MAC spoofing sur WiFi public : ce que ça change vraiment pour ta vie privée

L'adresse MAC est probablement la pièce la moins comprise du puzzle de tracking offline. Beaucoup d'utilisateurs savent qu'un site web peut leur poser un cookie, qu'une régie publicitaire peut les pister entre sites, mais ignorent que leur téléphone diffuse en permanence un identifiant unique à toute infrastructure Wi-Fi à portée — y compris quand le Wi-Fi n'est pas connecté à un réseau. Centres commerciaux, aéroports, chaînes hôtelières, transports en commun, certaines villes ont massivement déployé ce traçage offline entre 2015 et 2022. La situation s'est améliorée depuis avec la randomisation MAC native sur iOS et Android, mais le sujet reste mal connu et les protections sont partielles.

Ce guide explique précisément ce qu'est une adresse MAC, comment elle est utilisée pour te tracer, ce que la randomisation native ferme et ne ferme pas, comment spoofer manuellement par OS si tu veux pousser plus loin, et les limites structurelles (autres fingerprints) qui font qu'un MAC spoofing seul n'équivaut pas à de l'anonymat sur Wi-Fi public.

Qu'est-ce qu'une adresse MAC, pourquoi elle est traçable

Toute interface réseau — la puce Wi-Fi de ton téléphone, la carte Ethernet de ton PC, la puce Bluetooth, même certaines cartes USB-Wi-Fi externes — est identifiée par une adresse MAC unique. Format standard : 48 bits, représentés en hexadécimal séparés par des deux-points, par exemple D4:3B:04:9F:1A:2E. Cette adresse est assignée à la fabrication par le constructeur du chipset Wi-Fi (Broadcom, Qualcomm, Intel, MediaTek), et est censée être globalement unique pour permettre l'identification sans ambiguïté sur n'importe quel réseau.

Structure de l'adresse — pourquoi elle révèle le fabricant. Les 24 premiers bits (3 premiers octets) forment l'OUI (Organizationally Unique Identifier), assigné par l'IEEE à chaque fabricant. Apple a plusieurs OUI (D4:9A:20, A4:5E:60, etc.), Samsung en a une centaine, Intel pareil. Les 24 derniers bits identifient l'interface individuelle dans l'allocation du fabricant. Conséquence : observer une MAC 04:DB:56:xx:xx:xx révèle qu'il s'agit d'un appareil Apple, observation 48:5D:36:xx:xx:xx révèle un Samsung. Les bases de données OUI sont publiques — l'IEEE publie la liste officielle, et des sites comme Wireshark OUI lookup la cherchent en ligne. Cette correspondance permet aux opérateurs Wi-Fi de profiler la population à portée : « 60 % d'iPhone, 30 % de Samsung, 10 % autres ».

Diffusion en clair en permanence. L'adresse MAC est diffusée à chaque trame Wi-Fi envoyée. Plus subtil : quand ton téléphone n'est connecté à aucun réseau mais que le Wi-Fi est activé, il émet régulièrement des requêtes probe — paquets broadcast qui demandent « est-ce que MaisonWifi est dans le coin ? Est-ce que Wi-Fi-Bureau est ici ? ». Ces requêtes contiennent ta MAC réelle (sauf randomisation) et les SSIDs que tu as mémorisés. Une infrastructure Wi-Fi à portée — borne d'aéroport, antenne de centre commercial, capteur urbain — peut donc t'identifier sans que tu te connectes à quoi que ce soit, simplement en passant à portée radio. Documenté dans la RFC 7042 qui formalise l'allocation MAC et les considérations de privacy.

Stabilité dans le temps. Sans randomisation, ta MAC ne change jamais. C'est le même identifiant sur cinq ans, sur des dizaines de réseaux différents, sur des milliers d'interactions. Un acteur qui a accès aux logs de plusieurs infrastructures Wi-Fi (chaîne de centres commerciaux, opérateur de capteurs urbains, fournisseur de borne aéroport) peut reconstruire ton historique de déplacement avec une précision impressionnante. C'est précisément ce que ferment iOS 14+ et Android 10+ avec la randomisation par SSID.

Comment WiFi public et commerces utilisent la MAC pour te tracker

Le tracking par MAC est une industrie en soi, déployée massivement entre 2014 et 2020 puis partiellement remise en question par la randomisation OS. Tour d'horizon des usages documentés.

