Outils de cybersécurité

04 octobre 2025

Une adresse IP, c'est bien, encore faut-il la trouver dans l'immensité du web. Le DNS Domain Name System, et son compagnon de route le DHCP Dynamic Host Configuration Protocol, outils invisibles mais incontournables du web, présentent quelques particularités à connaitre quand on parle cybersécurité.

Je me suis intéressé au DNS parce que depuis des lustres, les cases à remplir dans la configuration réseau m'ont horripilé, et si ça s'est simplifié depuis par l'usage de la case à cocher "automatique", ce n'est pas pour ça que je suis satisfait. Surtout quand on est un grand paranoïaque comme moi, qui se méfie de tout.

😣 Beurk ! C'est quoi tous ces trucs ?
Un conseil, n'y touche pas si tu ne veux pas casser ta connexion Internet.
Bon, c'est réglé sur automatique, ça se débrouille tout seul alors ?

Ne vous attendez pas à trouver ici une description détaillée de ce qu'est le DNS et le DHCP, vous trouverez d'autres sites qui feront ça mieux que moi, je donne quelques liens plus loin.

Je vais plutôt me concentrer sur les problèmes de cybersécurité et de défense de la vie privée des internautes qui entourent cette histoire de résolution d'adresse IP. Au moins vous aurez un vernis pour faire le cake en société.

Serveurs DNS

😯 Je croyais qu'Internet ne connaissait que les adresses IP ?
😌 C'est vrai, on envoie toujours une requête à une IP.
C'est le job des routeurs, des ordinateurs spécialisés, de diriger les requêtes dans le réseau, car ils connaissent la carte des connexions, enfin une partie, le routeur suivant continuera...
😕 Mais alors, comment on arrive sur science.mainguet.org ?
😎 C'est le job d'autres serveurs que de trouver la correspondance dite DNS
On demande l'adresse IP du site mainguet.org à un serveur DNS
😐 Et comment on trouve ces serveurs DNS ?
🪄 Ce n'est pas magique, il faut entrer une adresse IP pour commencer.
😬 Mais je n'ai jamais entré d'adresse comme ça !
😏 C'est parce que tu as laissé les adresses "par défaut"
Dans Windows, le sous-menu où on choisit, enfin, presque.
Tu remarqueras que tu as deux grandes cases.

DHCP

😼 Je vois ça. Obtenir une adresse IP
Ça, c'est pour que les routeurs puissent acheminer les paquets jusqu'à ton PC
😋 Faut bien que tu possèdes une adresse de destination connue.
🤨 Et comment je l'obtiens ?
C'est le job de DHCP, Dynamic Host Configuration Protocol
😎 Un protocole de configuration pour obtenir une adresse locale, dans ton cas, c'est probablement ta box qui te l'attribue au moment où tu te connectes.
Tu n'as qu'à regarder dans ta box la liste des machines connectées, et l'adresse IP attribuée.
  1. Une carte réseau sans IP commence par faire une requête au port 67 en transmettant son identificateur MAC.
  2. Le premier serveur qui répond propose alors une adresse sur le port 68.
  3. Ta carte accepte la proposition (ou pas !)
  4. Et le serveur accuse réception en assignant l'adresse IP pour une certaine durée (un bail d'une heure par exemple)

DHCP sur Wikipédia

😒 Et si l'adresse IP ne me plait pas ?
Ah ben tu peux forcer l'adresse dans une certaine mesure avec les histoires de masque de sous-réseau.
C'est souvent d'un intérêt relatif pour un particulier.

DNS

Et Obtenir les adresses des serveurs DNS ?
Ah ben, c'est là que tu "choisis" ton serveur DNS.
🤓 Tu peux entrer une adresse IP, même plusieurs au cas où le premier serveur aurait du mal à répondre.
😕 Là, c'est marqué automatiquement.
C'est là que ça devient intéressant.
Ta box est connectée à ton fournisseur d'accès Internet FAI.
Votre box est reliée à un DSLAM, lui-même relié aux serveurs de votre FAI.
Fibre ou paire cuivrée, peu importe.
Toutes requêtes passent forcément par la box, puis le DSLAM et les serveurs du FAI.
Automatiquement indique que tu laisses ton fournisseur choisir le serveur DNS.
😒 Et si j'utilise mon téléphone portable ?
Ah ben, si tu as laissé la configuration par défaut, c'est ton opérateur qui choisit, bien sûr.

C'est une description simpliste, la réalité est un peu plus compliquée car un serveur seul ne connait pas l'intégralité de toutes les adresses, il est obligé d'aller chercher des compléments d'information à droite et à gauche, surtout quand on réalise qu'il peut exister des sous-domaines (c'est ce que je fais avec mes divers sites thématiques).



Par Mro — Travail personnel, CC BY-SA 3.0, https://commons.wikimedia.org/w/index.php?curid=10491668

Tout ceci est plutôt bien décrit sur Wikipédia.

Il n'existe que 13 adresses IP pour les requêtes DNS "racine", mais heureusement, derrière chaque adresse, il existe plusieurs serveurs et la charge est répartie automatiquement.

Il y aurait environ 600 serveurs "root" en 2025, répartis dans le monde, afin de répondre aux demandes DNS.

