Télécharger
Retour au blog
Confidentialité··10 min de lecture

Dangers du Wi-Fi public (même avec HTTPS partout)

Langue: EnglishالعربيةDeutschEspañolفارسیहिन्दीBahasa IndonesiaItaliano日本語한국어PolskiPortuguêsРусскийไทยTürkçeУкраїнськаTiếng Việt简体中文繁體中文

Il y a quelques années, le conseil pour utiliser le réseau d'un café était simple et sinistre : supposez que quelqu'un lit votre trafic. Puis HTTPS est devenu la norme presque partout, les navigateurs se sont mis à hurler au sujet des sites en clair, et beaucoup de gens ont discrètement cessé de s'inquiéter.

C'est cette seconde partie qui pose problème. Les dangers du Wi-Fi public n'ont pas disparu avec la victoire de HTTPS — ils se sont déplacés. L'espion passif qui interceptait jadis votre mot de passe Gmail dans les airs a été en grande partie évincé pour des raisons de coût. Ce qui reste est plus intéressant, plus ciblé et plus difficile à remarquer parce que l'icône du cadenas fait paraître tout normal.

Cet article passe en revue ce que HTTPS a réellement réglé, ce qu'il n'a pas réglé, et la poignée d'habitudes qui changent vraiment votre exposition sur les réseaux qui ne vous appartiennent pas.

Ce que HTTPS a réellement résolu

Rendons à César ce qui est à César. HTTPS — la version chiffrée du protocole web — a bel et bien réglé la version la plus grosse et la plus bête du problème du Wi-Fi public.

En 2014, quelqu'un sur le même réseau d'aéroport que vous pouvait lancer un outil gratuit, regarder votre navigateur charger Facebook et repartir avec votre cookie de session. Cette catégorie d'attaque est en grande partie morte. La combinaison de HTTPS par défaut, de HSTS (un indicateur qui dit aux navigateurs « ne charge plus jamais ce site en HTTP simple ») et de règles de cookies plus strictes fait que l'écoute passive ordinaire des sites grand public ne rapporte plus grand-chose.

Si votre modèle de menace est « je ne veux pas qu'un ado qui s'ennuie trois tables plus loin lise mes e-mails », HTTPS vous a mené à bon port.

C'est le modèle de menace d'un cran au-dessus qui devient plus honnête.

Ce que HTTPS ne couvre pas

HTTPS chiffre le contenu de votre connexion vers un serveur précis. Il ne protège pas les étapes qui précèdent l'établissement de cette connexion, et il ne vous protège pas de vous-même quand quelque chose paraît légèrement de travers. Voilà où vivent encore les dangers du Wi-Fi public.

Injection par portail captif

La page « accepter nos conditions » qui surgit sur le Wi-Fi d'hôtel et d'aéroport s'appelle un portail captif. Pour fonctionner, le réseau doit intercepter votre première requête web et la rediriger vers l'endroit de son choix. C'est un homme du milieu par conception. Autorisé, mais tout de même un homme du milieu.

Un portail captif bien géré est inoffensif. Un portail mal géré (ou délibérément hostile) peut vous servir du JavaScript, pousser de fausses mises à jour logicielles, ou profiler discrètement chaque appareil qui se connecte. Votre téléphone affiche souvent le portail dans un navigateur allégé sans la barre d'adresse complète, ce qui rend plus difficile de savoir ce que vous regardez réellement.

Détournement de DNS sur des résolveurs faibles

Quand vous tapez bank.com, votre appareil demande au résolveur DNS du réseau « quelle est l'adresse IP correspondante ? » Sur un réseau public, ce résolveur est géré par celui qui possède le point d'accès.

Un résolveur mal configuré ou malveillant peut mentir. Il peut vous envoyer vers un serveur qui n'est pas votre banque, puis présenter son propre certificat. Les navigateurs modernes vous avertiront — mais seulement si le certificat est erroné, et seulement si vous lisez l'avertissement au lieu de cliquer pour passer outre.

SSL stripping sur des sites mal configurés

Le SSL stripping est une vieille astuce qui fonctionne encore dans des cas étroits. L'attaquant se place entre vous et le site que vous essayez d'atteindre. Vous tapez example.com (sans le préfixe https://), le réseau l'intercepte, va chercher lui-même la vraie page HTTPS, et vous sert une copie en HTTP simple.

Les sites qui utilisent le préchargement HSTS sont immunisés. Ceux qui ne le font pas (généralement des services plus petits, des outils internes, ou tout ce que vous atteignez via un vieux signet) ne le sont pas. La barre d'adresse affichera discrètement http://au lieu de l'icône du cadenas, et la plupart des gens ne regardent pas.

