Dans certaines stratégies GPO « Wireless Network (IEEE 802.11) Policies », la case « Effectuer la cryptographie en mode certifié FIPS 140‑2 » refuse de rester cochée. Ce guide explique les causes, le diagnostic et les correctifs fiables pour vos profils Wi‑Fi d’entreprise.
Contexte et symptômes
Vous créez ou modifiez un profil Wi‑Fi dans une GPO. Vous cochez Perform cryptography in FIPS 140‑2 certified mode, vous validez, fermez, puis rouvrez le profil : la case est à nouveau décochée. Dans certains environnements, ce comportement s’accompagne d’échecs de connexion 802.1X, de retours intermittents à un SSID de secours, ou de messages d’événement WLAN/AUTOConfig indiquant un paramètre « non pris en charge ».
Pourquoi la case FIPS se décoche
Le paramètre FIPS de la stratégie Wi‑Fi n’est pas un réglage isolé : Windows le conserve uniquement si l’ensemble du profil est cohérent avec les exigences FIPS 140‑2. Au moindre écart, le moteur de stratégie réécrit l’XML du profil et supprime le drapeau FIPS. Les causes habituelles sont :
- Chiffrement ou authentification incompatibles : TKIP, WEP, RC4, PEAP-MSCHAPv2, EAP-MD5, EAP-TTLS/PAP, ou tout mécanisme reposant sur des algorithmes non validés.
- Pilote et carte Wi‑Fi non compatibles avec la suite WPA2‑Enterprise/AES (CCMP) ou WPA3‑Enterprise (GCMP) en mode FIPS, ou pilote obsolète ne déclarant pas correctement ses capacités.
- Paramètres contradictoires dans la GPO : profil combinant « AES et TKIP », EAP mixte, contraintes 802.11r/FT non prises en charge par la pile FIPS du poste, etc.
- Incohérence avec la politique système : dans certaines organisations, si la stratégie locale « Utiliser les algorithmes conformes FIPS » est désactivée, le profil réseau peut refuser de rester en mode FIPS.
- Édition de Windows limitée : certaines éditions ne disposent pas de toutes les capacités 802.1X nécessaires au mode FIPS en entreprise.
Conditions et prérequis
- Carte et pilote NDIS 6.30 (Windows 8.1) ou supérieur.
- Point d’accès en WPA2‑Enterprise/AES‑CCMP ou WPA3‑Enterprise/GCMP (éviter les modes mixtes WPA/WPA2 avec TKIP).
- Infrastructure RADIUS/NPS configurée pour EAP‑TLS ou PEAP avec TLS serveur + TLS client (PEAP‑TLS) exclusivement.
Solutions et diagnostic rapide
| Étape | Action recommandée | Pourquoi / Ce qu’il faut vérifier |
|---|---|---|
| 1 | Vérifier la compatibilité du pilote Wi‑Fi (mise à jour, prise en charge FIPS 140‑2) | Le pilote doit gérer WPA2‑Enterprise/AES en mode FIPS ; sinon Windows masque ou réinitialise l’option. |
| 2 | Isoler la GPO : créer une stratégie ne contenant que le profil Wi‑Fi avec FIPS | Élimine les conflits avec d’autres réglages (EAP, TKIP, modes mixtes, 802.11r/FT). |
| 3 | Choisir des méthodes d’authentification compatibles (EAP‑TLS ou PEAP‑TLS + AES) | MS‑CHAPv2, TKIP, MD5 ne sont pas validés FIPS et font sauter la case. |
| 4 | Activer FIPS au niveau système si la conformité l’exige | Stratégies locales → Options de sécurité → « Cryptographie système : utiliser les algorithmes conformes FIPS » ou Registre HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy = 1. |
| 5 | Contrôler l’édition de Windows | Préférer Pro/Enterprise. Certaines capacités 802.1X/FIPS sont absentes des éditions limitées. |
| 6 | Analyser les journaux WLAN‑AutoConfig et EapHost | Les événements révèlent les paramètres rejetés par la pile WLAN ou par le pilote. |
Procédure détaillée
Compatibilité et pilotes Wi‑Fi
La plupart des incidents tiennent à un pilote trop ancien ou à une pile 802.11 incapable d’annoncer la prise en charge des suites cryptographiques FIPS. À valider :
- Mise à jour du pilote depuis l’éditeur de la carte (plutôt que via Windows Update).
