OnionQu'est-ce qu'un lien .onion et comment ça fonctionne ?
Les adresses en .onion sont au dark web ce que les adresses en .com ou
.fr sont au web classique : des points d'accès vers des sites, à ceci près qu'elles
fonctionnent selon une logique radicalement différente. Elles ne sont pas enregistrées auprès d'un registrar,
ne dépendent d'aucun DNS public, et ne sont pas accessibles via un navigateur ordinaire. Cet article explique
en détail ce qu'est un lien .onion, comment il est généré, comment le routage en oignon
permet l'anonymat, et comment vérifier l'authenticité d'une adresse avant de s'y connecter.
Anatomie d'une adresse .onion
Une adresse .onion v3 se présente sous la forme de 56 caractères aléatoires suivis du suffixe
.onion. Par exemple, l'adresse officielle de la BBC sur Tor est
bbcnewsd73hkzno2ini43t4gblxvycyac5aw4gnv7t2rccijh7745uqd.onion. Ces 56 caractères ne sont pas
arbitraires : ils correspondent à la représentation en base32 d'une clé publique
cryptographique. Plus précisément, cette clé est une clé publique Ed25519 de 256 bits,
à laquelle sont ajoutées un checksum (somme de contrôle) et un numéro de version. L'ensemble, une fois encodé,
produit exactement 56 caractères, ni plus ni moins.
Cette conception a une conséquence fascinante : l'adresse elle-même est la clé publique. Quand vous vous connectez à une adresse .onion, votre Tor Browser utilise cette clé pour authentifier cryptographiquement le serveur distant. Personne ne peut se faire passer pour le serveur légitime sans disposer de la clé privée correspondante, qui reste sur le serveur d'origine. Cette authentification mathématique rend inutile l'usage de certificats TLS classiques (comme ceux délivrés par Let's Encrypt pour les sites .com), et explique pourquoi les .onion fonctionnent sans HTTPS à l'ancienne.
Pourquoi 56 caractères précisément ?
La taille n'a pas été choisie pour l'esthétique : elle découle directement des contraintes cryptographiques. Une clé Ed25519 fait 32 octets (256 bits). Avec le checksum et la version, on arrive à 35 octets. Encodés en base32 (une lettre ou un chiffre pour 5 bits), cela donne exactement 56 caractères. Cette longueur garantit un espace d'adressage astronomique : 2^256 adresses possibles, soit un nombre à 78 chiffres décimaux, bien supérieur au nombre d'atomes dans l'univers observable (estimé à 10^80). Deviner une adresse au hasard prendrait statistiquement plus de temps que l'âge de l'univers.
Les adresses « vanity »
Certaines organisations créent des adresses dont les premiers caractères forment un mot lisible, comme
Facebook avec facebookwkhpilnemxj7asaniu7vnjjbiltxjqhye3mhbshg7kx5tfyd.onion qui commence
par « facebook ». Ces adresses, appelées vanity addresses, ne sont pas des adresses
« privilégiées » : elles sont générées en calculant des milliards de clés Ed25519 jusqu'à en trouver
une qui produit le préfixe souhaité. Six caractères prennent quelques heures sur un GPU moderne, huit
caractères plusieurs jours, au-delà c'est industriellement coûteux. L'outil mkp224o est le
générateur de référence pour cette opération. Un préfixe lisible améliore la reconnaissance mais ne confère
aucune sécurité supplémentaire.
Le routage en oignon expliqué
Le nom « Tor » est un acronyme pour The Onion Router. Le « oignon » désigne la structure en couches du chiffrement : votre trafic est enveloppé dans plusieurs couches successives, chacune ne pouvant être déchiffrée que par le relais correspondant sur son chemin. C'est cette architecture qui procure l'anonymat fondamental du réseau.
Le circuit à trois relais
Quand vous lancez une requête via Tor Browser, votre trafic traverse un circuit composé de trois relais consécutifs, choisis parmi les quelque 7 000 relais bénévoles du réseau Tor. Le premier est le nœud d'entrée (guard node) : il voit votre adresse IP réelle (puisqu'il reçoit votre connexion directe) mais ne sait pas où votre requête est destinée. Le deuxième est le nœud intermédiaire : il ne voit ni votre IP, ni la destination finale, uniquement les deux relais avec lesquels il communique. Le troisième est le nœud de sortie (exit node) pour les requêtes vers clearnet : il établit la connexion finale avec le site web visité et voit la destination, mais ignore votre IP.
Le chiffrement en couches
Avant d'envoyer votre requête, Tor Browser la chiffre successivement avec les clés publiques des trois relais. Le nœud d'entrée déchiffre la première couche, qui révèle l'adresse du nœud intermédiaire. Le nœud intermédiaire déchiffre la deuxième couche, révélant l'adresse du nœud de sortie. Le nœud de sortie déchiffre la troisième couche, révélant la requête finale qu'il transmet à la destination. Chacun ne voit que ce qui lui est nécessaire ; aucun relais n'a la vue d'ensemble de la chaîne.
