Le choix entre hotspot mobile (partage de connexion 4G ou 5G depuis son smartphone) et WiFi public (réseau de l'aéroport, de l'hôtel, du café) est devenu un arbitrage courant pour le télétravailleur en déplacement, le voyageur, ou simplement n'importe qui qui veut consulter ses mails en dehors de chez lui. La question est souvent posée en termes binaires — « lequel est plus sûr » — alors que les deux technologies ont des surfaces d'attaque profondément différentes et que la bonne réponse dépend autant de l'usage que du contexte.
Ce guide compare précisément ce que chaque acteur (opérateur mobile, fournisseur du hotspot WiFi, attaquant local potentiel) peut voir et faire selon la techno, donne des chiffres concrets de coût data en 2026, et présente la stack la plus défensive (hotspot mobile + VPN) pour les usages à enjeu.
Comment fonctionne chaque techno
Pour comparer ce que chaque acteur peut techniquement voir, il faut d'abord comprendre la topologie de chaque connexion.
Hotspot mobile — partage 4G ou 5G via le téléphone. Quand tu actives le partage de connexion (Personal Hotspot sur iOS, Point d'accès mobile sur Android), ton téléphone se transforme en routeur Wi-Fi. Côté radio cellulaire, le téléphone établit une connexion chiffrée vers une antenne de ton opérateur (Orange, Free, SFR, Bouygues en France), via les standards 4G LTE ou 5G NR. Côté Wi-Fi local, le téléphone diffuse un SSID privé avec mot de passe WPA2 ou WPA3, et les autres devices (ton ordinateur portable, ta tablette) s'y connectent comme à n'importe quel routeur. Le trafic des devices passe par le téléphone, puis par l'antenne, puis par le cœur de réseau opérateur, puis vers Internet. Deux liens chiffrés en chaîne : Wi-Fi local (WPA2/WPA3) + radio cellulaire (NEA2/5G-EA).
WiFi public — opérateur centralisé. Tu rejoins le SSID de l'aéroport, du café ou de l'hôtel. Authentification via mot de passe partagé en caisse, ou réseau ouvert avec captive portal. Le trafic passe par le routeur Wi-Fi de l'établissement, puis par la connexion Internet de l'établissement (fibre, ADSL professionnel, ou parfois 4G/5G de secours). Côté radio Wi-Fi, le chiffrement dépend de la version : WPA3 (rare en 2026 hors gros lieux récents), WPA2-PSK avec mot de passe partagé (le plus fréquent), ouvert sans chiffrement (cafés simples, certains aéroports). Côté infrastructure interne, l'opérateur du hotspot peut logger et analyser le trafic — c'est l'usage commercial des solutions Cisco Meraki, Aruba, Ruckus.
Différence structurelle principale. Sur hotspot mobile, un attaquant à portée radio ne peut rien faire en passif — la liaison cellulaire est chiffrée par construction. Sur Wi-Fi public ouvert ou WPA2 avec mot de passe partagé connu de tous, un autre client connecté au même réseau peut potentiellement sniffer le trafic des autres clients en mode promiscuous. C'est la base technique pour laquelle un hotspot mobile est par défaut plus sûr qu'un Wi-Fi public — l'attaque locale passive est tout simplement impossible sur cellulaire.
Détails techniques : la 4G LTE utilise les algorithmes EEA1 (Snow 3G), EEA2 (AES-128 en mode counter), EEA3 (ZUC, optimisé pour la Chine) pour le chiffrement de la couche radio, décrits dans les spécifications 3GPP. La 5G NR ajoute le 5G-EA avec des suites renforcées (AES-256 possible) et le chiffrement de l'IMSI au moment de l'enregistrement initial (SUCI). Le Wikipedia 5G Security couvre les détails de la pile.
Surface d'attaque comparée — qui peut faire quoi
Le tableau ci-dessous synthétise les acteurs et leurs capacités selon la techno. Lecture par ligne — chaque acteur a un accès différent dans chaque cas.