- Vérification NDIS : un NDIS ≥ 6.30 garantit une pile suffisamment moderne.
Commande PowerShell utile :
Get-NetAdapter | Select Name, InterfaceDescription, DriverVersion, NdisVersion | Format-Table -AutoSize
Si la version NDIS est trop basse ou si le pilote est générique, remplacez-le par un pilote certifié par le constructeur. Après mise à jour, redémarrez le service WLAN (WlanSvc) ou la machine, puis rééditez la GPO : la case FIPS doit désormais rester cochée si le reste du profil est conforme.
Isolation de la stratégie GPO
Créez une GPO dédiée, par exemple « WLAN-FIPS-ONLY », avec uniquement :
- Un profil Wi‑Fi (IEEE 802.11 – Windows Vista et ultérieur).
- Authentification WPA2‑Enterprise (ou WPA3‑Enterprise) avec AES‑CCMP (ou GCMP) uniquement.
- Méthode EAP : EAP‑TLS ou PEAP‑TLS.
- Case Perform cryptography in FIPS 140‑2 certified mode cochée.
Déployez cette GPO dans une OU de test avec quelques postes pilotes. L’objectif est d’éliminer toute interaction avec d’autres paramètres de sécurité (désactivation de TKIP, gestion 802.11k/v/r, paramètres EAP hérités, etc.).
Méthodes d’authentification compatibles FIPS
Pour rester conforme FIPS, l’authentification doit s’appuyer sur des primitives validées (RSA/ECDSA, SHA‑256, AES). La règle pratique est simple : certificat client + AES‑CCMP/GCMP. Exemples :
- OK FIPS : EAP‑TLS + WPA2‑Enterprise/AES‑CCMP.
- OK FIPS : PEAP‑TLS (TLS dans le tunnel PEAP, sans MS‑CHAPv2) + AES‑CCMP.
- Non FIPS : PEAP‑MSCHAPv2 (mot de passe, MS‑CHAPv2), EAP‑MD5, EAP‑TTLS/PAP.
Cohérence avec la stratégie FIPS système
Selon votre politique de conformité :
- Si l’organisation exige FIPS global : activez Cryptographie système : utiliser les algorithmes conformes FIPS (secpol.msc) ou la clé
HKLM\...\FIPSAlgorithmPolicyà1, puis redémarrez. - Si elle ne l’exige pas : vous pouvez rester sur « Désactivé » au niveau système, à condition que le profil Wi‑Fi n’emploie que des algorithmes validés. Notez toutefois que certaines piles/anciens pilotes ne conservent pas le drapeau FIPS du profil si la stratégie système FIPS est à 0.
Attention : activer FIPS global peut affecter certaines applications. Testez toujours dans un environnement pilote.
Édition de Windows et fonctionnalités 802.1X
Privilégiez Windows Pro ou Enterprise pour bénéficier de toutes les fonctions 802.1X et des stratégies sans fil gérées par GPO. Les éditions Home ne sont pas conçues pour la gestion centralisée de profils FIPS en domaine.
Analyse des journaux WLAN et EAP
Deux journaux sont particulièrement utiles :
- Microsoft‑Windows‑WLAN‑AutoConfig/Operational : connexion Wi‑Fi, négociation des chiffrements, erreurs de profil.
- Microsoft‑Windows‑EapHost/Operational : négociation EAP/TLS, rejets liés aux paramètres non FIPS.
Exemple PowerShell pour filtrer les événements pertinents :
# Derniers événements WLAN-EAP contenant des mots‑clés FIPS/CCMP/TKIP
Get-WinEvent -LogName "Microsoft-Windows-WLAN-AutoConfig/Operational" -MaxEvents 500 |
Where-Object { $_.Message -match "FIPS|CCMP|GCMP|TKIP|EAP|TLS" } |
Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-List
Vérifications côté infrastructure
- Points d’accès : forcer AES‑CCMP uniquement pour WPA2‑Enterprise, désactiver TKIP et tout mode WPA mixte. En WPA3‑Enterprise, utiliser GCMP, et vérifier la compatibilité pilote/OS.
