Le DNS traduit des noms de domaine faciles à retenir pour les humains en adresses IP compréhensibles par les ordinateurs. Un DNS privé chiffre les requêtes DNS effectuées par votre appareil vers un serveur DNS. S’il est utilisé avec un service DNS tiers qui respecte votre vie privée, le DNS privé peut améliorer la protection de votre vie privée en ligne. Cependant, le DNS privé n’est pas nécessaire lorsque vous utilisez un VPN, et il peut même rendre votre connexion VPN moins sécurisée.
Dans cet article, nous verrons ce qu’est un DNS privé, comment il peut vous aider à protéger votre vie privée et comment l’activer sur votre appareil, mais aussi pourquoi vous ne devriez pas l’utiliser avec un VPN.
- Qu’est-ce que le DNS ?
- Pourquoi le DNS pose un problème de respect de la vie privée
- Qu’est-ce que le mode DNS privé ?
- Protocoles de DNS privé
- Le DNS privé n’est pas aussi confidentiel qu’un VPN
- N’utilisez pas un DNS privé et un VPN ensemble
- Comment utiliser un DNS privé
Qu’est-ce que le DNS ?
Le Domain Name System (DNS) associe des noms de domaine faciles à retenir pour les humains aux adresses IP numériques correspondantes, compréhensibles par les ordinateurs.
Par exemple, le site internet de Proton VPN utilise le nom de domaine protonvpn.com, qui correspond à l’adresse IP 185.159.159.140. Lorsque vous saisissez www.protonvpn.com dans la barre d’adresse URL de votre navigateur, le nom de domaine doit être converti en son adresse IP correspondante pour que les ordinateurs puissent le comprendre.
Ce processus de conversion est généralement effectué par des serveurs DNS spéciaux gérés par votre fournisseur d’accès internet (FAI).
Pourquoi le DNS pose un problème de respect de la vie privée et de censure
Quiconque résout vos requêtes DNS peut voir quels sites internet vous visitez (mais pas ce que vous y faites). À moins d’utiliser un VPN ou de modifier activement vos paramètres DNS, c’est votre FAI qui résoudra vos requêtes DNS.
Il est important de comprendre que, par défaut, votre FAI peut surveiller ce que vous faites en ligne, même s’il ne résout pas vos requêtes DNS. Cependant, c’est pour lui le moyen le plus simple (et donc le moins coûteux) d’enregistrer votre historique de navigation.
La plupart des FAI qui conservent un journal de l’historique de navigation de leurs clients (ce qui est le cas de la majorité d’entre eux) choisissent donc la solution de facilité et se limitent à enregistrer les enregistrements DNS de leurs clients. Dans la plupart des juridictions, ce niveau minimal de conservation des journaux permet aux FAI de remplir leurs obligations légales en matière d’enregistrement de l’historique de navigation des utilisateurs.
De même, lorsque des gouvernements souhaitent censurer des contenus sur internet pour des motifs sociaux, religieux, politiques ou « moraux », ils demandent aux FAI locaux d’appliquer ces blocages. Et le moyen le plus simple d’y parvenir est de bloquer les requêtes DNS vers des sites internet et des applications spécifiques. L’utilisation d’un résolveur DNS tiers international peut contourner ces blocages de censure simples (mais efficaces)

Graffiti à Istanbul, encourageant la population à utiliser les serveurs DNS de Google pour contourner la répression de la censure gouvernementale en 2014(nouvelle fenêtre)
Qu’est-ce que le mode DNS privé ?
Contrairement à la plupart des connexions aux sites internet, qui sont protégées par HTTPS(nouvelle fenêtre), les requêtes DNS sont généralement envoyées en texte brut non chiffré. Cela signifie que toute personne ayant accès aux requêtes DNS (comme votre FAI) peut les lire, même si elles sont résolues par un tiers.
Si un FAI devait faire des efforts supplémentaires pour espionner ses clients (comme cela pourrait lui être imposé par un gouvernement plus restrictif), il lui suffirait de surveiller et d’enregistrer les requêtes DNS vers des résolveurs tiers. À l’aide d’une technologie plus sophistiquée, il pourrait également mettre en œuvre la censure en filtrant ces requêtes.
