Qu'est-ce que le DNS Prive ? Fonctionnement et Configuration

Qu'est-ce que le DNS prive ?

Le DNS prive est une fonctionnalite qui chiffre vos requetes DNS afin que personne entre votre appareil et le serveur DNS ne puisse voir quels sites web vous consultez. Il utilise des protocoles comme DNS over TLS (DoT) ou DNS over HTTPS (DoH) pour envelopper vos requetes dans un tunnel chiffre.

Sans DNS prive, chaque nom de domaine que vous saisissez dans votre navigateur est envoye en clair sur internet. Votre FAI, toute personne sur votre reseau Wi-Fi et tout equipement intermediaire sur le chemin reseau peuvent lire et meme modifier ces requetes. Le DNS prive empeche cela en chiffrant la connexion entre votre appareil et le resolveur DNS.

Le terme 'DNS prive' est le plus souvent associe au parametre Android introduit dans Android 9 Pie (2018), mais la technologie sous-jacente -- le DNS chiffre -- est disponible sur toutes les principales plateformes, y compris iOS, Windows, macOS et Linux.

Comment fonctionne le DNS classique (et pourquoi c'est un probleme)

Le DNS traditionnel envoie les requetes en clair depuis 1987. Lorsque vous saisissez un nom de domaine dans votre navigateur, votre appareil envoie une requete DNS via le port UDP 53 a un resolveur DNS (generalement le serveur de votre FAI). Le resolveur repond avec l'adresse IP -- le tout entierement non chiffre.

Cela signifie que toute personne sur votre chemin reseau peut voir chaque domaine que vous visitez. Votre FAI peut constituer un profil de navigation complet. Les attaquants sur le Wi-Fi public peuvent intercepter vos requetes. Certains FAI vont meme jusqu'a detourner les reponses DNS pour vous rediriger vers leurs propres pages de recherche ou de publicite.

Le DNS est egalement vulnerable aux attaques de cache poisoning et de spoofing ou un attaquant envoie des reponses falsifiees, vous redirigeant vers des sites malveillants a votre insu. Le DNS traditionnel ne dispose d'aucun mecanisme integre pour verifier que la reponse provient bien du veritable serveur DNS.

Comment fonctionne le DNS prive

Le DNS prive encapsule vos requetes DNS dans une connexion chiffree. Au lieu d'envoyer une requete en clair sur le port UDP 53, votre appareil etablit d'abord une session chiffree avec le resolveur DNS, puis envoie la requete a travers ce tunnel securise.

Le resolveur DNS dechiffre votre requete, resout le nom de domaine en adresse IP, chiffre la reponse et vous la renvoie. L'ensemble de l'echange est invisible pour quiconque surveille le reseau -- on peut voir que vous communiquez avec un serveur DNS, mais on ne peut pas voir quels domaines vous interrogez.

Il existe trois protocoles de DNS chiffre en usage aujourd'hui : DNS over TLS (DoT), DNS over HTTPS (DoH) et DNS over QUIC (DoQ). Chacun adopte une approche differente pour chiffrer la meme requete DNS sous-jacente.

DNS over TLS vs DNS over HTTPS vs DNS over QUIC

DoT est le protocole le plus couramment utilise pour le DNS prive au niveau systeme (Android, Linux). Il utilise un port dedie (853), ce qui permet aux administrateurs reseau de l'identifier et de le bloquer facilement.

DoH est privilegie par les navigateurs web car il se confond avec le trafic HTTPS ordinaire sur le port 443, le rendant quasi impossible a bloquer sans casser l'ensemble du web. Chrome, Firefox et Edge prennent tous en charge DoH nativement.

DoQ est le protocole le plus recent (2022) et le plus rapide. Il utilise le transport QUIC avec le chiffrement TLS 1.3 integre et peut etablir des connexions sans aucun aller-retour (0-RTT). Android 13+ prend en charge DoQ, et des fournisseurs comme AdGuard prevoient d'en faire leur protocole par defaut.

