Le DNS (Domain Name System) est souvent comparé à l’annuaire téléphonique d’Internet. Il permet de traduire des noms de domaines lisibles (comme google.com) en adresses IP compréhensibles par les machines. Mais malgré son rôle fondamental, le DNS a longtemps souffert d’un grave défaut : il n’a pas été conçu pour être sécurisé.
C’est là qu’interviennent différentes technologies de sécurisation du DNS comme DNSSEC, DoH, DoT, ou encore DNSCrypt. Ces solutions, bien que complémentaires, ont chacune leurs spécificités et leurs cas d’usage.
🔍 1. DNS classique : vulnérable par nature
Le DNS standard fonctionne en texte clair. Cela signifie que toute requête que vous envoyez à un serveur DNS (comme quel est l’IP de facebook.com ?) peut être :
- interceptée,
- modifiée (attaque de type DNS spoofing),
- ou surveillée par des acteurs malveillants, des FAI ou des gouvernements.
Cette absence de chiffrement rend le DNS extrêmement vulnérable, surtout sur les réseaux publics ou non confiables.
🛡️ 2. DNSSEC (DNS Security Extensions)
✅ But : Authentifier les réponses DNS
- Fonctionnement : DNSSEC ajoute une signature numérique à chaque enregistrement DNS, permettant de vérifier que la réponse vient bien de la source légitime et n’a pas été modifiée en chemin.
- Ce que DNSSEC ne fait pas : Il ne chiffre pas la requête DNS elle-même ! Donc, quelqu’un peut toujours voir que vous demandez youtube.com, mais il ne pourra pas falsifier la réponse.
🧠 Avantages :
- Protection contre le DNS cache poisoning.
- Intégré directement dans l’infrastructure DNS.
🚧 Inconvénients :
- Complexité de mise en œuvre.
- Non pris en charge partout.
- Ne protège pas la vie privée (requêtes en clair).
🔒 3. DoT (DNS over TLS)
✅ But : Chiffrer la communication DNS
- Fonctionnement : DoT chiffre les requêtes DNS via le protocole TLS (le même que pour HTTPS). Il s’agit d’une requête DNS classique, mais transmise de manière chiffrée entre le client (vous) et le résolveur DNS.
🧠 Avantages :
- Empêche l’interception ou la lecture des requêtes DNS.
- Facile à intégrer dans les systèmes Android ou dans des routeurs modernes.
🚧 Inconvénients :
- Nécessite un port spécifique (853) → peut être bloqué.
- Moins compatible avec les réseaux captifs (hôtels, aéroports…).
🌐 4. DoH (DNS over HTTPS)
✅ But : Chiffrer les requêtes DNS via HTTPS
- Fonctionnement : DoH intègre la requête DNS dans une connexion HTTPS standard (port 443). Cela rend le trafic indétectable, même pour un fournisseur d’accès ou un pare-feu qui surveille les connexions sortantes.
🧠 Avantages :
- Très discret, difficile à bloquer.
- Protège des censures DNS et de la surveillance.
- Pris en charge par Firefox, Chrome, Windows 11, etc.
🚧 Inconvénients :
- Le résolveur DoH devient un point central (risque de centralisation des données).
- Certaines entreprises considèrent que DoH « bypasse » les politiques réseau internes.
🧱 5. DNSCrypt
✅ But : Chiffrer + authentifier les requêtes DNS
- Fonctionnement : DNSCrypt est une technologie indépendante qui chiffre les requêtes DNS et les authentifie à l’aide de clés publiques.
- Spécificité : Il est plus ancien que DoH/DoT et souvent utilisé avec des outils comme dnscrypt-proxy.
🧠 Avantages :
- Très sécurisé.
- Fort contrôle par l’utilisateur sur les serveurs DNS utilisés.
🚧 Inconvénients :
- Moins standardisé que DoH/DoT.
- Configuration plus technique.
🧭 Tableau comparatif rapide
| Technologie | Chiffrement | Authentification | Port | Ciblé pour… |
|---|---|---|---|---|
| DNS classique | ❌ Non | ❌ Non | 53 | Tout réseau |
| DNSSEC | ❌ Non | ✅ Oui | 53 | Authentifier les réponses |
| DoT | ✅ Oui (TLS) | ✅ Oui | 853 | Sécurité + vie privée |
| DoH | ✅ Oui (HTTPS) | ✅ Oui | 443 | Vie privée + évasion de censure |
| DNSCrypt | ✅ Oui | ✅ Oui | Variable | Utilisateurs avancés |
Quel système choisir ?
- Si vous êtes un utilisateur lambda : activez DoH ou DoT dans votre navigateur ou système d’exploitation pour protéger votre vie privée sans effort.
- Si vous êtes administrateur réseau : combinez DNSSEC avec DoT ou DNSCrypt pour une protection complète.
- Si vous êtes dans un pays avec censure : DoH est souvent la meilleure option pour contourner les restrictions.
🔐 En bref, sécuriser le DNS est devenu indispensable à l’ère du numérique. Les technologies existent, à chacun de choisir celle qui convient à ses besoins !