Le Wi-Fi public (café, hôtel, aéroport) est-il sûr ?

Réponse rapide

En 2026, le Wi-Fi public est bien plus sûr qu'autrefois parce que presque tous les sites utilisent le chiffrement HTTPS — donc votre banque, votre messagerie et vos applis se protègent déjà toutes seules quel que soit le réseau — mais il reste prudent d'éviter de se connecter à quoi que ce soit de vraiment sensible depuis un point d'accès public que vous ne pouvez pas vérifier.

Ce que ce n'est PAS

Le Wi-Fi public n'est PAS le risque catastrophique qu'il était il y a 10 ou 15 ans — l'époque où quelqu'un avec un ordinateur dans un café pouvait sniffer votre mot de passe en clair est largement révolue grâce à la généralisation d'HTTPS. Et « j'ai utilisé le Wi-Fi du café donc il me faut un VPN » n'est PAS une vérité générale : un VPN ajoute de la confidentialité face au café et à votre opérateur, pas de protection face aux sites ou applis que vous utilisez.

Pour aller plus loin

Le Wi-Fi public est le terme générique pour tout réseau que vous ne contrôlez pas : café, hôtel, aéroport, salon, maison d’un ami, Wi-Fi invités d’entreprise. Le portrait honnête en 2026, c’est que la menace a fondu de façon spectaculaire depuis le milieu des années 2010, surtout grâce à un changement structurel : presque tous les sites légitimes utilisent désormais HTTPS, qui chiffre votre trafic entre votre appareil et le site, indépendamment de qui exploite le réseau entre les deux.

Concrètement, ce qui a changé :

  • 2010-2015 : beaucoup de sites étaient encore en HTTP, les mots de passe partaient en clair, « Firesheep » et outils similaires rendaient le sniffing en café trivial. Le conseil « ne vous connectez à rien sur Wi-Fi public » de cette époque était juste et important.
  • 2016-2020 : Let’s Encrypt s’est lancé, Chrome et Firefox ont commencé à alerter les utilisateurs sur les sites HTTP, l’industrie a poussé HTTPS par défaut. La couverture est passée de minoritaire à massivement majoritaire.
  • 2020-2026 : HTTPS est partout. Les navigateurs avertissent ou bloquent HTTP. L’ancienne attaque de sniffing au café ne fonctionne plus sur aucun site moderne.

Ce qui compte vraiment encore sur Wi-Fi public en 2026 :

  1. Les jumeaux maléfiques. Quelqu’un crée un point d’accès au même nom que le vrai (Starbucks_Free, Aeroport_WiFi, Hilton_Guest). Votre appareil le rejoint en automatique. L’attaquant est alors le réseau et peut faire passer un phishing par portail captif, vous rediriger vers de fausses pages, etc. Défense : pas d’auto-connexion aux réseaux inconnus ; vérifier le vrai SSID sur l’affichage officiel du lieu, pas sur une feuille manuscrite.
  2. Les portails captifs. La page « accepter les conditions / se connecter au réseau ». La plupart sont légitimes mais ils sont un canal récurrent de phishing et de sur-collecte de données personnelles. À traiter comme un inconnu qui demande des informations — donner le minimum.
  3. Le shoulder-surfing et la capture d’écran. La personne à la table d’à côté peut voir votre écran. C’est bien plus facile et fiable que n’importe quelle attaque réseau. Utiliser un filtre de confidentialité pour le travail vraiment sensible.
  4. Le DNS non fiable. Le réseau d’un café peut répondre aux requêtes DNS par de fausses réponses (vous envoyant sur une fausse banque au lieu de la vraie). HTTPS attrape la version la plus évidente (le certificat ne correspondra pas) mais évitez quand même de vous connecter à votre banque ou à votre gestionnaire de mots de passe depuis un Wi-Fi non vérifié.

Ce qui ne compte plus vraiment (malgré le marketing) :

  • L’ancienne attaque « sniffer votre mot de passe dans les airs ». HTTPS l’a brisée.
  • « Les pirates sur le Wi-Fi peuvent installer un malware sur votre téléphone juste parce que vous êtes sur le même réseau. » C’était déjà rare ; les défenses modernes au niveau OS l’ont rendu plus rare encore.
  • « N’importe qui sur le Wi-Fi du café peut lire vos e-mails. » Pas sur Gmail, iCloud, Outlook.com, Proton — tous en HTTPS par défaut.

Réflexes pratiques 2026 :

  • Tout ce qui est vraiment sensible (banque, coffre maître du gestionnaire de mots de passe, outils pro qui vous gêneraient d’être faits au café) — préférer le partage de connexion en cellulaire, ou attendre d’être sur un réseau de confiance.
  • Désactiver l’auto-connexion aux réseaux nommés « Free Wi-Fi », « Airport », etc. iOS : Réglages → Wi-Fi → toucher le réseau → désactiver « Se connecter automatiquement ». Android : équivalent dans les réseaux enregistrés.
  • Oublier les réseaux Wi-Fi d’hôtel et de salon en partant, pour que votre téléphone ne tente pas de rejoindre un jumeau maléfique du même nom plus tard.
  • Un VPN (voir VPN) ajoute de la confidentialité face au lieu et à l’opérateur, pas de protection face aux sites eux-mêmes. Utile pour du travail sensible dans des lieux inconnus, pas une exigence stricte.
  • HTTPS / le cadenas (voir l’entrée) reste le signal unique le plus important — et il fait son travail de la même façon sur n’importe quel réseau.