Analytics Wi-Fi en magasin (offline analytics). Plusieurs sociétés (Euclid Analytics, RetailNext, Cisco Meraki avec son module CMX, Cloud4Wi) proposent aux retailers une solution qui mesure les flux de fréquentation, les durées de visite, les retours clients via les MACs des smartphones à portée. Le principe : des bornes Wi-Fi captent les requêtes probe en arrière-plan, enregistrent les MAC observées, calculent les durées de présence et les fréquences de retour. Pas besoin que le client se connecte au Wi-Fi du magasin — la simple présence du téléphone Wi-Fi activé suffit. Données revendues sous forme agrégée aux retailers : « combien de visiteurs aujourd'hui, dont X% nouveaux, durée moyenne de visite Y minutes ». Sur des MAC non randomisées (pre-2020), précision quasi-individuelle.

Optimisation flux dans les aéroports et gares. SNCF, ADP (Aéroports de Paris), Lufthansa et plusieurs opérateurs européens utilisent depuis 2015 des solutions de comptage Wi-Fi pour mesurer les temps d'attente aux contrôles, les flux par terminal, les goulots d'étranglement. L'objectif est légitime (optimiser l'expérience voyageur), la méthode est intrusive si non anonymisée. La CNIL a publié plusieurs avis sur le sujet, demandant l'agrégation et la non-conservation des MAC individuelles — pas toujours respecté.

Chaînes hôtelières et profilage longitudinal. Les solutions Wi-Fi managées (Cisco Meraki, Aruba, Ruckus) intègrent par défaut un module qui logue les MACs des clients connectés sur tous les établissements d'une même chaîne. Conséquence : un client qui réside dans deux Hilton différents en six mois est croisé via sa MAC, son profil de séjour est reconstruit (durées, types de chambre, services utilisés). Données revendues à des prestataires marketing tiers ou utilisées en interne pour la personnalisation. Sur MAC randomisée par SSID iOS 14+/Android 10+, la corrélation est cassée — tu présentes une MAC différente sur chaque SSID (potentiellement différent par établissement).

Capteurs urbains. Plusieurs villes (Londres dès 2013 avec les poubelles Wi-Fi de Renew Plc — scandale médiatique et arrêt du programme ; Bordeaux, Lyon, et plusieurs villes asiatiques depuis) ont déployé des capteurs Wi-Fi dans le mobilier urbain pour mesurer les flux piétons. L'industrie défend l'usage pour l'urbanisme (mesurer où marchent les gens), les défenseurs de la vie privée le contestent sur le terrain de la proportionnalité. En France, la CNIL a confirmé en 2018 que ces dispositifs étaient soumis au RGPD et que l'agrégation immédiate des MAC était obligatoire.

Captive portals avec collecte email. Au-delà du tracking passif, beaucoup de Wi-Fi publics demandent un email ou un numéro de téléphone en échange de l'accès — données croisées avec la MAC au moment de la connexion, ce qui permet à l'opérateur de transformer un identifiant technique anonyme (MAC) en identifiant personnel rattaché à un email. La plupart des chaînes de restauration rapide, beaucoup d'hôtels et certains aéroports utilisent ce modèle.

Randomisation MAC native — iOS 14+, Android 10+, Windows 10+

La pression des défenseurs de la vie privée et l'arrivée de la régulation (RGPD en 2018 en Europe) ont poussé les constructeurs OS à intégrer une mitigation native. État du déploiement en 2026.

iOS 14+ (septembre 2020). Apple a introduit la fonctionnalité « Adresse Wi-Fi privée » par défaut sur iOS 14, étendue à iPadOS et watchOS. Le principe : pour chaque SSID auquel le device se connecte, iOS génère une MAC distincte, persistente pour ce SSID. Conséquence : chez toi, tu présentes 02:AB:CD:11:22:33 ; au café, 02:EF:01:55:66:77 ; à l'aéroport, encore une autre. Un opérateur qui n'a accès qu'à une infrastructure ne peut plus te croiser entre ses différents lieux. iOS 16 (2022) a ajouté la rotation automatique toutes les 24h sur certains réseaux, ce qui casse aussi la corrélation entre visites au même SSID. Réglages : Wi-Fi → infos réseau (i) → Adresse Wi-Fi privée → Activé.