Le DNS privé empêche cela en chiffrant vos requêtes DNS lors de leur transit entre votre appareil et un serveur DNS tiers. Cela garantit que votre FAI (ou toute autre personne surveillant votre connexion internet) ne peut pas voir vos requêtes DNS.
Le DNS privé représente donc une amélioration significative de la confidentialité et de la sécurité du DNS par rapport aux requêtes DNS non chiffrées traditionnelles. Cependant, il présente également plusieurs limites que nous aborderons plus tard.
Protocoles de DNS privé
Le DNS privé est mis en œuvre à l’aide de l’un de ces trois protocoles de sécurité : DNS-over-TLS (DoT), DNS-over-HTTPS (DoH) et DNSCrypt.
DNS-over-TLS
DoT chiffre les requêtes DNS à l’aide du protocole Transport Layer Security(nouvelle fenêtre) (TLS), garantissant ainsi que les données ne peuvent pas être facilement interceptées ou modifiées. DoT fonctionne sur le port 853, ce qui permet aux réseaux de bloquer ou de surveiller plus facilement le trafic DoT spécifiquement, car il ne se confond pas avec d’autres types de trafic.
Cela fait de DoT le choix privilégié sur les réseaux qui souhaitent exercer un certain contrôle sur le trafic qui les traverse. DoT est également moins complexe à mettre en œuvre au niveau du serveur que DoH.
DNS-over-HTTPS
DoH utilise HTTPS, le protocole qui sécurise toutes les informations sensibles sur internet, pour chiffrer les requêtes DNS. Comme DoT, DoH utilise TLS pour chiffrer les requêtes DNS, mais les connexions DoH s’effectuent sur le port 443 afin d’être mélangées au trafic web HTTPS standard. Il est ainsi difficile pour un observateur de distinguer le trafic DNS des autres types de trafic web, ce qui rend DoH plus confidentiel et plus résistant à la censure que DoT.
En savoir plus sur le HTTPS(nouvelle fenêtre)
DNSCrypt
DNSCrypt, le plus ancien protocole de DNS privé, est très similaire à DoH, mais présente quelques fonctionnalités supplémentaires qui l’améliorent. Cependant, DNSCrypt n’est pas largement pris en charge par les systèmes d’exploitation et les navigateurs, et nécessite donc l’exécution d’un logiciel tiers(nouvelle fenêtre).
Alors, quel est le meilleur choix ? Tous ces protocoles de DNS privé offrent d’immenses améliorations en matière de confidentialité et de sécurité par rapport à l’absence totale de DNS privé, et ont un impact négligeable sur votre vitesse de navigation. Certains réseaux ont des raisons légitimes de préférer DoT, mais pour la plupart des utilisateurs finaux, la confidentialité accrue offerte par DoH en fait la meilleure option des deux.
À bien des égards, et bien qu’il soit l’option la plus ancienne, DNSCrypt reste la meilleure option en termes de confidentialité. Cependant, le manque de prise en charge au sein de l’écosystème DNS limite son intérêt. Dans la suite de cet article, nous allons nous concentrer sur DoT et DoH, car ces protocoles ne nécessitent pas de télécharger de logiciel supplémentaire.
Le DNS privé n’est pas aussi confidentiel qu’un VPN
Le DNS privé offre certains avantages en matière de confidentialité, mais ceux-ci ne fonctionnent que lorsque les FAI (souvent à la demande des gouvernements) choisissent la facilité et ne font pas d’efforts réels pour censurer le contenu ou vous espionner. Bien que cela demande des efforts supplémentaires, un FAI peut retracer vos connexions pour déterminer votre historique de navigation et peut bloquer directement le trafic vers des adresses IP spécifiques.
Pour empêcher un FAI de voir ce que vous faites en ligne (et donc potentiellement de le censurer), vous devriez utiliser un VPN. Celui-ci chiffre la connexion entre votre appareil et le serveur VPN, de sorte que votre FAI ne peut pas voir le contenu de vos données. Les requêtes DNS sont acheminées via la connexion chiffrée (également appelée tunnel VPN) pour être résolues par votre fournisseur de VPN, de sorte que votre FAI ne peut pas savoir quels sites internet ou autres ressources vous visitez sur internet.

