Retour au blog
Renseignement sur les menaces·14 min de lecture

Attaques sur les WiFi publics en 2026 — ce qui se passe vraiment et ce qui les arrête

« N'utilisez pas le WiFi public » était un bon conseil en 2015. En 2026, le paysage des menaces a changé — la plupart des attaques qui fonctionnaient il y a 10 ans sont atténuées par HTTPS, HSTS et les défenses des systèmes d'exploitation modernes. Mais certaines fonctionnent encore, et quelques-unes sont plus faciles qu'elles ne l'étaient. Voici la carte honnête et actuelle de ce qui se passe vraiment sur les réseaux hostiles.

Par Casper's Cloak Security Team

En bref : la menace classique de l'ère 2015 — « quelqu'un sur le WiFi du café peut lire vos mots de passe » — est en grande partie morte. HTTPS est partout, le préchargement HSTS couvre les grands sites, et les attaques SSL strip ont une surface bien plus réduite qu'avant. Mais trois catégories d'attaques fonctionnent encore en 2026, et les attaquants se sont adaptés : les faux points d'accès (evil twin) (recréer un réseau auquel vous faites confiance et laisser votre appareil s'y connecter automatiquement), l'exploitation des portails captifs (la page de connexion qui récupère votre email ou pousse des malwares), et l'analyse de trafic au niveau des métadonnées (chiffré mais observable : avec qui vous communiquez, quand, à quelle fréquence, et en quelle quantité). Les mesures qui aident vraiment : un vrai tunnel VPN (pas seulement DNS), la randomisation d'adresse MAC laissée activée, ignorer les invites de saisie de credentials sur les portails captifs non sollicités, et les paramètres de sécurité par défaut qu'Apple et Google livrent d'emblée.

Ce qui se passe réellement sur un réseau hostile typique

Un « réseau hostile » ne signifie pas nécessairement que le café est malveillant. Cela signifie généralement une ou plusieurs des situations suivantes :

  • L'opérateur légitime du réseau collecte des données sur les appareils connectés (extrêmement courant dans la distribution, assez courant dans les hôtels) à des fins marketing ou analytiques.
  • Un autre client exécute des outils d'observation sur le même sous-réseau (moins courant qu'avant, mais trivial avec du matériel à 200 €).
  • Un attaquant exploite un faux point d'accès à proximité avec le même SSID qu'un réseau de confiance, espérant que votre appareil s'y connecte automatiquement.
  • Le portail captif diffuse du contenu malveillant — injection de publicités (gênant), hameçonnage de credentials (nuisible), ou diffusion de malwares (rare mais à fort impact).

Pour la plupart des gens, la plupart du temps, aucune de ces menaces ne représente un risque significatif — le chiffrement HTTPS protège vos sessions actives, et les paramètres par défaut des systèmes d'exploitation modernes gèrent les cas évidents. Les cas qui comptent encore : quand vous êtes sur un réseau suffisamment longtemps pour qu'un attaquant patient vous guette, quand vous acceptez aveuglément la demande d'un portail captif, ou quand votre appareil se connecte automatiquement à ce que vous croyez être votre réseau domestique mais qui ne l'est pas.

Attaque 1 — Faux point d'accès (evil twin)

De quoi s'agit-il : Un attaquant apporte un point d'accès portable (un WiFi Pineapple, ou simplement un ordinateur portable avec le bon logiciel) à portée d'une cible. Il diffuse un SSID correspondant à un réseau auquel les appareils de la cible se sont déjà connectés — « attwifi », « xfinitywifi », « Starbucks WiFi », le nom de votre réseau domestique — avec un signal plus puissant que le réseau légitime (ou le réseau légitime n'est tout simplement pas à portée).

Votre appareil, dans votre poche, se connecte automatiquement car il reconnaît un SSID « connu ». L'attaquant devient alors le réseau : il voit vos requêtes DNS (et votre trafic non chiffré, même s'il en reste peu), peut afficher des invites de portail captif, et peut tenter d'autres attaques en aval.

