secure-os.org
ENFRES
Tous les guidesQubes OSTailsWhonixLinux durciChiffrement disqueModèle de menace
dns

DNS sécurisé : comment chiffrer son DNS (DoH, DoT et DNSSEC expliqués)

secure-os· Mis à jour 16 juin 2026· 10 min de lecture #dns#vie privée#chiffrement#doh#réseau
Rangées de serveurs réseau avec des câbles dans un centre de données

À chaque ouverture d’un site, votre appareil demande d’abord à un résolveur DNS de traduire le nom (comme example.com) en adresse IP. Par défaut, cette requête circule en clair — quiconque se trouve entre vous et le résolveur peut la lire. Le DNS sécurisé comble cette faille en chiffrant la requête, de sorte que le réseau ne peut plus voir, enregistrer ni modifier les domaines que vous visitez. Ce guide explique comment le DNS classique fuit, ce que font réellement DoH, DoT et DNSSEC, comment activer le DNS chiffré selon la plateforme, et quels résolveurs publics valent la peine.

La réponse courte

  • Le DNS classique est un trou de confidentialité. Le DNS classique passe par le port 53 en clair : votre FAI, le Wi-Fi public ou n’importe qui sur le réseau voit chaque domaine que vous résolvez.
  • Chiffrez-le avec DoH ou DoT. DNS over HTTPS (DoH) et DNS over TLS (DoT) chiffrent tous deux vos requêtes DNS. La plupart des navigateurs et systèmes d’exploitation en prennent au moins un en charge aujourd’hui.
  • DNSSEC, c’est autre chose. DNSSEC authentifie les réponses pour empêcher l’usurpation — mais il ne les chiffre pas. Le chiffrement (DoH/DoT) et l’authentification (DNSSEC) résolvent des problèmes différents ; idéalement, on veut les deux.
  • Choisissez un résolveur de confiance. Cloudflare (1.1.1.1), Quad9 (9.9.9.9), Mullvad DNS, NextDNS et AdGuard DNS proposent tous des points d’accès chiffrés.
  • Un VPN chiffre aussi le DNS. Un bon VPN fait passer tout votre trafic, DNS compris, dans son tunnel — la requête ne fuit plus au niveau du réseau.

Pourquoi le DNS classique pose problème

Le DNS classique a été conçu dans les années 1980 sans aucune notion de confidentialité. Les requêtes partent en clair sur le port 53 (UDP/TCP), ce qui signifie :

  • Votre FAI peut voir et enregistrer chaque domaine résolu — même si la page elle-même est en HTTPS, le nom du site visité est exposé au moment de la requête.
  • Toute personne sur le même réseau (Wi-Fi public, bureau, hôtel) peut observer passivement votre trafic DNS et reconstituer ce que vous faites en ligne.
  • Le DNS peut être altéré. Sans authentification, un réseau peut renvoyer une mauvaise réponse — vous envoyant vers un serveur malveillant ou bloqué (le détournement DNS et la censure reposent là-dessus).

HTTPS chiffre le contenu des pages chargées, mais ne masque pas quels sites vous demandez. Le DNS classique a déjà fuité avant même que la connexion ne soit établie. C’est la faille que le DNS sécurisé vient combler.

Câbles réseau Ethernet branchés sur un switch.
Câbles réseau branchés sur un switch — par défaut, vos requêtes DNS traversent ce matériel en clair, lisibles par quiconque est sur le chemin.

DoH vs DoT : les deux façons de chiffrer le DNS

DNS over HTTPS et DNS over TLS enveloppent tous deux vos requêtes DNS dans du chiffrement, pour que le réseau ne puisse pas les lire. La différence tient surtout à comment elles circulent :

  • DNS over TLS (DoT) fait passer le DNS dans une connexion chiffrée TLS sur un port dédié (853). Comme il a son propre port, un administrateur réseau peut facilement voir que vous faites du DNS chiffré (sans pouvoir le lire) et pourrait bloquer ce port. Le réglage « DNS privé » d’Android utilise DoT.
  • DNS over HTTPS (DoH) envoie les requêtes DNS sur une connexion HTTPS classique (port 443), le même port que tout le trafic web. DoH est donc plus difficile à repérer et à bloquer, car il se fond dans la navigation ordinaire. La plupart des navigateurs implémentent DoH.

