Le dark web n'est qu'une portion d'internet à laquelle on accède via un autre format d'adresses. L'essentiel de ce qu'on y trouve est sans intérêt particulier : forums, miroirs de presse, moteurs de recherche et boîtes de réception pour lanceurs d'alerte. Le risque vient presque toujours de la manière dont on y arrive, pas de l'endroit où l'on atterrit.
Mis à jour en 2026. Ce guide explique ce qui se cache derrière le terme, pourquoi faire tourner Tor sur sa propre machine est une mauvaise idée pour des visites occasionnelles, et comment une session cloud isolée règle les vrais problèmes. Pas de discours sur les marketplaces, pas de mystique. Juste la mécanique.
Surface, deep et dark web, clairement
Le surface web, c'est tout ce que Google, Bing et DuckDuckGo indexent. Une portion réduite, quelques pour cent de l'ensemble. Le deep web, c'est tout ce qui se trouve derrière un login, un paywall ou une URL privée. La banque en ligne, le wiki interne d'une entreprise, un Google Doc non public, tout ça en fait partie. Ni secret ni dangereux, juste non indexable publiquement.
Le dark web, c'est autre chose. Un petit sous-ensemble de sites accessibles uniquement via un réseau superposé comme Tor ou I2P. Les adresses se terminent par .onion plutôt que par .com et transitent par plusieurs sauts chiffrés pour que ni le visiteur ne trouve le serveur, ni le serveur ne trouve le visiteur. Profond et caché ne veulent pas dire la même chose, et c'est la confusion la plus fréquente sur le sujet.
Quand cet article parle de « dark web », il s'agit uniquement des services .onion accessibles via Tor. C'est la seule partie qui demande des précautions particulières, et celle qui inquiète la plupart des gens lorsqu'ils lisent ce mot.
Pourquoi Tor sur ta propre machine est risqué
Installer Tor sur ton ordinateur paraît être le chemin le plus simple vers .onion. En pratique, ça déplace les risques au lieu de les éliminer. Cinq points reviennent sans cesse et mettent les utilisateurs de Tor en difficulté.
Ton FAI te voit. Tor chiffre les contenus, mais la connexion au premier nœud figure sur les listes publiques de tous les grands opérateurs. En France, en Allemagne ou aux États-Unis, ça a rarement des conséquences directes, mais ça peut finir dans un dossier. En Iran, en Chine ou en Biélorussie, c'est un motif de visite.
Tes téléchargements restent. Tor Browser protège la session, mais tout ce que tu enregistres atterrit sur ton vrai disque. Un PDF piégé, un script dans un document Word, une image avec tracker incorporé, tout survit à la fermeture du navigateur.
Ton fingerprint te trahit. Tor Browser uniformise l'essentiel du fingerprint, mais les mises à jour, les polices système, la taille d'écran et les plugins installés passent au travers. Plus de détails dans Browser Fingerprinting.
Un clic en dehors de Tor suffit. Si tu lis tes mails dans le même profil système et qu'un lien .onion arrive dans ta boîte, il s'ouvre dans ton navigateur par défaut, avec ta vraie IP. Un seul clic mal placé peut désanonymiser toute une enquête.
Les exploits JavaScript existent vraiment.Mozilla CVE-2016-9079 a sans doute été le cas le plus célèbre, exploité dans le cadre de l'Opération Pacifier du FBI pour identifier des utilisateurs Tor. Le correctif n'est arrivé que plusieurs jours plus tard. Ce genre de faille resurgit tous les quelques années. Sur ton propre appareil, les conséquences sont permanentes.
Ce que change une session de cloud browser
Un cloud browser tourne dans un conteneur sur un serveur, loin de ta machine. Tu le pilotes depuis une connexion navigateur ordinaire, et le trafic Tor reste entièrement à l'intérieur du conteneur. Cela déplace les points critiques.
Ton FAI voit une connexion TLS classiquevers un fournisseur cloud connu, pas une entrée Tor. Cela retire le marqueur le plus voyant sans bloquer l'accès au réseau.Les téléchargements disparaissent avec la session.Le conteneur stocke en RAM, tout s'efface à la fermeture.Le fingerprint appartient au conteneur, pas à ta machine, à tes polices ou à ton GPU.
Tu peux garder ouvertes en parallèle une session Tor et une session clearnet sans qu'elles se contaminent. Elles tournent dans des conteneurs distincts, avec des cookies, des IP et des profils distincts. Un clic dans la mauvaise fenêtre n'est plus une fuite d'identité.
