Imagine que tu postes une lettre. L’enveloppe est fermée et le contenu est chiffré — personne ne peut lire ce qu’il y a dedans. Mais l’adresse du destinataire est écrite en clair sur l’enveloppe, et le facteur en prend note chaque fois qu’il la transporte.
C’est exactement ce qui se passe quand tu navigues sur internet sans DNS chiffré.
HTTPS protège le contenu de tes échanges avec un site web. Mais avant même d’établir cette connexion chiffrée, ton appareil envoie une requête en clair à un serveur DNS pour demander : “Quelle est l’adresse IP de facebook.com ?” — et ton fournisseur internet (Bell, Vidéotron, Rogers) voit cette requête.
Le DNS : l’annuaire d’internet
Le DNS (Domain Name System) est le système qui traduit les noms de domaine lisibles par les humains (sequr.ca, google.com) en adresses IP que les ordinateurs comprennent (192.0.2.1).
Quand tu tapes sequr.ca dans ton navigateur, voici ce qui se passe :
- Ton appareil envoie une requête à un serveur DNS (souvent celui de ton FAI par défaut)
- Le serveur DNS répond avec l’adresse IP correspondante
- Ton appareil établit ensuite une connexion HTTPS avec ce serveur
Le problème : l’étape 1 est envoyée en clair, sans chiffrement. Ton FAI, et n’importe qui sur le trajet réseau, peut voir exactement quel domaine tu essaies de visiter — même si la connexion elle-même sera ensuite chiffrée.
Ce que ton FAI peut voir sans DNS chiffré
Sans DNS chiffré, ton fournisseur internet peut construire un journal complet de ta navigation :
- Quels sites tu visites et à quelle fréquence
- À quelle heure tu navigues
- Quels sujets t’intéressent (santé, politique, sexualité, religion)
- Quelles apps tu utilises (les apps mobiles font aussi des requêtes DNS)
Au Canada, les FAI n’ont pas l’obligation légale de ne pas journaliser ou vendre ces données. Et dans certains pays, cette surveillance est obligatoire par loi.
DoH, DoT, DoQ — les trois standards de DNS chiffré
DNS over HTTPS (DoH)
Le DoH encapsule les requêtes DNS dans du trafic HTTPS standard. L’avantage : il est indiscernable du trafic web normal, difficile à bloquer. C’est le standard le plus largement supporté et recommandé pour les particuliers.
Format de l’URL resolver : https://1.1.1.1/dns-query (Cloudflare)
DNS over TLS (DoT)
Le DoT chiffre les requêtes DNS dans une connexion TLS dédiée, sur le port 853. Il est plus facile à identifier par un FAI ou un pare-feu d’entreprise. Souvent utilisé dans des contextes réseau contrôlés.
DNS over QUIC (DoQ)
Standard plus récent, basé sur le protocole QUIC (aussi utilisé par HTTP/3). Moins supporté pour l’instant, mais plus performant que DoT dans certaines conditions réseau.
Les providers DNS chiffrés fiables
| Provider | Adresse | Avantages | Inconvénients |
|---|---|---|---|
| Cloudflare 1.1.1.1 | 1.1.1.1 / 1.0.0.1 | Très rapide, politique de non-conservation | Basé aux États-Unis |
| Quad9 | 9.9.9.9 | Bloque les malwares, basé en Suisse | Légèrement plus lent |
| NextDNS | Personnalisé | Configurable, listes de blocage | Payant après 300K requêtes/mois |
| AdGuard DNS | 94.140.14.14 | Bloque publicités + traqueurs | Politique de logs à vérifier |
Pour la plupart des utilisateurs canadiens, Cloudflare 1.1.1.1 ou Quad9 sont d’excellents choix par défaut.
Configuration — guide étape par étape
Sur iPhone / iPad (iOS 14+)
La façon la plus simple est d’utiliser un profil de configuration fourni par le provider DNS.
Cloudflare :
- Télécharge l’app 1.1.1.1 depuis l’App Store (gratuite)
- Active le “DNS over HTTPS” dans l’app
- Accepte l’installation du profil VPN local
Alternative sans app :
- Va sur
https://encrypt.dns.apple.com/(Cloudflare fournit un profil) - Télécharge le profil → Réglages → Profil téléchargé → Installer
Sur macOS (Ventura et plus récent)
macOS supporte DoH nativement depuis Ventura (mais de façon limitée — les apps comme Firefox utilisent leur propre résolveur).
Option A : via l’app 1.1.1.1 de Cloudflare Télécharge depuis le site Cloudflare ou le Mac App Store.
Option B : Firefox avec DoH intégré Firefox a DoH intégré et l’active par défaut. Dans Préférences → Général → Paramètres réseau → Activer DNS via HTTPS.
Option C : NextDNS (le plus configurable) NextDNS fournit un profil de configuration macOS avec ton identifiant unique. Permet de voir les logs et personnaliser les listes de blocage.
Sur Android
Chrome / Navigateur : Paramètres → Confidentialité et sécurité → Utiliser un DNS sécurisé → Sélectionne un fournisseur (Cloudflare, Quad9, NextDNS).
Système entier (Android 9+) :
Paramètres → Réseau et internet → DNS Privé → Nom d’hôte du fournisseur DNS → tape one.one.one.one (Cloudflare) ou dns.quad9.net (Quad9).
Sur Windows 11
Paramètres → Réseau et Internet → Ethernet (ou Wi-Fi) → Propriétés → Affectation du serveur DNS → Modifier → DNS over HTTPS.
Serveurs recommandés :
- Cloudflare :
1.1.1.1et1.0.0.1 - Quad9 :
9.9.9.9et149.112.112.112
Limites importantes à connaître
Le DNS chiffré ne cache pas tout. Même avec DoH/DoT, ton FAI peut voir que tu établis une connexion avec l’adresse IP de sequr.ca — même s’il ne voit pas la requête DNS. Le SNI (Server Name Indication) dans la poignée de main TLS révèle aussi le nom de domaine dans certaines configurations. ECH (Encrypted Client Hello) est en cours de déploiement pour régler ce dernier point.
Le DNS chiffré ne t’anonymise pas. Ce n’est pas un VPN. Ton FAI voit toujours ton adresse IP et peut corréler tes connexions. Pour une protection plus complète, consulte notre guide sur les VPN et leurs vraies limites et iCloud Private Relay.
Le provider DNS chiffré voit tes requêtes. Tu déplaces la confiance de ton FAI vers Cloudflare ou Quad9. Ces providers ont des politiques de confidentialité — lis-les.
Recommandations pratiques
- Active DoH sur Firefox immédiatement — c’est une case à cocher dans les paramètres
- Sur iPhone, installe l’app 1.1.1.1 — deux minutes de configuration pour chiffrer toutes les requêtes DNS du système
- Sur Android, configure le DNS Privé dans les paramètres réseau avec
dns.quad9.net - Préfère Quad9 si tu veux le blocage de malwares — ça ne remplace pas un antivirus mais c’est une couche de protection supplémentaire gratuite
- Utilise NextDNS si tu veux des logs et de la personnalisation — utile pour un foyer avec enfants ou pour analyser ce qui se connecte sur ton réseau
Le DNS chiffré est l’une des améliorations les plus simples et les plus efficaces que tu puisses faire pour ta vie privée en ligne. Ce n’est pas parfait — mais c’est une couche de protection réelle qui prend moins de cinq minutes à configurer.