Aucun n’est universellement « meilleur ». DoT est plus propre à gérer sur un réseau ; DoH est plus difficile à censurer. Pour un particulier qui veut juste masquer ses requêtes au FAI et au réseau local, l’un comme l’autre est une nette amélioration par rapport au DNS en clair sur le port 53.

DNSSEC : authentification, pas chiffrement

On confond souvent DNSSEC (DNS Security Extensions) avec DoH/DoT, mais il fait tout autre chose. DNSSEC ajoute des signatures cryptographiques aux enregistrements DNS, pour que votre résolveur puisse vérifier qu’une réponse provient bien de la source autoritaire et n’a pas été falsifiée ni modifiée en chemin. Il protège contre l’usurpation DNS et l’empoisonnement de cache.

La distinction honnête :

  • DNSSEC = authentification. Il prouve que la réponse est authentique. Il ne masque pas vos requêtes — le trafic DNSSEC reste lisible par le réseau.
  • DoH/DoT = chiffrement. Ils masquent vos requêtes au réseau. Ils ne prouvent pas, en soi, que la réponse est authentique.

Ils sont complémentaires. Un résolveur validant atteint via DoH ou DoT vous donne les deux : des requêtes que le réseau ne peut pas lire et des réponses qu’il ne peut pas falsifier.

Comment activer le DNS sécurisé, par plateforme

Vous pouvez activer le DNS chiffré à trois endroits : votre navigateur, votre système d’exploitation ou votre routeur. Le régler au niveau de l’OS ou du routeur couvre plus d’applications que le navigateur seul.

  • Firefox : Paramètres → Vie privée et sécuritéDNS via HTTPS. Choisissez un niveau de protection et un fournisseur (Cloudflare et NextDNS sont intégrés).
  • Chrome / Edge : Paramètres → Confidentialité et sécuritéSécuritéUtiliser un DNS sécurisé. Vous pouvez conserver votre fournisseur actuel ou en choisir un dans la liste.

Le DoH du navigateur ne protège le DNS que pour ce navigateur — les autres applications de l’appareil utilisent toujours le résolveur système.

Windows 11

Windows 11 prend en charge le DoH nativement : Paramètres → Réseau et Internet → votre connexion → Attribution du serveur DNS → Modifier, passez le DNS en Manuel, saisissez l’IP de votre résolveur, puis réglez DNS via HTTPS sur Activé (modèle automatique) pour un fournisseur pris en charge.

Android

Android intègre le DNS privé, qui utilise DoT : Paramètres → Réseau et Internet → DNS privé → Nom d’hôte du fournisseur de DNS privé, puis saisissez le nom d’hôte du fournisseur (par exemple dns.quad9.net ou votre nom d’hôte NextDNS/AdGuard). Cela s’applique à tout le système.

iOS et macOS

Apple n’expose pas le DNS chiffré dans l’interface de réglages standard, mais le prend en charge via des profils de configuration (un fichier .mobileconfig) en DoH ou DoT. Des fournisseurs comme NextDNS, Quad9 et AdGuard distribuent des profils prêts à l’emploi à installer une fois ; le réglage s’applique ensuite à tout le système.

Routeur

Activer le DNS chiffré sur votre routeur couvre tous les appareils du réseau, y compris ceux qu’on ne peut pas configurer individuellement (TV connectées, objets connectés). La prise en charge dépend du firmware — de nombreux routeurs récents et des firmwares comme OpenWrt peuvent transférer le DNS en DoT/DoH vers un résolveur amont.

Résolveurs publics recommandés

Voici des résolveurs publics connus qui proposent des points d’accès chiffrés (DoH/DoT). Choisissez selon ce qui compte pour vous — vitesse, filtrage des malwares, ou personnalisation. Ne vous compliquez pas : n’importe lequel vaut mieux que le DNS en clair par défaut de votre FAI.