| Acteur | Hotspot 4G/5G | Wi-Fi public ouvert | Wi-Fi public WPA2-PSK | Wi-Fi public WPA3 |
|---|---|---|---|---|
| Ton opérateur mobile | Voit DNS + IP destination | — | — | — |
| Opérateur du hotspot | — | Voit DNS + IP + tracking commercial | Voit DNS + IP + tracking commercial | Voit DNS + IP (chiffrement client/AP) |
| Autre client connecté | Aucun accès | Peut sniffer (Wireshark) | Peut sniffer (PSK partagé) | Ne peut pas sniffer (OWE/SAE) |
| Attaquant à portée radio (passif) | Aucun accès (chiffré radio) | Peut sniffer (radio en clair) | Aucun accès direct | Aucun accès direct |
| Attaquant à portée radio (actif, Evil Twin) | Très difficile (faux BTS = IMSI catcher, coûteux) | Facile (faux SSID) | Facile (faux SSID + même PSK) | Plus difficile |
| Tracking commercial (Meraki, analytics MAC) | Limité (juste l'opérateur) | Tracking complet par OUI/MAC | Tracking complet | Tracking partiel (OWE chiffre par client) |
| Captive portal compromis | Non applicable | Possible | Possible | Possible |
Lecture du tableau. Sur hotspot mobile, la liste des acteurs ayant accès à ton trafic se réduit drastiquement par rapport au Wi-Fi public. Seul ton opérateur mobile a une vue significative — et c'est exactement la même vue qu'un FAI fixe à la maison. Les vecteurs d'attaque locale (sniffing, Evil Twin, captive portal compromis, tracking commercial par MAC) deviennent inapplicables ou très coûteux pour l'attaquant. Sur Wi-Fi public en mode WPA2-PSK avec mot de passe affiché en caisse (le cas le plus fréquent en 2026), la surface d'attaque inclut tous les autres clients connectés au même réseau — ce qui inclut potentiellement un attaquant opportuniste avec un setup minimal.
Cas important : WiFi public en WPA3 avec OWE (rare mais émergent en 2026) supprime la possibilité de sniffing entre clients connectés — chaque client a une clé éphémère unique avec l'AP. Mais l'opérateur du hotspot voit toujours le trafic et peut tracer. Donc WPA3 améliore la situation Wi-Fi public sans la rendre équivalente au hotspot mobile sur le plan de la confidentialité face à l'opérateur.
Cas pratiques — quand préférer hotspot, quand préférer WiFi
Au-delà de la sécurité brute, plusieurs critères pratiques entrent dans la décision : vitesse, batterie, coût data, contexte. Voici les profils typiques.
Profil 1 — Email + navigation web standard en mobilité. Cas courant : voyageur en train, télétravailleur en café, conférence. Recommandation : hotspot mobile par défaut. La consommation est modérée (~50 Mo/h navigation, ~10 Mo/h email), donc même un forfait modeste (10 Go/mois) tient sur une journée de mobilité. La sécurité est sensiblement meilleure que sur Wi-Fi public. La batterie du téléphone se vide plus vite — prévoir une batterie externe ou alimentation. Sur 5G urbain dense, le débit est largement suffisant pour confort.
Profil 2 — Visio prolongée (Zoom, Teams) en mobilité. Cas type : journée de réunions dans un Airbnb sans Wi-Fi fiable. Recommandation : selon couverture 5G. En zone 5G stable, le hotspot mobile reste viable (~500 Mo/h en HD, environ 4 Go pour une journée). En zone 4G avec couverture moyenne, la latence et les coupures rendent l'expérience inégale — basculer sur Wi-Fi public peut être nécessaire. Si Wi-Fi public obligatoire, activer impérativement le VPN avec kill switch (voir risques WiFi public 2026).
Profil 3 — Streaming vidéo prolongé (Netflix, YouTube). Recommandation : Wi-Fi domestique ou Wi-Fi public fiable. Le coût data sur hotspot devient prohibitif (3 Go/h en 1080p, 7 Go/h en 4K). Un forfait 100 Go/mois s'évapore en quelques heures de streaming. Le Wi-Fi public reste viable techniquement, à condition d'avoir un VPN actif et de ne pas saisir de credentials sensibles sur le captive portal.
Profil 4 — Accès à un service banque, espace pro sensible. Recommandation : hotspot mobile sans hésitation. La surface d'attaque réduite et l'impossibilité de sniffing local en font le médium adapté pour les opérations à enjeu. Activer en plus le VPN pour fermer la fuite vers l'opérateur. Le surcoût data est négligeable (banque consomme quelques Mo). Cette pratique est recommandée par plusieurs CSIRT corporates pour les opérations sensibles en déplacement.
Profil 5 — Téléchargement gros fichier (mise à jour OS, ISO système, vidéo lourde). Recommandation : Wi-Fi. Le hotspot mobile coûte trop cher en data, et la 5G urbaine reste limitée par les politiques de fair use des opérateurs (throttling après un seuil dans certains forfaits). Préférer un Wi-Fi domestique, ou attendre d'être chez un partenaire de confiance.
