Glossaire du dark web et du réseau Tor

Adresse .onion

Aussi appelé : onion address, adresse oignon

Identifiant d'un service caché sur le réseau Tor, composé de 56 caractères suivis de .onion.

Une adresse .onion est l'identifiant unique d'un service caché (hidden service) sur le réseau Tor. Contrairement à un nom de domaine classique comme exemple.fr, une adresse .onion n'est pas enregistrée auprès d'un registrar et ne dépend d'aucun DNS centralisé : elle est en réalité la représentation encodée en base32 d'une clé publique cryptographique. Les adresses .onion v3, utilisées depuis octobre 2021, font 56 caractères et sont dérivées d'une clé Ed25519 de 256 bits. Cette longueur garantit un espace d'adressage pratiquement infini et rend impossible le brute-force. Les anciennes adresses v2 (16 caractères) ont été déprécées pour cause de vulnérabilités cryptographiques. Une adresse .onion n'est accessible qu'avec un navigateur Tor et ne peut pas être ouverte depuis un navigateur classique.

Ahmia

Moteur de recherche pour services cachés Tor, connu pour sa modération stricte.

Ahmia est un moteur de recherche spécialisé dans l'indexation des services cachés du réseau Tor, créé en 2014 par le chercheur finlandais Juha Nurmi à l'Université de Tampere. Sa particularité est de pratiquer un filtrage actif des contenus : les sites pédopornographiques, apologistes du terrorisme ou manifestement illégaux sont exclus de l'index. Ahmia indexe environ 20 000 à 30 000 services .onion actifs et est accessible à la fois depuis clearnet (ahmia.fi) et depuis Tor. C'est le moteur recommandé par le Tor Project pour les utilisateurs cherchant une approche éthique de l'exploration du dark web.

Air gap

Aussi appelé : air-gapped

Isolation physique d'un ordinateur, totalement déconnecté d'Internet et des réseaux.

Un système « air-gapped » est un ordinateur physiquement isolé de tout réseau, y compris Internet. Aucun câble Ethernet, pas de Wi-Fi actif, pas de Bluetooth, pas de port USB branché à un appareil connecté. Cette isolation radicale est utilisée pour les systèmes les plus sensibles : serveurs de clés privées de cryptomonnaies, infrastructures militaires classifiées (SIPRNet, JWICS), machines de SecureDrop qui consultent les documents transmis par les sources. La contrepartie est l'inconfort d'usage : transférer un fichier vers ou depuis un air-gapped demande une clé USB dédiée et de nombreuses précautions. L'attaque de Stuxnet en 2010 a démontré qu'un air gap n'est pas absolu : un malware suffisamment sophistiqué peut sauter via support physique.

Anonymat

Impossibilité d'associer une action en ligne à l'identité réelle de son auteur.

L'anonymat désigne l'impossibilité technique pour un observateur d'associer une activité en ligne à l'identité physique ou civile de la personne qui l'a produite. Sur Tor, l'anonymat est obtenu par le routage en oignon : le trafic passe par plusieurs relais qui masquent successivement l'origine de la connexion. L'anonymat n'est jamais absolu : il dépend des bonnes pratiques de l'utilisateur (ne pas se connecter à des comptes identifiants, ne pas partager d'informations personnelles), de la qualité du logiciel utilisé et de l'absence d'erreurs d'opsec. L'anonymat se distingue du pseudonymat (identité constante mais non civile) et de la confidentialité (contenu caché mais auteur identifiable).

Authentification à deux facteurs (2FA)

Aussi appelé : MFA, authentification forte

Mécanisme d'authentification combinant deux éléments distincts pour renforcer la sécurité.

L'authentification à deux facteurs (2FA ou MFA) combine deux éléments d'identification pour sécuriser un compte : quelque chose que vous connaissez (mot de passe) plus quelque chose que vous possédez (téléphone avec code OTP, clé FIDO) ou que vous êtes (biométrie). Les standards modernes privilégient les applications TOTP (Google Authenticator, Aegis, Raivo) aux SMS (vulnérables au SIM swap). Les clés FIDO2/WebAuthn (YubiKey, Nitrokey) offrent la meilleure sécurité en étant résistantes au phishing. Pour les comptes sensibles utilisés via Tor, le 2FA par application TOTP est un minimum : SMS compromet la vie privée en liant le compte à un numéro de téléphone civil.

Backdoor

Aussi appelé : porte dérobée

Accès caché dans un logiciel ou un système permettant de contourner les protections.

Une backdoor, ou porte dérobée en français, est un mécanisme délibérément placé dans un logiciel, un matériel ou un protocole, qui permet à une partie spécifique de le contourner. Certaines backdoors sont intentionnelles et documentées (comptes de maintenance), d'autres sont clandestines. Dans les débats sur le chiffrement, plusieurs gouvernements ont régulièrement demandé l'introduction de backdoors dans les systèmes de chiffrement grand public pour permettre des accès judiciaires. Les cryptographes s'y opposent majoritairement en arguant qu'une backdoor pour « les gentils » est automatiquement exploitable par « les méchants ». Le débat a traversé l'affaire Apple vs FBI de 2016 et continue aujourd'hui avec les propositions européennes sur le chiffrement.

Bitcoin

Cryptomonnaie pseudonyme historique, créée en 2009, largement utilisée sur le dark web.

Bitcoin est la première cryptomonnaie opérationnelle, créée en 2009 par le pseudonyme Satoshi Nakamoto. Son architecture repose sur une blockchain publique où toutes les transactions sont enregistrées de manière permanente. Contrairement à la réputation qu'il a acquise, Bitcoin n'est pas anonyme mais pseudonyme : chaque adresse peut être suivie, et les entreprises spécialisées (Chainalysis, Elliptic) peuvent souvent remonter aux identités via l'analyse des flux. Sur les marketplaces du dark web, Bitcoin a longtemps été la monnaie dominante, avant d'être progressivement remplacé ou complété par des cryptomonnaies plus privées comme Monero.

