sécurisé par conception

comment nous avons construit le_dns pour protéger votre vie privée et votre sécurité.

aperçu simplifié de l'architecture

le_dns est construit sur une architecture multi-couches où chaque composant a un rôle spécifique et un périmètre limité. Cette séparation des responsabilités minimise la surface d'attaque et garantit qu'une compromission d'une couche n'affecte pas les autres.

                          YOUR DEVICE
                               │
    ┌──────────────────────────┼───────────────────────┐
    │              │           │           │           │
:443/https       :53/udp     :53/tcp    :853/tls   :8853/quic
    │              │           │           │           │
    ▼              └───────────┴───────────┴───────────┘
┌───────────────────┐                          │
│ REVERSE PROXY     │                          ▼
│                   │         ┌─────────────────────────────────┐
│  • tls terminate  │         │ Secure DNS PROXY                │
│  • http/2         │         │                                 │
│  • doh routing    │         │  • rate limiting                │
└─────────┬─────────┘         │  • ddos protection              │
          │                   │  • query validation             │
          │  /dns-query       │  • response caching             │
          └──────────────────►│  • dot/doq termination          │
                              │  • any query blocking           │
                              └────────────────┬────────────────┘
                                               │
                                               ▼
                              ┌─────────────────────────────────┐
                              │ RECURSIVE RESOLVER              │
                              │                                 │
                              │  • dnssec validation            │
                              │  • direct root queries          │
                              │  • no upstream forwarding       │
                              │  • response rate limiting       │
                              └────────────────┬────────────────┘
                                               │
                                               ▼
                                        ROOT SERVERS
                                      & AUTHORITATIVE NS

protection ddos & amplification

le_dns implémente une protection multi-couches contre les attaques DDoS, les abus d'amplification et les utilisations malveillantes. Ces limites sont calibrées pour les utilisateurs légitimes à fort trafic (réseaux d'entreprise, CGN d'opérateurs) tout en bloquant les attaques.

Proxy DNS (première ligne) :

Filtrage des requêtes : Les requêtes ANY sont bloquées (principal vecteur d'amplification).
Limite de burst : 1000 QPS par IP (fenêtre 10s) - dépassé = DROP
Limite soutenue : 500 QPS par IP (fenêtre 60s) - dépassé = REFUSED
Blocage dynamique : >2000 QPS = blocage 5 min, floods NXDOMAIN = blocage 1 min

Response Rate Limiting (RRL) du résolveur :

Anti-amplification au niveau du résolveur. Les attaquants qui usurpent des IPs sources sont limités collectivement.
Réponses : 50/sec par /24 (IPv4) ou /48 (IPv6)
Slip : 1 requête sur 2 reçoit TC=1 (force un retry TCP pour les clients légitimes)
Limite NXDOMAIN : 20/sec par préfixe (stoppe l'énumération)
Plafond absolu : 100/sec par préfixe

Cache de réponses :

Un large cache réduit la charge du backend et absorbe les pics de requêtes.
TTL max : 24 heures | TTL min : 30 secondes | Serving périmé : 24 heures (si le backend tombe)

Pourquoi ces valeurs ? Un réseau d'entreprise avec des centaines d'utilisateurs derrière du NAT peut requêter à 500 QPS soutenu (~43 millions de requêtes/jour) sans problème. Seul le trafic de niveau attaque déclenche le blocage.

filtrage du trafic

Tout le trafic entrant passe par plusieurs couches de filtrage avant d'atteindre le résolveur :

Couche proxy inverse : Filtre les requêtes HTTP malformées, impose TLS 1.2+, et gère la négociation de protocole pour DoH.
Couche proxy DNS : Applique des limites de débit par IP (soutenu et burst), des limites de connexion par client, et valide le format des requêtes DNS.
Validation des requêtes : Les requêtes DNS malformées ou suspectes sont rejetées avant d'atteindre le résolveur.
Masquage de version : La version du logiciel et l'ID serveur sont cachés pour éviter le fingerprinting.
Restrictions de transfert de zone : AXFR/IXFR limités aux serveurs de noms autorisés (basé sur ACL).

chiffrement partout

Nous supportons plusieurs protocoles DNS chiffrés pour garantir que vos requêtes ne peuvent pas être interceptées :

DNS-over-HTTPS (DoH/DoH3) : Requêtes chiffrées via HTTPS/HTTP3 sur le port 443.
DNS-over-TLS (DoT) : Canal chiffré dédié sur le port 853.
DNS-over-QUIC (DoQ) : Protocole moderne avec latence réduite sur le port 8853.
Oblivious DoH (ODoH) : Garantit que nous ne pouvons pas voir à la fois votre IP et votre requête.
Validation DNSSEC : Toutes les réponses sont validées contre les signatures DNSSEC quand disponibles.