Profil 6 — Voyageur international avec opérateur partenaire. Recommandation : dépend du forfait roaming. Dans l'UE, l'itinérance « roam like at home » fait que ton forfait métropolitain marche à l'identique — préférer le hotspot mobile. Hors UE, les frais d'itinérance peuvent rendre le hotspot mobile catastrophique (5-10 €/Mo dans certains pays). Acheter une eSIM locale (Airalo, Holafly) résout le problème et restaure l'avantage hotspot mobile. À défaut, Wi-Fi public avec VPN devient la meilleure option économique.
Coût data réel par usage — chiffres 2026
Ordres de grandeur pour planifier ta consommation hotspot mensuelle. Données mesurées en interne et croisées avec les rapports ARCEP et les communications opérateurs publics.
Activités légères (< 100 Mo/h).
- Email pro avec synchro continue : ~5-10 Mo/h
- Messagerie (WhatsApp, Signal, iMessage) : ~5-15 Mo/h
- Navigation web textuelle (presse, recherche) : ~30-80 Mo/h
- Banque, espaces administratifs (impôts, sécurité sociale) : ~10-30 Mo/h
- Réseaux sociaux scroll modéré (Twitter/X, LinkedIn) : ~50-100 Mo/h
Activités moyennes (100-500 Mo/h).
- Navigation web standard avec images : ~100-200 Mo/h
- Streaming audio (Spotify, Deezer, podcasts) : ~50-150 Mo/h selon qualité
- Vidéo standard 480p (YouTube, formation en ligne) : ~250-400 Mo/h
- Visio HD (Zoom, Teams, Google Meet) : ~500 Mo/h
- Réseaux sociaux avec autoplay vidéo : ~300-600 Mo/h
Activités lourdes (> 1 Go/h).
- Streaming vidéo HD 720p : ~1.5 Go/h
- Streaming vidéo HD 1080p : ~3 Go/h
- Streaming vidéo 4K : ~7 Go/h
- Téléchargement OS update, ISO : variable mais souvent 3-10 Go pour une mise à jour majeure
- Gaming cloud (GeForce Now, Xbox Cloud) : ~10-15 Go/h
Forfaits opérateurs FR usuels 2026 (ordre indicatif).
- Forfaits 100-150 Go : ~10-20 €/mois (suffisant usage hotspot occasionnel)
- Forfaits 200-300 Go : ~20-30 €/mois (usage hotspot régulier)
- Forfaits illimités 5G : ~30-50 €/mois (usage intensif, télétravail itinérant)
Conseil pratique. Pour un télétravailleur qui utilise le hotspot 2-3 jours par mois sur des activités email + web + visio modérée, un forfait 100 Go suffit largement. Pour un nomade digital permanent, basculer vers un forfait illimité 5G (Sosh Pro Free, Bouygues B&You 5G illimité) résout la question budgétaire et permet de fonctionner exclusivement sur hotspot mobile sans angoisse.
★ Audit Deloitte 2024 · ✓ Garantie 30 jours · 14M+ utilisateurs (source : NordVPN press)
Compléter ton hotspot mobile avec un VPN auditéAudit no-log Deloitte 2024 · Kill switch système · 30 jours satisfait ou remboursé→Combiner hotspot mobile + VPN — la stack la plus sûre
Pour les usages où la sécurité prime (banque sensible, télétravail sur données confidentielles, journalisme en mobilité, voyage dans des juridictions à risque), la combinaison hotspot mobile + VPN ferme la quasi-totalité des vecteurs d'attaque locaux et masque ton activité à ton opérateur mobile. C'est la stack défensive la plus complète accessible à un utilisateur ordinaire.
Configuration recommandée. Étape 1 : activer le partage de connexion sur ton téléphone (Personal Hotspot iOS, Point d'accès Android), avec WPA2 ou WPA3 et un mot de passe fort. Étape 2 : connecter ton ordinateur ou tablette au SSID privé du téléphone. Étape 3 : activer le client VPN sur le device final (ordinateur, tablette), avec kill switch en mode système. Étape 4 : vérifier l'absence de fuites via notre outil Test fuite DNS. Étape 5 : confirmer l'IP visible avec notre outil Mon IP.
Pourquoi cette configuration domine. Le hotspot mobile ferme les attaques locales (sniffing, Evil Twin, captive portal). Le VPN ferme la fuite vers l'opérateur mobile (qui voit normalement DNS et IP destination). La couche cellulaire chiffrée + couche Wi-Fi locale chiffrée + tunnel VPN chiffré = triple couche défensive. Un attaquant qui voudrait casser cette stack devrait soit compromettre ton device, soit compromettre le serveur VPN, soit compromettre le cœur de réseau opérateur — trois cibles distinctes et coûteuses.
