WiFi public café, hôtel, aéroport : vrai risque 2026

Patrick travaille depuis les cafés. Deux, trois fois par semaine. Le Starbucks de la Grande-Allée, le café indépendant sur St-Jean, la bibliothèque Gabrielle-Roy quand il a besoin de silence.

Il a toujours entendu « ne fais jamais de transactions bancaires sur un WiFi public ». Mais personne ne lui avait jamais expliqué pourquoi — ni si c’était encore vrai en 2026.

Il m’a posé la question lors d’une consultation. Ce que je lui ai dit a changé comment il utilise internet en public. Et ça commence par démolir quelques mythes.

Le vrai risque du WiFi public en 2026

La moitié de ce qu’on vous raconte sur le WiFi public est faux, ou du moins dépassé. Commençons par là.

Ce qui n’est plus le risque principal

En 2015, intercepter le trafic sur un WiFi public était techniquement accessible à n’importe qui avec les bons outils. On pouvait lire vos mots de passe, vos formulaires, le contenu de vos emails.

En 2026, ce scénario est devenu marginal pour une raison simple : HTTPS est partout.

Pratiquement tous les sites web utilisent maintenant le protocole HTTPS — le cadenas dans votre barre d’adresse. Ça signifie que votre connexion avec le site est chiffrée de bout en bout. Quelqu’un qui intercepte votre trafic sur le réseau voit que vous communiquez avec rbc.com ou gmail.com, mais ne voit pas vos identifiants ni le contenu.

Le conseil « évitez les transactions bancaires sur WiFi public » date de l’époque HTTP, pas HTTPS. Ce n’est plus le risque numéro un.

Alors c’est quoi, le vrai danger?

Ce qui reste réellement risqué

Les réseaux jumeaux malveillants (Evil Twin) — C’est là que le risque est réel. N’importe qui peut créer un point d’accès WiFi avec n’importe quel nom. « Starbucks_Free_WiFi », « Hotel_Guests », « YUL_Aeroport_Gratuit » — ça prend deux minutes et 40 $ d’équipement.

Le tracking par portails captifs — Quand vous acceptez les conditions d’un WiFi public via une page web, vous autorisez souvent la collecte de données. Votre adresse MAC (identifiant unique de votre appareil), votre historique de navigation sur le réseau, la durée de vos connexions. Certains opérateurs de WiFi public revendent ces données. C’est légal. Et la plupart des gens ne lisent pas les conditions.

La visibilité réseau — Sur un WiFi public, les autres appareils connectés au même réseau peuvent potentiellement voir le vôtre si vous avez le partage activé. Sur Windows, c’est particulièrement important : votre réseau doit être configuré en mode « Public » et non « Privé ».

Les applications non mises à jour — Une vieille version d’une app peut contenir des vulnérabilités qui permettent à quelqu’un sur le même réseau de l’exploiter. Les apps financières, surtout, doivent toujours être à jour.

L’attaque Evil Twin expliquée à Bob

Bob est au Starbucks de la rue Sainte-Catherine à Montréal un mercredi matin. Il cherche le WiFi.

Il voit deux réseaux dans la liste :

• Starbucks_Free_WiFi
• StarbucksFreeWifi

Lequel est le vrai?

Bob n’a aucune façon de le savoir en regardant juste les noms. Les deux noms sont plausibles. Les deux ont un signal fort. Les deux ne demandent pas de mot de passe.

Si Bob choisit le mauvais (celui créé par un attaquant installé à une table avec un ordinateur portable ordinaire), voici ce qui se passe :

Tout son trafic passe d’abord par l’ordinateur de l’attaquant, puis vers internet. L’attaquant voit tous les sites que Bob visite. Il peut manipuler ce que Bob voit dans son navigateur — injecter du contenu dans des pages, rediriger des formulaires.

Sur les sites HTTPS, le contenu reste chiffré. Mais l’attaquant peut voir l’URL complète (le site, les pages, les paramètres), les noms de domaine, la quantité de données échangées.

Sur les vieux sites HTTP (oui, ça existe encore), l’attaquant voit tout.

Et surtout : il peut forcer Bob à télécharger quelque chose, montrer une fausse page de login d’une banque ou d’un service cloud, ou simplement profiler ses habitudes de navigation pour un usage ultérieur.

Comment distinguer un Evil Twin d’un vrai réseau?

Vous ne pouvez pas avec certitude. Mais quelques signaux d’alerte :

• Deux réseaux avec des noms similaires dans la même zone
• Un réseau avec un signal étrangement fort pour l’endroit où vous êtes
• Un portail captif qui demande votre email, numéro de téléphone ou informations de carte

La règle la plus simple : demandez au personnel quel est le nom exact du réseau WiFi avant de vous connecter.

Réglages iOS — désactiver la reconnexion automatique

C’est le réglage que personne ne fait et qui change tout.

