Tu es traçable sans GPS : le secret des réseaux Wi-Fi

par | Oct 15, 2025 | CyberSécurité

Vous pensez que votre iPhone vous écoute ?

Votre ordinateur vous donne la météo, mais pourtant, comment il connait le lieu où je réside ?

C’est une sensation familière pour beaucoup d’entre nous : voir apparaître son adresse précise comme si son ordinateur avait une puce GPS intégrée.
Sauf que souvent — surprise — il n’y a pas de GPS.

Alors comment ça marche ?

Et surtout : est-ce qu’on peut vraiment localiser n’importe qui ? Spoiler : oui, dans de nombreux cas. Voici une explication claire, simple et utile pour responsables IT, dirigeants PME et utilisateurs avertis.

Les mécanismes qui permettent la localisation sans GPS

Plusieurs techniques sont combinées pour déterminer une position. Le tableau ci-dessous résume les méthodes principales :

MéthodeSourcePrécision typiqueNécessite GPS ?
Wi-Fi triangulationBases de données (Microsoft, Google, WiGLE…)1–30 m (très précis en zone urbaine dense)
IP géolocaliséeFournisseur d’accès (FAI) et bases IP100 m – 10 km (variable)
CellulaireTours relais / opérateurs50–500 m
Bluetooth / beaconsBalises et appareils à proximité1–10 m dans de bons cas
GPSSatellites1–5 m (meilleur)

Focus : la triangulation Wi-Fi (la clé du « sans GPS »)

La méthode la plus utilisée et la plus précise sur des PC sans GPS est la triangulation Wi-Fi. Concrètement :

  1. Ton appareil scanne les points d’accès Wi-Fi autour de lui et récupère :
    • le SSID (nom du réseau),
    • le BSSID (adresse MAC du point d’accès),
    • la force du signal (RSSI).
  2. Ces informations — une simple liste de « quelles box / quels hotspots sont autour de moi » — sont envoyées à un service de géolocalisation (par exemple Microsoft Location Service, Google Location Services, ou encore des bases communautaires comme WiGLE).
  3. Ces services possèdent d’immenses bases de données qui associent chaque BSSID à des coordonnées GPS (ces coordonnées sont souvent collectées par des smartphones qui avaient le GPS activé et qui ont « vu » ces points d’accès).
  4. En comparant la liste des AP visibles et la puissance des signaux, le service “triangule” ta position — parfois au mètre près dans des zones urbaines très denses.

WiGLE : l’exemple concret (et inquiétant)

WiGLE (wigle.net) est une base de données collaborative très connue. C’est simple et puissant :

  • Des utilisateurs (wardrivers, chercheurs, curieux) scannent les réseaux Wi-Fi autour d’eux avec une appli Android.
  • Ces relevés (BSSID, SSID, coordonnées GPS) sont envoyés à la base WiGLE.
  • Résultat : tu peux rechercher une adresse MAC (BSSID) ou un nom de réseau (SSID) et voir où et quand ce point d’accès a été relevé.

Concrètement, si quelqu’un a relevé la box d’une maison et enregistré sa position, n’importe qui peut retrouver cette box dans WiGLE et en déduire l’adresse approximative — puis recouper avec d’autres indices pour obtenir l’adresse exacte. Et si le SSID contient un nom personnel (ex. “Maison-Dupont”), la corrélation devient encore plus évidente.

En pratique : avec un BSSID trouvé dans un rayon de scan (ton smartphone ou ton laptop), on peut retrouver une personne en cherchant dans ces bases — en particulier en zone urbaine dense où beaucoup de relevés ont été faits.

Pourquoi c’est dangereux / les risques

  • Atteinte à la vie privée : une simple box domestique référencée peut servir d’indicateur d’adresse.
  • Stalking / harcèlement : recoupement possible entre SSID/BSSID et réseaux sociaux ou autres traces en ligne.
  • Attaques ciblées : connaître la présence d’un réseau précis peut aider un attaquant à planifier des attaques Wi-Fi (phishing de type Evil Twin, tentative de bruteforce sur box mal configurée, etc.).
  • Faux sentiment de sécurité : désactiver le partage de position sur une app ne suffit pas si le Wi-Fi ou la box a été cartographiée.