Toutes les connexions TLS utilisent des suites de chiffrement modernes avec TLS 1.2 minimum. Les certificats sont renouvelés et surveillés automatiquement.

confidentialité & conformité rgpd

En tant que service européen, nous prenons le RGPD très au sérieux. Voici comment nous protégeons votre vie privée :

Troncature d'IP (pseudonymisation) à la périphérie :

Les adresses IP sont tronquées (pseudonymisées) avant tout logging. Ce n'est pas une anonymisation complète — c'est une pseudonymisation selon l'Article 4(5) du RGPD, ce qui signifie que la donnée est encore considérée comme personnelle mais avec une identifiabilité significativement réduite.

Ce que nous tronquons :

IPv4 : 192.168.123.45 → 192.168.0.0 (préfixe /16)
IPv6 : Les 48 premiers bits conservés, les 80 bits restants mis à zéro (préfixe /48)

Où la troncature s'applique : Au niveau du proxy inverse Traefik (trafic DoH/HTTPS) et du proxy dnsdist (trafic DNS/DoT/DoQ), ce qui signifie que les services backend ne voient jamais votre IP complète.

Pourquoi pas une anonymisation complète ? Les préfixes /16 et /48 peuvent encore identifier des organisations ou des FAI, donc nous sommes légalement précis en parlant de pseudonymisation. Nous sommes honnêtes sur ce que nous faisons — pas de marketing trompeur.

Pas de logging des requêtes : Nous ne loguons pas les domaines que vous résolvez. Point.
Pas de traçage utilisateur : Pas de cookies, pas de fingerprinting, pas d'analytics sur les requêtes DNS.
Hébergement européen : Tous les serveurs sont situés dans l'Union Européenne (France, Allemagne).
Pas de partage de données avec des tiers : Vos données ne sont jamais vendues, partagées ou transférées à des tiers.
Conservation des données : Logs opérationnels (pour prévention des abus) conservés 7 jours ; métriques agrégées 31 jours.
Vos droits RGPD : Pour la politique de confidentialité complète et l'exercice de vos droits, consultez la Politique de Confidentialité.

pas de forwarding, vraie récursion

Contrairement à de nombreux services DNS qui transfèrent vos requêtes à des fournisseurs en amont (Google, Cloudflare, etc.), le_dns effectue une vraie résolution récursive :

Nous interrogeons directement les serveurs DNS racine.
Nous suivons la chaîne de délégation nous-mêmes.
Aucune requête n'est jamais transmise à des résolveurs tiers.
Cela signifie qu'aucune partie externe ne voit vos requêtes DNS.

Pourquoi c'est important :

Quand un service DNS transfère des requêtes, le fournisseur en amont voit tout votre trafic DNS. En effectuant une vraie récursion, nous garantissons que seuls les serveurs faisant autorité pour chaque domaine voient la requête — et ils ne voient que l'IP de notre serveur, pas la vôtre.

haute disponibilité & redondance

le_dns fonctionne sur plusieurs serveurs indépendants dans différentes localisations :

Distribution géographique : Serveurs dans plusieurs centres de données européens.
DNS round-robin : Le trafic est distribué sur tous les serveurs.
Fonctionnement indépendant : Chaque serveur peut fonctionner indépendamment si les autres tombent.
Failover automatique : Les serveurs non sains sont automatiquement retirés de la rotation.

construit sur l'open source

Nous faisons confiance à ce que nous pouvons vérifier :

Notre infrastructure est entièrement construite sur des logiciels open source.
Nous utilisons des composants standards de l'industrie, éprouvés en production.
Pas de boîtes noires propriétaires.
Pas de verrouillage fournisseur.

Chaque composant de notre stack est open source, audité par la communauté et approuvé par des milliers d'organisations dans le monde.

ce que nous ne faisons pas

Par souci de transparence totale, voici ce que nous ne faisons pas explicitement :

Nous ne loguons pas vos requêtes et ne construisons pas de profils de navigation.
Nous n'injectons pas de publicités et ne modifions pas les réponses DNS.
Nous ne vendons pas de données à des annonceurs ou des courtiers en données.
Nous ne nous conformons pas aux demandes de censure (nous n'y sommes pas légalement tenus en tant que non-FAI).
Nous n'utilisons pas de fournisseurs CDN qui pourraient logger votre trafic.
Nous ne nous associons pas avec des entreprises de surveillance.

contact & signalement

Si vous découvrez une vulnérabilité de sécurité ou avez des préoccupations concernant nos pratiques :

Problèmes de sécurité : security@ledns.eu
Préoccupations de confidentialité : privacy@ledns.eu
Support général : support@ledns.eu