Qu’est-ce que le DNS et comment fonctionne-t-il ?

Le DNS, qui signifie Domain Name System, agit comme l’annuaire téléphonique d’internet. Au lieu de numéros de téléphone, les ordinateurs communiquent à l’aide d’adresses numériques appelées adresses IP, qui ressemblent à 192.168.1.1.

Sans DNS, vous ne pourriez pas accéder aux services en ligne (comme les sites web, les forums de discussion ou même vos comptes de messagerie). En effet, votre navigateur web parle un langage différent du vôtre (adresses IP contre texte en clair), et les serveurs DNS vous aident à traduire entre les deux.

Voici comment tout cela fonctionne et pourquoi c’est important pour votre confidentialité.

Définition du DNS en termes simples

Comme mentionné ci-dessus, vous ne parlez pas le même langage que votre navigateur web, qui ne peut pas interpréter l’adresse web en texte classique que vous y saisissez. À la place, votre navigateur web a besoin d’un équivalent numérique de cette adresse web : l’adresse IP.

Ainsi, le DNS intervient comme intermédiaire, en traduisant l’adresse web que vous avez saisie en une adresse IP pour votre navigateur. De cette manière, votre navigateur peut comprendre votre requête et afficher précisément les pages web que vous souhaitez consulter.

Regarder : Qu’est-ce que le DNS ? (vidéo explicative par ExpressVPN)

Comment fonctionne le DNS ? Étape par étape

Le DNS s’active lorsque vous saisissez l’adresse d’une page web et cliquez ou appuyez sur le bouton Rechercher ou Aller dans votre navigateur (ou sur la touche Entrée de votre clavier). Les serveurs DNS sont si efficaces qu’ils fonctionnent en quelques millisecondes.

Ci-dessous, j’ai simplifié ce qui se passe entre le moment où vous effectuez une requête web et celui où votre navigateur l’affiche.

De la saisie d’une URL au chargement d’une page

Une fois que vous saisissez une adresse web dans votre navigateur internet et appuyez sur Aller/Envoyer/Entrée, votre navigateur envoie cette adresse au Domain Name System. Le DNS mobilise quatre serveurs principaux (expliqués ci-dessous) pour rechercher l’adresse IP correspondante de ce site web (un processus appelé résolution DNS).

Votre navigateur a besoin de cette adresse IP, car cette adresse unique indique précisément où le contenu que vous recherchez est hébergé sur internet. Le DNS renvoie cette adresse IP à votre navigateur web. Le navigateur web sait alors exactement où aller, ce qui permet un chargement réussi de la page web, ou génère une erreur si cette page ne peut pas être renvoyée pour quelque raison que ce soit.

Mais ne pouvez-vous pas simplement saisir l’adresse IP directement dans votre navigateur et contourner le DNS ? C’est possible, mais cela n’en vaut généralement pas la peine. Voici pourquoi :

• Le DNS est plus simple : Il est beaucoup plus facile de mémoriser des noms de sites web comme www.expressvpn.com que des adresses IP numériques.
• Les adresses IP peuvent changer : Les sites web mettent souvent à jour leurs adresses IP, et le DNS gère cela automatiquement. Si vous vous fiez à des adresses IP mémorisées, elles peuvent rapidement devenir obsolètes.
• Limitations techniques : Les sites web modernes utilisent souvent un hébergement mutualisé et HTTPS. Saisir directement une adresse IP peut entraîner des incompatibilités de certificats TLS ou empêcher le serveur d’identifier le site correct, provoquant des erreurs ou des avertissements de sécurité.

Les quatre principaux serveurs DNS impliqués

Les requêtes DNS provenant de votre navigateur sont reçues, traitées et résolues par quatre serveurs principaux.

Résolveur DNS récursif

Le résolveur DNS récursif, également appelé DNS recursor ou serveur récursif, accepte une requête de résolution DNS provenant de votre navigateur et l’envoie pour traitement.

Il agit comme le réceptionniste d’une vaste base de données où sont conservés tous les enregistrements DNS. Ainsi, chaque requête doit d’abord passer par lui avant d’être transmise aux autres services (serveurs) pour traitement.

Dans de nombreux cas, le résolveur DNS récursif peut faire plus que simplement accepter la requête. Cela se produit dans une situation appelée mise en cache DNS, que nous expliquerons plus en détail ci-dessous.

