Comment fonctionne le DNS : transformer les noms en adresses

Imaginez que vous tapez « wikipedia.org » dans votre navigateur. En quelques millisecondes, vous êtes connecté. Mais votre ordinateur ne sait pas où habite Wikipedia. Il ne connaît pas son adresse. Ce qu'il connaît, c'est un nom — un nom que les humains peuvent lire et retenir. Quelque part entre votre clavier et le serveur de Wikipedia, quelque chose doit traduire ce nom en nombre. Ce quelque chose s'appelle DNS, et c'est lui qui remplit ce rôle invisible mais essentiel. Le DNS est l'annuaire téléphonique d'Internet. Quand vous appelez quelqu'un, vous ne mémorisez pas son numéro de téléphone (ou presque plus) ; vous le cherchez par son nom. Internet fonctionne de la même façon. Les sites web ont des adresses numériques appelées adresses IP — des suites de chiffres comme « 208.80.154.2 » — mais nous, humains, nous préférons utiliser des noms comme « wikipedia.org ». Le DNS est le système qui fait le lien entre ces deux mondes : les noms lisibles et les adresses numériques. Mais le DNS n'est pas simplement une grande base de données centralisée. C'est un réseau distribué, décentralisé, organisé en hiérarchie. Et cette hiérarchie, c'est justement ce que nous allons explorer. La requête DNS commence chez vous Quand vous tapez une adresse web, votre navigateur ne sait pas où chercher. Il demande à un autre ordinateur, appelé « stub resolver » — un petit résolveur DNS qui réside généralement dans votre système d'exploitation ou fourni par votre fournisseur d'accès Internet (FAI). Ce stub resolver ne connaît pas la réponse non plus. Il demande donc à un ordinateur plus puissant, un « recursor » (résolveur récursif), qui va faire le travail de recherche pour lui. Si vous utilisez les paramètres par défaut, ce recursor appartient à votre FAI. C'est un détail important. Cela signifie que votre FAI voit chaque domaine que vous cherchez à consulter. Il n'a peut-être pas accès au contenu que vous lisez (ce contenu voyage souvent chiffré), mais il sait que vous avez cherché « wikipedia.org » à 14h32, « github.com » à 14h45, et ainsi de suite. Ce journal complet de vos requêtes DNS est un profil assez détaillé de ce qui vous intéresse. Le voyage vers le root nameserver Le recursor, lui, ne connaît pas non plus l'adresse IP de wikipedia.org. Il va donc demander à un « root nameserver » — un serveur racine qui gère le sommet de la hiérarchie DNS. Il existe treize groupes de serveurs racine, répartis à travers le monde. Le recursor leur demande : « Où dois-je chercher pour trouver des informations sur .org ? » Le serveur racine ne connaît pas l'adresse de wikipedia.org, mais il sait qui gère la zone .org. Il répond en donnant l'adresse du « TLD nameserver » — le serveur de domaine de premier niveau, celui qui gère tous les domaines se terminant par .org. Le recursor pose alors sa deuxième question au TLD nameserver : « Où dois-je chercher pour trouver des informations sur wikipedia.org ? » Le TLD nameserver répond en donnant l'adresse du « authoritative nameserver » — le serveur faisant autorité, celui qui gère réellement les enregistrements DNS pour wikipedia.org. Enfin, le recursor demande au serveur faisant autorité : « Quelle est l'adresse IP de wikipedia.org ? » Et cette fois, il obtient sa réponse : une ou plusieurs adresses IP que votre navigateur peut utiliser pour se connecter. Cet échange complet s'appelle une « requête DNS récursive », et il est crucial de comprendre que chaque étape se déroule sans chiffrement. Les données ne sont pas « scellées dans une enveloppe » — elles voyagent comme une carte postale ouverte que quiconque sur le chemin peut lire. Le problème de la visibilité Parce que le DNS est par défaut non chiffré, plusieurs problèmes émergent. Votre FAI peut voir chaque domaine consulté. Certains gouvernements ou contrôleurs de réseau peuvent intercepter ces requêtes et en apprendre long sur vos activités. Et surtout — c'est là que réside la forme de censure la plus courante d'Internet — les autorités ou les FAI peuvent simplement bloquer ou rediriger certaines requêtes DNS. Si une requête pour « domainecensuré.org » arrive à un serveur DNS contrôlé, l'opérateur peut répondre avec une fausse adresse IP, ou refuser de répondre entièrement. Vous ne verrez jamais le site. C'est la raison pour laquelle le filtrage DNS est la méthode de censure la plus bon marché et la plus largement utilisée : elle n'exige pas de surveiller le trafic complexe, elle fonctionne avant même que vous ne tentiez de vous connecter. C'est un stop signal posé en amont. Des alternatives : DoH et DoT Pour contourner cette visibilité, deux protocoles émergent : le DoH (DNS over HTTPS) et le DoT (DNS over TLS). Tous deux chiffrent vos requêtes DNS, les rendant invisibles à votre FAI et au réseau local. DoH enveloppe les requêtes DNS à l'intérieur du protocole HTTPS — le même protocole qui sécurise vos connexions web ordinaires. DoT utilise le protocole TLS (le même qui crée les « cadenas » sur les sites web) de manière directe. Ces deux approches offrent une confidentialité supplémentaire, mais elles introduisent aussi des tradeoffs : vous devez faire confiance à un autre acteur (le serveur DoH ou DoT), et certains réseau bloquent délibérément ces protocoles. Ce qu'il faut retenir Le DNS est le traducteur invisible qui transforme les noms en nombres. Son architecture distribuée fonctionne bien, mais son absence de chiffrement par défaut signifie que vos requêtes DNS sont visibles et peuvent être manipulées. C'est précisément parce que le DNS est puissant et accessible qu'il est devenu l'outil de censure préféré de nombreuses juridictions. Comprendre comment il fonctionne, c'est comprendre une partie fondamentale de la façon dont Internet est filtré et contrôlé.