Tor : architecture, modèle de menace (threat model) et vérité opérationnelle

Tor est souvent présenté comme « le réseau anonyme » ou confondu avec le darkweb. Cette vision est simpliste et dangereuse : Tor n’est pas une machine à anonymat, mais une architecture de protection contre l’analyse de trafic, conçue pour un modèle de menace précis.

Illustration : Qu'est-ce que Tor ?

Comme un VPN ou un proxy, Tor masque votre adresse IP en faisant transiter vos requêtes par des intermédiaires. Mais les différences entre Tor, un proxy et un VPN ne s’arrêtent pas là. Un VPN chiffre votre trafic vers un seul serveur, que vous devez implicitement considérer comme fiable. Un proxy ne fait que relayer vos requêtes. Tor, lui, répartit la confiance sur plusieurs relais indépendants et chiffre chaque segment du trajet. Aucun relais ne voit l’intégralité du chemin, ce qui complique l’observation réseau — dans le modèle de menace pour lequel Tor a été conçu.

Cette différence d’architecture a des conséquences majeures : latence élevée, dépendance au comportement de l’utilisateur, exposition possible aux relais malveillants en sortie, vulnérabilité théorique face à un adversaire global capable de corréler le trafic au niveau statistique, et limites structurelles face à certains modèles d’observation.

Cette page clarifie le fonctionnement technique de Tor, son modèle de menace réel, les situations où il est pertinent — et celles où il ne l’est pas. Pas de mystification. Pas de promesse d’anonymat absolu : seule la vérité opérationnelle sur l’un des outils les plus mal compris de la protection numérique.

Sommaire

Tor : architecture et modèle de menace

Comparatif rapide : VPN, Proxy, Tor

Aspect Proxy VPN Tor
Architecture Relais unique Serveur unique 3 relais indépendants
Chiffrement Absent (sauf HTTPS explicite) Unique tunnel Chiffrement en couches
Confiance Acteur unique Acteur unique Confiance distribuée
Menace ciblée Locale Locale Locale → Régionale
Adversaire global Hors modèle Vulnérable Vulnérable (corrélation statistique)
Performance Rapide Rapide Lente (structurelle)
Usage recommandé Masquer un header Streaming, géoblocage Contourner surveillance / services .onion
Ce tableau résume la différence fondamentale : Un VPN centralise la confiance, Tor la distribue.

Routage en oignon : principe technique

Le routage en oignon repose sur un principe fondamental : séparer les connaissances, afin qu’aucun acteur isolé ne puisse relier votre identité (IP) à votre activité (destination).

Circuit typique :

Vous → Nœud d'entrée (Guard) → Relais intermédiaire → Relais de sortie → Destination

Chiffrement en couches :
Votre requête est enveloppée de plusieurs couches de chiffrement, comme un oignon.

  • Chaque relais déchiffre une seule couche pour savoir où transmettre ensuite.
  • Aucun relais ne connaît à la fois votre IP et votre destination finale.

Ce mécanisme ne protège pas le contenu non chiffré.
Le relais de sortie peut voir le trafic en clair si le site n’utilise pas HTTPS. Tor Browser force l’utilisation de HTTPS pour limiter cette exposition.

Rotation et logique des circuits

  • un circuit ne transporte pas tout le trafic,
  • certains types de flux sont isolés,
  • la rotation limite l’exposition temporelle,
  • Tor isole les circuits par domaine dans Tor Browser, via un mécanisme d’identité séparée (stream isolation).

Rôle critique du Guard (nœud d’entrée)
Le premier relais (Guard) est choisi sur une longue période pour réduire la probabilité qu’un adversaire puisse observer votre point d’entrée en changeant de relais. Contrairement à l’intuition, un guard stable est plus sûr qu’un guard qui change souvent : la rotation fréquente augmente la chance de tomber sur un relais compromis.

➡️ Si le guard est compromis, la corrélation statistique entrée/sortie devient plus simple au fil du temps.

Note : Tor protège le trajet réseau, pas le contenu non chiffré, et pas votre comportement.

Réseau décentralisé, confiance distribuée

Tor repose sur des milliers de relais opérés par :

  • des bénévoles,
  • des chercheurs,
  • des organisations,
  • des entités inconnues (parfois hostiles).

Cette diversité est intentionnelle : aucune entité ne doit contrôler l’ensemble du réseau.

  • Tor Project : organisation à but non lucratif (2006),
  • Réseau actif depuis 2002,
  • Financement : dons, EFF, institutions publiques.

Objectif : empêcher la centralisation de la surveillance.
Si un relais est observé ou compromis, les autres segments restent isolés.

Attention : certains relais de sortie sont opérés par des acteurs hostiles pour analyser le trafic HTTP (sniffing, injection, MITM). HTTPS limite ce risque, mais ne l’élimine pas totalement (métadonnées, timing).