Serveur racine de noms

Si le serveur DNS récursif ne dispose pas de l’information en cache, il transmet une requête (query) au serveur racine de noms.

Le serveur racine de noms fonctionne comme le service des archives, détenant des informations essentielles sur l’endroit où vous devez aller pour obtenir ce que vous cherchez. Il renvoie une liste de serveurs TLD afin que votre appareil puisse poursuivre la requête en la transmettant à un serveur TLD.

Serveur de noms TLD (domaine de premier niveau)

Le domaine de premier niveau correspond à la dernière partie de l’adresse d’un site web, généralement précédée d’un point. Par exemple :

Un serveur de noms TLD contient des informations pour tous les noms de domaine qui partagent une extension commune, comme .com ou .org. Les TLD sont divisés en deux catégories : hiérarchie organisationnelle et hiérarchie géographique. Les exemples organisationnels incluent .com, .gov et .edu. Par exemple, un serveur de noms TLD .com contient des informations sur tous les sites web se terminant par .com. Les TLD géographiques sont liés à des zones géographiques spécifiques d’activité.

Serveur de noms faisant autorité

Le serveur de noms faisant autorité est le dernier point de contrôle. Contrairement aux autres, il est associé à un nom de domaine spécifique. C’est pourquoi il est en mesure de stocker toutes les informations pertinentes sur ce nom de domaine, de les mettre à jour lorsque nécessaire et de partager efficacement ces données (adresse IP) avec le serveur récursif sans risque de confusion.

Le serveur récursif récupère l’adresse IP à cet endroit et l’envoie à votre navigateur web. Votre navigateur web peut alors résoudre l’adresse web que vous avez saisie vers l’emplacement correct sur internet.

Types de requêtes DNS : récursive, itérative, non récursive

Le serveur récursif est chargé d’effectuer des requêtes au nom du client (votre navigateur web) auprès des trois autres serveurs. Ces requêtes sont classées selon l’emplacement où se trouvent les informations DNS recherchées :

• Requêtes récursives : Il s’agit de l’ensemble des interactions entre le client (votre navigateur) et le serveur récursif. Chaque requête DNS transmise via le serveur récursif se termine soit par une réponse (la page web souhaitée s’affiche), soit par une erreur (certificats non valides, nom introuvable dans les enregistrements DNS, etc.).
  
• Requêtes itératives : Les requêtes DNS itératives impliquent l’interaction du serveur récursif avec les autres serveurs principaux, aboutissant soit à une redirection (depuis les serveurs racine et TLD), soit à une réponse (depuis le serveur faisant autorité).
• Requêtes non récursives : Pour ce type de requête, le serveur récursif sait où se trouve la réponse et n’a pas besoin de consulter les serveurs intermédiaires. C’est le cas lorsque l’information DNS requise est déjà mise en cache.

Mise en cache DNS : comment les navigateurs et les appareils stockent le DNS

La mise en cache DNS est un processus de stockage temporaire qui conserve la réponse à une requête DNS au plus près du client demandeur, généralement sur le serveur récursif. Ainsi, le client n’a pas besoin de passer par une série de serveurs lors de la requête suivante pour accéder à la même ressource web. Cela consomme moins de ressources CPU.

Mais il y a un inconvénient : si la mise en cache améliore la vitesse et les performances, elle ne vous fournit pas la version la plus récente d’une page web. Par exemple, si vous accédez de nouveau à un subreddit alors qu’il est toujours en cache, vous pourriez ne pas voir les nouvelles activités (commentaires, votes positifs, etc.). Dans ce cas, vous devrez recharger la page, vider le cache ou attendre l’expiration des données mises en cache pour obtenir les nouvelles mises à jour.

Cela dit, où les données DNS mises en cache sont-elles stockées ?

La mise en cache se produit à tous les niveaux de la chaîne récursive : votre navigateur met en cache le DNS, tout comme votre appareil, votre routeur et le serveur DNS que vous interrogez (comme illustré dans le schéma ci-dessus).

Stockage du cache DNS du navigateur

Les navigateurs internet performants stockent les données mises en cache des sites web que vous avez récemment visités. Cela les rend plus économes en ressources, car ils n’ont pas besoin d’effectuer plusieurs requêtes pour accéder une seconde fois à la même page.

