Est-il vraiment dangereux de consulter sa banque sur un WiFi public en 2026 ?

Non, plus vraiment, à condition d'utiliser l'application officielle de votre banque ou son site en HTTPS. Les applications bancaires modernes utilisent du certificate pinning et du chiffrement bout-en-bout qui résistent aux interceptions classiques sur un WiFi public. Le vrai risque résiduel, ce n'est pas l'écoute du trafic, c'est la fausse borne qui imite le nom du café et le faux portail captif qui vous demande vos identifiants.

Un VPN gratuit, c'est mieux que rien ?

Pas forcément, et souvent c'est pire. Un VPN gratuit doit financer ses serveurs : le modèle économique repose presque toujours sur la revente de données de navigation, l'injection de publicités ou pire. Plusieurs services gratuits ont été pris en flagrant délit de logging et de revente. Si vous n'avez pas le budget pour un VPN payant, ne pas utiliser de VPN du tout est plus sûr que d'en utiliser un gratuit dont le modèle est opaque.

Le WiFi de mon hôtel demande mon nom et ma chambre, c'est risqué ?

Le portail captif lui-même n'est pas dangereux : il sert juste à associer votre appareil à votre séjour. Ce qui peut l'être, c'est un faux portail mis en place par un attaquant qui aurait dressé une borne portant le même nom que celui de l'hôtel. Vérifiez toujours le nom exact du réseau auprès de la réception, méfiez-vous des doublons (Hotel-Free et Hotel_Free par exemple), et ne saisissez jamais de carte bancaire dans un portail captif.

Le partage de connexion 4G/5G remplace-t-il un VPN ?

Pour la plupart des usages, oui. Quand vous partagez la connexion mobile de votre téléphone, vous utilisez le réseau de votre opérateur, qui est chiffré entre l'antenne et le cœur de réseau. Aucun voisin de café ne peut écouter ce trafic. C'est souvent la solution la plus simple et la plus sûre pour quelques minutes de travail sensible, sans payer d'abonnement VPN.

Comment savoir si un VPN tient vraiment sa promesse de no-logs ?

Cherchez deux preuves concrètes : un audit indépendant récent publié sur le site du fournisseur, et un historique judiciaire. Quand un fournisseur reçoit une réquisition légale et ne peut rien fournir parce qu'il ne stocke aucune donnée, l'affaire devient publique. Mullvad et ProtonVPN, par exemple, ont chacun été visés par des demandes officielles auxquelles ils n'ont pu répondre, faute de logs. C'est la meilleure preuve possible.

Faut-il toujours désactiver le WiFi quand on n'en a pas besoin ?

C'est une bonne habitude, surtout en déplacement. Un téléphone qui cherche en permanence les réseaux qu'il connaît émet leur nom et peut être incité à se connecter automatiquement à une borne pirate qui imite ce nom. Désactiver le WiFi quand vous quittez la maison ou le bureau, c'est un geste simple qui élimine plusieurs scénarios d'attaque, sans aucune contrepartie en pratique.

WiFi public et VPN 2026 : les risques réels et comment se protéger

Pendant dix ans, les médias spécialisés ont martelé une règle simple : ne jamais consulter sa banque sur un WiFi public sans VPN. Cette consigne est-elle encore pertinente en 2026, alors que 95 % du web est passé en HTTPS, que les protocoles ont évolué, et que la majorité des applications mobiles chiffrent leurs échanges ? La rédaction démêle ce qui a vraiment changé, ce qui reste un risque, et quand un VPN payant en vaut encore la peine.

Pendant près d’une décennie, l’avertissement a été martelé sur tous les tons : ne jamais consulter sa banque, ses mails ou son compte Amazon sur le WiFi gratuit d’un café, d’un aéroport ou d’un hôtel sans avoir activé un VPN au préalable. Articles de presse, formations en entreprise, guides pratiques, tous reprenaient la même consigne. La menace était réelle, les démonstrations frappantes, et l’industrie du VPN grand public a prospéré sur cette peur.

En 2026, la rédaction reçoit encore régulièrement des questions de lecteurs inquiets de se connecter au WiFi de leur boulangerie favorite. Et la réponse honnête, c’est que la situation a profondément changé entre 2015 et aujourd’hui. Le web s’est massivement chiffré, les navigateurs ont durci leurs règles, les applications mobiles ont intégré des protections cryptographiques sérieuses, et plusieurs des attaques classiques sur WiFi public ne fonctionnent tout simplement plus. Mais d’autres risques demeurent, et ils ne sont pas toujours là où on les attend.

