Cybersécurité Utilisateur

Formation Cybersécurité (Sensibilisation)

Module 4 : Sécurité quotidienne au poste de travail

Module 4 : Poste de travail 17 min de lecture

4.2 Wi-Fi public, VPN, déplacement professionnel : la sécurité en mobilité

Le Wi-Fi gratuit du café, le hot-spot d'aéroport, l'Ethernet « open » d'un hôtel : autant de pièges potentiels qui exposent toutes vos communications. Comprendre les risques et les parades est devenu indispensable pour tout salarié mobile.

Niveau de risque Wi-Fi selon l'environnement
Wi-Fi domicile
WPA3, mot de passe fort
Risque faible
Wi-Fi entreprise
802.1X, certificats
Risque maîtrisé
Café / Hôtel
Portail captif, partagé
Risque élevé
Aéroport / Gare
Public, anonyme, dense
Risque maximal
1

Les risques réels du Wi-Fi public

Le Wi-Fi public présente 4 risques majeurs :

  • Faux hot-spot (Evil Twin) : un attaquant configure un point d'accès au nom proche du légitime (« STARBUCKS_FREE » vs « Starbucks-WiFi »), et tous les visiteurs qui s'y connectent voient leur trafic transiter par lui. Difficile à détecter sans outil dédié.
  • Interception du trafic (Man-in-the-Middle) : sur un Wi-Fi ouvert (sans WPA), tout le trafic non chiffré est lisible par quiconque sur le même réseau. Outils gratuits (Wireshark, ARP spoofing) permettent à un débutant motivé de capturer.
  • Portails captifs piégés : la page de connexion (qui demande email, accord CGU) peut être détournée pour collecter des identifiants ou installer du malware.
  • Attaques sur les pairs : sur un Wi-Fi public, votre appareil est potentiellement exposé aux autres machines connectées (scan de ports, exploitation de vulnérabilités SMB / RDP, etc.).

Bonne nouvelle : depuis HTTPS partout (95+ % du web en 2026), l'essentiel du trafic web est chiffré de bout en bout entre le navigateur et le serveur. Un attaquant sur le Wi-Fi voit que vous visitez banque.fr, mais ne peut pas lire le contenu de votre session bancaire.

Mauvaise nouvelle : certains protocoles (FTP, Telnet, HTTP non sécurisé) restent en clair, et certaines apps mal codées envoient des données sensibles non chiffrées. Le risque varie donc selon ce que vous faites.

2

Le VPN : tunnel chiffré end-to-end

Un VPN (Virtual Private Network) crée un tunnel chiffré entre votre appareil et un serveur VPN. Tout votre trafic transite par ce tunnel, illisible par le Wi-Fi public ou tout intermédiaire entre vous et le serveur VPN. Concrètement :

  • Vous vous connectez au Wi-Fi du café
  • Vous activez votre VPN
  • Le tunnel chiffré s'établit avec le serveur VPN de votre entreprise (ou un VPN grand public type ProtonVPN, NordVPN, Mullvad)
  • Tout votre trafic est désormais chiffré, le Wi-Fi du café ne voit que du trafic illisible
  • Vous accédez à Internet ou aux ressources internes de l'entreprise comme si vous étiez dans son réseau

Côté entreprise, le VPN est obligatoire pour tout télétravail ou déplacement avec accès aux ressources internes (RDP, SMB, applications métier non publiques). Solutions : OpenVPN, WireGuard, Cisco AnyConnect, Fortinet, Palo Alto GlobalProtect, Zscaler Private Access.

Côté particulier ou télétravail en environnement non sensible, un VPN grand public peut suffire — il chiffre le trafic sur le Wi-Fi public et masque l'IP réelle. Recommandés : ProtonVPN (suisse, gratuit possible), Mullvad (Suède, payement anonyme), NordVPN (UX grand public). Éviter les VPN gratuits non vérifiés — beaucoup revendent vos données ou injectent des publicités.

Limite du VPN : un VPN déplace la confiance du Wi-Fi vers le fournisseur VPN. Si le VPN est compromis ou malveillant, il voit tout votre trafic. Choisir un fournisseur sérieux avec politique no-log auditée.
3

Le partage de connexion 4G/5G : la meilleure alternative

Souvent oubliée, l'option la plus simple en déplacement consiste à utiliser le partage de connexion (tethering) de son smartphone professionnel plutôt que le Wi-Fi public. Avantages :

  • Réseau cellulaire chiffré par défaut entre le téléphone et l'antenne (algorithme A5/3 ou 5G NEA1/NEA2)
  • Pas d'attaques de pairs : vous êtes seul sur votre connexion
  • Pas de portail captif douteux
  • Vitesse souvent supérieure en 5G aux Wi-Fi publics saturés
  • Connexion VPN possible par-dessus pour double couche

Forfaits pro : la quasi-totalité des forfaits entreprise modernes incluent 50 Go à illimité de data, suffisants pour un déplacement. Activer le partage de connexion sur iPhone : Réglages → Données cellulaires → Partage de connexion. Sur Android : Paramètres → Réseau → Point d'accès Wi-Fi / Partage de connexion.

