d’accès mobile (ou Mobile hotspot).
3. Configurer le hotspot
   • Sous Partager ma connexion Internet depuis choisissez la connexion active (Ethernet ou Wi-Fi connecté).
   • Cliquez sur Modifier (bouton) → dans la fenêtre, entrez le Nom du réseau (SSID) (ex : SOCIETE_GUEST_TEMP) et le Mot de passe (ex : Inv1t3-2025!) → Enregistrer.
4. Activer
   • Basculez l’interrupteur Partager ma connexion Internet avec d’autres appareils sur Activé.
5. Sécuriser / limiter
   • Ouvrez Pare-feu Windows Defender → Paramètres avancés → créez règle bloquant les ports internes sensibles si nécessaire ; sinon, restreignez via le routeur uplink.
6. Arrêter
   • À la fin : retournez dans Point d’accès mobile → désactivez l’interrupteur.

Avantage : simple et rapide. Inconvénient : pas de VLAN ni captive portal ; adapter si sécurité élevée requise.

B. macOS — Internet Sharing (hotspot depuis Mac)

1. Ouvrir Préférences Système
   • Cliquez sur l’icône Pomme → Préférences Système → Partage.
2. Sélectionner Internet Sharing
   • Dans la liste à gauche, cochez Partage Internet (ne cochez pas encore la case finale).
3. Configurer la source et le partage
   • Partager votre connexion depuis : choisissez Ethernet (ou autre entrée).
   • Aux ordinateurs utilisant : cochez Wi-Fi.
4. Options Wi-Fi (étape par étape)
   • Cliquez sur Options Wi-Fi… → Nom du réseau : SOCIETE_GUEST_TEMP ; Canal : Auto ; Sécurité : WPA2 Personal ; Mot de passe : entrez un mot de passe fort → cliquez OK.
5. Activer
   • Cochez la case Partage Internet → confirmez l’activation.
6. Désactiver à la fin
   • Retournez dans Partage → décochez Partage Internet.

Remarque : Apple conserve un historique limité ; mieux pour réunions courtes.

Lien ressource Apple : Share your Internet connection from your Mac — https://support.apple.com/guide/mac-help/share-your-internet-connection-mchlp1546/mac

C. Linux (Debian/Ubuntu) — hotspot via hostapd + dnsmasq (serveur minimal avec VLAN optionnel)

Pré-requis : interface Wi-Fi compatible AP (ex : wlan0), interface uplink (ex : eth0).

1) Installer paquets

Terminal (clic = ouverture terminal, taper) :

sudo apt update
sudo apt install hostapd dnsmasq iptables-persistent

2) Configurer hostapd (pas à pas)

• Éditez /etc/hostapd/hostapd.conf : sudo nano /etc/hostapd/hostapd.conf
• Contenu à coller :

interface=wlan0
driver=nl80211
ssid=SOCIETE_GUEST_TEMP
hw_mode=g
channel=6
wmm_enabled=1
auth_algs=1
wpa=2
wpa_passphrase=Inv1t3-2025!
wpa_key_mgmt=WPA-PSK
rsn_pairwise=CCMP
ieee80211n=1

• Sauvegarder (Ctrl+O) puis quitter (Ctrl+X).

3) Configurer dnsmasq pour DHCP (pas à pas)

• Éditez /etc/dnsmasq.conf : sudo nano /etc/dnsmasq.conf
• Ajoutez :

interface=wlan0
dhcp-range=192.168.50.10,192.168.50.100,12h

• Sauvegarder.

4) Configuration IP & NAT (pas à pas)

• Attribuez IP statique à wlan0 : sudo ip addr add 192.168.50.1/24 dev wlan0
• Activer NAT (clic dans terminal) :

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo sh -c "iptables-save > /etc/iptables/rules.v4"

5) Activer et démarrer hostapd & dnsmasq

sudo systemctl unmask hostapd
sudo systemctl enable hostapd
sudo systemctl start hostapd
sudo systemctl restart dnsmasq

6) Vérification

• Depuis un smartphone, recherchez le SSID SOCIETE_GUEST_TEMP, connectez-vous avec le mot de passe indiqué.
• Test ping : ping 192.168.50.1 depuis un client.