Cet article fait le point. On rappelle d’abord ce qu’était la menace originelle, puis on analyse ce qui a changé, ce qui reste vrai, et quand un VPN garde une vraie utilité en 2026. À la fin, vous saurez exactement quoi faire avant de vous connecter au WiFi de votre prochain café.

L’ancienne règle : la peur légitime des années 2010

Entre 2010 et 2018, l’avertissement était parfaitement justifié. À l’époque, l’écrasante majorité des sites web fonctionnaient en HTTP non chiffré. Quand vous tapiez votre identifiant et votre mot de passe sur le forum d’un site grand public, vos données transitaient en clair sur le réseau. Sur un WiFi ouvert, n’importe quel voisin équipé du logiciel libre Wireshark pouvait littéralement lire votre trafic ligne par ligne.

Les démonstrations dans les conférences de sécurité étaient spectaculaires. L’extension Firefox Firesheep, sortie en 2010, permettait à n’importe quel utilisateur sans compétence technique de récupérer les sessions Facebook, Twitter ou Gmail des personnes connectées au même WiFi. Plusieurs grands sites n’avaient pas encore généralisé HTTPS et de nombreuses applications mobiles transmettaient les identifiants en clair. Dans ce contexte, la consigne « ne jamais ouvrir sa banque sur le WiFi du café » était simplement de bon sens.

Le VPN apportait alors une protection réelle : il créait un tunnel chiffré entre votre ordinateur et le serveur du fournisseur, plaçant tout votre trafic à l’abri du voisin curieux. Pour quelques euros par mois, vous neutralisiez la majorité des attaques d’écoute passive sur réseau ouvert. C’était simple, efficace, et la promesse marketing des fournisseurs de VPN collait à la réalité technique.

Ce qui a changé entre 2018 et 2026

Plusieurs évolutions techniques majeures ont transformé le paysage. La première, et de loin la plus importante, c’est la généralisation de HTTPS. En 2015, environ 30 % du trafic web mondial était chiffré. En 2020, ce chiffre dépassait 80 %. En 2026, selon les données de Mozilla et Google, plus de 95 % des pages chargées dans Firefox et Chrome utilisent HTTPS. Les navigateurs affichent désormais un avertissement visible quand un site reste en HTTP, et plusieurs grands navigateurs ont activé par défaut un mode HTTPS-Only.

La deuxième évolution s’appelle HSTS, pour HTTP Strict Transport Security. Ce mécanisme, déployé sur la quasi-totalité des grands sites depuis 2018, indique au navigateur que le site doit toujours être consulté en HTTPS. Cela bloque une attaque classique d’avant 2018 où un attaquant en position de man-in-the-middle forçait le navigateur à rétrograder vers HTTP. Avec HSTS, cette rétrogradation devient techniquement impossible une fois que le navigateur a visité le site une première fois.

La troisième évolution concerne les applications mobiles. Depuis iOS 9 et Android 7, les systèmes d’exploitation imposent par défaut le chiffrement des connexions sortantes des applications. Plusieurs applications sensibles (banques, messageries chiffrées, gestionnaires de mots de passe) ajoutent une couche supplémentaire avec le certificate pinning : l’application n’accepte que des certificats spécifiques préprogrammés, ce qui rend les attaques d’interception beaucoup plus difficiles, même contre un attaquant disposant de moyens importants.

Un voyageur consulte son ordinateur portable dans un aéroport moderne, écrans illustrant des connexions chiffrées et un cadenas vert

Enfin, le DNS lui-même s’est mis à se chiffrer. DNS-over-HTTPS (DoH) et DNS-over-TLS (DoT) sont activés par défaut dans Firefox depuis 2020, dans Chrome depuis 2021, et dans iOS depuis la version 14. Cela signifie que les requêtes qui résolvent un nom de domaine en adresse IP, autrefois transmises en clair et donc visibles par toute personne sur le même WiFi, sont désormais chiffrées dans la plupart des configurations modernes.

Les vrais risques résiduels en 2026

Tout cela ne signifie pas que le WiFi public est devenu un sanctuaire. Plusieurs vecteurs d’attaque restent parfaitement opérationnels et continuent d’être exploités, principalement par des escrocs opportunistes et plus rarement par des acteurs ciblés.

