🧅 Tor • 11 min de lecture

Tor Browser : guide débutant et les 10 erreurs qui te grillent

Tor n'est pas magique. Voilà ce qu'il fait vraiment, ce qu'il ne fait PAS, et toutes les conneries que les débutants font qui détruisent leur anonymat en quelques secondes.

Tor, c'est l'outil de référence pour la navigation anonyme. Mais c'est aussi un outil très facile à mal utiliser. Une connexion à un compte perso, une fenêtre redimensionnée, un PDF téléchargé — et ton anonymat tombe.

Voilà ce que Tor fait, ce qu'il ne fait pas, et la liste exhaustive des erreurs à ne pas commettre.

Ce que Tor fait vraiment

Tor (The Onion Router) route ton trafic à travers 3 nœuds aléatoires dans le monde avant d'arriver à destination. Chaque nœud chiffre son segment, et aucun nœud ne connaît à la fois ton IP et la destination finale.

Toi → Entry Node → Middle Node → Exit Node → Site web

        (ton IP        (relais       (relais     (le site
         vue ici)       chiffré)      chiffré)    voit cette IP)

Résultat : le site visité voit l'IP du Exit Node, pas la tienne. Et personne d'autre que toi et le site final ne peut lire le contenu.

Ce que Tor protège :

Ton IP réelle face aux sites visités
Le contenu de tes communications (chiffré entre les nœuds)
Le fait que tu visites tel site (face à ton FAI)
Accès aux sites .onion (impossibles à visiter sans Tor)

Ce que Tor NE fait PAS

Tor n'est pas un VPN. Tor n'est pas une application universelle. Tor ne te rend pas invisible à Google.

❌ Tor ne cache pas à ton FAI le fait que tu utilises Tor (il voit le trafic vers les nœuds d'entrée connus). Pour ça, il faut Tor over VPN.
❌ Tor ne protège pas tes autres applis — seulement le navigateur Tor. Discord/Steam/Telegram envoient toujours ton vrai IP en parallèle.
❌ Tor ne te rend pas anonyme si tu te connectes à ton compte Google. Google sait que c'est toi (compte + cookies + fingerprint).
❌ Tor n'est pas plus rapide qu'internet — souvent plus lent (3 sauts à travers le monde).
❌ Tor ne te protège pas du malware que tu téléchargerais via Tor.

Installation et lancement (5 min)

Va sur torproject.org (et uniquement ce site — fais gaffe au phishing avec des typo-squats)
Télécharge Tor Browser pour ton OS
Vérifie la signature (avancé) ou au moins que le téléchargement est en HTTPS depuis le bon domaine
Lance Tor Browser → bouton Connect
10-30 secondes plus tard, le tunnel est établi. Tu vois la page de bienvenue avec un test "Tor Network Working"

Les 10 erreurs qui te grillent

1. Te connecter à un compte personnel

Tu te connectes à ton Gmail, Facebook, LinkedIn, Instagram dans Tor → ces services savent immédiatement que c'est toi (cookies + compte + fingerprint). Tor devient inutile. Règle : Tor = sites où tu ne te connectes PAS.

2. Redimensionner la fenêtre Tor

Tor Browser garde une fenêtre de taille standard exprès — tout le monde a la même fenêtre. Si tu la redimensionnes, ton fingerprint devient unique parmi les utilisateurs de Tor. Règle : garde la fenêtre à sa taille par défaut.

3. Installer des extensions

NoScript et HTTPS-Everywhere sont déjà installés. Toute autre extension casse l'anonymat (chaque extension est une signature unique). Règle : aucune extension ajoutée.

4. Activer Flash, Java, ou autres plugins

Ces technos communiquent en parallèle de Tor et peuvent révéler ton IP réelle. Règle : Tor Browser les bloque par défaut — laisse comme ça.

5. Télécharger des documents et les ouvrir dans Tor

Un PDF ou un .docx téléchargé peut contenir des éléments distants (image, font, lien) qui se chargent depuis ton IP réelle quand tu l'ouvres dans Adobe Reader / Word. Règle : si tu télécharges des docs via Tor, ouvre-les dans une VM isolée (Tails OS est conçu pour ça).

6. Utiliser le mode "Standard" pour des sites sensibles

Le niveau de sécurité Tor par défaut est Standard. Pour les sites vraiment sensibles, passe à Safer (désactive JS sur HTTP) ou Safest (désactive JS partout). Clique sur le bouclier en haut à droite pour changer.

7. Cliquer sur des liens .onion non vérifiés

Le phishing sur Tor est massif. Une seule lettre différente dans une adresse .onion = site copie qui vole tes infos. Règle : vérifie chaque adresse .onion via le site clearnet officiel du service. Pour DuckDuckGo, Proton, BBC, NYT — les adresses officielles sont publiées sur leurs sites normaux.

8. Confondre "darknet markets" et "Tor"

Tor n'a pas été créé pour acheter de la drogue. C'est un outil légal et essentiel pour les journalistes, lanceurs d'alerte, militants dans des pays autoritaires, et toute personne qui veut un anonymat technique. Les marketplaces illégales sont une utilisation marginale et risquée (saisies fréquentes par la police, scams omniprésents).

9. Croire qu'on est invisible

Même avec une utilisation parfaite, ton activité sur Tor peut être analysée par des techniques avancées (corrélation de trafic par des États). Tor te protège des observateurs occasionnels et des services commerciaux — mais pas de la NSA si tu es une cible de très haut niveau.

10. Lancer plusieurs identités dans la même session Tor

Si tu fais des recherches en tant que "moi" et d'autres en tant qu'"anonyme" dans la même session Tor, des correlations sont possibles (timing, fingerprint, cookies persistants malgré tout). Règle : pour changer d'identité, utilise New Identity (Ctrl+Shift+U) qui ferme tous les onglets et recrée des circuits frais.

La combinaison ultime — Tor over VPN

Pour maximum d'anonymat :

Active Mullvad VPN en premier
Puis lance Tor Browser
Résultat : ton FAI voit seulement Mullvad, jamais Tor. Mullvad voit du trafic Tor anonyme, jamais ce que tu fais.

Toi → Mullvad → Tor (3 nœuds) → Site web

(ton ISP voit    (Mullvad voit    (le site voit
 que Mullvad)    que du Tor)      une IP exit Tor)

🧅 Mullvad + Tor — la combo des chercheurs en sécurité

Mullvad à 5 €/mois est l'option la plus respectueuse pour faire du Tor over VPN. Pas d'email, pas de carte bancaire (paiement crypto/cash anonyme), audits no-logs. Combiné à Tor, tu as la couche d'anonymat maximum.

Voir Mullvad

Sites .onion utiles à connaître

Quelques services légitimes que tu peux visiter en .onion :

DuckDuckGo — moteur de recherche sans tracking
BBC News, The New York Times — médias avec mirror .onion pour accès depuis pays censurés
Proton Mail — version .onion de leur webmail
SecureDrop — pour envoyer des fuites à des journalistes anonymement
The Tor Project — leur propre site en .onion

Les adresses changent parfois — toujours vérifier sur le site clearnet officiel du service avant de cliquer.

En résumé

Tor = anonymat pour la navigation web seulement (pas tes autres apps)
Ne jamais s'y connecter à des comptes perso
Garder la fenêtre par défaut, pas d'extensions
Vérifier les adresses .onion via le site officiel clearnet
Pour le top niveau : Tor over VPN (Mullvad → Tor)

Utilisé correctement, Tor reste l'outil d'anonymat le plus solide qui existe. Utilisé n'importe comment, c'est juste une fausse impression de sécurité.