Vous n’avez pas non plus à vous soucier du contenu obsolète. Les données mises en cache ne sont stockées que temporairement, car le navigateur demandera des pages nouvelles et mises à jour une fois la limite du cache expirée.

Vous souhaitez vérifier votre cache sur les navigateurs populaires ? Saisissez les adresses internes ci-dessous dans votre navigateur préféré :

Stockage du cache au niveau de l’appareil

En soi, ce serveur DNS ne peut pas effectuer de requêtes auprès des autres serveurs. Cependant, il peut empaqueter le message provenant de votre client web (comme le navigateur web) et l’envoyer au serveur DNS récursif. Ensuite, le serveur DNS récursif effectue toutes les requêtes nécessaires en son nom.

C’est ici que cela devient intéressant.

Une fois le processus de résolution DNS terminé et que le serveur récursif a obtenu l’adresse IP du site demandé, celle-ci est renvoyée au client web via le résolveur DNS stub. À ce stade, le résolveur stub peut stocker une copie (cache) de la réponse à la requête de résolution DNS.

Ainsi, lors de votre prochaine demande des mêmes données, le résolveur DNS stub peut répondre directement au client web sans envoyer un nouveau message au serveur DNS récursif.

Qu’est-ce qu’une adresse DNS ?

Une adresse DNS est l’adresse IP du serveur DNS récursif que votre appareil utilise pour effectuer des résolutions DNS, comme décrit ci-dessus.

La plupart des utilisateurs n’ont qu’à se soucier de leur serveur récursif, qui est généralement géré et détenu par leur FAI ou leur employeur. Mais de manière générale, les serveurs DNS impliqués dans la résolution d’un nom de site web en adresse IP peuvent être détenus, gérés et hébergés par des particuliers, des gouvernements ou des organisations. Parmi les serveurs DNS récursifs publics les plus courants figurent 8.8.8.8 et 1.1.1.1, appartenant respectivement à Google et Cloudflare.

Confidentialité et sécurité DNS : ce que vous devez savoir

Savoir ce qu’est un serveur DNS et comment il fonctionne est intéressant. Cependant, il est bien plus important de comprendre à quel point il est crucial pour votre confidentialité et votre sécurité en ligne.

Ce que le DNS révèle aux FAI et aux fournisseurs de réseau

Par défaut, vos requêtes DNS transitent par votre FAI ou l’administrateur de votre réseau. Une fois que le serveur DNS a trouvé l’adresse IP dont vous avez besoin, celle-ci est également renvoyée à votre navigateur via les serveurs de votre FAI. Ce processus révèle des métadonnées spécifiques à votre FAI :

• Le nom de domaine que vous avez demandé.
• L’heure exacte à laquelle vous avez effectué la requête.
• Votre adresse IP, qui peut être utilisée pour identifier votre localisation ou votre appareil.

Ces informations suffisent à déduire que vous aviez l’intention de vous connecter à ce site web, même si le contenu de votre communication avec le site reste caché lorsque vous utilisez un chiffrement (comme HTTPS). Néanmoins, la requête DNS elle-même peut révéler vos habitudes de navigation à des observateurs.

La bonne nouvelle, c’est que lorsque vous vous connectez avec ExpressVPN, ce sont nos serveurs qui traitent toutes vos requêtes DNS, et non votre FAI.

En réalité, comme ExpressVPN sécurise votre trafic, votre FAI ne peut même pas savoir si vous effectuez une requête DNS. Nous n’enregistrons jamais les requêtes DNS et, lorsque nous effectuons une recherche de nom pour vous, tout ce que tout autre serveur DNS peut voir, c’est l’adresse de notre serveur.

Comme toutes les personnes connectées au même serveur partagent le même serveur DNS que vous, toutes les requêtes proviennent d’une source unique, mêlant vos requêtes à celles des autres. Même si quelqu’un s’intéressait au trafic DNS, il ne serait pas en mesure d’isoler un utilisateur en particulier.