Android 10+ (septembre 2019). Google a introduit la randomisation MAC par défaut sur Android 10, avec une MAC distincte par SSID. Implémentation variable selon le constructeur du téléphone — Samsung, Pixel, Xiaomi, OnePlus respectent généralement la spec ; certains constructeurs entry-level ont eu des bugs initiaux. Réglages : Wi-Fi → réseau actuel → Détails → MAC aléatoire / MAC du téléphone (selon ROM). Android 12+ propose une option de rotation périodique explicitement configurable.

Windows 10 build 1703+ et Windows 11. Microsoft a ajouté la randomisation MAC en option dès 2017. Activation : Réglages → Réseau et Internet → Wi-Fi → Adresses matérielles aléatoires → Activé. Par défaut désactivé sur Windows 10, on doit l'activer manuellement. Sur Windows 11, l'option est activée plus souvent par défaut selon la build. Important : la randomisation peut être configurée par SSID (Activé pour ce réseau / Désactivé / Changer tous les jours).

Limites connues de la randomisation native. Premièrement, la MAC reste constante par SSID sauf rotation explicite — donc la deuxième visite au même café est croisable avec la première (sauf Apple 24h ou Windows « changer tous les jours »). Deuxièmement, les requêtes probe peuvent fuiter sur certaines versions OS plus anciennes ou bugguées — des chercheurs ont montré en 2020-2022 que certains modèles continuaient à émettre la MAC réelle en background dans des cas spécifiques. Troisièmement, autres fingerprints (Information Elements Wi-Fi, timing des probes, modèle constructeur visible via OUI) peuvent identifier le device au-delà de la MAC. Pour pousser la protection plus loin, désactiver le Wi-Fi quand on ne l'utilise pas reste la mesure la plus simple — pas de probe émise, pas de tracking possible.

Spoofing manuel — comment changer sa MAC par OS

Si la randomisation native ne suffit pas (vieille version d'OS, besoin spécifique, paranoïa contrôlée), voici les commandes par OS. Note : sur un device récent à jour, la randomisation native est généralement plus pratique et suffisante.

macOS — temporaire jusqu'au redémarrage.

sudo ifconfig en0 ether 02:11:22:33:44:55

en0 est typiquement l'interface Wi-Fi (vérifier avec networksetup -listallhardwareports). Important : déconnecter le Wi-Fi avant de changer (Wi-Fi → Désactiver), puis lancer la commande, puis reconnecter. Le préfixe 02: indique une adresse « localement administrée » (bit U/L à 1) — convention recommandée par la RFC 7042 pour éviter les collisions avec des MAC assignées par constructeur.

Linux — avec macchanger (paquet courant).

sudo ip link set dev wlan0 down
sudo macchanger -r wlan0    # -r pour aléatoire ; -m XX:XX:XX:XX:XX:XX pour valeur précise
sudo ip link set dev wlan0 up

Sur Ubuntu/Debian : sudo apt install macchanger. Pour rendre le changement permanent, créer un script systemd qui s'exécute au boot. Sur NetworkManager (Ubuntu desktop moderne), la randomisation par connexion est configurable graphiquement.

Windows 10/11 — via les paramètres ou outils tiers. Pour la randomisation native : Réglages → Réseau → Wi-Fi → propriétés → Adresses matérielles aléatoires → Activé. Pour un spoof précis (adresse choisie), utiliser un outil tiers comme Technitium MAC Address Changer (gratuit, open source) ou la modification registre. Note : certains drivers Wi-Fi Windows refusent les MAC dont le premier octet impair (bit multicast à 1) — préférer un premier octet pair (02, 06, 0A, 0E, ...).

Android — randomisation native ou root. Sans root, on est limité à la randomisation native par SSID décrite plus haut. Avec root et ADB : adb shell ip link set wlan0 address 02:11:22:33:44:55 (commandes spécifiques au constructeur, peut différer). Plusieurs apps Play Store prétendent changer la MAC sans root — la majorité ne fait que modifier l'affichage et pas la MAC effectivement diffusée.

iOS — pas de spoof manuel sans jailbreak. La fonctionnalité « Adresse Wi-Fi privée » est la seule option supportée. C'est volontairement limité par Apple pour raisons de sécurité et de simplicité.

Vérification. Une fois la MAC changée, vérifier qu'elle est bien diffusée en sniffant ton propre trafic sur un autre device (Wireshark en mode moniteur). Ou via le routeur Wi-Fi (interface admin, table de DHCP) — la MAC affichée doit correspondre à celle attendue.

