Qu'est-ce que le DNS (système de noms de domaine) ?

Le DNS (système de noms de domaine, Domain Name System) est l’annuaire d’Internet. Il traduit les noms lisibles que vous tapez — comme example.com — en adresses IP numériques que les machines utilisent réellement pour se connecter. C’est l’un des systèmes les plus discrets et les plus essentiels d’Internet : presque chaque connexion que vous établissez commence par une recherche DNS, sans que vous le remarquiez.

Pourquoi le DNS existe

Les humains retiennent des noms ; les ordinateurs acheminent vers des numéros. Vous voulez taper wikipedia.org, pas 185.15.59.224 — et certainement pas une adresse IPv6 de 39 chiffres. Le DNS est la couche qui permet aux deux côtés d’avoir ce qu’il leur faut : des noms mémorisables pour les humains, des adresses numériques pour les machines. Sans lui, le web comme lieu utilisable et lisible n’existerait pas.

La vieille analogie est l’annuaire téléphonique — on cherche un nom, on obtient un numéro. C’est un bon point de départ, mais le DNS est plus intéressant que cela. Un annuaire est une liste statique unique ; le DNS est une base de données distribuée, hiérarchique et vivante répartie sur des milliers de serveurs dans le monde, mise à jour en continu, répondant à des centaines de milliards de requêtes par jour. Aucune machine ne la détient entièrement.

Comment une recherche fonctionne réellement

Quand vous ouvrez un site, une courte course de relais se déroule en quelques millisecondes :

1. Votre appareil demande à un résolveur — généralement celui de votre FAI, ou un public — l’adresse du nom.
2. Si le résolveur a la réponse en cache d’une recherche récente, il la renvoie aussitôt. Sinon, il parcourt la hiérarchie.
3. Il demande à un serveur racine quels serveurs gèrent le domaine de premier niveau (.org, .com, un code pays, etc.).
4. Il demande à ces serveurs de TLD quels serveurs font autorité pour le domaine précis.
5. Il demande aux serveurs faisant autorité du domaine l’enregistrement réel.
6. Il met en cache la réponse pour une durée donnée et la renvoie à votre appareil, qui se connecte alors à l’adresse.

Toute cette chaîne s’achève généralement plus vite que vous ne le percevez, et le cache fait que la plupart des recherches ne parcourent jamais toute la distance.

La hiérarchie

Le DNS est organisé en arbre inversé, lu de droite à gauche.

• Au sommet, la racine (le point implicite à la fin de chaque nom), servie par un petit ensemble d’identités de serveurs racine déployées dans le monde via l’anycast.
• Sous la racine, les domaines de premier niveau (TLD) : génériques comme .com, .org, .net, et codes pays comme .eg, .fr, .jp.
• Sous chaque TLD, les domaines de second niveau que les gens enregistrent — example dans example.com.
• Le propriétaire du domaine exploite (ou délègue) les serveurs faisant autorité qui détiennent ses enregistrements.

Cette délégation permet au système de passer à l’échelle : nul n’a besoin de tout savoir, seulement qui interroger ensuite.

Les types d’enregistrement

Le DNS d’un domaine contient plusieurs sortes d’enregistrements, chacun avec un rôle :

• A — associe un nom à une adresse IPv4.
• AAAA — associe un nom à une adresse IPv6.
• CNAME — crée un alias d’un nom vers un autre (www pointant vers le domaine nu, par exemple).
• MX — dirige le courrier du domaine vers ses serveurs de messagerie.
• NS — liste les serveurs faisant autorité du domaine.
• TXT — contient du texte libre, largement utilisé pour la vérification de propriété et les politiques d’authentification du courrier comme SPF et DKIM.