De même, les sites internet que vous visitez ne peuvent pas voir votre véritable adresse IP. Tout ce qu’ils peuvent voir, c’est l’adresse IP du serveur VPN.

Un VPN offre donc bien plus de confidentialité qu’un service de DNS privé.
N’utilisez pas un DNS privé et un VPN ensemble
Tous les bons fournisseurs de VPN exploitent leurs propres serveurs DNS. Lorsque vous utilisez un VPN, les requêtes DNS sont acheminées via le tunnel VPN et résolues par le service de VPN. Le tunnel VPN étant chiffré, les requêtes DNS le sont également, sans qu’il soit nécessaire d’utiliser un protocole de DNS privé.
De plus, la configuration de tout service DNS tiers sur votre système augmente la probabilité que les requêtes DNS soient acheminées en dehors du tunnel VPN. Le DNS privé accroît ce risque, car le chiffrement des requêtes DNS rend plus difficile, pour les mesures de protection DNS utilisées par le logiciel VPN, de s’assurer qu’elles sont correctement acheminées via le tunnel VPN.
Ainsi, non seulement le DNS privé n’est pas nécessaire lorsque vous utilisez un VPN, mais il peut également provoquer une fuite DNS.
Comment utiliser un DNS privé
Pour utiliser un DNS privé, vous devez d’abord sélectionner un résolveur DNS qui prend en charge DoT ou DoH (il est également possible d’héberger soi-même un serveur DNS, mais cela nécessite de solides compétences techniques). Parmi les services DNS populaires qui prennent en charge le DNS privé et qui affichent au moins un certain respect pour la vie privée, on peut citer :
- Cloudflare 1.1.1.1 — Ce grand service DNS commercial collecte uniquement les « données de requêtes DNS anonymisées envoyées au résolveur Cloudflare ». Cloudflare prend en charge DoT et DoH.
- Quad9 — un service DNS à but non lucratif qui ne collecte aucune information personnellement identifiable sur ses utilisateurs. Fait important, les adresses IP des utilisateurs ne sont pas stockées lors d’une requête. Quad9 prend en charge le DoH.
- OpenNIC — se présentant comme un fournisseur DNS décentralisé, ouvert, non censuré et démocratique, OpenNIC est un ensemble de serveurs DNS gérés par des bénévoles et situés dans le monde entier. Contrairement à la plupart des services DNS, où une seule adresse DNS (telle que 1.1.1.1) vous connecte au réseau de serveurs DNS, avec OpenNIC, vous sélectionnez un serveur DNS individuel auquel vous connecter. Les politiques de journalisation, et la prise en charge ou non du DNS privé (souvent sous la forme de l’ancien protocole DNSCrypt), dépendent entièrement de la personne qui gère le serveur DNS que vous choisissez.
Une fois que vous avez choisi un fournisseur DNS, deux options s’offrent à vous. Vous pouvez configurer votre système d’exploitation (OS) pour acheminer toutes les requêtes DNS vers le fournisseur choisi, ou configurer uniquement votre navigateur pour utiliser un service DNS privé.
Tous les systèmes d’exploitation modernes prennent en charge le DoT ou le DoH (ou les deux), tout comme les navigateurs modernes. Par défaut, Firefox se connecte automatiquement aux serveurs Cloudflare 1.1.1.1 en utilisant le DoH.

Dernières réflexions sur le DNS privé
Le DNS privé est beaucoup plus respectueux de la vie privée, sécurisé et résistant à la censure que le DNS non chiffré habituel, et certains fournisseurs de DNS au moins se soucient bien plus du respect de votre vie privée que votre FAI. Par conséquent, si vous n’utilisez pas de VPN, vous devriez configurer votre système ou votre navigateur pour utiliser un service DNS digne de confiance prenant en charge le DNS privé.
Cependant, un VPN offre un niveau de respect de la vie privée bien supérieur et s’avère bien plus efficace pour contourner la censure que l’utilisation d’un DNS privé. Sachez simplement que vous ne devriez pas (et n’avez pas besoin d’) utiliser un DNS privé lorsque vous utilisez un VPN.