Limites du spoofing : autres fingerprints qui persistent

C'est le point le plus important à comprendre. Spoofer ta MAC ferme une porte, mais pas toutes — un acteur déterminé peut t'identifier via d'autres signaux. Trois couches résiduelles méritent d'être connues.

Information Elements (IE) Wi-Fi — fingerprint du modèle. Les requêtes probe Wi-Fi contiennent, au-delà du SSID demandé et de la MAC, des Information Elements qui décrivent les capacités du device : version 802.11 supportée, vitesses, fonctionnalités, options de QoS. La combinaison de ces IEs forme une empreinte caractéristique du modèle de smartphone — un Pixel 7 a un profil IE distinct d'un iPhone 14, d'un Samsung S22, d'un OnePlus 10. Des chercheurs (Vanhoef et al., PoPETs 2016) ont montré qu'un fingerprint IE seul permet d'identifier le modèle dans la majorité des cas. Spoofer la MAC ne change pas les IEs. La parade serait de modifier la pile Wi-Fi du device — quasi-impossible sans modifier le kernel.

IMSI catchers et identifiants cellulaire. Sur réseau mobile (4G/5G), l'identifiant équivalent à la MAC est l'IMSI (International Mobile Subscriber Identity) — lié à ta carte SIM. Un faux IMSI catcher (Stingray, dispositifs utilisés par les forces de l'ordre dans plusieurs pays) capture l'IMSI au moment où ton téléphone s'enregistre sur une antenne. La 5G a ajouté du chiffrement de l'IMSI au moment de l'enregistrement, mais beaucoup d'antennes restent en 4G ou downgrade possible. Le MAC spoofing n'a aucun effet sur ce vecteur — c'est un identifiant orthogonal.

Comportement applicatif et timing. Au-delà des identifiants techniques, le comportement de ton device le rend identifiable. Les apps installées font des connexions caractéristiques (services Apple iCloud sur iOS, services Google Play sur Android), le timing de connexion suit ta routine quotidienne (matin/midi/soir), les volumes échangés signent les usages. Un acteur disposant de signaux multiples (MAC + IPs visitées + horaires + IEs) peut te ré-identifier même sur des MAC randomisées par session. Parade : compartimenter (device dédié pour activités sensibles).

Captive portal et identifiants applicatifs. Si tu te connectes au Wi-Fi du café et tu reçois un email/sms d'auth, ton email ou numéro est lié à ta MAC dans la base du fournisseur, peu importe qu'elle soit spoofée. Pour casser ce lien, il faut soit ne pas authentifier (refuser le Wi-Fi qui demande email), soit utiliser un alias email jetable.

Cookies et identifiants navigateur. Le MAC spoofing n'affecte aucunement le tracking applicatif — un cookie tiers de DoubleClick te suit indépendamment de ta MAC. La parade est navigateur durci, blocage tracking, suppression des Google ID iOS/Android, pas le spoofing réseau.

Cas légaux et zone grise en France

Le MAC spoofing est juridiquement banal en France pour usage personnel. Quelques précisions importantes pour cadrer.

Sur ton propre matériel — totalement légal. Changer la MAC de ta propre carte Wi-Fi ou Ethernet est une opération technique standard, documentée par les fabricants OS (Microsoft, Apple, Google fournissent la fonctionnalité native). Aucune disposition du code pénal français n'incrimine spécifiquement le MAC spoofing. C'est le même statut que changer son User-Agent navigateur ou utiliser un proxy — outil technique sans qualification particulière.

Pour usurper la MAC d'un tiers identifié — pénal. Configurer ta MAC pour qu'elle corresponde à celle d'une personne identifiée (collègue, voisin, victime ciblée) afin de contourner un contrôle d'accès Wi-Fi (entreprise qui filtre par MAC), de te faire passer pour cette personne, ou de masquer ton identité dans une activité illicite tombe sous le coup de l'article 323-1 du code pénal (accès frauduleux à un STAD, peine 3 ans / 100 000 €) et potentiellement de l'article 226-4-1 (usurpation d'identité numérique, 1 an / 15 000 €). La frontière n'est pas le spoofing en lui-même mais l'intention — usurper l'identité d'autrui.