Le premier risque, et de loin le plus fréquent, c’est la fausse borne, ou « Evil Twin ». L’attaquant configure son ordinateur portable pour diffuser un réseau WiFi portant exactement le même nom que celui du café légitime, avec un signal légèrement plus fort. Votre téléphone, qui mémorise les noms de réseaux fréquentés, peut s’y connecter automatiquement. Une fois connecté, l’attaquant contrôle votre passerelle réseau et peut tenter plusieurs attaques : redirection DNS si vous n’avez pas DoH activé, faux portail captif qui réclame vos identifiants, injection de pages factices ressemblant à des sites connus.

Le deuxième risque, c’est le portail captif frauduleux. La plupart des hôtels et aéroports vous demandent de cliquer sur un bandeau de connexion pour accepter les conditions d’usage. Un attaquant peut substituer ce portail par une page qui vous demande de saisir un email, un mot de passe, parfois même un numéro de carte bancaire « pour activer votre forfait ». Aucune borne légitime ne demandera jamais votre numéro de carte juste pour vous donner accès à internet : c’est un signal d’alerte absolu.

Le troisième risque, souvent oublié, vient de votre propre machine. Si vous travaillez sur un Windows configuré pour le réseau de votre maison ou de votre bureau, votre ordinateur peut diffuser des partages de fichiers, autoriser le bureau à distance ou exposer des services internes. Sur le WiFi du café, ces services sont alors potentiellement accessibles à tous les autres clients connectés. La règle absolue : marquer chaque nouveau réseau comme « réseau public » dans Windows, ce qui désactive automatiquement la plupart de ces partages.

Ce qui n’est plus un vrai risque

Inversement, plusieurs scénarios autrefois inquiétants ne sont quasiment plus exploitables aujourd’hui. L’écoute passive du trafic HTTPS, par exemple, exigerait de casser la cryptographie du protocole TLS 1.3, ce qui est totalement hors de portée même des agences gouvernementales sur du chiffrement correctement déployé. Quand vous voyez le cadenas dans la barre d’adresse, le contenu de votre échange avec le site est confidentiel.

L’interception des sessions bancaires sur application mobile est également devenue extrêmement difficile. Le certificate pinning utilisé par les principales applications bancaires françaises et québécoises empêche un attaquant de glisser son propre certificat, même s’il contrôle entièrement la borne WiFi. Les rares attaques réussies dans la dernière décennie ont reposé sur des malwares installés sur le téléphone de la victime, pas sur l’écoute du WiFi.

Le man-in-the-middle classique avec rétrogradation HTTPS vers HTTP, qui faisait des ravages en 2014, ne fonctionne plus contre les sites majeurs grâce à HSTS et à la liste préchargée HSTS Preload qui équipe tous les navigateurs modernes. Pour ces sites, votre navigateur refuse purement et simplement de communiquer en HTTP, quel que soit le réseau utilisé.

Quand un VPN reste réellement utile

Tout ceci ne disqualifie pas le VPN, mais déplace son utilité. En 2026, un VPN payant garde plusieurs cas d’usage parfaitement légitimes, simplement ce ne sont plus les mêmes qu’en 2015.

Le premier cas, et probablement le plus banal, c’est le contournement géographique. Les services de streaming réservent certains catalogues à certaines régions. Voyager dans un pays où la presse française ou québécoise est filtrée, accéder à des sites bloqués par le fournisseur d’accès local, regarder une série disponible uniquement sur le catalogue américain : un VPN bien choisi répond efficacement à ces besoins, même s’ils relèvent davantage du confort que de la sécurité.

Le deuxième cas, plus sérieux, concerne les voyages dans des pays à surveillance lourde ou à censure forte. Quand vous vous connectez depuis Pékin, Moscou, Téhéran ou plusieurs pays du Golfe, le trafic non chiffré est inspecté à grande échelle, et même certaines connexions HTTPS peuvent être analysées par les fournisseurs d’accès locaux pour des métadonnées. Un VPN bien configuré, idéalement avec des protocoles offuscés, devient ici un outil de protection journalistique ou simplement de tranquillité d’esprit.

Le troisième cas concerne le télétravail. Beaucoup d’entreprises imposent un VPN pour accéder aux ressources internes : intranet, fichiers partagés, applications métiers. Ce n’est pas un VPN grand public mais un VPN d’entreprise, généralement avec split-tunneling pour ne router que le trafic interne, et il reste indispensable pour le travail à distance moderne. Notez bien : c’est un VPN d’entreprise, fourni par votre employeur, pas un abonnement personnel.

