Ne te connecte pas au WiFi de ton hôtel avant d’avoir fait ça

📅 Mis à jour le 12 Déc 2025
⏱️ 15 min de lecture
Sécurité informatique

Tu sais, je vais te dire un truc qui va peut-être te choquer : intercepter les données sur un réseau WiFi public, c'est d'une facilité déconcertante. Je le sais parce que je l'ai fait moi-même. Pas pour pirater des gens, rassure-toi, mais pour tester la sécurité de mes propres appareils.

Laisse-moi t'expliquer pourquoi tu dois vraiment faire gaffe au WiFi d'hôtel, et surtout, ce que tu peux faire pour te protéger avec ton téléphone.

Ce que les pirates peuvent vraiment faire (et c'est flippant)

Il y a quelques mois, j'étais dans un café avec mon laptop où j'ai Kali Linux installé depuis des années. Si tu ne connais pas, Kali c'est une distribution Linux spécialement conçue pour la sécurité informatique et les tests de pénétration. C'est gratuit, légal à télécharger, et bourré d'outils pour tester les réseaux.

J'ai lancé Wireshark, un analyseur de paquets réseau. En gros, ça capture toutes les données qui circulent sur le réseau WiFi. En 10 minutes, je voyais passer les requêtes HTTP, les domaines visités par les gens autour de moi (Facebook, YouTube, etc.), et même certains mots de passe non chiffrés sur les sites encore en HTTP.

Et le pire ? C'est que c'est super facile à utiliser. Pas besoin d'être un génie de l'informatique.

Il y a aussi des outils comme Aircrack-ng pour obtenir les mots de passe WiFi, Ettercap pour faire des attaques "man-in-the-middle" (où le pirate s'insère entre toi et le serveur pour intercepter tout), ou encore Bettercap qui est plus moderne et encore plus puissant.

Dans un hôtel, c'est pire. Parce que les gens restent connectés longtemps, ils font leurs trucs persos, ils se connectent à leur banque, leurs emails... C'est un terrain de jeu parfait pour quelqu'un de malintentionné avec Kali Linux et une heure devant lui.

Mais bon, je ne suis pas là pour te faire peur. Je suis là pour te dire comment te protéger. Et la bonne nouvelle, c'est que c'est vraiment pas compliqué.

Le VPN et Tor : tes protections contre l'espionnage

Je vais être cash avec toi : sans protection, tu es vulnérable. Point final. Tous les autres conseils que je vais te donner sont utiles, mais protéger ton trafic c'est la base absolue.

Il y a deux solutions principales : les VPN et Tor. Laisse-moi t'expliquer les deux parce qu'elles ne servent pas exactement la même chose.

Le VPN : ma solution quotidienne

Un VPN crée un tunnel chiffrée entre ton téléphone et Internet. Même si quelqu'un lance Wireshark sur le réseau de l'hôtel, tout ce qu'il verra c'est un flux de données chiffrées illisibles. Il saura que tu es connecté à un serveur VPN, mais il ne saura pas ce que tu fais.

Imagine que tu envoies une lettre. Sans VPN, c'est comme une carte postale : tout le monde peut lire ce qu'il y a dessus. Avec un VPN, c'est une enveloppe scellée dans un coffre-fort blindé. Même si quelqu'un intercepte le colis, il ne peut pas l'ouvrir.

Quand j'ai testé avec Wireshark sur mon propre réseau, j'ai vu la différence. Sans VPN, je voyais tout : les sites visités, les requêtes, parfois même des données non chiffrées. Avec le VPN activé ? Juste un flux de données incompréhensibles. Du charabia total.

Les protocoles VPN que j'utilise :

  • OpenVPN : Le plus répandu, open-source, ultra fiable. C'est un peu plus lent mais hyper sécurisé.
  • WireGuard : Mon préféré en ce moment. Plus récent, plus rapide, tout aussi sécurisé. J'ai fait des tests de vitesse, c'est bluffant.
  • IKEv2/IPSec : Stable et rapide, surtout sur mobile quand tu te déplaces et que tu changes de réseau.

Évite comme la peste les VPN qui utilisent encore PPTP. C'est obsolète, ça se cracke en quelques minutes avec des outils sur Kali Linux.

Tor : l'anonymat poussé à l'extrême

Maintenant, parlons de Tor (The Onion Router). C'est un réseau qui fait rebondir ton trafic à travers plusieurs serveurs (des "nœuds") avant d'arriver à destination. Chaque nœud ne connaît que le nœud précédent et le suivant, jamais toute la chaîne.

C'est comme si tu envoyais ta lettre à une personne, qui la met dans une nouvelle enveloppe et l'envoie à quelqu'un d'autre, qui fait pareil encore 3-4 fois. À la fin, personne ne peut remonter jusqu'à toi.

