Vous êtes dans la zone d'embarquement à Trudeau. Votre téléphone se connecte automatiquement à «Bell_WiFi_YUL». Sauf que ce réseau n'appartient pas à Bell — c'est un faux point d'accès monté par n'importe qui avec un portable et une carte WiFi à 30$. Voici ce que vous risquez — et comment vous protéger.
Dernière mise à jour : mars 2026
On va arrêter de traiter toutes les attaques WiFi comme si elles étaient égales. La plupart des menaces théoriques (injection de malwares, session hijacking) sont devenues beaucoup plus difficiles à exécuter depuis que HTTPS s'est généralisé. Mais une attaque reste aussi redoutable qu'en 2010 : le faux point d'accès, aussi appelé "Evil Twin".
Voici ce qui se passe concrètement. Des chercheurs en sécurité ont démontré à plusieurs reprises — notamment à DEF CON en 2019, l'une des plus grandes conférences de sécurité informatique au monde — qu'il suffit d'un ordinateur portable, d'une carte WiFi à 30$, et d'un logiciel libre pour créer un réseau WiFi qui imite parfaitement celui d'un café ou d'un aéroport. Votre téléphone se connecte automatiquement parce que le nom du réseau correspond à un réseau connu. À partir de là, l'attaquant voit tout votre trafic non chiffré, peut injecter des redirections vers de faux sites bancaires, et peut intercepter des cookies de session pour des services qui ne forcent pas HTTPS.
Le WiFi Bell gratuit à Montréal-Trudeau? N'importe qui dans la zone d'embarquement peut créer un réseau appelé "Bell_WiFi_YUL" et attendre que des appareils s'y connectent automatiquement. Vous ne verrez rien d'inhabituel.
On a assisté à une démonstration de cette attaque à Montréal il y a quelques années — pas à DEF CON, juste un chercheur local lors d'un meetup de sécurité à l'espace Notman. Il a pris moins de 4 minutes pour récupérer les identifiants d'un compte de test sur le réseau WiFi "public" qu'il avait créé pour l'occasion.
Le hacker crée un réseau WiFi avec un nom identique ou très similaire à celui du lieu. Votre appareil peut s'y connecter automatiquement si vous avez déjà utilisé ce nom de réseau. Tout votre trafic passe alors par sa machine. C'est la menace la plus réaliste dans les aéroports et cafés en 2026.
Sur les réseaux sans chiffrement WPA2/WPA3, n'importe qui peut capturer le trafic non chiffré avec des outils standard. Moins fréquent depuis HTTPS, mais encore possible pour certains types de connexions (applications mobiles qui n'utilisent pas HTTPS correctement, DNS non chiffré).
Ce n'est pas un hacker inconnu — c'est l'opérateur du réseau lui-même. Les hôtels ont déjà été documentés en train d'injecter des publicités dans le trafic de leurs clients. Certains réseaux d'entreprise au Québec utilisent des outils d'inspection profonde de paquets — légalement.
Certains endroits sont particulièrement ciblés parce qu'ils attirent beaucoup de monde avec des données sensibles :
Les aéroports sont parmi les endroits les plus dangereux pour le WiFi public. Beaucoup de voyageurs d'affaires avec des données sensibles, beaucoup de temps à tuer, et un accent sur la commodité plutôt que la sécurité. Ne faites jamais de transactions bancaires à l'aéroport sans VPN.
Le WiFi de café est pratique pour travailler, mais beaucoup d'entre eux utilisent des réseaux ouverts ou faiblement sécurisés. Si vous travaillez dans un café avec des données d'entreprise, un VPN est essentiel.
Les réseaux universitaires sont généralement mieux gérés que ceux des cafés, mais ça ne veut pas dire ce que vous pensez. La plupart des universités québécoises utilisent des solutions de filtrage DNS comme Cisco Umbrella — ce qui signifie que vos requêtes DNS passent par des serveurs qui peuvent être inspectés. Les proxys web gratuits sont souvent bloqués sur ces réseaux précisément à cause de ça. Utilisez le réseau WiFi sécurisé par identifiant (eduroam) plutôt que le WiFi public des zones communes, et activez votre VPN.
