Comment activer le DNS sur HTTPS (DoH) sous Windows 11

Configurer le DNS sur HTTPS (DoH) sous Windows peut s’avérer fastidieux, d’autant plus que, par défaut, le trafic DNS est transmis en clair, ce qui le rend vulnérable à l’interception ou à la manipulation par des tiers. Si la confidentialité vous préoccupe ou si vous souhaitez simplement éviter l’affichage du message « non chiffré », activer le DoH permet d’encapsuler vos requêtes DNS dans une connexion HTTPS chiffrée. Cependant, la procédure n’est pas des plus simples, notamment sous Windows 11, qui a récemment intégré cette fonctionnalité. Voici donc un résumé de la méthode qui a fonctionné pour moi, ainsi que des solutions à essayer si vous rencontrez des problèmes ou si le comportement n’est pas optimal.

Comment activer le DNS sur HTTPS depuis l’interface graphique Windows

Utilisez le menu Paramètres pour activer le DoH sur votre réseau.

  • Rendez-vous dans Paramètres —> Réseau et Internet —> sélectionnez votre interface réseau (Ethernet ou Wi-Fi).
  • Cliquez sur Propriétés (et pas seulement sur le nom de la connexion, cliquez bien pour accéder aux détails).
  • Faites défiler vers le bas jusqu’à la section d’attribution du serveur DNS et cliquez sur Modifier.
  • Dans le menu déroulant Modifier le DNS, choisissez Manuel, activez IPv4 ou IPv6 selon vos besoins, puis saisissez les adresses IP du serveur DNS qui prennent en charge DoH comme 1.1.1.1 et 1.0.0.1 de Cloudflare ou 8.8.8.8 et 8.8.4.4 de Google.
  • Voici le point délicat : l’option permettant d’activer le protocole DoH dans l’interface graphique de Windows n’est pas évidente. Contrairement à Windows Server ou à certains navigateurs, Windows 11 ne propose pas d’option explicite dans les paramètres réseau pour « Activer le DNS chiffré ».
  • Toutefois, vous pouvez forcer son utilisation sous Windows 11 en exécutant des commandes PowerShell (voir ci-dessous).Sur certaines configurations, Windows utilisera votre serveur DNS avec DoH s’il reconnaît que le serveur le prend en charge, mais cela n’est pas garanti sans ajustements supplémentaires.

Remarque : Si vous souhaitez que Windows privilégie explicitement DoH, vous devrez peut-être modifier les paramètres du registre ou utiliser des outils en ligne de commande. Car, bien sûr, Windows se doit de compliquer les choses inutilement.

Sous Windows 11, configurez via PowerShell

Voici comment j’ai réussi à faire fonctionner DoH. Vous pouvez ajouter votre serveur DoH préféré au système et imposer son utilisation via la ligne de commande. Cependant, certains utilisateurs signalent que sur certains ordinateurs portables ou configurations, ces commandes doivent être exécutées avec des privilèges d’administrateur, suivies d’un redémarrage. Par exemple, pour ajouter le serveur DoH de Cloudflare avec l’URL de filtrage (mode familial) :

$DNSServer = "1.1.1.3" # or 1.0.0.3 for family DNS Add-DnsClientDohServerAddress -ServerAddress $DNSServer -DohTemplate "https://family.cloudflare-dns.com/dns-query" -AllowFallbackToUdp $False -AutoUpgrade $True

Cette opération est censée ajouter le serveur DoH et configurer Windows pour qu’il l’utilise pour les requêtes chiffrées. Ensuite, mettez à jour les paramètres de votre interface pour privilégier ce serveur.

Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses $DNSServer

Ensuite, forcez explicitement l’utilisation de DoH en modifiant le registre ou via la stratégie de groupe. Pour le registre (à exécuter en tant qu’administrateur) :

New-ItemProperty -Path "HKLM:\System\CurrentControlSet\Services\Dnscache\Parameters" -Name "EnableAutoDoh" -Value 2 -PropertyType DWord -Force

Ce paramètre (valeur 2) est censé activer la prise en charge automatique de DoH. Sur certaines machines, cela échoue la première fois, puis fonctionne après un redémarrage. On ignore pourquoi, mais ça vaut le coup d’essayer.

Comment vérifier que DoH fonctionne sous Windows

Vérifiez auprès du moniteur de trafic réseau.

Sous Windows, vous pouvez utiliser l’outil intégré pktmon.exepour vérifier si les requêtes DNS sont chiffrées. Il est un peu lourd, mais fonctionnel. Commencez par supprimer tous les filtres existants :

pktmon filter remove

Ensuite, ajoutez un filtre pour le port 53 (DNS normal, UDP ou TCP) :

pktmon filter add -p 53

Démarrer la surveillance en temps réel :

pktmon start --etw -m real-time

Si tout est correctement configuré, vous devriez observer peu ou pas de trafic DNS sur le port 53, ce qui indique que tout le trafic DNS est acheminé via le port 443 chiffré en HTTPS. Malgré quelques erreurs ou retards occasionnels, cela a généralement confirmé le bon fonctionnement du protocole DoH sur ma configuration.

Une autre solution consiste à consulter l’ outil de vérification DNS sécurisé. Il peut vous indiquer si vos requêtes DNS sont chiffrées et si le protocole DoH est activé.

Bien sûr, les navigateurs comme Chrome, Firefox et Edge proposent leurs propres paramètres pour activer le DoH, ce qui ajoute une couche de chiffrement supplémentaire à votre DNS spécifique. Mais c’est un tout autre sujet.

Honnêtement, tout le processus est assez compliqué, surtout que Windows reste très vague sur la mise en œuvre. Néanmoins, si vous parvenez à le faire fonctionner, vous vous inquiéterez beaucoup moins des indiscrétions de tiers sur votre trafic DNS. Du moins, c’est l’idée.

Résumé

  • Utilisez les commandes PowerShell pour ajouter et imposer des serveurs DoH.
  • Modifiez les paramètres DNS de la carte réseau pour utiliser des adresses IP compatibles DoH.
  • Utilisez pktmon.exe pour vérifier si les requêtes DNS sont chiffrées.
  • Certaines modifications peuvent nécessiter un redémarrage ou des modifications du registre (soyez prudent !).
  • Les navigateurs gèrent le protocole DoH indépendamment, assurez-vous donc de l’activer également dans votre navigateur si nécessaire.

Conclure

Configurer le DNS sur HTTPS sous Windows n’est pas des plus intuitifs, mais c’est possible grâce à quelques manipulations en ligne de commande. Il arrive que la configuration ne soit pas immédiatement prise en compte ; un redémarrage ou une vérification de vos paramètres DNS peuvent alors s’avérer utiles. Une fois configurées, vos requêtes DNS seront beaucoup plus difficiles à intercepter, ce qui est un vrai soulagement. Croisons les doigts pour que cela permette à certains de faire fonctionner correctement leur DNS chiffré. Bonne chance !

Comment gérer les paramètres du pare-feu Windows Defender
Comment activer la journalisation des requêtes DNS et analyser les fichiers journaux sur un serveur Windows