Comment activer le DNS prive sur Android

Android prend en charge le DNS prive de maniere native depuis Android 9 Pie (2018). Il utilise DNS over TLS et s'applique a l'ensemble du systeme pour toutes les applications.

• Etape 1 : Ouvrez Parametres > Reseau et Internet (ou Connexions sur Samsung)

• Etape 2 : Appuyez sur DNS prive (vous devrez peut-etre d'abord appuyer sur 'Avance' ou 'Plus de parametres de connexion')

• Etape 3 : Selectionnez Nom d'hote du fournisseur DNS prive

• Etape 4 : Saisissez un nom d'hote DoT. Exemples : 1dot1dot1dot1.cloudflare-dns.com (Cloudflare), dns.google (Google), dns.quad9.net (Quad9), dns.adguard-dns.com (AdGuard)

• Etape 5 : Appuyez sur Enregistrer. Android verifiera la connexion -- en cas d'echec, un message d'erreur s'affichera

Comment activer le DNS prive sur iPhone et iPad

Apple ne dispose pas d'un simple interrupteur comme Android. Le DNS chiffre sur iOS necessite l'installation d'un profil de configuration ou l'utilisation d'une application DNS.

• Methode 1 : Application DNS -- Installez l'application 1.1.1.1 (Cloudflare), NextDNS ou AdGuard depuis l'App Store. Ouvrez l'application et activez le DNS chiffre. Elle apparaitra sous Reglages > General > VPN, DNS et gestion des appareils.

• Methode 2 : Profil de configuration -- Telechargez un fichier .mobileconfig depuis une source fiable (comme le depot GitHub paulmillr/encrypted-dns). Allez dans Reglages > General > VPN, DNS et gestion des appareils, selectionnez le profil telecharge et appuyez sur Installer.

• Methode 3 : DNS par reseau -- Allez dans Reglages > Wi-Fi, appuyez sur le (i) a cote de votre reseau, appuyez sur Configurer le DNS, selectionnez Manuel et ajoutez les adresses IP du serveur DNS (par ex. 1.1.1.1, 1.0.0.1). Attention : cela ne chiffre PAS le DNS -- cela change uniquement le resolveur.

Comment activer DNS over HTTPS sur Windows 11

Windows 11 prend en charge DNS over HTTPS de maniere native. Il est fourni avec une liste de fournisseurs DoH reconnus, notamment Cloudflare, Google et Quad9.

• Etape 1 : Ouvrez Parametres > Reseau et Internet > Wi-Fi (ou Ethernet)

• Etape 2 : Cliquez sur Proprietes du materiel pour votre connexion

• Etape 3 : Cliquez sur Modifier a cote de l'attribution du serveur DNS

• Etape 4 : Selectionnez Manuel, activez IPv4

• Etape 5 : Saisissez un serveur DNS principal (par ex. 1.1.1.1), reglez DNS over HTTPS sur Active (modele automatique)

• Etape 6 : Saisissez un serveur DNS secondaire (par ex. 1.0.0.1), reglez DoH sur Active egalement

• Etape 7 : Cliquez sur Enregistrer. L'entree DNS devrait maintenant afficher un libelle Chiffre

# View pre-configured DoH providers in Windows 11
netsh dns show encryption

# Add a custom DoH provider via PowerShell
Add-DnsClientDohServerAddress -ServerAddress '1.1.1.1' -DohTemplate 'https://cloudflare-dns.com/dns-query' -AllowFallbackToUdp $False -AutoUpgrade $True

Comment activer le DNS prive sur macOS

macOS prend en charge le DNS chiffre via des profils de configuration (comme sur iOS) ou via des applications DNS.

• Methode 1 : Application DNS -- Installez l'application Cloudflare 1.1.1.1 (ou similaire) et activez-la. L'application configure DoH ou DoT au niveau du systeme.