Pourquoi j'utilise Tor parfois :

Quand j'ai besoin d'un anonymat vraiment maximal. Par exemple, si je dois accéder à des infos sensibles, faire des recherches que je ne veux pas voir associées à mon identité, ou si je suis dans un pays où le réseau est surveillé.

Mais Tor a des inconvénients :

  1. C'est LENT. Vraiment lent. Parce que ton trafic passe par plusieurs serveurs. Oublie le streaming Netflix ou YouTube.
  2. Certains sites le bloquent. Beaucoup de sites web détectent Tor et refusent l'accès ou te bombardent de CAPTCHAs.
  3. Le dernier nœud (exit node) peut voir ton trafic si tu n'utilises pas HTTPS. C'est pour ça qu'il faut TOUJOURS utiliser HTTPS avec Tor.

Comment j'utilise Tor sur mobile :

Sur iPhone : J'utilise l'app Onion Browser (c'est la version officielle recommandée par le Projet Tor) et Orbot.

Sur Android : J'utilise Tor Browser, c'est l'app officielle du Projet Tor

VPN + Tor : la combo ultime (mais overkill pour la plupart)

Il y a des gens qui utilisent les deux en même temps : ils se connectent à un VPN, puis lancent Tor. Comme ça, même le premier nœud Tor ne voit pas ta vraie IP, juste celle du VPN.

J'ai essayé. C'est hyper lent. Genre, attendre 30 secondes pour qu'une page se charge. A mon avis, pour un séjour à l'hôtel normal, un bon VPN suffit largement.

Le réseau Evil Twin (et pourquoi tu dois vérifier le nom du WiFi)

Tu sais ce qu'est une attaque "Evil Twin" ? C'est une technique super courante avec Kali Linux. Le pirate crée un faux point d'accès WiFi qui a exactement le même nom (ou presque) que le vrai réseau de l'hôtel.

Par exemple, l'hôtel a un réseau qui s'appelle "Hotel_Marriott_Guest". Le pirate crée un réseau "Hotel_Marriott_Guest2" ou "Hotel-Marriott-Guest" avec un tiret au lieu d'un underscore.

A premiere vue, tu ne peux pas faire la différence. Tu te connectes, et boom, toutes tes données passent par le laptop du pirate. Avec des outils comme berate-ap sur Kali, on peut créer un faux point d'accès en quelques commandes. J'ai testé, ça prend 5 minutes.

Comment je me protège contre ça

Simple : je demande TOUJOURS le nom exact du réseau à la réception. Je ne fais jamais confiance aux noms de réseaux que je vois sur mon téléphone.

Il y a deux semaines, j'étais dans un hôtel à Casablanca. Mon téléphone détectait :

  • "Hotel_Kenzi_Tower_WiFi"
  • "Hotel_Kenzi_WiFi"
  • "Kenzi_Tower_Guest"

J'ai appelé la réception depuis ma chambre. La personne m'a dit : "C'est Hotel_Kenzi_Tower_WiFi, et le mot de passe est sur la carte dans votre chambre."

Les deux autres réseaux ? Aucune idée de qui les a créés. Peut-être d'autres établissements à proximité, peut-être des pièges. Je m'en fiche, je ne me connecte pas.

L'authentification à deux facteurs (2FA) : ta bouée de sauvetage

Imagine qu'un pirate arrive quand même à intercepter tes identifiants avec une attaque man-in-the-middle. C'est possible, même avec HTTPS, si le certificat SSL est compromis.

Le 2FA, c'est ce qui va le bloquer. Parce qu'il aura beau avoir ton mot de passe, sans le deuxième facteur d'authentification il ne peut rien faire.

Les types de 2FA (du moins sûr au plus sûr)

  1. SMS : Mieux que rien, mais pas top (les SMS peuvent être interceptés avec des attaques SS7)
  2. App d'authentification (Google Authenticator, Authy) : Bien mieux, je recommande
  3. Clé de sécurité physique (YubiKey) : Le top, mais c'est pour les vrais parano comme moi

Moi j'utilise Google Authenticator pour la plupart de mes comptes. Pas besoin de réseau, les codes sont générés localement sur mon téléphone toutes les 30 secondes avec un algorithme TOTP (Time-based One-Time Password).

Les attaques SSL Stripping et comment les éviter

Comme je l’ai mentionné précédemment, le HTTPS peut également être compromis par une attaque de type SSL stripping. C’est lorsqu’un pirate force ton navigateur à utiliser HTTP au lieu de HTTPS. Avec un outil comme sslstrip sur Kali Linux, c'est assez simple à faire.

Tu crois que tu es sur la version sécurisée d'un site (HTTPS avec le cadenas), mais en réalité le pirate a intercepté la connexion et t'a redirigé vers la version HTTP non sécurisée. Lui voit tout ce qui passe.

