Test de fuite DNS : comment détecter et corriger les fuites DNS
Votre VPN peut afficher une adresse IP propre dans un autre pays tout en transmettant discrètement à votre fournisseur d'accès Internet la liste de tous les sites que vous avez consultés. Cette faille a un nom : une fuite DNS. Le cadenas semble fermé, le trafic paraît privé, et pourtant, les requêtes DNS qui transforment un nom de domaine en adresse IP s'échappent en clair. Un test de fuite DNS rapide est le seul moyen de savoir si vous en êtes victime, et la plupart des personnes qui en effectuent un pour la première fois sont surprises par ce qu'elles découvrent.
Ce guide explique ce qu'est une fuite DNS, comment la détecter en une trentaine de secondes, comment corriger sa cause et pourquoi les enjeux sont plus importants si vous détenez des cryptomonnaies. Ce dernier point est rarement abordé dans les autres guides.
Qu'est-ce qu'une fuite DNS et quelles sont les informations qui en ressortent ?
Imaginez le système de noms de domaine comme l'annuaire téléphonique d'Internet. Vous saisissez un nom de domaine, votre appareil envoie une petite requête DNS, et un serveur DNS vous renvoie l' adresse IP correspondante. C'est simple. La fuite se produit lorsque cette requête emprunte un chemin détourné. Au lieu de passer par votre tunnel VPN chiffré pour atteindre le résolveur DNS du VPN, la requête est envoyée au serveur DNS de votre fournisseur d'accès Internet, généralement en clair.
Rien n'est « volé » au sens cinématographique du terme. Ce qui fuite, ce sont les métadonnées : la liste ordonnée des sites que vous avez tenté de visiter, associée à votre véritable adresse IP. C'est largement suffisant. Grâce à ce système DNS, votre fournisseur d'accès Internet n'a jamais besoin de lire un seul octet de votre trafic réel pour savoir que vous avez ouvert une plateforme d'échange, un service de portefeuille électronique ou une page d'actualités à 11h47 un mardi. Chaque fois que vous visitez un site web, la requête doit aboutir quelque part, et c'est là que réside le problème. Le plus inquiétant, c'est que ces fuites sont plus proches du fonctionnement par défaut du web que d'un dysfonctionnement rare. En février 2026, environ 86,6 % des requêtes DNS dans le monde transitaient encore par le réseau en UDP non chiffré, selon Cloudflare Radar . Le DNS chiffré est l'exception, pas la règle.
Comment se produit une fuite DNS : IPv6, WebRTC, routeurs
La plupart des fuites ne sont pas le fruit d'attaques sophistiquées. Il s'agit d'un comportement normal du système d'exploitation que le VPN n'a jamais complètement neutralisé. Trois causes expliquent la grande majorité des tests infructueux.
IPv6 et la fuite que votre VPN a oubliée
Voici le champion discret des fuites DNS. De nombreux VPN ont été conçus pour acheminer le trafic IPv4 et laisser la gestion de l'IPv6 à un tiers. Ainsi, si votre système d'exploitation a l'IPv6 activé et que le VPN ne prend en charge que l'IPv4, les requêtes DNS IPv6 s'échappent du tunnel. Ce n'est pas une hypothèse. Une étude de 2025, menée par Cho et Heidemann lors de la conférence ACM IMC et publiée dans leur rapport , a révélé que 12 VPN commerciaux présentaient des fuites de trafic IPv6 pour 5 % à 57 % de leurs utilisateurs IPv4 uniquement. Malgré des années de « protection contre les fuites IPv6 » intégrées, la fuite persiste dans les données.
Détournement DNS transparent par votre FAI
Certains fournisseurs d'accès Internet interceptent toute requête DNS sortant de votre réseau sur le port 53 et la redirigent vers leur propre résolveur, quel que soit le serveur configuré. Il s'agit d'un détournement DNS transparent. Un test de fuite DNS révélera que le résolveur de votre FAI est toujours actif, même si vous en avez configuré un autre. Windows aggrave le problème de deux manières : la résolution de noms multi-homed intelligente (SMHNR), qui envoie simultanément des requêtes DNS via toutes les cartes réseau, et Teredo, un service de tunnelisation IPv6 qui ouvre discrètement un second chemin autour du VPN.