Pour ajouter VLAN : créer VLAN 100 sur eth0, configurer bridge et iptables et tagger via vconfig ou ip link add link eth0 name eth0.100 type vlan id 100 puis attacher au bridge br0. (Si vous avez un commutateur manageable, faire la terminaison VLAN sur le switch et tagger le port d’AP.)

Documentation hostapd : http://w1.fi/hostapd/
Documentation wpa_supplicant : http://w1.fi/wpa_supplicant/

D. Routeur domestique TP-Link (exemple générique Guest Network)

Ces étapes s’appliquent à la majorité des GUI TP-Link (Archer series). Adaptez menus selon modèle.

1. Se connecter à l’interface web
   • Ouvrir un navigateur → tapez http://192.168.0.1 ou http://192.168.1.1 → Entrer admin / admin (ou vos identifiants).
2. Accéder aux paramètres Wi-Fi invité
   • Dans le menu supérieur/clavier : Wireless → Guest Network (ou Réseau invité).
3. Créer un réseau invité
   • Enable Guest Network : cochez.
   • SSID : SOCIETE_GUEST_TEMP.
   • Security : WPA2-PSK, Password : Inv1t3-2025!
   • Access time / Schedule : définir début/fin si disponible (ex : 08:00 → 20:00).
   • Allow guests to access host network : Non (désactivé) → cela active l’isolation réseau.
4. Bandwith Control / Rate limit (si disponible)
   • Menu Bandwidth Control → créer règle pour SSID SOCIETE_GUEST_TEMP : Limit downstream 10000 Kbps / upstream 2000 Kbps.
5. Appliquer / Reboot si demandé → cliquez Save.

TP-Link support général : https://www.tp-link.com/support/faq/

6. Mise en œuvre avancée : captive portal / vouchers (UniFi, MikroTik, OpenWRT)

A. Ubiquiti UniFi — Guest Portal & vouchers (contrôleur UniFi)

Prérequis : accès au UniFi Network Controller (Cloud Key / UniFi OS / controller.ui.com).

1. Connexion au controller
   • Ouvrez navigateur → allez sur l’adresse de votre controller (ex : https://<IP_CONTROLLER>:8443 ou https://network.unifi.ui.com) → connectez-vous.
2. Créer WLAN Guest
   • Menu Settings → Wi-Fi → Create New Wi-Fi Network.
   • Name/SSID : SOCIETE_GUEST_TEMP.
   • Security : None (si vous utilisez captive portal) ou WPA2.
   • Advanced Options → Use VLAN : cochez et entrez VLAN ID (ex : 50).
   • Apply.
3. Configurer Guest Control (Captive Portal)
   • Settings → Guest Control → Enable Guest Portal : ON.
   • Authentication : Voucher (sélection).
   • Self-registration : désactiver/activer selon besoin.
4. Créer Vouchers
   • Guests → Vouchers → Create Voucher → choisir Amount, Validity (ex : 4 hours) → Generate.
   • Téléchargez le PDF ou copiez-collez les codes.
5. Configurer Rate Limit
   • In Settings → Wireless Networks → éditez SOCIETE_GUEST_TEMP → Rate Limit : 10 Mbps down / 2 Mbps up.
6. Test
   • Connectez un client → ouvrez navigateur → page captive s’affiche → entrer voucher → connexion établie → vérifier VLAN & isolation.

