Fuite DNS avec un VPN : comprendre, tester, corriger

Lorsqu’on évalue la fiabilité d’un VPN, la question n’est pas seulement « Est-ce qu’il chiffre bien ? », mais :

Est-ce que tout mon trafic, y compris mes requêtes DNS, passe réellement dans le tunnel ?

Une fuite DNS est l’un des angles morts les plus problématiques. Elle ne révèle pas votre adresse IP, mais elle expose vos habitudes de navigation : les sites que vous consultez, à quelle heure, et à quelle fréquence.

Autrement dit : exactement ce que vous cherchez à protéger avec un VPN.

Illustration : fuite dns

Le problème :
Votre appareil peut envoyer certaines requêtes DNS en dehors du tunnel VPN, vers votre FAI, votre routeur ou un résolveur tiers, sans alerte ni indication visible. Juste une exposition silencieuse.

En clair : votre trafic est chiffré, mais vos requêtes DNS, qui indiquent les sites consultés, peuvent contourner le tunnel et rester visibles.
En clair : votre trafic est chiffré, mais vos requêtes DNS, qui indiquent les sites consultés, peuvent contourner le tunnel et rester visibles.

Cette page vous explique pourquoi les fuites DNS existent, comment les détecter avec certitude et quelles configurations permettent d’assurer que vos requêtes DNS restent dans le tunnel VPN.

Ce qu’est une fuite DNS (et ce qu’elle révèle vraiment)

Le DNS en une phrase

Le DNS traduit un nom de domaine (ex. example.com) en adresse IP. Chaque site visité génère une requête DNS identifiable.

Ce qu’une requête DNS expose

  • Le domaine exact consulté
  • L’heure précise
  • La fréquence des visites
  • Le résolveur utilisé (FAI, Google, Cloudflare, VPN…)

Le contenu ne fuit pas, mais le parcours est visible. C’est suffisamment riche pour établir un profil.

Fuite DNS vs fuite IP

Fuite IP
Votre IP réelle apparaît hors tunnel.
Gravité immédiate : localisation et identité réseau exposées.

Fuite DNS
Votre navigation est visible, mais pas votre IP.
Gravité variable selon votre modèle de menace.

  • Usage standard : exposition non critique mais réelle.
  • Usage sensible : fuite DNS = critique (journalisme, militantisme, censure).

Un VPN fiable vise zéro fuite, quel que soit l’usage.

illustration : Quels enjeux les fuites DNS pour les VPN ?

Pourquoi une fuite DNS se produit (les 4 causes réelles)

Les fuites DNS ne sont pas des anomalies rares. Elles proviennent de comportements normaux des systèmes et des applications.

Cause 1 : L’OS choisit l’interface « la plus efficace »

Votre appareil dispose de plusieurs interfaces réseau : Wi-Fi, Ethernet, tunnel VPN. L’OS choisit automatiquement celle qu’il considère la plus adaptée.

Si le VPN n’impose pas correctement sa priorité, certaines requêtes DNS passent par l’interface physique.

Fréquence :

  • Windows : fréquente
  • macOS : intermittente
  • Linux : rare

En pratique :
Si l’OS estime que la connexion Wi-Fi répond plus vite que l’interface VPN, il l’utilise pour résoudre les noms de domaine. Le VPN reste actif, mais les requêtes DNS sortent du tunnel.

Cause 3 : IPv6 non pris en charge ou mal bloqué

De nombreux VPN sont encore IPv4-only. Si votre réseau et votre système utilisent IPv6, certaines requêtes DNS (AAAA) peuvent sortir directement.

Symptôme dans un test DNS :

  • IPv4 = serveurs du VPN ✅
  • IPv6 = serveurs de votre FAI ❌

→ Fuite confirmée.

Conséquence :

  • Trafic protégé (IPv4)
  • Trafic non protégé (IPv6)

Et le VPN ne vous le signale généralement pas.

Cause 2 : Split tunneling sans gestion du DNS

Le split tunneling permet d’exclure une application du tunnel VPN. Mais si le VPN ne gère pas le split DNS, alors :

L’application exclue résout ses noms de domaine hors tunnel, via votre FAI.

Exemple : vous excluez Netflix → ses requêtes DNS passent par votre FAI. Certaines apps partageant la même pile réseau peuvent suivre.

Conséquence : une partie de votre activité sort du tunnel sans que vous vous en rendiez compte.

Cause 4 : Applications utilisant un résolveur DNS embarqué (DoH/DoT)

Certaines applications gèrent leurs propres requêtes DNS via DoH/DoT.

  • Firefox (DoH Cloudflare)
  • Chrome (DoH Google)
  • Messageries, jeux, apps mobiles

Effet réel :

  • Ces requêtes ne passent plus par le tunnel VPN
  • Elles partent directement vers Cloudflare/Google/etc.

Nuance essentielle : ce n’est pas une fuite involontaire : l’application contourne volontairement le système. Mais l’effet est identique.

fuite

Tester une fuite DNS : méthode progressive

Test rapide (via navigateur)

  • Activez votre VPN
  • Rendez-vous sur :
  • Exécutez le test complet
  • Analysez les serveurs DNS détectés

Résultats corrects

  • Serveurs DNS du VPN
  • OU serveurs configurés volontairement (ex. Cloudflare) situés dans le pays du serveur VPN

Logo DNS leak test

Résultats anormaux

  • Serveurs DNS de votre FAI
  • Serveurs localisés dans votre pays alors que le VPN est connecté ailleurs
  • Serveurs DNS IPv6 du FAI

Une seule ligne hors VPN suffit à conclure à une fuite.

