DoH vs DoT : Quel protocole DNS choisir pour protéger votre vie privée en ligne ?

Lorsqu'il s'agit de protéger la confidentialité de son trafic web, choisir entre DNS over HTTPS (DoH) ou DNS over TLS (DoT) devient une étape clé pour tout utilisateur soucieux de sa sécurité en ligne. Configurer le protocole DNS over HTTPS permet de dissimuler l'historique de navigation et de se prémunir contre l'interception de données personnelles.

Par défaut, la plupart des appareils envoient les requêtes réseau vers les serveurs DNS en clair, sans aucune protection. Cela signifie qu'un fournisseur d'accès Internet (FAI), un administrateur réseau ou un pirate sur un Wi-Fi public peuvent facilement suivre chaque site que vous consultez.

Le chiffrement des requêtes DNS résout ce problème de fuite de données. Dans cet article, nous allons examiner en détail les technologies DoH et DoT, explorer l'architecture du standard DNS over TLS et déterminer quel protocole est le plus fiable pour sécuriser votre réseau domestique et vos appareils personnels.

Pourquoi chiffrer les requêtes DNS ? Ce que voit le FAI

Par défaut, le système DNS fonctionne comme un annuaire téléphonique ouvert : lorsque vous tapez l'adresse d'un site dans votre navigateur, votre appareil envoie une requête pour obtenir son adresse IP. Ce mécanisme de base est détaillé dans notre article explicatif sur le fonctionnement du DNS. Le principal point faible de cette approche classique, c'est que ces requêtes sont transmises en clair.

Tout relais entre votre ordinateur et le serveur final - routeur domestique, équipement du FAI ou borne Wi-Fi publique - peut intercepter, lire, voire modifier ces paquets. Les fournisseurs exploitent légalement cette transparence pour collecter des données utilisateurs, restreindre des sites à la demande des autorités ou prioriser certains flux.

À noter : même si le site est sécurisé (icône de cadenas dans le navigateur), votre FAI ne voit pas le contenu de la page ni vos mots de passe, mais il sait exactement à quel domaine vous vous connectez. Un chiffrement robuste des requêtes DNS élimine cette faille, empêchant toute collecte de votre historique de navigation par des tiers.

Comment fonctionne DNS over HTTPS (DoH) ?

La technologie DoH insère habilement les requêtes DNS dans le trafic web classique. Pour tout observateur externe, y compris les systèmes d'analyse profonde des paquets (DPI) du FAI, cela ressemble à une simple visite sur une page HTTPS sécurisée.

Ce protocole utilise le port 443, commun à la majorité des sites modernes. Isoler et bloquer spécifiquement le trafic DoH est quasiment impossible. Le FAI devrait soit tenter de déchiffrer tout le flux - mission impossible sans les clés - soit bloquer les adresses IP des serveurs DNS publics, ce qui impacterait de nombreux services légitimes.

En pratique, DNS over HTTPS a gagné en popularité grâce à son intégration directe dans les logiciels. Les navigateurs comme Chrome, Edge et Firefox sont capables d'envoyer ces requêtes en contournant les paramètres globaux du système d'exploitation. L'utilisateur peut alors masquer son activité en ligne en quelques clics, sans toucher à la configuration du routeur.

Qu'est-ce que DNS over TLS (DoT) ? Spécificités du protocole

Le standard DNS over TLS vise la même protection de la vie privée, mais à un autre niveau réseau. Plutôt que de se dissimuler dans le trafic web, il crée un tunnel sécurisé dédié entre votre appareil et le serveur DNS, en utilisant le protocole de chiffrement TLS.

La particularité principale de DoT réside dans l'utilisation du port 853. Les équipements réseau distinguent ainsi clairement qu'il s'agit d'informations DNS, même si le contenu des paquets reste chiffré.

Cette approche est très appréciée par les administrateurs réseaux en entreprise. Le port dédié facilite la gestion du trafic, la surveillance des anomalies et le blocage des requêtes malveillantes directement au niveau du routeur.

