Vous avez installe un VPN pour garder votre navigation privee. Mais meme quand l'icone de connexion indique que vous etes protege, il y a une breche qui peut silencieusement saper cette protection: une fuite DNS. Ce guide explique ce qu'est une fuite DNS, pourquoi elle compte et comment la tester exactement sur votre telephone Android avec des outils gratuits. Pas d'alarmisme et pas de promesse qu'un VPN quelconque soit a l'abri des fuites, juste un moyen honnete et pratique de verifier votre propre configuration.
Si vous decouvrez ce qu'un VPN cache et ne cache pas, il est utile de commencer par notre guide de confidentialite realiste sur /blog/what-does-a-vpn-hide. Cet article se concentre specifiquement sur l'angle de la fuite DNS.
Qu'est-ce qu'une fuite DNS?
Chaque fois que vous ouvrez un site web ou utilisez une application qui accede a internet, votre appareil doit traduire le nom de domaine lisible par l'humain (comme example.com) en une adresse IP numerique que les ordinateurs utilisent pour acheminer le trafic. Cette traduction est geree par une requete DNS, envoyee a un resolveur DNS, un serveur qui recherche la reponse et renvoie l'IP.
Sans VPN, ces requetes DNS vont generalement au resolveur de votre fournisseur d'acces. Cela signifie que votre fournisseur peut voir chaque domaine que vous consultez, ce qui constitue un enregistrement des sites web que vous visitez, meme si le contenu reel de la page est chiffre avec HTTPS.
Lorsque vous activez un VPN, l'objectif est d'acheminer tout votre trafic, y compris les requetes DNS, a travers le tunnel VPN chiffre vers le resolveur DNS propre du fournisseur VPN. Votre fournisseur ne devrait alors voir qu'une connexion chiffree a un serveur VPN, pas les domaines individuels que vous visitez.
Une fuite DNS se produit lorsque vos requetes DNS ne passent pas par le tunnel VPN. Au lieu de cela, elles s'echappent vers le resolveur par defaut de votre appareil ou de votre reseau, generalement celui de votre fournisseur. Le resultat est que votre fournisseur, ou quiconque exploite ce resolveur, peut toujours voir quels domaines vous consultez, meme si votre trafic de donnees lui-meme est chiffre. C'est une breche partielle dans la protection que vous attendiez, pas un echec total du chiffrement.
Pourquoi une fuite DNS compte
Une fuite DNS n'expose pas le contenu de votre trafic web. HTTPS chiffre toujours les pages que vous chargez, vos mots de passe et vos soumissions de formulaires. Ce qu'elle expose, ce sont des metadonnees: la liste des domaines que votre appareil a interroges. Cela indique a un observateur quels sites et services vous avez visites, meme s'il ne peut pas voir ce que vous y avez fait.
Pour beaucoup de gens, cette distinction est tout l'interet d'utiliser un VPN. Si vous en avez installe un pour que votre fournisseur, un administrateur reseau ou quiconque sur votre reseau local ne puisse pas voir quels sites vous visitez, alors une fuite DNS defeat silencieusement cet objectif. Le tunnel chiffre protege vos donnees, mais les requetes DNS fuyantes livrent votre historique de navigation a un tiers de toute facon.
Il vaut aussi la peine de mettre le risque en perspective. Une fuite DNS ne rend pas votre trafic lisible, n'expose pas vos mots de passe et ne permet a personne de se faire passer pour vous. C'est une breche de confidentialite, pas une violation de securite. La comprendre vous aide a verifier que votre VPN fait ce que vous attendez, sans exagerer le danger. Pour un regard plus large sur ce qu'un VPN protege de facon realiste, voir /blog/what-does-a-vpn-hide.
Comment tester une fuite DNS sur Android
Tester une fuite DNS est simple et prend environ deux minutes. Vous utiliserez un outil gratuit base sur navigateur. Aucune installation d'application n'est requise.