🤔 Rien ne m'empêche de noter les adresses IP dans mon propre carnet, pour éviter les serveurs DNS, non ?
Évidemment, d'ailleurs les navigateurs ne se privent pas de mettre les adresses en cache, histoire d'accélérer leur efficacité.

Les conséquences

😡 Mais dis-donc, le serveur DNS est au courant de tout ce que je fais !
😈 Ah ben oui, faut avoir confiance...
aie confiance
🤔 Au passage, ça doit être facile pour un serveur DNS de ne pas connaitre certains sites, et donc de les bloquer.
😈 Comment crois-tu que les gouvernements interdisent l'accès aux sites ?
C'est un moyen simple de rendre une adresse IP inconnue, enfin pour certains, par exemple par zone géographique.
C'est vrai que retenir des chiffres, ce n'est pas commode pour nous, pauvres humains.
Et de plus, les adresses IP peuvent changer.

Cela laisse le champ aux serveurs DNS pour faire leur promotion, en mettant en avant non seulement leur efficacité, leur résistance aux attaques, dénigrant les FAI et leurs serveurs non sécurisés et non chiffrés, exploitant avec infamie les données liées à l'écoute de vos requêtes (encore faudrait-il que ce soit avéré, les FAI restent discrets là-dessus).

L'offre de service peut aussi mettre en avant le fait que le serveur DNS pourra filtrer les sites réputés dangereux ou pornographiques, ce qui peut être intéressant, mais il faudra se demander quels sont les critères de décision. Je préfère, et de loin, que l'on m'avertisse, mais qu'on ne me bloque pas afin que je puisse décider moi-même... Surtout quand le blocage concerne des violations de droits ou de lois : il faut informer l'internaute du pourquoi et du comment, au lieu de les prendre pour des abrutis.

Mais bon, comme la plupart de la population n'a même pas idée de ce qu'est le DNS, inutile de dépenser de l'énergie pour la convaincre que mon serveur DNS est bien sous tous rapports...

Adresse de serveurs DNS

Les serveurs DNS feront généralement leur publicité en vous disant qu'ils sont les meilleurs, et qu'ils garantissent votre vie privée. À vous de les croire ou non. De toutes manières, vous êtes pieds et poings liés à votre fournisseur d'accès Internet FAI, et même si vous utilisez un autre serveur DNS, votre FAI verra quand même votre trafic. Sauf à chiffrer les données, et là, votre FAI ne connaitra que votre fournisseur VPN.

À la rigueur si vous arrivez à sentir une amélioration de vitesse, mais bon, on parle de millisecondes, alors à l'échelle humaine... Cependant, il existe des sites qui mesurent les performances DNS, en voici un :

Performance DNS mesurées par dnsperf.com
Là, c'est la vitesse, mais regardez aussi le uptime, le temps où le serveur est opérationnel.

Comme ça vous avez au passage la liste des serveurs DNS.

Si le site que vous convoitez ne répond pas, vous pouvez tenter votre chance en changeant de serveur DNS. Il suffit de chercher avec votre moteur de recherche préféré le serveur que vous convoitez, ou simplement lire les articles sur le sujet plus loin. Maintenant que vous êtes avertis, vous pourrez vous faire votre opinion.

Propagation d'adresses

🤨 Mais dis-donc, pour que les gens puissent lire ton site, il y a intérêt à ce que les serveurs DNS te connaissent !
🤗 Un peu mon neveu !
Heureusement que ton fournisseur d'accès te propose dans l'offre d'hébergement de diffuser l'adresse IP de ton site, d'ailleurs ce n'est même pas une option.
😯 Mais comment tu peux être sûr que les serveurs DNS te connaissent ?
Il existe des sites spécialisés qui font des tests, en voici un :
Whatsmydns.net Global DNS propagation checker
La plupart du temps, la croix rouge indique que le serveur est en rade, pas parce qu'il ne connait pas l'adresse recherchée, faut quand même pas être trop parano.

Quelques outils éventuellement utiles

Quelques outils basiques sur PC, ça évite d'aller sur un site web spécialisé qui vous dira la même chose. N'oubliez pas que vous pouvez faire /? après la commande pour avoir le mode d'emploi, et c'est souvent utile. Capture d'écran sur un vieux PC, cela aura peut-être évolué un poil sur des OS récents.

nslookup

Un peu évidente, la commande nslookup retourne l'adresse IP d'une URL.

l'adresse a déjà changée...

ipconfig

ipconfig est plus disert (faites /?, vous verrez), en particulier on peut demander de renouveler les adresses.

serveur DNS à la fin

outils web

Vous trouverez sur le web des sites spécialisés, par exemple :

Références

On tombe assez rapidement sur quelques sites vous expliquant tout ça bien mieux que moi, en voici quelques-uns pour vous éviter de chercher. À commencer par les sites publicitaires des serveurs DNS.


Finalement, ces histoires DNS ne sont pas vraiment utiles à connaitre dans la vie de tous les jours. Mais bon, quand on peut contourner l'hégémonie de certains serveurs, ou simplement éviter les injonctions gouvernementales pour interdire l'accès à certains sites, autant savoir comment ça marche.

Il est temps à présent de s'intéresser de plus près aux serveurs, c'est là que les histoires de proxy débarquent.