Blockchain

Registre distribué et public des transactions d'une cryptomonnaie.

La blockchain est le registre distribué qui enregistre de manière permanente et publique toutes les transactions d'une cryptomonnaie. Chaque bloc contient un ensemble de transactions validées, lié cryptographiquement au bloc précédent, formant une chaîne ininterrompue depuis la création de la monnaie. La blockchain est maintenue par un réseau décentralisé de nœuds qui valident les transactions selon un protocole de consensus (Proof of Work pour Bitcoin, Proof of Stake pour Ethereum, etc.). Pour le dark web, la blockchain représente à la fois un outil (les paiements en cryptomonnaies) et un risque (la traçabilité des transactions).

Botnet

Réseau d'ordinateurs compromis contrôlés à distance par un attaquant.

Un botnet est un réseau d'ordinateurs infectés par un malware qui les place sous le contrôle d'un attaquant central (le « botmaster »). Les machines compromises, appelées « bots » ou « zombies », peuvent être utilisées pour des attaques par déni de service distribuées (DDoS), du spam, du minage de cryptomonnaies ou la distribution d'autres malwares. Certains botnets ont contrôlé des millions de machines (Mirai, Emotet, Conficker). Les serveurs de commande et contrôle (C&C) sont souvent hébergés sur le dark web pour échapper aux démantèlements. Les opérations policières internationales ciblent régulièrement ces infrastructures, mais leur structure distribuée les rend résilientes.

Briar

Messagerie chiffrée peer-to-peer fonctionnant même sans Internet.

Briar est une application de messagerie open source développée depuis 2014 par The Guardian Project et Briar Project. Sa particularité technique est de fonctionner sans serveur central : les messages se synchronisent directement entre appareils, via Tor quand Internet est disponible, ou via Bluetooth et Wi-Fi direct quand l'infrastructure est coupée. Cette résilience la rend précieuse dans des contextes de manifestations, de coupures Internet ordonnées par l'État ou de surveillance massive. Aucun numéro de téléphone ni email n'est requis : les utilisateurs se connectent via des QR codes qui établissent une relation permanente entre leurs appareils.

Bridge (Pont Tor)

Aussi appelé : pont tor

Relais Tor non listé publiquement, utilisé pour contourner les blocages de Tor.

Un bridge, ou pont en français, est un relais Tor dont l'adresse n'est pas publiée dans l'annuaire officiel du réseau. Les bridges permettent de contourner les blocages mis en place par les gouvernements ou les fournisseurs d'accès, qui filtrent généralement les adresses des relais d'entrée publics. Les utilisateurs obtiennent des adresses de bridges via le site torproject.org, par email à bridges@torproject.org ou, plus récemment, via BridgeDB et Telegram. Plusieurs types de bridges existent, dont les obfs4, meek et Snowflake, qui ajoutent une couche d'obfuscation pour camoufler le trafic Tor en trafic HTTPS ordinaire.

CAPTCHA

Test automatisé pour distinguer un humain d'un robot sur un site web.

Un CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) est un dispositif qui présente à l'utilisateur une tâche facile pour un humain mais difficile pour un programme : reconnaître des caractères déformés, identifier des images, résoudre un puzzle. Google reCAPTCHA et hCaptcha dominent le marché. Les utilisateurs de Tor rencontrent des CAPTCHA anormalement fréquents car les IPs des nœuds de sortie Tor sont partagées et classées comme suspectes par les systèmes anti-abus. Certains sites bloquent totalement les connexions venant de Tor. DuckDuckGo est notable pour ne pas imposer de CAPTCHA aux utilisateurs Tor.

Chiffrement de bout en bout

Aussi appelé : end-to-end encryption, E2EE

Chiffrement où seuls l'émetteur et le destinataire peuvent lire le contenu.

Le chiffrement de bout en bout (E2EE) est un système dans lequel seuls l'émetteur et le destinataire d'un message peuvent en lire le contenu. Aucun intermédiaire, pas même le fournisseur du service de messagerie, ne dispose des clés de déchiffrement. Signal, WhatsApp (officiellement), ProtonMail ou encore Ricochet Refresh implémentent E2EE. Ce chiffrement est distinct du chiffrement en transit (TLS/HTTPS), qui protège les données pendant leur transfert mais les laisse accessibles au serveur intermédiaire. Sur le dark web, E2EE est un standard attendu pour les communications sensibles, notamment dans le cadre du journalisme d'investigation.

Circuit Tor

Chaîne de trois relais Tor à travers laquelle le trafic d'un utilisateur transite.

Un circuit Tor est la chaîne de relais à travers laquelle le trafic d'un utilisateur est routé pour obtenir l'anonymat. Un circuit standard comprend trois nœuds : un nœud d'entrée (guard node), un nœud intermédiaire et un nœud de sortie (exit node). Chaque paquet est chiffré en couches successives, et chaque nœud ne peut déchiffrer que la couche qui lui est destinée, connaissant uniquement le nœud précédent et le nœud suivant. Tor crée de nouveaux circuits toutes les dix minutes par défaut pour renforcer l'anonymat. Les services cachés (.onion) utilisent une architecture légèrement différente, impliquant des Introduction Points et un Rendezvous Point.

Clearnet

Aussi appelé : surface web

Internet classique, indexable par Google et accessible via les navigateurs standards.

Le clearnet désigne l'Internet classique tel qu'on le connaît : l'ensemble des sites accessibles via des navigateurs ordinaires (Chrome, Firefox, Safari) et indexables par Google. Le terme s'oppose au darknet et au dark web. Tous les sites en .com, .fr, .org etc. font partie du clearnet. Les sites clearnet n'offrent pas d'anonymat par défaut : les serveurs voient votre adresse IP, les cookies vous identifient à travers les sessions, et les analytics tracent vos comportements. Naviguer sur clearnet via Tor Browser est un compromis intéressant : vous bénéficiez de l'anonymat Tor tout en accédant à l'ensemble du web classique.

