AnonymFlow
securite-reseauINFO

Hotspot mobile vs WiFi public : lequel est vraiment plus sûr en 2026

Surface d'attaque comparée entre hotspot 4G/5G partagé et WiFi public d'aéroport ou hôtel, qui voit quoi côté opérateur mobile vs fournisseur de hotspot, coût data réel et stack la plus sûre avec VPN.

Par Eric Gerard · Éditeur · AnonymFlow15 min de lecturePhoto : Unsplash

Le choix entre hotspot mobile (partage de connexion 4G ou 5G depuis son smartphone) et WiFi public (réseau de l'aéroport, de l'hôtel, du café) est devenu un arbitrage courant pour le télétravailleur en déplacement, le voyageur, ou simplement n'importe qui qui veut consulter ses mails en dehors de chez lui. La question est souvent posée en termes binaires - « lequel est plus sûr » - alors que les deux technologies ont des surfaces d'attaque profondément différentes et que la bonne réponse dépend autant de l'usage que du contexte.

Ce guide compare précisément ce que chaque acteur (opérateur mobile, fournisseur du hotspot WiFi, attaquant local potentiel) peut voir et faire selon la techno, donne des chiffres concrets de coût data en 2026, et présente la stack la plus défensive (hotspot mobile + VPN) pour les usages à enjeu.

Comment fonctionne chaque techno

Pour comparer ce que chaque acteur peut techniquement voir, il faut d'abord comprendre la topologie de chaque connexion.

Hotspot mobile - partage 4G ou 5G via le téléphone. Quand tu actives le partage de connexion (Personal Hotspot sur iOS, Point d'accès mobile sur Android), ton téléphone se transforme en routeur Wi-Fi. Côté radio cellulaire, le téléphone établit une connexion chiffrée vers une antenne de ton opérateur (Orange, Free, SFR, Bouygues en France), via les standards 4G LTE ou 5G NR. Côté Wi-Fi local, le téléphone diffuse un SSID privé avec mot de passe WPA2 ou WPA3, et les autres devices (ton ordinateur portable, ta tablette) s'y connectent comme à n'importe quel routeur. Le trafic des devices passe par le téléphone, puis par l'antenne, puis par le cœur de réseau opérateur, puis vers Internet. Deux liens chiffrés en chaîne : Wi-Fi local (WPA2/WPA3) + radio cellulaire (NEA2/5G-EA).

WiFi public - opérateur centralisé. Tu rejoins le SSID de l'aéroport, du café ou de l'hôtel. Authentification via mot de passe partagé en caisse, ou réseau ouvert avec captive portal. Le trafic passe par le routeur Wi-Fi de l'établissement, puis par la connexion Internet de l'établissement (fibre, ADSL professionnel, ou parfois 4G/5G de secours). Côté radio Wi-Fi, le chiffrement dépend de la version : WPA3 (rare en 2026 hors gros lieux récents), WPA2-PSK avec mot de passe partagé (le plus fréquent), ouvert sans chiffrement (cafés simples, certains aéroports). Côté infrastructure interne, l'opérateur du hotspot peut logger et analyser le trafic - c'est l'usage commercial des solutions Cisco Meraki, Aruba, Ruckus.

Différence structurelle principale. Sur hotspot mobile, un attaquant à portée radio ne peut rien faire en passif - la liaison cellulaire est chiffrée par construction. Sur Wi-Fi public ouvert ou WPA2 avec mot de passe partagé connu de tous, un autre client connecté au même réseau peut potentiellement sniffer le trafic des autres clients en mode promiscuous. C'est la base technique pour laquelle un hotspot mobile est par défaut plus sûr qu'un Wi-Fi public - l'attaque locale passive est tout simplement impossible sur cellulaire.

Détails techniques : la 4G LTE utilise les algorithmes EEA1 (Snow 3G), EEA2 (AES-128 en mode counter), EEA3 (ZUC, optimisé pour la Chine) pour le chiffrement de la couche radio, décrits dans les spécifications 3GPP. La 5G NR ajoute le 5G-EA avec des suites renforcées (AES-256 possible) et le chiffrement de l'IMSI au moment de l'enregistrement initial (SUCI). Le Wikipedia 5G Security couvre les détails de la pile.

