Table des matières
- Pourquoi DoH et DoT comptent en 2026
- Cloudflare 1.1.1.1 — analyse approfondie
- NextDNS — analyse approfondie
- Quad9 — analyse approfondie
- Résolveur auto-hébergé — analyse approfondie
- Tableau comparatif : 5 options × 10 critères
- Recommandations par profil
Pourquoi DoH et DoT comptent en 2026
Le DNS a été conçu en 1983 avec une seule exigence : l'exactitude. La confidentialité n'était pas à l'ordre du jour. Chaque requête DNS que vous envoyez — le nom d'hôte de chaque site visité, chaque API appelée, chaque mise à jour vérifiée par votre téléphone — transite en clair par défaut. Votre FAI peut la lire. L'opérateur d'un réseau WiFi public peut la lire. Tout État gérant un boîtier d'interception sur un réseau de transit peut la lire.
En 2026, ce n'est pas une menace théorique. Des mandats réglementaires de filtrage basé sur le DNS sont actifs dans l'UE, au Royaume-Uni, en Australie, en Inde et dans des dizaines d'autres pays. Des FAI dans plusieurs pays monétisent les journaux de requêtes DNS en les vendant à des courtiers en données. L'injection de contenu par DPI — où votre FAI réécrit les réponses DNS ou injecte du contenu dans les connexions HTTP — a été documentée dans au moins 14 pays en 2025. Le DNS non chiffré est simultanément la surface d'attaque la plus facile de votre réseau et celle laissée le plus souvent non corrigée.
Deux protocoles répondent à ce problème. Le DNS-over-TLS (DoT) encapsule le DNS dans une connexion TLS sur le port 853. Il chiffre la requête, mais comme ce port est exclusif au DoT, les opérateurs réseau peuvent identifier et bloquer ce trafic trivialement. Le DNS-over-HTTPS (DoH) envoie les requêtes DNS à l'intérieur du HTTPS standard sur le port 443, indiscernable pour un observateur passif du trafic web ordinaire. Cela rend le DoH bien plus difficile à censurer et élève considérablement le coût de la surveillance.
Au-delà de ces deux protocoles, le DNS-over-QUIC (DoQ) fait tourner une sémantique équivalente au DoH sur le transport QUIC, éliminant la surcharge du handshake TCP et améliorant la latence sur les réseaux mobiles. Cloudflare et quelques autres fournisseurs supportent DoQ en 2026, mais le support au niveau OS reste limité.
Il vaut la peine de nommer explicitement l'évolution du modèle de menace depuis 2020. Il y a trois ans, le principal argument pour un DNS chiffré était la journalisation par les FAI. Cela reste vrai, mais trois vecteurs supplémentaires ont émergé :
Exposition RGPD et protection des données. Dans l'UE, les journaux de requêtes détenus par un résolveur constituent des données personnelles au sens de l'article 4(1). Si vous routez tout le DNS de votre foyer via un fournisseur commercial avec rétention, vous créez une relation de responsable de traitement à laquelle la plupart des utilisateurs n'ont jamais consenti de façon significative.
MITM sur WiFi public. Les cafés, aéroports, hôtels et salles de conférence procèdent couramment à l'interception DNS. Avec un DNS non chiffré, ils peuvent vous rediriger silencieusement. Le DoH élimine ce vecteur d'attaque, car l'endpoint du résolveur est vérifié par certificat TLS.
Contournement de la censure. Les blocages DNS imposés par l'État sont la première couche d'infrastructure de censure dans la plupart des pays. Chiffrer et tunneliser le DNS via un endpoint sur le port 443 contourne cette couche sans nécessiter un VPN complet. Pour les utilisateurs en environnements à accès restreint, le DoH est souvent l'outil de confidentialité minimum viable.
Les sections suivantes évaluent les quatre principales options disponibles en 2026 : Cloudflare 1.1.1.1, NextDNS, Quad9 et les résolveurs auto-hébergés.
Cloudflare 1.1.1.1 — analyse approfondie
Cloudflare a lancé 1.1.1.1 en avril 2018 comme résolveur public orienté confidentialité. En 2026, il reste le résolveur DNS public le plus rapide par latence médiane mondiale et l'endpoint DoH le plus largement déployé sur internet, intégré par défaut dans Chrome sur Android, plusieurs firmwares de routeurs et l'infrastructure iOS Private Relay.