CoinJoin

Protocole de mixage Bitcoin par agrégation de transactions multiples.

CoinJoin est une technique cryptographique proposée en 2013 par Gregory Maxwell pour améliorer la confidentialité des transactions Bitcoin. Plusieurs utilisateurs combinent leurs transactions en une seule transaction Bitcoin qui a plusieurs entrées et sorties, rendant l'analyse de la blockchain plus difficile : on ne peut pas déterminer quelle sortie correspond à quelle entrée. Des portefeuilles comme Wasabi Wallet et Samourai Wallet implémentent des variantes (ZeroLink, Whirlpool) avec des niveaux d'anonymat variables. Contrairement aux mixers centralisés, CoinJoin ne requiert pas de faire confiance à un tiers : les participants coopèrent directement via un protocole cryptographique. L'analyse forensique de la blockchain moderne peut parfois démêler certains CoinJoin, surtout les implémentations mal configurées.

Consensus (Tor)

Document officiel listant l'état du réseau Tor, publié toutes les heures.

Le consensus Tor est un document publié chaque heure par les Directory Authorities du réseau Tor. Il liste l'ensemble des relais actifs, leurs caractéristiques (bande passante, drapeaux de statut, clés publiques), et constitue la source de vérité sur l'état du réseau. Les clients Tor téléchargent le consensus pour construire leurs circuits. Le processus de génération implique un vote entre les neuf Directory Authorities, suivi d'une phase de signature collective. Attaquer le consensus nécessiterait de compromettre une majorité des Directory Authorities, ce qui en fait un point critique de la sécurité du réseau mais bien protégé.

Cryptomonnaie

Aussi appelé : crypto

Monnaie numérique décentralisée basée sur la cryptographie et la blockchain.

Une cryptomonnaie est une monnaie numérique dont les transactions sont sécurisées par la cryptographie et dont l'émission est régulée par un protocole décentralisé, sans autorité centrale. Bitcoin (2009) est la plus ancienne et la plus connue ; Ethereum, Monero, Zcash et des milliers d'autres ont suivi. Les cryptomonnaies jouent un rôle important sur le dark web car elles permettent des paiements sans intermédiaire bancaire traditionnel. Leur degré d'anonymat varie : Bitcoin est pseudonyme et traçable, Monero intègre des mécanismes de confidentialité par défaut (signatures en anneau, adresses furtives). L'usage des cryptomonnaies est légal en France, mais les plus-values sont imposables.

Cypherpunk

Mouvement activiste promouvant l'usage de la cryptographie pour défendre la vie privée.

Les cypherpunks sont un mouvement informel né dans les années 1980-1990 autour de l'idée que la cryptographie forte peut être un outil de libération politique. Le manifeste rédigé par Eric Hughes en 1993 pose le principe fondateur : « La vie privée est nécessaire pour une société ouverte à l'ère électronique ». Julian Assange, Phil Zimmermann (créateur de PGP), David Chaum, Hal Finney, Nick Szabo et Wei Dai font partie des figures historiques. Les cypherpunks sont à l'origine de nombreuses technologies fondamentales : PGP, anonymat par re-mailers, monnaies numériques précurseurs de Bitcoin. Leur philosophie continue d'inspirer les projets comme Tor, Signal et les cryptomonnaies.

Dark Web

Aussi appelé : darknet

Ensemble des sites web non indexés par Google, accessibles uniquement via des protocoles spécifiques comme Tor ou I2P.

Le dark web est la portion d'Internet qui n'est pas indexée par les moteurs de recherche classiques et qui n'est accessible qu'avec des logiciels spécifiques (Tor Browser pour les sites .onion, par exemple). Il constitue une petite partie du deep web (qui inclut aussi tous les contenus protégés par mot de passe, les bases de données internes, etc.). Le dark web héberge à la fois des sites légitimes (médias, outils de vie privée, communications sécurisées) et des activités illégales (marketplaces, contenus illicites). Les estimations sérieuses comptent entre 30 000 et 80 000 sites .onion actifs simultanément, soit une infime fraction des 1,8 milliards de sites du web classique.

Dead drop numérique

Méthode de communication asynchrone sans contact direct entre émetteur et destinataire.

Un dead drop numérique est l'équivalent en ligne du « dead drop » du renseignement humain traditionnel : un lieu où l'émetteur dépose un message que le destinataire viendra récupérer plus tard, sans qu'ils ne se rencontrent. En numérique, cela peut prendre la forme de brouillons partagés sur un compte email commun (technique utilisée par David Petraeus avec Paula Broadwell), de fichiers déposés via OnionShare, ou de pastes anonymes sur des services .onion. Le principe évite toute communication directe traçable. SecureDrop fonctionne sur ce modèle asymétrique : la source dépose, le journaliste consulte plus tard, sans contact direct.

Deep Packet Inspection (DPI)

Aussi appelé : DPI

Analyse approfondie du contenu des paquets réseau pour identifier et filtrer le trafic.

Le Deep Packet Inspection est une technique d'analyse réseau qui ne se contente pas d'examiner les en-têtes des paquets (adresses source/destination, ports) mais inspecte également leur contenu. Les gouvernements autoritaires (Chine, Iran, Russie) utilisent le DPI pour détecter et bloquer le trafic Tor, qui a une signature cryptographique reconnaissable. Les pluggable transports de Tor (obfs4, meek, Snowflake) ont été conçus précisément pour échapper au DPI en maquillant le trafic Tor en trafic aléatoire ou en trafic HTTPS ordinaire. Le DPI est également utilisé légalement par les entreprises pour filtrer le trafic sur leurs réseaux internes.

Deep Web

Tous les contenus web non indexés par les moteurs de recherche.

