Ce que HTTPS protège vraiment
Depuis 2018, HTTPS est devenu la norme absolue du web. Grâce à l'initiative Let's Encrypt et aux politiques des navigateurs (Chrome et Firefox marquent les sites HTTP comme « non sécurisés »), plus de 95 % du trafic web mondial est chiffré via TLS.
Ce chiffrement protège le contenu de vos échanges de bout en bout : vos mots de passe, vos données de carte bancaire, vos messages, vos fichiers. Une personne qui intercepte votre trafic Wi-Fi ne voit que du bruit cryptographique — elle ne peut pas lire ce que vous envoyez ou recevez.
Le Wi-Fi public en 2026 est donc fondamentalement moins dangereux qu'en 2015 pour ce qui est de l'interception directe de données. La plupart des conseils alarmistes que vous lisez sont hérités d'une époque où HTTP était encore omniprésent.
Ce qu'il ne protège pas
HTTPS ne masque pas les métadonnées. Sur un réseau que vous ne contrôlez pas, un observateur peut voir à quel domaine vous vous connectez (même pas l'URL exacte, mais le domaine — grâce au SNI visible en clair dans la poignée de main TLS), à quelle heure, combien de temps, et quelle quantité de données est échangée. Ces métadonnées sont révélatrices.
Un attaquant sur le même réseau peut également faire du DNS spoofing si votre appareil n'utilise pas DNS over HTTPS — en remplaçant les réponses DNS légitimes par des adresses pointant vers ses propres serveurs. Il peut créer un faux hotspot portant exactement le même nom que le Wi-Fi légitime (attaque Evil Twin) pour intercepter vos connexions avant qu'elles n'atteignent Internet. Il peut aussi tenter du SSL stripping sur les rares sites qui n'ont pas HSTS activé.
Les vrais risques en 2026
En pratique, les risques résiduels sur un Wi-Fi public en 2026 sont les suivants :
- →Evil Twin : réseau Wi-Fi pirate portant exactement le même nom que le légitime — technique particulièrement fréquente dans les aéroports et les grandes gares. Vous vous connectez au bon réseau, mais votre trafic transite par un équipement contrôlé par l'attaquant.
- →DNS spoofing si votre appareil ne force pas DNS over HTTPS — vos requêtes DNS peuvent être détournées vers des serveurs malveillants.
- →Applications qui utilisent encore HTTP en clair pour certaines fonctions (authentification, synchronisation) — rares en 2026 mais existent encore.
- →Session hijacking sur les sites sans cookies Secure et SameSite correctement configurés.
Recommandations pratiques
Sur un réseau Wi-Fi public, activer votre VPN avant toute connexion reste la meilleure pratique. Le VPN élimine l'attaque Evil Twin (votre trafic est chiffré avant même de quitter votre appareil) et le DNS spoofing (votre VPN utilise ses propres serveurs DNS chiffrés).
Désactivez le Wi-Fi auto-connect sur votre téléphone — c'est la fonctionnalité qui vous connecte automatiquement à tout réseau portant un nom que vous avez déjà utilisé. Elle est pratique, mais elle est exploitée par les attaques Evil Twin.
Vérifiez que les sites sensibles (banque, email, achats) affichent bien le cadenas HTTPS dans votre navigateur avant de saisir quoi que ce soit. Sur iOS et Android, les applications sérieuses forcent HTTPS nativement.
Le Wi-Fi public est moins dangereux qu'il y a dix ans, mais ce n'est pas une raison de baisser la garde. Les risques résiduels — Evil Twin, DNS spoofing, applications mal configurées — sont réels et exploitables. Avec un VPN activé et DNS over HTTPS, vous êtes protégé contre la quasi-totalité des attaques pratiques sur un réseau non sécurisé.
Activer le VPN Trasimène