Page d'accueil Proton VPN

Fuites DNS lors de l’utilisation d’un VPN

Lecture
9 minutes
Catégorie
Connexion

Toutes les applications Proton VPN incluent une protection contre les fuites DNS conçue pour empêcher les sites internet et autres services que vous visitez sur internet d’identifier votre véritable adresse DNS. Certaines circonstances limitées peuvent toutefois permettre à votre ordinateur de contourner ces protections, ce qui peut permettre à des tiers de voir l’adresse IP du serveur DNS que vous utilisez réellement.

Dans cet article, nous expliquons ce qu’est le DNS, comment il fonctionne et pourquoi la configuration manuelle de vos paramètres DNS peut empêcher notre protection contre les fuites DNS de fonctionner correctement.

Qu’est-ce que le DNS ?

Chaque connexion à internet se voit attribuer un identifiant numérique unique appelé adresse IP (Internet Protocol). Le cerveau humain n’étant pas conçu pour retenir de longues suites de chiffres, nous identifions les ressources internet (telles que les sites internet et les serveurs de jeux) à l’aide de chaînes de texte plus faciles à mémoriser pour les humains, appelées noms de domaine.

Le système de noms de domaine (DNS) est comparable à un annuaire téléphonique mondial qui traduit des URL faciles à retenir en adresses IP utilisées par les ordinateurs.

Ainsi, par exemple, si l’URL example.com correspond à l’adresse IP 123.456.789.012, le fait de saisir 123.456.789.012 dans la barre d’adresse de votre navigateur vous mènerait à example.com. (En pratique, une adresse IP peut correspondre à plusieurs sites internet, et un seul domaine peut correspondre à plusieurs adresses IP. Mais concrètement, c’est ce que fait le DNS.)

Le DNS et le respect de la vie privée

La résolution DNS est le processus de traduction d’un domaine en son adresse IP correspondante. Elle est effectuée par des serveurs DNS qui, par défaut, sont gérés par votre fournisseur d’accès internet (FAI).

Presque tous les FAI du monde conservent des journaux des requêtes DNS effectuées par leurs clients, ce qui leur permet de connaître votre historique de navigation. Bien que les FAI puissent suivre votre activité internet par d’autres moyens, la plupart se contentent de conserver des journaux DNS.

Bien que cela ne soit généralement pas le cas par défaut, les sites internet que vous visitez peuvent voir l’adresse IP du serveur DNS utilisé pour résoudre la requête DNS qui vous dirige vers leur site. Forts de cette information, ils (ou toute autre personne surveillant le site internet) peuvent alors contacter votre FAI et lui demander de révéler l’adresse IP du client qui a effectué la requête DNS.

Étant donné que la résolution DNS est effectuée par votre FAI, le fait de connaître l’adresse IP du serveur DNS que vous avez utilisé permet aux sites internet d’identifier le pays dans lequel vous vous trouvez. Si vous utilisez un VPN(nouvelle fenêtre) ou un proxy pour masquer votre véritable adresse IP, mais que l’adresse IP du serveur DNS de votre FAI est exposée, cette incohérence peut permettre aux sites internet de savoir que vous essayez de masquer votre véritable identité.

Le DNS, Proton VPN et la protection contre les fuites DNS

Proton VPN répond à cette menace en exploitant ses propres serveurs DNS. Comme pour tout autre trafic internet, les requêtes DNS sont acheminées via le tunnel VPN pour être résolues sur nos serveurs.

Pour le monde extérieur, votre adresse DNS sera différente de l’adresse IP de votre serveur VPN, mais elle appartiendra au même centre de données. Elle correspondra donc de près à l’emplacement physique du serveur VPN. (Notez que les connexions IPv6 sont simplement bloquées pour le moment, ce qui n’a aucun impact sur votre expérience sur internet.)

Proton VPN n’enregistre pas les requêtes DNS, et selon la législation suisse, ne peut pas être contraint de commencer à le faire. Nous n’enregistrons pas non plus les adresses IP de nos utilisateurs.

