DNS over TLS (DoT)Intermédiaire

DNS over TLS (DoT) : Protéger la confidentialité de vos recherches de domaines

Chaque fois que vous saisissez l'adresse d'un site web dans votre navigateur, votre appareil envoie une requête DNS — demandant en substance à un serveur : « Quelle est l'adresse IP de ce domaine ? » Traditionnellement, ces requêtes transitent sur Internet en texte clair, ce qui signifie que votre fournisseur d'accès à Internet, les administrateurs réseau ou toute personne surveillant votre connexion peut voir exactement quels sites web vous tentez de visiter. DNS over TLS, communément abrégé en DoT, a été conçu pour résoudre ce problème.

Ce que c'est

DNS over TLS est un protocole réseau qui enveloppe vos requêtes DNS dans une connexion chiffrée TLS (Transport Layer Security) — la même technologie qui protège votre site bancaire ou votre connexion à votre messagerie. Plutôt que d'envoyer ces demandes « où se trouve ce site web ? » à la vue de tous, DoT garantit qu'elles sont brouillées avant de quitter votre appareil. Il a été officiellement standardisé en 2016 sous la RFC 7858 et a depuis été adopté par des résolveurs DNS majeurs, notamment Cloudflare (1.1.1.1), Google (8.8.8.8) et d'autres.

Comment ça fonctionne

Normalement, le trafic DNS circule sur le port 53 et utilise UDP ou TCP sans aucun chiffrement. DoT modifie cela en établissant une connexion TLS dédiée sur le port 853. Voici le déroulement de base :

1. Votre appareil (ou résolveur DNS) initie une négociation TLS avec le serveur DNS, vérifiant son identité à l'aide de certificats numériques.
2. Une fois le tunnel chiffré établi, votre requête DNS y transite — totalement dissimulée aux observateurs extérieurs.
3. Le serveur DNS traite la requête et renvoie la réponse via le même canal chiffré.
4. Votre appareil utilise l'adresse IP retournée pour se connecter au site web.

Étant donné que DoT fonctionne sur un port dédié (853), les administrateurs réseau et les pare-feu peuvent facilement identifier et, s'ils le souhaitent, bloquer le trafic DoT. C'est l'une des distinctions clés avec son proche cousin, DNS over HTTPS (DoH), qui mélange le trafic DNS avec le trafic web ordinaire sur le port 443 et est plus difficile à bloquer.

Pourquoi c'est important pour les utilisateurs de VPN

Vous vous demandez peut-être — si j'utilise déjà un VPN, dois-je me préoccuper de DoT ? C'est une question légitime. Un VPN chiffre l'intégralité de votre trafic, y compris les requêtes DNS, lorsqu'il est correctement configuré. Cependant, il existe quelques nuances importantes :

• Fuites DNS : Si votre client VPN n'est pas correctement configuré, les requêtes DNS peuvent parfois contourner le tunnel VPN chiffré et transiter directement vers le résolveur de votre FAI en texte clair. Une fuite DNS peut exposer votre activité de navigation même lorsque vous pensez être protégé. DoT fournit une couche de chiffrement supplémentaire qui aide à s'en prémunir.
• Environnements sans VPN : Tout le monde n'utilise pas un VPN en permanence. Sur les réseaux Wi-Fi ouverts, au travail ou en données mobiles, DoT protège vos requêtes DNS indépendamment d'un VPN.
• Surveillance et limitation par les FAI : Sans DNS chiffré, votre FAI peut enregistrer chaque domaine que vous visitez et potentiellement vendre ces métadonnées ou les utiliser pour limiter certains services. DoT les empêche de lire ces requêtes.

Exemples pratiques et cas d'utilisation

Sécurité du réseau domestique : Configurer votre routeur ou résolveur DNS local pour utiliser DoT (en le dirigeant vers un résolveur axé sur la confidentialité comme Cloudflare ou Quad9) signifie que chaque appareil de votre réseau bénéficie de recherches DNS chiffrées — sans rien installer de plus sur chaque appareil.

Confidentialité mobile : Android 9 et les versions ultérieures incluent une fonctionnalité intégrée « DNS privé » qui prend en charge DoT nativement. Vous pouvez l'activer dans les paramètres et acheminer toutes les requêtes DNS via un résolveur chiffré sans application tierce.

Réseaux d'entreprise : Les équipes informatiques utilisent DoT pour empêcher les employés ou les attaquants sur le réseau d'intercepter les requêtes DNS internes, réduisant ainsi le risque d'usurpation DNS ou d'attaques de type man-in-the-middle.

Journalistes et militants : Dans les régions soumises à une surveillance intensive d'Internet, le chiffrement des requêtes DNS ajoute une couche de confidentialité significative, rendant plus difficile pour les systèmes de surveillance de dresser un portrait du comportement en ligne sur la base du seul trafic DNS.

DoT n'est pas une solution de confidentialité complète en soi — votre trafic web réel a encore besoin de HTTPS ou d'un VPN pour une protection totale — mais il comble une lacune fréquemment négligée dans la sécurité Internet au quotidien.