Etape 1: Connectez votre VPN sur votre telephone Android. Assurez-vous que le statut du VPN indique qu'il est connecte avant de continuer.
Etape 2: Ouvrez un navigateur web (Chrome, Firefox ou votre navigateur prefere) et allez sur un site de test de fuite fiable. Deux options largement utilisees sont dnsleaktest.com et ipleak.net. Les deux sont gratuits et executent le test dans votre navigateur.
Etape 3: Sur dnsleaktest.com, appuyez sur le bouton de test standard. Sur ipleak.net, le test s'execute automatiquement au chargement de la page et verifie egalement d'autres types de fuites comme IP et WebRTC.
Etape 4: Attendez quelques secondes que le test se termine. La page affichera une liste de serveurs DNS qui ont repondu a vos requetes de test.
Etape 5: Regardez les noms de serveurs et leur societe d'hebergement ou fournisseur. C'est la partie critique. La section suivante explique exactement quoi chercher.
Vous pouvez executer le test plus d'une fois pour etre sur. La resolution DNS peut parfois atteindre differents serveurs, donc voir des resultats coherents sur deux ou trois executions est plus rassurant qu'un seul controle.
Comment lire les resultats
Le test fonctionne en demandant a votre appareil de rechercher plusieurs domaines puis en vous montrant quels serveurs DNS ont reellement repondu. Ces serveurs vous indiquent ou vont vos requetes DNS.
Si les serveurs DNS listes appartiennent a votre fournisseur VPN, generalement affiches avec le nom du fournisseur ou une societe d'hebergement dans le pays du serveur VPN, votre DNS est achemine via le tunnel. C'est le resultat attendu, sans fuite. Certains VPN utilisent des resolveurs publics connus comme Google DNS ou Cloudflare comme DNS interne, donc ces noms peuvent aussi etre normaux s'ils correspondent a ce que votre VPN documente.
Si les serveurs DNS listes appartiennent a votre propre fournisseur d'acces, l'entreprise a laquelle vous payez pour l'acces internet, c'est une fuite DNS. Vos requetes DNS contournent le tunnel VPN et vont directement au resolveur de votre fournisseur, ce qui signifie que votre fournisseur peut voir quels domaines vous visitez.
Si vous voyez un melange ou des serveurs que vous ne reconnaissez pas, investiguez davantage. Certains VPN utilisent des fournisseurs DNS tiers par conception, et cela peut etre legitime. La question cle est de savoir si le resolveur de votre propre fournisseur apparait dans la liste. Si oui, vous avez probablement une fuite.
Un moyen rapide de confirmer: executez le meme test avec le VPN deconnecte et notez les serveurs DNS de votre fournisseur. Connectez ensuite le VPN et executez-le a nouveau. Si les serveurs du fournisseur disparaissent quand le VPN est active, vous etes protege. S'ils restent, le DNS fuit.
Causes courantes de fuites DNS
Les fuites DNS ne signifient generalement pas que votre VPN est casse. Elles se produisent pour une poignee de raisons specifiques et comprehensibles.
Le tunneling fractionne est l'une des plus courantes. Certains VPN vous permettent de choisir quelles applications ou quel trafic passent par le tunnel et lesquels utilisent votre connexion normale. Si le trafic DNS est configure pour contourner le tunnel, vos requetes fuiront. Verifiez les parametres de tunneling fractionne de votre VPN et assurez-vous que le DNS n'est pas exclu.
Les fuites IPv6 sont une autre cause. Si votre reseau prend en charge IPv6 et que votre VPN ne tunnel que le trafic IPv4, les requetes DNS sur IPv6 peuvent s'echapper hors du tunnel. Certains outils de test verifient cela separement. Si votre VPN ne gere pas IPv6, vous devrez peut-etre desactiver IPv6 sur votre appareil ou votre reseau pour combler la breche.
