DNS chiffré expliqué : ce que DoH et DoT cachent vraiment — et pourquoi le DNS de votre VPN compte

DNS chiffré expliqué : ce que DoH et DoT cachent vraiment — et pourquoi le DNS de votre VPN compte
Chaque fois que vous visitez un site Web, votre appareil effectue une recherche silencieuse à laquelle la plupart des gens ne pensent jamais : il demande « quelle est l'adresse IP de ce nom de domaine ? » C'est le DNS — l'annuaire téléphonique d'Internet — et pendant la majeure partie de l'histoire du Web, cette question et sa réponse voyageaient en texte clair, lisibles par quiconque se trouvait entre vous et votre serveur DNS. Le DNS chiffré corrige cela. Ce guide explique comment il fonctionne, ce qu'il protège précisément, ce qu'il laisse exposé et comment il se rapporte au VPN que vous utilisez peut-être déjà.
Pourquoi le DNS en texte clair est un problème de confidentialité
Lorsque vous vous connectez à un site via HTTPS, le contenu de votre session est chiffré. Mais la recherche DNS qui se produit d'abord ne l'est généralement pas. Votre fournisseur d'accès Internet — ou toute personne sur le même réseau — peut observer ces recherches et établir une liste complète des domaines que vous visitez, même s'il ne peut pas lire les pages elles-mêmes.
Le DNS en texte clair permet deux dommages distincts. Le premier est la surveillance : votre FAI peut enregistrer et même monétiser votre historique de navigation via les domaines que vous résolvez. Le second est la manipulation : comme la requête n'est pas authentifiée, un réseau peut rediriger ou bloquer les recherches — le mécanisme derrière une grande partie de la censure basée sur le DNS et les fausses pages de connexion servies sur des Wi-Fi hostiles. Le DNS chiffré traite les deux en enveloppant la recherche dans un chiffrement et une protection d'intégrité.
DoH vs DoT : deux façons de chiffrer la recherche
Il existe deux standards courants, et la différence entre eux concerne surtout quel port ils utilisent et donc à quel point ils sont visibles sur le réseau.
DNS over HTTPS (DoH) envoie vos requêtes DNS à l'intérieur du trafic HTTPS ordinaire sur le port 443, standardisé dans la RFC 8484. Parce qu'il ressemble à n'importe quelle autre requête Web, il est difficile pour un réseau de le cibler et de le bloquer — c'est exactement pourquoi les navigateurs l'ont adopté. C'est l'option que vous activerez le plus souvent dans Firefox, Chrome ou Edge.
DNS over TLS (DoT) enveloppe les mêmes requêtes dans TLS mais sur un port dédié 853. Cela le rend plus propre à gérer sur un réseau — les administrateurs peuvent voir et contrôler le trafic DoT distinctement — mais aussi plus facile à bloquer complètement par un réseau restrictif. DoT est courant au niveau du système d'exploitation et du routeur (le DNS privé d'Android, par exemple).
Les deux vous offrent la même protection de base : les requêtes sont chiffrées en transit et authentifiées pour qu'elles ne puissent pas être silencieusement modifiées. DoH privilégie le camouflage ; DoT privilégie une gestion réseau propre. Pour un individu en quête de confidentialité, DoH est généralement le choix le plus résilient.
Ce que le DNS chiffré cache vraiment — et ce qu'il ne cache pas
C'est ici que l'honnêteté compte, car le DNS chiffré est souvent survendu. Il résout bien un problème spécifique et laisse les autres intacts.
Ce qu'il cache :
Le contenu de vos recherches DNS à votre FAI et à quiconque d'autre sur votre réseau local — ils ne peuvent plus lire quels domaines vous résolvez.
L'intégrité de la réponse — un réseau ne peut pas rediriger silencieusement votre recherche vers une destination malveillante ou censurée.
Ce qu'il ne cache PAS :
L'adresse IP de destination. Après la recherche, votre appareil se connecte toujours à cette IP, et votre FAI voit la connexion. Seule, une IP bien connue leur permet souvent de déduire le site.
Le nom du serveur dans la poignée de main TLS (SNI). À moins qu'Encrypted Client Hello soit utilisé, le domaine auquel vous vous connectez est toujours visible dans le premier paquet de la connexion HTTPS elle-même — séparément du DNS.
Vos requêtes auprès du résolveur. Le DNS chiffré déplace votre confiance, il ne la supprime pas. Quiconque exploite le résolveur — 1.1.1.1 de Cloudflare, 8.8.8.8 de Google, Quad9 ou votre FAI — voit maintenant chaque recherche. Choisissez-en un avec une véritable politique de confidentialité.
Les métadonnées en général. Le timing, le volume et les motifs de connexion fuient encore des informations même lorsque les recherches sont chiffrées.
Le DNS chiffré cache à votre réseau quels sites vous recherchez — mais la connexion qui suit révèle encore beaucoup, et le résolveur que vous choisissez voit tout. C'est une base de référence, pas un manteau.
DNS chiffré vs VPN : ils résolvent des couches différentes
Les gens demandent souvent si le DNS chiffré remplace un VPN. Ce n'est pas le cas — ils opèrent à des portées différentes, et comprendre cela évite une erreur courante.