Points d'accès pirates et Evil Twins

C'est celui qu'il vaut la peine de bien comprendre, car il contourne la plupart des défenses ci-dessus.

Votre téléphone retient les réseaux. Quand il voit une balise (un petit paquet diffusé qui annonce un nom de Wi-Fi) qui correspond à un réseau rejoint auparavant, il peut s'y connecter automatiquement. Un attaquant équipé de matériel grand public peut diffuser une balise prétendant être Starbucks WiFi ou Hotel Guest, envoyer une trame de désauthentification pour éjecter votre téléphone du réseau légitime, et regarder votre appareil basculer vers le sien sans que vous ne touchiez à rien.

À partir de là, l'attaquant est le réseau. Il contrôle le DNS. Il gère le portail captif. Il voit quelles applications de votre appareil tentent d'atteindre quels serveurs, même si le contenu est chiffré. Il peut servir ses propres pages de portail captif, tenter le SSL stripping sur tout ce qui n'est pas préchargé, et demander des identifiants dans ce qui ressemble à un flux de connexion normal.

Le nom technique est « evil twin », et la partie silencieuse est que rien ne vous avertit que cela se produit. Votre téléphone affiche simplement l'icône Wi-Fi familière.

Accoutumance aux avertissements de certificat

Les navigateurs sont devenus bons aux avertissements. Les utilisateurs sont devenus bons à les ignorer.

Quand vous voyez un avertissement de certificat rouge en plein écran, cela signifie presque toujours que quelque chose ne va pas avec la connexion. Parfois de façon bénigne (un certificat expiré), parfois non (un homme du milieu actif). La bonne réaction est de ne pas cliquer pour passer outre. En pratique, des années de réseaux d'entreprise mal configurés ont entraîné les gens à marteler le bouton « continuer quand même » sans lire.

Sur le réseau d'un café, ce bouton peut être l'attaque tout entière.

Comment fonctionne réellement une attaque Evil-Twin

Si vous voulez une image concrète de la façon dont tout cela s'agence, l'attaque evil-twin est l'exemple le plus clair.

L'attaquant apporte un ordinateur portable ou un petit appareil portatif dans un café. Il exécute un logiciel qui fait trois choses dans l'ordre.

D'abord, il scanne les ondes à la recherche des réseaux Wi-Fi proches et note le nom (le SSID) du réseau légitime. Disons que c'est Cafe Guest. Il se met alors à diffuser ses propres trames de balise avec le même nom, souvent à une puissance plus élevée pour que les appareils le préfèrent.

Ensuite, il envoie des trames de désauthentification aux clients déjà connectés au vrai réseau. Les trames de désauth font partie normale du fonctionnement du Wi-Fi — elles disent à un appareil « tu as été déconnecté, reconnecte-toi. » Sur la plupart des réseaux, elles ne sont pas authentifiées, ce qui veut dire que n'importe qui peut les envoyer. Les téléphones du vrai réseau sont éjectés et cherchent où se reconnecter.

Enfin, l'attaquant présente un portail captif. Il peut demander un e-mail et un mot de passe « pour accéder au Wi-Fi gratuit ». Il peut imiter la page de connexion de l'hôtel. Il peut simplement vous laisser passer en silence, acheminer votre trafic via sa propre connexion, et tout journaliser. Du point de vue de votre téléphone, vous êtes en ligne. Du point de vue de l'attaquant, il est désormais votre fournisseur d'accès.

La défense n'est pas de lire les en-têtes de paquets. C'est de rendre l'attaque sans intérêt — en ne rejoignant pas automatiquement les réseaux inconnus, en acheminant votre trafic sensible via quelque chose que le réseau local ne peut pas voir, et en ne saisissant pas d'identifiants sur des pages vers lesquelles vous n'avez pas délibérément navigué.

Le Wi-Fi public est-il sûr en 2026 ?

Réponse honnête : assez sûr pour la plupart des choses, pas assez sûr pour tout.

Lire les actualités, chercher une recette, faire défiler les réseaux sociaux — aucun problème. Le coût de se tromper sur ce trafic est faible et les protections des navigateurs modernes sont réelles.

Se connecter à votre banque, accéder à un panneau d'administration professionnel, approuver un virement, ou vous inscrire à un nouveau service qui vous envoie un code de récupération par SMS — ce sont des moments à plus forte valeur où l'écart entre « probablement bien » et « assurément bien » compte. La réponse la moins coûteuse pour combler cet écart est de ne pas les faire sur des réseaux que vous ne contrôlez pas.

Cinq mesures concrètes

Aucune ne demande de penser aux trames de paquets. Ce sont des habitudes.