Le WiFi hôtelier est notoirement peu sécurisé. En plus des attaques habituelles, certains hôtels ont été pris en flagrant délit d'injection de publicités dans le trafic de leurs clients.
Les WiFi de Carrefour Laval, Place des Arts, et autres espaces publics sont moins risqués pour les hackers individuels, mais les opérateurs eux-mêmes collectent souvent des données sur votre navigation.
C'est la règle numéro un. Activez NordVPN ou Surfshark avant même de vous connecter au réseau WiFi. Ça chiffre votre connexion dès le début — personne ne peut intercepter quoi que ce soit.
Avant de vous connecter, demandez au personnel du café ou de l'hôtel quel est le nom exact de leur réseau WiFi. Les faux points d'accès (Evil Twin) ont souvent des noms très similaires — par exemple "Tim_Hortons_Wifi" au lieu de "TimHortonsWifi".
Si vous n'avez pas de VPN et devez utiliser un WiFi public : n'accédez pas à vos comptes bancaires, ne faites pas d'achats en ligne, et n'accédez pas à vos courriels professionnels. Attendez d'être sur un réseau sécurisé.
Même si quelqu'un vole votre mot de passe, le 2FA l'empêche d'accéder à votre compte. Activez-le sur vos courriels, comptes bancaires, et réseaux sociaux. Google Authenticator ou l'application de votre banque font très bien l'affaire.
Sur Mac et Windows, désactivez le partage de fichiers et d'imprimantes lorsque vous êtes sur un réseau public. Sur Mac : Préférences Système → Partage → tout décocher. Sur Windows : Réseau → Changer les paramètres de partage avancés → Désactiver la découverte du réseau.
Pour les transactions vraiment sensibles, votre réseau cellulaire (4G/5G de Vidéotron, Bell, Telus) est beaucoup plus sécuritaire que le WiFi public. Vos données cellulaires pour accéder à votre compte Desjardins ou votre carte de crédit, c'est le bon choix — pas le WiFi du lobby.
Le WiFi de Tim Hortons lui-même n'est pas malveillant. Le problème, c'est que le réseau est ouvert et que n'importe qui dans le café — pas seulement le gérant, mais n'importe quel client — peut créer un faux point d'accès avec le même nom. En pratique, un café Tim Hortons achalandé à l'heure du lunch représente un risque réel : beaucoup d'appareils, beaucoup de gens pressés qui cliquent "connecter" sans vérifier. Si vous devez accéder à quelque chose de sensible dans un Tim's, activez votre VPN avant de vous connecter — ou mieux, utilisez vos données cellulaires.
Partiellement. HTTPS chiffre le contenu de vos communications avec un site (plus de 95% du trafic web en 2026), mais un hacker peut toujours voir quels sites vous visitez, et certaines attaques (comme les attaques SSL stripping) peuvent contourner HTTPS sur des sites mal configurés. Un VPN ajoute une couche de protection supplémentaire en chiffrant tout votre trafic, y compris les métadonnées de navigation.
Le WiFi public est souvent déjà lent. Un VPN ajoute une légère latence supplémentaire (5-15%) due au chiffrement. En pratique sur un réseau de café déjà partagé entre dix utilisateurs, vous ne remarquerez probablement pas la différence. Et la protection que vous obtenez vaut largement ce léger coût.
Oui, considérablement. Les réseaux cellulaires 4G/5G utilisent un chiffrement intégré et sont beaucoup plus difficiles à attaquer que le WiFi public. Pour les transactions vraiment sensibles (banque, impôt, données d'entreprise), désactivez le WiFi et utilisez votre réseau cellulaire — idéalement avec un VPN activé quand même.