Le deep web regroupe l'ensemble des contenus accessibles sur Internet mais non indexés par Google, Bing ou les autres moteurs de recherche généralistes. Cela inclut vos emails, vos comptes bancaires en ligne, les bases de données internes des entreprises, les intranets, les pages derrière un login, les archives documentaires d'universités, etc. Le deep web représente environ 90 à 96 % de l'ensemble des contenus disponibles en ligne. Le dark web n'en constitue qu'une minuscule fraction. La confusion fréquente entre deep web et dark web provient d'infographies en forme d'iceberg qui ont popularisé sans rigueur la distinction.

Descriptor (service)

Fichier signé qui décrit un service caché Tor pour qu'il soit accessible.

Dans l'architecture Tor, un descriptor est un fichier cryptographique signé qui décrit un service caché : sa clé publique, ses Introduction Points, les métadonnées nécessaires à la connexion. Les services cachés publient leurs descriptors dans la Distributed Hash Table (DHT) du réseau via les HSDir (Hidden Service Directories). Les clients qui veulent se connecter récupèrent le descriptor correspondant à l'adresse .onion qu'ils ciblent, vérifient la signature avec la clé publique encodée dans l'adresse, et contactent l'un des Introduction Points. Les descriptors v3 intègrent un chiffrement qui rend leur contenu opaque sans connaître l'adresse .onion complète.

Directory Authority

Aussi appelé : autorité d'annuaire

Serveurs de confiance qui maintiennent la liste des relais du réseau Tor.

Les Directory Authorities, ou autorités d'annuaire, sont un petit nombre de serveurs de confiance (9 actuellement) qui maintiennent et distribuent la liste officielle des relais Tor. Chaque heure, ils publient un « consensus » qui décrit l'état du réseau : quels relais sont actifs, leur bande passante, leurs caractéristiques. Les clients Tor téléchargent ce consensus pour construire leurs circuits. Les Directory Authorities sont gérées par des individus et organisations de confiance du Tor Project, géographiquement réparties pour résister aux tentatives de censure ou de compromission. Attaquer ces autorités serait l'un des moyens d'affaiblir Tor, ce qui explique pourquoi leur sécurité est un sujet permanent.

DNS leak

Aussi appelé : fuite DNS

Fuite de requêtes DNS vers les serveurs du FAI malgré l'usage d'un VPN ou de Tor.

Un DNS leak (fuite DNS) se produit quand les requêtes de résolution de noms de domaine sortent par le FAI de l'utilisateur au lieu de passer par le tunnel VPN ou Tor. C'est une faille d'anonymat majeure : même si votre trafic passe par Tor, vos requêtes DNS en clair révèlent à votre FAI les sites que vous consultez. Tor Browser gère nativement cette question en acheminant toutes les résolutions DNS à travers le réseau Tor via l'exit node. Avec les VPN, une configuration imprudente peut laisser fuiter les DNS. Des sites comme dnsleaktest.com permettent de vérifier l'intégrité du dispositif.

Dread

Forum communautaire majeur du dark web, souvent comparé à Reddit.

Dread est un forum accessible via Tor, lancé en 2018 par HugBunter en réponse à la fermeture de Reddit /r/DarknetMarkets. Son architecture reprend le modèle de Reddit (sous-forums, votes, commentaires imbriqués) mais fonctionne entièrement sur .onion. Dread héberge des discussions variées : technique, opsec, actualité des marketplaces, politique, philosophie. Aucun email ni numéro de téléphone n'est requis à l'inscription. La plateforme est devenue au fil des années la plus grande communauté anglophone du dark web et un espace central pour les annonces importantes de l'écosystème. Elle a résisté à plusieurs attaques DDoS majeures et à l'usure du temps, ce qui est remarquable dans ce milieu où les projets durent rarement plus de quelques années.

Ed25519

Algorithme de signature cryptographique utilisé par Tor pour les adresses .onion v3.

Ed25519 est un algorithme de signature numérique basé sur des courbes elliptiques, publié par Daniel J. Bernstein et ses coauteurs en 2011. Il offre un excellent compromis entre sécurité (équivalent à 128 bits de sécurité symétrique), performance (signatures très rapides) et taille (clés publiques de 32 octets seulement). Tor l'a adopté pour les adresses .onion v3 : chaque service caché est identifié par une clé publique Ed25519, dont la représentation encodée en base32 forme l'adresse .onion. Ed25519 est également utilisé par de nombreux protocoles modernes comme SSH, TLS 1.3, ou les signatures de paquets de certaines distributions Linux. Sa robustesse cryptographique est considérée comme très solide contre les attaques actuelles.

EFF (Electronic Frontier Foundation)

Association américaine majeure de défense des droits numériques.

L'Electronic Frontier Foundation (EFF) est une association à but non lucratif fondée en 1990 à San Francisco par Mitch Kapor, John Gilmore et John Perry Barlow. Elle défend les droits civiques dans l'univers numérique : vie privée, liberté d'expression, neutralité du net, accès ouvert au savoir. L'EFF joue un rôle historique dans le soutien au projet Tor, à la fois financier et juridique. Elle a contribué à de nombreuses causes emblématiques : défense des chercheurs en sécurité poursuivis, opposition aux backdoors imposées, promotion du chiffrement fort. L'EFF publie régulièrement des guides pratiques, dont le Surveillance Self-Defense, qui recommande l'usage de Tor pour de nombreux cas. C'est l'une des institutions de référence du militantisme numérique mondial.

Exit Node (Nœud de sortie)

Aussi appelé : noeud de sortie

Dernier relais d'un circuit Tor, qui communique avec le site de destination.

Un nœud de sortie (exit node) est le dernier relais dans un circuit Tor. C'est lui qui établit la connexion finale avec le site web de destination sur clearnet. Le site de destination voit l'adresse IP du nœud de sortie, pas celle de l'utilisateur. Opérer un nœud de sortie expose son propriétaire à des responsabilités particulières : les actions illégales commises par des utilisateurs anonymes apparaîtront comme provenant de son IP. Plusieurs pays traitent les opérateurs de nœuds de sortie comme des intermédiaires techniques protégés (comme en France via la LCEN), mais des problèmes juridiques surviennent régulièrement. Les nœuds de sortie représentent environ 10 % de l'ensemble des relais Tor.

