L’utilisation du Wi-Fi public est-elle sûre ?
Agence web » Actualités du digital » L’utilisation du Wi-Fi public est-elle sûre ?

L’utilisation du Wi-Fi public est-elle sûre ?

ParTremplin Numérique Publié le

Vous avez probablement beaucoup entendu parler de la non-connexion aux réseaux Wi-Fi publics, sauf en cas d'urgence absolue, et si vous le faites, vous ne devriez pas y faire de choses sensibles. C’était un conseil judicieux il y a plusieurs décennies, et dans une certaine mesure, cela l’est toujours.

Mais Internet a-t-il suffisamment changé pour que les réseaux Wi-Fi publics soient réellement sûrs à utiliser ? Voici quelques pistes de réflexion.

HTG Wrapped 2025 : 24 jours de technologie

24 jours de nos matériels, gadgets et technologies préférés

Pourquoi le Wi-Fi public est-il considéré comme non sécurisé ?

Les réseaux Wi-Fi publics, tels que ceux que l'on trouve dans les aéroports, les cafés et les hôtels, sont normalement considérés par la plupart des experts comme étant intrinsèquement non sécurisés, principalement parce qu'ils privilégient la commodité et l'accessibilité plutôt que la protection des données. Après tout, il s'agit d'un réseau sans mot de passe ni mesure de sécurité et, pour la plupart, tout le monde peut se connecter. L'un des défauts fondamentaux de la plupart des points d'accès publics est l'absence d'un cryptage robuste. Toutes les données transmises entre l'appareil d'un utilisateur et le routeur sans fil sont envoyées en texte brut, permettant aux cybercriminels connectés au même réseau d'intercepter et de lire facilement des informations sensibles telles que des e-mails, des numéros de carte de crédit et des identifiants de connexion.

Cela peut devenir un problème lorsque des acteurs malveillants accèdent au réseau. La menace la plus répandue sur ces réseaux est peut-être les attaques Man-in-the-Middle (MitM). Dans ce scénario, un hacker se positionne entre l'utilisateur et le point de connexion. Au lieu de communiquer directement avec le hotspot, l'appareil de l'utilisateur envoie sans le savoir des informations à l'attaquant, qui les relaie ensuite au routeur. Cela permet à l'attaquant d'écouter la session, de modifier les données en transit ou de détourner les cookies de session de l'utilisateur pour accéder à ses comptes en ligne sans avoir besoin d'un mot de passe.

Vous êtes également potentiellement confronté au danger des « points d'accès malveillants » ou des « Evil Twins ». Les attaquants configurent souvent des points d'accès Wi-Fi malveillants avec des noms trompeusement similaires à ceux légitimes, tels que « Free_Coffee_WiFi ». Lorsqu'un utilisateur se connecte à ce faux réseau, le pirate informatique prend un contrôle total sur le flux de données et peut diriger l'utilisateur vers des sites de phishing ou installer des logiciels malveillants sur son appareil. Même lors de l’accès à des sites Web HTTPS sécurisés, des techniques sophistiquées telles que la suppression SSL peuvent forcer un navigateur à rétrograder vers une connexion HTTP non cryptée, rendant ainsi inutiles les mesures de sécurité standard.

Est-ce encore le cas aujourd’hui ?

Ne vous méprenez pas. La plupart des choses que j’ai dites ci-dessus sont vraies aujourd’hui. Ce qui a changé, cependant, ce sont les mesures de sécurité réelles des éléments que nous utilisons quotidiennement. Le paysage a considérablement changé et les conseils pessimistes concernant le Wi-Fi public sont souvent en retard par rapport aux réalités technologiques modernes.

