Wi-Fi public : la paranoïa raisonnable

En 2015, la conférence Defcon montrait comment intercepter les sessions Wi-Fi en quelques secondes. En 2025, 95% du trafic web est en HTTPS. La menace existe encore, mais elle a radicalement changé de forme.

Le piège habituel — les deux erreurs symétriques

Il y a deux erreurs opposées, et les deux sont fréquentes.

L’ancienne erreur : “Le Wi-Fi public est mortellement dangereux, n’utilisez jamais un café pour travailler.” Cette peur est en grande partie dépassée. Elle date d’une époque où la majorité du trafic web transitait en clair. Ce n’est plus le cas.

La nouvelle erreur : “HTTPS est généralisé, le Wi-Fi public est sans danger.” Non. HTTPS a considérablement réduit la surface d’attaque, mais des menaces réelles et exploitables subsistent. Les sous-estimer est aussi dangereux que de surestimer les anciennes.

La position correcte est au milieu : comprendre précisément ce qui est protégé, ce qui ne l’est pas, et adapter son comportement en conséquence plutôt que d’appliquer des règles absolues dans un sens ou dans l’autre.

Ce que HTTPS a vraiment changé

Avant la généralisation de HTTPS (disons avant 2018 pour la masse critique), un attaquant sur le même réseau Wi-Fi pouvait :

• Lire le contenu exact de vos pages web en clair
• Intercepter vos identifiants et mots de passe en clair
• Injecter du code malveillant dans les pages que vous visitiez
• Capturer vos cookies de session et usurper votre identité sur les services

Avec HTTPS généralisé, tout ce contenu est chiffré de bout en bout entre votre navigateur et le serveur. Un attaquant qui intercepte votre trafic sur le Wi-Fi du café voit du bruit chiffré. Il ne peut pas lire votre email. Il ne peut pas voler votre mot de passe Gmail si vous vous connectez via HTTPS.

C’est un progrès massif et réel. Envoyer un email professionnel depuis le Wi-Fi d’un hôtel, en HTTPS, ne compromet pas le contenu de cet email. C’est une réalité, pas une approximation.

Les vraies menaces résiduelles

Mais HTTPS ne protège pas contre tout. Voici les vecteurs qui restent concrets en 2026.

Captive portals malveillants. Quand vous vous connectez à un Wi-Fi d’hôtel ou d’aéroport, vous arrivez souvent sur une page captive — une page de bienvenue qui vous demande d’accepter des conditions ou d’entrer un code. Cette page est servie en HTTP, sans HTTPS. Un réseau malveillant peut présenter une page captive contrefaite pour vous voler vos identifiants (si la page demande un login email/mot de passe) ou pour vous faire installer un “certificat de sécurité” qui permet ensuite d’intercepter votre trafic HTTPS.

DNS spoofing. Si vous n’utilisez pas DoH ou DoT (voir l’article dédié), le réseau peut rediriger vos requêtes DNS. Vous tapez gmail.com, le résolveur malveillant vous envoie vers une fausse page. Avec HTTPS, votre navigateur devrait afficher une alerte de certificat invalide — mais beaucoup d’utilisateurs cliquent “continuer quand même”.

Evil twin / rogue access point. Un attaquant crée un point d’accès Wi-Fi avec le même SSID qu’un réseau connu (“Airport_Free_WiFi”, “HotelGuest”). Votre appareil, s’il a mémorisé ce réseau, peut s’y connecter automatiquement. Sur ce réseau contrôlé par l’attaquant, le DNS spoofing et les captive portals malveillants sont triviaux.

ARP poisoning / Man-in-the-Middle. Sur un réseau local non segmenté, l’empoisonnement ARP permet de rediriger le trafic d’un autre client à travers la machine de l’attaquant. Avec HTTPS, l’attaquant ne peut pas déchiffrer le contenu — mais peut forcer des downgrades HTTP sur des sites qui ne supportent pas HSTS, ou mener des attaques de stripping SSL sur des implémentations défaillantes.

Applications mobiles non sécurisées. Certaines apps font encore des appels HTTP en clair en 2026, notamment pour des API internes, des analytics, ou des mises à jour. Ces flux sont vulnérables à l’interception sur un Wi-Fi partagé.

