Pourquoi les VPN seuls ne suffiront pas à empêcher votre FAI de vous tracer
Beaucoup de gens supposent qu'utiliser un VPN est suffisant pour garder leur activité internet privée. Et bien qu'un VPN chiffre votre trafic et masque votre adresse IP aux sites web, il existe un mécanisme de traçage plus discret qui passe souvent inaperçu : vos paramètres DNS par défaut. Un guide de confidentialité récemment publié explique comment les fournisseurs d'accès à internet utilisent le DNS pour enregistrer votre activité de navigation, et pourquoi passer au DNS chiffré est une étape cruciale que même les utilisateurs de VPN devraient envisager.
Qu'est-ce que le DNS et pourquoi est-ce important ?
Chaque fois que vous tapez une adresse de site web dans votre navigateur, votre appareil envoie une requête à un serveur DNS (Domain Name System) pour traduire cette adresse lisible par l'homme en une adresse IP que les ordinateurs peuvent réellement utiliser. Pensez-y comme à une recherche dans un annuaire téléphonique qui s'effectue invisiblement en arrière-plan, à chaque fois que vous visitez un site web.
Par défaut, la plupart des appareils sont configurés pour utiliser les serveurs DNS fournis par leur fournisseur d'accès à internet. Cela signifie que, sauf si vous avez modifié vos paramètres, votre FAI gère chacune de ces requêtes. Et comme les requêtes DNS ont traditionnellement été envoyées en texte clair, votre FAI peut voir exactement quels domaines vous demandez, même si le contenu des sites web eux-mêmes est chiffré via HTTPS.
Le HTTPS protège les données échangées entre votre navigateur et un site web. Il ne cache cependant pas le fait que vous avez visité ce site web en premier lieu. Cette distinction est importante, et c'est la faille que les paramètres DNS par défaut laissent grande ouverte.
La faille du VPN : ce que votre tunnel ne couvre pas toujours
Un VPN achemine votre trafic internet à travers un tunnel chiffré vers un serveur exploité par le fournisseur du VPN, qui effectue ensuite des requêtes en votre nom. Pour la plupart des activités de navigation, cela est efficace pour empêcher votre FAI de voir le contenu de vos connexions et les pages spécifiques que vous visitez.
Cependant, le DNS peut constituer un point faible selon la façon dont un VPN est configuré. Si un VPN ne gère pas les requêtes DNS en interne, ou s'il connaît ce que l'on appelle une fuite DNS, ces requêtes peuvent toujours transiter par les serveurs de votre FAI. Il en résulte que votre FAI peut continuer à constituer un journal des domaines que vous interrogez, même pendant que vous croyez que votre trafic est entièrement protégé.
Ce n'est pas une faille propre à un seul fournisseur. C'est un problème structurel qui souligne pourquoi la protection de la vie privée est mieux abordée en couches successives, plutôt qu'en s'appuyant sur un seul outil.
DNS-over-HTTPS : chiffrer l'annuaire téléphonique
La solution recommandée par le guide de confidentialité est de passer au DNS-over-HTTPS, souvent abrégé en DoH. Ce protocole chiffre vos requêtes DNS de sorte qu'elles ressemblent à du trafic HTTPS ordinaire pour toute personne observant votre connexion, y compris votre FAI.
Avec le DoH activé, votre FAI ne peut plus facilement lire ou enregistrer les noms de domaine que vous recherchez. Les requêtes sont envoyées à un résolveur DNS compatible DoH plutôt qu'aux propres serveurs du FAI, supprimant ainsi le FAI en tant qu'intermédiaire dans cette partie de votre navigation.
De nombreux navigateurs majeurs prennent désormais en charge le DNS-over-HTTPS nativement et vous permettent de l'activer directement dans les paramètres sans installer de logiciel supplémentaire. Le guide note également que l'ajustement des paramètres de performance du navigateur peut aider à réduire d'autres vecteurs de traçage d'IP et de collecte de données, ajoutant ainsi une couche de protection supplémentaire.
Il convient de noter que changer de fournisseur DNS signifie qu'une organisation différente gère ces requêtes à la place de votre FAI. Choisir un résolveur disposant d'une politique de confidentialité claire et publique et d'un engagement de non-journalisation est une partie importante de cette décision.
Ce que cela signifie pour vous
Si vous utilisez actuellement un VPN et avez supposé que votre trafic DNS était entièrement couvert, cela vaut la peine de le vérifier. De nombreuses applications VPN incluent un outil de test de fuite DNS, et des sites de test indépendants peuvent vous aider à vérifier si vos requêtes DNS sont acheminées via votre VPN ou s'en échappent entièrement.
Si vous n'utilisez pas de VPN, activer le DNS-over-HTTPS dans votre navigateur est l'une des améliorations de confidentialité les plus simples que vous puissiez effectuer dès maintenant. Cela ne nécessite aucun abonnement payant et peut être activé en quelques minutes sur la plupart des navigateurs modernes.
Pour ceux qui souhaitent une protection complète, combiner un VPN bien configuré avec un DNS chiffré offre une confidentialité nettement plus robuste que l'une ou l'autre approche seule. Les deux outils traitent des parties qui se chevauchent mais sont distinctes de la manière dont votre activité de navigation est exposée.
Points clés à retenir
- Vérifiez les paramètres de votre navigateur pour une option DNS-over-HTTPS ou « DNS sécurisé » et activez-la si elle n'est pas déjà active.
- Effectuez un test de fuite DNS si vous utilisez un VPN, pour confirmer que vos requêtes DNS sont gérées au sein du tunnel VPN.
- Examinez votre choix de résolveur DNS et recherchez des fournisseurs disposant de politiques de confidentialité et de journalisation transparentes et publiquement disponibles.
- Ne comptez pas sur HTTPS seul pour protéger votre vie privée vis-à-vis de votre FAI. Le DNS chiffré traite un vecteur de traçage que HTTPS n'a jamais été conçu pour couvrir.
Votre FAI dispose d'une visibilité structurelle sur votre navigation dont la plupart des gens ne sont pas conscients. Comprendre comment le DNS s'inscrit dans ce tableau est une première étape concrète pour combler cette lacune.