Modèle de menace de Tor

Tor a été conçu avec un modèle de menace explicite (threat model). Comprendre ses hypothèses est essentiel pour évaluer si Tor répond à votre besoin.

Adversaire local (FAI, censure nationale)
Tor est très efficace.

  • Votre FAI voit que vous utilisez Tor, pas ce que vous faites.
  • Un gouvernement local ne peut pas relier facilement IP → activité.

Adversaire régional (observation partielle des dorsales)
Efficacité variable.

  • Un acteur observant une part significative du trafic régional peut tenter une corrélation temporelle, mais cela reste complexe.

Adversaire global passif (surveillance à large échelle)
Vulnérabilité théorique.

  • Si un acteur voit à la fois les entrées et les sorties, il peut tenter une corrélation statistique entrée/sortie basée sur le timing.
  • Tor n’est pas conçu pour résister à un adversaire global non ciblé avec visibilité mondiale.

Adversaire global actif
Tor n’est pas résistant aux manipulations actives globales :

  • perturbation du trafic,
  • attaques intersectionnelles à grande échelle,
  • observation synchronisée.

Non objectif assumé.

Adversaire ciblé (attaque prolongée sur une personne)
Tor peut être vulnérable à des attaques intersectionnelles étalées : observation répétée pendant plusieurs jours/semaines pour relier patterns d’entrée/sortie.

Risque réel dans des cas d’investigation ciblée.

Modèle explicite (résumé opérationnel)
Tor protège l’anonymat réseau contre un adversaire local ou régional. Tor n’est pas conçu pour offrir une protection totale contre un adversaire global, ni contre des attaques ciblées avec ressources élevées.

 Ce que Tor protège (et ne protège pas)

Tor protège :

  • le trajet réseau (qui parle à qui),
  • contre l’analyse locale (FAI ne voit pas les destinations),
  • contre la géolocalisation IP,
  • contre l’inspection du contenu par le FAI (trafic chiffré jusqu’au relais de sortie).

Tor ne protège pas :

  • Identifiants transmis volontairement,
  • Sessions connectées (Facebook, Google),
  • Cookies persistants,
  • Fingerprinting navigateur,
  • Téléchargements actifs (PDF, DOC → fuite IP),
  • Mauvaise opsec (une seule action suffit).

Règle absolue : une seule action identifiante suffit à annuler toute protection. Tor masque le lien réseau, pas votre comportement.

Onion services (rendez-vous cryptographique)
Les services .onion ne « sortent » jamais du réseau Tor. Il n’existe pas de relais de sortie : le trafic est chiffré de bout en bout dans Tor, via un mécanisme de rendez-vous.

➡️ L’anonymat est bidirectionnel :

  • l’utilisateur n’expose pas son IP,
  • le service non plus.

C’est l’usage le plus solide de Tor en matière d’anonymat.

Tor vs VPN
Tor et VPN répondent à des modèles de menace différents.

Un VPN chiffre le trafic vers un serveur unique, qui connaît à la fois votre IP et votre destination. Tor répartit la confiance sur plusieurs relais indépendants, aucun ne voyant l’ensemble du trajet.

Différence fondamentale : VPN = centralisation de la confiance. Tor = distribution.

Tor Browser : surface d’usage contrôlée

Tor Browser est la surface d’usage contrôlée du réseau Tor. C’est une version modifiée de Firefox, conçue pour réduire l’empreinte
numérique.

Caractéristiques :

  • Standardisation de l’empreinte : tous les utilisateurs ont la même signature,
  • HTTPS forcé,
  • NoScript actif (niveau ajustable),
  • Aucune extension tierce,
  • Blocage de fingerprinting,
  • Isolation des circuits par domaine.

Plateformes :

  • Windows, macOS, Linux,
  • Android : Tor Browser officiel,
  • iOS : Onion Browser (recommandé par Tor Project).

Limitations iOS :

  • WebKit imposé par Apple → protections réduites,
  • moins de contrôle sur fingerprinting,
  • confinement moins strict.

Note froide : Tor Browser réduit la surface d’identification, mais rien ne compense un comportement révélateur.

Cas d’usage : quand utiliser Tor (et quand l’éviter)

Tor est pertinent si :

  • Journalisme d’investigation, activisme sous censure,
  • Contourner une censure réseau,
  • Accéder à des services .onion,
  • Consulter des ressources sensibles sans exposer votre IP,
  • Se protéger contre l’analyse réseau locale,
  • Communiquer avec opsec stricte.

Tor n’est pas adapté si :

  • Masquer son IP pour du streaming,
  • Géoblocage simple,
  • Téléchargement P2P (interdit),
  • Besoin de latence faible,
  • Connexion à des comptes personnels,
  • Navigation banalisée sans discipline.

Tor n’efface pas votre identité : il isole votre IP de votre activité dans un contexte donné.