Cette architecture garantit qu'un observateur ne peut pas associer votre IP à votre activité, sauf s'il contrôle simultanément le nœud d'entrée et le nœud de sortie de votre circuit, ce qui est statistiquement improbable pour un attaquant isolé et nécessite des ressources étatiques pour devenir envisageable. Les circuits sont renouvelés automatiquement toutes les dix minutes pour renforcer encore cette protection.
Fonctionnement d'un hidden service côté serveur
Pour les services .onion (aussi appelés hidden services ou onion services), l'architecture est encore plus élaborée. Non seulement vous êtes anonyme côté client, mais le serveur qui héberge le site l'est aussi. Personne, y compris vous en tant que visiteur, ne peut connaître l'adresse IP réelle du serveur .onion.
Les Introduction Points
Quand un service caché démarre, il choisit plusieurs relais Tor pour jouer le rôle d'Introduction Points. Ces relais annoncent l'existence du service en publiant, dans le Distributed Hash Table (DHT) du réseau Tor, une liste signée par la clé privée du service. Les Introduction Points ne connaissent jamais l'IP réelle du serveur — ils communiquent avec lui uniquement à travers un circuit Tor classique.
Le Rendezvous Point
Quand vous vous connectez à un service .onion, votre Tor Browser récupère la liste des Introduction Points depuis le DHT, contacte l'un d'eux et propose un Rendezvous Point — un autre relais choisi au hasard. L'Introduction Point transmet cette proposition au service caché, qui construit un circuit vers le Rendezvous Point. Vous et le service vous y « rencontrez » : vos circuits respectifs s'y connectent, et la communication peut commencer. Chacun a fait la moitié du chemin sans révéler son IP.
Cette architecture en trois temps (publication, introduction, rendez-vous) est le cœur du génie de Tor. Elle permet à un serveur anonyme d'offrir un service à des clients anonymes, sans aucune révélation mutuelle. Seule la clé publique du service (l'adresse .onion) est partagée. C'est pour cette raison que les services .onion peuvent fonctionner derrière un NAT, sans adresse IP publique fixe, et résister à de nombreuses formes de censure.
Différence entre .onion v2 et v3
Les utilisateurs plus anciens de Tor se souviennent d'adresses .onion à 16 caractères, comme l'ancienne
adresse de Facebook facebookcorewwwi.onion. C'étaient des adresses v2, en service de 2004 à
2021. Elles ont été définitivement remplacées par les adresses v3 en 56 caractères à partir de la version
0.4.6 de Tor, publiée en octobre 2021.
Pourquoi le changement ?
Plusieurs raisons justifiaient l'évolution. Les adresses v2 reposaient sur RSA-1024, un algorithme considéré comme insuffisamment sécurisé face aux menaces modernes, notamment l'émergence à terme d'ordinateurs quantiques. Leur courte longueur (80 bits d'identifiant) les rendait également vulnérables à certaines attaques de collision cryptographique. Des chercheurs avaient démontré la faisabilité de générer des adresses v2 « ressemblantes » à une adresse connue pour des attaques de phishing. La v3, avec ses clés Ed25519 de 256 bits, rend ces attaques pratiquement impossibles et offre une meilleure résistance quantique.
Conséquences pour les utilisateurs
Si vous tombez aujourd'hui sur une adresse .onion à 16 caractères dans un vieil article, une archive ou un forum ancien, elle ne fonctionnera plus : le protocole v2 a été entièrement désactivé. Les grands services (Facebook, BBC, ProPublica, DuckDuckGo, etc.) ont tous migré vers v3 et ont publié leurs nouvelles adresses via leurs sites clearnet officiels. Pour les vérifier, recoupez toujours l'adresse via plusieurs sources de confiance, comme notre annuaire OnionDir, les communiqués officiels des services, ou leurs comptes sur les réseaux sociaux authentiques.
Comment vérifier qu'une adresse .onion est authentique
La longueur des adresses .onion v3 est une protection cryptographique, mais elle introduit aussi un problème pratique : personne ne retient 56 caractères aléatoires. Cette difficulté est exploitée par les arnaqueurs qui créent des adresses .onion visuellement similaires à des adresses légitimes (par exemple en modifiant quelques caractères au milieu), pour tromper les utilisateurs et capturer leurs informations. Il est donc essentiel de vérifier l'authenticité d'une adresse avant toute connexion sensible.
Méthodes de vérification
Source officielle clearnet. La plupart des grands services publient leur adresse .onion sur leur site clearnet officiel. Pour Facebook, c'est facebook.com ; pour la BBC, bbc.com ; pour ProtonMail, proton.me. Si l'adresse .onion n'apparaît pas sur le site clearnet authentique, elle n'est probablement pas légitime.
