Bonjour à tous,

Je travaille à la SNCF, et dans le cadre d'un "challenge" innovation interne nous sommes amenés à trouver des réponses à des problématiques subies par l'entreprise, mais aussi par les voyageurs.

Même si je n'ai pas travaillé à la conception du Wi-Fi à bord des TGV et que je ne travaille pas non plus dans l’unité de production qui gère ce Wi-Fi au quotidien, j'aimerais proposer une amélioration de celui-ci.

En tant que "client", il y a bien une chose qui m'embête à chaque fois que j'utilise ce Wi-Fi, c'est bien le processus de connexion.

Personnellement, je dispose d'un compte de fidélité (aka Mon Compte SNCF aka Programme Grand Voyageur), et j'ai toujours pleins de problèmes pour m'authentifier sur le Wi-Fi.

Dernièrement, j'ai filmé une tentative où je n'ai ni réussi à me connecter avec les identifiants de mon compte fidélité, ni avec ma référence de voyage, et ce malgré plusieurs tentatives. Et c'est sans compter les mails de double authentification qui sont envoyés lors de cette authentification, et qui sont impossibles à consulter depuis le même appareil, sous peine de devoir relancer la session d'authentification (et de redemander un code de double autehntification...). Je partagerai bien la vidéo, mais on peut voir mes informations personnelles (si c'est demandé, je flouterai tout ça et je partagerai la vidéo).

J'aimerais donc proposer une solution basée sur WPA2/3-Entreprise EAP-TLS, ce qui règlerait le soucis de connexion à chaque fois que un voyageur prend le train. De plus, ça améliorerait la sécurité, puisque cela éviterai d'utiliser un réseau Wi-Fi ouvert. Cependant, cela rajoute une contrainte qui est la distribution des certificats authentifiant les clients.

Pour régler le soucis de déploiement des certificats, j'ai trouvé des moyens pour le faire un seulement un clic sur Android, IOS, Mac et Windows (sur Linux, il faudra surement un petit script), même si je dois encore faire des prototypes. Pour la faire courte, le but est d'intégrer la fonctionnalité aux applications IOS et Android de l'Assistant SNCF, et de créer des profils réseaux téléchargeables sur un site web pour les clients Windows/MAC.

Cette solution serait uniquement proposée aux clients disposant d'un compte de fidélité (pour faire un lien entre les certificats et un utilisateur). Pour les autres utilisateurs, le SSID serait conservé, avec le même fonctionnement.

Pour résumer, trouvez-vous cette idée pertinente ? Est-elle trop contraignante pour les utilisateurs ? Ai-je oublié quelque chose ?

Si cette idée n'est pas pertinente, avez-vous d'autres propositions sur le même sujet ?

Je compte faire un prototype avec un cAP XL ac de chez Mikrotik avec un RADIUS pour le côté train, et des applications IOS/Android et un proto site web pour les clients Mac/Windows. Je présenterai la solution ici si certains y voient de l'intérêt

J'aimerais donc proposer une solution basée sur WPA2/3-Entreprise EAP-TLS, ce qui règlerait le soucis de connexion à chaque fois que un voyageur prend le train. De plus, ça améliorerait la sécurité, puisque cela éviterai d'utiliser un réseau Wi-Fi ouvert. Cependant, cela rajoute une contrainte qui est la distribution des certificats authentifiant les clients.

Pour la partie chiffrement, il y a maintenant un standard pour les réseaux ouverts : Opportunistic Wireless Encryption.
https://www.wi-fi.org/beacon/dan-harkins/wi-fi-certified-enhanced-open-transparent-wi-fi-protections-without-complexity
Le problème est que c'est lié à WPA3, le matériel déployé est probablement incompatible.

Il faudrait également isoler les différents clients, ce qui est peut-être possible sur l'infrastructure actuelle.
Actuellement, il sont comme sur un LAN, un appareil qui n'a pas de firewall, ou mal configuré, peut être accédé par les autres clients.

