Fuite DNS
Qu'est-ce que Fuite DNS ?
Fuite DNSDéfaillance de confidentialité dans laquelle les requêtes DNS contournent le tunnel VPN ou Tor et sont envoyées en clair au FAI ou au résolveur par défaut.
Une fuite DNS se produit lorsque le trafic de résolution de noms échappe au tunnel chiffré censé le transporter, exposant chaque domaine consulté au FAI, au Wi-Fi public ou au fournisseur DNS. Les causes habituelles sont les configurations split tunnel, l'IPv6 actif alors que le VPN ne gère que l'IPv4, la résolution multihomée de Windows qui envoie des requêtes parallèles sur toutes les interfaces, ou les fonctions de smart resolution du système. Même si le trafic web passe en HTTPS, les métadonnées DNS révèlent les habitudes de navigation et peuvent servir à la censure ou au pistage. Les défenses incluent le routage forcé de tout le DNS par le tunnel, le blocage du résolveur système au pare-feu, la désactivation d'IPv6 si non géré, et l'usage de DoH ou DoT vers le résolveur du VPN.
● Exemples
- 01
Client VPN routant le DNS IPv4 par le tunnel mais laissant les requêtes IPv6 vers le résolveur du FAI.
- 02
Windows envoyant des requêtes DNS en parallèle sur Ethernet et VPN, exposant les domaines visités.
● Questions fréquentes
Qu'est-ce que Fuite DNS ?
Défaillance de confidentialité dans laquelle les requêtes DNS contournent le tunnel VPN ou Tor et sont envoyées en clair au FAI ou au résolveur par défaut. Cette notion relève de la catégorie Confidentialité et protection des données en cybersécurité.
Que signifie Fuite DNS ?
Défaillance de confidentialité dans laquelle les requêtes DNS contournent le tunnel VPN ou Tor et sont envoyées en clair au FAI ou au résolveur par défaut.
Comment fonctionne Fuite DNS ?
Une fuite DNS se produit lorsque le trafic de résolution de noms échappe au tunnel chiffré censé le transporter, exposant chaque domaine consulté au FAI, au Wi-Fi public ou au fournisseur DNS. Les causes habituelles sont les configurations split tunnel, l'IPv6 actif alors que le VPN ne gère que l'IPv4, la résolution multihomée de Windows qui envoie des requêtes parallèles sur toutes les interfaces, ou les fonctions de smart resolution du système. Même si le trafic web passe en HTTPS, les métadonnées DNS révèlent les habitudes de navigation et peuvent servir à la censure ou au pistage. Les défenses incluent le routage forcé de tout le DNS par le tunnel, le blocage du résolveur système au pare-feu, la désactivation d'IPv6 si non géré, et l'usage de DoH ou DoT vers le résolveur du VPN.
Comment se défendre contre Fuite DNS ?
Les défenses contre Fuite DNS combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Fuite DNS ?
Noms alternatifs courants : Contournement DNS, Fuite de résolveur.
● Termes liés
- privacy№ 1214
Fuite VPN
Défaillance du tunnel VPN qui laisse échapper du trafic identifiant — IP, DNS, IPv6 ou WebRTC — en dehors du canal chiffré.
- privacy№ 1231
Fuite d'IP via WebRTC
Fuite côté navigateur dans laquelle la machinerie STUN/ICE de WebRTC expose les adresses IP réelles, locales et publiques, même derrière un VPN ou un proxy.
- network-security№ 340
DNS over HTTPS (DoH)
Protocole qui chiffre les requêtes DNS en les transportant à l'intérieur de HTTPS, empêchant un observateur en chemin de les lire ou de les modifier.
- network-security№ 341
DNS over TLS (DoT)
Protocole qui chiffre les requêtes DNS dans une session TLS dédiée, les protégeant de l'écoute et de la manipulation sur le réseau.