Traffic fingerprinting. Même avec VPN et HTTPS, un observateur passif sur le réseau peut analyser les patterns de timing, les volumes de paquets, et les séquences pour inférer des informations sur votre activité. C’est une attaque sophistiquée — pertinente pour les profils vraiment exposés, pas pour l’utilisateur business standard.

Ce qui reste vulnérable même en HTTPS

WPA2-PSK partagé. Le Wi-Fi d’un hôtel ou d’un café qui donne un mot de passe unique à tous ses clients utilise WPA2-PSK (Pre-Shared Key). Techniquement, un client qui connaît ce mot de passe peut déchiffrer le trafic WPA2 des autres clients s’il a capturé la poignée de main d’association. C’est plus compliqué avec WPA3 (SAE), mais WPA3 reste minoritaire dans les déploiements hôteliers en 2026.

Applications non HTTPS. Certains logiciels professionnels anciens, certains protocoles mail (IMAP/POP3/SMTP sans TLS explicite), certains outils internes d’entreprise font encore du trafic non chiffré. Sur un Wi-Fi partagé, ce trafic est exposé.

HSTS non implementé. Des sites en HTTPS qui n’utilisent pas HSTS (HTTP Strict Transport Security) peuvent être downgraded vers HTTP par un attaquant SSLstrip. Les navigateurs modernes ont des listes HSTS préchargées pour les grands services, mais des sites moins courants sont vulnérables.

Routine pragmatique par niveau

Niveau 1 — Pour tout le monde :

• Vérifiez systématiquement le cadenas HTTPS dans la barre d’adresse avant d’entrer un identifiant
• Ne jamais entrer un mot de passe sur une page captive portal
• Désactivez la connexion automatique aux réseaux Wi-Fi connus (réglage souvent activé par défaut)
• Préférez votre partage de connexion 4G/5G pour les sessions impliquant des données sensibles

Niveau 2 — Business, données sensibles :

• VPN actif avant de vous connecter à tout Wi-Fi public (pas après — l’IP est déjà exposée)
• DNS via DoH ou DoT configuré au niveau système
• Désactivez le Wi-Fi quand vous ne l’utilisez pas (empêche le probing des réseaux mémorisés et le tracking Wi-Fi par les réseaux commerciaux)
• Vider les réseaux Wi-Fi mémorisés régulièrement

Niveau 3 — Profil exposé, mission sensible :

• Ne jamais utiliser le Wi-Fi public pour les sessions vraiment sensibles
• Partage de connexion 4G/5G exclusivement, ou eSIM locale
• Si Wi-Fi d’entreprise ou de confiance requis : VPN vers infrastructure contrôlée + DNS interne

Ce qui ne marche pas comme vous le pensez

“L’hôtel 5 étoiles est plus sûr qu’un café.” Pas forcément. Les grands hôtels sont des cibles attractives pour compromettre leur infrastructure Wi-Fi (nombreux clients, profils intéressants). La qualité de la sécurité réseau d’un hôtel n’a aucun rapport avec son nombre d’étoiles.

“Le réseau a un mot de passe, c’est sécurisé.” Un réseau WPA2 avec un mot de passe partagé entre des centaines de clients est, techniquement, presque aussi vulnérable qu’un réseau ouvert — tous les clients qui connaissent le mot de passe peuvent théoriquement déchiffrer le trafic des autres.

“J’active le VPN si je vais sur des sites importants.” Trop tard. Votre IP réelle est déjà visible depuis votre connexion initiale. Et votre appareil a peut-être déjà fait des requêtes DNS avant l’activation du VPN.

• N1 Vérifier le cadenas HTTPS avant d'entrer un identifiant sur n'importe quelle page
• N1 Ne jamais entrer des credentials (email + mot de passe) sur une page captive portal
• N2 Désactiver la connexion automatique aux réseaux Wi-Fi mémorisés
• N2 Activer le VPN AVANT de se connecter à un Wi-Fi public
• N2 Configurer DoH ou DoT au niveau système (voir l'article DNS)
• N2 Désactiver le Wi-Fi quand il n'est pas utilisé (économie batterie + vie privée)
• N3 Pour les données sensibles : utiliser exclusivement le partage de connexion mobile
• N2 Purger régulièrement la liste des réseaux Wi-Fi mémorisés
• N3 En mission : ne jamais utiliser le Wi-Fi d'hôtel pour les sessions stratégiques