Les transitions reseau peuvent causer des fuites temporaires. Lorsque vous passez du Wi-Fi au reseau cellulaire, ou lorsque votre telephone perd et recupere brievement la connexion, il peut y avoir un moment ou les requetes DNS sortent avant que le tunnel VPN ne se retablisse. Un interrupteur d'arret aide ici. Il bloque tout le trafic lorsque le VPN n'est pas activement connecte, evitant les fuites pendant ces lacunes.
La configuration du VPN compte aussi. Tous les VPN ne forcent pas tout le trafic DNS a travers le tunnel. Certains s'appuient sur les parametres DNS par defaut de l'appareil, qui peuvent pointer vers votre fournisseur. Si votre VPN ne remplace pas le resolveur DNS du systeme, les fuites sont plus probables. C'est une des raisons pour lesquelles tester est precieux plutot que de supposer la protection.
Comment reduire le risque de fuites DNS
Il y a des etapes pratiques que vous pouvez prendre pour minimiser la chance d'une fuite, bien qu'aucune etape unique ne soit une garantie.
Activez l'interrupteur d'arret de votre VPN s'il en a un. Un interrupteur d'arret coupe tout le trafic internet au moment ou le VPN se deconnecte, ce qui empeche les requetes DNS de fuir pendant les lacunes de reconnexion. C'est l'une des protections les plus efficaces contre les fuites transitoires.
Verifiez les parametres DNS de votre VPN. Certains VPN vous permettent de choisir quel resolveur DNS utiliser, ou ils ont un parametre qui force tout le DNS a travers le tunnel. S'il y a une option pour utiliser le propre DNS du VPN ou pour eviter les fuites DNS, activez-la.
Gerez IPv6 deliberement. Si votre VPN prend pleinement en charge IPv6, assurez-vous qu'il est active. Sinon, envisagez de desactiver IPv6 sur votre appareil Android pour eviter que les requetes DNS IPv6 ne contournent le tunnel. Le parametre se trouve generalement sous votre configuration Wi-Fi ou reseau mobile.
Revoyez les regles de tunneling fractionne. Si vous utilisez le tunneling fractionne, assurez-vous que le trafic DNS est achemine via le VPN, pas exclut. Testez apres avoir modifie les parametres de tunneling fractionne pour confirmer que le changement a fonctionne.
Testez periodiquement, pas seulement une fois. Les fuites DNS peuvent apparaitre apres des mises a jour d'applications, du systeme d'exploitation ou des changements de reseau. Un test rapide toutes les quelques semaines, ou apres tout changement majeur de votre configuration, vous maintient confiant que votre VPN achemine toujours le DNS correctement.
Si vous avez aussi du mal a connecter votre VPN, ce qui est un probleme different, consultez notre guide de depannage Android sur /blog/vpn-not-connecting-android.
Comment Zaylo gere le DNS aujourd'hui
Zaylo VPN est actuellement une version beta/pilote Android. Cela signifie qu'il est reel et utilisable aujourd'hui, mais qu'il est encore en maturation, et nous ne pretendrons pas qu'il est a l'abri des fuites ou termine. Nous n'inventerons pas non plus de specifications de resolveur DNS, de configurations de serveurs ou de garanties que nous n'avons pas confirmees.
Ce que nous encourageons est exactement ce que ce guide enseigne: testez-le vous-meme. Connectez Zaylo sur votre appareil Android, lancez un test de fuite DNS sur dnsleaktest.com ou ipleak.net et lisez les resultats en utilisant le cadre ci-dessus. Cela vous en dit plus que toute affirmation marketing que nous pourrions faire.
Si vous voulez comprendre ce qu'un VPN protege et ne protege pas de facon realiste avant de tester, consultez /blog/what-does-a-vpn-hide. Pour un cadre d'evaluation plus large, y compris la politique de journalisation, la transparence des protocoles et comment choisir un VPN, consultez /blog/choosing-android-vpn. Et pour commencer avec Zaylo sur Android, consultez notre guide de configuration sur /blog/zaylo-vpn-android-setup.
