Ce qu'est un service caché Tor
Un service caché Tor — aussi appelé service onion — est un site web ou une application accessible uniquement via le réseau Tor, à une adresse se terminant par .onion. Contrairement à un site ordinaire, il ne possède pas d'adresse IP publique et n'est pas référencé dans le DNS. Les visiteurs y accèdent via Tor, et la connexion entre le visiteur et le serveur est acheminée de sorte qu'aucun des deux ne connaît la localisation ni l'IP de l'autre.
C'est un modèle différent et plus solide que de placer un site ordinaire derrière des mesures de protection de la vie privée. Avec un service onion, l'anonymat est intégré dans le protocole : la localisation du serveur est masquée par conception, non par une configuration qui pourrait être mal faite. Il n'y a pas d'adresse IP à faire fuiter, pas d'enregistrement DNS à soumettre à une injonction, et pas d'IP d'hébergement à scanner ou à attaquer. L'adresse elle-même est dérivée d'une clé cryptographique, elle ne peut donc pas être usurpée. C'est, au sens propre, la forme d'hébergement anonyme la plus robuste disponible.
Pourquoi héberger un service caché
Les services onion sont utilisés par un large éventail d'opérateurs légitimes : des organisations de presse qui gèrent des lignes sécurisées pour les lanceurs d'alerte, les systèmes de dépôt SecureDrop dont dépendent les journalistes, des projets axés sur la vie privée proposant un miroir résistant à la censure, des outils de messagerie et de partage de fichiers, et des particuliers qui souhaitent simplement un site dont personne ne peut déterminer l'emplacement du serveur. De grandes organisations — des principaux journaux aux projets logiciels reconnus — exploitent des services onion précisément parce qu'ils sont robustes.
Les raisons se résument à trois propriétés. Confidentialité de la localisation : le serveur est introuvable par IP, il ne peut donc pas être géolocalisé, scanné ou attaqué directement. Résistance à la censure : il n'y a pas d'IP ni de domaine à bloquer pour un réseau, le service reste donc accessible là où les sites ordinaires sont filtrés. Chiffrement de bout en bout : le protocole Tor chiffre la connexion par défaut, sans autorité de certification impliquée. Si l'une de ces propriétés importe à votre projet, un service caché vaut la peine d'être mis en place — et ce guide vous en construit un.
Ce dont vous avez besoin
Les prérequis sont modestes :
- Un VPS. Un service onion est léger ; un petit plan suffit. Le choix d'un VPS offshore sans KYC est ici important pour une raison précise expliquée ci-dessous — l'anonymat du service dépend en partie de l'anonymat du serveur lui-même.
- Une installation Linux fraîche — Debian ou Ubuntu pour les commandes présentées ici.
- Le navigateur Tor sur votre propre machine, pour accéder au service terminé et le tester.
Vous n'avez pas besoin d'un nom de domaine — l'adresse .onion est générée pour vous — et vous n'avez pas besoin de certificat TLS, car Tor assure le chiffrement.
Étape 1 — Configurer le serveur et un service web
Provisionnez le VPS et connectez-vous via SSH. Installez ce qui servira votre contenu — pour un site simple, un serveur web léger comme nginx, installé avec apt install -y nginx, est idéal.
Le détail de configuration important : liez le serveur web à localhost uniquement. Le service web doit écouter sur [redacted-ip], et non sur l'IP publique du serveur. Tor s'y connectera localement ; rien ne devrait l'atteindre directement depuis Internet. Lier à localhost signifie que même si la machine possède une IP publique, le site web n'est pas servi dessus — seul Tor peut accéder au contenu. Confirmez que le site fonctionne localement avec un rapide curl [redacted-ip] avant de continuer.
Étape 2 — Installer Tor et configurer le service onion
Installez Tor avec apt install -y tor. Modifiez ensuite le fichier de configuration de Tor, /etc/tor/torrc, pour définir le service caché. Deux lignes suffisent : un HiddenServiceDir pointant vers un répertoire où Tor stockera les clés du service, et un HiddenServicePort mappant le port virtuel 80 vers votre serveur web local — par exemple HiddenServicePort 80 [redacted-ip].