Guide UniFi Guest Portal : https://help.ui.com/hc/en-us/articles/115002506247-UniFi-Guest-Portal

B. MikroTik — HotSpot Quick Setup (RouterOS)

1. Accès au routeur
   • Ouvrez WinBox (ou WebFig), connectez-vous avec IP/credentials.
2. Assistant HotSpot
   • Dans WinBox : cliquez IP → HotSpot → bouton HotSpot Setup.
   • Sélectionnez interface (ex : wlan1) → Next.
   • Entrer pool DHCP (ex : 192.168.88.10-192.168.88.100) → Next.
   • Serveur SMTP : laisser vide → Next.
   • Certificat TLS (facultatif) → Next.
   • DNS name for captive portal : guest.societe.local ou IP → Next.
   • Create user (admin) → Next.
3. Vouchers / User Manager
   • Installer package user-manager si besoin, ou créer users temporaires dans Users → Add → Username / Password / Limitations.
4. Limit rate
   • Utiliser Queues pour limiter bande passante par IP/MAC.
5. Test
   • Client se connecte → page captive s’affiche → entrée d’utilisateur ou voucher → accès.

Guide MikroTik HotSpot : https://help.mikrotik.com/docs/display/ROS/HotSpot

C. OpenWrt — Guest Wi-Fi + Captive Portal (CoovaChilli/NoDogSplash)

1. Accéder à LuCI (Web GUI)
   • Ouvrez navigateur → http://192.168.1.1 → connectez avec mot de passe.
2. Créer Interface Wi-Fi invité
   • Network → Wireless → Add (Add new interface) → Mode: Access Point → ESSID: SOCIETE_GUEST_TEMP → Encryption: WPA2-PSK → Save.
3. Créer VLAN (Network -> Switch)
   • Taguer port AP sur VLAN 50 et créer interface guest liée à VLAN 50.
4. Installer NoDogSplash
   • System → Software → Update lists → Rechercher nodogsplash → Install.
5. Configurer NoDogSplash
   • Services → NoDogSplash → config captive portal: welcome page, timeout, auth.
6. DHCP
   • Network → Interfaces → Create guest interface with static IP 192.168.50.1 and DHCP pool.
7. Firewall rules
   • Network → Firewall → create zone guest → forward: deny to lan → allow to wan.
8. Test
   • Client connecté → page captive NoDogSplash s’affiche → accept terms → accès.

OpenWRT guest wifi doc : https://openwrt.org/docs/guide-user/network/wifi/guest_wifi

7. Automatisation & scripts (exemples)

A. Générer vouchers UniFi via API (exemple bash + curl)

Note : adapter URL et token de controller

# Variables
CONTROLLER_URL="https://<controller>:8443"
API_TOKEN="TOKEN"
VOUCHER_COUNT=10
VALIDITY=14400  # seconds = 4 hours

for i in $(seq 1 $VOUCHER_COUNT); do
  curl -k -X POST "$CONTROLLER_URL/api/s/default/cmd/hotspot" \
    -H "Content-Type: application/json" \
    -H "Authorization: Bearer $API_TOKEN" \
    -d "{\"cmd\":\"create-voucher\",\"expire\":\"$VALIDITY\"}"
done

B. Script de test automatisé (Linux) — vérifier SSID actif & ping uplink

SSID="SOCIETE_GUEST_TEMP"
UPLINK=8.8.8.8

# Check if SSID is present (uses iwlist)
if iwlist wlan0 scan | grep -q "$SSID"; then
  echo "SSID présent"
else
  echo "SSID absent"
fi

# Ping uplink
if ping -c 3 $UPLINK >/dev/null; then
  echo "Uplink OK"
else
  echo "Uplink KO"
fi

8. Tests, validation et checklist post-déploiement (à exécuter systématiquement)

• SSID visible et correct (nom, bande).
• Isolation clients activée (vérifier qu’un client A ne ping pas client B sur la plage).
• VLAN taggué et trunk entre AP → switch → routeur.
• DHCP sur plage dédiée ; pas d’adresse hors plage.
• Gateway/NAT configuré ; pas de routage vers LAN interne.
• Captive portal s’affiche correctement (HTTP → redirect HTTPS si possible).
• Limitation débit fonctionnelle (test speedtest / iperf).
• Logs centralisés (Syslog) & export vers SIEM.
• Vouchers testés, expirations vérifiées.
• Procédure d’arrêt et purge : SSID supprimé / VLAN désactivé.