« Ne vous connectez pas au Wi-Fi public » était un conseil judicieux il y a des années, lorsque la majeure partie du trafic Web était HTTP (non chiffré). Si vous vous êtes connecté à un forum ou avez vérifié vos e-mails sur un réseau Wi-Fi public, votre mot de passe circulait en texte brut. Aujourd’hui, la grande majorité du Web est cryptée via HTTPS. Même si un pirate informatique sur un réseau public intercepte vos paquets de données, il ne peut pas en lire le contenu. Ils verront un flux de texte chiffré tronqué plutôt que votre numéro de carte de crédit. Et bien sûr, un attaquant pourrait essayer de supprimer SSL pour vous forcer à utiliser l'ancien HTTP non chiffré pour ensuite espionner vos paquets. Mais les navigateurs et sites Web modernes utilisent HSTS pour forcer votre navigateur à utiliser HTTPS lorsqu'il est disponible. Vous pouvez essayer cela vous-même en changeant manuellement HTTPS en HTTP dans votre barre d'adresse dès maintenant : vous serez simplement forcé de revenir en HTTPS et en sécurité.

Et vos applications ? La plupart des applications de messagerie instantanée, comme iMessage ou WhatsApp, prennent en charge le cryptage de bout en bout, dans lequel un message est crypté sur votre téléphone, envoyé sous forme de charabia indéchiffrable et déchiffré sur le téléphone du destinataire à l'aide de clés secrètes uniques et partagées. Même le créateur de l'application ne peut pas consulter les messages, et bien sûr, quelqu'un qui fouine dans un réseau Wi-Fi public ne le peut pas non plus.

Un autre risque persistant est celui de la « surveillance DNS », où un pirate informatique ne peut pas voir quoi vous lisez sur un site, mais ils peuvent voir lequel site que vous visitez. Les nouvelles fonctionnalités du navigateur et du système d'exploitation (comme « DNS sécurisé » dans Chrome ou Android) chiffrent ces requêtes, empêchant le fournisseur Wi-Fi et les espions potentiels de voir même les noms de domaine que vous visitez.

Le Wi-Fi public ne disparaît pas et il est largement utilisé. Internet s'est donc simplement adapté à son existence et a mis en œuvre des mesures de sécurité, ce qui rend son utilisation beaucoup moins risquée. Les risques existent toujours – un pirate informatique peut toujours installer un point d’accès double malveillant – mais accéder à un point d’accès Wi-Fi dans un aéroport pour envoyer un e-mail présente bien moins de risques qu’auparavant.

Comment puis-je le rendre encore plus sécurisé ?

Si vous ne lui faites toujours pas entièrement confiance, vous pouvez faire certaines choses pour le rendre encore plus sécurisé. La mesure supplémentaire la plus efficace est probablement l’utilisation d’un VPN. Un VPN crée un tunnel crypté pour la connexion Internet de l'ensemble de l'appareil, protégeant non seulement la navigation sur le Web, mais également les données des applications en arrière-plan et le trafic du système d'exploitation qui pourraient autrement divulguer des informations. Cela garantit que même l'administrateur réseau ne peut pas voir les métadonnées de votre activité, telles que les domaines spécifiques que vous visitez ou votre adresse IP.

La désactivation des fonctionnalités de partage de fichiers et de découverte de réseau empêche les autres appareils sur le même réseau public de « voir » votre ordinateur ou de tenter d'accéder aux dossiers partagés. Sur le plan de la confidentialité, l'activation de DNS sur HTTPS (DoH) dans les paramètres du navigateur comble une faille courante en cryptant les recherches dans l'annuaire qui indiquent au réseau les sites Web que vous essayez d'atteindre.


Illustration d'un DNS crypté avec des icônes de clé et de cadenas connectés à un bloc de texte crypté.

La mise à niveau de confidentialité négligée de Windows 11 qui fonctionne tout simplement

Le DNS non chiffré expose chaque site que vous visitez. Voici comment le chiffrer pour garder votre navigation privée des FAI et des regards indiscrets.

Et un peu de bon sens peut aussi être très utile. Vous devez vérifier le nom exact du réseau auprès du personnel du site plutôt que de le deviner, et traiter tout avertissement de sécurité du navigateur comme une raison immédiate de vous déconnecter. L'authentification à deux facteurs fournit un filet de sécurité si vous gâchez tout cela, garantissant que même si les informations d'identification sont compromises d'une manière ou d'une autre via une attaque d'ingénierie sociale, le compte reste inaccessible au pirate informatique.

★★★★★

Tremplin Numérique

La rédaction de Tremplin Numérique, agence web française. Nos auteurs vous fournissent quotidiennement et gratuitement les dernières actualités tech et digital, en France et dans le monde.