Exit policy

Règles qui définissent quel type de trafic un nœud de sortie Tor accepte de relayer.

L'exit policy est la configuration qui détermine quels ports et protocoles un nœud de sortie Tor accepte de relayer vers Internet. Un opérateur de relais peut choisir d'autoriser seulement HTTP/HTTPS (ports 80 et 443), ou d'être plus permissif en incluant SSH, IRC, email. Certains opérateurs bannissent explicitement certains ports ou destinations pour éviter les abus. Les exit policies sont publiées dans le consensus Tor, ce qui permet aux clients de choisir leur nœud de sortie en fonction du service visé. Les « reduced exit policies » recommandées par le Tor Project équilibrent utilité et limitation des abus.

Exit Scam

Disparition organisée d'un opérateur de marketplace avec les fonds en escrow.

Un exit scam est la pratique par laquelle les opérateurs d'une marketplace du dark web ferment brutalement le site en emportant avec eux l'ensemble des fonds stockés en escrow (garantie). Ils laissent ainsi les acheteurs sans produits et les vendeurs sans paiements. Cette pratique est récurrente dans l'histoire des marketplaces : Sheep Marketplace en 2013, Evolution en 2015, Apollon en 2020, entre bien d'autres. Le mécanisme est facilité par l'anonymat des opérateurs et par l'absence de recours judiciaire pour les victimes (qui admettraient leur participation à des activités illégales). L'exit scam est devenu un risque structurel des marketplaces, qui décrédibilise le modèle entier.

Exploit

Code ou technique qui tire profit d'une vulnérabilité dans un logiciel.

Un exploit est un code, une technique ou une séquence de commandes qui exploite une vulnérabilité dans un logiciel, un matériel ou un protocole pour obtenir un comportement non prévu : exécution de code, élévation de privilèges, contournement d'authentification. Les exploits peuvent être publics (documentés dans la base CVE, disponibles sur Metasploit) ou privés (vendus sur des marchés spécialisés pour des sommes allant de quelques milliers à plusieurs millions de dollars selon leur valeur). Les exploits « zero-day » sont ceux qui exploitent des vulnérabilités inconnues du fournisseur du logiciel, donc non corrigées.

Fingerprinting

Aussi appelé : empreinte numérique

Technique d'identification d'un utilisateur via les caractéristiques uniques de son appareil.

Le fingerprinting (prise d'empreinte) est une technique de traçage qui identifie un utilisateur à partir des caractéristiques uniques de son appareil et de son navigateur : résolution d'écran, polices installées, plugins, fuseau horaire, version du navigateur, configuration WebGL, capteurs mobiles, etc. Combinés, ces paramètres forment une empreinte quasi-unique qui permet de suivre un utilisateur à travers les sessions, même sans cookies. Tor Browser est conçu pour offrir une empreinte standardisée identique à tous les utilisateurs, ce qui neutralise le fingerprinting le plus courant. Cependant, maximiser la fenêtre ou installer des extensions personnalisées peut briser cette uniformité et rendre l'utilisateur identifiable.

Forensique numérique

Aussi appelé : forensics, informatique légale

Discipline qui consiste à analyser des systèmes informatiques pour reconstituer des événements.

La forensique numérique (ou informatique légale) est la discipline qui reconstitue les actions effectuées sur un système informatique à partir des traces qu'elles ont laissées. Les enquêteurs analysent les disques durs, la mémoire vive, les journaux système, le trafic réseau capturé. Des outils spécialisés (EnCase, FTK, Autopsy, Volatility) permettent de retrouver des fichiers supprimés, de reconstituer l'historique de navigation, d'identifier les applications utilisées. Tails OS est conçu pour ne laisser aucune trace forensique sur l'ordinateur hôte : le système s'effaçant à l'extinction, les outils forensiques n'ont rien à analyser.

Freedom of the Press Foundation

Aussi appelé : FPF

Organisation américaine soutenant le journalisme et maintenant SecureDrop.

La Freedom of the Press Foundation (FPF) est une organisation à but non lucratif américaine fondée en 2012. Elle soutient le journalisme d'investigation, notamment à travers le développement et la maintenance de SecureDrop, la plateforme de whistleblowing utilisée par des dizaines de rédactions dans le monde. Son conseil d'administration a inclus Edward Snowden, Glenn Greenwald, Laura Poitras, Daniel Ellsberg et d'autres figures majeures du journalisme et du lancement d'alerte. La FPF publie aussi un tracker de la liberté de la presse aux États-Unis, qui documente systématiquement les violations des droits des journalistes. L'organisation est financée par des dons individuels et institutionnels.

GnuPG

Aussi appelé : GPG

Implémentation open source de PGP pour le chiffrement et les signatures.

GnuPG (GNU Privacy Guard), aussi appelé GPG, est l'implémentation libre et open source du standard OpenPGP. Créée en 1997 par Werner Koch, GPG permet le chiffrement de fichiers et d'emails, les signatures numériques et la gestion de clés cryptographiques. C'est l'outil de référence pour l'utilisation pratique de PGP sur Linux, macOS et Windows. L'intégration avec Thunderbird (via le plugin Enigmail, puis nativement depuis 2020) est l'usage le plus courant pour le chiffrement des emails. Tor Browser et Tails sont livrés avec GPG pré-installé. Le développement de GPG est principalement financé par des dons, avec Werner Koch comme mainteneur historique.

Guard Node (Nœud d'entrée)

Aussi appelé : nœud d'entrée

Premier relais d'un circuit Tor, stable sur plusieurs mois pour chaque utilisateur.

