DNS : le maillon que personne ne durcit

Dans l’audit réseau d’une PME, le DNS passe en clair sur le port 53 vers le résolveur du FAI. Toute la navigation de l’entreprise est visible à qui écoute sur le réseau. Et la PME vient de payer 15 000€ pour un pare-feu NGFW.

Le piège habituel

La plupart des gens ont compris que HTTPS protège leurs communications. C’est vrai — HTTPS chiffre le contenu des échanges entre votre navigateur et le serveur. Mais il y a un angle mort presque universel : le DNS.

Avant même que votre navigateur établisse une connexion HTTPS avec gmail.com, il doit résoudre ce nom de domaine en adresse IP. Cette résolution DNS, dans la configuration par défaut de pratiquement tous les appareils, se fait en clair, sur le port 53, vers le résolveur de votre FAI ou opérateur mobile.

Résultat : même si tout votre trafic web est en HTTPS, votre FAI (et quiconque écoute sur le réseau) voit une liste complète des domaines que vous visitez, avec les horodatages et la fréquence. Le contenu est protégé. L’intention ne l’est pas.

Ce que le DNS révèle

Pensez au DNS comme à l’annuaire téléphonique d’internet. Chaque fois que votre appareil veut contacter un service, il demande à un résolveur DNS : “quelle est l’IP de ce domaine ?”

Ce qui est visible en DNS non chiffré :

• Chaque domaine visité, à quelle heure, combien de fois
• Les apps mobiles (pas seulement le navigateur) font des requêtes DNS constantes — votre email, votre messagerie, vos IoT, vos mises à jour automatiques
• Les habitudes de navigation : sites d’actualité consultés, services utilisés, horaires de travail
• Parfois la géolocalisation implicite (résolveurs régionaux, CDN)

Qui voit ces données :

• Votre FAI ou opérateur mobile (résolveur par défaut)
• Quiconque écoute sur le réseau local (Wi-Fi d’hôtel, café)
• Votre résolveur DNS, quel qu’il soit

Do53 vs DoT vs DoH : les trois modes

Do53 (DNS classique, port 53, en clair) : c’est le défaut. Aucun chiffrement. Votre résolveur voit vos requêtes en clair. N’importe qui sur le chemin réseau aussi. Votre FAI peut intercepter, journaliser, et revendre ces données. En France, les FAI sont légalement tenus de conserver les métadonnées de connexion pendant un an.

DoT — DNS over TLS (port 853) : les requêtes DNS sont chiffrées dans un tunnel TLS. Votre résolveur ne peut plus être espionné en transit. Inconvénient : le port 853 est identifiable comme “trafic DNS chiffré”. Il peut être bloqué ou intercepté par des équipements réseau qui forcent le DNS à repasser en clair — pratique courante dans certaines entreprises et dans des pays à surveillance renforcée.

DoH — DNS over HTTPS (port 443) : les requêtes DNS sont encapsulées dans du trafic HTTPS standard. Deux avantages : le chiffrement, et l’indistinguabilité du trafic HTTPS classique. Bloquer DoH sans casser l’ensemble du trafic HTTPS est extrêmement difficile. C’est le protocole préféré pour contourner la surveillance réseau active.

DNSSEC : ne pas confondre. DNSSEC signe cryptographiquement les réponses DNS (intégrité — vous êtes sûr que la réponse n’a pas été falsifiée). Il ne chiffre pas les requêtes. DNSSEC et DoH/DoT sont complémentaires, pas redondants.

Choisir son résolveur

Le résolveur DNS est l’entité qui fait les vraies requêtes vers les serveurs autoritaires pour vous. Changer de résolveur est l’une des actions les plus impactantes que vous pouvez faire avec le minimum d’effort.

Quad9 (9.9.9.9) : opéré par une association à but non lucratif suisse. Politique no-logs auditable. Filtrage des domaines malveillants actif par défaut (base de données de menaces agrégée). Supporte DoH et DoT. Recommandé comme choix par défaut pour la plupart des utilisateurs.

Mullvad DNS : si vous utilisez déjà Mullvad VPN, votre trafic DNS passe automatiquement dans le tunnel. Cohérent et efficace. Mullvad propose aussi des résolveurs DNS publics utilisables indépendamment du VPN, avec des variantes filtrant pub et tracking.

NextDNS : modèle configurable. Vous créez un profil avec vos préférences : blocage pub, tracking, malware, catégories de sites adultes ou autres. Logs optionnels — activables pour auditer votre trafic réseau, désactivables totalement pour la vie privée. Freemium : 300 000 requêtes/mois gratuites, ensuite environ 2€/mois. Excellent choix pour les familles et les PME qui veulent de la visibilité.