Limites du test rapide

  • Ne teste que le navigateur
  • IPv6 parfois invisible
  • Dépendance à un service tiers

Pour confirmer → test avancé.

Test avancé : capture réseau (référence absolue)

Wireshark (Windows, macOS, Linux)

Outil de référence.

Filtre :

dns

ou

udp.port == 53 || tcp.port == 53

Si des requêtes DNS apparaissent sur l’interface physique → fuite avérée.

tcpdump (Linux / macOS)

sudo tcpdump -i en0 -n port 53

(Identifiez l’interface avec ifconfig.)

Idéal pour vérifier en direct ou analyser des comportements intermittents.
Illustration : Tux, la mascotte de Linux

Outils recommandés pour détecter une fuite DNS

Voici les outils recommandés pour leur pertinence.

DNSLeakTest.com : Extended

  • Pour : diagnostic rapide
  • Avantages : simple, lisible
  • Limites : pas d’IPv6, dépendance à un service tiers

Wireshark

  • Pour : validation définitive
  • Avantages : norme professionnelle
  • Limites : nécessite un minimum d’analyse réseau

BrowserLeaks DNS

  • Pour : analyse plus fine
  • Avantages : IPv6 détecté
  • Limites : limité au navigateur

tcpdump

  • Pour : alternative CLI
  • Avantages : léger, direct
  • Limites : nécessite de connaître l’interface réseau

IPLeak.net (AirVPN)

  • Pour : tests avancés
  • Avantages : excellente détection IPv6
  • Limites : interface moins pédagogique

Outils intégrés navigateurs

  • Firefox : about:networking#dns
  • Chrome : chrome://net-internals/#dns

Corriger une fuite DNS : la check-list opérationnelle

Ce que doit faire un VPN fiable

  • Kill switch DNS
  • DNS binding strict
  • Gestion correcte ou blocage propre de l’IPv6
  • Maintien des règles DNS lors des reconnexions

Ce que vous pouvez faire

  • Désactiver DoH/DoT dans le navigateur
  • Désactiver IPv6 si le VPN ne le supporte pas (temporaire)
  • Limiter le split tunneling
  • Tester après chaque mise à jour OS/VPN
  • Identifier les apps utilisant un DNS interne (messageries, jeux, P2P)

DoH/DoT : protection ou contournement ?

DoH/DoT protège vos requêtes DNS contre votre FAI ou un réseau local hostile. Mais avec un VPN actif, il crée un conflit de routage :

  • Le VPN perd le contrôle du DNS
  • Les requêtes partent vers Cloudflare, Google, Quad9…
  • Vous transférez la confiance du VPN vers un résolveur tiers

Quelle configuration choisir ?

Si vous faites confiance au VPN : désactivez DoH/DoT dans le navigateur.

Si vous ne faites pas confiance au VPN : DoH/DoT local est cohérent… mais interrogez l’intérêt d’utiliser ce VPN.

Si vous combinez les deux sans comprendre : vous cassez la chaîne de protection.

Ce qu’une fuite DNS ne montre PAS

Pour éviter les fantasmes :

  • Votre IP réelle
  • Le contenu de vos communications chiffrées
  • Vos
    identifiants et mots de passe
  • Les pages exactes visitées sur un domaine

Ce qu’elle montre réellement

  • Les domaines consultés
  • La fréquence
  • La chronologie
  • Les services utilisés

Suffisant pour profiler un comportement.

Conclusion : La fuite DNS, baromètre de la maturité d’un VPN

Une fuite DNS n’est pas un détail technique. C’est un test de maturité structurelle : un VPN fiable doit maîtriser les interfaces réseau, l’IPv6, le split tunneling, les résolveurs DNS et les reconnexions.

Un VPN qui laisse échapper des requêtes DNS ne protège pas votre activité : il la fragmente.

Avant de conclure que votre VPN est fiable :
Effectuez un test DNS complet. La fiabilité ne s’évalue pas sur une promesse marketing, mais sur un comportement observable.

Action immédiate

Ouvrez DNSLeakTest en mode Extended, connectez votre VPN et lancez le test.
Si un serveur DNS de votre FAI apparaît : vous avez une fuite.
Recommencez après une reconnexion réseau pour confirmer.

Et si vous détectez une fuite ?

Vérifiez la configuration du client VPN (kill switch DNS, gestion IPv6). Si elle persiste malgré une configuration correcte, c’est un signal direct sur la maturité technique de votre fournisseur.

Pages associées

  • Vitesse des protocoles VPN — impact des protocoles, de l’encapsulation et du MTU sur les performances et le comportement du tunnel.
  • Qu’est-ce qu’un tunnel VPN ? — rôle de l’encapsulation et de la structure du tunnel dans la vitesse et la stabilité.
  • Protocoles VPN — présentation détaillée des architectures (WireGuard, OpenVPN, IKEv2, IPsec…) qui influencent directement les performances.
Share This