Cas où c'est sur-dimensionné. Pour de la navigation web ordinaire sans enjeu, c'est trop. Pour consulter ses mails personnels en attendant un train, c'est trop. Le hotspot mobile seul (sans VPN) suffit déjà à neutraliser les attaques locales — le VPN s'ajoute pour la confidentialité face à l'opérateur, pas pour la sécurité brute. Activer le VPN quand l'activité le justifie (banque, mail pro, télétravail) et laisser tomber quand ce n'est pas nécessaire est une approche raisonnable.
Cas où ce n'est pas suffisant. Pour un journaliste avec une source en pays à risque, pour un lanceur d'alerte, pour une activité de très haute valeur ciblée par un acteur étatique — la stack hotspot + VPN reste insuffisante. Il faut ajouter Tor (idéalement depuis Tails sur USB), opérer depuis un device dédié, utiliser une SIM anonyme/prépayée non liée à ton identité, et compartimenter strictement. Voir Tor vs VPN différences et complémentarités pour le détail.
Limite côté batterie. Le partage de connexion consomme la batterie du téléphone à un rythme accéléré (radio cellulaire active + Wi-Fi en émission simultanée). Sur usage prolongé, prévoir une batterie externe ou une alimentation. Sur 5G, la consommation est plus élevée qu'en 4G — basculer en 4G via les réglages réseau peut prolonger l'autonomie si le débit suffit.
Limite côté roaming international. Hors UE, le coût data peut exploser. Préparer le voyage avec une eSIM locale (Airalo, Holafly, Nomad), ou souscrire à l'option roaming spécifique de ton opérateur. À défaut, basculer sur Wi-Fi public avec VPN devient la solution pragmatique — moins défensive mais économiquement viable.
Synthèse : décision selon ton usage
Trois règles pratiques résument la décision pour la majorité des cas.
Règle 1 — Par défaut, préférer le hotspot mobile. Sauf cas spécifique (téléchargement lourd, streaming HD prolongé, zone sans couverture 4G/5G), la combinaison sécurité supérieure + confidentialité accrue + déploiement instantané rend le hotspot mobile préférable au Wi-Fi public pour la majorité des usages mobiles.
Règle 2 — Si Wi-Fi public obligatoire, VPN actif systématiquement. Pas de Wi-Fi public sans VPN avec kill switch activé. C'est non-négociable pour toute activité au-delà de la consultation passive d'information publique. Le VPN ferme les fuites principales (SNI, DNS, IP) et neutralise les attaques locales. Voir kill switch VPN expliqué pour le détail de la pièce critique.
Règle 3 — Combinaison hotspot mobile + VPN pour activités à enjeu. Banque sensible, télétravail sur données confidentielles, journalisme, voyage en juridiction à risque : combiner les deux couches. Surcoût marginal en data, gain défensif substantiel.
Pour aller plus loin
Le choix hotspot mobile vs WiFi public n'est pas une question de mode mais d'arbitrage entre sécurité, coût et disponibilité. Pour la majorité des usages en mobilité, le hotspot mobile gagne sur la sécurité face aux attaques locales et sur la confidentialité face aux opérateurs Wi-Fi commerciaux — au prix de la consommation data. Combiné à un VPN audité avec kill switch, c'est la stack la plus défensive accessible à un utilisateur ordinaire en 2026. Sur les Wi-Fi publics qu'on ne peut pas éviter (avion sans hotspot mobile à bord, sous-sol sans couverture cellulaire, zone roaming hors UE), le VPN reste la mesure structurante. Pour vérifier régulièrement que ton VPN fait son travail, notre audit VPN complet en 9 tests reste la procédure de référence.
Mobilité, hotspot et sécurité réseau — guides liés
- Risques du WiFi public en 2026 →Pillar complet du cluster sécurité réseau
- Kill switch VPN expliqué →Pièce critique sur réseau public
- Audit VPN complet en 9 tests →Procédure trimestrielle de vérification
- Avis NordVPN après 8 mois →Test long Deloitte au quotidien
- Tester les fuites DNS et WebRTC →Vérification rapide en 30 secondes
Article publié le 29 mai 2026. Méthodologie : synthèse des spécifications 3GPP sur 4G LTE et 5G NR (TS 33.401 sécurité LTE, TS 33.501 sécurité 5G), des rapports ARCEP sur le marché mobile français 2023-2025, des publications académiques sur les IMSI catchers (papiers SecureComm 2018-2021), et des mesures de consommation data effectuées en interne sur trois mois (mars-mai 2026) sur un setup Pixel 8 + MacBook + NordVPN. Données opérateurs FR croisées avec les communications publiques d'Orange, Free, SFR, Bouygues.
★ Audit Deloitte 2024 · ✓ Garantie 30 jours · 14M+ utilisateurs (source : NordVPN press)
Voir l'offre NordVPN30 jours satisfait ou remboursé→