Surface d'attaque comparée - qui peut faire quoi

Le tableau ci-dessous synthétise les acteurs et leurs capacités selon la techno. Lecture par ligne - chaque acteur a un accès différent dans chaque cas.

ActeurHotspot 4G/5GWi-Fi public ouvertWi-Fi public WPA2-PSKWi-Fi public WPA3
Ton opérateur mobileVoit DNS + IP destination---
Opérateur du hotspot-Voit DNS + IP + tracking commercialVoit DNS + IP + tracking commercialVoit DNS + IP (chiffrement client/AP)
Autre client connectéAucun accèsPeut sniffer (Wireshark)Peut sniffer (PSK partagé)Ne peut pas sniffer (OWE/SAE)
Attaquant à portée radio (passif)Aucun accès (chiffré radio)Peut sniffer (radio en clair)Aucun accès directAucun accès direct
Attaquant à portée radio (actif, Evil Twin)Très difficile (faux BTS = IMSI catcher, coûteux)Facile (faux SSID)Facile (faux SSID + même PSK)Plus difficile
Tracking commercial (Meraki, analytics MAC)Limité (juste l'opérateur)Tracking complet par OUI/MACTracking completTracking partiel (OWE chiffre par client)
Captive portal compromisNon applicablePossiblePossiblePossible

Lecture du tableau. Sur hotspot mobile, la liste des acteurs ayant accès à ton trafic se réduit drastiquement par rapport au Wi-Fi public. Seul ton opérateur mobile a une vue significative - et c'est exactement la même vue qu'un FAI fixe à la maison. Les vecteurs d'attaque locale (sniffing, Evil Twin, captive portal compromis, tracking commercial par MAC) deviennent inapplicables ou très coûteux pour l'attaquant. Sur Wi-Fi public en mode WPA2-PSK avec mot de passe affiché en caisse (le cas le plus fréquent en 2026), la surface d'attaque inclut tous les autres clients connectés au même réseau - ce qui inclut potentiellement un attaquant opportuniste avec un setup minimal.

Cas important : WiFi public en WPA3 avec OWE (rare mais émergent en 2026) supprime la possibilité de sniffing entre clients connectés - chaque client a une clé éphémère unique avec l'AP. Mais l'opérateur du hotspot voit toujours le trafic et peut tracer. Donc WPA3 améliore la situation Wi-Fi public sans la rendre équivalente au hotspot mobile sur le plan de la confidentialité face à l'opérateur.

Cas pratiques - quand préférer hotspot, quand préférer WiFi

Au-delà de la sécurité brute, plusieurs critères pratiques entrent dans la décision : vitesse, batterie, coût data, contexte. Voici les profils typiques.

Profil 1 - Email + navigation web standard en mobilité. Cas courant : voyageur en train, télétravailleur en café, conférence. Recommandation : hotspot mobile par défaut. La consommation est modérée (~50 Mo/h navigation, ~10 Mo/h email), donc même un forfait modeste (10 Go/mois) tient sur une journée de mobilité. La sécurité est sensiblement meilleure que sur Wi-Fi public. La batterie du téléphone se vide plus vite - prévoir une batterie externe ou alimentation. Sur 5G urbain dense, le débit est largement suffisant pour confort.

Profil 2 - Visio prolongée (Zoom, Teams) en mobilité. Cas type : journée de réunions dans un Airbnb sans Wi-Fi fiable. Recommandation : selon couverture 5G. En zone 5G stable, le hotspot mobile reste viable (~500 Mo/h en HD, environ 4 Go pour une journée). En zone 4G avec couverture moyenne, la latence et les coupures rendent l'expérience inégale - basculer sur Wi-Fi public peut être nécessaire. Si Wi-Fi public obligatoire, activer impérativement le VPN avec kill switch (voir risques WiFi public 2026).

