Mon Adresse IP.net

Accueil › Le DNS expliqué

Le DNS expliqué simplement

Chaque fois que vous tapez l'adresse d'un site, le DNS travaille en coulisses pour vous y conduire. Ce système discret est l'un des piliers d'Internet. Découvrez comment il fonctionne et pourquoi il concerne aussi votre vie privée.

Sommaire

Qu'est-ce que le DNS

Le DNS, ou Domain Name System (système de noms de domaine), est le service qui traduit les noms de sites en adresses IP. Les ordinateurs ne communiquent pas avec des noms comme mon-adresse-ip.net, mais avec des adresses numériques telles que 203.0.113.10.

L'image la plus parlante est celle de l'annuaire téléphonique. Vous connaissez le nom d'une personne, mais pour l'appeler, il vous faut son numéro. L'annuaire fait le lien entre les deux. Le DNS joue exactement ce rôle pour Internet : vous saisissez un nom de domaine facile à mémoriser, et le DNS retrouve l'adresse IP correspondante. Sans lui, il faudrait connaître par cœur l'adresse numérique de chaque site.

Comment fonctionne une résolution DNS

La traduction d'un nom de domaine en adresse IP s'appelle une résolution DNS. Elle met en jeu plusieurs serveurs spécialisés et se déroule en quelques étapes, le plus souvent en une fraction de seconde.

  1. Le résolveur récursif — Votre appareil interroge un résolveur, généralement fourni par votre fournisseur d'accès. Ce serveur a pour mission de mener l'enquête à votre place. S'il connaît déjà la réponse (grâce à son cache), il la renvoie immédiatement.
  2. Les serveurs racine — Sinon, le résolveur interroge un serveur racine. Celui-ci ne connaît pas l'adresse exacte du site, mais sait vers quel serveur d'extension orienter la demande, selon le suffixe du domaine (.net, .fr, etc.).
  3. Les serveurs TLD — Le résolveur s'adresse alors au serveur de l'extension concernée (TLD, pour Top-Level Domain). Ce serveur indique quel serveur fait autorité pour le domaine recherché.
  4. Les serveurs autoritaires — Enfin, le résolveur interroge le serveur autoritaire du domaine, celui qui détient la réponse définitive. Il renvoie l'adresse IP exacte du site.
  5. La réponse et la mise en cache — Le résolveur transmet l'adresse IP à votre appareil, qui peut alors se connecter au site. La réponse est conservée en cache un certain temps pour accélérer les requêtes suivantes.

Astuce — Pour découvrir l'adresse IP qui se cache derrière un nom de domaine, vous pouvez utiliser notre outil de recherche d'adresse IP.

DNS et vie privée

Le DNS pose une question de confidentialité souvent ignorée. Par défaut, chaque résolution DNS est envoyée en clair, c'est-à-dire sans chiffrement, à votre résolveur, qui est généralement celui de votre fournisseur d'accès.

Cela signifie que votre FAI voit la liste de tous les noms de domaine que vous demandez : chaque site visité, chaque service consulté. Même si le contenu des pages est protégé par le chiffrement HTTPS, les requêtes DNS révèlent quels sites vous fréquentez. Ces informations peuvent être enregistrées, analysées, voire utilisées à des fins commerciales selon les pays et les opérateurs.

De plus, comme les requêtes circulent en clair, elles peuvent théoriquement être observées ou modifiées par un intermédiaire sur le réseau, par exemple sur un Wi-Fi public mal sécurisé.

Le DNS sécurisé et chiffré

Pour répondre à ces limites, des technologies de DNS chiffré ont été développées. Elles dissimulent le contenu de vos requêtes DNS aux yeux des intermédiaires.

DNS over HTTPS (DoH)

Le DNS over HTTPS, abrégé en DoH, encapsule les requêtes DNS dans des connexions HTTPS, les mêmes que celles utilisées pour la navigation web sécurisée. Vos requêtes DNS se fondent ainsi dans le trafic web ordinaire et deviennent très difficiles à distinguer ou à intercepter. La plupart des navigateurs modernes prennent en charge le DoH.