Un guard node, ou nœud d'entrée, est le premier relais utilisé dans un circuit Tor. Il est le seul nœud qui voit votre adresse IP réelle (puisqu'il reçoit votre connexion directe). Pour limiter les risques, Tor utilise un petit nombre de guard nodes stables pendant plusieurs semaines à plusieurs mois par utilisateur, plutôt que de les changer à chaque connexion. Cette stratégie, appelée « entry guards » et introduite en 2005, réduit la probabilité qu'un adversaire qui contrôle une fraction du réseau puisse corréler votre entrée et votre sortie. Être sélectionné comme guard node requiert une excellente bande passante et une longue stabilité du relais.

Guardian Project

Collectif de développeurs d'outils open source pour la vie privée mobile.

The Guardian Project est un collectif international de développeurs et chercheurs qui conçoit des logiciels open source axés sur la sécurité et la vie privée, principalement pour les plateformes mobiles. Fondé en 2009 par Nathan Freitas, le projet est à l'origine d'Orbot (proxy Tor pour Android), Orfox (prédécesseur de Tor Browser pour Android), ObscuraCam (floutage de photos), Briar (messagerie peer-to-peer) et plusieurs autres outils utilisés par des journalistes et activistes à travers le monde. Guardian Project reçoit des fonds de l'Open Technology Fund, de la Freedom of the Press Foundation et de donateurs individuels, et collabore régulièrement avec le Tor Project sur les versions mobiles de ses outils.

Hidden Service (Service caché)

Aussi appelé : service caché, onion service

Site web accessible uniquement via Tor, dont l'hébergeur reste anonyme.

Un hidden service (ou onion service depuis la v3) est un serveur accessible uniquement via le réseau Tor, à travers une adresse en .onion. Sa particularité est de préserver l'anonymat à la fois du client qui se connecte et du serveur qui héberge. L'architecture repose sur des Introduction Points (qui annoncent l'existence du service) et un Rendezvous Point (où le client et le serveur se rencontrent sans que l'un connaisse l'IP de l'autre). Les hidden services sont utilisés pour des usages très variés : médias (BBC, NYT), plateformes de whistleblowing (SecureDrop), messageries (Ricochet), marketplaces, blogs personnels, etc.

Hidden Wiki

Annuaire historique de liens .onion, existant en plusieurs versions.

The Hidden Wiki est un annuaire collaboratif de liens vers des services .onion, apparu dès les premiers jours du réseau Tor. Le nom désigne en réalité plusieurs sites successifs et concurrents, chacun se présentant comme la « véritable » Hidden Wiki. Le concept est libre et plusieurs communautés maintiennent leurs propres versions. La Hidden Wiki organise les liens par catégories : moteurs de recherche, forums, marketplaces, hébergement, médias, services financiers. La fiabilité des entrées est variable selon les administrateurs successifs, certains ayant été accusés de référencer volontairement des arnaques en échange de commissions. Malgré ses imperfections, The Hidden Wiki reste un document sociologique important sur l'évolution du dark web.

Honeypot

Site piège conçu par les forces de l'ordre pour identifier des cibles.

Un honeypot (littéralement « pot de miel ») est un dispositif informatique conçu pour attirer des attaquants ou des cibles et collecter des informations sur eux. Dans le contexte du dark web, plusieurs cas célèbres ont impliqué la prise de contrôle d'une marketplace par les forces de l'ordre, qui ont continué à la faire fonctionner pour identifier vendeurs et acheteurs. L'opération Bayonet en 2017 est l'exemple le plus médiatisé : après la fermeture d'AlphaBay, la police néerlandaise a pris le contrôle de Hansa (la seconde plus grande marketplace) et l'a maintenue en service pendant un mois, collectant les preuves nécessaires à plusieurs dizaines d'arrestations. Ces opérations honeypot sont aujourd'hui un outil standard des enquêtes sur le dark web.

HSDir (Hidden Service Directory)

Relais Tor chargé de publier et distribuer les descriptors des services cachés.

Les HSDir (Hidden Service Directories) sont des relais Tor ayant le drapeau « HSDir » dans le consensus, choisis pour publier et distribuer les descriptors des services cachés via la Distributed Hash Table (DHT). Quand un service .onion démarre, il publie son descriptor sur six HSDir spécifiques (déterminés par un algorithme basé sur l'adresse .onion et l'horodatage). Les clients qui veulent se connecter au service interrogent ces mêmes HSDir pour obtenir le descriptor. Cette architecture décentralisée rend difficile le blocage des services cachés : il faudrait identifier et attaquer les six HSDir pour empêcher l'accès à un service donné.

I2P

Aussi appelé : invisible internet project

Réseau anonyme alternatif à Tor, conçu pour les services internes plutôt que la navigation clearnet.

I2P (Invisible Internet Project) est un réseau d'anonymisation alternatif à Tor, lancé en 2003. Son architecture est différente : I2P privilégie les communications internes au réseau (« eepsites ») plutôt que la navigation sur clearnet. Les tunnels I2P sont unidirectionnels (un tunnel pour l'envoi, un autre pour la réception), ce qui complique certaines attaques par corrélation. I2P est considéré comme techniquement plus résilient pour certains usages, mais son adoption reste beaucoup plus faible que celle de Tor. Les deux réseaux sont complémentaires : Tor pour accéder anonymement au clearnet et aux services .onion, I2P pour des communications strictement internes à un réseau alternatif.

Introduction Point

Relais qui annonce la disponibilité d'un service caché sur le réseau Tor.

Un Introduction Point est un relais du réseau Tor choisi par un service caché pour annoncer sa disponibilité. Le service caché publie dans le Distributed Hash Table (DHT) du réseau une liste de ses Introduction Points signée par sa clé privée. Quand un client veut se connecter au service caché, il récupère cette liste, contacte un Introduction Point, et propose un Rendezvous Point pour la connexion effective. Cette architecture permet au service caché de rester invisible tout en étant accessible : les Introduction Points ne connaissent jamais l'IP réelle du service, seulement un circuit Tor vers lui. Les Introduction Points sont renouvelés régulièrement pour limiter les risques.

Kill switch

Mécanisme qui coupe automatiquement la connexion Internet si le VPN ou Tor tombe.