Comment un attaquant pourrait procéder (étapes simples)

  1. Trouver un BSSID/SSID intéressant (ex. via reconnaissance locale ou informations publiques).
  2. Chercher ce BSSID sur une base publique comme WiGLE.
  3. Si l’AP a été relevé, récupérer les coordonnées et l’historique des relevés.
  4. Croiser ces coordonnées avec d’autres données publiques (réseaux sociaux, photos géotagguées, annonces immobilères) pour identifier une personne ou une adresse.
  5. Exploiter l’information pour intrusion physique, social engineering ou attaques réseau ciblées.

Mesures pratiques pour protéger la vie privée et réduire le risque

Voici des actions rapides et efficaces que tout responsable IT ou utilisateur peut appliquer :

  • Renommer ton SSID pour qu’il n’indique pas ton nom ou l’adresse (éviter les “Dupont-Maison”).
  • Désactiver la diffusion du SSID si possible pour les réseaux sensibles (mode caché) — note : ce n’est pas infaillible mais complique la tâche.
  • Changer régulièrement le BSSID / MAC de l’AP si ton matériel le permet (certains firmwares avancés).
  • Activer WPA3 / WPA2-AES et un mot de passe fort — empêche l’accès facile au réseau.
  • Séparer le réseau invité du réseau principal (VLAN) et limiter la durée d’accès invité.
  • Limiter les services exposés (UPnP, administration distante) sur la box.
  • Désactiver le geolocation sharing dans les apps si tu ne veux pas contribuer à ces bases.
  • Surveiller les scans : utiliser des outils de monitoring pour détecter des scans récurrents autour de ton réseau.

Que peuvent offrir les entreprises comme DYB ?

Chez DYB, nous accompagnons les PME sur :

  • Audit de surface d’attaque Wi-Fi (scan, inventaire des AP, configurations faibles).
  • Hardening de la box/routeur et segmentation réseau (Wi-Fi invité, VLANs, règles firewall).
  • Formation employés sur le risque des SSID révélateurs et les bonnes pratiques de confidentialité.
  • Résilience contre l’Evil Twin et détection d’attaques locales via sondes et alerting.

Quand l’IoT rend la situation encore pire

Pareil, mais en pire : l’émergence massive de l’IoT — téléviseurs connectés, enceintes, caméras, robots aspirateurs et autres « robots roulants » — multiplie les points d’émission autour de chez toi, souvent avec des réglages par défaut faibles et sans chiffrement sérieux.

Ces objets restent allumés 24/7, diffusent des informations (SSID, adresses MAC, requêtes de découverte, services exposés) et peuvent être vus par n’importe quel smartphone qui passe dans la rue. Un passant avec son téléphone dans la poche peut enregistrer ces signaux et, en recoupant les données, tracer la présence et les mouvements d’un foyer.

Le problème, c’est que beaucoup d’objets connectés ne reçoivent jamais de mises à jour, conservent des identifiants statiques et exposent des métadonnées exploitables — ce qui transforme ta maison en une constellation de balises repérables.

En clair : plus d’objets connectés = plus de surfaces d’attaque et plus d’indices exploitables pour le pistage, le ciblage ou les intrusions physiques.

Conclusion — technologie utile, responsabilité nécessaire

La géolocalisation par Wi-Fi est un outil formidable pour des services (météo locale, cartographie, apps utiles). Mais la même technique peut être utilisée pour retrouver des adresses et localiser des personnes — parfois très précisément. Connaître ces mécanismes, comprendre des services comme WiGLE, et appliquer des mesures simples limitent grandement le risque.

Si tu veux, DYB peut :

  • réaliser un audit rapide gratuit de ton réseau Wi-Fi,
  • te fournir une checklist de sécurisation (à appliquer sur 30 minutes),
  • ou former ton équipe en 1 heure sur ces risques.