En entreprise — vérifier la charte. Beaucoup de chartes informatiques internes interdisent ou déconseillent le spoofing sur le matériel professionnel, soit pour des raisons de traçabilité IT, soit pour ne pas perturber les solutions de NAC (Network Access Control). La sanction n'est pas pénale mais disciplinaire — avertissement, blâme voire licenciement selon la gravité. Sur ton propre device personnel utilisé en BYOD, la marge est plus large mais la charte peut toujours imposer des règles.

Pour contourner un contrôle d'accès — zone grise. Cas classique : un Wi-Fi public propose 1h gratuite par MAC ; tu changes ta MAC pour avoir une deuxième heure gratuite. Stricto sensu, c'est du contournement d'une mesure technique d'accès (article 323-3-1 du code pénal sur l'altération du fonctionnement d'un STAD), mais en pratique non poursuivable au pénal pour un usage anodin et bénin. L'opérateur peut techniquement te bannir et l'établissement peut t'éconduire commercialement. À éviter pour la forme mais pas un risque pénal sérieux.

Cas spécial — wardriving et sniffing de tiers. Capturer les MACs d'autres utilisateurs Wi-Fi à portée pour analyse (recherche, journalisme, audit) est techniquement légal si limité à l'observation passive de signaux radio en clair, mais le RGPD s'applique : les MACs sont considérées comme des données personnelles (TJUE 2016 affaire Breyer, et CNIL France), donc collecte massive nécessite une base légale et une finalité documentée. Pour usage privé pédagogique sur ton propre matériel, pas de problème.

Synthèse : intérêt réel du MAC spoofing en 2026

Le MAC spoofing reste une couche de protection utile mais marginale en 2026. Trois constats résument la situation pratique.

La randomisation native iOS/Android suffit pour 95 % des cas. Sur un device à jour (iPhone iOS 14+, Android 10+), la MAC randomisée par SSID neutralise déjà le tracking inter-lieux par les chaînes commerciales et les opérateurs Wi-Fi. C'est la mesure la plus impactante avec zéro effort. Vérifier que la fonctionnalité est activée par défaut sur tes réseaux Wi-Fi habituels — c'est souvent le cas, mais à confirmer.

Le spoofing manuel sert dans des cas spécifiques. Tests de pénétration sur ton propre réseau, recherche en sécurité, OPSEC poussée pour profil à risque, contournement d'un contrôle d'accès raisonnable sur du matériel à toi. Sur usage courant grand public, l'apport est marginal par rapport à la randomisation native.

La priorité reste le VPN et l'hygiène applicative. Sur Wi-Fi public, le MAC spoofing ne ferme aucune des fuites principales (SNI, DNS, IP de destination, fingerprint navigateur). Le VPN avec kill switch reste la mesure structurante — il chiffre tout le trafic en sortie, indépendamment de l'identifiant MAC observé localement. Le navigateur durci (Brave, Firefox resistFingerprinting, uBlock) ferme la couche applicative. Sans ces deux pièces, spoofer sa MAC c'est verrouiller la porte d'entrée pendant que la fenêtre est ouverte.

Pour aller plus loin

Le MAC spoofing est la pièce la plus visible du tracking offline, mais loin d'être la seule. Pour vraiment maîtriser ce que les infrastructures Wi-Fi voient de toi, il faut combiner : randomisation MAC native activée, désactivation Wi-Fi quand non utilisé, VPN avec kill switch sur tous les hotspots publics, navigateur durci sur le web. Les autres signaux (IEs Wi-Fi, comportement applicatif, identifiants cellulaires) restent au-delà du contrôle utilisateur ordinaire — leur impact est résiduel pour la majorité, structurant pour les profils à enjeu. Pour vérifier que ton setup VPN fonctionne réellement et qu'aucune fuite ne contredit la protection attendue, suivre notre audit VPN complet en 9 tests trimestriellement.

Article publié le 29 mai 2026. Méthodologie : synthèse de la spécification IEEE 802 (allocation MAC, format EUI-48), des RFC IETF (RFC 7042 sur l'allocation, considérations privacy), des publications académiques sur le fingerprinting Wi-Fi (Vanhoef et al. PoPETs 2016, plusieurs papiers USENIX et NDSS sur la randomisation), des recommandations CNIL sur le tracking Wi-Fi (avis 2018, 2021), et des documentations officielles Apple (Adresse Wi-Fi privée), Google (Android Compatibility Definition) et Microsoft (Wi-Fi randomization Windows 10).