9. Modèle de rapport d’audit / incident (à transmettre au DSI / RSSI)

Ce modèle doit être complété et signé par l’auditeur.

Titre : Audit / Incident — Accès Wi-Fi temporaire
Date : YYYY-MM-DD
Auditeur : [Nom]
Contexte : Déploiement d’un Wi-Fi temporaire pour [événement / visiteur / technicien].
Objectifs : Vérifier séparation réseau, captive portal et non-routage vers LAN.

Résumé des constatations

• SSID : SOCIETE_GUEST_TEMP (OK)
• VLAN : 50 (OK)
• Isolation clients : Activée (OK)
• Captive portal : NoDogSplash (OK)
• Limite débit : 10/2 Mbps (OK)
• Observations critiques : [ex : rule firewall manquante permettant accès vers 10.10.0.0/16]

Actions correctives réalisées

1. Imposition règle firewall : blocage accès LAN → appliqué 2025-10-18 09:10.
2. Activation logging syslog → configuré vers 10.0.0.5.
3. Génération de 100 vouchers valides 4h → distribués.

Résultat : Pass / Fail (cocher) — Si Fail, plan d’action ci-dessous.

Plan d’action recommandé

• Remédiation 1 : appliquer firewall ACL sur switch (délais 24h)
• Remédiation 2 : rotatation des vouchers & logging 7j

Signature RSSI : ______________________

10. Recommandations opérationnelles & plan de retrait

• Automatiser l’expiration : tout SSID temporaire doit être retiré automatiquement ou marqué pour suppression via ticket.
• Documentation : conserver log et voucher utilisés 30 jours (conservation conforme à la politique interne et RGPD si applicable).
• Révocation d’accès : procédure de purge MAC / DHCP lease en cas d’incident.
• Formation : session 30 min pour réceptionnistes / accueil sur activation/désactivation.
• Sécurité avancée : pour accès sensible, WPA2-Enterprise avec RADIUS + certificats.

11. Tests d’attaque simples pour valider la sécurité (opérationnel, en bac à sable)

• Test 1 — Scanner réseau : depuis client invité lancer nmap -sS -p1-65535 --open 192.168.50.0/24 (message : exécuter uniquement en environnement de test autorisé).
• Test 2 — ARP spoofing : vérifier que client isolation empêche découverte/poisoning.
• Test 3 — DNS leak : vérifier que requests passent par le NAT/WAN du réseau invité, non par réseau interne.

Conclusion

La mise en place d’un accès Wi-Fi temporaire sécurisé est avant tout une combinaison de bonnes pratiques : séparation logique (VLAN), isolation des clients, limitation de bande passante, captive portal correctement configuré et supervision (logs). Les méthodes ci-dessous vous permettent de déployer un hotspot temporaire en 5 minutes pour petites réunions ou un système industrialisé via UniFi / MikroTik / OpenWRT pour événements plus importants.

Si vous souhaitez que nous déployions pour vous une solution de Wi-Fi invité sécurisée (vouchers automatisés, intégration RADIUS, centralisation des logs et playbook d’intervention), contactez notre équipe via la page contact pour un audit Gratuit et un POC (démonstration) sur site.

Liens externes et ressources

• hostapd — Host AP project documentation : http://w1.fi/hostapd/
• wpa_supplicant — Documentation : http://w1.fi/wpa_supplicant/
• OpenWRT — Guest Wi-Fi guide : https://openwrt.org/docs/guide-user/network/wifi/guest_wifi
• UniFi — Guest Portal documentation : https://help.ui.com/hc/en-us/articles/115002506247-UniFi-Guest-Portal
• MikroTik — HotSpot documentation : https://help.mikrotik.com/docs/display/ROS/HotSpot
• TP-Link — Support & FAQ : https://www.tp-link.com/support/faq/
• Apple — Share your Internet connection from your Mac : https://support.apple.com/guide/mac-help/share-your-internet-connection-mchlp1546/mac