Un kill switch est un dispositif de sécurité qui coupe automatiquement la connexion Internet si le tunnel VPN ou Tor cesse de fonctionner, empêchant les fuites de trafic en clair. Sans kill switch, une déconnexion momentanée du VPN (renouvellement de session, reconnexion réseau) ferait basculer le trafic vers votre connexion habituelle, révélant votre vraie IP aux sites visités. Les principaux clients VPN (Mullvad, ProtonVPN, IVPN) incluent un kill switch configurable. Tor Browser gère nativement cette question car il ferme les connexions qui ne passent pas par Tor. Sur Tails, l'architecture est conçue pour bloquer tout trafic qui n'est pas passé par Tor, formant un kill switch structurel.

Log (Journal d'activité)

Enregistrement des activités sur un serveur ou une application.

Un log est un enregistrement chronologique des activités sur un système informatique : connexions, requêtes HTTP, erreurs, transactions. Sur le web classique, les logs des serveurs permettent aux administrateurs de diagnostiquer des problèmes mais exposent aussi la vie privée des utilisateurs (adresses IP, pages visitées, horaires). Sur Tor, les nœuds du réseau sont conçus pour conserver le minimum de logs possible ; un relais correctement configuré n'enregistre rien sur les connexions qu'il traite. Les services cachés responsables ont également une politique stricte de non-journalisation. La mention « no log » est devenue un argument commercial majeur des VPN, mais son respect effectif dépend de la bonne foi de l'opérateur.

Mail2Tor

Service d'email gratuit accessible via Tor, sans exigence d'identité.

Mail2Tor est un service de messagerie électronique anonyme accessible via .onion, historiquement populaire sur le dark web. L'inscription ne demande aucune donnée personnelle : pas de numéro de téléphone, pas d'email de récupération, pas de nom réel. Les utilisateurs obtiennent une adresse en @mail2tor.com ou @mail2tor2.com qu'ils peuvent utiliser pour correspondre. Le service est gratuit, maintenu par des bénévoles. Les limitations sont réelles : espace de stockage restreint, limitations sur les pièces jointes, et surtout, les domaines Mail2Tor sont souvent classés comme suspects par Gmail et Outlook, ce qui complique les communications avec des destinataires ordinaires. Pour les échanges confidentiels entre personnes averties, Mail2Tor reste néanmoins une option de référence.

Malware

Aussi appelé : logiciel malveillant

Logiciel conçu pour nuire, voler ou prendre le contrôle d'un système.

Un malware (malicious software) est tout logiciel conçu avec des intentions malveillantes : voler des données, prendre le contrôle du système, chiffrer les fichiers pour exiger une rançon, espionner l'utilisateur, utiliser la machine pour d'autres attaques. Les principales familles sont les virus, vers, chevaux de Troie, ransomwares, spywares, rootkits, botnets. Le dark web héberge à la fois le marché des malwares (vente d'accès, de comptes compromis, de bases de données volées) et les outils pour les diffuser. Les utilisateurs de Tor doivent être particulièrement prudents avec les fichiers téléchargés depuis le dark web, qui constituent un vecteur d'infection privilégié.

Métadonnées

Données contextuelles qui décrivent une communication sans en révéler le contenu.

Les métadonnées sont les informations qui décrivent une communication sans en révéler le contenu : qui a communiqué avec qui, à quelle heure, depuis quel appareil, via quel protocole, avec quelle taille de message. Les métadonnées sont souvent aussi révélatrices que le contenu lui-même : savoir que vous appelez un numéro de SOS suicide à 2 h du matin suffit à tirer des conclusions, sans écouter la conversation. Tor et les messageries E2EE protègent le contenu mais pas toujours les métadonnées. Des outils comme Ricochet Refresh ou Briar vont plus loin en éliminant aussi les métadonnées côté serveur, puisqu'il n'y a pas de serveur. L'analyse de métadonnées est au cœur du renseignement moderne.

Mixer (Tumbler)

Aussi appelé : tumbler, cryptocurrency mixer

Service qui mélange des transactions crypto pour brouiller les pistes.

Un mixer, ou tumbler, est un service qui mélange des transactions en cryptomonnaies de plusieurs utilisateurs afin de brouiller les pistes sur la blockchain. Le principe : vous envoyez une certaine somme au mixer, qui la mélange avec celles d'autres utilisateurs, puis vous restitue un montant équivalent (moins une commission) depuis d'autres adresses sans lien apparent avec l'origine. Les mixers centralisés (Helix, Bitcoin Fog, ChipMixer) ont fait l'objet de poursuites judiciaires pour blanchiment et la plupart ont été fermés. Les protocoles décentralisés (Wasabi Wallet avec CoinJoin, Samourai Wallet avec Whirlpool) offrent une meilleure garantie juridique et technique, mais les outils d'analyse blockchain modernes peuvent souvent démêler une partie des mixages.

Monero

Aussi appelé : XMR

Cryptomonnaie conçue pour l'anonymat par défaut, avec signatures en anneau.

Monero (symbole XMR) est une cryptomonnaie lancée en 2014 et spécifiquement conçue pour offrir une confidentialité par défaut, là où Bitcoin expose toutes les transactions. Trois mécanismes principaux assurent cette confidentialité : les signatures en anneau (une transaction est indifférenciable de celles du groupe auquel elle appartient), les adresses furtives (un destinataire reçoit via une adresse unique à usage unique) et RingCT (les montants des transactions sont chiffrés). Sur le dark web, Monero est devenu progressivement la cryptomonnaie privilégiée pour les transactions sensibles, au détriment de Bitcoin jugé trop traçable. Les agences de police américaines ont offert des primes importantes pour développer des outils de traçage de Monero, sans succès public à ce jour.

obfs4

Pluggable transport qui camoufle le trafic Tor en trafic aléatoire.

obfs4 (obfuscation 4) est un pluggable transport de Tor, c'est-à-dire un module qui transforme l'apparence du trafic Tor pour le rendre indistinguable de trafic aléatoire. Cette obfuscation permet de contourner les systèmes de Deep Packet Inspection (DPI) utilisés par les États pour détecter et bloquer Tor, comme le Great Firewall chinois ou les dispositifs iraniens. Le trafic obfs4 apparaît comme des données aléatoires, sans signature protocolaire identifiable. Pour utiliser obfs4, il faut configurer Tor Browser pour passer par un bridge compatible. Plusieurs milliers de bridges obfs4 sont maintenus par des bénévoles à travers le monde. D'autres pluggable transports existent, notamment meek (qui imite du trafic HTTPS vers Cloudflare ou Azure) et Snowflake.

