Tuto Pi-hole : bloquer pubs et trackers via ton DNS

Pourquoi Pi-hole, et pourquoi via le DNS ?

Tu vois ces bannières qui clignotent, les trackers qui te suivent d'un site à l'autre, et les applis qui "téléphonent à la maison" en douce ? Moi, ça m'a saoulé le jour où j'ai branché une tablette à un réseau familial : sans adblock, c'était un festival. Et sur la TV connectée, impossible d'installer une extension. Du coup j'ai cherché un truc qui marche partout, sans bidouiller chaque appareil un par un.

Pi-hole, c'est exactement ça : un bloqueur de pubs/trackers au niveau du DNS. En gros, au lieu de laisser tes appareils résoudre les noms de domaine n'importe comment, tu passes par Pi-hole qui répond "non" quand ça concerne des domaines de pub ou de tracking. Résultat : moins de pubs, moins de collecte, parfois même des pages qui chargent plus vite. Et surtout : ça couvre tout le réseau, du smartphone à la console, en passant par le PC et la TV.

Je te le dis tout de suite : Pi-hole ne remplace pas à 100% un adblock dans le navigateur. Sur YouTube, par exemple, c'est souvent limité parce que les pubs viennent des mêmes domaines que la vidéo. Mais pour le reste (trackers, télémétrie, pubs classiques), c'est franchement efficace.

Ce qu'il te faut avant de te lancer

Question simple : tu veux le mode "je branche et j'oublie" ou le mode "je touche au réseau et je comprends ce que je fais" ? Pi-hole peut être simple, mais comme on touche au DNS, une petite erreur peut te couper Internet. Rien de dramatique, mais je préfère te prévenir.

Voici ce que je recommande pour une installation propre :

• Un Raspberry Pi (n'importe lequel avec Ethernet, même un vieux Pi 2/3) ou une VM / un mini-PC / un NAS (Docker marche très bien)
• Une connexion stable (idéalement en Ethernet, le Wi‑Fi marche mais j'ai eu des micro-coupures sur un Pi Zero W)
• Accès à l'interface de ton routeur (pour changer le DNS côté DHCP)
• Une IP fixe pour Pi-hole (sinon ton routeur va le "perdre" au prochain bail DHCP)

Personnellement, je préfère l'Ethernet. La première fois, j'avais mis Pi-hole sur un Pi en Wi‑Fi dans un coin. Ça marchait... jusqu'au jour où le Wi‑Fi a fait des siennes. Résultat : à la maison, plus personne n'arrivait à résoudre les sites. Depuis, DNS = câble. Bref, évite-toi ce stress.

Installer Pi-hole (la méthode simple)

Bon, passons au concret. Si tu pars sur un Raspberry Pi avec Raspberry Pi OS (ou Debian/Ubuntu), l'installation la plus directe se fait via un script officiel. Je sais, "script curl | bash", ça fait toujours un peu peur... mais Pi-hole est un projet connu, et c'est la méthode la plus utilisée. Si tu veux être parano (je te juge pas), tu peux lire le script avant de l'exécuter.

1) Préparer la machine

Je pars du principe que tu as déjà ton OS installé et un accès en SSH. Mets ton système à jour :

Sur Debian/Ubuntu/Raspberry Pi OS :

sudo apt update && sudo apt upgrade -y

Pense aussi à fixer l'IP. Tu peux le faire de deux façons : réservation DHCP sur le routeur (mon choix) ou IP statique côté machine. La réservation DHCP, c'est propre et ça évite de toucher aux fichiers réseau du système.

2) Lancer l'installation

Commande classique :

curl -sSL https://install.pi-hole.net | bash

L'assistant va te poser quelques questions. Je te donne mes choix "qui marchent bien" :

Interface réseau : choisis l'Ethernet si tu l'as. Upstream DNS (le DNS de sortie) : j'aime bien Cloudflare (1.1.1.1) pour la vitesse, ou Quad9 (9.9.9.9) pour le côté sécurité. Si tu veux un truc "privacy" au max, tu peux regarder un résolveur plus strict, mais honnêtement Cloudflare/Quad9 font déjà le job pour beaucoup de gens.

Listes de blocage : garde les listes par défaut au début. Le piège, c'est de vouloir tout bloquer tout de suite, puis de se retrouver avec des sites cassés. Après, tu affines.

3) Accéder à l'interface web

À la fin, Pi-hole te donne :

- l'URL d'admin (souvent http://pi.hole/admin ou l'IP de la machine)
- un mot de passe

Si tu l'as perdu : tu peux le changer avec :

pihole -a -p

Le point clé : brancher Pi-hole à ton routeur (DNS pour tout le réseau)

Tu peux installer Pi-hole, regarder les stats, et te dire "ok cool"... mais tant que ton réseau ne pointe pas vers lui, ça ne filtre rien. Le truc, c'est de faire en sorte que le DHCP de ton routeur distribue Pi-hole comme serveur DNS.

Option A (recommandée) : DNS via DHCP sur le routeur

Tu vas dans l'interface de ton routeur, section LAN/DHCP. Tu cherches un champ du style :

DNS Server / DNS primaire / DNS 1

Tu mets l'IP de ton Pi-hole (ex : 192.168.1.10). Si ton routeur te demande un DNS secondaire, là c'est subtil :

Franchement, le "DNS secondaire" casse souvent le blocage, parce que certains appareils vont l'utiliser dès que ça leur chante. Moi je préfère :

- soit laisser vide si possible
- soit mettre... Pi-hole aussi (même IP si accepté, ou une deuxième instance Pi-hole si tu es motivé)

Après ça, tu redémarres tes appareils ou tu renouvelles le bail DHCP. Sur PC, un petit désactiver/réactiver la carte réseau, ou un reboot, et c'est réglé.