Le quatrième cas, plus discret, c’est la limitation du suivi publicitaire par adresse IP. Certains fournisseurs comme Mullvad ou ProtonVPN proposent en plus un blocage des trackers et des publicités, ce qui réduit la masse de données comportementales collectées par les régies publicitaires. Pour qui se soucie de sa vie privée numérique, c’est un complément utile, à mettre en perspective avec les conseils de notre guide des bonnes pratiques de sécurité réseaux sociaux.

Quand un VPN n’apporte rien

À l’inverse, plusieurs croyances tenaces sur le VPN sont fausses et méritent d’être corrigées sans détour.

Un VPN ne sécurise pas votre session bancaire mieux que ne le fait déjà l’application de votre banque. Le chiffrement TLS 1.3 entre votre téléphone et le serveur de la banque est de qualité militaire, et le certificate pinning empêche qu’on s’interpose. Activer un VPN par-dessus n’ajoute aucune sécurité réelle pour cette transaction précise.

Un VPN n’offre pas l’anonymat absolu. Il déplace simplement le point de confiance : au lieu de faire confiance à votre fournisseur d’accès et au café, vous faites confiance au fournisseur de VPN. Le VPN voit tout votre trafic. Si son audit no-logs est sérieux et sa juridiction protectrice, c’est un transfert de risque acceptable. Mais ce n’est pas de l’anonymat. Pour ce dernier, il faut des outils plus spécialisés comme Tor, avec leurs propres limites.

Un VPN ne protège pas contre l’hameçonnage. Si vous cliquez sur un lien frauduleux qui imite le site de votre banque, le VPN vous y emmènera fidèlement et vous laissera saisir vos identifiants sur le faux site. La protection contre le phishing, ce sont les filtres anti-fraude des navigateurs, des extensions comme uBlock Origin, et la vigilance personnelle sur les noms de domaine. Le VPN n’a rien à dire sur ce sujet. Pour comprendre concrètement la chaîne d’une attaque par hameçonnage et la manière dont elle exploite la confusion visuelle, le retraçage d’un faux site bancaire fermé en moins de 24 heures que la rédaction a publié donne un exemple opérationnel.

Enfin, un VPN ne remplace pas une bonne hygiène des mots de passe. Un attaquant qui récupère votre mot de passe via une fuite de base de données chez un service tiers entrera dans vos comptes quelle que soit la qualité de votre tunnel chiffré. Sur ce sujet, voir notre méthode du mot de passe fort qui détaille la création d’un mot de passe robuste en deux minutes. À plus long terme, l’adoption d’un gestionnaire de mots de passe et des passkeys règle la question au niveau structurel — un coffre chiffré et des clés cryptographiques liées au domaine rendent inopérante la grande majorité des attaques que ni le VPN ni le mot de passe seul ne peuvent contrer.

Bien choisir son VPN en 2026

Si après lecture vous décidez qu’un VPN reste pertinent pour votre usage, le choix du fournisseur est l’essentiel. Le marché a beaucoup évolué, plusieurs acteurs ont été rachetés, certains ont des historiques douteux, d’autres sont devenus des références.

Quatre critères distinguent un VPN sérieux d’un mauvais choix. Le premier, c’est l’existence d’un audit indépendant récent par un cabinet reconnu, publié intégralement sur le site du fournisseur. Le deuxième, c’est la juridiction : un fournisseur basé hors de l’alliance des Quatorze Yeux (qui inclut la plupart des pays anglo-saxons et plusieurs pays européens) offre une meilleure protection légale en cas de réquisition. Le troisième, c’est la présence d’un kill switch fonctionnel, qui coupe automatiquement votre connexion internet si le tunnel VPN tombe. Le quatrième, c’est le support du protocole WireGuard, plus rapide et plus moderne qu’OpenVPN.

Schéma simplifié d'un tunnel VPN reliant un ordinateur portable à un serveur distant, avec passage chiffré au milieu

Parmi les fournisseurs qui cochent toutes les cases en 2026, la rédaction retient quatre noms. Mullvad, suisse, accepte le paiement anonyme par espèces envoyées par courrier, publie chaque année son audit, et a fait la preuve par les faits de son no-logs lors de plusieurs réquisitions judiciaires. ProtonVPN, suisse également, propose une offre gratuite limitée mais sérieuse et bénéficie de la même rigueur juridique que la messagerie ProtonMail. IVPN, basé à Gibraltar, mise sur la transparence avec un code source ouvert pour ses applications. NordVPN, panaméen, plus grand public, a publié un audit Deloitte et reste un choix solide pour qui veut des serveurs dans de nombreux pays.