Les résolveurs, et pourquoi on en change

Le résolveur est la partie du DNS la plus proche de vous. Par défaut, c’est celui de votre FAI, mais vous pouvez pointer un appareil ou un routeur vers un résolveur public — parmi les plus connus, 1.1.1.1 de Cloudflare, 8.8.8.8 de Google et 9.9.9.9 de Quad9. On en change pour la rapidité, la fiabilité, le filtrage de contenu ou la confidentialité.

Ce résolveur 1.1.1.1, par exemple, est exploité par le réseau ci-dessous — un opérateur réel que l’on résout depuis une seule adresse. La carte en direct à la fin de cet article affiche le profil de ce réseau depuis l’index ipdex, avec un lien vers ses données en direct. Si une adresse n’est pas dans l’index, la recherche renvoie un honnête « introuvable » plutôt qu’une supposition.

DNS et confidentialité

Le DNS classique a une faiblesse de confidentialité : les requêtes circulent traditionnellement en clair, donc tout réseau entre vous et votre résolveur peut lire les noms que vous recherchez — même quand les sites eux-mêmes utilisent HTTPS. Deux normes récentes corrigent cela : DNS over HTTPS (DoH) et DNS over TLS (DoT) chiffrent vos requêtes, les masquant au réseau intermédiaire.

Mais le chiffrement change qui voit vos recherches, pas si quelqu’un les voit. Quel que soit le résolveur choisi, il voit chaque nom demandé. C’est pourquoi le choix du résolveur est une véritable décision de confidentialité — et pourquoi un index d’infrastructure comme ipdex prend soin de cartographier les réseaux, jamais les recherches ou l’activité d’un visiteur.

Sécurité du DNS

Comme tant de choses dépendent du DNS, c’est une cible. Les attaquants tentent l’empoisonnement de cache (faire stocker une fausse réponse à un résolveur) et l’usurpation (falsifier des réponses). DNSSEC y répond en signant cryptographiquement les enregistrements DNS, pour qu’un résolveur validant puisse confirmer qu’une réponse vient bien du propriétaire du domaine et n’a pas été altérée en transit. Il ne chiffre rien — c’est le rôle de DoH/DoT — mais il garantit l’authenticité.

Démêler les idées reçues

Idée reçue : « Le DNS n’est qu’un annuaire téléphonique. » Un annuaire est une liste statique unique. Le DNS est une base de données vivante, distribuée et hiérarchique sur des milliers de serveurs, avec cache et délégation intégrés. L’analogie transmet l’idée mais sous-estime l’ingénierie.

Idée reçue : « Changer de DNS me rend anonyme. » Changer de résolveur change qui voit vos recherches et peut améliorer la confidentialité, mais votre FAI voit toujours les adresses auxquelles vous vous connectez, et le pistage s’appuie sur bien d’autres signaux. C’est un choix utile, pas une cape.

Idée reçue : « Un changement DNS prend effet partout instantanément. » Le cache et les TTL font que les anciennes réponses persistent jusqu’à l’expiration de leurs minuteurs. C’est pourquoi une mise à jour semble se « propager » sur des minutes ou des heures plutôt que de basculer d’un coup.

Idée reçue : « Le DNS et mon bureau d’enregistrement, c’est pareil. » Le bureau d’enregistrement est où vous achetez et possédez un nom. Le DNS est le système qui associe le nom à des adresses une fois que vous l’avez. Des rôles différents, souvent assurés par des entreprises différentes.

À retenir

• Le DNS traduit les noms lisibles en adresses IP auxquelles les machines se connectent.
• C’est une base de données distribuée, hiérarchique et mise en cache — résolveur → racine → TLD → serveurs faisant autorité.
• Les enregistrements (A, AAAA, CNAME, MX, NS, TXT) ont chacun un rôle précis.
• Le DNS classique est en clair ; DoH et DoT chiffrent vos requêtes, et DNSSEC authentifie les réponses.
• Quel que soit le résolveur utilisé, il voit vos recherches — d’où l’importance du choix du résolveur, et pourquoi ipdex cartographie l’infrastructure, pas les personnes.