On parle volontiers du chiffrement offert par les VPN, beaucoup moins des requêtes DNS qui précèdent chaque connexion. Et c’est dommage, car leur prise en charge dit souvent bien plus du sérieux technique d’un service qu’un simple changement d’adresse IP.
Activer un VPN donne généralement l’impression que tout le trafic bascule d’un bloc dans une sorte de couloir étanche. Les données quittent l’appareil, entrent dans un tunnel chiffré et passent par un serveur VPN avant de rejoindre les services en ligne. Hop, emballé c’est pesé. En théorie, à part vous et ce serveur intermédiaire, plus personne n’est censé connaître à la fois l’origine et la destination du trafic.
Oui… mais non. Caricaturer de la sorte, c’est oublier qu’avant d’établir la connexion, il faut d’abord demander où aller. Cette étape passe par une requête DNS, et si elle échappe au tunnel VPN, le grand fantasme du ni vu ni connu ne tient déjà plus debout.
Mais que vient donc faire le DNS dans cette affaire ?
Car une requête DNS, autrement dit la demande envoyée pour savoir où joindre un domaine, fait elle aussi partie du trafic réseau. Elle ne transporte pas encore le contenu de la page web, du service ou de l’application que vous cherchez à atteindre, mais elle révèle déjà quel nom de domaine l’appareil cherche à faire traduire en adresse IP.
Ce travail de traduction revient au DNS, pour Domain Name System, sorte d’annuaire qui associe les noms de domaine lisibles par les humains aux adresses IP comprises par les machines. Or, dans la plupart des configurations classiques, c’est le FAI qui s’en charge. À moins d’utiliser un DNS chiffré (DoH ou DoT), votre opérateur peut donc déjà déduire de cette toute première requête sur quel site vous souhaitez vous rendre, avant même que la connexion HTTPS ne soit établie, y compris si vous avez défini un résolveur tiers (non chiffré) sur votre appareil, votre routeur ou votre navigateur.
Ce qu'un VPN est censé faire avec vos requêtes DNS
C’est justement là-dessus qu’un VPN doit reprendre la main. Car s’il se contente de chiffrer le trafic une fois la connexion établie sans embarquer les requêtes DNS dans le tunnel, une partie des échanges réseau continue de circuler au vu et au su du FAI. C’est ce qu’on appelle une fuite DNS.
En théorie, le client VPN doit donc non seulement rediriger les connexions vers son serveur intermédiaire, mais aussi veiller à ce que les requêtes DNS empruntent le même chemin. Pour ce faire, il modifie la configuration réseau de l’appareil afin de remplacer les serveurs DNS définis par défaut par ceux du fournisseur VPN, ou par ceux qu’il a intégrés à son infrastructure.
La requête DNS n’est alors plus directement envoyée vers le résolveur du FAI, mais passe dans le tunnel chiffré jusqu’au serveur VPN, avant d’être transmise au DNS du fournisseur chargé de la résoudre.
On rappellera quand même que si cette manière de procéder peut sembler plus sûre, elle ne fait pas disparaître l’intermédiaire pour autant. Au lieu de confier cette première étape à votre opérateur, vous la remettez au fournisseur VPN, voire au prestataire auquel celui-ci confie lui-même la résolution DNS. D’où l’intérêt de se pencher (aussi) sur cet aspect au moment de choisir un fournisseur VPN, en vérifiant quels DNS il utilise, s’il exploite ses propres résolveurs ou s’il délègue cette opération à un tiers.
Une réalité souvent moins propre que le discours
Ça, c’était pour la théorie. Mais en pratique, les choses sont rarement aussi nettes, parce qu’un VPN ne contrôle pas seul la connexion. Il doit composer avec la manière dont le système d’exploitation gère les DNS lorsque l’appareil change de réseau, avec des navigateurs capables d’imposer leur propre DNS chiffré (DoH), et avec des fonctions comme le split tunneling, qui font coexister un trafic protégé par le tunnel VPN et un trafic qui en sort.
À partir de là, difficile de garantir que toutes les requêtes DNS suivront toujours le chemin prévu, ce qui explique, par exemple, qu’un passage du Wi-Fi à la 4G ou à la 5G, une sortie de veille, une reconnexion ou même un test DNS lancé dans le navigateur puissent faire apparaître un autre résolveur que celui attendu.
La requête DNS, un indice parmi d’autres
Bien gérer les requêtes DNS reste un bon révélateur du sérieux technique d’un VPN, mais ce n’est pas le seul élément à regarder. Même lorsque la résolution des noms suit correctement le tunnel, d’autres indices peuvent encore renseigner sur la destination ou sur le service utilisé, selon les protocoles en jeu, la configuration du système ou le comportement des applications.
Le DNS ne dit donc pas tout, mais il a au moins le mérite de démontrer si le fournisseur maîtrise proprement l’une des premières étapes de la connexion, ce qui est déjà un bon début.
