m.a.i.p
← Journal

Article

Wi-Fi public en 2026 : ce qui reste vraiment dangereux à l'ère du HTTPS universel

15 juin 2026· 12 mins· par maip.fr

Vous avez probablement déjà vu la pub : un type concentré devant son ordinateur dans un café, un autre derrière lui qui sourit en sifflotant son mot de passe bancaire au passage. Sous-titre : « Sans VPN, vous êtes une cible. » C'est le scénario de base du marketing VPN depuis dix ans — et c'est largement obsolète.

L'argument reposait sur une réalité technique des années 2010 : une grande partie du web circulait en clair, les navigateurs ne distinguaient pas vraiment HTTP et HTTPS, et un attaquant sur le même Wi-Fi pouvait effectivement capturer des mots de passe lisibles dans des paquets non chiffrés. Depuis, presque tout a changé. Plus de 95 % du trafic web passe aujourd'hui en HTTPS, les navigateurs marquent en rouge les rares sites HTTP qui subsistent, et plusieurs des attaques classiques sont devenues très difficiles à exécuter en pratique.

Cet article fait le tri en 2026 : ce qu'un attaquant peut encore faire concrètement sur un Wi-Fi public, ce qui ne marche plus, ce qu'apporte vraiment un VPN dans ce contexte, et les bonnes pratiques réalistes pour voyager ou travailler depuis un café sans tomber dans la paranoïa ni l'insouciance.

Pourquoi le discours sur le Wi-Fi public est resté figé en 2014

Le récit dominant, repris à l'identique par presque tous les fournisseurs VPN, vient d'une époque où il était vrai. En 2014, à peu près la moitié du trafic web était encore en HTTP. Les mots de passe partaient en clair, les sessions de connexion étaient interceptables, des outils grand public comme Firesheep permettaient à n'importe quel curieux de prendre le contrôle des comptes Facebook, Gmail ou Twitter des voisins de café en deux clics. Le Wi-Fi public était effectivement un piège à amateurs.

Trois évolutions techniques, étalées entre 2015 et 2020, ont rendu ce scénario largement caduc.

Let's Encrypt et la généralisation de HTTPS. Lancé fin 2015, ce service de certificats gratuits a fait chuter le prix d'entrée du chiffrement à zéro. Combiné à la pression de Google sur le référencement (sites HTTPS favorisés depuis 2014, sites HTTP signalés comme « non sécurisés » à partir de 2018), il a accéléré une bascule complète. En 2026, trouver un site grand public qui ne propose pas HTTPS relève de l'exception.

HSTS et certificate transparency. Les en-têtes HTTP Strict Transport Security (HSTS) demandent au navigateur de ne plus accepter de version HTTP du site après une première visite. Et le système Certificate Transparency rend publique chaque émission de certificat, ce qui rend très difficile pour un attaquant d'émettre un faux certificat sans se faire repérer. Les attaques de type SSL stripping, qui dégradaient HTTPS en HTTP, ne fonctionnent quasiment plus contre les sites majeurs.

HTTPS-Only mode dans les navigateurs. Firefox depuis 2020, Chrome depuis 2023, Safari depuis 2024 proposent un mode qui refuse purement et simplement les connexions HTTP. Une fois activé, l'utilisateur est protégé même contre les sites résiduels en HTTP qu'il pourrait croiser par hasard.

Le marketing VPN, lui, continue largement à utiliser les visuels et les scénarios de 2014, parce qu'ils sont émotionnellement efficaces et qu'ils vendent l'abonnement. Mais la réalité technique d'un Wi-Fi public en 2026 est très différente — sans être pour autant sans risque.

Ce qu'un attaquant peut faire (et ce qu'il ne peut plus faire) sur un Wi-Fi public

Distinguons calmement ce qui reste possible de ce qui ne marche plus.

Sniffing passif — possible mais peu intéressant. Un attaquant sur le même réseau peut techniquement capturer les paquets qui passent en l'air (Wi-Fi ouvert) ou décoder ceux d'un réseau partagé. Avec un outil comme Wireshark, il voit le trafic transiter. Mais quand 95 % de ce trafic est en HTTPS, il ne voit que des enveloppes chiffrées : des IP source et destination, des volumes, des horaires. Pas de mots de passe, pas de contenu de mails, pas de messages bancaires. C'est l'équivalent de regarder passer des camions opaques sur une autoroute — vous voyez le trafic, pas la cargaison.