Support protocolaire. 1.1.1.1 supporte DoH (RFC 8484), DoT (RFC 7858) et DoQ (RFC 9250). L'endpoint DoH est https://cloudflare-dns.com/dns-query et https://1.1.1.1/dns-query. Le serveur DoT est one.one.one.one sur le port 853.
Posture de confidentialité. Cloudflare publie un rapport annuel de confidentialité audité par KPMG. Engagements clés : ne pas vendre les données de requêtes DNS à des tiers, ne pas utiliser les données de 1.1.1.1 pour cibler des publicités, suppression des journaux d'IP complètes sous 25 heures. Des métadonnées de résolveur stub (IP tronquées, comptages agrégés de requêtes) sont conservées à des fins opérationnelles. Cloudflare est incorporé aux États-Unis, soumis aux NSL et aux ordres FISA Section 702. Pour les modèles de menace incluant la procédure légale du gouvernement américain, c'est une limitation non négligeable.
Variantes de filtrage. Cloudflare exploite trois résolveurs distincts. Le 1.1.1.1 de base n'applique aucun filtrage. Le 1.1.1.2 (Cloudflare Security) bloque les domaines malveillants et de phishing connus. Le 1.1.1.3 (Cloudflare Family) ajoute le filtrage de contenus adultes. Les équivalents DoH utilisent des sous-domaines : security.cloudflare-dns.com et family.cloudflare-dns.com.
Latence. Le réseau Anycast de Cloudflare couvre plus de 300 points de présence. La latence médiane depuis l'Europe occidentale est d'environ 5 à 12ms, la plus basse de tout résolveur public majeur.
Historique d'audit. Trois audits KPMG ont été publiés (2019, 2021, 2023), confirmant la conformité aux pratiques de données déclarées. Le prochain audit couvre les opérations 2025.
Verdict. Cloudflare 1.1.1.1 est le bon choix pour les utilisateurs qui privilégient la latence et le support multi-plateforme, et dont le modèle de menace n'inclut pas spécifiquement la procédure légale américaine.
NextDNS — analyse approfondie
NextDNS a été lancé en 2019 comme résolveur public configurable. Son différenciateur principal est la personnalisation par compte : listes de blocage, listes blanches, analytiques, contrôles parentaux et politiques par appareil. En 2026, NextDNS compte environ 2 millions d'utilisateurs actifs et traite plus de 200 milliards de requêtes par mois.
Support protocolaire. NextDNS supporte DoH, DoT, DoQ et DNSCrypt. Chaque compte obtient un endpoint de résolveur unique (https://dns.nextdns.io/XXXXXX) permettant l'application de politiques par compte.
Posture de confidentialité. NextDNS est incorporé au Delaware (États-Unis). Le modèle de confidentialité est basé sur des analytiques opt-in : par défaut, la journalisation des requêtes est désactivée. Si vous activez les journaux, vous choisissez la période de rétention. NextDNS déclare ne pas vendre les données de requêtes ni les utiliser pour la publicité. La juridiction américaine implique la même mise en garde NSL/FISA que Cloudflare. Pour les utilisateurs qui désactivent entièrement la journalisation, l'exposition pratique est minimale.
Listes de blocage et personnalisation. NextDNS propose plus de 40 listes de blocage curées : réseaux publicitaires, trackers, malwares, phishing, coinminers, contenus adultes, réseaux sociaux, etc. Vous pouvez les combiner, ajouter des domaines personnalisés et créer des listes blanches par appareil. Ce niveau de contrôle n'a pas d'équivalent chez Cloudflare ou Quad9.
Tarification. Tier gratuit : 300 000 requêtes par mois, toutes fonctionnalités. Le plan Pro coûte 1,99 $/mois ou 19,90 $/an, sans limite de requêtes.
Performance. NextDNS opère des datacenters en Europe et en Amérique du Nord, avec une empreinte plus petite que Cloudflare. La latence médiane depuis l'Europe occidentale est d'environ 15 à 25ms.
Verdict. NextDNS est le meilleur choix pour les utilisateurs qui veulent un contrôle de filtrage poussé, des politiques par appareil et des analytiques en temps réel. La juridiction américaine et le réseau PoP plus petit sont les deux principales limitations par rapport à Quad9.
