Ai-je besoin d'activer DoH si j'utilise déjà un VPN ?

Dans la plupart des cas, un VPN bien configuré gère déjà vos requêtes DNS de manière sécurisée via son propre tunnel chiffré. Cependant, DoH peut constituer une protection supplémentaire utile en cas de fuite DNS, c'est-à-dire lorsque votre VPN se déconnecte ou est mal configuré et que vos requêtes DNS sont envoyées en dehors du tunnel. Certains fournisseurs de VPN intègrent DoH directement dans leur solution.

Quelle est la différence entre DoH et DoT ?

DoH (DNS over HTTPS) et DoT (DNS over TLS) chiffrent tous les deux le trafic DNS, mais ils diffèrent par leur méthode. DoT utilise un port dédié (853), ce qui le rend facile à identifier et à filtrer par les administrateurs réseau. DoH utilise le port 443, le même que le trafic HTTPS ordinaire, ce qui le rend beaucoup plus difficile à bloquer et lui permet de se fondre dans la navigation web normale.

Comment activer DoH sur mon navigateur ?

La plupart des navigateurs modernes proposent DoH dans leurs paramètres. Sur Firefox, rendez-vous dans Paramètres > Général > Paramètres réseau, puis activez le DNS sécurisé. Sur Chrome, allez dans Paramètres > Confidentialité et sécurité > Sécurité, puis activez l'option « Utiliser un DNS sécurisé ». Vous pouvez généralement choisir votre résolveur DoH préféré, comme celui de Cloudflare (`1.1.1.1`) ou de Google (`8.8.8.8`).

DNS over HTTPS (DoH)

Q: DoH protège-t-il complètement ma vie privée en ligne ?

Non, DoH ne protège pas l'intégralité de votre vie privée en ligne. Il chiffre uniquement vos requêtes DNS, c'est-à-dire la phase de résolution du nom de domaine. Votre adresse IP réelle reste visible pour les sites web que vous visitez, et votre FAI peut toujours voir les adresses IP auxquelles vous vous connectez. Pour une protection plus complète, il est recommandé de combiner DoH avec un VPN.

DNS over HTTPS (DoH) : ce que c'est et pourquoi c'est important

Chaque fois que vous tapez l'adresse d'un site web dans votre navigateur, votre appareil envoie une requête : « Quelle est l'adresse IP de ce domaine ? » Cette requête s'appelle une requête DNS, et pendant des décennies, elle a circulé sur Internet en texte clair — totalement exposée à quiconque surveillait le réseau. DNS over HTTPS (DoH) a été conçu pour remédier à ce problème.

Ce que c'est

DNS over HTTPS est un protocole qui encapsule vos requêtes DNS dans du trafic HTTPS chiffré — le même type de chiffrement utilisé lorsque vous vous connectez à votre banque ou effectuez des achats en ligne. Au lieu que vos requêtes DNS soient envoyées en clair, elles sont intégrées dans des connexions HTTPS sécurisées et transmises à un résolveur DNS compatible DoH. Pour les observateurs extérieurs, le trafic ressemble à une navigation web ordinaire.

DoH a été standardisé par l'Internet Engineering Task Force (IETF) dans la RFC 8484 en 2018, et a depuis été intégré aux principaux navigateurs tels que Firefox, Chrome et Edge, ainsi qu'aux systèmes d'exploitation comme Windows 11 et Android.

Comment ça fonctionne

Voici le déroulement de base :

Vous tapez `example.com` dans votre navigateur.
Au lieu d'envoyer une requête UDP en texte clair au serveur DNS de votre FAI sur le port 53, votre appareil envoie une requête HTTPS chiffrée à un résolveur DoH (comme le `1.1.1.1` de Cloudflare ou le `8.8.8.8` de Google) sur le port 443.
Le résolveur recherche l'adresse IP et renvoie la réponse — toujours chiffrée via HTTPS.
Votre navigateur se connecte au site web.

Étant donné que la requête utilise le port 443 (le port HTTPS standard), elle se fond dans le trafic web normal. Un observateur passif sur votre réseau — qu'il s'agisse de votre FAI, d'un administrateur réseau ou d'une personne gérant un point d'accès Wi-Fi malveillant — ne peut pas facilement distinguer vos requêtes DNS du reste du trafic HTTPS.

Pourquoi c'est important pour les utilisateurs de VPN

Vous vous demandez peut-être : si j'utilise déjà un VPN, ai-je besoin de DoH ? C'est une question légitime, et la réponse dépend de votre configuration.

Sans VPN, DoH représente une amélioration significative en matière de confidentialité. Votre FAI ne peut plus facilement enregistrer chaque domaine que vous visitez. C'est particulièrement important dans la mesure où, dans de nombreux pays, les FAI sont autorisés — voire tenus — à collecter et revendre les données de navigation.

Avec un VPN, vos requêtes DNS devraient déjà être acheminées via le tunnel VPN et résolues par les serveurs DNS propres au fournisseur VPN. Cependant, si votre connexion VPN s'interrompt ou est mal configurée, une fuite DNS peut survenir — votre appareil bascule alors vers l'envoi de requêtes DNS en dehors du tunnel, exposant votre activité. Utiliser DoH en complément d'un VPN (ou choisir un VPN qui implémente DoH en interne) ajoute une couche de protection supplémentaire contre ces fuites.

Il convient également de noter que DoH seul ne remplace pas un VPN. DoH ne chiffre que la phase de résolution du nom de domaine. Votre adresse IP réelle reste visible pour les sites web que vous visitez, et votre FAI peut toujours voir à quelles adresses IP vous vous connectez — mais pas nécessairement quels noms de domaine ont déclenché ces connexions.

Exemples concrets et cas d'utilisation

Wi-Fi public : lorsque vous êtes connecté au réseau d'un café ou d'un aéroport, DoH empêche l'opérateur du réseau d'enregistrer vos requêtes DNS ou de les rediriger vers un serveur compromis.
Contournement de la censure de base : certains FAI bloquent des sites web en interceptant les requêtes DNS. DoH peut contourner ces blocages au niveau DNS, car les requêtes sont chiffrées et envoyées à un résolveur externe. (Remarque : des censeurs déterminés peuvent toujours bloquer les résolveurs DoH par adresse IP.)
Protection au niveau du navigateur : Firefox et Chrome vous permettent d'activer DoH directement dans les paramètres, vous offrant ainsi un DNS chiffré même lorsque vous n'utilisez pas de VPN.
Environnements professionnels : les administrateurs réseau débattent souvent de DoH, car il peut contourner les contrôles DNS internes. De nombreuses organisations configurent DoH pour qu'il passe par des résolveurs internes approuvés plutôt que par des résolveurs publics.

DoH vs. DoT

DoH est souvent comparé à DNS over TLS (DoT), un autre protocole de chiffrement DNS. Les deux chiffrent le trafic DNS, mais DoT utilise un port dédié (853) que les administrateurs réseau peuvent facilement identifier et filtrer. DoH se fond dans le trafic HTTPS ordinaire, ce qui le rend plus difficile à bloquer — ce qui constitue à la fois son atout en matière de confidentialité et une préoccupation pour le contrôle du réseau.

DNS over HTTPS (DoH)Intermédiaire