En savoir plus sur le modèle de menace de Proton VPN

Toutes nos applications intègrent une protection contre les fuites DNS, qui utilise des règles de pare-feu et d’autres techniques spécifiques à la plateforme pour s’assurer qu’aucun trafic internet (y compris les requêtes DNS) ne puisse entrer ou sortir de votre appareil en dehors de l’interface du VPN.

Cependant, dans un nombre limité de circonstances, les requêtes DNS peuvent être acheminées en dehors du tunnel VPN.

Services DNS tiers

La configuration manuelle des paramètres DNS globaux de votre appareil pour utiliser un service DNS tiers, tel que Google Public DNS, Cloudflare ou OpenNIC, augmente le risque de dysfonctionnement, car il est possible que les paramètres personnalisés l’emportent sur nos mesures de prévention contre les fuites DNS.

Nous vous recommandons donc vivement de ne pas utiliser de services DNS tiers avec Proton VPN. Vous trouverez ci-dessous des guides pour désactiver les configurations DNS personnalisées sur toutes les principales plateformes.

Windows 10

1. Allez dans DémarrerParamètresRéseau et Internet → votre interface réseau (par exemple Wi-Fi ou Ethernet) → Paramètres associésModifier les options de l’adaptateur.

2. Faites un clic droit sur votre interface réseau → Propriétés → Protocole Internet version 4 (TCP/IPv4)Propriétés.

Windows IPv4 setting

3. Assurez-vous que l’option Obtenir les adresses de serveur DNS automatiquement est sélectionnée, puis cliquez sur OK.

Enable Obtain DNS server addresses automatically

4. Si vous avez une connexion IPv6 (ou si vous n’êtes pas sûr d’en avoir une), répétez les étapes 2 et 3 pour le Protocole Internet version 6 (TCP/IPv6).

macOS

Ouvrez l’application Réglages et allez dans Réseau → sélectionnez votre interface réseau (par exemple, Wi-Fi ou Ethernet) → Détails… → onglet DNS. Sélectionnez les serveurs DNS tiers (s’il y en a), puis cliquez sur le bouton pour les supprimer. Cliquez sur OK lorsque vous avez terminé.

Manually edit IP settings

Linux

Chaque distribution Linux et environnement de bureau offre une interface utilisateur différente (bien que souvent très similaire) pour modifier les paramètres DNS. Dans Ubuntu GNOME, par exemple :

1. Allez dans Afficher les applicationsToutesParamètresRéseau et cliquez sur l’icône en forme d’engrenage à côté de votre interface réseau.

Find your network connection

2. Accédez aux onglets IPv4 et IPv6. Sous DNS, assurez-vous que le commutateur Automatique est sur activé et supprimez toutes les entrées DNS que vous voyez. Cliquez sur Appliquer lorsque vous avez terminé.

Enable automatic DNS

Android 9+

Android 9+ propose la fonctionnalité de DNS privé, une option système qui protège automatiquement la connexion aux serveurs DNS de votre FAI à l’aide de DoT (si cela est pris en charge par votre FAI – voir ci-dessous pour plus de détails), ou qui vous permet de spécifier un fournisseur de DNS personnalisé. Pour désactiver le DNS privé :

1. Ouvrez l’application Paramètres et allez dans ConnexionsPlus de paramètres de connexionDNS privéDésactivé.

Turn Private DNS Mode off in Android

Chrome OS

Allez dans Paramètres → sélectionnez votre interface réseau (par exemple Wi-Fi ou Ethernet. Si vous utilisez le Wi-Fi, vous devrez également sélectionner un réseau connu) → Paramètres avancés → Serveurs de noms et assurez-vous que l’option Serveurs de noms automatiques est sélectionnée.

Select automatic name servers on Chromebooks

iOS et les anciennes versions d’Android

Le seul moyen de modifier les paramètres DNS globaux dans iOS/iPadOS et les versions d’Android antérieures à Android 9 Pie est d’utiliser une application tierce qui crée une interface VPN fictive pour fonctionner.

Puisqu’il n’est possible d’avoir qu’une seule connexion VPN à la fois, vous ne pouvez de toute façon pas exécuter ces applications en même temps que Proton VPN.