Profil 3 - Streaming vidéo prolongé (Netflix, YouTube). Recommandation : Wi-Fi domestique ou Wi-Fi public fiable. Le coût data sur hotspot devient prohibitif (3 Go/h en 1080p, 7 Go/h en 4K). Un forfait 100 Go/mois s'évapore en quelques heures de streaming. Le Wi-Fi public reste viable techniquement, à condition d'avoir un VPN actif et de ne pas saisir de credentials sensibles sur le captive portal.

Profil 4 - Accès à un service banque, espace pro sensible. Recommandation : hotspot mobile sans hésitation. La surface d'attaque réduite et l'impossibilité de sniffing local en font le médium adapté pour les opérations à enjeu. Activer en plus le VPN pour fermer la fuite vers l'opérateur. Le surcoût data est négligeable (banque consomme quelques Mo). Cette pratique est recommandée par plusieurs CSIRT corporates pour les opérations sensibles en déplacement.

Profil 5 - Téléchargement gros fichier (mise à jour OS, ISO système, vidéo lourde). Recommandation : Wi-Fi. Le hotspot mobile coûte trop cher en data, et la 5G urbaine reste limitée par les politiques de fair use des opérateurs (throttling après un seuil dans certains forfaits). Préférer un Wi-Fi domestique, ou attendre d'être chez un partenaire de confiance.

Profil 6 - Voyageur international avec opérateur partenaire. Recommandation : dépend du forfait roaming. Dans l'UE, l'itinérance « roam like at home » fait que ton forfait métropolitain marche à l'identique - préférer le hotspot mobile. Hors UE, les frais d'itinérance peuvent rendre le hotspot mobile catastrophique (5-10 €/Mo dans certains pays). Acheter une eSIM locale (Airalo, Holafly) résout le problème et restaure l'avantage hotspot mobile. À défaut, Wi-Fi public avec VPN devient la meilleure option économique.

Coût data réel par usage - chiffres 2026

Des câbles réseau en fibre optique lumineux
Des câbles réseau en fibre optique lumineux

Ordres de grandeur pour planifier ta consommation hotspot mensuelle. Données mesurées en interne et croisées avec les rapports ARCEP et les communications opérateurs publics.

Activités légères (< 100 Mo/h).

  • Email pro avec synchro continue : ~5-10 Mo/h
  • Messagerie (WhatsApp, Signal, iMessage) : ~5-15 Mo/h
  • Navigation web textuelle (presse, recherche) : ~30-80 Mo/h
  • Banque, espaces administratifs (impôts, sécurité sociale) : ~10-30 Mo/h
  • Réseaux sociaux scroll modéré (Twitter/X, LinkedIn) : ~50-100 Mo/h

Activités moyennes (100-500 Mo/h).

  • Navigation web standard avec images : ~100-200 Mo/h
  • Streaming audio (Spotify, Deezer, podcasts) : ~50-150 Mo/h selon qualité
  • Vidéo standard 480p (YouTube, formation en ligne) : ~250-400 Mo/h
  • Visio HD (Zoom, Teams, Google Meet) : ~500 Mo/h
  • Réseaux sociaux avec autoplay vidéo : ~300-600 Mo/h

Activités lourdes (> 1 Go/h).

  • Streaming vidéo HD 720p : ~1.5 Go/h
  • Streaming vidéo HD 1080p : ~3 Go/h
  • Streaming vidéo 4K : ~7 Go/h
  • Téléchargement OS update, ISO : variable mais souvent 3-10 Go pour une mise à jour majeure
  • Gaming cloud (GeForce Now, Xbox Cloud) : ~10-15 Go/h

Forfaits opérateurs FR usuels 2026 (ordre indicatif).

  • Forfaits 100-150 Go : ~10-20 €/mois (suffisant usage hotspot occasionnel)
  • Forfaits 200-300 Go : ~20-30 €/mois (usage hotspot régulier)
  • Forfaits illimités 5G : ~30-50 €/mois (usage intensif, télétravail itinérant)

Conseil pratique. Pour un télétravailleur qui utilise le hotspot 2-3 jours par mois sur des activités email + web + visio modérée, un forfait 100 Go suffit largement. Pour un nomade digital permanent, basculer vers un forfait illimité 5G (Sosh Pro Free, Bouygues B&You 5G illimité) résout la question budgétaire et permet de fonctionner exclusivement sur hotspot mobile sans angoisse.

