Vous voulez bloquer les sites pour adultes sur Windows 11 et Microsoft Edge sans installer de logiciels ni activer un « contrôle parental » ? Voici une méthode robuste basée sur le DNS, compatible avec la navigation InPrivate et simple à maintenir.
Vue d’ensemble : la méthode la plus fiable (sans applis)
Le moyen le plus propre et le plus durable pour empêcher l’accès aux sites pour adultes, y compris en navigation privée, est de filtrer au niveau DNS. Le principe est simple : vous remplacez les serveurs DNS de votre réseau par des résolveurs “Family” qui bloquent les catégories adultes. L’idéal est de configurer le routeur (plutôt que chaque PC) ; ainsi, tous les appareils de la maison en bénéficient automatiquement.
Ensuite, pour éviter tout contournement, il faut neutraliser ou aligner le DNS sécurisé (DoH) d’Edge/Windows, configurer IPv6 si votre réseau l’utilise, puis tester que le blocage fonctionne.
Pourquoi votre test avec 208.67.222.123 / 208.67.220.123 a pu échouer
Ces adresses IPv4 sont celles d’OpenDNS FamilyShield (blocage prêt à l’emploi). Si le filtrage n’a pas marché, l’une des causes suivantes est probable :
- Edge (ou Windows) utilisait le DNS sécurisé (DoH) du navigateur, qui ignore les DNS saisis dans l’adaptateur réseau. Solution : désactiver DoH dans Edge ou le pointez vers le même fournisseur “Family” (Cloudflare Family, AdGuard Family…).
- IPv6 était actif : si vous n’avez renseigné que des DNS IPv4, les requêtes peuvent passer en IPv6 sans filtrage. Solution : renseigner aussi les DNS IPv6 du service choisi ou désactiver IPv6.
- Le routeur a “réécrit” les DNS via DHCP (il force ses propres DNS). Solution : configurer le routeur directement plutôt que le PC.
Choisir un résolveur DNS “Family” (gratuit)
Voici les services gratuits les plus utilisés. Ils bloquent au minimum la pornographie ; certains ajoutent le malware/phishing et la mise en place de SafeSearch.
| Service | Objectif | IPv4 | IPv6 | DoH (modèle) | DoT (hôte) | SafeSearch | Compte requis | Points forts |
|---|---|---|---|---|---|---|---|---|
| OpenDNS FamilyShield | Blocage adulte + proxys/anonymizers | 208.67.222.123208.67.220.123 | Disponibles (à récupérer chez le fournisseur) | — | — | Partiel (via catégorisation) | Non | Prêt à l’emploi, très simple |
| Cloudflare “1.1.1.1 for Families” | Malware + adulte | 1.1.1.31.0.0.3 | 2606:4700:4700::11132606:4700:4700::1003 | https://family.cloudflare-dns.com/dns-query | family.cloudflare-dns.com | Non (mais catégories adultes bloquées) | Non | Très rapide, DoH/DoT officiels |
| AdGuard DNS – Family Protection | Adulte + malware + SafeSearch/YouTube restreint | 94.140.14.1594.140.15.16 | 2a10:50c0::bad1:ff2a10:50c0::bad2:ff | https://dns-family.adguard-dns.com/dns-query | dns-family.adguard-dns.com | Oui (forcé par DNS) | Non | Filtrage strict, SafeSearch/YouTube |
| CleanBrowsing – Family Filter | Adulte + SafeSearch | 185.228.168.168185.228.169.168 | Disponibles | Disponibles | Disponibles | Oui (forcé) | Non | Filtres familiaux robustes |
Astuce : si vous hésitez, commencez par Cloudflare Family (rapide, simple, DoH/DoT) ou AdGuard Family (filtrage plus strict et SafeSearch forcé).
Configuration recommandée sur le routeur (tous les appareils protégés)
Chaque interface d’administration est différente, mais la logique est la même. Recherchez les champs « Serveurs DNS » ou « DNS statiques », souvent dans Internet/WAN, LAN/DHCP ou Paramètres réseau.
