Héberger un site .onion : guide technique complet 2026

Publié le · Lecture d'environ 15 minutes · Niveau : intermédiaire

L'une des caractéristiques les plus remarquables de Tor est que n'importe qui peut héberger un site .onion, sans enregistrement auprès d'un registrar, sans nom de domaine à acheter, sans certificat SSL à obtenir auprès d'une autorité. Quelques lignes de configuration suffisent à transformer un serveur existant en service caché accessible au réseau Tor mondial. Ce guide technique complet vous accompagne dans cette démarche, des prérequis matériels à la configuration avancée, en passant par les bonnes pratiques d'opsec pour protéger votre anonymat d'opérateur.

⚫ Page filtrée. Le catalogue complet est sur Tor. Accès Tor →

Pourquoi héberger un site .onion ?

Les raisons d'héberger un site .onion sont variées et, pour la plupart, parfaitement légitimes. Les grands médias (BBC, NYT, ProPublica, Deutsche Welle) le font pour offrir à leurs lecteurs dans les pays censurés un accès sans risque. Les services de vie privée (ProtonMail, DuckDuckGo, Mullvad) le font par cohérence philosophique : offrir leur service sans que la connexion même révèle l'identité. Les plateformes de whistleblowing (SecureDrop, GlobaLeaks) le font par nécessité technique : recevoir des documents de sources anonymes exige que la réception ne soit pas observable.

Pour un particulier ou un projet plus modeste, les motivations peuvent être multiples. Un blog personnel anonyme sur un sujet sensible (expérience de santé mentale, critique politique dans un pays autoritaire, activisme minoritaire). Une petite communauté qui veut échanger sans dépendre d'une plateforme centralisée. Un projet open source qui veut offrir un accès .onion à son site officiel. Un dépôt de documents partagé avec des collaborateurs. Un jeu ou un projet artistique expérimental.

Techniquement, héberger un .onion offre plusieurs avantages par rapport à un site clearnet traditionnel. Aucun registrar : l'adresse est générée cryptographiquement, personne ne peut vous la retirer. Aucun DNS : votre site n'est pas vulnérable aux attaques DNS ou aux blocages DNS étatiques. Aucun certificat SSL nécessaire : l'adresse .onion elle-même authentifie cryptographiquement le serveur. Aucune IP publique requise : vous pouvez héberger derrière un NAT, sur une connexion domestique, sans port forwarding.

Prérequis matériels et compétences

Héberger un site .onion demande des compétences techniques modérées et un matériel minimal. Ne vous laissez pas impressionner : si vous savez suivre un tutoriel Linux, vous y arriverez.

Matériel

Techniquement, n'importe quel ordinateur avec une connexion Internet peut faire l'affaire. Un Raspberry Pi 4 (50-80 euros) avec une carte SD est parfait pour un site personnel ou un projet expérimental, consomme très peu d'électricité, et peut rester allumé en permanence. Un vieux PC recyclé fonctionne également. Pour un site professionnel avec du trafic soutenu, un VPS (Virtual Private Server) chez un hébergeur est plus adapté.

Système d'exploitation

Une distribution Linux est recommandée : Debian, Ubuntu Server et Arch Linux sont les plus courantes. Debian est la référence pour les serveurs stables, avec de longs cycles de support. Les exemples de ce guide utilisent les commandes Debian/Ubuntu (apt), adaptables facilement à d'autres distributions.

Compétences recommandées

Connaissances de base : utiliser la ligne de commande Linux, éditer des fichiers avec nano ou vim, comprendre les permissions Unix, savoir utiliser SSH. Notions utiles : HTTP/HTTPS, configuration de nginx ou Apache, DNS (pour savoir ce qu'on n'utilise pas). Si vous êtes totalement novice sur Linux, commencez par un tutoriel « Linux basics » avant d'aborder l'hébergement .onion.

