Pourquoi chiffrer vos requêtes DNS
Vos requêtes DNS révèlent chaque site que vous visitez
Chaque fois que vous visitez un site web, votre appareil envoie une requête DNS — une demande pour traduire un nom de domaine comme example.com en adresse IP. Cela se produit des milliers de fois par jour. Et par défaut, chacune de ces requêtes est envoyée en clair, visible par quiconque se trouve entre votre appareil et le résolveur DNS.
Cela inclut votre FAI, l’opérateur du WiFi du café où vous travaillez, et toute personne capturant du trafic réseau. Le DNS est l’annuaire téléphonique d’Internet — et la plupart des gens le lisent à voix haute sans le savoir.
Ce Qu’on Peut Apprendre de Vos Requêtes DNS
Beaucoup, en réalité.
Votre trafic DNS révèle un portrait détaillé de votre activité en ligne — pas le contenu de ce que vous lisez, mais le schéma de vos destinations. Considérez ce que les requêtes suivantes impliquent :
api.appli-suivi-cycle.com— données de santérecrutement.concurrent.fr— recherche d’emploiwww.aide-addictions.org— circonstances personnelles sensiblesforums.parti-opposition.fr— opinions politiqueschat.appli-rencontres.com— vie sentimentale
Ces requêtes ne transportent pas le contenu de ce que vous avez fait sur ces sites. Mais les destinations seules suffisent à construire un profil complet. Ces données ont une valeur commerciale — c’est pourquoi certains FAI les revendent dans certains pays. Elles ont aussi une valeur juridique et politique dans d’autres contextes.
Les Risques Concrets
Surveillance et monétisation des FAI. Aux États-Unis, les FAI peuvent légalement vendre votre historique de navigation. En Europe, le RGPD le limite significativement — mais le DNS en clair expose tout de même vos requêtes à l’infrastructure de votre FAI, même s’ils sont actuellement interdits de les exploiter commercialement.
Interception sur les WiFi publics. Sur tout réseau que vous ne contrôlez pas, le trafic DNS peut être observé passivement. À l’hôtel, à l’aéroport, en conférence — quiconque a accès au matériel réseau voit vos requêtes.
Détournement DNS. Certains FAI et opérateurs réseau interceptent les requêtes DNS et les redirigent vers leurs propres résolveurs — même quand vous en avez configuré un autre. Sans chiffrement, impossible de détecter ou prévenir ça. Votre requête dit « va vers 8.8.8.8 » et le FAI l’intercepte pour l’envoyer ailleurs.
Manipulation DNS. Le DNS non chiffré peut être falsifié en transit. Un attaquant peut retourner de fausses réponses, vous redirigeant vers un site de phishing au lieu de votre banque. Le chiffrement seul ne prévient pas tout — mais il relève considérablement le niveau d’effort nécessaire.
La Solution : Le DNS Chiffré
Trois protocoles existent aujourd’hui pour chiffrer vos requêtes DNS. Ils résolvent tous le même problème de fond — vos requêtes sont cachées du réseau — mais diffèrent dans leur fonctionnement et leurs compromis.
DoH — DNS sur HTTPS
Le DoH encapsule les requêtes DNS dans des requêtes HTTPS standard. Du point de vue du réseau, votre trafic DNS est indiscernable du chargement d’une page web. Port 443, TLS standard, comme tout le reste.
Ce qui rend le DoH le plus résistant aux blocages réseau. Bloquer le DoH sans casser la majorité du HTTPS est impossible. Il est nativement supporté dans Firefox et Chrome, configurable en quelques clics.
Compromis : votre fournisseur DNS peut voir toutes vos requêtes (inévitable avec n’importe quel résolveur DNS, chiffré ou non). Avec le DoH, vous déplacez la confiance de votre FAI vers votre fournisseur DNS. Choisissez-en un en qui vous avez vraiment confiance.
DoT — DNS sur TLS
Le DoT utilise un canal chiffré dédié sur le port 853. Le chiffrement est équivalent au DoH (les deux utilisent TLS), mais le trafic est clairement identifiable comme DNS — un opérateur réseau peut voir que vous effectuez des requêtes DNS chiffrées, même s’il ne peut pas en voir le contenu.
Le DoT est donc plus facile à bloquer que le DoH. Certains réseaux d’entreprise et environnements restrictifs bloquent entièrement le port 853. Cela dit, le DoT est nativement supporté sur Android 9+, les distributions Linux récentes avec systemd-resolved, et de nombreuses options de firmware routeur. Sur un réseau que vous contrôlez, c’est un excellent choix.
DoQ — DNS sur QUIC
Le DoQ est le plus récent des trois. Il utilise le protocole de transport QUIC (le même qui sous-tend HTTP/3) au lieu de TCP. QUIC a été conçu pour réduire la latence de connexion — il établit des connexions chiffrées plus rapidement, gère mieux la perte de paquets, et performe particulièrement bien en mobilité et sur réseaux congestionnés.
le_dns supporte le DoQ aujourd’hui. Il n’est pas encore largement supporté nativement par les systèmes d’exploitation ou les navigateurs, mais des clients DNS dédiés comme dnscrypt-proxy peuvent l’utiliser. Attendez-vous à un support plus large à mesure que le protocole mature.
Comparaison Rapide
| Protocole | Port | Résistance au blocage | Support natif OS | Latence |
|---|---|---|---|---|
| DoH | 443 | Élevée | Navigateurs (Firefox, Chrome) | Faible |
| DoT | 853 | Moyenne | Android 9+, Linux | Faible |
| DoQ | 853 (UDP) | Moyenne | Clients DNS uniquement | La plus faible |
Ce que le Chiffrement ne Résout Pas
Le DNS chiffré protège vos requêtes en transit. Il ne :
- Cache pas que vous utilisez un résolveur DNS spécifique (votre FAI peut toujours voir l’IP à laquelle vous vous connectez)
- Empêche pas votre résolveur DNS de journaliser vos requêtes (choisissez-en un respectueux de la vie privée)
- Remplace pas un VPN pour une anonymisation complète du trafic
Le DNS chiffré est une couche dans une stratégie de protection de la vie privée. C’est une amélioration significative et peu contraignante par rapport au DNS en clair — et cela devrait être la référence, pas une option avancée.
Comment le_dns Aide
le_dns supporte les trois protocoles : DoH (https://ledns.eu/dns-query), DoH3 (h3://ledns.eu/dns-query), DoT (ledns.eu sur le port 853), et DoQ (ledns.eu sur le port 8853).
Au-delà du chiffrement : nous pseudonymisons les adresses IP avant tout journalisation (tronquées en /16 pour IPv4, /48 pour IPv6), nous ne journalisons pas les domaines que vous résolvez, et toute l’infrastructure est en Union Européenne.
Prêt à chiffrer votre DNS ? Configurez-le en quelques minutes — consultez nos guides de configuration.