Choix éditorial
4.6 / 5

Compléter ton hotspot mobile avec un VPN audité

Audit no-log Deloitte 2024 · Kill switch système · 30 jours satisfait ou remboursé

Audit Deloitte 2024Garantie 30 jours14M+ utilisateurs
Voir l'offre

Combiner hotspot mobile + VPN - la stack la plus sûre

Pour les usages où la sécurité prime (banque sensible, télétravail sur données confidentielles, journalisme en mobilité, voyage dans des juridictions à risque), la combinaison hotspot mobile + VPN ferme la quasi-totalité des vecteurs d'attaque locaux et masque ton activité à ton opérateur mobile. C'est la stack défensive la plus complète accessible à un utilisateur ordinaire.

Configuration recommandée. Étape 1 : activer le partage de connexion sur ton téléphone (Personal Hotspot iOS, Point d'accès Android), avec WPA2 ou WPA3 et un mot de passe fort. Étape 2 : connecter ton ordinateur ou tablette au SSID privé du téléphone. Étape 3 : activer le client VPN sur le device final (ordinateur, tablette), avec kill switch en mode système. Étape 4 : vérifier l'absence de fuites via notre outil Test fuite DNS. Étape 5 : confirmer l'IP visible avec notre outil Mon IP.

Pourquoi cette configuration domine. Le hotspot mobile ferme les attaques locales (sniffing, Evil Twin, captive portal). Le VPN ferme la fuite vers l'opérateur mobile (qui voit normalement DNS et IP destination). La couche cellulaire chiffrée + couche Wi-Fi locale chiffrée + tunnel VPN chiffré = triple couche défensive. Un attaquant qui voudrait casser cette stack devrait soit compromettre ton device, soit compromettre le serveur VPN, soit compromettre le cœur de réseau opérateur - trois cibles distinctes et coûteuses.

Cas où c'est sur-dimensionné. Pour de la navigation web ordinaire sans enjeu, c'est trop. Pour consulter ses mails personnels en attendant un train, c'est trop. Le hotspot mobile seul (sans VPN) suffit déjà à neutraliser les attaques locales - le VPN s'ajoute pour la confidentialité face à l'opérateur, pas pour la sécurité brute. Activer le VPN quand l'activité le justifie (banque, mail pro, télétravail) et laisser tomber quand ce n'est pas nécessaire est une approche raisonnable.

Cas où ce n'est pas suffisant. Pour un journaliste avec une source en pays à risque, pour un lanceur d'alerte, pour une activité de très haute valeur ciblée par un acteur étatique - la stack hotspot + VPN reste insuffisante. Il faut ajouter Tor (idéalement depuis Tails sur USB), opérer depuis un device dédié, utiliser une SIM anonyme/prépayée non liée à ton identité, et compartimenter strictement. Voir Tor vs VPN différences et complémentarités pour le détail.

Limite côté batterie. Le partage de connexion consomme la batterie du téléphone à un rythme accéléré (radio cellulaire active + Wi-Fi en émission simultanée). Sur usage prolongé, prévoir une batterie externe ou une alimentation. Sur 5G, la consommation est plus élevée qu'en 4G - basculer en 4G via les réglages réseau peut prolonger l'autonomie si le débit suffit.

Limite côté roaming international. Hors UE, le coût data peut exploser. Préparer le voyage avec une eSIM locale (Airalo, Holafly, Nomad), ou souscrire à l'option roaming spécifique de ton opérateur. À défaut, basculer sur Wi-Fi public avec VPN devient la solution pragmatique - moins défensive mais économiquement viable.

Synthèse : décision selon ton usage

Trois règles pratiques résument la décision pour la majorité des cas.

Règle 1 - Par défaut, préférer le hotspot mobile. Sauf cas spécifique (téléchargement lourd, streaming HD prolongé, zone sans couverture 4G/5G), la combinaison sécurité supérieure + confidentialité accrue + déploiement instantané rend le hotspot mobile préférable au Wi-Fi public pour la majorité des usages mobiles.