- RADIUS/NPS : autoriser EAP‑TLS (ou PEAP avec certificats) uniquement, refuser MS‑CHAPv2 et méthodes basées mot de passe.
- Certificats : utiliser des certificats serveur et client valides (SHA‑256+, clés RSA/ECDSA conformes), chaîne de confiance complète dans le magasin Ordinateur local.
- Fonctions avancées : si 802.11r/FT est activé, valider en pilote que FT+CCMP est supporté en mode FIPS ; sinon, désactiver FT sur le SSID d’entreprise.
Matrice de compatibilité
| Authentification | Chiffrement Wi‑Fi | Statut FIPS | Remarques |
|---|---|---|---|
| EAP‑TLS | WPA2‑Enterprise / AES‑CCMP | Compatible | Recommandé ; nécessite certificats client/serveur valides. |
| PEAP‑TLS (TLS interne) | WPA2‑Enterprise / AES‑CCMP | Compatible | Veiller à n’utiliser que TLS, pas MS‑CHAPv2. |
| EAP‑TLS | WPA3‑Enterprise / AES‑GCMP | Compatible | Requiert pilotes et AP modernes, tests recommandés. |
| PEAP‑MSCHAPv2 | WPA2‑Enterprise / AES‑CCMP | Non compatible | MS‑CHAPv2 n’est pas validé FIPS. |
| EAP‑TTLS/PAP | WPA2‑Enterprise / AES‑CCMP | Non compatible | Méthodes internes non conformes. |
| EAP‑TLS | WPA/WPA2 mixte / TKIP | Non compatible | TKIP et modes mixtes invalident FIPS. |
Commandes utiles
Lister et auditer un profil :
netsh wlan show profiles
netsh wlan show profile name="SSID-Entreprise" key=clear
Vérifier la politique FIPS système :
reg query HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy
# PowerShell
(Get-ItemProperty "HKLM:\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy").Enabled
Produire un rapport GPO pour valider l’XML du profil sans fil :
Get-GPOReport -All -ReportType Html -Path C:\Temp\GpoReport.html
Étapes de validation avant déploiement
- Mettre à jour pilote/carte et redémarrer.
- Appliquer la GPO isolée WLAN-FIPS-ONLY.
- Confirmer sur le poste :
netsh wlan show profile→ Authentification WPA2‑Enterprise, Chiffrement CCMP, EAP TLS. - Connecter au SSID et vérifier l’absence d’événements d’erreur dans WLAN‑AutoConfig/EapHost.
- Rouvrir la GPO : la case FIPS demeure cochée. Si elle se décoche, revenir à la matrice ci‑dessus et corriger le paramètre fautif.
Erreurs fréquentes et contournements
- Option « AES et TKIP » activée : même si le client croit négocier CCMP, la simple présence de TKIP rend la configuration non FIPS. Forcer CCMP uniquement.
- PEAP‑MSCHAPv2 en héritage : migrer vers EAP‑TLS ou PEAP‑TLS (certificat client). Planifier la distribution de certificats via AD CS/Intune/NPS.
- Profils multiples du même SSID : un ancien profil non FIPS peut prendre le dessus. Supprimer les doublons et réappliquer la GPO.
- WPA3 activé côté AP mais non géré côté client : revenir à WPA2‑Enterprise/CCMP le temps d’aligner pilotes et OS.
- FIPS global désactivé alors que l’organisation l’exige : activer la stratégie système FIPS, puis retester.
Bonnes pratiques de déploiement
- Tester les profils Wi‑Fi FIPS dans un environnement pilote avant déploiement massif.
- Conserver un profil de secours non FIPS dans une GPO distincte pour les matériels non compatibles.
- Documenter la chaîne complète de conformité : versions Windows, pilotes, AP, RADIUS, suites cryptographiques, empreintes des certificats.
