Le DNS over HTTPS (DoH) et les VPN adressent tous les deux la confidentialité réseau, mais à des niveaux différents. Beaucoup d’utilisateurs de VPN ne savent pas ce qu’est le DoH. Beaucoup de ceux qui utilisent le DoH supposent qu’il remplace le besoin d’un VPN. Ni l’un ni l’autre n’est vrai.
Ce qu’est réellement le DNS
Chaque fois que vous visitez un site web, votre appareil envoie une requête DNS pour trouver quelle adresse IP correspond au nom de domaine que vous avez tapé. Si vous visitez nordvpn.com, votre appareil demande à un serveur DNS : “quelle est l’adresse IP de nordvpn.com ?”
Traditionnellement, ces requêtes sont envoyées en clair, sans chiffrement, aux serveurs DNS de votre FAI. Votre FAI peut voir chaque nom de domaine que vous consultez, même si le contenu de la page lui-même est chiffré via HTTPS. C’est une faille de confidentialité significative qui existe même lorsque vous naviguez de manière sécurisée.
Ce que fait le DNS over HTTPS
Le DNS over HTTPS (DoH) chiffre les requêtes DNS et les envoie via HTTPS à un résolveur compatible DoH (le 1.1.1.1 de Cloudflare, le 8.8.8.8 de Google, ou d’autres). Votre FAI ne peut plus voir quels noms de domaine vous consultez.
Ce que ça change :
- Votre FAI ne peut plus lire vos requêtes DNS
- Les requêtes DNS sont envoyées à un fournisseur DoH plutôt qu’au résolveur de votre FAI
- Empêche les observateurs du réseau local de voir votre activité DNS
Ce que ça ne change pas :
- Votre vraie adresse IP reste visible pour les sites que vous visitez
- Votre FAI peut toujours voir les adresses IP auxquelles vous vous connectez (même si pas les noms de domaine)
- Le contenu de votre trafic n’est pas chiffré par le DoH (HTTPS s’en charge séparément)
- Vous faites désormais confiance au fournisseur DoH (Cloudflare, Google) pour vos requêtes DNS plutôt qu’à votre FAI
Ce que fait un VPN
Un VPN chiffre tout votre trafic (pas seulement le DNS), le route via un serveur VPN, et remplace votre adresse IP par celle du serveur. Votre FAI ne voit que des données chiffrées allant vers un serveur VPN. Les sites que vous visitez voient l’IP du serveur VPN.
Un VPN bien configuré route également vos requêtes DNS via les propres serveurs DNS du VPN, assurant la confidentialité DNS comme effet secondaire.
Comparaison des protections
| Menace | DoH seul | VPN seul | Les deux |
|---|---|---|---|
| FAI voit les noms de domaine | Protégé | Protégé | Protégé |
| FAI voit les connexions IP | Non protégé | Protégé | Protégé |
| Vraie IP visible par les sites | Non protégé | Protégé | Protégé |
| Contenu du trafic depuis le FAI | Non protégé | Protégé | Protégé |
| Confidentialité des requêtes DNS | Protégé (du FAI) | Protégé (route via DNS VPN) | Protégé |
| Confiance requise | Fournisseur DoH | Fournisseur VPN | Les deux |
Quand le DoH seul suffit
Si votre seule préoccupation est la confidentialité DNS vis-à-vis de votre FAI, et que vous faites plus confiance à Cloudflare ou Google pour vos requêtes DNS qu’à votre FAI, le DoH seul répond à cette menace spécifique.
Exemple : vous êtes sur un réseau d’entreprise ou scolaire qui filtre les sites via l’interception DNS. Le DoH contourne cela en envoyant les requêtes à un résolveur externe via HTTPS.
Quand un VPN est nécessaire
Dès que vous avez besoin de plus que la confidentialité DNS : masquage d’IP, trafic chiffré, protection sur les réseaux publics, contournement de restrictions géographiques. Un VPN offre toute la protection que le DoH offre (en routant le DNS via le VPN) plus le chiffrement complet du trafic et le remplacement de l’IP.
Fuites DNS : le point de jonction
Un problème courant avec les VPN est la fuite DNS : votre appareil continue d’envoyer des requêtes DNS en dehors du tunnel VPN vers le serveur DNS de votre FAI, même si votre trafic passe par le VPN. Cela expose les sites que vous visitez malgré l’utilisation d’un VPN.