SSL stripping — quasi mort. L'attaque classique consistait à se placer entre la victime et le site, à intercepter la requête HTTPS et à la rediriger en HTTP côté victime tout en parlant en HTTPS au serveur. HSTS rend cette manipulation détectable : le navigateur sait que votre-banque.fr doit toujours être en HTTPS, et refuse la version dégradée. Sur les grands sites (banques, mails, réseaux sociaux), ce vecteur ne fonctionne plus.

Evil twin — toujours dangereux. L'attaquant crée un faux point d'accès Wi-Fi avec le même nom qu'un réseau légitime (« Starbucks Free WiFi », « Airport Free WiFi »). Votre appareil, s'il a déjà vu un réseau de ce nom, peut s'y connecter automatiquement. Une fois connecté, tout votre trafic passe par l'attaquant qui agit en routeur. Le chiffrement HTTPS protège toujours le contenu, mais l'attaquant voit les métadonnées (quels domaines vous contactez) et peut tenter d'autres attaques comme un portail captif piégé.

Portail captif piégé — vecteur réaliste. À la connexion sur un Wi-Fi public, un portail s'affiche souvent dans le navigateur pour accepter les conditions d'utilisation. Un attaquant qui contrôle le réseau peut afficher un faux portail qui demande des credentials (Facebook, Google) sous prétexte d'authentification. Si vous les tapez, ils sont volés en clair. C'est une attaque de phishing classique, mais qui exploite la situation Wi-Fi pour paraître légitime.

DNS hijacking — partiellement efficace. L'attaquant peut rediriger vos requêtes DNS vers ses propres serveurs, et orienter votre-banque.fr vers un site qu'il contrôle. Si vous tapez le mot de passe sur ce faux site, il est volé. La défense : DNS chiffré (DoH/DoT) côté navigateur ou système, qui contourne le DNS du réseau Wi-Fi, et la vigilance sur le cadenas HTTPS et le nom de domaine exact.

Attaques sur protocoles legacy — résiduelles. Les anciens protocoles non chiffrés (FTP, Telnet, SMB sans chiffrement, IMAP/POP en clair, anciens partages réseau) restent vulnérables sur Wi-Fi public. En 2026, ces protocoles ont presque tous disparu côté grand public — mais ils restent présents dans certains contextes professionnels (intranets mal modernisés, NAS personnels mal configurés, applis métiers vieillissantes).

Vulnérabilités OS et apps — réelles si pas patchées. Un attaquant sur le même réseau peut exploiter des failles connues dans votre système d'exploitation ou vos applications si elles ne sont pas à jour. C'est devenu rare sur les OS récents bien maintenus, mais ça reste un vecteur sur smartphones anciens ou ordinateurs négligés.

Captation par l'opérateur du réseau lui-même. C'est le risque le plus souvent oublié, et probablement le plus systématique. L'hôtel, l'aéroport, le café qui fournit le Wi-Fi voit la totalité de votre trafic réseau — au niveau métadonnées au minimum, parfois davantage selon l'équipement déployé. Ce qu'il en fait dépend de sa politique : journaux légaux conservés, analyse commerciale agrégée, voire revente à des prestataires marketing dans les pires cas. Les chaînes hôtelières et les aéroports investissent depuis plusieurs années dans des solutions de monétisation du trafic Wi-Fi.

Ce qu'un VPN apporte vraiment dans ce contexte

Maintenant que le tableau est posé, regardons sans complaisance ce qu'apporte concrètement un VPN sur Wi-Fi public.

Ce qu'un VPN n'apporte pas (ou apporte peu). Il n'apporte pas le chiffrement du contenu de vos communications avec les sites — ce chiffrement est déjà fait par HTTPS, et un VPN au-dessus ne le renforce pas. Il ne vous protège pas contre un site de phishing si vous tapez vos credentials dessus volontairement. Il ne patche pas votre système d'exploitation. Il ne vous protège pas contre une faille zero-day dans votre navigateur. Sur ces aspects, l'argumentaire VPN est largement surjoué.