- Planifier la distribution de certificats (templates AD CS, auto‑inscription, cycle de renouvellement) avant d’imposer EAP‑TLS.
- Surveiller les journaux WLAN‑AutoConfig et EapHost dans les semaines suivant le déploiement.
Checklist de clôture
| Point | État attendu | Méthode de vérification |
|---|---|---|
| Pilote/NDIS | NDIS ≥ 6.30, pilote constructeur récent | Get-NetAdapter, gestionnaire de périphériques |
| Chiffrement Wi‑Fi | WPA2‑Ent. CCMP ou WPA3‑Ent. GCMP | Console AP, netsh wlan show profile |
| Méthode EAP | EAP‑TLS ou PEAP‑TLS | GPO → Propriétés du profil, NPS |
| Paramètres non FIPS | Absents (TKIP, MS‑CHAPv2…) | Audit GPO, matrice de compatibilité |
| FIPS global | Aligné avec la politique interne | Stratégie locale/registre |
| Journaux | Sans erreurs critiques | WLAN‑AutoConfig, EapHost |
Questions fréquentes
Faut‑il absolument activer FIPS au niveau système ?
Pas si votre politique de conformité ne l’exige pas. L’essentiel est d’utiliser des algorithmes validés dans le profil Wi‑Fi. Toutefois, sur certaines piles/pilotes, la case peut rester instable si FIPS global est désactivé ; évaluez au cas par cas.
PEAP‑MSCHAPv2 est‑il vraiment proscrit ?
Oui pour un objectif FIPS strict : MS‑CHAPv2 n’est pas validé FIPS. La voie recommandée est EAP‑TLS (certificat client) ou PEAP‑TLS.
WPA3‑Enterprise apporte‑t‑il un avantage ?
Oui, mais seulement si vos AP, pilotes et OS supportent pleinement GCMP en environnement FIPS. Sinon, WPA2‑Enterprise/CCMP reste la voie la plus stable.
Pourquoi la case reste cochée dans l’éditeur mais la connexion échoue ensuite ?
Le profil peut être syntaxiquement « cohérent », mais la négociation échoue côté AP ou RADIUS (chaîne de certificats, versions TLS, suites non alignées). D’où l’importance d’auditer les journaux côté client et serveur.
Quid des appareils anciens ?
Maintenez un SSID de transition non FIPS et planifiez un renouvellement matériel. Ne « dégradez » pas le SSID FIPS avec TKIP pour accommoder l’ancien matériel : la case FIPS se décochera et la conformité sera rompue.
Synthèse et recommandations
La case « Effectuer la cryptographie en mode certifié FIPS 140‑2 » qui se décoche traduit presque toujours une incohérence : pilote non compatible, combinaison EAP/chiffrement non FIPS, ou désalignement avec la politique système. La résolution se trouve dans un triptyque : pilote à jour, EAP‑TLS (ou PEAP‑TLS) + AES‑CCMP/GCMP sans TKIP, et GPO isolée pour éliminer les conflits. Une fois ces éléments alignés, le drapeau FIPS reste en place et vos connexions 802.1X passent en conformité, prêtes pour l’audit.
Ressources et rappels opérationnels
- Déployer des certificats poste avant d’imposer EAP‑TLS.
- Vérifier la présence des autorités racines/intermédiaires dans le magasin Ordinateur local.
- Désactiver explicitement TKIP et WPA mixtes sur le SSID d’entreprise.
- Documenter chaque version (OS, pilote, microprogramme AP) dans le dossier de conformité.
Exemples de réglages côté profil GPO :
- IEEE 802.11 Policies (Windows Vista et ultérieur) → Infrastructure : WPA2‑Enterprise, Chiffrement : AES, EAP : TLS, FIPS : activé.
- Pas d’authentification par mot de passe interne au tunnel PEAP.
- Roaming/FT uniquement si validé avec le pilote en mode FIPS.
En suivant ce guide, vous éliminez les causes systémiques et fixez durablement la conservation de l’option FIPS dans vos profils Wi‑Fi déployés par GPO.