Comment les fuites DNS compromettent l’anonymat et la sécurité en ligne

Même s’ils ne sont pas particulièrement privés, les serveurs DNS publics sont généralement sécurisés. Toutefois, les cybercriminels peuvent cibler les serveurs DNS afin de compromettre votre confidentialité et votre sécurité, et perturber le fonctionnement de vos appareils :

• Usurpation DNS (empoisonnement du cache) : Cette attaque consiste à injecter des données DNS malveillantes dans le cache d’un résolveur, ce qui l’amène à renvoyer une adresse IP incorrecte. Cela peut rediriger les utilisateurs vers un site de phishing où vous êtes incité à divulguer des données sensibles (comme des informations de carte bancaire ou des identifiants de connexion) ou à télécharger des logiciels malveillants.
• Attaques par amplification DNS : Il s’agit d’un type d’attaque DDoS où des acteurs malveillants envoient de fausses requêtes DNS à un serveur en définissant l’adresse de retour comme étant l’adresse IP de la victime. Les serveurs DNS renvoient alors de grandes réponses vers l’adresse IP de la victime. Ces réponses peuvent submerger les ordinateurs et serveurs de la victime, provoquant leur défaillance et leur arrêt.
• Détournement DNS : Cette attaque est similaire à l’usurpation DNS, car l’attaquant redirige des requêtes DNS légitimes vers de mauvais sites afin de tromper la victime. La principale différence est que cela se produit sur des requêtes DNS actives plutôt que sur des données DNS mises en cache. Les cybercriminels peuvent devoir pirater votre routeur ou installer un logiciel malveillant sur votre appareil pour mener cette attaque à bien.
• Écoute clandestine : Étant donné que les requêtes DNS sont souvent transmises en texte en clair via des protocoles UDP, toute personne disposant des connaissances techniques appropriées peut intercepter et interpréter ces données. Vos données internet peuvent révéler les sites que vous visitez, ce qui présente des risques de sécurité pour les utilisateurs qui préfèrent rester privés en ligne.

DNS sur HTTPS (DoH) et DNSSEC : ce qu’ils protègent

Heureusement, il existe des mesures pour renforcer la sécurité de vos résolutions DNS et garantir en permanence leur légitimité. Parmi celles-ci, DNS sur HTTPS et DNSSEC sont des exemples notables.

DNS sur HTTPS (DoH)

Protège contre : le détournement DNS, l’écoute clandestine et les attaques par usurpation.

Le trafic DNS de base est transmis vers les serveurs concernés sous forme de texte non chiffré. Cela permet aux données de circuler plus rapidement, mais expose également le trafic DNS aux acteurs malveillants. Même si le site web ciblé utilise HTTPS, les requêtes DNS vers ce site resteraient lisibles en texte en clair.

C’est là que DNS sur HTTPS (DoH) intervient pour combler cette faille de sécurité. Désormais, les données de trafic DNS sont chiffrées pendant leur transmission, les rendant illisibles pour quiconque les intercepte. Puisqu’elles sont illisibles, les acteurs malveillants ne peuvent ni copier ni falsifier ces données, ce qui rend impossible l’injection de code malveillant ou de redirections dans le trafic DNS.

DNSSEC

Protège contre : la redirection DNS, le détournement DNS, l’usurpation DNS et les attaques de type homme du milieu.

L’extension de sécurité du système de noms de domaine (DNSSEC) garantit que chaque enregistrement DNS nécessite une signature unique permettant d’identifier sa légitimité avant son exécution sur votre ordinateur. Autrement dit, DNSSEC injecte des clés spéciales dans les serveurs de noms (généralement le serveur de noms faisant autorité), que votre navigateur peut vérifier avant d’accepter l’enregistrement DNS renvoyé.

Après confirmation de la légitimité d’une clé, votre navigateur web peut vous diriger en toute confiance vers le site que vous souhaitiez consulter. Dans le cas contraire, la connexion est bloquée, car votre client web détecte que la clé numérique a été modifiée ou n’existe plus.

y aura toujours une paire de clés associée à un enregistrement DNS : une clé publique et une clé privée. Les clés privées ne sont jamais partagées et restent exclusivement dans la zone DNS où les enregistrements sont conservés. Les clés publiques, générées en même temps que les clés privées auxquelles elles sont associées, peuvent être demandées par le serveur DNS récursif afin de valider les enregistrements DNS.

La configuration de DNSSEC en fait un facteur d’atténuation important contre les attaques fondées sur la confiance, comme le détournement DNS et l’usurpation DNS. Grâce aux signatures numériques, le serveur récursif n’accepte pas simplement n’importe quelle réponse du serveur faisant autorité, mais la vérifie à l’aide de la clé publique associée.