Ce qu'un VPN apporte réellement. Il chiffre l'enveloppe du trafic — pas juste son contenu. Sans VPN, l'opérateur du Wi-Fi voit que vous contactez mabanque.fr, votre-medecin.fr, ou tel site dont la simple visite révèle quelque chose de personnel. Avec un VPN, l'opérateur ne voit qu'un tunnel chiffré vers un serveur VPN. La liste des sites visités, jadis lisible au moins partiellement (DNS, SNI dans certains cas, IP destination), devient invisible. Ce gain de discrétion sur les métadonnées est réel.

Il neutralise la plupart des attaques MITM réseau. Sniffing passif, DNS hijacking, captation par l'opérateur, tentatives d'injection : tout cela vise le trafic en clair ou semi-clair entre votre appareil et Internet. Le tunnel VPN supprime ce périmètre attaquable. L'attaquant voit du chiffré VPN et rien d'autre.

Il protège les protocoles legacy. Si une de vos applications professionnelles utilise encore un protocole non chiffré, le tunnel VPN apporte un chiffrement de transport que l'application elle-même n'a pas. Sur Wi-Fi public, c'est souvent la seule défense réaliste pour ces logiciels datés.

Il ne vous protège pas une fois le tunnel pénétré. Si l'attaquant a réussi à vous faire installer un certificat racine piégé sur votre appareil (scénario rare grand public), ou si votre VPN fuit via WebRTC ou IPv6 mal géré, le tunnel ne tient pas. C'est pourquoi tester son VPN une fois connecté reste utile — notre outil de test de fuite WebRTC couvre le principal vecteur.

Verdict honnête : un VPN sur Wi-Fi public en 2026 est utile, mais pour des raisons différentes de ce que le marketing raconte. Ce n'est pas le bouclier qui empêche le vol de votre mot de passe bancaire — HTTPS le fait déjà. C'est un voile sur vos métadonnées et une protection contre la captation par l'opérateur du réseau. C'est un argument réel mais plus modeste qu'annoncé.

Le cas particulier des smartphones

Les smartphones méritent un mot à part, parce qu'ils ont des spécificités qui changent le calcul.

Les apps mobiles peuvent valider les certificats à leur façon. Une appli bien faite vérifie le certificat du serveur qu'elle contacte (certificate pinning) et refuse toute interception. Une appli mal faite (souvent des apps marketing, certaines apps métiers anciennes) peut ignorer ces vérifications. Sur Wi-Fi public, ces apps deviennent un vecteur d'attaque même si le site web équivalent serait protégé.

Les connexions automatiques sont un risque structurel. Votre téléphone garde la liste des réseaux Wi-Fi auxquels vous vous êtes déjà connecté et tente de s'y reconnecter automatiquement quand il en croise un. Un attaquant qui diffuse un faux réseau au même nom qu'un Wi-Fi public déjà connu (le café près de chez vous, l'aéroport où vous allez régulièrement) peut capter votre téléphone sans aucune action de votre part. La parade : faire le tri régulier dans la liste des réseaux mémorisés, et passer en mode « demander avant de se connecter » sur les Wi-Fi ouverts.

Le partage de connexion 4G/5G est presque toujours plus sûr. Si vous avez de la data mobile, partager la connexion de votre téléphone pour votre ordinateur portable revient à utiliser le réseau de votre opérateur mobile au lieu du Wi-Fi du café. Vous troquez les risques du Wi-Fi public contre les risques (différents et généralement plus faibles) du réseau mobile. C'est une bonne pratique trop peu mentionnée.

Ce qui reste vraiment risqué en 2026

Faisons la liste des scénarios qui justifient encore une vraie vigilance.

Voyager à l'étranger avec un téléphone partiellement à jour. Beaucoup d'utilisateurs voyagent avec des appareils anciens (téléphone de poche pour le voyage, vieux portable familial). Si l'OS n'est plus patché, les vulnérabilités connues sont exploitables sur n'importe quel réseau hostile.

Utiliser des applis professionnelles vieillissantes. Certaines applications métiers (intranets RH, CRM datés, logiciels comptables) communiquent encore en HTTP, en FTP, ou en HTTPS avec des configurations faibles. Sur Wi-Fi public, ces flux sont exposés. Le VPN d'entreprise est la réponse standard, mais beaucoup d'employés en télétravail oublient de l'activer.

Hôtels et chaînes commerciales avec captation systématique. Plusieurs grandes chaînes hôtelières ont déployé des systèmes qui analysent le trafic Wi-Fi des clients à des fins marketing : domaines visités, durée des sessions, profils de navigation agrégés. L'enjeu n'est pas spectaculaire au sens « vol de mot de passe », mais c'est une intrusion systématique dans la vie privée du voyageur — précisément ce qu'un VPN neutralise.

