Les vrais risques du Wi-Fi public en 2026

Imaginez que vous êtes dans un café et que vous vous connectez au Wi-Fi gratuit pour consulter votre courrier électronique. Vous tapez votre identifiant et votre mot de passe. À quelques mètres de là, quelqu'un d'autre est aussi connecté au même réseau. Peut-il voir votre mot de passe s'afficher sur son écran ? La réponse vous surprendra probablement : en 2026, non, presque certainement pas. Mais cela ne signifie pas que le Wi-Fi public soit sans risque. Les menaces réelles sont plus subtiles et plus intéressantes que le scénario classique du vol de mot de passe en texte brut. Pourquoi les mots de passe ne sont généralement plus visibles Aujourd'hui, la majorité des sites web utilisent le protocole HTTPS, qui fonctionne comme une enveloppe scellée pour votre communication. Lorsque vous vous connectez à votre courrier électronique, votre navigateur établit d'abord un canal chiffré avec le serveur — une handshake cryptographique — avant même d'envoyer votre mot de passe. Quelqu'un qui écouterait sur le réseau Wi-Fi verrait du trafic brouillé et inintelligible, pas vos identifiants. C'est un progrès majeur par rapport à il y a dix ans, quand le HTTP non chiffré était courant. Cependant, cette amélioration ne rend pas le Wi-Fi public complètement sûr. Elle ferme une porte, mais en laisse d'autres ouvertes. Les points d'accès rogue : quand le Wi-Fi que vous voyez n'est pas celui que vous pensez L'une des menaces les plus sournois du Wi-Fi public est le point d'accès rogue, ou plus précisément, un imposteur portant le même nom que le Wi-Fi légitime. Imaginons que vous êtes dans un aéroport et que vous voyez deux réseaux listés : « AirportWiFi » et « AirportWiFi-Secure ». Lequel est le vrai ? Si vous choisissez mal, vous vous connectez directement à un appareil controlé par un attaquant. Cette personne voit alors tout ce qui se passe sur votre appareil — non pas parce qu'elle intercepte vos mots de passe HTTPS, mais parce qu'elle est le serveur auquel vous vous adressez. Elle peut voir les sites que vous visitez, modifier les contenus avant qu'ils n'arrivent à votre navigateur, ou installer des certificats malveillants pour déchiffrer le trafic HTTPS lui-même. C'est un scénario qui ne dépend pas de vulnérabilités techniques complexes : il exploite simplement la confiance que nous accordons aux noms de réseau. Les portails captifs et l'hameçonnage Lorsque vous vous connectez à un Wi-Fi public, vous voyez parfois une page de connexion : c'est ce qu'on appelle un portail captif. En théorie, ce portail authentifie les utilisateurs et applique les conditions d'utilisation. En pratique, il est aussi un point d'entrée pour l'hameçonnage. Un attaquant peut créer un faux portail qui demande votre adresse e-mail et votre mot de passe « pour accéder au Wi-Fi », alors qu'en réalité il collecte vos identifiants. Le site que vous voyez ressemble au portail légitime — logos copiés, mise en page similaire — mais dirige les données ailleurs. Une fois que vous avez fourni vos identifiants, l'attaquant peut les utiliser pour accéder à d'autres services si vous utilisez le même mot de passe partout. Les métadonnées : où vous allez compte autant que ce que vous dites Même si vos mots de passe sont chiffrés et même si vous êtes connecté au bon réseau, quelqu'un d'autre sur ce Wi-Fi peut voir quels sites vous visitez, sans voir le contenu de vos communications. Comment ? Par les métadonnées, c'est-à-dire les informations de routage : l'adresse IP du serveur, le nom de domaine, les adresses de destination. Imaginez une enveloppe scellée : quelqu'un peut voir l'adresse du destinataire écrite sur l'enveloppe sans savoir ce qu'il y a dedans. Cela signifie que votre voisin au café peut voir que vous visitez un site de santé, un forum d'aide psychologique, ou un site d'information d'une certaine tendance politique — sans voir les pages précises ou lire vos messages. Ces métadonnées révèlent vos habitudes et vos préoccupations. Les applications qui ignorent le chiffrement Nous parlons beaucoup de navigateurs web, mais vous utilisez aussi d'autres applications : messagerie instantanée, banque mobile, applications de streaming. Certaines de ces applications, particulièrement les plus anciennes ou mal maintenues, ne chiffrent pas leurs communications, ou utilisent un chiffrement faible. Une application qui envoie les données en texte brut sur le réseau expose vos communications complètement — qu'il s'agisse de messages, de transactions, ou de données sensibles. C'est moins courant aujourd'hui qu'il y a dix ans, mais loin d'être impossible. Vous ne saurez généralement pas si une application est vulnérable simplement en l'utilisant. La piraterie sociale : le vrai risque que personne ne mention jamais Enfin, il y a la piraterie sociale : quelqu'un qui s'assoit à côté de vous pour voir ce que vous tapez, ou qui jette un œil à votre écran. Aucune technologie ne peut vous protéger contre cela. C'est pourquoi la conscience situationnelle — savoir qui est autour de vous, protéger la visibilité de votre écran — reste fondamentale. Ce qu'un VPN peut et ne peut pas faire Un VPN, ou réseau privé virtuel, chiffre tout le trafic entre votre appareil et un serveur VPN distant, avant qu'il ne quitte votre appareil. Cela ferme certaines failles : les métadonnées de site et le trafic des applications non chiffrées deviennent inintelligibles pour les autres utilisateurs du Wi-Fi. Cependant, un VPN ne protège pas contre les points d'accès rogue — si vous vous connectez au mauvais réseau, l'attaquant vous voit dès le début. Un VPN ne vous protège pas non plus contre l'hameçonnage : si vous entrez vos identifiants sur un faux portail, ils sont compromis, chiffrement ou non. Et un VPN transfère simplement la confiance : au lieu de faire confiance à votre fournisseur d'accès Internet pour ne pas espionner votre trafic, vous faites confiance au fournisseur VPN. Ce n'est pas mauvais — c'est souvent un meilleur choix — mais c'est un échange, pas une solution universelle. En résumé : le Wi-Fi public en 2026 n'est pas aussi dangereux qu'on le prétend souvent, mais il présente des risques réels et nuancés. HTTPS a résolu le problème du vol de mot de passe en texte brut, mais les menaces qui restent — points d'accès rogue, hameçonnage, exposition des métadonnées — exigent de la vigilance, pas seulement de la technologie. Un VPN aide, mais c'est un outil imparfait dans une boîte à outils qui inclut aussi le bon sens, la vérification des noms de réseau, et l'attention à ce qui se passe autour de vous. Si vous voulez creuser davantage, explorez comment fonctionne le chiffrement HTTPS, ce qu'est réellement une adresse IP, et la différence entre le chiffrement en transit et le chiffrement des données au repos.