  • Cloudflare (1.1.1.1 / 1.0.0.1) — un résolveur très répandu, réputé rapide, avec une posture axée vie privée. Une app 1.1.1.1 et des points d’accès DoH/DoT sont disponibles.
  • Quad9 (9.9.9.9) — un résolveur à but non lucratif, suisse, qui bloque les domaines malveillants connus via des flux de renseignement sur les menaces. Une valeur sûre si vous voulez un filtrage de sécurité intégré.
  • Mullvad DNS — DNS chiffré public géré par le fournisseur VPN Mullvad, axé vie privée, avec des variantes optionnelles bloquant pubs/traqueurs/malwares. Aucun compte requis pour le résolveur public.
  • NextDNS — un résolveur très personnalisable : vous créez une configuration et choisissez vos listes de blocage, la journalisation et les règles. Offre gratuite avec un quota mensuel de requêtes.
  • AdGuard DNS — propose des résolveurs qui bloquent pubs et traqueurs au niveau DNS, avec des points d’accès chiffrés, ainsi qu’une option sans filtrage.

Une note d’honnêteté : la vitesse réelle du DNS dépend fortement de votre localisation et de votre réseau — méfiez-vous donc de toute affirmation sur le « résolveur le plus rapide » : le bon choix est celui dont le modèle de confiance et le filtrage correspondent à vos besoins.

La place du VPN

Le DNS chiffré masque vos requêtes, mais un VPN va plus loin : il chiffre tout votre trafic — DNS compris — dans un seul tunnel vers le serveur VPN, de sorte que votre FAI et le réseau local ne voient ni les domaines que vous résolvez, ni ce que vous faites ensuite. Un VPN bien conçu route aussi le DNS via ses propres résolveurs dans le tunnel, ce qui empêche les fuites DNS (ce cas où votre appareil retombe discrètement sur le DNS en clair du FAI).

Questions fréquentes

Qu’est-ce que le DNS sécurisé ? Le DNS sécurisé consiste à chiffrer vos requêtes DNS (généralement via DoH ou DoT) pour que le réseau entre vous et le résolveur ne puisse pas lire, enregistrer ni modifier les domaines visités. Le DNS classique envoie ces requêtes en clair sur le port 53.

DoH ou DoT, lequel est meilleur ? Ils chiffrent le DNS aussi bien l’un que l’autre ; la différence est le canal. DoH utilise le port 443 (le port HTTPS normal), ce qui le rend plus difficile à repérer et bloquer pour un réseau. DoT utilise un port dédié (853), plus simple à gérer mais aussi plus facile à repérer et bloquer. Pour la confidentialité vis-à-vis de votre FAI, l’un comme l’autre est une nette amélioration.

DNSSEC chiffre-t-il mon DNS ? Non. DNSSEC authentifie les réponses DNS pour empêcher l’usurpation, mais il ne les chiffre pas — le réseau peut toujours voir vos requêtes. Pour la confidentialité, il faut DoH ou DoT ; pour l’authenticité, il faut DNSSEC. Ils sont complémentaires.

Changer de résolveur DNS suffit-il pour la vie privée ? C’est une vraie amélioration — vos requêtes deviennent chiffrées et votre FAI ne peut plus les enregistrer — mais cela ne couvre que le DNS. Le reste de votre trafic (et les IP auxquelles vous vous connectez) reste visible au niveau du réseau. Un VPN chiffre tout, DNS compris, dans un seul tunnel.

Quel résolveur DNS sécurisé utiliser ? Quad9 pour un blocage des malwares par un organisme à but non lucratif, Cloudflare pour un résolveur généraliste rapide, NextDNS ou AdGuard pour personnaliser le filtrage, ou Mullvad DNS pour un résolveur public axé vie privée. Tous proposent des points d’accès chiffrés.

En résumé

Le DNS classique révèle discrètement chaque site visité à votre FAI et à quiconque est sur votre réseau. Le DNS sécurisé — chiffré via DoH ou DoT, idéalement sur un résolveur validant DNSSEC — comble cette fuite, et vous pouvez l’activer dans votre navigateur, votre OS ou votre routeur en quelques minutes. Choisissez un résolveur dont le modèle de confiance vous convient (Cloudflare, Quad9, Mullvad, NextDNS ou AdGuard), et si vous voulez fermer la fuite pour tout votre trafic d’un coup, faites-le passer par un VPN no-logs.