Une fuite DNS est une vulnérabilité de confidentialité qui se produit quand vos requêtes DNS — les recherches qui traduisent des noms de domaine comme google.com en adresses IP — voyagent hors de votre tunnel chiffré et atteignent les serveurs de votre FAI. Même avec un VPN actif, votre opérateur internet peut voir chaque site web que vous visitez si vous avez une fuite DNS. Vous pouvez vérifier votre sécurité DNS dès maintenant sur whatsmy.fyi.
Qu'est-ce que le DNS ?
DNS (Domain Name System) est l'annuaire téléphonique d'Internet. Chaque fois que vous saisissez une adresse de site web dans votre navigateur, votre appareil envoie une requête DNS demandant « quelle est l'adresse IP de ce domaine ? » Un résolveur DNS — généralement opéré par votre FAI — cherche la réponse et retourne l'IP pour que votre navigateur puisse se connecter.
Par défaut, cette recherche est envoyée en clair sur le port UDP 53. Votre FAI peut journaliser chaque requête DNS, construisant un enregistrement détaillé de vos habitudes de navigation sans jamais voir le contenu de votre trafic.
Qu'est-ce qu'une fuite DNS ?
Quand vous utilisez un VPN, tout votre trafic internet — y compris les requêtes DNS — est censé transiter par le tunnel VPN chiffré et sortir par les serveurs de votre fournisseur VPN. Une fuite DNS se produit quand votre appareil contourne ce tunnel pour les requêtes DNS et les envoie directement au résolveur DNS de votre FAI.
Résultat : votre VPN masque votre adresse IP et chiffre vos données de navigation, mais votre FAI reçoit quand même un journal complet de chaque nom de domaine que vous visitez. Le tunnel chiffré protège votre trafic, mais les requêtes DNS fuient en dehors.
Pourquoi les fuites DNS se produisent-elles ?
Les fuites DNS ne sont pas intentionnelles — elles résultent de mauvaises configurations et de la façon dont les systèmes d'exploitation gèrent les transitions réseau :
- DNS en tunnel fractionné : Certains clients VPN utilisent le tunnel fractionné pour router uniquement certains trafics via le VPN. Si le DNS n'est pas explicitement inclus dans le tunnel, les requêtes passent par l'interface par défaut.
- Fallback DNS au niveau OS : Windows, en particulier, dispose d'une fonctionnalité appelée « smart multi-homed name resolution » qui envoie les requêtes DNS à toutes les interfaces réseau disponibles simultanément et utilise celle qui répond en premier — souvent le FAI local.
- Fuites DNS IPv6 : De nombreux VPN ne tunnellisent que le trafic IPv4. Si votre appareil a une connexion IPv6, les requêtes DNS peuvent transiter par l'interface IPv6 non protégée.
- Substitution DNS DHCP : Lors de la connexion à un réseau, DHCP assigne un serveur DNS. Si votre appareil accepte cette assignation au lieu d'utiliser le DNS du VPN, les requêtes fuient vers ce serveur.
Comment tester une fuite DNS
La carte Sécurité DNS sur whatsmy.fyi vérifie si votre réseau autorise le DNS over HTTPS et si votre connexion route le trafic via un fournisseur VPN connu. Si vous utilisez un VPN, la carte confirme que vos requêtes DNS sont chiffrées dans le tunnel.
Pour un test de fuite DNS définitif, des outils dédiés utilisent une technique impliquant des serveurs de noms faisant autorité personnalisés. Ils vous assignent un sous-domaine unique (ex. : abc123.test.dnsleak.com), déclenchent une recherche DNS pour ce sous-domaine depuis votre navigateur, puis vérifient quel serveur DNS a réellement résolu la requête. Si c'était le résolveur de votre FAI plutôt que celui de votre VPN, vous avez une fuite DNS.
Comment corriger une fuite DNS
Option 1 : Utiliser un VPN avec protection intégrée contre les fuites DNS
La plupart des fournisseurs VPN réputés incluent la protection contre les fuites DNS comme fonctionnalité. Cela force toutes les requêtes DNS à passer par le tunnel VPN et empêche l'OS d'utiliser tout autre résolveur. Cherchez ce paramètre dans votre client VPN et assurez-vous qu'il est activé.