- Notez les DNS actuels pour pouvoir revenir en arrière si besoin.
- Renseignez les DNS “Family” choisis (IPv4 et, si disponible sur votre réseau, IPv6).
- Enregistrez, puis redémarrez le routeur.
- Sur les appareils (PC, smartphone), faites Oublier / Rejoindre le Wi‑Fi ou redémarrez pour renouveler le bail DHCP.
Repères usuels selon les fabricants (terminologie fréquente) :
| Où chercher | Intitulés courants | Ce qu’il faut faire |
|---|---|---|
| Paramètres Internet / WAN | DNS primaire / secondaire, DNS statiques | Remplacer par les IPv4 (et IPv6 si proposés) |
| LAN / DHCP | Serveurs DNS fournis aux clients | Renseigner les mêmes DNS “Family” |
| Avancé / Sécurité | DNS Relay/Proxy, Forcer DNS | Activer « relayer » ou « forcer » vers les DNS choisis si proposé |
| IPv6 | Serveurs DNS IPv6, RA/DHCPv6 | Ajouter les adresses IPv6 « Family » ou désactiver IPv6 |
Important : certains routeurs imposent leurs propres DNS aux clients (via DHCP) ou réécrivent le port 53. D’où l’intérêt de configurer le routeur lui‑même avec les DNS « Family » afin d’éviter toute divergence.
Vérifier immédiatement après la configuration routeur
- Sur Windows, ouvrez Terminal (Admin) et exécutez :
ipconfig /flushdns ipconfig /renew - Faites un test rapide dans Edge :
– Pour Cloudflare Family, le domaine de testnudity.testcategory.comdoit être bloqué.
– Pour OpenDNS, la page de bienvenuewelcome.opendns.comdoit confirmer l’utilisation d’OpenDNS.
(Saisissez ces adresses dans la barre d’URL telles quelles ; elles servent uniquement de tests.)
Plan B : configurer uniquement le PC Windows 11
Si vous ne pouvez pas toucher au routeur (réseau d’entreprise, box verrouillée…), vous pouvez configurer l’ordinateur localement. Ce n’est pas aussi solide qu’un réglage routeur, mais cela fonctionne bien à condition d’aligner DoH et de gérer IPv6.
Réglage via l’interface Windows
- Ouvrez Paramètres > Réseau et Internet, puis Wi‑Fi (ou Ethernet) > Propriétés du matériel.
- Cliquez sur Modification de l’attribution du serveur DNS > Manuel.
- Activez IPv4, saisissez les adresses DNS “Family” (ex.
1.1.1.3et1.0.0.3), et choisissez Chiffré uniquement (DNS over HTTPS) si vous souhaitez DoH système. - Si votre réseau utilise IPv6, cochez IPv6 et ajoutez aussi les DNS IPv6 “Family”.
- Validez, puis exécutez :
ipconfig /flushdns
Réglage en ligne de commande (administrateur)
Repérez d’abord le nom de votre interface réseau :
netsh interface show interfacePuis affectez les DNS « Family » à l’interface (remplacez Wi-Fi par votre interface) :
netsh interface ip set dns name="Wi-Fi" static 1.1.1.3 primary
netsh interface ip add dns name="Wi-Fi" 1.0.0.3 index=2Pour IPv6 si nécessaire :
netsh interface ipv6 add dnsserver "Wi-Fi" 2606:4700:4700::1113 index=1
netsh interface ipv6 add dnsserver "Wi-Fi" 2606:4700:4700::1003 index=2Éviter tout contournement via le « DNS sécurisé » (DoH) d’Edge
Edge peut utiliser son propre DoH, indépendant du DNS du système. Deux approches existent : désactiver DoH dans Edge ou l’aligner sur le même fournisseur “Family”.
Option A : désactiver DoH dans Edge (simple)
- Edge > Paramètres > Confidentialité, recherche et services.
- Section Sécurité : désactivez « Utiliser le DNS sécurisé pour indiquer la manière dont les recherches d’adresses du réseau sont mises à niveau à l’aide du DNS sécurisé ».