Étape 1 : installer Tor sur le serveur

La première étape est d'installer Tor (le logiciel serveur, pas Tor Browser) sur votre machine. Sur Debian ou Ubuntu : 

sudo apt update
sudo apt install tor

Cette commande installe Tor depuis les dépôts officiels de Debian. Pour obtenir la version la plus récente, vous pouvez ajouter le dépôt officiel du Tor Project qui suit les dernières versions : 

sudo apt install apt-transport-https gnupg
echo "deb https://deb.torproject.org/torproject.org $(lsb_release -cs) main" | sudo tee /etc/apt/sources.list.d/tor.list
curl https://deb.torproject.org/torproject.org/A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89.asc | sudo gpg --dearmor -o /usr/share/keyrings/tor-archive-keyring.gpg
sudo apt update
sudo apt install tor deb.torproject.org-keyring

Une fois installé, Tor démarre automatiquement comme service système. Vous pouvez vérifier son statut : 

sudo systemctl status tor

Le service devrait afficher active (running). Si ce n'est pas le cas, démarrez-le avec sudo systemctl start tor, puis activez-le au démarrage avec sudo systemctl enable tor.

Étape 2 : configurer le serveur web

Votre serveur web (nginx, Apache, Caddy) doit écouter sur localhost uniquement — jamais sur une IP publique. Cela garantit que seul Tor peut le contacter. Voici une configuration nginx minimale (/etc/nginx/sites-available/monsiteonion) : 

server {
    listen 127.0.0.1:8080;
    server_name _;
    root /var/www/monsiteonion;
    index index.html;

    # Masquer les informations serveur
    server_tokens off;

    # Pas de log d'accès pour l'anonymat
    access_log off;
    error_log /var/log/nginx/monsiteonion-error.log crit;

    location / {
        try_files $uri $uri/ =404;
    }
}

Points importants : le serveur écoute uniquement sur 127.0.0.1 (impossible à contacter depuis Internet), server_tokens off masque la version de nginx, access_log off empêche la journalisation des visites (essentielle pour protéger vos visiteurs).

Activez le site et redémarrez nginx : 

sudo ln -s /etc/nginx/sites-available/monsiteonion /etc/nginx/sites-enabled/
sudo nginx -t
sudo systemctl reload nginx

Créez un fichier de test : 

sudo mkdir -p /var/www/monsiteonion
echo "<h1>Mon premier site .onion</h1>" | sudo tee /var/www/monsiteonion/index.html

Étape 3 : configurer torrc pour le hidden service

Le fichier de configuration de Tor est /etc/tor/torrc. Pour déclarer un hidden service, ajoutez deux lignes : 

HiddenServiceDir /var/lib/tor/monsiteonion/
HiddenServicePort 80 127.0.0.1:8080

La première ligne indique où Tor stockera la clé privée et les informations du service (le répertoire est créé automatiquement). La deuxième ligne indique : quand quelqu'un se connecte en HTTP sur votre .onion, redirige vers le port 8080 de localhost (où nginx écoute).

Redémarrez Tor pour générer l'adresse : 

sudo systemctl restart tor

Tor va créer le répertoire /var/lib/tor/monsiteonion/ et y générer une paire de clés Ed25519. Votre adresse .onion se trouve dans le fichier hostname : 

sudo cat /var/lib/tor/monsiteonion/hostname

Vous obtenez une adresse de 56 caractères suivis de .onion. Votre site est maintenant accessible depuis n'importe quel Tor Browser ! La propagation dans la DHT du réseau Tor prend quelques minutes ; soyez patient lors du premier test.

Sauvegarder la clé privée

La clé privée stockée dans /var/lib/tor/monsiteonion/hs_ed25519_secret_key est essentielle : c'est elle qui définit votre adresse .onion. Si vous la perdez, votre adresse change (vos visiteurs ne vous retrouvent plus). Sauvegardez-la immédiatement dans un endroit sûr et chiffré (VeraCrypt, KeePassXC).

Durcissement de la configuration

Quelques options supplémentaires à ajouter dans torrc pour renforcer la sécurité : 

# Ne pas être relais Tor en plus d'être client
SocksPort 0
ClientOnly 1

# Pas de log de Tor
Log notice file /dev/null

# Durcissement du hidden service
HiddenServiceSingleHopMode 0
HiddenServiceNonAnonymousMode 0

Étape 4 (optionnelle) : adresse .onion personnalisée

Les adresses .onion générées aléatoirement sont difficiles à retenir. Vous pouvez créer une adresse « vanity » dont les premiers caractères forment un mot, comme Facebook avec facebookwkhpilnemxj7asaniu7vnjjbiltxjqhye3mhbshg7kx5tfyd.onion. L'outil de référence est mkp224o, développé par le projet Tor Project et maintenu activement.