Réalité en 2026 : ça fonctionne encore, avec des adaptations. iOS 14+ et Android 10+ implémentent tous deux l'adresse MAC privée — votre appareil présente une adresse MAC différente pour chaque SSID, ce qui rend le suivi inter-réseaux plus difficile. Mais cela n'empêche pas le comportement de connexion automatique ; l'attaquant n'a pas besoin de votre vraie adresse MAC, il lui suffit que votre appareil s'associe. Ce qui a davantage aidé, c'est qu'iOS 16+ avertit explicitement sur les réseaux à faible sécurité (ouverts, WEP, WPA uniquement) et pousse de plus en plus les utilisateurs à éviter la connexion automatique ; Android 13+ fait de même.

Ce qui l'arrête : Désactivez la « connexion automatique » pour les réseaux publics (Réglages → Wi-Fi → appuyer sur le réseau → Connexion auto. désactivée sur iOS ; même chemin sur Android avec de légères différences d'interface). Sur les réseaux auxquels vous vous connectez, un tunnel VPN signifie que l'attaquant-réseau ne voit que des octets chiffrés — il ne peut pas lire votre trafic, injecter du contenu, ni réussir un hameçonnage de credentials via un portail captif (car votre navigateur vous alertera en cas de non-concordance de certificat si l'attaquant tente cela).

Attaque 2 — Exploitation du portail captif

De quoi s'agit-il : La page de connexion qui apparaît lorsque vous rejoignez le WiFi d'un hôtel, d'un aéroport ou d'un café (« Accepter les conditions pour continuer »). Cette page est servie par le système d'authentification du réseau et est, par conception, la première chose que voit votre appareil sur ce réseau — avant que votre VPN puisse s'établir, avant que les avertissements HTTPS aient un contexte, avant que vous sachiez vraiment qui vous la sert.

Trois variantes d'exploitation :

  • Collecte de credentials : la page de connexion vous demande votre email et un mot de passe « pour vous authentifier ». Beaucoup de gens saisissent le mot de passe qu'ils utilisent pour d'autres comptes. L'attaquant dispose désormais d'un email + mot de passe correspondant à vos habitudes de réutilisation.
  • Diffusion de malwares par visite : la page de connexion propose un lien vers « votre bon café offert », qui est en réalité un téléchargement d'application malveillante. La plupart des navigateurs modernes alertent ; les utilisateurs mobiles ignorent davantage les avertissements que les utilisateurs de bureau.
  • Collecte de données personnelles : la page de connexion demande votre numéro de téléphone « pour la connectivité » et vous le donnez. Il se retrouve alors dans une base de données marketing, souvent revendue.

Réalité en 2026 : l'hameçonnage via portail captif est devenu plus courant, pas moins. Les protections au niveau du système d'exploitation (MAC privée, VPN) n'aident pas ici car l'utilisateur saisit délibérément ses données. Ce qui a aidé, c'est qu'iOS 17+ et Android 14+ présentent les portails captifs dans un mini-navigateur isolé qui limite les vecteurs d'exfiltration — mais les données que l'utilisateur saisit sont toujours envoyées.

Ce qui l'arrête : Ne saisissez jamais dans un portail captif un mot de passe que vous utilisez ailleurs. Ne saisissez jamais un numéro de téléphone que vous utilisez pour quoi que ce soit d'important. Considérez les portails captifs comme adversariaux par défaut. Si un réseau exige une « inscription » demandant des informations substantielles, quittez et utilisez les données mobiles pour la prochaine heure. La détection de menaces par IA de Casper évalue les domaines des portails captifs de la même façon qu'elle évalue les SMS de hameçonnage — les portails connus comme malveillants sont signalés avant que vous ne saisissiez quoi que ce soit.