Quad9 — analyse approfondie
Quad9 a été lancé en novembre 2017. En 2020, il a déplacé son siège de San Francisco à Zurich, en Suisse, et s'est restructuré en fondation suisse à but non lucratif. Cette décision était délibérée : le droit suisse offre l'un des régimes de protection des données les plus solides pour un résolveur, sans obligation de rétention des journaux de requêtes ni cadre de surveillance équivalent à la FISA Section 702 américaine.
Support protocolaire. Quad9 supporte DoH (https://dns.quad9.net/dns-query), DoT (dns.quad9.net sur le port 853) et DNSCrypt. Le support DoQ est en cours de développement mais pas encore disponible en production à mi-2026.
Posture de confidentialité. L'engagement central de Quad9 est de ne pas journaliser les adresses IP des utilisateurs finaux en production. Le contenu des requêtes (le nom d'hôte interrogé) est utilisé de façon agrégée pour le renseignement sur les menaces mais n'est pas lié aux adresses IP. Quad9 publie un rapport de transparence annuel. En tant que fondation suisse, il n'est pas soumis aux NSL américains ni aux ordres FISA.
Filtrage malware. Le flux de sécurité de Quad9 agrège le renseignement sur les menaces de plus de 25 partenaires incluant F-Secure, Secureworks, Abuse.ch et plusieurs CERT nationaux. L'endpoint par défaut (9.9.9.9) bloque les domaines associés aux malwares, ransomwares, phishing et infrastructure C2 de botnets. Un endpoint non filtré est disponible sur 9.9.9.10 pour les utilisateurs qui veulent le chiffrement sans blocage.
Performance. Quad9 opère environ 200 PoPs, principalement en Europe et en Amérique du Nord. La latence médiane depuis l'Europe occidentale est de 8 à 18ms.
Verdict. Quad9 est l'option de résolveur public la plus solide pour les utilisateurs avec un modèle de menace sérieux. Juridiction suisse, structure à but non lucratif, absence de journalisation des IP et filtrage malware robuste en font la recommandation par défaut pour les utilisateurs souhaitant un résolveur géré sans auto-hébergement.
Résolveur auto-hébergé — analyse approfondie
Auto-héberger un résolveur DNS élimine entièrement le problème de journalisation par des tiers. Aucune entité externe ne reçoit votre journal de requêtes. La contrepartie est la complexité opérationnelle.
Les quatre options les plus pratiques en 2026 sont :
Unbound. Résolveur récursif et validateur maintenu par NLnet Labs. Unbound effectue une validation DNSSEC complète et supporte DoT comme forwarder upstream. Il ne supporte pas nativement le serveur DoH côté client mais se couple bien avec un frontend DoH comme dnsdist. Unbound est le choix de référence pour les utilisateurs voulant un résolveur léger et auditable.
AdGuard Home. Serveur DNS complet avec interface web intégrée, moteur de blocage et politiques par client. AdGuard Home supporte DoH, DoT, DoQ et DNSCrypt côté upstream comme côté listener. La configuration prend moins de 30 minutes sur n'importe quel système Linux. AdGuard Home est open-source (GPL-3.0) et activement maintenu.
Pi-hole avec proxy DoH. Pi-hole est le bloqueur DNS domestique le plus connu, ciblant principalement les publicités et trackers. Par défaut, il ne chiffre pas les requêtes upstream. L'ajout de dnscrypt-proxy ou cloudflared comme proxy DoH local fournit le chiffrement. Cette configuration à deux composants fonctionne mais comporte plus de pièces mobiles qu'AdGuard Home.
dnscrypt-proxy. Proxy flexible et léger supportant DoH, DoT, DNSCrypt et DNSCrypt anonymisé (routage des requêtes via un relais pour masquer le résolveur à l'IP source). dnscrypt-proxy est l'outil adapté aux utilisateurs voulant une flexibilité protocolaire maximale ou un routage anonymisé.
Considérations de déploiement. Pour un usage domestique, un Raspberry Pi 4 exécutant AdGuard Home gère le trafic du foyer à moins de 5% de charge CPU. Pour une petite équipe ou un bureau, un VPS à 6 $/mois suffit. Le risque opérationnel principal est la disponibilité : si votre résolveur tombe et que vous l'avez configuré comme seul nameserver, la résolution DNS échoue pour tous les appareils. Configurer un upstream de secours — idéalement Quad9 ou un autre résolveur sans journalisation — atténue ce risque.
