Introduction aux DNS
Le DNS (Domain Name System) est l'annuaire d'internet. Il traduit les noms de domaine (privious.io) en adresses IP (93.184.216.34). Sans DNS, vous devriez mémoriser des suites de chiffres pour chaque site. C'est aussi l'un des maillons les...
Le DNS (Domain Name System) est l'annuaire d'internet. Il traduit les noms de domaine (privious.io) en adresses IP (93.184.216.34). Sans DNS, vous devriez mémoriser des suites de chiffres pour chaque site. C'est aussi l'un des maillons les plus faibles de votre vie privée.
Qu'est-ce que le DNS
Quand vous tapez "privious.io" dans votre navigateur, votre ordinateur interroge un serveur DNS pour obtenir l'adresse IP correspondante. Par défaut, ce serveur est celui de votre FAI (Orange, Free, SFR, Bouygues).
Le problème : votre FAI voit chaque site que vous visitez via vos requêtes DNS. Et ces requêtes sont transmises en clair, sans aucun chiffrement. Même si vous visitez un site en HTTPS, la requête DNS initiale révèle le domaine visité.
Schéma simplifié : Vous tapez privious.io → Requête DNS en clair au FAI → Le FAI connaît le site → Vous recevez l'IP → Connexion HTTPS au site
Pourquoi le DNS est un problème
- Espionnage du FAI : votre FAI enregistre toutes vos requêtes DNS. En France, cette conservation est obligatoire pendant 1 an (article L34-1 du Code des postes et communications). Les autorités peuvent y accéder sur simple réquisition.
- Censure : les FAI français bloquent certains sites en redirigeant les requêtes DNS (sites de piratage, certains contenus). C'est le mécanisme de censure le plus courant.
- Profilage : vos requêtes DNS dressent un portrait précis de vos centres d'intérêt, votre état de santé, vos opinions politiques, vos habitudes.
- Attaques : le DNS non chiffré est vulnérable à plusieurs types d'attaques (voir ci-dessous).
DNS Poisoning et attaques
DNS Cache Poisoning (empoisonnement de cache)
Un attaquant injecte de fausses réponses DNS dans le cache d'un résolveur. Résultat : quand vous tapez mabanque.fr, vous êtes redirigé vers un faux site identique contrôlé par l'attaquant. Vos identifiants sont volés. C'est du phishing au niveau réseau.
DNS Hijacking (détournement)
Votre routeur Wi-Fi ou votre FAI est compromis et redirige vos requêtes DNS vers un serveur malveillant. Particulièrement dangereux sur les Wi-Fi publics (cafés, hôtels, gares).
DNS Sinkholing
Technique utilisée par les autorités ou les entreprises pour rediriger les domaines malveillants vers un serveur "trou noir". Légitime en cybersécurité, mais aussi utilisée pour la censure.
Comment se protéger
La solution à toutes ces attaques : chiffrer vos requêtes DNS et utiliser un résolveur de confiance.
DNS chiffré : DoH et DoT
| Protocole | Port | Avantages | Inconvénients |
|---|---|---|---|
| DNS over HTTPS (DoH) | 443 | Indistinguable du trafic HTTPS normal, difficile à bloquer | Mêlé au trafic web, plus de latence |
| DNS over TLS (DoT) | 853 | Plus propre techniquement, dédié au DNS | Facile à identifier et bloquer par un FAI |
| DNS over QUIC (DoQ) | 853 | Le plus rapide, basé sur UDP | Encore peu supporté |
Recommandation : DoH pour la plupart des utilisateurs (supporté par tous les navigateurs modernes). DoT si vous configurez votre routeur ou un serveur local.
Résolveurs DNS recommandés
| Résolveur | IP | Juridiction | Logs | Blocage pubs |
|---|---|---|---|---|
| Quad9 | 9.9.9.9 | Suisse | Aucun log personnel | Domaines malveillants uniquement |
| Mullvad DNS | 100.64.0.4 | Suède | Aucun log | Pubs + trackers + malware |
| Cloudflare | 1.1.1.1 | USA | Pas de vente, logs 24h | Non (sauf 1.1.1.2) |
| NextDNS | Personnalisé | USA (configurable) | Optionnel, vous choisissez | Entièrement personnalisable |
Pour la vie privée, préférez Quad9 (juridiction suisse) ou Mullvad DNS (bloque aussi les pubs).
Comment configurer son DNS
Sur navigateur (le plus simple)
- Firefox : Paramètres > Vie privée > DNS via HTTPS > Activé > choisir Quad9 ou NextDNS
- Brave : Paramètres > Confidentialité > Utiliser un DNS sécurisé > Quad9
Sur smartphone Android
- Paramètres > Réseau et internet > DNS privé >
dns.quad9.net - Sur GrapheneOS : même procédure
Sur routeur (protège tout le réseau)
Modifiez les serveurs DNS dans l'interface de votre box/routeur. Remplacez les DNS du FAI par 9.9.9.9 et 149.112.112.112 (Quad9). Tous les appareils du réseau seront protégés automatiquement.
Aller plus loin : Pi-hole et NextDNS
Pi-hole : votre propre serveur DNS
Pi-hole est un serveur DNS que vous hébergez chez vous (sur un Raspberry Pi ou un petit serveur). Il bloque les publicités et les trackers pour tous les appareils de votre réseau — smartphones, TV connectées, tablettes, objets connectés. C'est le bloqueur de pubs le plus efficace qui existe.
- Bloque les pubs même dans les applications mobiles
- Protège les appareils qui ne supportent pas d'extensions (TV connectée, IoT)
- Tableau de bord avec statistiques de requêtes
- Open source et gratuit
NextDNS : Pi-hole dans le cloud
NextDNS offre les mêmes fonctionnalités que Pi-hole mais sans matériel. Vous configurez vos listes de blocage dans un dashboard web, et ça fonctionne sur tous vos appareils. Gratuit jusqu'à 300 000 requêtes/mois, ~20€/an ensuite.
Consultez notre guide d'installation Pi-hole pour commencer.