Attaque 3 — Analyse de trafic au niveau des métadonnées

De quoi s'agit-il : Même lorsque votre trafic est chiffré (HTTPS, TLS, tous les protocoles modernes), un observateur sur le même réseau peut toujours voir avec qui vous communiquez, quand, à quelle fréquence, et quelle quantité de données circule. Il ne peut pas lire le contenu, mais peut construire un profil de votre comportement.

Sur un réseau WiFi hostile, cela signifie :

  • L'opérateur local peut voir que vous visitez votre banque, votre prestataire de santé, votre application de rencontres, etc. — même s'il ne peut pas voir ce que vous y faites.
  • Les schémas de volume de trafic révèlent ce que vous faites (le streaming vidéo a une forme distinctive ; la messagerie en a une autre ; les services bancaires une autre encore).
  • Les requêtes DNS (sauf si vous utilisez DoH/DoT/DNS via VPN) révèlent les destinations au niveau du nom d'hôte.
  • L'indication du nom de serveur TLS (SNI) divulguait historiquement la destination même quand le DNS était chiffré — Encrypted Client Hello (ECH) comble cette lacune depuis 2025-2026.

Réalité en 2026 : l'adoption d'ECH est significative (Cloudflare l'a activé par défaut fin 2024, les principaux navigateurs le prennent en charge dans leurs versions stables) mais la couverture reste partielle. Pour les sites n'ayant pas activé ECH, le SNI est encore divulgué. Même avec ECH, la destination de la connexion au niveau IP reste observable, et les correspondances IP-service sont publiques — se connecter à un cluster d'adresses IP appartenant à Meta indique à l'observateur que vous utilisez WhatsApp ou Instagram, même si tout est chiffré.

Ce qui l'arrête : Un tunnel VPN complet. Votre trafic quitte le réseau local à destination d'une seule adresse IP (le point de terminaison VPN) ; le réseau local peut voir que vous utilisez un VPN mais ne peut rien voir au-delà. C'est la protection la plus efficace contre l'analyse de trafic sur les réseaux hostiles. Les protections DNS uniquement (NextDNS, Cloudflare 1.1.1.1) aident pour le canal des requêtes DNS mais n'adressent pas le SNI ni l'observation au niveau IP — pour cela, vous avez besoin du tunnel. Notre analyse approfondie sur les limites du filtrage DNS couvre précisément cette lacune.

Attaques qui ne fonctionnent plus vraiment

Trois menaces classiques du WiFi public que les guides de l'ère 2015 citaient obsessionnellement mais qui sont en grande partie résolues en 2026 :

SSL strip / SSL split

sslstrip (l'outil de Moxie Marlinspike de 2009) dégradait HTTPS en HTTP sur le réseau et réécrivait les formulaires — pendant des années, un classique des cafés. Aujourd'hui : le préchargement HSTS couvre pratiquement tous les sites qui gèrent des credentials (banques, fournisseurs d'email, réseaux sociaux, etc.). Les navigateurs refusent de rétrograder les domaines préchargés. Les sites sans HSTS existent mais traitent rarement quoi que ce soit qu'un attaquant voudrait lire.

Usurpation ARP pour un MITM général

L'usurpation ARP sur un sous-réseau partagé permet à un attaquant de s'insérer entre votre appareil et la passerelle. Fonctionne encore pour le segment LAN, mais ce qu'il obtient est du trafic chiffré — même problème que l'attaque d'analyse de trafic décrite ci-dessus. La possibilité de « voir vos mots de passe » a disparu, sauf si l'attaquant peut aussi contourner TLS, ce qu'il ne peut généralement pas faire sur les sites préchargés.