Verdict. L'auto-hébergement est l'option confidentialité maximale et vaut l'investissement en configuration pour les utilisateurs avancés, les familles soucieuses de leur vie privée et les petites équipes. AdGuard Home est le point de départ recommandé pour la plupart des utilisateurs.
Tableau comparatif : 5 options × 10 critères
| Critère | Cloudflare 1.1.1.1 | NextDNS | Quad9 | Auto-hébergé (AdGuard Home) | Auto-hébergé (Unbound) |
|---|---|---|---|---|---|
| Juridiction | États-Unis | États-Unis | Suisse | Vous | Vous |
| Protocoles de chiffrement | DoH, DoT, DoQ | DoH, DoT, DoQ, DNSCrypt | DoH, DoT, DNSCrypt | DoH, DoT, DoQ, DNSCrypt | DoT (upstream), DoH via proxy |
| Filtre malware | Optionnel (1.1.1.2) | Oui (configurable) | Oui (par défaut) | Oui (listes de blocage) | Non (via RPZ) |
| Listes de blocage custom | Non | Oui (40+ curées + custom) | Non | Oui (extensives) | Oui (RPZ/zones locales) |
| Analytiques de requêtes | Non | Optionnel (opt-in) | Non | Oui (local uniquement) | Non |
| Audit indépendant | Oui (KPMG annuel) | Non | Oui (transparence annuel) | N/A | N/A |
| Prix | Gratuit | Gratuit / 1,99 $/mois | Gratuit | Gratuit (coût matériel) | Gratuit (coût matériel) |
| Latence Europe/US | ~10ms / ~5ms | ~20ms / ~10ms | ~13ms / ~8ms | <5ms (local) | <5ms (local) |
| Contournement censure | Bon | Bon | Bon | Excellent | Excellent |
| Auto-hébergement possible | Non | Non | Non | Oui | Oui |
Recommandations par profil
Utilisateur avancé à domicile. Déployez AdGuard Home sur un Raspberry Pi ou un mini PC. Configurez Quad9 DoH comme résolveur upstream. Vous obtenez un contrôle local des listes de blocage, aucune journalisation externe des requêtes, un upstream de juridiction suisse et une protection malware. La configuration prend deux heures ; la maintenance est inférieure à 30 minutes par mois.
Développeur avec VPN. Utilisez NextDNS avec la journalisation désactivée. Le système de politiques par appareil permet d'activer ou désactiver le blocage par environnement. L'endpoint DoH s'intègre proprement dans les configurations VPN en split-tunnel. Si votre fournisseur VPN offre son propre résolveur chiffré, préférez-le — cela réduit le nombre d'entités pouvant corréler vos requêtes.
Famille avec enfants. NextDNS Pro avec les stacks Threat Intelligence + Native Tracking Protection + Contrôles parentaux activés. Le système de politiques par appareil permet des règles plus strictes pour les appareils des enfants sans affecter ceux des adultes. Activez la journalisation pendant une semaine pour affiner les listes, puis passez la rétention à une heure ou désactivez-la.
Profil paranoïaque ou entreprise. Unbound auto-hébergé sur un VPS durci dans une juridiction que vous contrôlez, avec validation DNSSEC activée, absence de journalisation forwarder, et routage anonymisé dnscrypt-proxy pour l'étape récursive. Coupler avec un pare-feu réseau bloquant tout UDP/53 et TCP/853 sortant sauf via votre stack contrôlé.
Pour tous les profils : quelle que soit l'option choisie, appliquez également le DNS chiffré au niveau de l'OS ou du routeur plutôt que de s'appuyer uniquement sur le DoH au niveau du navigateur. Le DoH navigateur crée un split où certaines applications utilisent votre résolveur configuré et d'autres l'endpoint propre au navigateur. La configuration système comble cet écart.
Ressources internes : État de la vie privée des navigateurs 2026 couvre le fingerprinting, l'identité TLS et le durcissement au niveau OS qui complètent le chiffrement DNS. Mode Isolement iOS et performances JSC examine les compromis du mode isolation maximale sur les appareils Apple.