Option B : changer le DNS appareil par appareil

Ça marche, mais c'est pénible. Je l'ai fait au début "pour tester" sur mon PC et mon téléphone. Pratique pour valider que Pi-hole bloque bien, mais pour la vraie vie, tu vas oublier un appareil (TV, imprimante, tablette...) et tu vas te demander pourquoi ça affiche encore des pubs.

Tester que ça bloque vraiment (sans te prendre la tête)

Question bête : comment tu sais que tu n'as pas juste installé un joli tableau de bord ? Moi, je fais simple.

Déjà, dans l'interface Pi-hole, tu dois voir des requêtes DNS arriver quand tu utilises Internet. Si le compteur reste à zéro, ton routeur ne pointe pas vers Pi-hole, ou ton appareil utilise un DNS forcé ailleurs.

Tu peux aussi tester un domaine "pub" connu via la page de requêtes, ou utiliser un site de test de pub/trackers. Et le plus parlant : tu vas sur un site habituellement bourré de pubs avec un appareil "nu" (genre une TV ou un smartphone sans adblock). Si la page respire d'un coup, tu es bon.

Les réglages que je touche toujours après installation

Au début, j'avais tendance à vouloir tout optimiser. Mauvaise idée. Je te conseille plutôt de partir stable, puis d'ajuster. Cela dit, il y a 2-3 réglages que je fais quasiment à chaque fois.

1) Activer les mises à jour

Pi-hole bouge pas mal. Pour mettre à jour :

pihole -up

Je le fais de temps en temps, surtout quand je vois une annonce de fix DNS ou d'amélioration du moteur FTLDNS.

2) Gérer les "faux positifs" (whitelist)

Tu vas forcément tomber sur un service bloqué alors que tu en as besoin : un CDN un peu agressif, un service de paiement, un bouton de connexion... Ça m'est arrivé avec un site de streaming légal qui ne chargeait plus les vignettes. La solution : tu regardes dans "Query Log", tu repères le domaine bloqué au moment du bug, et tu l'ajoutes en autorisation.

Mon conseil : autorise au cas par cas. Évite de désactiver Pi-hole pour toute la maison juste parce qu'un site fait sa crise.

3) Ajouter une liste de blocage... mais pas 50

Oui, tu peux empiler des listes. Non, ça ne rend pas forcément ton réseau "plus propre". Après avoir testé des énormes listes, j'ai eu plus de casse que de bénéfice. Je préfère une base saine + quelques ajouts ciblés, puis une whitelist quand ça bloque trop.

Les pièges classiques (et comment je m'en sors)

On va être honnête : le plus gros souci de Pi-hole, ce n'est pas l'installation, c'est les appareils qui essaient de contourner ton DNS.

DoH/DoT et DNS "forcés"

Certaines applis et navigateurs utilisent DNS over HTTPS (DoH) et bypassent ton DNS local. Du coup Pi-hole ne voit rien. Sur Firefox/Chrome, tu peux désactiver DoH ou le configurer pour respecter le DNS du système. Sur Android, certaines options "DNS privé" peuvent aussi court-circuiter Pi-hole. Vérifie ce point si tu vois que ton téléphone continue à résoudre des domaines de pub sans passer par Pi-hole.

Si Pi-hole tombe, plus personne ne navigue

Oui. C'est le revers de la médaille. Si ton Pi-hole s'éteint, ton réseau perd son DNS (si tu n'as pas de secours). Deux solutions :

1. Mettre une deuxième instance Pi-hole (un autre Pi, une VM) et l'indiquer comme DNS secondaire sur le routeur
2. Prévoir une procédure rapide : remettre le DNS du routeur sur 1.1.1.1/9.9.9.9 le temps de réparer

Chez moi, j'ai fini par mettre un petit onduleur sur le matos réseau. Pas pour faire "datacenter", juste parce que les micro-coupures me gonflaient.

Mon avis après usage au quotidien

Après avoir testé Pi-hole sur plusieurs réseaux (maison, famille, petit bureau), je garde toujours la même conclusion : c'est un des meilleurs "upgrades" réseau que tu peux faire. Tu ne touches à rien sur les appareils, et tu récupères un réseau plus propre.

Le truc que j'aime le plus, c'est le côté visibilité : tu vois qui cause, vers où, et à quelle fréquence. La première fois que j'ai regardé les requêtes d'une TV connectée, j'ai halluciné. Ça discutait en permanence. Du coup, Pi-hole m'a servi autant à bloquer qu'à comprendre.

Si tu veux aller plus loin ensuite, tu peux ajouter un résolveur local (Unbound) pour réduire la dépendance aux DNS publics, ou carrément coupler avec des règles firewall pour forcer tout le monde à passer par Pi-hole. Mais honnêtement, rien qu'avec l'installation de base + DNS sur le routeur, tu vas déjà sentir la différence.

Conclusion : tu le branches, et tout le réseau respire

Si ton objectif c'est "bloquer pubs et trackers sans extension ni appli", Pi-hole via DNS, c'est pile le bon outil. Tu installes, tu mets l'IP dans le routeur, tu vérifies que les requêtes passent, et tu ajustes au fil de l'eau. Simple, efficace, et assez satisfaisant quand tu vois les compteurs de requêtes bloquées grimper.

Si tu veux, dis-moi quel routeur tu as (marque/modèle) et sur quoi tu comptes héberger Pi-hole (Raspberry, NAS, VM). Je peux te guider sur l'endroit exact où changer le DNS, parce que selon les interfaces, c'est parfois planqué dans un menu obscur.