À éviter en 2026 : les VPN entièrement gratuits, dont le modèle économique implique presque toujours la revente de données, l’injection publicitaire ou la limitation à des fins de conversion. Plusieurs services « gratuits » très populaires ont été pris en train de revendre l’historique de navigation à des courtiers en données. Pour le grand public soucieux de pédagogie scientifique sur ces sujets, des associations comme Echosciences Drôme participent à diffuser une culture numérique critique, accessible et indépendante des intérêts commerciaux des éditeurs de logiciels.

La configuration pratique avant un WiFi public

Bien plus important que le choix d’un VPN, c’est la configuration de votre appareil. Plusieurs réglages de base élèvent considérablement votre niveau de protection sans coûter un centime.

Sur Windows, marquez chaque nouveau réseau WiFi comme « réseau public » dans les paramètres réseau. Cela désactive automatiquement la découverte d’appareils, le partage de fichiers et d’imprimantes, et l’accès à distance. Vérifiez ensuite que le pare-feu Windows est activé et que le profil « réseau public » bloque toutes les connexions entrantes non sollicitées.

Sur macOS, vérifiez dans Réglages Système puis Pare-feu que ce dernier est activé et que l’option « Empêcher les connexions entrantes » est cochée pour les applications non essentielles. AirDrop peut être laissé en mode « Contacts uniquement » plutôt que « Tout le monde » en environnement public.

Sur Linux, le modèle de permissions Unix et la moindre surface d’attaque structurelle du système réduisent déjà significativement les risques sur un réseau public. Pour comprendre pourquoi Linux est intrinsèquement plus sûr que Windows dans ces situations, ce guide comparatif de la sécurité Linux face à Windows explique les mécanismes techniques de manière accessible.

Sur le navigateur, vérifiez que DNS-over-HTTPS est activé. Sur Firefox, dans Paramètres puis Vie privée et sécurité puis section DNS, activez la protection « Renforcée ». Sur Chrome, allez dans Paramètres puis Confidentialité et sécurité puis Sécurité, et activez « Utiliser un DNS sécurisé ». Cela seul élimine plusieurs vecteurs d’attaque par redirection DNS.

Vérifiez ensuite que toutes vos applications sensibles (banque, messagerie, gestionnaire de mots de passe, application de l’employeur) sont à jour. Les correctifs de sécurité comblent régulièrement des failles qui n’étaient pas connues lors de votre dernière mise à jour. Et ne validez jamais un avertissement de certificat invalide affiché par votre navigateur, quelle que soit la circonstance : c’est presque toujours le signal d’une tentative d’interception.

Le partage de connexion mobile, l’alternative la plus simple

Pour conclure cette partie pratique, mentionnons une option souvent oubliée et pourtant remarquablement efficace : le partage de connexion 4G ou 5G depuis votre smartphone. Tous les téléphones modernes peuvent diffuser leur connexion mobile sous forme d’un mini-réseau WiFi privé, accessible uniquement avec un mot de passe que vous définissez.

Quand vous utilisez ce partage de connexion, vous ne passez plus du tout par le WiFi du café. Votre trafic emprunte le réseau cellulaire de votre opérateur, qui est chiffré entre l’antenne et le cœur de réseau, et qui est isolé des autres clients connectés au café. Aucun voisin ne peut techniquement vous écouter, aucune fausse borne ne peut vous intercepter. C’est une protection comparable à celle d’un VPN sérieux, sans abonnement, sans configuration, sans dépendance à un tiers.

Le seul inconvénient, c’est la consommation de votre forfait data et le débit potentiellement plus faible qu’un WiFi rapide. Pour quelques minutes de consultation bancaire ou la lecture d’un mail sensible dans un aéroport, c’est un choix excellent et largement sous-estimé. Pour des usages plus prolongés (visioconférence longue, téléchargements lourds), le WiFi public correctement configuré, éventuellement complété par un VPN sérieux, reste plus pratique.

Sécuriser votre connexion réseau ne couvre qu’une partie de votre exposition numérique : la messagerie que vous utilisez joue un rôle tout aussi important. Notre comparatif Signal, WhatsApp et Telegram 2026 montre comment VPN et messageries chiffrées se complètent pour une protection de bout en bout de vos communications.

WiFi public et VPN en 2026 : ce qui a vraiment changé depuis dix ans