Usurpation DNS sur le réseau local

Un opérateur réseau hostile peut retourner de fausses réponses DNS pour les noms d'hôtes que vous interrogez, vous redirigeant vers des clones de hameçonnage. C'était efficace quand le DNS n'était pas chiffré et que les certificats TLS étaient faciles à forger. Aujourd'hui : les journaux de transparence des certificats et le préchargement HSTS signifient que le clone de hameçonnage devrait obtenir un certificat valide pour le domaine cible (extrêmement difficile pour les sites populaires) — et DNS-over-HTTPS / DNS-over-TLS / DNS routé via VPN neutralisent chacun l'usurpation au niveau DNS. Fonctionne encore pour les utilisateurs peu avertis sur de petits sites obscurs ; rarement un problème pour le consommateur moyen.

Paramètres par défaut par plateforme : ce que chaque système d'exploitation fait pour vous

iOS / iPadOS

  • Adresse MAC privée activée par défaut pour les nouveaux SSID depuis iOS 14
  • Avertissements pour les réseaux WPA2 et inférieurs (orientation vers WPA3) depuis iOS 16
  • Comportement de connexion automatique configurable par SSID
  • iCloud Private Relay (abonnés iCloud+) chiffre le trafic Safari — voir notre analyse approfondie de Private Relay pour ce qu'il couvre et ne couvre pas
  • Support VPN-on-Demand pour déclencher Casper automatiquement sur les SSID non fiables

Android

  • Adresse MAC privée (appelée « Utiliser une adresse MAC aléatoire ») activée par défaut depuis Android 10
  • Support DNS privé (DoT) natif depuis Android 9
  • Routage VPN par application (plus flexible qu'iOS)
  • Alertes « Vérifier les réseaux enregistrés » depuis Android 13 — signale quand un SSID connu a un profil de sécurité différent d'avant (potentiel evil twin)
  • Détection de menaces réseau dans Play Protect

macOS

  • Adresse Wi-Fi privée depuis macOS Sequoia (parité avec iOS)
  • iCloud Private Relay (iCloud+)
  • Pare-feu intégré + Mode furtif (désactivé par défaut — voir notre guide de confidentialité macOS)
  • Chiffrement FileVault (activé par défaut sur les nouveaux Mac)

Procédure pratique : que faire vraiment quand vous vous connectez au WiFi d'un café

  1. Vérifiez le nom du SSID auprès de l'établissement. « Quel est le nom de votre WiFi ? » — une vérification de 3 secondes qui déjoue la plupart des attaques evil twin. Le faux point d'accès porte généralement un nom proche du réseau légitime, mais pas identique.
  2. Acceptez le portail captif sans saisir de données substantielles. « Accepter les conditions » — c'est bien. « Saisir votre email + mot de passe » — fermez l'onglet, utilisez les données mobiles. « Saisir votre numéro de téléphone » — uniquement si vous acceptez que ces données soient potentiellement vendues.
  3. Activez votre VPN avant toute action sensible. Certaines configurations (l'application iOS de Casper, le déclenchement automatique NetworkExtension) le font automatiquement lors de la connexion à de nouveaux SSID. La fenêtre entre la connexion au réseau et l'établissement du VPN est celle où les attaques d'analyse de trafic sont les plus exposées ; minimisez-la.
  4. Ne vous connectez pas automatiquement au réseau pour les prochaines visites sauf si vous faites confiance à l'opérateur. Le coût de 5 secondes pour rejoindre manuellement à chaque fois vaut la probabilité de 0,01 % d'une attaque evil twin à cet endroit ultérieurement.
  5. Désactivez le Bluetooth / AirDrop si vous n'en avez pas besoin sur les réseaux vraiment hostiles. Ce sont des surfaces d'attaque distinctes du WiFi mais souvent exploitées conjointement.
  6. Oubliez le réseau en partant. Réglages → Wi-Fi → appuyer sur le réseau → Oublier. Réduit l'exposition aux connexions automatiques futures.

Quand un VPN est-il vraiment nécessaire plutôt que simplement souhaitable ?