• Methode 2 : Profil de configuration -- Telechargez un fichier .mobileconfig, double-cliquez pour l'installer, puis approuvez-le dans Reglages du systeme > Confidentialite et securite > Profils.

• Methode 3 : Terminal (avance) -- Utilisez networksetup pour changer les serveurs DNS, mais notez que les modifications DNS en ligne de commande seules n'activent PAS le chiffrement. Vous avez toujours besoin d'un profil ou d'une application pour le DNS chiffre.

Meilleurs fournisseurs de DNS prive (2026)

Cloudflare 1.1.1.1 est le resolveur DNS public le plus rapide et prend en charge les trois protocoles chiffres (DoT, DoH, DoQ). Il propose des variantes familiales : security.cloudflare-dns.com (blocage des malwares) et family.cloudflare-dns.com (blocage des malwares + contenu pour adultes). Cloudflare s'engage a ne pas journaliser votre adresse IP et fait l'objet d'un audit annuel.

Google Public DNS est le resolveur public le plus utilise au monde. Il prend en charge DoT et DoH mais conserve des donnees temporaires pendant 24 a 48 heures avant anonymisation. Si la confidentialite absolue est votre priorite, Cloudflare ou Quad9 sont de meilleurs choix.

Quad9 opere sous juridiction suisse avec des politiques strictes de non-journalisation des adresses IP. Il bloque automatiquement les domaines malveillants connus en utilisant le renseignement sur les menaces de plus de 25 entreprises de cybersecurite -- ce qui en fait le meilleur choix pour les utilisateurs soucieux de la securite.

AdGuard DNS bloque les publicites et les trackers au niveau DNS, ce qui signifie que les publicites sont bloquees sur l'ensemble de votre appareil sans installer de bloqueur de publicites. Il a ete l'un des premiers a adopter DNS over QUIC et prevoit de faire de DoQ son protocole par defaut.

NextDNS vous offre le plus de controle. Vous obtenez un nom d'hote personnalise, des listes de blocage configurables, des statistiques par appareil, un controle parental et un tableau de bord pour voir exactement ce qui est bloque. Le forfait gratuit inclut 300 000 requetes par mois.

Avantages du DNS prive

Activer le DNS prive sur vos appareils apporte des ameliorations immediates en matiere de securite et de confidentialite.

• Empeche l'espionnage du FAI -- Votre FAI ne peut plus voir quels domaines vous interrogez ni constituer un profil de navigation a partir de votre trafic DNS

• Previent le spoofing DNS -- L'authentification TLS verifie que vous communiquez avec le veritable serveur DNS, et non un attaquant

• Protection sur le Wi-Fi public -- Les autres utilisateurs du meme reseau ne peuvent pas intercepter vos requetes DNS

• Bloque le detournement DNS -- Vos requetes ne peuvent pas etre redirigees en silence par un routeur compromis ou un reseau malveillant

• Contourne les proxies DNS transparents -- Certains FAI interceptent le DNS sur le port 53 meme lorsque vous utilisez des serveurs tiers. Le DNS chiffre utilise des ports differents, contournant ces proxies

• Blocage optionnel des publicites et malwares -- Des fournisseurs comme AdGuard, NextDNS et Quad9 peuvent bloquer les publicites, les trackers et les domaines malveillants au niveau DNS

• Fonctionne a l'echelle du systeme -- Une fois active, le DNS prive protege toutes les applications de votre appareil, pas seulement votre navigateur

Inconvenients potentiels du DNS prive

Le DNS prive n'est pas parfait. Voici les compromis dont vous devez etre conscient.

• Legere latence sur la premiere requete -- La poignee de main TLS ajoute environ 15 a 35 ms a la premiere requete DNS. Ensuite, la connexion est reutilisee et les requetes suivantes sont tout aussi rapides.

