Wi-Fi public et 4G : ce qui est exposé sans VPN
Les risques du Wi-Fi public et de la 4G ne sont pas identiques. Ce qu'un attaquant local peut faire sur un réseau Wi-Fi partagé est différent de ce que votre opérateur mobile voit sur votre connexion 4G.
Wi-Fi public — la surface d'attaque locale
Sur un réseau Wi-Fi partagé — hôtel, café, aéroport, transport — tous les appareils connectés partagent le même réseau local. Un attaquant sur ce réseau peut réaliser plusieurs types d'attaques. L'interception passive consiste à capturer le trafic non chiffré qui circule sur le réseau — efficace contre le trafic HTTP (de plus en plus rare) et contre les requêtes DNS en clair. L'attaque ARP spoofing consiste à se placer entre votre appareil et le routeur pour intercepter le trafic — y compris potentiellement du trafic HTTPS via du SSL stripping si le site cible n'implémente pas HSTS.
La réalité pratique en 2026 : la quasi-totalité du trafic web transite en HTTPS. L'interception passive d'un attaquant sur Wi-Fi est donc limitée aux métadonnées — quels domaines vous visitez (via DNS en clair), volumes et timing de trafic, et adresse MAC de votre appareil. Les contenus HTTPS restent chiffrés. Un VPN ajoute la protection DNS et masque les destinations, mais l'impact pratique de l'absence de VPN sur Wi-Fi public a diminué avec la généralisation de HTTPS.
Ce qu'un attaquant peut concrètement faire sur Wi-Fi public
Sans VPN, un observateur sur le même réseau Wi-Fi voit : vos requêtes DNS (les domaines que vous visitez), votre adresse IP locale, votre adresse MAC, le volume de données échangé avec chaque destination, et le timing de vos connexions. Il ne voit pas le contenu de vos communications HTTPS, vos identifiants de connexion envoyés via HTTPS, ni le contenu de vos emails si votre client utilise TLS.
Ce qui est effectivement dangereux sans VPN sur Wi-Fi public : les applications mobiles qui utilisent HTTP (encore rares mais existantes), les captive portals qui redirigent le trafic avant authentification (pendant ces quelques secondes, votre trafic n'est pas chiffré), et les attaques ciblées sur des vulnérabilités de protocoles spécifiques.
Quand vous vous connectez à un Wi-Fi public qui demande une authentification via une page web (hôtel, café), votre appareil est sur le réseau mais vos requêtes HTTP sont redirigées avant que vous ayez accepté les conditions. Pendant ce temps, un attaquant sur le réseau peut intercepter ces requêtes. Activer le VPN immédiatement après connexion au réseau, avant d'ouvrir des applications, réduit ce risque.
4G/5G — ce que l'opérateur mobile voit
Sur une connexion 4G, le modèle de menace est différent. Il n'y a pas d'attaquant local dans le même réseau — la connexion entre votre téléphone et l'antenne est chiffrée par le protocole LTE. L'entité qui voit votre trafic est votre opérateur mobile. Il voit les métadonnées de toutes vos connexions : les domaines visités (via DNS), les adresses IP de destination, les volumes et timings.
En France, les opérateurs sont légalement tenus de conserver ces métadonnées pendant un an (article L34-1 du CPCE). Ces données peuvent être transmises aux autorités judiciaires sur demande. Un VPN masque les destinations à l'opérateur — il voit uniquement que vous êtes connecté au serveur VPN, pas ce que vous faites derrière. La protection DNS via le tunnel VPN est particulièrement importante sur 4G car les résolveurs DNS des opérateurs mobiles sont une source de surveillance des habitudes de navigation.
Quand le VPN est vraiment utile sur mobile
Les contextes où le VPN apporte une protection concrète sur mobile : réseaux Wi-Fi publics pour la protection DNS et contre les attaques locales résiduelles ; connexions 4G pour masquer les destinations à l'opérateur et aux éventuels systèmes d'inspection en profondeur de paquets ; déplacements dans des pays avec censure internet ou surveillance des communications ; utilisation d'applications qui transmettent des données sensibles et dont la sécurité propre n'est pas garantie.
Les contextes où le VPN apporte peu : réseau domestique ou d'entreprise maîtrisé avec connexion HTTPS généralisée ; usage d'applications qui chiffrent leurs communications de bout en bout indépendamment du réseau. La décision d'activer le VPN en permanence vs sur demande dépend du profil d'usage et de la tolérance à la légère surconsommation batterie — voir la page sur l'impact sur la batterie.
La décision pratique
Activer le VPN systématiquement sur les réseaux Wi-Fi publics est la recommandation la plus simple et la plus défendable — le coût (légère latence supplémentaire) est faible et la protection DNS est réelle. Sur 4G, la décision dépend de votre rapport à la confidentialité vis-à-vis de votre opérateur mobile : si vous souhaitez que votre opérateur ne puisse pas construire un profil de vos habitudes de navigation, le VPN permanent sur 4G est justifié.
La distinction la plus importante reste celle entre les réseaux : un Wi-Fi public dans un hôtel présente plus de risques locaux immédiats qu'une connexion 4G dans un pays à démocratie stable. Calibrer l'usage du VPN selon le contexte réseau — toujours actif sur les réseaux publics non maîtrisés, selon préférence sur les réseaux mobiles — est une approche raisonnée qui équilibre protection et autonomie de batterie. Voir les impacts batterie détaillés pour quantifier ce compromis.