Le DNS chiffré protège uniquement vos recherches DNS. Un VPN chiffre et tunnelise tout votre trafic — les recherches et les connexions qui suivent — vers le serveur VPN, de sorte que votre FAI ne voit qu'un tunnel chiffré vers votre fournisseur et rien des destinations à l'intérieur. Un VPN correctement configuré gère également le DNS pour vous, en routant ces requêtes via le tunnel vers le résolveur propre du fournisseur.
Ce dernier détail est celui où les choses tournent mal. Si votre navigateur ou système d'exploitation est configuré pour envoyer DoH à un autre fournisseur pendant qu'un VPN est actif, votre DNS peut glisser hors du tunnel — une fuite DNS classique qui expose vos recherches à un résolveur que vous n'aviez pas prévu, sapant le VPN. La solution est de laisser le VPN gérer le DNS, ou de pointer le DNS chiffré vers le résolveur propre au VPN, puis de vérifier.
Comment vérifier et le configurer
Testez les fuites d'abord. Effectuez un test de fuite DNS — y compris les outils DNS chiffré et de fuite sur ce site — pour voir exactement quel résolveur répond pour vous et s'il s'agit de celui auquel vous vous attendez. Si vous êtes sur un VPN et voyez le résolveur de votre FAI, vous avez une fuite.
Activez le DNS chiffré délibérément. Dans Firefox, Chrome ou Edge, activez DNS sécurisé / DNS over HTTPS et choisissez un résolveur réputé. Sur Android, utilisez DNS privé (DoT) ; sur les systèmes Windows et Apple modernes, le DNS chiffré est disponible au niveau du système d'exploitation.
Lorsque vous utilisez un VPN, laissez-le gérer le DNS. Préférez le DNS intégré au VPN pour que les recherches restent dans le tunnel, et désactivez un paramètre DoH du navigateur en conflit qui les routerait ailleurs.
Choisissez votre résolveur comme si c'était important — parce que ça l'est. Cloudflare, Google et Quad9 publient des politiques de confidentialité et proposent des variantes de filtrage ; le résolveur de votre FAI offre généralement le moins de confidentialité. Le résolveur voit vos recherches, donc la confiance est toute la décision.
L'essentiel
Le DNS chiffré est l'une des améliorations de confidentialité les moins coûteuses disponibles : il empêche votre FAI et votre réseau local de lire et de manipuler vos recherches, et chaque navigateur et système d'exploitation moderne le prend en charge. Mais c'est une seule couche. Il ne cache pas les connexions qui suivent, et il déplace votre confiance vers le résolveur que vous choisissez. Associez-le à un VPN bien configuré — qui gère votre DNS pour que rien ne fuite — et vous comblez l'écart que chaque outil laisse ouvert de son côté. Comme toujours, ne supposez pas que cela fonctionne ; testez-le et confirmez-le.
Questions fréquentes
Quelle est la différence entre DoH et DoT ?
Les deux chiffrent vos recherches DNS, mais DNS over HTTPS (DoH) les envoie à l'intérieur du trafic HTTPS normal sur le port 443, ce qui le fait se fondre et rend difficile de le bloquer, tandis que DNS over TLS (DoT) utilise un port dédié 853, ce qui est plus propre pour les réseaux à gérer mais plus facile à bloquer. Les navigateurs utilisent généralement DoH ; les systèmes d'exploitation et les routeurs utilisent souvent DoT, comme le DNS privé d'Android.
Le DNS chiffré cache-t-il ma navigation à mon FAI ?
Partiellement. Il cache le contenu de vos recherches DNS pour que votre FAI ne puisse pas lire quels domaines vous résolvez, et il empêche la manipulation. Mais il ne cache pas l'adresse IP de destination à laquelle vous vous connectez ensuite, ni le nom du serveur dans la poignée de main TLS, sauf si Encrypted Client Hello est utilisé. Pour une protection complète que votre FAI ne peut pas voir, vous avez besoin d'un VPN qui tunnelise tout le trafic.
Ai-je encore besoin d'un VPN si j'utilise le DNS chiffré ?
Ils résolvent des couches différentes. Le DNS chiffré protège uniquement vos recherches DNS ; un VPN chiffre et tunnelise tout votre trafic, y compris les recherches et les connexions qui suivent, et cache votre adresse IP. Le DNS chiffré est une base de référence utile, mais il ne remplace pas un VPN lorsque vous voulez que votre FAI et votre réseau local ne voient rien de vos destinations.
Qu'est-ce qu'une fuite DNS ?
Une fuite DNS se produit lorsque vos requêtes DNS voyagent en dehors de votre tunnel VPN — par exemple, lorsque votre navigateur ou système d'exploitation est configuré pour envoyer DNS over HTTPS à un autre fournisseur pendant que le VPN est actif. Le résultat est qu'un résolveur que vous n'aviez pas prévu voit vos recherches, sapant le VPN. Vous pouvez la détecter avec un test de fuite DNS et la corriger en laissant le VPN gérer le DNS.
Qui peut voir mes requêtes DNS lorsque j'utilise le DNS chiffré ?
Le résolveur que vous choisissez — comme 1.1.1.1 de Cloudflare, 8.8.8.8 de Google, Quad9 ou votre FAI — voit toujours chaque recherche. Le DNS chiffré déplace votre confiance vers ce résolveur plutôt que de la supprimer, il est donc important d'en choisir un avec une politique claire et respectueuse de la confidentialité. Votre réseau local et votre FAI, cependant, ne peuvent plus lire les recherches chiffrées en transit.