Limites structurelles

  • 3 relais successifs = latence élevée,
  • Relais de sortie = point de lecture si HTTP,
  • Tor est détectable (DPI),
  • Fingerprinting possible si comportement déviant,
  • Non-résistance face à un adversaire global.

Tor + VPN : bénéfice réel ou risque supplémentaire ?

Pourquoi certains combinent Tor + VPN ?

Trois usages réels :

  • Masquer l’usage de Tor au FAI,
  • Contourner les blocages (pays répressifs),
  • Réduire l’attention portée à l’usage de Tor.

Note froide : Ajouter un VPN crée un point centralisé de confiance — l’opposé de la philosophie Tor.

Tor distribue la confiance sur plusieurs relais indépendants. Un VPN concentre toute la confiance dans un seul acteur.

Alternative : Tor Bridges

Pour contourner la censure sans VPN :

  • Bridges : relais non publiés,
  • Obfs4, Snowflake : masquent l’apparence du trafic Tor,
  • Intégré dans Tor Browser.

Dans les contextes hostiles, les Bridges sont souvent préférables à un VPN.

Configurations possibles

A. VPN → Tor (le plus courant)

Vous → VPN → Tor → Internet
  • Le FAI voit un VPN,
  • Le premier relais Tor voit l’IP du VPN,
  • Forte latence,
  • Cas : censure, blocage Tor.

B. Tor → VPN (rare, complexe)

Vous → Tor → VPN → Internet
  • Le site voit l’IP du VPN,
  • Surface d’attaque élargie,
  • Le VPN voit le trafic sortant de Tor.

Plus de couches ≠ plus d’anonymat.
Chaque couche ajoute un point de confiance et de corrélation.

5.4 Si vous devez vraiment combiner Tor + VPN

Critères VPN :

  • audit de non-logs,
  • juridiction favorable,
  • transparence technique.

Recommandations raisonnables (3 max) :

  • Proton VPN (open source, audit, Suisse),
  • NordVPN (Onion over VPN intégré).
  • Mullvad (sans compte, Suède),

Ces VPN sont mentionnés pour les cas marginaux où masquer l’usage de Tor est impératif. Tor seul est suffisant dans la majorité des usages pour lesquels il est conçu.

Bonnes pratiques d’utilisation de Tor

L’efficacité de Tor repose autant sur votre discipline que sur le logiciel.

Règles essentielles :

  • Jamais de compte personnel,
  • Aucune extension,
  • HTTPS systématique,
  • JavaScript désactivé en menace élevée,
  • Pas de téléchargements actifs,
  • Pas de pseudonyme réutilisé,
  • Bridges dans les réseaux hostiles.

Checklist :
Si vous ne pouvez pas renoncer à vos comptes et aux téléchargements, Tor ne vous rendra pas anonyme.

Tor sur iOS : Onion Browser et ses limites

Limitations techniques iOS

Apple impose l’usage exclusif de WebKit, empêchant les modifications profondes nécessaires à Tor Browser.

Onion Browser

  • Navigateur indépendant recommandé par Tor Project,
  • Gratuit, open source,
  • Utilise Tor,
  • Mais protections moins strictes que Tor Browser desktop.

Illustration : Onion Browser pour iOS

Orbot

  • Proxy Tor,
  • Pas un VPN traditionnel.

Note éditoriale : Si votre usage est le streaming, le géoblocage ou la vitesse, ce n’est pas un outil adapté.

Mythes et réalités sur Tor

Mythe 1 : Tor = darkweb

Faux. Les services .onion représentent une fraction du trafic Tor. L’objectif principal est la résistance à l’analyse réseau.

Mythe 2 : Tor rend anonyme

Faux. Tor protège le lien réseau, pas votre identité comportementale.

Mythe 3 : Tor est illégal

Faux dans la majorité des pays. Son usage peut attirer l’attention dans des régimes autoritaires.

Mythe 4 : Tor + VPN = anonymat total

Faux. Ajouter un VPN centralise la confiance.

Mythe 5 : Tor est invincible

Faux. Tor n’est pas conçu pour résister à un adversaire global.

Références techniques

Conclusion : Tor est une stratégie, pas une solution magique

Tor est une réponse d’ingénierie à la surveillance locale du trafic. Ce n’est pas un bouton d’anonymat.

Résumé opérationnel :

  • Si votre adversaire est local (FAI, censure nationale) → Tor est efficace.
  • Si votre adversaire est global → Tor ne suffit pas.
  • Si votre objectif est masquer votre IP pour le streaming → utilisez un VPN.

L’outil protège le trajet réseau. Vous protégez votre anonymat par votre comportement.

Tor n’est pas du chiffrement. C’est de l’architecture de confiance distribuée. L’outil ne suffit jamais sans la discipline.

Pages associées :

Share This