Fuites de navigateur et WebRTC
WebRTC est la fonctionnalité du navigateur qui permet les appels audio et vidéo en temps réel. Pratique, certes, mais elle peut aussi exposer vos adresses IP locales et publiques via des requêtes de connexion directe, en contournant complètement le DNS. À proprement parler, il ne s'agit pas d'une fuite DNS. Un bon test de fuite DNS vérifie tout de même ce point, car le résultat est identique : votre véritable adresse se retrouve affichée. Quelle est l'ampleur de ce problème ? Une étude de 2016 menée par le CSIRO et l'Université Macquarie sur 283 applications VPN Android, toujours citée aujourd'hui, a révélé que 66 % d'entre elles présentaient des fuites de trafic DNS et que 84 % ne faisaient jamais transiter le trafic IPv6 par le tunnel. Ces résultats ont été publiés dans les actes de la conférence ACM IMC 2016. Neuf ans plus tard, ces chiffres restent inchangés.
Comment effectuer un test de fuite DNS gratuit et l'interpréter
Lancer le test est la partie facile. C'est l'interprétation des résultats qui pose problème. Connectez votre VPN, ouvrez une page de test de fuite DNS gratuite dans votre navigateur et effectuez les vérifications standard et étendue. Quelques secondes plus tard, vous obtenez la liste des serveurs DNS ayant répondu, chacun avec son propriétaire et sa localisation. La seule question qui compte désormais : ces serveurs appartiennent-ils à votre VPN, à votre FAI ou à Google ?
Exécutez le test deux fois. Faites le test de fuite DNS une première fois avec le VPN désactivé, afin de connaître le serveur DNS de votre FAI, puis une seconde fois avec le tunnel actif. Si le même serveur FAI apparaît lors des deux tests, c'est la fuite, sans aucun doute. Si seul le serveur DNS de votre VPN apparaît lorsque vous êtes connecté, votre DNS est propre, du moins jusqu'au prochain redémarrage.
| Ce que le test révèle | Verdict | Ce qu'il faut faire |
|---|---|---|
| Seuls les serveurs DNS de votre VPN | Aucune fuite | Tout va bien ; retestez après les mises à jour |
| Le résolveur de votre FAI apparaît | Fuite DNS | Corrigez la cause ci-dessous avant de faire confiance au tunnel |
| Google ou un résolveur tiers que vous n'avez pas configuré | Fuite partielle | Configurez le DNS manuellement ; vérifiez la configuration du routeur |
| Serveur IPv6 différent du serveur IPv4 | Fuite IPv6 | Désactivez IPv6 ou utilisez un VPN qui le tunnelise. |
| Votre véritable adresse IP affichée dans un champ WebRTC | Fuite WebRTC | Désactiver WebRTC dans le navigateur |
Pourquoi les fuites DNS sont importantes pour la confidentialité des cryptomonnaies
Voici ce que les sites d'évaluation de VPN omettent. Pour un utilisateur de cryptomonnaies, une fuite DNS est plus grave que pour un particulier, car elle crée la seule faille que la surveillance sur la blockchain ne peut combler à elle seule : le lien entre votre identité sur le réseau et votre portefeuille.
Lier votre adresse IP à un portefeuille
Les entreprises d'analyse de la blockchain excellent dans le regroupement d'adresses et le suivi des fonds. En revanche, il leur est difficile d'associer une personne physique à une adresse sans un indice externe à la chaîne. Une fuite DNS constitue précisément cet indice. Si votre appareil laisse fuiter des requêtes DNS vers des domaines de portefeuilles, des sites d'exploration de blocs ou des points de terminaison RPC de nœuds, et que ces requêtes contiennent votre véritable adresse IP horodatée, un observateur peut corréler cette trace réseau avec l'activité sur la blockchain se déroulant simultanément.