  1. Désactivez la connexion automatique aux réseaux inconnus.Sur iPhone, cela se trouve sous Réglages → Wi-Fi → Connexion auto au partage, et par réseau sous Wi-Fi → (nom du réseau) → Connexion auto. Le but est de faire en sorte que votre appareil vous demande avant de rejoindre quelque chose portant un nom familier. Consultez notre tutoriel de configuration d'un VPN sur iPhone pour les étapes connexes.
  2. Privilégiez les données cellulaires ou votre propre partage de connexion quand c'est possible.Une connexion 5G n'est pas parfaitement privée, mais elle a un opérateur unique et responsable, et il n'existe pas de moyen facile pour un inconnu de s'insérer au milieu. Pour tout ce qui est sensible en voyage, le partage de connexion de votre téléphone est généralement une meilleure réponse que le réseau de l'hôtel.
  3. Utilisez un VPN pour les moments qui comptent.Un VPN, abréviation de réseau privé virtuel, achemine votre trafic via un tunnel chiffré vers un serveur en qui vous avez confiance, si bien que le réseau local ne voit que cette seule connexion et rien sur sa destination. Cela neutralise la plupart des catégories ci-dessus : le portail captif peut toujours vous importuner, mais il ne peut pas voir vos requêtes DNS, ne peut pas faire de SSL stripping sur les sites que vous visitez, et ne peut pas profiler les applications que vous utilisez. Si l'idée est nouvelle pour vous, notre introduction sur ce qu'est réellement un VPN couvre les bases, et notre guide des VPN en déplacement entre dans les détails. Snap est une option bâtie autour de cette posture, mais l'habitude plus large compte davantage que la marque.
  4. Ne passez jamais outre les avertissements de certificat sur les réseaux publics. Si vous voyez un avertissement de navigateur en plein écran au sujet d'un certificat, fermez l'onglet. Sur votre réseau domestique, c'est presque toujours un site mal configuré ; sur le Wi-Fi d'un café, il pourrait y avoir quelqu'un activement au milieu. Le coût de se tromper est assez élevé pour que « réessayer plus tard » soit la bonne règle par défaut.
  5. Gardez les connexions et transactions sensibles pour les réseaux de confiance. La banque, les réinitialisations de mot de passe, tout ce qui implique un code de récupération ou un flux à deux facteurs — cela vaut la petite friction d'attendre d'être de retour en cellulaire ou sur le Wi-Fi de la maison. Le gain de confort à les faire à l'aéroport ne vaut pas l'asymétrie de ce qui peut mal tourner.

Ce qu'un VPN corrige et ne corrige pas

Il y a beaucoup de bruit sur ce point, alors il vaut la peine d'être précis.

Un VPN corrige bien :

  • La capacité du réseau local à voir vos requêtes DNS
  • Le SSL stripping (votre trafic ne traverse pas le réseau hostile en clair)
  • Le profilage par portail captif une fois que vous avez franchi le portail captif
  • La capacité d'un point d'accès pirate à apprendre quoi que ce soit d'utile sur votre activité

Un VPN ne corrige pas :

  • Un avertissement de certificat que vous passez outre quand même
  • Les pages d'hameçonnage sur lesquelles vous vous connectez activement
  • Un logiciel malveillant déjà présent sur votre appareil
  • Le fait que les sites web que vous visitez peuvent toujours vous identifier via les comptes et les cookies

C'est un outil tranchant pour une catégorie précise de dangers du Wi-Fi public. Ce n'est pas un bouclier magique, et les produits qui le vendent comme tel survendent ce qu'il fait. Notre tour d'horizon des idées reçues courantes sur les VPNapprofondit davantage l'écart entre le marketing et la réalité.

En résumé

HTTPS a résolu la version facile du problème. La version plus difficile, la couche sous la connexion où vivent le DNS, les portails captifs et les points d'accès pirates, reste en grande partie invisible jusqu'à ce que quelque chose tourne mal.

Vous n'avez pas besoin de devenir ingénieur réseau pour être raisonnable à ce sujet. Désactivez la connexion automatique, soyez sceptique face aux portails captifs, ne passez pas outre les avertissements de certificat, et utilisez les données cellulaires ou un VPN quand les enjeux sont réels.

Si vous voulez que la partie VPN soit gérée proprement sur iOS — aucun e-mail à l'inscription, aucun journal de trafic, abonnement facturé discrètement via votre Apple ID — Snapest bâti exactement autour de cette posture. macOS est en chemin. Quoi qu'il en soit, le plus important n'est pas l'application que vous installez ; c'est que vous cessiez de traiter le réseau du café comme s'il était le vôtre.

The Snap VPN Team
Editorial