Titikey
AccueilTitikey### **AdGuard 7.5 : La mise à jour qui révolutionne votre vie privée avec ECH**

### **AdGuard 7.5 : La mise à jour qui révolutionne votre vie privée avec ECH**

07/07/2026
Alors que beaucoup pensaient que le HTTPS suffisait à tout, AdGuard complète le puzzle de la protection de la vie privée avec sa mise à jour 7.5 (confirmée en version 7.17 pour Windows, avec une mise à jour CoreLibs synchronisée pour Android et Mac). Cette version fait un grand pas en avant avec le support expérimental d’**Encrypted ClientHello (ECH)** et apporte le filtrage instantané DNS-over-HTTPS à tous vos appareils. Si vous vous demandez ce que votre opérateur peut voir des sites que vous visitez, cette mise à jour mérite cinq minutes de votre attention.

Qu’est-ce que l’ECH et pourquoi est-ce la dernière pièce du puzzle de la vie privée ?

Chaque fois que vous ouvrez un site en HTTPS, votre navigateur envoie d’abord un message de « bonjour » au serveur – c’est le ClientHello de la poignée de main TLS. Le problème, même si le contenu de la page est entièrement chiffré, c’est que ce premier « bonjour » contient en clair le nom de domaine du site que vous voulez visiter (Server Name Indication, ou SNI). Votre opérateur, l’administrateur du WiFi de l’aéroport, ou même un dispositif d’écoute dans le couloir peut voir que vous accédez à `example.com` – sans savoir ce que vous y faites, mais le simple fait « d’aller où » n’a plus aucun secret. L’ECH vient résoudre ce problème gênant. Il chiffre l’intégralité du ClientHello, seul vous et le serveur cible pouvez le déchiffrer. Un intermédiaire ne voit que vous vous connectez à un nœud CDN prenant en charge l’ECH, mais quant au site exact – bonne chance. En d’autres termes, l’ECH permet au HTTPS d’assurer un chiffrement de bout en bout, du premier au dernier paquet.

Comment AdGuard 7.5 y parvient-il ? ECH global, sans dépendre du navigateur

Auparavant, l’ECH ne pouvait être utilisé que par un navigateur isolé (comme Chrome ou Firefox avec une option expérimentale) et dépendait de la volonté du site. L’approche d’AdGuard est totalement différente : il intercepte le trafic directement au niveau système. Dans les notes de mise à jour de la version Android, les développeurs plaisantent même : « La première étape pour supporter l’ECH, c’est d’abord d’apprendre à le « supprimer » ». En effet, AdGuard dispose d’un interrupteur interne `pref.dns.block.ech` qui, combiné à `pref.https.redirect.doh`, permet d’abord d’intercepter les requêtes ECH natives, puis de les relancer via AdGuard lui-même avec une véritable connexion ECH. Ainsi, n’importe quelle application, n’importe quel navigateur sur votre téléphone, dès lors que le trafic passe par AdGuard, bénéficie des avantages de l’ECH – sans attendre que les développeurs adaptent leurs apps. Les versions Windows 7.17 et Mac 2.10 intègrent également cette fonctionnalité expérimentale. Pour que l’ECH fonctionne correctement, AdGuard active par défaut le filtrage DNS. La raison est simple : les paramètres de chiffrement nécessaires à l’ECH sont obtenus via les enregistrements DNS HTTPS. Sans le module de protection DNS d’AdGuard, il est impossible d’obtenir ces paramètres localement pour effectuer le chiffrement global.

Vérifiez en trois étapes si votre ECH fonctionne vraiment

AdGuard propose une méthode de vérification extrêmement simple :
  1. Dans les paramètres avancés, assurez-vous que Block ECH est désactivé et que la protection DNS est activée.
  2. Activez l’option expérimentale Use Encrypted ClientHello (sous Windows/Android dans « Paramètres avancés », sur Mac dans la configuration « Réseau »).
  3. Accédez à crypto.cloudflare.com/cdn-cgi/trace ; si vous voyez sni=encrypted, ou rendez-vous sur www.cloudflare.com/ssl/encrypted-sni/ et si vous obtenez SSL_ECH_STATUS: success, alors l’ECH est bien opérationnel.
Si le test échoue, ne vous inquiétez pas : pour l’instant, l’ECH nécessite que le serveur le prenne en charge (la plupart des sites de Cloudflare l’ont déjà activé). Comme il s’agit d’une fonctionnalité expérimentale, elle peut parfois ralentir légèrement la navigation – l’équipe travaille actuellement à l’optimisation des performances.

Bien plus que l’ECH : filtrage DoH en temps réel et moteur repensé

Les améliorations de confidentialité de la série AdGuard 7.5 vont bien au-delà de l’ECH. Le moteur de filtrage CoreLibs passe de la version 1.12.80 à 1.14.59, avec plusieurs améliorations majeures :
  • Filtrage DNS-over-HTTPS à la volée : auparavant, le filtrage des requêtes DoH était plutôt passif. Désormais, AdGuard peut intercepter et rediriger en temps réel les requêtes DNS sécurisées vers le proxy local, empêchant tout contournement du filtrage par DoH. Cela signifie que toute application tentant de s’échapper via un DNS chiffré sera rattrapée.
  • ECH GREASE et extraction des paramètres : à partir des requêtes DNS HTTPS interceptées, AdGuard extrait la configuration ECH et injecte des valeurs GREASE dans le trafic, empêchant les intermédiaires non compatibles avec l’ECH de perturber la connexion, tout en permettant aux connexions compatibles de fonctionner correctement.
AccueilBoutiqueCommandes