- Redémarrez Edge.
Option B : forcer DoH vers le fournisseur “Family”
Dans la même page, laissez DoH activé mais sélectionnez Personnalisé (ou « Choisir un fournisseur ») et indiquez l’URL DoH du service :
- Cloudflare Family :
https://family.cloudflare-dns.com/dns-query - AdGuard Family :
https://dns-family.adguard-dns.com/dns-query
De cette façon, même si un utilisateur modifie les DNS de la carte réseau, Edge « partira » quand même vers le résolveur filtrant.
Option avancée (Pro/Entreprise) : verrouiller par stratégie
Sur Windows 11 Pro/Entreprise, vous pouvez figer ces réglages via Stratégie de groupe ou Registre.
Registre (exemples)
Créez/éditez les clés sous HKLM\SOFTWARE\Policies\Microsoft\Edge :
Windows Registry Editor Version 5.00
\[HKEY\_LOCAL\_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
; Désactiver complètement DoH dans Edge
"DnsOverHttpsMode"="off"
; OU forcer DoH vers Cloudflare Family
; "DnsOverHttpsMode"="secure"
; "DnsOverHttpsTemplates"="[https://family.cloudflare-dns.com/dns-query](https://family.cloudflare-dns.com/dns-query)"
; Désactiver QUIC (utile pour certaines politiques réseau)
"QuicAllowed"=dword:00000000
; Supprimer InPrivate si souhaité (voir section dédiée)
"InPrivateModeAvailability"=dword:00000001 Après import, exécutez :
gpupdate /forceVérifiez dans edge://policy que les politiques sont appliquées.
Tester correctement le blocage (Windows/Edge)
Les tests doivent couvrir le DNS, le cache et le navigateur.
- Purger les caches :
ipconfig /flushdns - Vérifier la résolution d’un domaine “adulte” connu (sans l’ouvrir) :
nslookup <nom-de-domaine-adulte>Le résultat doit être NXDOMAIN ou renvoyer vers une page de blocage. - Tester le service choisi :
– Cloudflare Family :nudity.testcategory.comdoit être bloqué.
– OpenDNS FamilyShield :welcome.opendns.comdoit afficher la confirmation.
– AdGuard Family : un contenu adulte doit rediriger/échouer, et SafeSearch s’activera sur les moteurs. - Edge InPrivate : ouvrez une fenêtre InPrivate et refaites les tests. Le blocage doit être identique (le DNS opère en dessous du navigateur).
À propos d’InPrivate : le DNS filtre aussi en navigation privée
Le filtrage DNS est indépendant du mode de navigation. Vous n’avez pas besoin d’interdire InPrivate pour bloquer les contenus adultes. Néanmoins, si vous souhaitez supprimer le bouton InPrivate dans Edge (en environnement Pro/Entreprise), utilisez la stratégie InPrivateModeAvailability=1 comme montré ci‑dessus.
Android : solution rapide sans application
Sur Android 9+ : Paramètres > Réseau et Internet > DNS privé > Nom d’hôte du fournisseur :
- Cloudflare Family :
family.cloudflare-dns.com - AdGuard Family :
dns-family.adguard-dns.com(oufamily.adguard-dns.comselon l’implémentation)
Cette configuration s’applique uniquement à l’appareil Android concerné. Elle ne nécessite aucune application ni compte.
Limites, durcissement et bonnes pratiques
- VPN / Tor : un VPN ou Tor peut contourner le filtrage DNS en chiffrant le trafic. Si nécessaire, bloquez/limitez ces usages au niveau du routeur (par exemple, interdisez les ports et protocoles utilisés par les VPN) et l’accès aux applications correspondantes.
- IPv6 : si votre fournisseur d’accès active IPv6, configurez aussi les DNS IPv6 « Family ». À défaut, désactivez IPv6 sur le routeur/le PC pour éviter un contournement involontaire.