• Les portails captifs peuvent ne plus fonctionner -- Les reseaux Wi-Fi des hotels, aeroports et cafes qui necessitent une page de connexion ont souvent besoin du DNS non chiffre pour vous rediriger. Le DNS prive peut empecher ces portails de se charger.

• Les reseaux d'entreprise peuvent le bloquer -- Les services informatiques ont besoin de visibilite DNS pour la surveillance de la securite. De nombreux reseaux d'entreprise bloquent intentionnellement le DNS chiffre vers les resolveurs externes.

• Probleme de centralisation -- Le DNS chiffre encourage l'utilisation de quelques grands resolveurs (Cloudflare, Google), concentrant le trafic DNS chez un nombre reduit d'entreprises.

• Ne chiffre pas tout -- Le DNS prive chiffre les requetes de domaines, mais votre FAI peut toujours voir les adresses IP auxquelles vous vous connectez via le SNI dans la poignee de main TLS (sauf si vous utilisez egalement ECH).

• Problemes de DNS split-horizon -- Les organisations utilisant des DNS internes et externes differents peuvent rencontrer des problemes lorsque les appareils contournent le resolveur interne.

'Ce reseau bloque le trafic DNS chiffre' -- Ce que cela signifie

Si vous voyez cet avertissement sur votre iPhone ou Mac, cela signifie que le reseau auquel vous etes connecte empeche vos requetes DNS chiffrees d'atteindre leur destination. Vos requetes DNS sont envoyees en clair, et toute personne sur le reseau peut voir quels domaines vous visitez.

Cet avertissement apparait couramment sur les reseaux d'entreprise, le Wi-Fi des ecoles, les reseaux des hotels et aeroports avec portails captifs, et les reseaux dont le firmware du routeur est trop ancien pour prendre en charge le DNS chiffre.

• Redemarrez votre appareil et votre routeur -- Cela reinitialise les processus reseau et resout souvent les problemes temporaires

• Oubliez le reseau Wi-Fi et reconnectez-vous -- Allez dans les parametres Wi-Fi, oubliez le reseau, puis rejoignez-le

• Mettez a jour le firmware de votre routeur -- Un firmware obsolete peut ne pas gerer correctement le trafic DNS chiffre

• Utilisez un VPN -- Un VPN chiffre tout le trafic, y compris le DNS, contournant tout blocage DNS au niveau du reseau

• Acceptez-le sur les reseaux geres -- Sur les reseaux d'entreprise ou scolaires, le blocage du DNS chiffre est souvent intentionnel pour la surveillance de la securite. Vous ne pourrez peut-etre pas le contourner

Comment verifier que le DNS prive fonctionne

Apres avoir active le DNS prive, vous devriez verifier que vos requetes sont effectivement chiffrees et acheminees via le fournisseur de votre choix.

• Page de diagnostic Cloudflare -- Visitez 1.1.1.1/help pour voir si vous utilisez DoH, DoT ou le DNS en clair, et quel resolveur traite vos requetes

• Test de fuite DNS -- Visitez dnsleaktest.com et lancez le test etendu. Si vous ne voyez que les serveurs de votre fournisseur choisi (et non ceux de votre FAI), votre DNS chiffre fonctionne correctement

• Utilisez notre outil DNS Lookup -- L'outil DNS Lookup de DNS Robot vous permet d'interroger des serveurs DNS specifiques pour verifier qu'ils repondent comme prevu

• Test de fuite navigateur -- Visitez browserleaks.com/dns pour verifier quels serveurs DNS votre navigateur utilise

# Test DNS over TLS with kdig
kdig -d @1.1.1.1 +tls-ca +tls-host=cloudflare-dns.com example.com

# Check which resolver is responding
dig whoami.cloudflare.com TXT @1.1.1.1

# Test DNS over HTTPS with curl
curl -s -H 'accept: application/dns-json' \
  'https://cloudflare-dns.com/dns-query?name=example.com&type=A'