Par défaut, votre iPhone mémorise chaque réseau WiFi auquel vous vous connectez. Quand il détecte un réseau avec le même nom, il s’y connecte automatiquement — sans vous demander.

Le problème : un attaquant peut créer un réseau WiFi avec le nom exact de votre café préféré, de votre ancienne école, de l’aéroport où vous avez voyagé il y a deux ans. Votre iPhone s’y connecte seul, en silence.

Nettoyer les réseaux mémorisés sur iPhone

1. Paramètres → Wi-Fi
2. Faites défiler jusqu’à « Réseaux connus »
3. Tapez sur chaque réseau public que vous ne voulez plus garder → Supprimer
4. Gardez uniquement votre WiFi à la maison, au bureau, et quelques réseaux en lesquels vous avez entièrement confiance

Désactiver la connexion automatique pour les réseaux publics

1. Paramètres → Wi-Fi
2. Connectez-vous à un réseau public
3. Tapez sur le ⓘ à côté du nom du réseau
4. Désactivez Rejoindre automatiquement

Ça signifie qu’iOS vous demandera votre confirmation avant de rejoindre ce réseau à l’avenir. Un peu moins pratique, beaucoup plus sûr.

Activer l’adresse Wi-Fi privée

1. Paramètres → Wi-Fi
2. Tapez sur le ⓘ à côté de n’importe quel réseau
3. Activez Adresse Wi-Fi privée

Ça change l’identifiant unique que votre iPhone envoie au réseau (adresse MAC) pour chaque réseau différent. Sans ça, des opérateurs de WiFi public (ou un attaquant) peuvent vous suivre d’un réseau à l’autre.

Sur iOS 14 et plus, cette option est disponible et activée par défaut sur les nouveaux réseaux. Vérifiez qu’elle est bien activée sur les anciens réseaux dans votre liste.

Réglages Android — selon votre modèle

Android est plus fragmenté qu’iOS, donc les chemins varient selon le fabricant (Samsung, Google Pixel, Xiaomi, etc.). Voici les équivalents communs.

Supprimer les réseaux mémorisés (Android)

1. Paramètres → Connexions (ou Réseau et internet)
2. Wi-Fi → Réseaux enregistrés (ou « Réseaux mémorisés » selon votre modèle)
3. Maintenez appuyé sur un réseau → Supprimer (ou Oublier)

Sur les appareils Samsung récents (One UI) : Paramètres → Connexions → Wi-Fi → Les trois points en haut à droite → Gérer les réseaux

Désactiver la reconnexion automatique

Sur Android (paramètres avancés Wi-Fi) : Paramètres → Connexions → Wi-Fi → Paramètres avancés → désactiver Passer automatiquement aux données mobiles

Ce dernier réglage évite qu’Android passe à vos données mobiles quand le signal WiFi est mauvais, ce qui peut exposer votre trafic en transit.

Randomisation de l’adresse MAC (Android 10+)

Sur Android 10 et versions récentes, la randomisation de l’adresse MAC est activée par défaut. Vérifiez : Paramètres → Connexions → Wi-Fi → Tapez sur un réseau → Confidentialité → Utiliser une adresse MAC aléatoire

3 règles simples qui couvrent 95 % du risque

Vous n’avez pas besoin de mémoriser toute la théorie. Ces trois règles pratiques gèrent presque tout.

Règle 1 : Demandez le nom exact du réseau avant de vous connecter

Avant de choisir un réseau dans un café ou un hôtel, demandez au personnel : « C’est quoi le nom exact de votre WiFi? »

Si le nom qu’ils donnent correspond exactement à ce que vous voyez dans la liste, bonne probabilité que c’est le bon. Si vous voyez deux réseaux similaires et que le personnel ne sait pas, utilisez vos données mobiles.

C’est la protection contre les Evil Twin. Simple, gratuite, efficace.

Règle 2 : Activez le VPN pour les WiFi non connus

Vous n’avez pas besoin d’un VPN partout tout le temps. Mais pour les WiFi publics que vous utilisez rarement (aéroport, hôtel, restaurant), un VPN chiffre tout votre trafic avant qu’il quitte votre appareil.

Même si vous êtes sur un Evil Twin, l’attaquant ne voit que du bruit chiffré.

Options recommandées :

• Mullvad (aucun compte email requis, paiement possible en cash, aucun log — vérifiable par audit indépendant)
• ProtonVPN (version gratuite disponible, logs minimaux vérifiés par audit)

Évitez les VPN gratuits sans réputation claire — plusieurs revendent vos données, ce qui est pire que le problème de départ.

Règle 3 : Désactivez le Bluetooth et nettoyez vos réseaux mémorisés

Désactivez le Bluetooth quand vous ne l’utilisez pas activement. Pas parce que les attaques Bluetooth sont courantes, mais parce que votre appareil diffuse un identifiant qui peut servir au tracking de localisation.

Et une fois par mois, parcourez vos réseaux WiFi mémorisés et supprimez les réseaux publics que vous n’utilisez plus. C’est dix minutes qui éliminent tout un vecteur d’attaque.