Cloudflare 1.1.1.1 : le plus rapide en latence. Claim no-logs, audité partiellement. Réserve : Cloudflare est une megacorp américaine hébergeant une fraction considérable du web — leur visibilité sur les flux DNS est déjà massive. Acceptable pour l’usage grand public, moins recommandable pour les profils souhaitant minimiser leur concentration de risque chez un opérateur unique.

FAI par défaut : à éviter autant que possible. Les FAI français utilisent vos requêtes DNS à des fins commerciales et de profilage. Certains redirigent les requêtes vers des domaines inexistants vers leurs propres pages publicitaires.

Self-hosted (Unbound + Pi-hole) : contrôle total. Unbound fait la résolution récursive directement auprès des serveurs root DNS, sans passer par un tiers intermédiaire. Pi-hole filtre localement les domaines de tracking. Vous êtes responsable de la maintenance. Limitant en mobilité — ne fonctionne que sur votre réseau ou via VPN retour vers chez vous.

Pi-hole : ce qu’il fait, ce qu’il ne fait pas

Pi-hole est un résolveur DNS local qui consulte des listes de blocage. Quand une app demande l’IP de doubleclick.net ou analytics.twitter.com, Pi-hole répond “NXDOMAIN” (domaine inexistant) plutôt que de résoudre. La connexion ne se fait pas.

Ce que Pi-hole fait bien :

• Bloque pubs et trackers au niveau réseau pour tous les appareils (SmartTV, consoles, IoT — sans configuration individuelle)
• Donne une visibilité complète sur les domaines appelés par chaque appareil du réseau
• Réduit significativement le tracking publicitaire

Ce que Pi-hole ne fait pas :

• Il ne chiffre pas les requêtes DNS. Sans upstream DoH ou DoT configuré, les requêtes qu’il ne bloque pas partent en clair vers votre FAI
• Il ne vous protège pas sur les réseaux externes (hors de votre réseau domestique)
• Les apps utilisant DoH en dur (Firefox, certaines apps Google) contournent Pi-hole complètement

La combinaison recommandée pour le réseau domestique : Pi-hole (filtrage) + Unbound (résolution récursive directe) + chiffrement DoT pour les requêtes Unbound. C’est plus complexe à configurer mais donne un contrôle total.

Configuration sur mobile

iOS : Apple supporte les profils de configuration DNS (fichiers .mobileconfig). Les apps NextDNS et Cloudflare en génèrent un automatiquement en quelques clics. Une fois le profil installé via Réglages, tout le trafic DNS du téléphone passe par le résolveur configuré en DoH ou DoT, sans application tierce résidente.

Android 9+ : la fonctionnalité “DNS Privé” (Private DNS) supporte DoT nativement. Allez dans Paramètres > Réseau et Internet > DNS Privé, entrez dns.quad9.net ou dns.nextdns.io/[votre-identifiant]. Simple, efficace, aucune app requise. Pour DoH spécifiquement, il faut soit l’app NextDNS, soit un VPN qui route le DNS.

Sur les deux plateformes : si vous utilisez un VPN, vérifiez que le VPN tunnel votre DNS — sans ça vous avez un DNS leak (voir dnsleaktest.com).

Erreurs fréquentes

Configurer DoH dans le navigateur seulement. Partiel. Toutes les autres apps du système continuent avec le résolveur non chiffré par défaut.

Croire que Pi-hole chiffre les requêtes. Pi-hole filtre. Il ne chiffre pas. Sans upstream chiffré, votre FAI voit toutes les requêtes que Pi-hole ne bloque pas — soit la grande majorité.

Oublier le DNS en voyage. Configuration DoH à la maison ? En voyage sur 4G ou Wi-Fi d’hôtel, c’est le résolveur de l’opérateur local qui s’applique si vous n’avez pas configuré DoT/DoH au niveau système (et pas seulement dans le navigateur).

Ne pas tester. Rendez-vous sur dnsleaktest.com et ipleak.net. Il n’est pas rare de penser être en DoH et de constater un leak vers le résolveur FAI.

• N1 Configurer DoH ou DoT au niveau système sur tous vos appareils
• N1 Choisir Quad9 (9.9.9.9) ou NextDNS comme résolveur principal
• N1 Vérifier l'absence de DNS leak avec dnsleaktest.com
• N2 Sur iOS : installer un profil DNS NextDNS ou Cloudflare via l'app dédiée
• N2 Sur Android : activer le DNS Privé (DoT) dans les paramètres réseau système
• N2 Activer les logs NextDNS temporairement pour auditer les requêtes sortantes du réseau
• N2 Installer Pi-hole sur le réseau domestique avec Unbound comme résolveur upstream
• N3 Configurer DoH/DoT sur le routeur pour couvrir tous les appareils sans configuration individuelle
• N3 Self-hosted Unbound avec résolution récursive directe auprès des serveurs root (zéro tiers)