Corrélation entre les identifiants Exchange et la connaissance du client (KYC)
C'est là le point faible. Lorsque vous vous connectez à une plateforme d'échange centralisée, votre appareil interroge le domaine de cette plateforme. Si cette recherche est interceptée par votre fournisseur d'accès Internet, elle est enregistrée et associée à votre véritable adresse IP. Votre plateforme d'échange détient déjà votre identité vérifiée grâce à la procédure KYC. Un tiers peut alors relier cette identité à une session que le VPN était censé masquer . Le secteur de l'analyse de la blockchain, qui achète et traite ce type de corrélation, représentait 2,99 milliards de dollars en 2025 et devrait croître de 22 % par an. De son côté, Chainalysis a recensé 154 milliards de dollars de volume de transactions illicites en cryptomonnaies pour 2025, dans son rapport 2026 sur la criminalité liée aux cryptomonnaies – un marché où la moindre information est exploitée.
Ce que les traces DNS révèlent sur vous
Même sans connaître le contenu de votre trafic, la liste ordonnée des domaines que vous résolvez constitue une empreinte comportementale. Quel exchange, quel portefeuille, quelle interface DeFi, dans quel ordre, à quelle heure ? Les autorités américaines ont confirmé leur intérêt pour ces données : un rapport de la FTC de 2021 a révélé que les six principaux fournisseurs d’accès à Internet américains enregistraient les requêtes DNS et les données de navigation. Il convient de préciser qu’à ce jour, aucune affaire judiciaire n’a prouvé publiquement qu’une fuite DNS était à l’origine d’une démasquage de cryptomonnaie. La capacité de démasquage est bien documentée ; en revanche, la preuve irréfutable manque. Je ne miserais pas sur le fait que cela reste vrai.
Comment prévenir les fuites DNS sur tous les appareils
Bonne nouvelle : la solution est simple et rapide. Choisissez le levier correspondant à votre test, plutôt que de tous les actionner par précaution. En pratique, la plupart des gens n'en ont besoin que de deux, voire trois.
Résoudre les fuites DNS sous Windows et macOS
Sous Windows, les coupables habituels sont la résolution de noms multi-homed intelligente et l'adaptateur Teredo. Désactivez-les. Ensuite, configurez un serveur DNS statique sur votre carte réseau active. Sous macOS, la procédure est plus douce : configurez votre DNS manuellement dans les réglages réseau, puis videz le cache avec `sudo dscacheutil -flushcache`. Dans les deux cas, reconnectez-vous et relancez le test de fuite DNS. Si la liste des résolveurs n'affiche que votre VPN, le problème est résolu. Si votre ancien serveur FAI est toujours actif, la fuite provient d'un niveau inférieur de la pile DNS.
Sécurisez votre routeur et votre IPv6
Votre VPN refuse-t-il de tunneliser l'IPv6 ? Désactivez alors l'IPv6 au niveau du système d'exploitation afin d'empêcher toute fuite de requêtes. N'oubliez pas non plus le routeur. Si celui-ci utilise toujours le DNS de votre FAI, la fuite se déplace simplement d'un saut en amont, et votre solution, pourtant simple au niveau de l'appareil, masque discrètement le problème. Configurez le routeur pour qu'il utilise un résolveur de confiance ; ainsi, tous les appareils connectés (téléphone, ordinateur portable, console) bénéficieront automatiquement de ce paramètre.