Règle 2 - Si Wi-Fi public obligatoire, VPN actif systématiquement. Pas de Wi-Fi public sans VPN avec kill switch activé. C'est non-négociable pour toute activité au-delà de la consultation passive d'information publique. Le VPN ferme les fuites principales (SNI, DNS, IP) et neutralise les attaques locales. Voir kill switch VPN expliqué pour le détail de la pièce critique.

Règle 3 - Combinaison hotspot mobile + VPN pour activités à enjeu. Banque sensible, télétravail sur données confidentielles, journalisme, voyage en juridiction à risque : combiner les deux couches. Surcoût marginal en data, gain défensif substantiel.

Pour aller plus loin

Le choix hotspot mobile vs WiFi public n'est pas une question de mode mais d'arbitrage entre sécurité, coût et disponibilité. Pour la majorité des usages en mobilité, le hotspot mobile gagne sur la sécurité face aux attaques locales et sur la confidentialité face aux opérateurs Wi-Fi commerciaux - au prix de la consommation data. Combiné à un VPN audité avec kill switch, c'est la stack la plus défensive accessible à un utilisateur ordinaire en 2026. Sur les Wi-Fi publics qu'on ne peut pas éviter (avion sans hotspot mobile à bord, sous-sol sans couverture cellulaire, zone roaming hors UE), le VPN reste la mesure structurante. Pour vérifier régulièrement que ton VPN fait son travail, notre audit VPN complet en 9 tests reste la procédure de référence.

À voir aussi. En lien : Qu'est-ce que le juice jacking.

Mobilité, hotspot et sécurité réseau - guides liés


Article publié le 29 mai 2026. Méthodologie : synthèse des spécifications 3GPP sur 4G LTE et 5G NR (TS 33.401 sécurité LTE, TS 33.501 sécurité 5G), des rapports ARCEP sur le marché mobile français 2023-2025, des publications académiques sur les IMSI catchers (papiers SecureComm 2018-2021), et des mesures de consommation data effectuées en interne sur trois mois (mars-mai 2026) sur un setup Pixel 8 + MacBook + NordVPN. Données opérateurs FR croisées avec les communications publiques d'Orange, Free, SFR, Bouygues.

Choix éditorial
4.6 / 5

Sécurise ta connexion avec NordVPN

Threat Protection bloque traqueurs & malwares · kill switch · 30 jours remboursé

Audit Deloitte 2024Garantie 30 jours14M+ utilisateurs
Voir l'offre
Tout ce qu'il faut savoir.

Questions fréquentes

Hotspot mobile ou WiFi public, lequel est plus sûr ?

Hotspot mobile dans la grande majorité des cas. Sur 4G ou 5G, le trafic radio entre ton téléphone et l'antenne est chiffré de bout en bout (NEA1/NEA2 sur 4G, 5G-EA sur 5G) - l'écoute passive par un attaquant à portée est impossible sans accéder au cœur de réseau opérateur. Sur WiFi public en mode ouvert ou WPA2-PSK avec mot de passe partagé, tout client connecté peut potentiellement sniffer le trafic des autres avec un outil comme Wireshark. La surface d'attaque côté hotspot mobile se limite donc à ton opérateur (qui voit ton historique DNS comme un FAI) et à des cas spécifiques (IMSI catchers, antennes compromises) - sérieux pour des cibles de haute valeur, marginal pour usage civil courant. Côté WiFi public, l'attaque locale est documentée et fréquente (DEF CON Wall of Sheep, campagnes Evil Twin) en plus du tracking par l'opérateur du hotspot. Conclusion pratique : pour une activité un peu sensible (banque, mail pro), préférer un partage de connexion 4G/5G plutôt qu'un WiFi public, même au prix d'un peu de data consommée.

L'opérateur mobile peut-il voir mon historique ?