Comparatif : différences majeures entre DoH et DoT

Pour déterminer si DNS over HTTPS ou DNS over TLS est le plus adapté à vos besoins, il est essentiel de comparer leur comportement dans des situations réelles. Leur différence architecturale influe directement sur leur résistance au blocage et sur la rapidité des réponses.

Ports utilisés et résistance au blocage

Comme DNS over TLS utilise le port 853, un FAI ou un pare-feu national peut facilement le bloquer. Dès lors, votre appareil ne pourra plus joindre le serveur sécurisé, et la navigation s'arrêtera tant que la configuration ne change pas.

À l'inverse, le protocole DoH fonctionne via le port 443, impossible à bloquer sans couper l'accès à une grande partie d'Internet (banques, marketplaces, grandes plateformes).

Performance et rapidité

D'un point de vue technique, l'échange via le port 853 est légèrement plus rapide : le protocole DoT n'ajoute pas la " surcouche " des en-têtes HTTP, ce qui rend les paquets plus légers et réduit la latence initiale.

Avec DoH, l'appareil doit générer des requêtes HTTPS, ce qui demande un peu plus de ressources. Mais, avec la vitesse actuelle des connexions et la puissance des processeurs, la différence est de l'ordre de la milliseconde et imperceptible pour l'utilisateur lambda.

Quel protocole choisir pour votre réseau ou vos appareils ?

Le choix dépend de l'endroit où vous souhaitez chiffrer les requêtes DNS et de la menace à laquelle vous vous exposez. Pour les smartphones et navigateurs sur PC, DoH reste la solution la plus flexible : accès garanti même dans des réseaux publics ou d'entreprise très contrôlés.

Au niveau du routeur domestique, il est souvent plus logique d'utiliser DNS over TLS. Le routeur traite plus facilement un trafic DNS dédié, ce qui évite de mélanger ces requêtes avec les flux vidéo ou les pages web lourdes, et allège donc la charge du matériel.

Rappel : masquer ses requêtes DNS ne rend pas invisible : le FAI peut toujours voir les adresses IP finales des connexions établies.

Conclusion

Les deux protocoles remplissent parfaitement leur mission principale : ils cachent efficacement votre historique de navigation aux yeux de votre fournisseur d'accès. Le choix final dépendra de l'emplacement de la configuration et du type d'appareils utilisés.

Pour les appareils personnels, smartphones et ordinateurs, DNS over HTTPS est le plus adapté. Il se fond dans le trafic web classique, s'active en quelques clics dans le navigateur et reste opérationnel même sur des réseaux publics très restreints.

Si vous souhaitez protéger l'ensemble de votre réseau domestique, configurez DNS over TLS sur votre routeur. Cela sécurisera téléviseurs connectés, consoles et objets connectés, tout en optimisant la charge du processeur réseau et en évitant les conflits avec le trafic web.

FAQ : Questions fréquentes

Comment activer DoH dans un navigateur ?

Dans les navigateurs modernes (Chrome, Edge, Firefox, Yandex), cette fonctionnalité est intégrée. Rendez-vous dans les paramètres de confidentialité et sécurité, trouvez la section " Serveur DNS sécurisé " et activez l'option. Vous pouvez choisir un fournisseur comme Cloudflare (1.1.1.1) ou Google (8.8.8.8).

Comment activer DNS over TLS sur un routeur ?

Votre routeur doit être compatible avec les protocoles de chiffrement récents (par exemple, Keenetic, MicroTik ou un firmware OpenWrt). Dans le panneau de gestion, allez dans les paramètres de connexion Internet, activez le chiffrement DNS et indiquez les adresses des serveurs choisis ainsi que leurs noms de domaine pour la vérification du certificat TLS (ex. : dns.adguard-dns.com).

Le FAI peut-il bloquer DoH ou DoT ?

Bloquer DoT est très simple : il suffit au FAI de fermer le port 853, et vos requêtes chiffrées ne passeront plus. Bloquer DoH est quasiment impossible de manière ciblée ; il utilise le port 443, commun à des millions de sites, et tenter de le bloquer casserait la quasi-totalité d'Internet chez le fournisseur.