Résumé honnête : le Wi-Fi public en 2026 est un non-sujet pour la navigation normale sur HTTPS, une préoccupation modérée pour les portails captifs piégés et les jumeaux maléfiques, et un vrai sujet uniquement si vous vous connectez à quelque chose de vraiment sensible sur un réseau que vous ne pouvez pas vérifier. La menace a évolué ; le conseil aussi.

On nous pose aussi

Peut-on me voler mon mot de passe si j'utilise le Wi-Fi du café ? +

Très improbable en 2026, si le site sur lequel vous vous connectez utilise HTTPS — et c'est le cas de quasiment tous les sites légitimes. Toute l'attaque « le type avec Wireshark dans le coin » fonctionnait quand les sites étaient encore en HTTP et que les mots de passe passaient en clair. Le HTTPS moderne rend ce même trafic indéchiffrable. La menace réaliste au café tient plus du shoulder-surfing (quelqu'un qui lit votre écran) que de la capture de paquets.

C'est quoi l'attaque du « jumeau maléfique » Wi-Fi ? +

Un attaquant met en place un point d'accès Wi-Fi portant le même nom qu'un vrai — « Starbucks_Free_WiFi », « AirportWiFi », « Hilton_Guest » — parfois avec un signal plus fort que l'original. Votre téléphone ou ordinateur, qui s'est déjà connecté à ce nom, rejoint automatiquement. À partir de là, l'attaquant est le réseau et peut présenter une fausse page de connexion (« veuillez ressaisir votre numéro de chambre ») ou tenter de vous pousser vers des pages non-HTTPS. Défense : désactiver la connexion automatique aux réseaux ouverts, regarder le vrai nom du réseau sur l'affichage officiel de l'hôtel, et traiter toute page « reconnectez-vous » avec méfiance.

Faut-il un VPN sur le Wi-Fi du café ou de l'hôtel ? +

Utile mais pas indispensable. Un VPN cache au café et à votre opérateur les sites que vous visitez. Il n'ajoute pas de protection par-dessus ce qu'HTTPS donne déjà. Si vous êtes sur le Wi-Fi d'un hôtel dans un pays à forte surveillance réseau, ou si vous voulez de la confidentialité face au lieu lui-même, un VPN est raisonnable. Pour un Wi-Fi de café normal en 2026, le bénéfice pratique est modeste.

La connexion cellulaire de mon téléphone est-elle plus sûre que le Wi-Fi ? +

En général oui. Les réseaux cellulaires (4G / 5G) sont chiffrés entre votre téléphone et l'antenne, l'opérateur est au moins soumis à la régulation télécom, et la surface d'attaque est bien plus restreinte que « celui qui exploite ce point Wi-Fi ». Si vous avez de la data sur votre forfait et de la batterie, partager la connexion depuis votre téléphone est un défaut plus sûr que de se brancher sur un Wi-Fi public inconnu pour quoi que ce soit de sensible.

Et le Wi-Fi filaire d'hôtel ou le Wi-Fi « invités » d'entreprise ? +

Légèrement plus sûr qu'un Wi-Fi café totalement ouvert (quelqu'un a une relation contractuelle avec le lieu), mais les mêmes principes s'appliquent. Le risque le plus négligé sur les réseaux d'hôtel, ce sont les portails captifs — la page « j'accepte les conditions » — qui font parfois office de phishing ou demandent plus de données personnelles qu'ils ne devraient. Donnez un e-mail jetable si on vous le demande, et ne saisissez jamais de carte bancaire ou de mot de passe de programme de fidélité dans un portail captif atteint en rejoignant un Wi-Fi.

Aussi expliqué

C'est quoi un VPN, et est-ce que j'en ai vraiment besoin ?

Un VPN est un outil de confidentialité qui cache votre activité Internet à votre réseau local (votre bureau, le Wi-Fi du café, votre opérateur) et aux sites web — mais il ne vous rend PAS anonyme, et pour la plupart des gens en 2026 il est bien moins essentiel que ce que les pubs laissent croire.

Le cadenas dans mon navigateur, ça veut dire quoi exactement ?

Le cadenas signifie que la connexion entre votre appareil et le site est chiffrée, donc personne sur votre Wi-Fi, votre réseau d'entreprise ou chez votre opérateur ne peut lire ce que vous envoyez ou recevez — mais il ne signifie PAS que le site lui-même est honnête, légitime ou digne de confiance pour vos données.

Comment sécuriser ma box Internet et mon Wi-Fi à la maison ?

Cinq étapes couvrent l'essentiel du risque : changer le mot de passe administrateur de la box (pas seulement celui du Wi-Fi), utiliser WPA3 ou WPA2 avec une longue phrase de passe, désactiver WPS et l'administration à distance depuis Internet, garder le firmware de la box à jour, et créer un Wi-Fi invités distinct pour la famille de passage et les objets connectés.
← Retour au glossaire grand public