- QUIC (HTTP/3) : certaines politiques réseau préfèrent le désactiver (Edge : politique
QuicAllowed=0) pour centraliser l’inspection et limiter certains contournements. - Redirection DNS (routeur avancé) : si votre routeur le permet, redirigez tout le trafic sortant UDP/TCP 53 vers le résolveur « Family » (NAT/Firewall « DNS hijack »). Ainsi, même si un client tente d’utiliser d’autres DNS, il sera forcé vers les bons. Vous pouvez aussi bloquer TLS 853 (DoT) sauf vers votre hôte DoT autorisé.
- Fichier hosts : ne comptez pas dessus pour filtrer le contenu adulte. Il ne gère pas les milliers de domaines, sous‑domaines et CDN et se contourne facilement.
- Comptes administrateur : sur le PC, limitez les droits admin. Empêchez les utilisateurs de modifier les DNS locaux, les paramètres d’Edge ou d’installer des extensions de contournement.
Guide express (check‑list)
- Sur le routeur : définissez les DNS « Family » (IPv4 + IPv6). Redémarrez le routeur.
- Sur Edge : désactivez DoH ou pointez‑le vers le même fournisseur (Cloudflare/AdGuard).
- Sur Windows :
ipconfig /flushdnspuis redémarrage rapide du PC (ou rétablissez la connexion réseau). - Test : vérifiez un domaine de test (
nudity.testcategory.com) ou la page de confirmation (welcome.opendns.com). - Durcissement (optionnel) : bloquez VPN/Tor, désactivez QUIC, redirigez le port 53 et mettez en place les politiques Edge si nécessaire.
Dépannage : que faire si le blocage ne fonctionne pas ?
- Le PC garde de vieux DNS : exécutez
ipconfig /flushdnspuisipconfig /renew. Redémarrez Edge. - Le routeur n’applique pas les DNS : vérifiez que « DNS statiques » sont bien actifs côté WAN et côté DHCP/LAN ; certaines box n’exposent qu’un seul des deux.
- IPv6 contourne : ajoutez les DNS IPv6 du service « Family » ou désactivez IPv6.
- Edge force DoH : dans Paramètres > Confidentialité > Sécurité, désactivez « Utiliser le DNS sécurisé » ou définissez l’URL DoH du même fournisseur.
- Un appareil spécifique échappe au blocage : il utilise peut‑être un DNS statique. Reprenez la configuration réseau de l’appareil et remettez l’attribution DNS en « Automatique/DHCP ».
- Résolveur choisi en panne : essayez un autre service (ex. passez de FamilyShield à Cloudflare Family) et re‑testez.
FAQ rapide
Est‑ce que cela fonctionne en navigation InPrivate ?
Oui. Le DNS opère au niveau réseau, pas du navigateur. InPrivate n’a aucune incidence sur la résolution de noms.
Dois‑je bloquer InPrivate ?
Non pour le filtrage. Mais vous pouvez le désactiver par politique (InPrivateModeAvailability=1) si vous souhaitez limiter les usages.
Dois‑je configurer DoH système (Windows) en plus du routeur ?
Ce n’est pas obligatoire. L’essentiel est d’éviter les divergences : soit vous désactivez DoH dans Edge/Windows, soit vous l’alignez sur le même fournisseur « Family » afin que tout le monde consulte la même politique de filtrage.
Quel service choisir ?
Pour la simplicité et la rapidité, Cloudflare Family. Pour un filtrage familial plus strict (SafeSearch et YouTube restreint forcés), AdGuard Family. Si vous souhaitez zéro compte et un mode « plug‑and‑play », OpenDNS FamilyShield est très bien.
En résumé
Pour bloquer les sites pour adultes sur Windows 11/Edge sans applis : configurez un DNS “Family” sur le routeur, neutralisez/alimentez le DNS sécurisé (DoH) d’Edge avec le même fournisseur, renseignez aussi les IPv6, puis testez (domaines de test, page de confirmation). Ajoutez, si nécessaire, du durcissement (QUIC, VPN, redirection du port 53, politiques Edge). Cette approche reste simple, ne requiert aucun logiciel tiers et protège tout votre réseau, y compris en navigation InPrivate.