Installation et compilation : 

sudo apt install build-essential autoconf libsodium-dev
git clone https://github.com/cathugger/mkp224o.git
cd mkp224o
./autogen.sh
./configure
make

Génération d'une adresse commençant par « oniondir » : 

./mkp224o oniondir

L'outil parcourt aléatoirement l'espace des clés Ed25519 jusqu'à en trouver une correspondant au préfixe. Estimations de temps (sur un GPU moderne) : 5 caractères = quelques minutes, 6 caractères = quelques heures, 7 caractères = un jour, 8 caractères = plusieurs jours, 9 caractères = plusieurs semaines. Au-delà, c'est économiquement prohibitif sans GPU farm dédié.

Une fois une clé générée, copiez le dossier dans /var/lib/tor/ et modifiez torrc pour pointer vers elle : 

sudo cp -r oniondirxxxxxxxxxx.onion /var/lib/tor/
sudo chown -R debian-tor:debian-tor /var/lib/tor/oniondirxxxxxxxxxx.onion
sudo chmod 700 /var/lib/tor/oniondirxxxxxxxxxx.onion

Modifiez torrc pour pointer vers ce nouveau répertoire, puis redémarrez Tor.

Opsec : protéger son anonymat d'opérateur

Si vous hébergez un site sensible, la protection de votre identité en tant qu'opérateur mérite la même attention que la protection de vos visiteurs. Voici les règles d'opsec essentielles.

Jamais d'informations identifiantes dans le site. Pas de nom réel, pas d'adresse, pas de photo personnelle, pas de lien vers des comptes sociaux nominatifs. Votre style d'écriture même peut vous trahir (stylométrie) : pour des usages très sensibles, faites relire vos textes pour gommer les tics d'écriture.

Payez votre infrastructure anonymement. Le VPS, le nom de domaine (si vous en avez un pour la version clearnet), les services tiers : tout doit être payé sans lien avec votre identité civile. Cryptomonnaies (idéalement Monero), bons cadeaux achetés en liquide, services qui acceptent l'anonymat total (Mullvad, Njalla pour les domaines).

Configurez strictement le serveur web. En-têtes HTTP qui ne révèlent pas la version de nginx, pas de log d'accès, pas de monitoring tiers (pas de Google Analytics, évidemment), timestamps des fichiers qui ne correspondent pas à un fuseau horaire révélateur. Tous les détails comptent.

Séparez l'identité d'administration et l'identité publique. Si votre site a un auteur sous pseudonyme (par exemple « MoiSurLeOnion »), n'utilisez jamais ce pseudonyme ailleurs, notamment pas pour l'administration du serveur. L'administrateur doit être une identité distincte et invisible.

Limitez les données en base. Si votre site a une base de données (WordPress, applications dynamiques), prenez soin qu'elle ne révèle rien de vous. Pas de IP des visiteurs stockées, pas de métadonnées compromettantes dans les fichiers uploadés, nettoyage régulier.

Considérez la juridiction. Si vous hébergez chez un provider européen, vos données sont soumises au RGPD mais aussi aux demandes légales de l'UE. Des juridictions comme l'Islande (1984 Hosting) offrent une protection renforcée de la liberté d'expression. Njalla, basé aux Caraïbes, refuse systématiquement les demandes qui ne passent pas par les procédures légales complètes.

Hébergeurs spécialisés et alternatives

Plusieurs hébergeurs sont réputés pour leur respect de la vie privée et leur compatibilité avec les hidden services Tor.

Njalla (njal.la) est le registrar et hébergeur fondé par Peter Sunde, cofondateur de The Pirate Bay. Il enregistre les domaines clearnet en son propre nom puis vous les « loue », ce qui masque votre identité dans les WHOIS. Accepte les cryptomonnaies, aucune vérification d'identité. Base aux Caraïbes, infrastructure en Suède.

1984 Hosting (1984.is) est un hébergeur islandais axé sur la liberté d'expression, nommé d'après le roman d'Orwell. L'Islande offre un cadre juridique particulièrement protecteur. Accepte les cryptomonnaies et les paiements anonymes.

Ablative Hosting est spécialisé dans l'hébergement de hidden services Tor. Leur infrastructure est conçue dès l'origine pour cet usage, avec des optimisations spécifiques au réseau Tor.

Impreza Host (imprezahost.com) est un autre hébergeur privacy-first, accessible uniquement via .onion, qui accepte Bitcoin.