Pour ce qui est de l'authentification, je me demande vraiment à quoi elle sert.
Comme Vivien l'a indiqué, on peut avoir accès sans s'enregistrer : https://lafibre.info/wifi/acces-wifi-tgv-neutralite/msg886772/#msg886772
Donc au final, ce revient à identifier le client par son adresse MAC pour décompter le quota.
Pourquoi ne pas avoir juste un bouton pour valider les CGU ?
Si le quota est plus important pour certains types de billets, alors s'authentifier serait uniquement nécessaire pour le déverrouiller.

J'imagine qu'il n'y a pas que des bras cassés à la SNCF et qu'il existe certainement des contraintes que tu n'estimes pas dans ton analyse.
Ceux qui ont déjà implanté la solution existante, ont certainement envisagé différents scénarios et choisi l'optimum sous contraintes qu'ils ont.
Peut-être que se rapprocher des équipes en place pour comprendre leurs contraintes serait plus efficace.
Je ne dis pas que ta solution proposée ne soit pas bonne, mais je t'invite à creuser un peu plus la question en interne, avant de mettre tes collègues en porte à faux.
Si ils ont des contraintes opposables, ta solution sera rejetée, tu sera déçu.
Essaye d'abord de comprendre leurs problématique, ton constat est certainement partagé par beaucoup d'utilisateurs, mais arriver avec une solution clé en main, en leur disant vous êtes des mauvais, moi j'ai une ou la solution, risque d'être peut-être mal interprétée.
Ne jamais sous-estimer le contexte.

Évidemment qu’il n’y a pas que des bras cassés à la SNCF, et je rate sûrement des choses.

Je fais mes petites recherches en interne, mais la SNCF est tellement grande que ça prend du temps de trouver la bonne personne qui a travaillé sur le sujet à l’origine. C’est pour cela que j’ai lancé ce sujet en parallèle 

La partie « enrôlement » que je compte proposer est assez novatrice, car dans certains cas elle utilise des fonctionnalités récentes de certains OS, qui n'existaient pas lors de la définition de ce portail. La solution que je propose était donc inimaginable à l’époque des réflexions sur le système actuel.

Le but n’est pas de critiquer ouvertement la solution en place et les gens qui l’ont conçue. D’ailleurs, je ne prévois pas de la remplacer, mais de mettre un système en parallèle pour les habitués qui voyagent plus ou moins souvent (ceux qui ont un compte de fidélité tout du moins).

Après, pour être honnête, je pense que ma proposition sera rejetée, car trop contraignante ou trop complexe. Donc je me prépare déjà à ce refus. Mais au moins, je pourrai dire que j’ai essayé 

Après, pour être honnête, je pense que ma proposition sera rejetée, car trop contraignante ou trop complexe. Donc je me prépare déjà à ce refus. Mais au moins, je pourrai dire que j’ai essayé 

Elle ne sera pas nécessairement rejeté si elle est bien construite, il ya des personnes intelligentes à sa tête.

Pour info,
Je sais qu'il y a une branche chez CISCO qui s'occupe de cette problématique pour le transport aérien, un de mes anciens collaborateurs m'en avait parlé.
Si cela t'évite de réinventer la roue.
Peut-être trouver un contact chez CISCO dans cette branche.
Bon courage.

- Vous connectez-vous souvent au Wi-Fi lorsque vous prenez un TGV équipé ?

Jamais, activer le partage de connexion de mon téléphone est plus rapide et plus simple.

Si une solution sans portail captif existait, je m'en servirais probablement.

- Vous connectez-vous souvent au Wi-Fi lorsque vous prenez un TGV équipé ?
Env. 1 fois sur 2
Mais je n'y reste jamais connecté tout le long du trajet

- Comment vous connectez-vous au Wi-Fi ? (numéro de dossier ou compte SNCF)
Via l'astuce billet étranger

- Est-ce facile ?
Oui, en 2 clics

- Est-ce que vous rencontrez des problèmes ?
Récemment, pour tester, impossible de charger les goodies du portail.
La presse, les jeux, la radio, etc.

Par ailleurs, des fois le wifi semble surchargé et passer par le mobile semble mieux fonctionner.
Voir pour un accès "high speed" lorsqu'on est en gare. C'est le moment où on pourrait télécharger hors-ligne l'épisode Netflix

- Êtes-vous sensible au fait d'utiliser un réseau ouvert et non sécurisé/chiffré ?
Oui, of course.