Qu’est-ce que le DNS over HTTPS ?
Le DNS over HTTPS (DoH) est un protocole qui chiffre les requêtes DNS en les envoyant dans des connexions HTTPS standard plutôt qu’en texte clair non chiffré. Chaque fois que vous saisissez une adresse web, votre appareil demande à un serveur DNS de traduire ce nom de domaine en adresse IP. Traditionnellement, cette requête voyage en clair, ce qui signifie que votre FAI, l’administrateur réseau ou toute personne sur le même réseau Wi-Fi peut voir exactement quels sites vous consultez. DoH enveloppe ces requêtes dans le même chiffrement HTTPS qui protège vos sessions bancaires et d’achat, rendant vos habitudes de navigation invisibles aux observateurs tiers.
Explication détaillée
Le problème de confidentialité du DNS traditionnel
Le DNS standard utilise le port UDP 53 sans chiffrement. Quand vous visitez « exemple.com », votre ordinateur envoie une requête en texte clair à un résolveur DNS demandant, en substance, « Quelle est l’adresse IP d’exemple.com ? » Quiconque surveille le réseau — un espion dans un café, un pare-feu d’entreprise ou votre FAI — peut journaliser chaque domaine que vous consultez. Ces métadonnées révèlent vos habitudes de navigation même quand les sites eux-mêmes utilisent HTTPS. Un VPN chiffre tout le trafic, y compris le DNS, mais DoH est une solution plus légère, spécifique au DNS, qui fonctionne sans la surcharge d’un tunnel VPN complet.
DoH vs DoT (DNS over TLS)
DoH n’est pas le seul protocole de chiffrement DNS. Le DNS over TLS (DoT) atteint le même objectif mais utilise un port dédié (853) avec le chiffrement TLS. La différence pratique :
- DoH (port 443) : Utilise le même port que tout le trafic web HTTPS, le rendant indiscernable de la navigation normale. Difficile à bloquer par les administrateurs réseau sans interrompre complètement l’accès web.
- DoT (port 853) : Utilise un port distinct et identifiable, plus facile à détecter et bloquer par les pare-feux.
Les principaux navigateurs — Chrome, Firefox, Edge, Brave et Safari — ont adopté DoH comme méthode de chiffrement DNS préférée en raison de sa résistance au blocage et de son intégration transparente avec la pile web existante.
Impact sur les performances
Une préoccupation courante est que le chiffrement DNS ajoute de la latence. En pratique, la surcharge est minimale. La poignée de main HTTPS initiale prend une fraction de seconde, et les requêtes suivantes réutilisent la connexion (multiplexage HTTP/2), les rendant aussi rapides ou plus rapides que le DNS traditionnel via UDP. Des mesures de Cloudflare et Google montrent que la latence DoH est comparable au DNS conventionnel dans la plupart des conditions réseau. Dans certains cas, passer à un fournisseur DoH haute performance comme Cloudflare (1.1.1.1) accélère même la résolution DNS par rapport à un résolveur FAI lent, car l’infrastructure du fournisseur est géographiquement plus proche de la plupart des utilisateurs.
Comment activer DoH
Activer DoH est simple :
- Dans votre navigateur : Ouvrez les Paramètres, naviguez vers Confidentialité ou Sécurité, trouvez « Utiliser un DNS sécurisé » ou « DNS over HTTPS » et sélectionnez un fournisseur (Cloudflare, Google, Quad9, etc.).
- Au niveau du système d’exploitation : Windows 11, macOS, iOS et Android prennent tous en charge DoH à l’échelle du système. Dans vos paramètres réseau ou DNS, saisissez une adresse de serveur compatible DoH et activez l’option de chiffrement.
- Sur votre routeur : Certains routeurs prennent en charge DoH ou DoT, chiffrant le DNS pour chaque appareil de votre réseau sans configuration par appareil.
Considérations et limites
DoH n’est pas une solution miracle pour la confidentialité. Il chiffre la requête DNS, mais l’adresse IP à laquelle vous vous connectez ensuite reste visible de votre FAI et de l’opérateur réseau (sauf si vous utilisez aussi un VPN). De plus, le Server Name Indication (SNI) dans la poignée de main TLS peut révéler le nom d’hôte auquel vous vous connectez ; l’Encrypted Client Hello (ECH) est un standard émergent qui y répond. Certains réseaux d’entreprise et systèmes de contrôle parental s’appuient sur l’inspection des requêtes DNS pour appliquer des politiques. Activer DoH sur un réseau d’entreprise peut contourner les contrôles de sécurité — consultez votre service informatique avant de l’activer sur un appareil professionnel.
Comment choisir
1. Commencer par votre navigateur
Le moyen le plus rapide d’obtenir la protection DoH est de l’activer dans les paramètres de votre navigateur. Cela prend environ 30 secondes, ne nécessite aucune installation de logiciel et chiffre immédiatement toutes les requêtes DNS effectuées par ce navigateur.
2. Choisir un fournisseur DNS de confiance
En utilisant DoH, vous confiez vos données de requête au fournisseur DNS. Choisissez avec soin :
- Cloudflare (1.1.1.1) : S’engage à ne pas revendre les données et à purger les journaux de requêtes sous 24 heures. Audité de façon indépendante.
- Google Public DNS (8.8.8.8) : Extrêmement rapide et fiable ; les journaux sont anonymisés mais conservés pour des analyses limitées.
- Quad9 (9.9.9.9) : Axé sécurité ; bloque automatiquement les domaines malveillants connus.
Examinez la politique de confidentialité de chaque fournisseur et choisissez celui dont les pratiques de données correspondent à votre niveau de confort.
3. Combiner avec un VPN pour une protection complète
DoH ne chiffre que les requêtes DNS — il ne masque pas votre adresse IP ni ne chiffre le reste de votre trafic. Pour une confidentialité complète sur les Wi-Fi publics ou dans des environnements réseau restrictifs, associez DoH à un VPN. Ensemble, ils couvrent à la fois la question « quel site visitez-vous » (DoH) et la question « qu’y faites-vous » (VPN).
Adoption de DoH et dynamique du secteur
DoH a gagné rapidement en adoption depuis son introduction. Firefox a été le premier grand navigateur à l’activer par défaut (aux États-Unis), suivi de Chrome, Edge et Brave. Apple a ajouté le support DoH à l’échelle du système dans iOS 14 et macOS Big Sur. Windows 11 prend en charge DoH nativement dans les paramètres réseau. Cette adoption généralisée signifie qu’activer DoH n’est plus une tâche technique avancée — c’est une fonctionnalité grand public supportée par toutes les grandes plateformes. La tendance vers le DNS chiffré est claire et irréversible, portée à la fois par la demande des utilisateurs en matière de confidentialité et par le consensus du secteur selon lequel le DNS non chiffré est une vulnérabilité.
Conclusion
Le DNS over HTTPS est l’une des améliorations de confidentialité les plus faciles et les plus impactantes que vous puissiez réaliser. En chiffrant les requêtes DNS qui révèlent quels sites vous visitez, DoH comble une lacune de longue date dans la confidentialité sur internet — et son activation prend moins d’une minute. Choisissez un fournisseur DNS réputé, activez DoH dans votre navigateur ou votre système d’exploitation, et envisagez d’ajouter un VPN pour une protection à spectre complet. Un petit changement, un gain significatif.