Une checklist rapide: verifiez le DNS de votre VPN en cinq minutes
Connectez votre VPN et confirmez qu'il s'affiche comme actif.
Ouvrez un navigateur et visitez dnsleaktest.com ou ipleak.net.
Lancez le test standard et attendez la liste des serveurs DNS.
Verifiez si les serveurs DNS de votre propre fournisseur apparaissent dans les resultats.
Si oui, revoyez votre interrupteur d'arret, votre tunneling fractionne, IPv6 et vos parametres DNS, puis retestez.
Si non et que les serveurs correspondent a votre fournisseur VPN, votre DNS passe par le tunnel.
Lancez le test une fois de plus pour confirmer que le resultat est coherent.
Questions auxquelles cet article repond
Qu'est-ce qu'une fuite DNS?
Une fuite DNS se produit lorsque votre appareil envoie ses requetes de noms de domaine (requetes DNS) en dehors du tunnel VPN vers votre resolveur DNS par defaut, qui est generalement celui de votre fournisseur d'acces. Cela signifie que votre fournisseur peut toujours voir quels sites et services vous visitez, meme si votre trafic reel est chiffre via le VPN. C'est une breche de confidentialite dans la couche DNS, pas une defaillance du chiffrement de votre trafic.
Comment tester une fuite DNS sur mon telephone?
Connectez votre VPN, ouvrez un navigateur et visitez un site de test gratuit comme dnsleaktest.com ou ipleak.net. Lancez le test standard et regardez quels serveurs DNS ont repondu. S'ils appartiennent a votre fournisseur d'acces, vous avez probablement une fuite. S'ils appartiennent a votre fournisseur VPN ou a son resolveur DNS documente, votre DNS passe par le tunnel. Tout le controle prend environ deux minutes.
Comment savoir si mon VPN fuit le DNS?
Regardez la liste des serveurs DNS d'un test de fuite. Si vous voyez les serveurs DNS de votre propre fournisseur d'acces, vos requetes contournent le VPN et c'est une fuite. Un moyen fiable de confirmer est de lancer le test avec le VPN deconnecte, de noter les serveurs de votre fournisseur, puis de le relancer avec le VPN connecte. Si les serveurs du fournisseur disparaissent, vous etes protege. S'ils restent, le DNS fuit.
Qu'est-ce qui cause une fuite DNS du VPN?
Les causes les plus courantes sont le tunneling fractionne qui exclut le trafic DNS, les requetes IPv6 contournant un VPN qui ne tunnel que l'IPv4, les configurations VPN qui ne forcent pas tout le DNS a travers le tunnel et les breves lacunes lors des transitions reseau ou reconnexions sans interrupteur d'arret actif. Aucune de ces causes ne signifie generalement que le VPN est casse. Ce sont des problemes de configuration et de reseau que vous pouvez investiguer et souvent resoudre.
Comment empecher mon VPN de fuiter le DNS?
Activez l'interrupteur d'arret de votre VPN s'il en a un, pour que le trafic soit bloque lorsque le tunnel tombe. Verifiez si votre VPN a un parametre pour forcer tout le DNS a travers le tunnel ou utiliser son propre resolveur DNS. Revoyez les regles de tunneling fractionne pour vous assurer que le DNS n'est pas exclu. Si votre VPN ne prend pas pleinement en charge IPv6, envisagez de desactiver IPv6 sur votre appareil. Testez ensuite pour confirmer que le changement a fonctionne.
Zaylo VPN protege-t-il contre les fuites DNS?
Zaylo est aujourd'hui une version beta/pilote Android, et nous ne pretendons pas qu'il est a l'abri des fuites ni n'inventons des specifications DNS que nous n'avons pas confirmees. Ce que nous recommandons, c'est que vous le testiez vous-meme en utilisant les outils gratuits et le cadre de ce guide. Connectez Zaylo, lancez un test de fuite DNS et lisez les resultats. Cela vous dit exactement comment votre configuration se comporte, ce qui est plus honnete que toute garantie generale.