Wi-Fi public en 2026 : ce qui est vraiment dangereux
Security & Privacy

Wi-Fi public en 2026 : ce qui est vraiment dangereux

La plupart des vieilles mises en garde sur le Wi-Fi public étaient déjà périmées il y a dix ans. Ce que HTTPS protège vraiment, ce qu'il laisse passer, et où se cachent aujourd'hui les vrais risques dans les aéroports et les cafés.

BROWSER.LOL
12.02.2026
Lecture : 20 min
Partager

« Ne tape jamais ton numéro de carte sur le Wi-Fi d'un café. » La phrase a dix ans et continue de traîner dans tous les guides de voyage. Elle dépeint le hacker avec son portable à la table d'à côté en train d'intercepter ton trafic bancaire. En 2011, c'était plausible. En 2026, c'est devenu quasi impossible. Le véritable adversaire sur le Wi-Fi public d'aujourd'hui n'est plus le même, et en général il ne surveille pas ton appareil. Il attend surtout que tu tapes toi-même quelque chose dans le mauvais formulaire.

Faire le tri entre les mythes et les vrais risques en vaut la peine. La plupart des mises en garde s'attaquent à un problème que HTTPS et la sécurité moderne des plateformes ont déjà réglé depuis longtemps. D'autres risques (captive portals, réseaux evil twin, vers qui scannent les appareils) restent bien d'actualité, que tu sois en porte d'embarquement ou chez toi.

Ce que HTTPS gère déjà pour toi

Plus de 95 pour cent du trafic web passe aujourd'hui en HTTPS. Autrement dit, il existe un tunnel chiffré entre ton navigateur et le serveur, qu'un tiers branché sur le même Wi-Fi ne peut pas lire. Tes mots de passe, tes numéros de carte, tes messages, tes mails, tout ça n'est qu'une bouillie binaire illisible pour le hacker à la table d'à côté.

Les navigateurs modernes en rajoutent une couche. Chrome et Firefox te préviennent sur les champs de connexion non chiffrés. HSTS (Strict Transport Security) impose aux sites de confiance de ne s'ouvrir qu'en HTTPS, pour qu'un attaquant ne puisse pas te rabattre en HTTP. DNS-over-HTTPS chiffre jusqu'à la requête qui indique quel site tu es en train d'ouvrir.

Résultat, le grand classique du « man in the middle au café » ne fonctionne plus sur la quasi-totalité des sites normaux. Ce qu'il faut éviter, c'est de passer en force les alertes de certificat. Cliquer sur « Continuer quand même » fait sauter toutes ces protections d'un coup.

Les vrais risques sur le Wi-Fi public

Une icône de signal Wi-Fi avec trois flèches qui partent vers trois icônes de risque : une fausse page de login, un captive portal, et un scan d'appareil

Phishing via captive portal. Les aéroports, hôtels et gares affichent une page d'accueil sur laquelle tu acceptes les conditions du Wi-Fi. Un attaquant rejoue exactement cette page et te demande ton mail, voire les identifiants d'une réservation d'hôtel. Ce n'est pas une attaque technique, c'est de l'ingénierie sociale, et ça marche redoutablement bien parce que personne ne regarde l'URL d'une fenêtre Wi-Fi.

Attaques sur les ports ouverts. Si ton ordinateur ou ton téléphone expose des services (partages de fichiers, imprimantes, SSH), les autres appareils du même Wi-Fi peuvent les voir. La plupart des systèmes basculent automatiquement le Wi-Fi public en « profil public » pour bloquer tout ça, mais désactiver l'option (ou oublier de la remettre) revient à inviter les voisins à venir scanner.

DNS hijacking dans les routeurs bas de gamme. Tous les routeurs de cafés ne sont pas bien configurés. Certains redirigent les requêtes DNS vers des services de filtrage publicitaire, voire vers des serveurs DNS trafiqués. Sans DNS-over-HTTPS, ton appareil peut récupérer la mauvaise IP pour certains domaines.

Identifiants interceptés sur des sites HTTP. C'est devenu marginal, mais certaines applications internes d'entreprise, interfaces web de routeurs ou objets connectés bon marché tournent encore en clair. Si tu t'y connectes depuis un réseau public, autant savoir ce que tu fais.

Les evil twins, et quand ils marchent vraiment

Un evil twin, c'est un point d'accès Wi-Fi qui se fait passer pour un autre (souvent avec le même nom ou un nom très proche, du genre « Starbucks_Free ») et qui émet un signal plus fort, pour que ton appareil s'y accroche tout seul. L'attaquant voit alors tout ce qui passe, ce qui n'a rien de très excitant tant que HTTPS tient.