Problèmes DNS courants et solutions

Les serveurs DNS sont conçus pour être pratiquement infaillibles. Vous pouvez passer des années sans même vous souvenir de leur existence. C’est dire à quel point ils fonctionnent efficacement en arrière-plan sans nécessiter d’intervention de l’utilisateur.
Cela dit, ils ne sont pas exempts de quelques problèmes courants :

• Échec de la résolution DNS : Cela se produit lorsque le serveur DNS ne parvient pas à résoudre votre requête. Pour résoudre ce problème, commencez par vérifier votre connexion réseau. Si ce n’est pas la cause, vous devrez attendre que l’administrateur du site ou le registraire de domaine corrige le problème de son côté.
  
• Problèmes de cache DNS : Votre serveur DNS peut continuer à vous fournir une version plus ancienne d’une page web alors qu’une version plus récente existe déjà. Vous pouvez résoudre ce problème en vidant le cache dans les paramètres du navigateur, en redémarrant le navigateur ou en redémarrant votre appareil.
• Erreur DNS NXDOMAIN : L’erreur NXDOMAIN vous informe que le site web que vous essayez de visiter n’existe pas. Par exemple, nous avons volontairement mal orthographié ExpressVPN en ExpressVeePN pour déclencher cette erreur. Le serveur récursif a tenté de trouver les enregistrements DNS pour ce domaine, mais n’a pas pu le faire, car il n’a pas encore été configuré. Selon votre système d’exploitation et la version de Chrome, cette erreur peut apparaître sous la forme DNS_PROBE_FINISHED_NXDOMAIN ou ERR_NAME_NOT_RESOLVED. Les deux indiquent le même échec de résolution DNS.
  

Si les problèmes DNS persistent après vous être reconnecté à internet et avoir redémarré votre appareil, redémarrez ensuite votre routeur. Si cela ne fonctionne pas, il est préférable de contacter votre FAI, car il peut s’agir d’un problème de configuration de son côté.

Que signifie "Le serveur DNS ne répond pas” ?

Vous obtiendrez une erreur "DNS server not responding” lorsque la page web que vous essayez d’ouvrir est indisponible, par exemple pour une maintenance ou en raison d’attaques telles que le déni de service (distribué) (DDoS).

Vous pouvez également rencontrer cette erreur lorsque :

• Vous n’êtes pas connecté à internet.
• Votre serveur récursif ne fonctionne pas.
• Le cache du navigateur doit être actualisé.

Si vous n’avez modifié aucun paramètre réseau de votre navigateur ou de votre appareil et que vous êtes connecté à une connexion internet fonctionnelle, un simple redémarrage devrait suffire.

Comment modifier vos paramètres DNS sur n’importe quel appareil

Vous pouvez modifier vos paramètres DNS sur les smartphones et ordinateurs iOS et Android (Mac et Windows) pour plusieurs raisons :

• Ajouter une solution de secours en cas de défaillance du serveur DNS principal.
• Filtrer le contenu et appliquer des contrôles parentaux sur votre réseau.
• Basculer vers un réseau DNS interne ou que vous possédez vous-même.
• Améliorer la confidentialité et la sécurité en ligne..

Si vous le faites pour la confidentialité et la sécurité en ligne, nous vous recommandons de ne pas vous lancer dans des étapes hautement techniques. À la place, connectez-vous à un serveur VPN auprès d’un fournisseur disposant de serveurs DNS privés, comme ExpressVPN.

Modifier vos paramètres DNS sur Windows

Remarque : Nous avons utilisé Windows 11 dans notre exemple. D’autres versions peuvent présenter des étapes légèrement différentes.

1. Connectez-vous au réseau pour lequel vous souhaitez modifier les paramètres DNS. Vous pouvez vous connecter via Ethernet ou Wi-Fi.
2. Accédez au Control Panel (Panneau de Configuration).
   