Bonne pratique en déplacement : désactiver le Wi-Fi automatique sur le téléphone et l'ordinateur pour éviter une connexion involontaire à un faux hot-spot. Activer le Wi-Fi uniquement quand on a explicitement choisi un réseau de confiance.

Publicité
4

Déplacement professionnel : les 10 règles essentielles

  1. Inventaire avant départ : équipements emportés, données présentes, mots de passe nécessaires
  2. Chiffrement intégral du disque actif (BitLocker / FileVault) — perte ou vol = pas de fuite
  3. VPN configuré et testé avant le départ
  4. Partage de connexion 4G/5G activé en priorité sur Wi-Fi public
  5. Filtre écran de confidentialité sur le PC pour les déplacements en train / avion (limite l'angle de vue)
  6. Verrouillage en quittant les yeux : même 30 secondes pour aller chercher un café
  7. Pas de discussion confidentielle en lieu public — train, avion, café, lobby d'hôtel
  8. Pas d'utilisation d'imprimantes / postes publics : ils sont souvent infectés ou enregistrés
  9. Pays à risque (Chine, Russie, certains pays moyen-orientaux) : appliquer la politique de l'ANSSI — équipement dédié, données minimales, retour en quarantaine
  10. Signalement de tout incident au retour : perte, vol, intrusion suspecte, comportement inhabituel de l'appareil
5

Les ports USB en lieu public : attention aux « juice jacking »

Une menace souvent oubliée : les bornes de recharge USB publiques (aéroports, gares, hôtels, halls de conférence). Un attaquant peut compromettre la borne pour exfiltrer les données du téléphone qui s'y branche — c'est ce qu'on appelle le juice jacking (« vol par jus »).

Le FBI a publié un avertissement officiel en 2023 sur cette menace, suivi par l'ANSSI en France. Parades simples :

  • Privilégier les prises secteur avec son propre chargeur (les chargeurs USB-A et USB-C sont universels et compacts)
  • Utiliser un « USB condom » ou « USB data blocker » : adaptateur 1-2 € qui bloque physiquement les broches de données, ne laissant passer que l'alimentation
  • Refuser tout dialogue de transfert qui apparaît sur le téléphone à la connexion (« faire confiance à cet ordinateur ? » → Non)
  • Batterie externe (powerbank) personnelle : la meilleure solution, autonomie 1-2 charges sans dépendre d'un réseau public
6

L'attaque par évil maid et les chambres d'hôtel

L'attaque evil maid (femme de chambre malveillante) est un classique de la sécurité physique. Le scénario : vous laissez votre ordinateur dans une chambre d'hôtel pendant une réunion, un agent malveillant (femme de chambre achetée, faux technicien) accède à votre matériel pendant 10 minutes et :

  • Installe un keylogger matériel ou logiciel
  • Compromet le firmware UEFI / BIOS
  • Implante un dispositif USB qui exfiltrera des données au branchement
  • Photographie / copie des documents accessibles

Cette menace cible principalement les VIP et les déplacements en pays à risque, mais peut toucher quiconque a des données sensibles. Parades :

  • Ne pas laisser le matériel dans la chambre : emporter le PC dans le sac à dos en toute circonstance
  • Coffre-fort de l'hôtel : meilleure que la chambre, mais le code peut être ouvert par le personnel de l'hôtel
  • Sceaux d'inviolabilité sur les ports et plis du boîtier : permet de détecter une intrusion physique
  • Politique « voyage à risque » de l'ANSSI : équipement dédié à usage unique, données minimales, retour en quarantaine pour analyse forensique
Arbre de décision « dois-je utiliser le VPN ? »
Sur quel réseau êtes-vous ?
Domicile / Entreprise
Wi-Fi WPA3 ou Ethernet
VPN optionnel
Café / Hôtel / Coworking
Wi-Fi partagé, portail captif
VPN recommandé
Aéroport / Train / Public
Réseau ouvert, denses utilisateurs
VPN obligatoire
Alternative supérieure : partage de connexion 4G/5G du smartphone pro (chiffré, isolé, simple)
À retenir
  • Wi-Fi public = risque élevé : Evil Twin, MitM, portail captif piégé, attaques sur pairs.
  • HTTPS partout protège le contenu web, mais pas tout le trafic. VPN ou 4G/5G recommandés.
  • Partage de connexion 4G/5G = souvent la meilleure alternative au Wi-Fi public.
  • 10 règles déplacement pro : chiffrement, VPN, filtre écran, verrouillage, pas de discussion publique.
  • Juice jacking : ne pas brancher son téléphone sur des ports USB publics. Powerbank ou prise secteur.
  • Evil maid : matériel pro jamais laissé en chambre d'hôtel. Voyage à risque = équipement dédié.
Sommaire de la formation
Progression : 67%