---

Ce que les portails captifs collectent sur vous — et pourquoi c’est légal

La plupart des gens cliquent « Accepter » sur le portail captif d’un WiFi public sans lire quoi que ce soit. C’est compréhensible — le texte est long, personne n’a le temps.

Voici ce que vous acceptez typiquement :

La collecte de votre adresse MAC — l’identifiant unique de votre appareil. Combinée à votre position physique (le café, l’aéroport, l’hôtel), elle permet de savoir quand et où vous revenez. Si vous revenez deux fois dans le même aéroport avec le même appareil, le système vous reconnaît — même sans compte, même sans nom.

L’historique de navigation sur le réseau — les domaines que vous visitez (pas le contenu, mais les noms de sites). Durée de connexion, heure d’arrivée, heure de départ.

La revente à des tiers — plusieurs opérateurs de WiFi public (chaînes d’hôtels, centres commerciaux, aéroports) vendent ces données à des fournisseurs d’analyse marketing. C’est dans les conditions d’utilisation. C’est légal.

L’adresse MAC aléatoire (activée par défaut sur les iPhones récents et Android 10+) contourne partiellement ce problème en présentant un identifiant différent à chaque réseau. Mais si vous désactivez la randomisation pour un réseau spécifique, vous redevenez traçable.

Les transactions bancaires — la vraie réponse

Patrick m’avait posé cette question au départ. Voici la réponse complète.

Sur un réseau WiFi de confiance (le vôtre, celui de votre bureau) — aucun problème pour les transactions bancaires. HTTPS fait son travail.

Sur un WiFi public avec HTTPS — le risque est faible en 2026 si vous êtes sur le bon réseau. Le contenu de vos transactions est chiffré. Un attaquant sur le même réseau voit que vous communiquez avec votre banque, pas ce que vous faites.

Sur un WiFi public dont vous n’avez pas vérifié l’authenticité — c’est là que le risque revient. Si vous êtes sur un Evil Twin, l’attaquant peut vous rediriger vers une fausse page de connexion de votre banque. La page ressemble à la vraie. L’URL peut même ressembler à la vraie avec des techniques avancées. Vous entrez vos identifiants. L’attaquant les capture.

La règle pratique : pour les transactions importantes (virement, paiement de facture, accès à votre compte investissement), passez sur vos données mobiles. Le réseau 4G/5G de votre opérateur est beaucoup plus difficile à contrefaire qu’un WiFi public. C’est la solution la plus simple et elle ne coûte rien si vous avez un forfait de données raisonnable.

Patrick a suivi ce conseil. Il travaille toujours dans les cafés — emails, documents, recherches — en WiFi public. Mais quand il a besoin de vérifier son compte bancaire ou de faire un virement, il désactive le WiFi et bascule sur LTE. Deux secondes de manipulation, zéro inquiétude.

Bluetooth en public — le risque sous-estimé

On parle beaucoup du WiFi. Le Bluetooth est souvent oublié.

Sur un WiFi public, votre Bluetooth est actif par défaut. Il diffuse des signaux. Ces signaux contiennent un identifiant que des capteurs (des « Bluetooth sniffers ») peuvent détecter. Des centres commerciaux, des aéroports et des chaînes de magasins utilisent cette technologie pour tracker vos déplacements physiques — sans application installée, sans compte, sans que vous le sachiez.

iOS randomise l’adresse Bluetooth depuis iOS 14, ce qui réduit ce risque sur iPhone. Android est moins uniforme selon les modèles et versions.

Les AirPods eux-mêmes diffusent un signal Bluetooth identifiable. Quand vous les avez dans les oreilles dans un espace public, votre présence est potentiellement détectable par des capteurs Bluetooth proches.

Ce risque est-il catastrophique? Non. Mais c’est une raison supplémentaire de désactiver le Bluetooth quand vous ne l’utilisez pas activement.

Patrick a appliqué les trois règles. Il a nettoyé ses 47 réseaux mémorisés accumulés depuis 2019. Il a installé Mullvad sur son iPhone. Et il demande maintenant systématiquement le nom du réseau au barista avant de se connecter.

Il utilise encore les WiFi publics — deux, trois fois par semaine, comme avant. Mais maintenant, c’est lui qui choisit quand et comment, pas le réseau.

Ce changement d’attitude, c’est ça la vraie sécurité numérique. Pas la paranoïa. Pas éviter tout. Choisir consciemment.

Si vous voulez qu’on fasse le tour de vos appareils et paramètres ensemble, l’équipe Sequr peut vous accompagner.

Sequr — Cybersécurité pour particuliers

---

À lire aussi :

• Les VPN mentent dans leurs publicités — voici ce qu’ils font vraiment
• Ce que Google et Facebook savent vraiment sur vous
• Le SMS pour la 2FA, c’est loin d’être suffisant
• Protéger sa vie privée en ligne : le guide complet