La variante dangereuse, c'est quand l'evil twin se double d'un captive portal qui te demande d'installer un certificat, ou qui te renvoie sur une fausse page de connexion d'un service connu. À la seconde où tu installes manuellement un certificat fourni par l'attaquant, ton modèle de sécurité TLS s'effondre. Ce genre de demande, tu la refuses sans exception.

Le deuxième cas à risque, ce sont les applications qui valident mal les certificats (pas de pinning, chaînes de confiance système traitées trop souplement). La plupart des grosses apps grand public sont propres aujourd'hui, mais les vieilles applis et les logiciels métier internes le sont rarement.

Où un VPN aide et où il n'aide pas

Un laptop avec un tunnel en pointillés qui sort du symbole Wi-Fi et mène à une icône de serveur

Un VPN fait passer le contrôle de ta connexion du routeur du café à un autre opérateur. C'est pratique quand tu te méfies du réseau local ou que tu veux contourner une restriction géographique. En revanche, il ne remplace pas HTTPS et il n'arrête pas le phishing par captive portal, parce que la page de phishing se trouve en amont du tunnel VPN.

Une session de navigateur isolée vient compléter le VPN quand tu ouvres des sites auxquels tu ne fais pas confiance, ou que tu dois te connecter quelque part en ayant peur d'atterrir sur un captive portal piégé. Le navigateur ne tourne pas sur ton appareil, mais dans le cloud, et il ne te renvoie que l'image. Un certificat falsifié dans un réseau evil twin tape sur le navigateur cloud, pas sur toi. Pour la comparaison complète, va lire Virtual Browsers vs VPNs.

Des règles pratiques qui comptent vraiment

À la place de la vieille liste anxiogène, voici la version courte qui marche vraiment en 2026.

  1. 1

    Laisse le Wi-Fi public en « profil public »

    Pas de partages de fichiers, pas de services à l'écoute. Quand ton système demande, tu réponds « public ».
  2. 2

    Ne passe jamais en force une alerte de certificat

    Si le navigateur t'indique que la connexion n'est pas privée, demi-tour. Aucun réseau public ne vaut un « Continuer quand même » expédié.
  3. 3

    N'installe jamais de certificat Wi-Fi

    Les vrais cafés et aéroports ne te demandent pas ça. Si un portail insiste pour installer une CA, c'est un attaquant.
  4. 4

    VPN pour le quotidien, navigateur isolé pour les connexions sensibles

    Le VPN remonte ton niveau de base face aux réseaux curieux. Pour les connexions sensibles, tu ajoutes un navigateur isolé qui disparaît à la fermeture de l'onglet.

Et si tu avais un vrai bureau, partout, sur n'importe quel appareil ?

Teste Browser.lol gratuitement et retrouve toute la puissance d'un PC, même depuis ton téléphone.

Ouvrir mon bureau virtuel

Rien à installer • Tous les appareils

Adopté par plus de 250 000 pros
Comme un vrai bureau
Prêt en quelques secondes

Derniers articles

Tous les articles
Canvas, WebGL et Audio : les trois fingerprints qui survivent à chaque redémarrage
Sécurité & vie privée

Canvas, WebGL et Audio : les trois fingerprints qui survivent à chaque redémarrage

Effacer les cookies ne change rien à ces trois-là. Comment se construisent les hashes Canvas, les chaînes WebGL et les signatures AudioContext, et pourquoi même Tor en laisse fuiter un.

17.05.2026Lire la suite
Tabnabbing et clickjacking : les attaques d'interface que tu ne vois jamais
Sécurité & vie privée

Tabnabbing et clickjacking : les attaques d'interface que tu ne vois jamais

Certaines attaques de navigateur n'ont pas besoin de malware. Elles redessinent tes onglets en arrière-plan ou cachent un vrai bouton sous un faux, et c'est toi qui livres tes identifiants. Voici comment ces astuces d'UI fonctionnent.

19.03.2026Lire la suite
Wallet drainers Web3 : comment une seule signature vide ta crypto
Sécurité & vie privée

Wallet drainers Web3 : comment une seule signature vide ta crypto

Les wallet drainers ne touchent même pas à ta seed phrase. Ils te font signer une transaction qui transfère tout en un clic. Voici comment l'arnaque fonctionne et comment signer sans tout perdre.

05.03.2026Lire la suite