Alternative simple : OnionShare. Pour des besoins ponctuels ou expérimentaux, le logiciel OnionShare transforme n'importe quel ordinateur en serveur .onion temporaire en un clic. Vous sélectionnez un dossier, OnionShare génère une adresse .onion, le site est accessible tant que le logiciel tourne. Parfait pour partager un fichier ou publier un site statique sans infrastructure.

Pour aller plus loin

Pour maîtriser l'environnement Tor plus globalement, consultez notre guide d'accès au dark web, notre article sur les liens .onion et leur fonctionnement cryptographique, et notre glossaire technique. Pour les aspects VPN et pluggable transports, voir notre guide VPN et Tor.

Pour explorer des services .onion légitimes qui illustrent ce que votre site pourrait devenir, consultez notre top 30 des sites .onion légitimes. Pour les outils d'anonymat complémentaires (SecureDrop, OnionShare, Tails), voir notre catégorie Outils et Vie Privée. Pour les hébergeurs spécialisés, voir notre catégorie Hébergement.

FAQ sur l'hébergement .onion

Est-il légal d'héberger un site .onion en France ?
Oui, absolument. L'hébergement d'un hidden service Tor est juridiquement identique à l'hébergement d'un site classique du point de vue du droit français. C'est le contenu hébergé qui détermine la légalité. Un blog personnel, un site de journalisme indépendant, un outil de vie privée : tous peuvent être légalement hébergés en .onion. Les sites hébergeant du contenu illégal (apologie du terrorisme, pédopornographie) sont évidemment illégaux, qu'ils soient en .com ou en .onion.
Quel matériel minimum pour héberger un site .onion ?
Un ordinateur avec une connexion Internet suffit techniquement. Pour un site expérimental, n'importe quel PC ou Raspberry Pi fait l'affaire. Pour un site sérieux avec du trafic, un VPS chez un hébergeur classique (OVH, Hetzner) ou spécialisé (Njalla, 1984 Hosting, Ablative Hosting) est recommandé à partir de quelques euros par mois. La bande passante consommée reste modeste pour la plupart des sites.
Comment obtenir une adresse .onion personnalisée ?
Avec un générateur d'adresses vanity comme mkp224o. Il calcule des milliards de clés Ed25519 aléatoires jusqu'à en trouver une dont l'adresse commence par le mot souhaité. Six caractères prennent quelques heures sur un bon GPU, huit caractères plusieurs jours, au-delà c'est industriellement coûteux. Facebook a utilisé cette technique pour obtenir facebookwkhpilnemxj7asaniu7vnjjbiltxjqhye3mhbshg7kx5tfyd.onion.
Un site .onion est-il accessible depuis un navigateur classique ?
Non, uniquement depuis Tor Browser ou un autre navigateur configuré avec un proxy Tor. Les navigateurs ordinaires ne parlent pas le protocole Tor et ne peuvent pas résoudre les adresses .onion. Quelques passerelles comme Tor2web existent mais sont fortement déconseillées car elles compromettent l'anonymat. Pour toucher une audience large, maintenir simultanément une version clearnet et une version .onion (comme BBC, NYT) est la meilleure approche.
Comment protéger son anonymat quand on héberge un site .onion ?
Plusieurs règles essentielles : 1) N'enregistrez pas de domaine clearnet pour votre .onion à votre nom (ou utilisez Njalla). 2) Payez votre VPS en cryptomonnaies sans KYC. 3) Configurez strictement le torrc pour ne pas exposer l'IP du serveur (no logs, bon paramétrage). 4) Désactivez tout identifiant serveur (ServerTokens, entêtes HTTP révélatrices). 5) Séparez identité de l'opérateur et identité publique du site. Ces règles forment l'opsec d'hébergement de base.
Combien coûte l'hébergement d'un site .onion ?
Très variable. Solution économique : Raspberry Pi 4 + connexion internet domestique = environ 100€ d'investissement unique. VPS chez un hébergeur classique : 5-15€/mois (Hetzner CX11, OVH VPS Starter, Scaleway). VPS chez un hébergeur privacy-first : 10-30€/mois (Njalla, 1984 Hosting). Hébergement dédié .onion spécialisé : 15-50€/mois (Ablative Hosting, Impreza Host). OnionShare (gratuit) pour les partages ponctuels.