Wi-Fi de conférences techniques et événements professionnels. Contre-intuitivement, ce sont parfois les réseaux les plus à risque : forte concentration d'attaquants potentiels (chercheurs en sécurité, professionnels curieux), atmosphère ludique autour des démonstrations, infrastructure improvisée. Si vous allez à un événement de sécurité, vous savez déjà qu'il faut un VPN ; si vous allez à une conférence métier classique, c'est rarement votre priorité — c'est pourtant un contexte où la vigilance vaut la peine.

Captive portals d'aéroport qui demandent des credentials. Le faux portail Facebook ou Google déguisé en authentification Wi-Fi reste un vecteur de phishing récurrent dans les aéroports et grands lieux de transit. Règle simple : aucun Wi-Fi public légitime ne demande votre mot de passe Google ou Facebook pour vous laisser entrer. S'il le demande, fermez et passez en 4G.

Les bonnes pratiques en 2026, sans paranoïa

Voici une checklist réaliste pour qui se connecte régulièrement à des Wi-Fi publics.

Tenir l'OS et le navigateur à jour. C'est la mesure la plus efficace, et de loin. Un appareil patché est protégé contre 99 % des attaques techniques. Un appareil qui n'a pas été mis à jour depuis un an est vulnérable indépendamment du réseau.

Activer HTTPS-Only dans le navigateur. Firefox : Paramètres > Vie privée > Mode HTTPS uniquement. Chrome : Paramètres > Confidentialité > Toujours utiliser des connexions sécurisées. Safari : activé par défaut depuis 2024. Effet : aucune connexion HTTP n'est tentée silencieusement, ce qui ferme une porte d'attaque résiduelle.

Activer un DNS chiffré (DoH/DoT). Cela contourne le DNS du réseau Wi-Fi et empêche le DNS hijacking. C'est gratuit et ça prend cinq minutes. Sur Android, l'option est dans Paramètres > Réseau > DNS privé (utiliser one.one.one.one pour Cloudflare ou dns.quad9.net pour Quad9). Sur iOS, des apps gratuites le configurent. Sur ordinateur, c'est dans les paramètres réseau ou directement dans le navigateur.

Vérifier le nom exact du Wi-Fi avec le personnel. Demander au serveur du café le nom officiel du réseau prend trois secondes et neutralise complètement les evil twins. C'est la mesure low-tech la plus efficace en zone touristique.

Faire le tri régulier dans les réseaux mémorisés. Sur smartphone, Paramètres > Wi-Fi > Modifier la liste des réseaux connus : supprimer tous les Wi-Fi de passage (hôtels d'il y a deux ans, aéroports visités une fois, restaurants oubliés). Cela empêche la reconnexion automatique à un faux réseau du même nom.

Activer un VPN sérieux pour le contexte. Non pas pour la peur du vol de mot de passe bancaire (HTTPS le fait), mais pour la discrétion sur les métadonnées et la protection contre la captation par l'opérateur du réseau. C'est plus modeste que ce qu'annoncent les pubs, mais c'est utile. Notre comparatif VPN liste les options qui fonctionnent en pratique.

Préférer le partage de connexion 4G/5G quand c'est possible. Pour les usages sensibles (banque, démarches administratives, mail professionnel important), c'est la solution la plus simple et la plus sûre. Le seul coût est la consommation data.

Ne jamais taper de credentials sur un portail captif. Aucun service légitime ne demande votre mot de passe Google, Facebook, Apple ou autre via un Wi-Fi captif. C'est une règle simple à retenir et qui ferme un vecteur de phishing réel.

Tester ce que vous exposez sur Wi-Fi public

Avant et après votre prochaine connexion à un Wi-Fi public, regardez ce qui passe.

FAQ

Le Wi-Fi public est-il plus dangereux que la 4G ? Globalement oui, mais l'écart s'est considérablement réduit. Sur Wi-Fi public, vous êtes exposé à un opérateur que vous ne connaissez pas et à d'autres utilisateurs sur le même réseau. Sur 4G, vous êtes exposé à votre opérateur mobile, qui a des obligations légales claires et un cadre commercial régulé. Pour les usages sensibles, préférer 4G reste un bon réflexe.