Les fournisseurs VPN réputés évitent cela avec des paramètres de protection contre les fuites DNS. Mais si vous utilisez le DoH avec un VPN qui a des fuites DNS, le DoH peut en fait aider : vos requêtes DNS vont vers un fournisseur DoH plutôt que vers votre FAI, empêchant la fuite d’être utile.
Activez à la fois la protection contre les fuites DNS dans votre VPN et le DoH dans votre navigateur comme approche de défense en profondeur.
Comment activer le DNS over HTTPS
Firefox : Paramètres > Vie privée et sécurité > DNS via HTTPS > Activer.
Chrome : Paramètres > Confidentialité et sécurité > Sécurité > Utiliser un DNS sécurisé > Activé (automatique) ou choisir un fournisseur.
Windows 11 : Paramètres > Réseau et Internet > Wi-Fi ou Ethernet > Attribution du serveur DNS > Modifier > DNS préféré (entrer 1.1.1.1 pour Cloudflare) > basculer “DNS via HTTPS”.
iOS : Apple prend en charge les profils DNS chiffrés. Cloudflare propose un profil gratuit sur 1.1.1.1.
Quel fournisseur DoH choisir
Cloudflare (1.1.1.1) : Rapide, politique sans logs, audité par KPMG. Bon choix par défaut.
Quad9 (9.9.9.9) : ONG suisse, sans logs, bloque les domaines malveillants connus.
Google (8.8.8.8) : Rapide, mais Google enregistre les données de requêtes et les utilise pour la publicité. Déconseillé pour la confidentialité.
Si vous utilisez un VPN, votre DNS est déjà routé via les serveurs du VPN. Le paramètre DoH dans votre navigateur peut ne pas s’appliquer une fois le VPN actif, selon la façon dont le VPN gère le routage DNS.
Envie de comparer tous les VPN côte à côte ? Consultez notre tableau comparatif complet avec les scores sur 18 critères.
Le DoH et les VPN sont complémentaires, pas concurrents. Le DoH chiffre les requêtes DNS. Un VPN chiffre tout le reste et masque votre IP. Si vous utilisez un VPN avec une bonne protection contre les fuites DNS, le DoH apporte un bénéfice supplémentaire marginal. Si vous n'utilisez pas de VPN, le DoH est une amélioration significative par rapport au DNS standard mais laisse votre IP et votre contenu de trafic exposés.
Les deux ensemble, et la configuration qui a du sens
Les outils ne se font pas concurrence, ils se superposent, avec une question de configuration à bien régler. À l’intérieur d’un tunnel VPN, votre DNS doit aller vers les résolveurs du fournisseur VPN (le comportement par défaut des bonnes applications), car router le DNS vers un tiers depuis l’intérieur du tunnel réintroduit une partie séparée qui voit vos requêtes. En dehors du tunnel, le DoH au niveau du navigateur vers un résolveur de confiance est une amélioration nette par rapport au DNS par défaut du FAI, chiffrant le signal qui autrement révèle votre carte de navigation en texte clair.
La pile raisonnable pour un foyer se lit donc : VPN activé pour les connexions qui comptent, DNS du fournisseur à l’intérieur, et DoH configuré dans les navigateurs et l’OS pour tous les moments où le tunnel est désactivé. Chaque couche couvre les heures creuses de l’autre, et aucune ne nécessite de choisir un champion.
Ce que chacun protège réellement, en une dernière table en prose
Le DoH chiffre la question “où est ce site” entre vous et le résolveur : votre FAI perd le journal de navigation facile, mais il voit toujours les IP auxquelles vous vous connectez ensuite, et le résolveur que vous avez choisi détient maintenant l’historique des requêtes à sa place. Un VPN chiffre toute la connexion : le FAI ne voit que le tunnel, les sites voient l’IP du serveur, et la politique de logs du fournisseur devient la question de confiance. Le DoH est une amélioration de la confidentialité d’un seul protocole ; le VPN est une relocalisation de la confidentialité de toute la connexion. Confondre les deux, c’est comment les gens finissent par croire qu’un paramètre DNS a caché leur trafic ; les associer correctement, c’est comment chacun fait le travail pour lequel il a été conçu.
Le modèle mental de conclusion : le chiffrement DNS bouche une fuite dans la plomberie, le VPN remplace la plomberie, et un foyer qui configure les deux a simplement arrêté de donner sa carte de navigation à quiconque se trouve le plus proche des tuyaux.
Pour aller plus loin : VPN vs Proxy : quelle est la vraie différence ? et Est-ce qu’un VPN cache votre navigation à votre FAI ?.