Ma parade

  1. Je vérifie TOUJOURS que le petit cadenas est bien là dans la barre d'adresse
  2. Si un site me demande de me connecter et que je ne vois pas HTTPS, je ne le fais pas
  3. Sur iPhone et Android, j'utilise le navigateur en mode "HTTPS-Only" quand c'est possible

Sur Firefox (que j'utilise sur mon téléphone), il y a une option "HTTPS-Only Mode" dans les paramètres. Comme ça, le navigateur refuse automatiquement les connexions HTTP non sécurisées.

Et encore une fois : avec un VPN actif, même si le pirate arrive à faire du SSL stripping, il ne voit que du trafic chiffrée. Il ne peut rien lire.

Ce que je ne fais JAMAIS sur le WiFi d'hôtel

Même avec mon VPN activé et tous mes systèmes de sécurité en place, il y a des trucs que je ne fais simplement pas sur le WiFi d'hôtel.

Mes transactions bancaires : Je coupe le WiFi, j'active ma 4G/5G, je fais mon virement, et après je remets le WiFi. Ma data mobile est bien plus sécurisée qu'un réseau public, même avec VPN.

Télécharger des fichiers importants (documents sensibles, fichiers de travail confidentiels) : J'attends d'être dans un réseau de confiance.

Me connecter à mes comptes depuis les navigateurs : J'utilise uniquement les apps officielles (Gmail app, pas Gmail sur Safari). Les apps sont généralement mieux sécurisées que les navigateurs.

C'est peut-être excessif, mais avec tous les outils qui existent sur Kali Linux pour compromettre un réseau, je préfère être prudent.

Le DNS Spoofing (un autre truc vicieux)

Avec des outils comme dnsspoof sur Kali, un pirate peut rediriger tes requêtes DNS. Tu tapes "facebook.com" dans ton navigateur, mais au lieu d'aller sur le vrai Facebook, tu arrives sur une copie créée par le pirate pour voler tes identifiants.

C'est flippant parce que l'URL peut avoir l'air correcte, le site peut ressembler à 100% au vrai.

Pour contrer ca, c'est simple. J'utilise un DNS sécurisé sur mon téléphone. La plupart des bons VPN incluent leur propre DNS sécurisé, mais tu peux aussi configurer manuellement.

Mon setup complet quand j'arrive à l'hôtel

Voilà ma routine exacte :

  1. J'arrive dans ma chambre, je sors mon téléphone
  2. J'appelle ou je descends à la réception : "Quel est le nom exact de votre réseau WiFi ?"
  3. Je lance mon app VPN
  4. J'attends que ça se connecte et que je voie l'icône VPN en haut de l'écran
  5. Je me connecte au réseau WiFi de l'hôtel (celui confirmé par la réception)
  6. Je vérifie que le VPN est toujours actif
  7. Je vais sur whatismyip.com pour confirmer que mon IP est bien celle du VPN
  8. Pendant tout mon séjour, je vérifie régulièrement que le VPN est actif

Et quand je dois faire des trucs sensibles (banque, achats en ligne), je coupe le WiFi et j'utilise ma 4G/5G. C'est ma règle absolue.

Mon dernier conseil

Écoute, je sais que tout ça peut sembler compliqué ou parano. Mes collègues se moquent de moi quand ils me voient activer mon VPN avant chaque connexion WiFi public. Mais tu sais quoi ? Je n'ai jamais eu de problème de sécurité depuis que j'applique ces règles.

Avec tous les outils qui existent sur Kali Linux et ailleurs, attaquer un réseau WiFi public c'est devenu d'une simplicité ridicule. Alors prends 5 minutes pour te protéger correctement.

Active ton VPN (ou Tor si tu as besoin d'anonymat maximum), vérifie le nom du réseau, utilise le 2FA, et pour les trucs vraiment importants, utilise ta 4G ou 5G.

C'est tout. C'est pas compliqué, et ça peut te sauver de gros emmerdes.

Bon voyage, et reste en sécurité. 🔒

Publications similaires :

  1. Tester la sécurité de son réseau Wifi avec Fern Wifi
  2. Vérifiez ce qui se cache derrière un lien raccourci avant de cliquer
  3. Comment vraiment avoir internet gratuitement ?
  4. Les 7 applications Android que tout hacker éthique doit avoir
  5. Les 10 premières choses à faire après avoir installé Kali Linux

À propos de l'expert

Ahmed el jaouari

Ahmed EL JAOUARI

Ahmed, fondateur de la plateforme FunInformatique, est diplômé en ingénierie des systèmes informatiques et passionné par la cybersécurité. Avec sa plateforme, il propose des guides pratiques et des tutoriels visuels visant à rendre les technologies numériques accessibles à tous, même aux débutants.

Application Android

Téléchargez notre application mobile pour accéder à tous nos contenus et tutoriels où que vous soyez.

Télécharger sur Play Store →

Vérification Email

Découvrez si vos données ont été compromises dans une fuite avec notre outil gratuit.

Vérifier maintenant →

Questions & Réponses

Posez votre question