Annuaires vérifiés. Les annuaires comme OnionDir vérifient manuellement chaque adresse référencée. Recouper une adresse via plusieurs annuaires indépendants (OnionDir, The Hidden Wiki, Ahmia) donne une confiance raisonnable.
Signatures PGP. Certains services, particulièrement les outils de vie privée (Tor Project, Whonix, Tails), publient leur adresse .onion signée avec leur clé PGP officielle. Vérifier la signature confirme que l'adresse n'a pas été substituée.
Communications officielles. Les comptes sociaux vérifiés des services (Twitter/X, Mastodon) publient régulièrement leurs adresses .onion. L'AFP, la BBC et d'autres médias sérieux les reprennent dans leurs reportages.
Signaux d'alerte
Méfiez-vous particulièrement des adresses partagées uniquement par un inconnu sur un forum, d'adresses qui ressemblent « un peu trop » à un service connu (le phishing .onion joue sur des différences subtiles dans les caractères centraux), et de tout service qui demande des identifiants ou des paiements immédiats sans historique vérifiable. Dans le doute, abstenez-vous : les imitations frauduleuses ont coûté des millions d'euros aux utilisateurs insuffisamment prudents.
Les usages légitimes des .onion
Contrairement à l'image médiatique dominante, les .onion sont massivement utilisés pour des raisons parfaitement légitimes. Les grands médias internationaux — BBC, New York Times, ProPublica, Deutsche Welle, Radio Free Europe — maintiennent des versions .onion pour permettre à leurs lecteurs de contourner la censure d'État dans les pays autoritaires. Les services d'email chiffré comme ProtonMail et Riseup proposent des accès .onion pour renforcer la confidentialité des connexions de leurs utilisateurs.
Les outils de vie privée que sont SecureDrop, OnionShare, Ricochet Refresh reposent fondamentalement sur l'architecture .onion pour offrir des communications anonymes entre sources et journalistes, partages de fichiers éphémères, et messageries sans serveur central. Les moteurs de recherche spécialisés comme Ahmia ou Torch indexent l'écosystème .onion pour le rendre navigable. Et les forums communautaires comme Dread offrent des espaces de discussion anonymes sur des sujets techniques, politiques ou culturels.
Pour une exploration structurée de l'écosystème légitime, consultez notre top 30 des sites .onion insolites et légitimes, qui présente en détail une trentaine de services allant des institutions publiques (CIA, Tor Project) aux curiosités culturelles (radios, échecs, bibliothèques).
Créer votre propre service .onion
L'une des caractéristiques les plus originales de Tor est qu'il permet à n'importe qui de créer son propre service .onion, sans inscription auprès d'un registrar, sans nom de domaine à acheter, sans certificat SSL à obtenir. La procédure de base prend moins de dix minutes et fonctionne sur n'importe quel serveur ou même ordinateur personnel.
La démarche consiste à installer Tor, à lancer un serveur web local (nginx, Apache, Caddy, ou même le
serveur HTTP intégré de Python pour un test rapide), puis à ajouter deux lignes dans le fichier de
configuration torrc pour déclarer un hidden service pointant vers ce serveur local. Après
redémarrage de Tor, le logiciel génère automatiquement une paire de clés Ed25519 : la clé privée est
stockée localement (jamais partagée), la clé publique devient votre adresse .onion.
Pour un usage ponctuel ou éphémère, l'outil OnionShare automatise toute la procédure : un simple clic transforme votre ordinateur en serveur .onion temporaire pour partager un fichier ou un site statique. Pour un service durable, un VPS chez un hébergeur respectueux de la vie privée comme Njalla ou Ablative Hosting offre une meilleure fiabilité qu'un ordinateur personnel. L'hébergement d'un site .onion légitime en France est parfaitement légal, au même titre qu'un site clearnet.
Pour aller plus loin
Vous comprenez maintenant en profondeur ce qu'est un lien .onion et comment fonctionne l'écosystème qui les anime. Pour continuer votre exploration, plusieurs ressources complémentaires s'offrent à vous. Notre guide complet d'accès au dark web en sécurité détaille l'installation pas à pas de Tor Browser et les règles de sécurité essentielles. Notre sélection des meilleurs sites .onion légitimes propose un parcours guidé à travers l'écosystème.
Notre glossaire technique explicite chaque terme spécialisé (Ed25519, Hidden Service, Rendezvous Point, Directory Authority, etc.) avec définitions courtes et approfondies. Pour déconstruire les idées reçues qui circulent sur les .onion, consultez nos 50 mythes du dark web fact-checkés. Et pour les questions plus surprenantes sur le fonctionnement du dark web, notre FAQ insolite répond à cinquante interrogations courantes.