La seule réserve honnête : le fournisseur voit le contenu déchiffré à l'intérieur du conteneur, puisqu'il héberge le processus du navigateur. Tu échanges une menace (ton FAI, ton appareil) contre une autre (ton fournisseur cloud). Pour la plupart des modèles de menace, le compromis est bon, mais il vaut mieux connaître la juridiction et la politique de logs du fournisseur avant de t'y fier.
| Risque | Tor sur ta machine | Tor en session cloud |
|---|---|---|
| Ce que voit ton FAI | Un nœud d'entrée Tor | Du TLS normal vers le cloud |
| Persistance des téléchargements | Reste sur ton disque | Disparaît en fin de session |
| Fingerprint matériel | Fuit via l'OS et les pilotes | Masqué par le conteneur |
| Récupération après exploit | Nettoyage manuel, parfois impossible | Redémarrer le conteneur |
| À qui faire confiance | Mozilla, ton appareil, le réseau Tor | Plus le fournisseur cloud |
Un workflow d'accès sûr
Six étapes pour une session de recherche typique. Rien d'exotique, mais chaque étape neutralise une faiblesse concrète.
- 1
Lance une session cloud neuve dans une image compatible Tor
Browser.lol propose une image Tor Browser. Sélectionne-la et ouvre une nouvelle session. Pas de cookies, pas d'historique, aucun onglet sauvegardé d'une visite précédente. - 2
Vérifie que Tor route vraiment le trafic
Va sur check.torproject.org depuis le conteneur. Tu dois voir la page verte « Congratulations ». Sinon, quelque chose passe par le clearnet, arrête et recommence. - 3
Reste sur des services .onion en HTTPS quand c'est possible
Les adresses .onion v3 récentes prennent en charge le HTTPS standard. La combinaison te donne une authenticité de bout en bout sans les faiblesses du modèle classique de confiance des certificats. - 4
Garde JavaScript sur « Safer » ou « Safest »
Bouclier de Tor Browser, en haut à droite. « Safer » désactive JS sur les sites non HTTPS. « Safest » le désactive partout. Beaucoup de sites cassent, mais le vecteur d'exploit le plus courant disparaît. - 5
Ne te connecte jamais à un compte clearnet
Pas de Gmail, pas de Twitter, pas de banque, pas de Reddit. Dès que tu te connectes, cette session se relie à ton identité, et tout le bénéfice d'anonymat s'envole. - 6
Ferme la session quand tu as fini
Le conteneur est détruit. Onglets, cookies, téléchargements, cache, tout part. La prochaine fois, tu repars de zéro.
Bonnes raisons d'ouvrir un .onion
Les gros titres parlent des marketplaces, mais le trafic réel sur Tor est bien plus banal. Quelques exemples concrets que tu croiseras dans la vraie vie.
Le New York Times maintient un miroir .onion officiel de sa page d'accueil. Idem pour BBC News. Si tu es dans un pays qui bloque leur domaine clearnet, le miroir est le moyen le plus simple de continuer à lire.
SecureDrop et GlobaLeakssont des plateformes .onion qui permettent aux journalistes d'être contactés par des sources. Reuters, The Guardian, ProPublica, Le Monde, tous ont des adresses SecureDrop officielles pour les lanceurs d'alerte.
L'Internet Archive propose un miroir .onion utile quand un blocage régional t'empêche d'accéder à la Wayback Machine. Tor Project,Mullvad et Riseuppublient leurs sites principaux aussi en .onion, ce qui permet de les atteindre sans passer par un nœud de sortie.
DuckDuckGo propose un endpoint .onion pour les recherches lancées depuis le réseau Tor, tout comme Brave Search. Les deux évitent qu'une requête doive sortir sur le clearnet à chaque fois.
À ne jamais faire
Cette liste n'est pas morale, elle est opérationnelle. Chaque point est une façon concrète de griller une session pourtant sûre.
Ne te connecte pas à des comptes clearnet.Gmail, Twitter, ta banque, n'importe quel service où tu as un compte. Une seule connexion suffit à relier toute la session Tor à ton identité réelle. Une session séparée pour les connexions perso, c'est trivial, fais-le.
N'ouvre pas les documents téléchargés dans la même session si Tor Browser t'alerte. Les PDF avec traceurs incorporés et les documents Office avec macros sont un vecteur classique pour désanonymiser les utilisateurs Tor. Enregistre le fichier, ferme la session, et examine-le ensuite dans une autre sandbox.
Ne fais pas confiance à un « annuaire onion » au hasard. Beaucoup sont des honeypots, d'autres listent des adresses obsolètes ou détournées. Utilise uniquement des annuaires vérifiés par la communauté. L'annuaire officiel du Tor Project et les wikis bien établis sont un bon point de départ.