DNS sur HTTPS

DNS over HTTPS(nouvelle fenêtre) (DoH) est un standard de chiffrement qui chiffre les requêtes DNS vers le serveur DNS. Le DoH ne fonctionne que si ce standard est pris en charge par le fournisseur de DNS, mais il est désormais proposé par un nombre croissant de services DNS tiers (bien que rarement par les FAI).

Malheureusement, cela aggrave le problème lié à l’utilisation de services DNS tiers, car le chiffrement empêche notre logiciel de voir les requêtes DNS. Il est donc très difficile de les bloquer ou de les rediriger.

Nous vous déconseillons donc fortement d’utiliser le DoH (ainsi que le protocole similaire DNS over TLS) avec Proton VPN. Lorsque vous utilisez nos applications, toutes les requêtes DNS sont envoyées via la connexion VPN vers nos serveurs, et sont donc chiffrées de manière sécurisée sans avoir besoin de DoH ou de DoT.

Sur les ordinateurs de bureau, le DoH est généralement intégré à votre navigateur et est pris en charge par la plupart des navigateurs modernes (sauf Safari). Le DoH et le DoT sont pris en charge sur les appareils mobiles via le DNS privé d’Android ou des applications autonomes (comme décrit ci-dessus).

Comment désactiver le DoH dans votre navigateur pour ordinateur

Firefox

Allez dans ParamètresVie privée et sécuritéDNS via HTTPS Activer le DNS sécurisé avec : et sélectionnez Désactivé.

Chrome

Cliquez sur l’icône de points de suspension verticauxParamètresConfidentialité et sécuritéConfidentialité et sécuritéSécuritéParamètres avancés Sélectionner le fournisseur de DNS et assurez-vous que l’option Par défaut de l’OS (si disponible) est sélectionnée dans le menu déroulant.

Modifier le fournisseur DNS sur Chrome

(Sur un Chromebook, allez dans Paramètres Confidentialité et sécuritéParamètres avancés)

Edge Chromium

Cliquez sur l’icône de points de suspension horizontauxParamètres Confidentialité, recherche et servicesSécurité et assurez-vous que l’option Utiliser un DNS sécurisé pour spécifier comment rechercher l’adresse réseau des sites internet est désactivée.

Disable use secure DNS in Edge

Brave

Allez dans ParamètresConfidentialité et sécurité→ → SécuritéParamètres avancés et assurez-vous que l’option Utiliser un DNS sécurisé est désactivée.

Disable use secure DNS in Chrome

Votre connexion au serveur VPN est interrompue

Si la connexion entre votre appareil et le serveur VPN est interrompue, vous risquez d’accéder à Internet sans la protection du VPN. Cela signifie entre autres que les requêtes DNS pourraient être envoyées au serveur DNS par défaut de votre système (qui est probablement géré par votre FAI).

Ce problème est facile à résoudre en activant la fonctionnalité d’arrêt d’urgence (kill switch), désormais disponible dans toutes nos applications.

Comment vérifier la présence de fuites DNS

1. Ouvrez notre application et connectez-vous à l’un de nos serveurs. Pour effectuer un test de fuite DNS, le fait de vous connecter à un VPN dans un autre pays permet de détecter plus facilement les fuites DNS.

2. Visitez le site DNSleaktest.com(nouvelle fenêtre) dans votre navigateur. Vous devriez voir l’adresse IP du serveur VPN auquel vous vous êtes connecté. Choisissez soit un test standard, soit un test étendu. Pour les besoins de ce guide, nous choisirons un test étendu.

See your external IP addresss

3. Attendez la fin du test et observez les résultats. Si l’adresse IP affichée est celle de votre FAI réel, vous avez une fuite DNS. Veuillez vous reporter ci-dessus pour connaître les solutions.

DNS leak test reslts

Notez que Proton VPN est partenaire de fournisseurs d’infrastructures à travers le monde, de sorte que le FAI affiché peut être un fournisseur tiers. Tant que l’adresse IP n’appartient pas à votre véritable FAI, vous n’avez pas de fuite DNS.