Faut-il un VPN si je ne fais que consulter des sites en HTTPS ? Pas pour la sécurité du contenu — HTTPS protège déjà ce que vous échangez avec le site. Le VPN apporte deux choses : la discrétion sur les domaines visités (que voit l'opérateur du Wi-Fi sans VPN) et la protection contre des attaques de manipulation de trafic. Si la première vous indiffère et que vous êtes sur un réseau de confiance (chez vous, chez quelqu'un que vous connaissez), l'utilité est faible. En café, hôtel, aéroport, elle redevient réelle.

Les Wi-Fi avec mot de passe sont-ils plus sûrs que les Wi-Fi ouverts ? Marginalement. Un Wi-Fi avec mot de passe (WPA2 ou WPA3) chiffre la couche réseau entre votre appareil et le routeur, ce qui rend le sniffing passif plus difficile. Mais quand le mot de passe est partagé entre tous les clients (cas d'un café), un autre client peut techniquement déchiffrer votre trafic s'il capture votre négociation initiale. Les protections HTTPS et VPN au-dessus restent indispensables.

Mon banque me prévient quand je me connecte depuis un Wi-Fi public — c'est utile ? La banque détecte un changement d'IP ou de pays, pas la nature du réseau. L'alerte signale juste que vous êtes ailleurs que d'habitude. Si vous êtes effectivement en déplacement, c'est normal. Si vous ne l'êtes pas, c'est un signal d'alerte sérieux.

Le partage de connexion 4G/5G consomme-t-il trop de données ? Pour de la navigation web et du mail, non — un usage normal sur quelques heures représente quelques centaines de mégaoctets. Pour de la vidéo HD, du téléchargement, de la visioconférence longue, oui — vous pouvez consommer plusieurs gigaoctets en peu de temps. Beaucoup de forfaits récents incluent assez de data pour absorber un usage de voyage occasionnel.

Faut-il désactiver le Bluetooth en lieu public ? En 2026, le Bluetooth moderne (BLE) est mieux conçu qu'il y a dix ans, mais des vulnérabilités sortent régulièrement. Désactiver le Bluetooth quand vous ne l'utilisez pas reste une bonne hygiène, sans paranoïa excessive. Le coût est nul, le gain marginal mais réel.

Le mode avion suivi du Wi-Fi est-il plus sûr ? Le mode avion désactive toutes les radios. En le coupant et en activant seulement le Wi-Fi, vous évitez que votre téléphone se connecte à un réseau cellulaire inconnu ou diffuse sur d'autres canaux. C'est une mesure marginale en pratique quotidienne, intéressante seulement pour des contextes sensibles (voyage à l'étranger avec roaming douteux).

Et le VPN de mon entreprise ? Suffit-il sur Wi-Fi public ? Oui pour le trafic professionnel, qui sera tunnelisé via l'entreprise. Mais attention : certains VPN d'entreprise sont en split tunneling, c'est-à-dire qu'ils ne font passer dans le tunnel que les ressources internes de l'entreprise. Votre trafic personnel (navigation, mail perso, banque) reste alors sur le Wi-Fi public en direct. Vérifier la configuration auprès de votre service informatique.

Le Wi-Fi public en 2026 n'est plus le piège brutal qu'il était en 2014. La quasi-généralisation de HTTPS, HSTS et les modes HTTPS-Only dans les navigateurs ont neutralisé la plupart des attaques classiques. Ce qui reste, c'est un risque plus diffus : la captation des métadonnées par l'opérateur du réseau, les evil twins dans les lieux à fort trafic, les portails captifs piégés, et les vulnérabilités sur les appareils mal patchés. Un VPN aide réellement sur plusieurs de ces vecteurs — pas comme l'annonce le marketing (le mot de passe bancaire est déjà protégé), mais comme un voile sur vos métadonnées et une coupure d'attaque pour les MITM réseau.

L'attitude raisonnable n'est ni la peur panique (la pub VPN) ni la décontraction totale (« HTTPS suffit »). C'est la liste sobre : OS à jour, HTTPS-Only activé, DNS chiffré, VPN actif dans les contextes où il aide vraiment, vigilance sur les portails captifs, et basculement vers la 4G quand l'opération est sensible. Cinq minutes de paramétrage, et la plupart des risques résiduels disparaissent. Notre comparatif VPN détaille les options qui tiennent la route dans ce cadre.

← Retour au journal