Oui, structurellement comme un FAI fixe. Les opérateurs français (Orange, Free, SFR, Bouygues) opèrent leurs propres résolveurs DNS qui résolvent les noms de domaine pour leurs abonnés. Chaque requête DNS est techniquement loguable, et les CGU autorisent généralement la conservation pour des durées variables (mesures techniques, sécurité, obligations légales). Le RGPD encadre l'usage mais ne l'interdit pas - les opérateurs européens conservent des données de connexion pendant 12 mois par défaut (article L34-1 du code des postes français, transposé du droit UE). Côté trafic HTTPS, l'opérateur voit les domaines via SNI et les IPs de destination, sans accéder au contenu chiffré. Un VPN ferme cette fuite - l'opérateur ne voit qu'un tunnel chiffré vers un serveur unique. C'est exactement la même mécanique qu'un FAI fixe avec un VPN domestique. L'ARCEP publie des rapports périodiques sur la gestion des données par les opérateurs.

Combien de data un hotspot consomme-t-il par usage ?

Variable selon l'usage. Référence approximative en 2026 sur les forfaits opérateurs français. Navigation web standard : ~50-150 Mo par heure (selon images, vidéos auto-play). Email : ~10 Mo par heure (synchro continue, sans pièces jointes lourdes). Streaming musique (Spotify, Deezer) : ~50-100 Mo par heure en qualité standard, ~150 Mo en haute qualité. Streaming vidéo standard (480p) : ~500 Mo par heure ; HD 720p : ~1.5 Go/h ; 1080p : ~3 Go/h ; 4K : ~7 Go/h. Visioconférence (Zoom, Teams, Google Meet) : ~500 Mo par heure en HD. Téléchargement gros fichier : 1 Go = environ 5-10 minutes sur 5G urbain. Gaming online : modéré, ~50 Mo par heure mais sensible à la latence. Conséquence pratique : un forfait 100 Go/mois suffit largement pour usage hotspot occasionnel ; un forfait illimité (Orange Sosh Pro, Free 5G illimité) résout la question. Streaming vidéo HD prolongé reste le seul usage qui justifie de basculer sur WiFi pour des raisons de coût/débit.

5G est-elle plus sûre que 4G pour le hotspot ?

Marginalement. La 5G a introduit plusieurs améliorations de sécurité par rapport à la 4G. Premièrement, le chiffrement de l'IMSI au moment de l'enregistrement initial (SUCI/SUPI), qui complique les IMSI catchers - un attaquant ne peut plus capturer ton identifiant de SIM aussi facilement. Deuxièmement, des suites cryptographiques renforcées (5G-EA avec AES-256, AES-128 ou Snow 3G selon configuration). Troisièmement, la possibilité de Network Slicing avec isolation des flux par cas d'usage. Mais en pratique, 4G LTE en 2026 est déjà chiffré radio de bout en bout et n'a pas de faille structurelle exploitable en passif. La différence réelle 4G vs 5G pour le hotspot porte plutôt sur le débit (5G facilement 200-500 Mbps en urbain dense vs 20-100 Mbps en 4G) et la latence (5G ~15 ms vs ~30-50 ms en 4G) que sur la sécurité. Si ton téléphone supporte la 5G et que ta zone est couverte, la préférer pour confort, pas pour sécurité substantiellement différente.

Le VPN reste-t-il utile en hotspot mobile ?

Oui, pour deux raisons. Premièrement, l'opérateur mobile voit ton historique DNS et tes IPs de destination exactement comme un FAI fixe - un VPN ferme cette fuite et empêche la revente ou la conservation prolongée de tes métadonnées par l'opérateur (légal en France sous certaines conditions, encadré par le RGPD). Deuxièmement, en itinérance internationale ou sur un opérateur partenaire moins connu, ton trafic peut être inspecté ou ralenti (DPI, throttling de certains services) - un VPN contourne cette discrimination. Troisièmement, si tu utilises ton hotspot comme passerelle pour un ordinateur ou un autre device, le VPN sur le device final ajoute une couche de chiffrement indépendante de la connexion mobile. La différence principale avec WiFi public : sur hotspot mobile, le VPN protège principalement contre l'opérateur et le profilage marketing, pas contre une attaque locale active (qui est impossible en passif). C'est une utilisation plus défensive-confidentialité que défensive-sécurité. Voir [notre avis NordVPN 2026](/fr/blog/notre-avis-vpn-2026) pour le détail mesuré.