Option 2 : Configurer un résolveur DNS axé sur la confidentialité
Passer à un fournisseur DNS qui ne journalise pas les requêtes réduit considérablement votre exposition. Options bien connues :
- Cloudflare 1.1.1.1 — Rapide, axé sur la confidentialité, pas de journalisation des requêtes. Supporte le DNS over HTTPS et DNS over TLS.
- Google 8.8.8.8 — Largement utilisé, fiable. Quelques journalisations pour la sécurité et la prévention des abus.
- Quad9 9.9.9.9 — Axé sur la confidentialité avec blocage intégré des malwares. Opéré par une association à but non lucratif.
- NextDNS — Entièrement configurable avec des journaux de requêtes détaillés que vous contrôlez.
Option 3 : Activer le DNS over HTTPS (DoH)
Le DNS over HTTPS chiffre les requêtes DNS en les encapsulant dans HTTPS. Contrairement au DNS traditionnel qui envoie des requêtes en clair sur UDP, DoH envoie les requêtes à un serveur web utilisant le même protocole chiffré que les sites web. Votre FAI voit du trafic HTTPS vers un fournisseur DoH — pas les noms de domaine individuels que vous résolvez.
Les navigateurs modernes disposent d'un support DoH intégré :
- Firefox : Paramètres → Vie privée et sécurité → DNS sur HTTPS. Sélectionnez « Protection maximale » pour bloquer toutes les requêtes non-DoH.
- Chrome / Edge : Paramètres → Confidentialité et sécurité → Sécurité → Utiliser le DNS sécurisé. Activez et choisissez un fournisseur.
- Au niveau OS (Windows 11, macOS 13+) : Les deux supportent DoH au niveau du système d'exploitation, protégeant toutes les applis — pas seulement le navigateur.
Fuite DNS vs fuite WebRTC
Les fuites DNS et les fuites WebRTC sont des problèmes distincts mais les deux peuvent exposer votre vraie identité lors de l'utilisation d'un VPN. Une fuite WebRTC expose votre vraie adresse IP directement ; une fuite DNS expose les sites web que vous visitez. Vous devriez tester les deux. whatsmy.fyi vérifie les deux sur la même page.
Le DNS over HTTPS résout-il tout ?
DoH empêche votre FAI de lire vos requêtes DNS en transit, mais cela ne vous rend pas anonyme. Le fournisseur DoH reçoit quand même vos requêtes DNS. Cloudflare 1.1.1.1 et Quad9 ont publié de solides politiques de non-journalisation, mais vous déplacez la confiance de votre FAI vers le fournisseur DoH. Pour une confidentialité maximale, combinez DoH avec un VPN.
Foire aux questions
Puis-je avoir une fuite DNS sans VPN ?
Techniquement non — une « fuite » implique un trafic contournant un canal sécurisé attendu. Sans VPN, toutes vos requêtes DNS vont à votre FAI par défaut ; c'est le fonctionnement normal. Le risque est que votre FAI journalise et potentiellement monétise ces données. La solution est de passer à un résolveur DNS respectueux de la vie privée ou d'activer le DNS over HTTPS.
Une fuite DNS expose-t-elle mes mots de passe ou le contenu de ma navigation ?
Non. Les fuites DNS exposent uniquement les noms de domaine que vous visitez (ex. : google.com), pas le contenu de vos connexions. Vos mots de passe, messages et contenu de pages sont toujours protégés par le chiffrement TLS. Cependant, la liste des domaines que vous visitez est considérée comme des métadonnées sensibles dans la plupart des cadres de confidentialité.
Passer à 1.1.1.1 accélérera-t-il ma connexion ?
Souvent oui. La vitesse de résolution DNS affecte la rapidité avec laquelle votre navigateur peut commencer à charger une page après que vous avez saisi une adresse. Cloudflare 1.1.1.1 se classe régulièrement comme le résolveur DNS public le plus rapide dans les benchmarks indépendants. Une résolution DNS plus rapide réduit la latence perçue.