N'active pas JavaScript sur des sites inconnus.Connaître une adresse .onion ne veut pas dire que l'opérateur est bienveillant. Garde le niveau de sécurité au maximum, et n'active JS que si la page en a vraiment besoin et que tu fais confiance à l'opérateur.
N'utilise pas ton vrai nom, ta localisation ou un pseudo récurrent. La corrélation entre plateformes est l'outil principal des systèmes de tracking. Un pseudo que tu utilises sur Reddit et qui réapparaît sur un forum onion relie automatiquement les deux comptes.
Est-ce légal ?
En France, en Belgique, en Suisse, au Canada, aux États-Unis, au Royaume-Uni et dans la plupart des pays de l'UE, utiliser le réseau Tor et visiter des sites .onion est légal. Ce que tu y fais est une autre histoire. Consulter des contenus illégaux par nature (contenus pédocriminels, armes, drogues illicites) est pénalement répréhensible partout, quel que soit le format d'adresse utilisé.
Certains pays prennent le chemin inverse et bloquent ou criminalisent le réseau Tor lui-même. La Chine et l'Iran le bloquent systématiquement, la Russie partiellement, et dans certains pays du Golfe l'accès est surveillé. La réponse habituelle passe par les Tor bridges, des nœuds d'entrée non publics. Une session cloud dans une juridiction hors blocage reste une alternative pragmatique.
C'est à toi qu'il revient de respecter la loi locale. Cet article n'est pas un conseil juridique. Si tu vis dans un pays où Tor est bloqué, vérifie la situation légale en vigueur avant chaque utilisation.
FAQ express
Mon FAI sait-il que j'utilise Tor si je passe par un cloud browser ?
Non. Il voit une connexion TLS vers un fournisseur cloud, rien de plus. Le nœud d'entrée Tor est contacté par le conteneur, pas par ta machine.
Le dark web est-il vraiment majoritairement illégal ?
Non, c'est bien moins que ce que suggèrent les gros titres. L'étude souvent citée de Daniel Moore (King's College London) en 2016 a trouvé qu'environ 57 % des services .onion identifiés hébergeaient du contenu illégal. Les études postérieures donnent des proportions plus basses, parce que le nombre de services a augmenté. En trafic réel, ce sont les moteurs de recherche, les miroirs de presse et les forums légitimes qui dominent.
Peut-on se faire pirater juste en visitant un .onion ?
C'est possible mais rare. Des exploits JavaScript contre Tor Browser ont existé, notamment dans le cadre de l'Opération Pacifier. En session cloud, le rayon d'impact est limité au conteneur. Ferme la session, les dégâts disparaissent.
Ajouter un VPN par-dessus Tor, ça aide ?
Le plus souvent non. Tor est déjà une couche d'anonymisation. Un VPN devant ne fait que masquer que tu utilises Tor (le cloud browser le fait déjà). Un VPN derrière, après le nœud de sortie, peut aider dans certains cas, mais se configure mal très facilement et dégrade alors l'anonymat. Dans le doute, laisse tomber.
L'essentiel en pratique
Le dark web n'est pas ce qu'Hollywood en fait. C'est un format d'adresses qui permet à des serveurs et à des visiteurs de se trouver sans connaître la vraie IP de l'autre. Pour les journalistes, les lanceurs d'alerte, les personnes vivant dans des pays sous blocage internet et les utilisateurs soucieux de leur vie privée, c'est utile. Pour les criminels aussi, mais ce n'est pas ton problème tant que tu ne t'y mêles pas.
Si tu veux simplement voir de quoi tout le monde parle, ça se fait avec un minimum d'effort. Une session cloud neuve dans une image Tor, JavaScript en « Safer », pas de connexion clearnet, un coup d'œil au miroir du NYTimes ou à la recherche onion de DuckDuckGo, et fermer la session une fois terminé. Le tout prend moins de dix minutes et ne laisse rien sur ton appareil. C'est tout ce qu'il faut pour une visite occasionnelle. Pour aller plus loin, tu disposes maintenant des briques nécessaires pour le faire sans dégâts collatéraux. Pour comprendre ce que veut vraiment dire « anonymat » en pratique, lis Anonymous Browsing: VPN, Tor, or Virtual Browsers? et Incognito Mode Is a Lie.
Et si tu avais un vrai bureau, partout, sur n'importe quel appareil ?
Teste Browser.lol gratuitement et retrouve toute la puissance d'un PC, même depuis ton téléphone.
Ouvrir mon bureau virtuelRien à installer • Tous les appareils