Redémarrez Tor avec systemctl restart tor. Au premier démarrage, Tor génère la paire de clés cryptographiques du service dans le répertoire indiqué et dérive l'adresse .onion de celle-ci. Ce répertoire contient désormais l'identité de votre service — sauvegardez-le de manière sécurisée et rendez-le lisible uniquement par l'utilisateur Tor. Quiconque possède ces clés peut usurper l'identité de votre service ; perdez-les et l'adresse sera perdue à jamais.
Étape 3 — Obtenir votre adresse .onion et la tester
Tor écrit l'adresse dans un fichier appelé hostname à l'intérieur du HiddenServiceDir. Lisez-le avec cat et vous verrez une adresse de 56 caractères se terminant par .onion — c'est l'adresse publique de votre service.
Ouvrez le navigateur Tor sur votre ordinateur, collez l'adresse et chargez-la. Votre service web accessible uniquement en localhost devrait apparaître, servi entièrement via Tor. La première connexion peut prendre quelques secondes pendant que Tor construit le circuit. Voilà — le service est en ligne, accessible à quiconque utilise Tor, et son emplacement serveur est masqué pour tous les visiteurs.
Étape 4 — Verrouiller le tout pour préserver l'anonymat
Un service onion fonctionnel n'est pas automatiquement anonyme. Le protocole masque la localisation du serveur aux visiteurs — mais plusieurs erreurs peuvent annuler cela. Les pratiques qui préservent l'anonymat :
- Liez tout à localhost. Vérifiez à nouveau que le serveur web, ainsi que toute base de données ou processus en arrière-plan, écoutent uniquement sur
[redacted-ip]. Un service accidentellement exposé sur l'IP publique peut être mis en relation avec le site onion et le désanonymiser. - Supprimez les contenus identifiants. Les bannières de serveur, les pages d'erreur par défaut, les scripts analytiques et les métadonnées dans les fichiers peuvent tous révéler le vrai serveur ou le relier à d'autres sites. Auditez ce que le service envoie réellement.
- Administrez-le anonymement. Accédez également au serveur pour l'administration via Tor — ne vous connectez jamais en SSH directement depuis votre IP personnelle. Le service onion cache le serveur ; ne défaites pas cela avec votre propre connexion.
- Gardez le serveur lui-même anonyme. C'est pourquoi le VPS offshore sans KYC est important : si le service venait à être corrélé à son hôte malgré vos précautions, l'hébergeur doit être un fournisseur qui ne détient aucune identité pour le compte et ne conserve aucun journal. Le service caché et le serveur anonyme se renforcent mutuellement.
- Désactivez tout ce qui appelle l'extérieur. Les logiciels qui établissent des connexions sortantes — pingbacks de mises à jour, polices externes, API tierces — peuvent révéler le serveur. Gardez le service autonome.
Service caché, clearnet ou les deux
Vous n'avez pas à choisir exclusivement. Il existe trois configurations sensées. Un site exclusivement en service caché est le plus privé — aucune présence clearnet, idéal pour une ligne de dépôt ou un service qui ne doit pas être localisable. Un site clearnet avec un miroir onion sert une audience ordinaire normalement tout en offrant une voie résistante à la censure et privée pour ceux qui le souhaitent — c'est ce que font les grandes organisations de presse. Et un site uniquement clearnet, couvert dans notre guide sur l'hébergement anonyme d'un site web, est plus simple quand la confidentialité de localisation au niveau du protocole n'est pas requise.
Pour l'anonymat le plus solide, un service exclusivement caché sur un VPS offshore sans KYC est la réponse : le serveur ne possède aucune identité attachée, le service ne dispose d'aucune IP à trouver, et l'ensemble est accessible à quiconque utilise Tor et localisable par personne. Mis en place avec les pratiques ci-dessus, c'est un hébergement véritablement anonyme — non comme une promesse marketing, mais comme une propriété du protocole.