Paramètres VPN et protection contre les fuites DNS
Ouvrez votre client VPN et vérifiez trois options : l’utilisation de ses propres serveurs DNS, la protection contre les fuites DNS et le coupe-circuit. Attention, ces deux dernières options sont différentes, ce qui prête souvent à confusion. Le coupe-circuit interrompt brutalement votre trafic dès que la connexion au tunnel chiffré est interrompue. La protection contre les fuites DNS, quant à elle, force vos requêtes à repasser par ce tunnel tant qu’il est actif. Il est important d’activer les deux. Et il est essentiel de les examiner attentivement, car l’expression « sécurité par défaut » relève du marketing, et non de la garantie.
| Cause | Ce que vous voyez dans le test | Réparer | Où |
|---|---|---|---|
| Fuite IPv6 | Le résolveur IPv6 diffère du résolveur IPv4 | Désactivez IPv6 ou changez de VPN | Système d'exploitation / VPN |
| Détournement du FAI | Résolveur FAI malgré DNS manuel | Configurer un DNS chiffré (DoH ou DoT) | Système d'exploitation / routeur |
| Windows SMHNR ou Teredo | Plusieurs résolveurs, dont un FAI | Désactiver SMHNR et Teredo | Windows |
| Routeur utilisant le DNS du FAI | Même fuite sur tous les appareils | Configurer manuellement le DNS du routeur | Routeur |
| Exposition WebRTC | Adresse IP réelle dans un champ WebRTC | Désactiver WebRTC | Navigateur |
Choisir un serveur DNS qui ne présente pas de fuites
Réussir un test de fuite DNS ne représente que la moitié du chemin. Le choix de votre résolveur est tout aussi important que le tunnel lui-même, car un fournisseur DNS qui enregistre les journaux d'activité reste un service de surveillance, même avec une interface plus conviviale. Cloudflare utilise 1.1.1.1, Quad9 utilise 9.9.9.9 et Google utilise 8.8.8.8. Même fonction, politiques d'enregistrement très différentes. Il est donc essentiel de les lire attentivement. Choisir le fournisseur recommandé sur un forum est précisément le meilleur moyen de se retrouver « sans fuite » tout en étant suivi.
Ensuite, chiffrez la requête elle-même. DNS over HTTPS (DoH) et DNS over TLS (DoT) encapsulent la requête afin que votre FAI ne puisse ni la lire ni l'intercepter en cours de transmission. Pourtant, presque personne ne s'en soucie. Les protocoles de transport chiffrés ne représentaient qu'environ 11,3 % des requêtes DNS au début des années 2000, et la validation DNSSEC de bout en bout a atteint un taux négligeable de 0,47 % au premier trimestre. Un seul paramètre à activer. Inverser ce paramètre vous permet de rejoindre discrètement une petite minorité bien mieux protégée.
Votre VPN bloque-t-il vraiment les fuites DNS ?
Considérez la case « Protection contre les fuites DNS » comme une simple indication, et non comme une garantie. Les taux de fuite de référence de 2016 apparaissent régulièrement dans des études récentes (2025), ce qui prouve que le problème est inhérent à la conception de ces clients, et non le fruit d'une solution discrète de l'industrie. L'utilisation d'un VPN est courante, mais loin d'être universelle : seulement 32 % des adultes américains déclaraient en utiliser un en 2025, contre 46 % l'année précédente, selon Security.org. La règle est donc certes fastidieuse, mais efficace. Effectuez un test de fuite DNS le jour de l'installation de votre VPN, après chaque mise à jour majeure du système d'exploitation, et systématiquement lorsque le client se reconnecte automatiquement, même à 3 h du matin, sans que vous ne le sachiez.
Que faire maintenant concernant votre test de fuite DNS ?
Un VPN qui laisse fuiter votre DNS est un outil de confidentialité qui vous ment effrontément, et le seul moyen de le démasquer est d'examiner attentivement votre configuration. Alors, examinez-la. Effectuez le test maintenant, deux fois, VPN désactivé puis activé. Corrigez la cause du problème, configurez votre appareil pour utiliser un résolveur chiffré dont vous avez pris la peine de lire la politique de confidentialité, et refaites le test après la prochaine mise à jour. Si vous utilisez des solutions de chiffrement, intégrez la gestion de votre DNS à votre modèle de sécurité, et non comme une simple précaution, car une fuite se mesure en nombre d'identités liées, et pas seulement en historique de navigation. Une question importante à se poser : si votre configuration a toujours présenté une fuite, qu'a déjà consigné votre FAI ?