DNS over TLS (DoT)

Le DNS over TLS, ou DoT, chiffre lui aussi les requêtes DNS, mais via un canal dédié plutôt qu'en se mêlant au trafic web. Cette approche est souvent privilégiée au niveau du système d'exploitation, notamment sur les appareils mobiles.

Dans les deux cas, le résultat est le même : votre fournisseur d'accès ne peut plus lire le détail de vos requêtes DNS. Il reste toutefois indispensable de choisir un résolveur de confiance, car celui-ci voit toujours les domaines demandés.

Comment changer de serveur DNS

Par défaut, votre appareil utilise le résolveur DNS de votre fournisseur d'accès. Vous pouvez le remplacer par un résolveur public, dans les réglages réseau de votre système d'exploitation, de votre box ou de votre navigateur. Plusieurs résolveurs publics gratuits proposent rapidité et options de confidentialité.

RésolveurAdresse principaleParticularité
Cloudflare1.1.1.1Axé sur la confidentialité et la rapidité
Google Public DNS8.8.8.8Réseau étendu et grande fiabilité
Quad99.9.9.9Bloque les domaines malveillants connus

Changer de résolveur peut améliorer la vitesse de navigation, renforcer la confidentialité ou ajouter une protection contre les sites dangereux. Pensez à privilégier un résolveur compatible avec le DNS chiffré pour profiter pleinement de ces avantages.

Les fuites DNS et les VPN

Une fuite DNS se produit lorsque vos requêtes DNS ne suivent pas le chemin sécurisé prévu. Le cas le plus fréquent concerne l'usage d'un VPN.

Lorsque vous activez un VPN, tout votre trafic, y compris les requêtes DNS, devrait passer par le tunnel chiffré et être résolu par le serveur DNS du VPN. Mais en raison d'une mauvaise configuration du système, certaines requêtes DNS peuvent contourner le tunnel et être envoyées directement au résolveur de votre fournisseur d'accès.

Cette fuite est problématique : même si votre adresse IP est masquée par le VPN, votre FAI voit malgré tout la liste des sites que vous consultez. La protection est donc partielle. Les bons VPN intègrent une protection anti-fuite DNS pour empêcher ce contournement. Notre guide sur les VPN détaille ce critère de choix.

Les fuites peuvent aussi concerner d'autres technologies du navigateur : pensez à vérifier votre exposition avec notre test de fuite WebRTC.

Attention — Un VPN qui masque votre adresse IP n'empêche pas forcément une fuite DNS. Vérifiez que votre VPN dispose bien d'une protection anti-fuite DNS active.

Questions fréquentes

Le DNS ralentit-il ma navigation ?

Une résolution DNS prend généralement quelques millisecondes et les réponses sont mises en cache. Un résolveur rapide et proche de vous peut toutefois rendre la navigation légèrement plus réactive.

Changer de serveur DNS est-il risqué ?

Non, l'opération est réversible et sans danger si vous choisissez un résolveur public reconnu. Vous pouvez à tout moment revenir au résolveur de votre fournisseur d'accès dans les réglages réseau.

Le DNS chiffré me rend-il anonyme ?

Non. Le DNS chiffré empêche les intermédiaires de lire vos requêtes, mais le résolveur que vous utilisez voit toujours les domaines demandés. Votre adresse IP reste également visible par les sites visités.

Quelle différence entre DoH et DoT ?

Les deux chiffrent les requêtes DNS. Le DoH les fait transiter par le trafic web HTTPS, ce qui les rend indiscernables, tandis que le DoT utilise un canal dédié. Le DoH est courant dans les navigateurs, le DoT au niveau du système.

Comment savoir si j'ai une fuite DNS ?

Des outils en ligne de test de fuite DNS indiquent quel résolveur traite réellement vos requêtes. Si, VPN activé, ce résolveur est celui de votre fournisseur d'accès, vous subissez une fuite.

À lire également