3. Cliquez sur Network and Internet (Réseau et Internet).
   
4. Cliquez sur Network and Sharing Centre (Centre de Réseau et Partage).
   
5. Cliquez sur Change adapter settings (Modifier les paramètres de la carte).
   
6. Faites un clic droit sur la connexion, puis cliquez sur Properties (Propriétés).
   
7. Un mot de passe administrateur peut vous être demandé. Saisissez-le.
8. Sélectionnez Networking (Réseau) dans l’onglet. Sous This connection uses the following items (Cette connexion utilise les éléments suivants), choisissez entre Internet Protocol Version 4 (TCP/IPv4) (Protocole Internet version 4 (TCP/IPv4)) et Internet Protocol Version 6 (TCP/IPv6) (Protocole Internet version 6 (TCP/IPv6)). Enfin, cliquez sur Properties (Propriétés).
   
9. Cliquez sur Use the following DNS server addresses (Utiliser les adresses de serveur DNS suivantes).
   
10. Saisissez votre Preferred DNS server (serveur DNS préféré) et Alternate DNS server (votre serveur DNS auxiliaire).
11. Cliquez sur OK.

Pensez à tester immédiatement si la connexion fonctionne. Cela vous permettra de corriger le problème et de rester connecté à internet.

Modifier vos paramètres DNS sur Mac

Remarque : Nous avons utilisé macOS 26.1 dans notre exemple. D’autres versions peuvent présenter des étapes légèrement différentes.

1. Accédez aux System Settings (Réglages Système) de votre Mac.
2. Cliquez sur Network (Réseau).
3. Cliquez sur la connexion pour laquelle vous souhaitez modifier les paramètres DNS. Il peut s’agir d’un réseau Wi-Fi ou Ethernet.
   
4. Cliquez sur Details… (Détails…) sur le réseau connecté.
   
5. Cliquez sur DNS.
   
6. Copiez l’adresse du serveur DNS existant et conservez-la en lieu sûr. Cela est essentiel pour le dépannage.
7. Cliquez sur l’icône + pour remplacer les paramètres DNS existants.
   
8. Ajoutez une nouvelle adresse IPv4 ou IPv6.
9. Cliquez sur OK.

Vous pouvez vérifier si votre nouvelle configuration fonctionne en quittant votre navigateur, en le relançant, puis en ouvrant une page web. De cette manière, vous êtes sûr que le navigateur ne vous affiche pas simplement une page mise en cache, mais bien une page fraîchement résolue par le nouveau serveur DNS.

Modifier vos paramètres DNS sur iOS (iPhone et iPad)

Remarque : Nous avons utilisé iOS 26.0.1 dans notre exemple. D’autres versions peuvent présenter des étapes légèrement différentes.

1. Connectez-vous au réseau Wi-Fi pour lequel vous souhaitez modifier les paramètres DNS, puis accédez aux Settings (Réglages de votre appareil iOS). Touchez Wi-Fi.
   
2. Touchez info icon (l’icône d’information) à côté du nom du réseau Wi-Fi connecté.
   
3. Faites défiler l’écran et touchez Configure DNS (Configurer le DNS).
   
4. Modifiez les paramètres de Automatic (Automatique) à Manual (Manuel).
   
5. Touchez Add Server (Ajouter un serveur) et saisissez l’adresse IPv4 ou IPv6 souhaitée.
   

Modifier vos paramètres DNS sur Android

Remarque : Nous avons utilisé un Xiaomi 15 Ultra fonctionnant sous Android 15 dans notre exemple. D’autres appareils ou versions logicielles peuvent présenter des étapes légèrement différentes.

1. Accédez aux paramètres de votre appareil Android et touchez More connectivity options (Options de connectivité supplémentaires).
   
2. Touchez Private DNS (DNS privé).
   
3. Accédez à Private DNS provider hostname (Nom d’hôte du fournisseur DNS privé) et saisissez le nom d’hôte du fournisseur DNS.
   
4. Touchez Save (Enregistrer).

Devriez-vous utiliser un DNS public ou privé ?

Les serveurs DNS publics sont souvent gérés par des FAI et des entreprises (comme Google et Cloudflare). À l’inverse, les DNS privés sont souvent gérés, détenus et utilisés en interne par des entreprises. Les particuliers qui exploitent de grands réseaux informatiques peuvent également configurer un serveur DNS privé afin de préserver la sécurité et la confidentialité des données internet.

La plupart des internautes utilisent des DNS publics. Cependant, comme indiqué, cela comporte divers risques pour la confidentialité. Pour une confidentialité accrue, vous devriez choisir un VPN fiable sans journaux avec un service DNS chiffré.