Honnêtement : pour une visite typique de 5 minutes dans un café à faire de l'email + Slack sur des services HTTPS omniprésents, la menace pratique est faible. Les protections TLS font le travail. Un VPN offre une défense en profondeur, mais vous n'êtes généralement pas visiblement attaqué sans lui la plupart du temps.

Les cas où un VPN est vraiment important :

  • Réseaux internationaux hostiles (WiFi d'hôtel à l'étranger dans des pays avec une surveillance active au niveau étatique, ou réseaux de conférences connues pour être hostiles).
  • Longues sessions sur le même réseau (travailler dans un café pendant des heures, WiFi d'hôtel sur plusieurs jours) — donne aux attaquants le temps et une cible fixe.
  • Réseaux d'origine inconnue (le WiFi chez un petit bureau, le réseau dans un petit Airbnb, le WiFi d'une conférence géré par on ne sait qui).
  • Lors d'activités sensibles — accéder à des informations de santé, effectuer des opérations bancaires réelles, tout ce dont vous seriez mécontent qu'un observateur en dresse un profil.
  • Pour contrer le profilage par analyse de trafic par l'opérateur réseau, qui enregistre presque toujours au moins les métadonnées.

Pour ces cas, un vrai tunnel VPN (pas seulement un filtrage DNS) est la bonne intervention. La couche de protection contre les menaces de Casper regroupe le tunnel WireGuard avec une détection de hameçonnage zero-day basée sur l'IA, un filtrage par liste de blocage, et des contrôles de routage par application. Le tunnel est actif ; le chiffrement est de bout en bout ; le réseau local ne voit que des octets chiffrés et rien d'autre.

Et le partage de connexion mobile par rapport au WiFi public ?

Le partage de connexion de votre téléphone (tethering cellulaire) est nettement plus sûr que le WiFi public aléatoire car :

  • Vous êtes le seul appareil dessus (pas d'autres clients utilisant des outils d'observation)
  • L'opérateur est le seul intermédiaire en amont (une entité connue, réglementée, généralement digne de confiance au niveau des métadonnées)
  • Le chiffrement est la configuration WPA3 de votre téléphone que vous contrôlez
  • C'est éphémère — pas d'exposition continue quand vous vous déplacez

Le coût est la consommation de données. Pour les sessions sensibles à la confidentialité (banque, santé, travail sensible), le tethering est généralement une meilleure option par défaut que le WiFi d'hôtel ou de café — surtout si vous n'avez pas de VPN configuré. La plupart des opérateurs incluent des données de partage de connexion dans les forfaits modernes ; vérifiez avant d'en dépendre pour de longues sessions.

En conclusion

Le WiFi public en 2026 n'est plus la zone de désastre de 2015, et le conseil standard (« ne jamais utiliser le WiFi public ») est de plus en plus décalé par rapport au modèle de menace réel. La formulation pragmatique de 2026 : HTTPS protège le contenu de votre trafic ; ce qui reste exposé, ce sont les métadonnées, le portail captif et la surface d'attaque par connexion automatique. Un VPN comble l'écart en matière de métadonnées et d'analyse de trafic. La discipline sur les portails captifs (ne pas y saisir de mots de passe ou d'emails) comble l'écart en matière de hameçonnage. La vérification du SSID avant de rejoindre gère le cas de l'evil twin.

Si vous souhaitez que tout cela soit automatisé — VPN activé, détection de menaces active, filtrage DNS actif, routage par application là où vous le souhaitez — c'est ce que fait Casper sur chaque réseau que vous rejoignez. Essai gratuit, applications pour iPhone, Mac et Android.

Vérifié par Casper's Cloak Security Team · Dernière mise à jour

Protection WiFi café et hôtel, rendue automatique

Casper's Cloak exécute un tunnel WireGuard toujours actif avec une détection de hameçonnage zero-day basée sur l'IA sur chaque connexion. Applications iOS/Mac/Android, routage par application, aucune configuration manuelle lors de la connexion à un nouveau réseau.