OnionShare

Outil open source pour partager des fichiers anonymement sans serveur tiers.

OnionShare est un logiciel open source créé en 2014 par Micah Lee, ingénieur sécurité de The Intercept. Il permet de partager un fichier (ou un dossier, un site statique, un chat) via une adresse .onion générée localement sur l'ordinateur de l'expéditeur. Aucun serveur tiers n'est impliqué : votre ordinateur devient lui-même un serveur .onion temporaire. Le destinataire accède à l'adresse via Tor Browser et télécharge directement depuis votre machine. Dès la fermeture d'OnionShare, l'adresse disparaît. Le logiciel est multiplateforme (Windows, macOS, Linux) et particulièrement utilisé par les journalistes, avocats, militants et toute personne voulant partager des fichiers sensibles sans laisser de traces sur des services cloud.

OpSec (Sécurité opérationnelle)

Aussi appelé : sécurité opérationnelle, operational security

Ensemble des pratiques visant à protéger des informations critiques dans une activité.

L'OpSec (Operational Security) désigne l'ensemble des pratiques qui permettent de protéger une activité ou une identité contre la collecte d'informations par des adversaires. Héritée du vocabulaire militaire, l'OpSec est un concept central dans la culture du dark web : les utilisateurs apprennent à compartimenter leurs identités, à éviter les habitudes reconnaissables, à ne jamais mélanger pseudonymes et identité civile, à utiliser les outils techniques correctement. Une bonne OpSec inclut le choix du système d'exploitation (Tails, Whonix), la gestion rigoureuse des mots de passe, la prudence dans les communications, l'élimination des métadonnées, le contrôle du fuseau horaire, etc. La plupart des arrestations sur le dark web résultent de défaillances OpSec, pas de failles du protocole Tor.

OSINT

Renseignement d'origine ouverte : collecte d'informations publiques pour enquêter.

OSINT (Open Source Intelligence) désigne les techniques de collecte et d'analyse d'informations disponibles publiquement : sites web, réseaux sociaux, registres officiels, images satellite, publications académiques, documents gouvernementaux. Bellingcat, Forensic Architecture et d'autres collectifs journalistiques ont popularisé l'OSINT dans l'investigation moderne. Les outils incluent Maltego, SpiderFoot, theHarvester, Shodan. Les journalistes d'investigation combinent souvent OSINT avec des sources confidentielles transmises via SecureDrop. Apprendre l'OSINT est devenu une compétence de base pour les journalistes de terrain, les enquêteurs en cybersécurité et les analystes en renseignement.

OTR (Off-the-Record)

Protocole de chiffrement pour messagerie instantanée, avec déni plausible.

OTR (Off-the-Record Messaging) est un protocole cryptographique pour la messagerie instantanée publié en 2004. Il fournit chiffrement end-to-end, authentification, perfect forward secrecy, et surtout « plausible deniability » : les messages reçus ne peuvent pas être prouvés cryptographiquement à un tiers, même s'ils sont authentifiés en temps réel par le destinataire. OTR a été très utilisé avec Pidgin et Adium pour chiffrer des conversations XMPP et IRC. Le protocole plus récent OMEMO a remplacé OTR pour XMPP, et Signal Protocol (Double Ratchet) a modernisé l'approche. OTR reste implémenté dans plusieurs clients de messagerie axés vie privée.

Perfect Forward Secrecy

Aussi appelé : PFS, confidentialité persistante

Propriété cryptographique garantissant que les messages passés restent illisibles si une clé est compromise.

Perfect Forward Secrecy (PFS), ou confidentialité persistante en français, est une propriété des protocoles cryptographiques qui garantit qu'un compromis de clé à long terme ne permet pas de déchiffrer les communications passées. Concrètement, chaque session utilise une clé éphémère dérivée cryptographiquement, supprimée après usage. Si un attaquant obtient la clé privée principale des mois plus tard, il ne peut pas rétrospectivement déchiffrer les échanges enregistrés. TLS 1.3, Signal Protocol, OTR et les handshakes Tor v3 implémentent PFS. C'est une propriété critique contre l'attaque « capture now, decrypt later » pratiquée par les agences de renseignement.

PGP (Pretty Good Privacy)

Standard historique de chiffrement asymétrique pour email et fichiers.

PGP (Pretty Good Privacy) est un logiciel de chiffrement créé en 1991 par Phil Zimmermann, devenu le standard du chiffrement asymétrique pour email et fichiers. Le principe repose sur une paire de clés : une clé publique (diffusée librement) que quiconque peut utiliser pour chiffrer un message qui vous est destiné, et une clé privée (gardée secrète) qui seule permet de déchiffrer. L'implémentation open source la plus répandue est GnuPG (GPG). Sur le dark web, PGP est un standard culturel : les vendeurs sérieux publient leur clé publique pour recevoir les adresses postales chiffrées, les journalistes publient la leur pour que les sources puissent les contacter en toute confidentialité. Keybase propose une gestion simplifiée des clés PGP liées à des identités sociales.

Plausible deniability

Aussi appelé : déni plausible

Propriété qui permet à une personne de nier de manière crédible avoir fait ou dit quelque chose.

La plausible deniability est la propriété qui permet à une personne de nier de manière techniquement crédible avoir fait, dit ou stocké quelque chose. En cryptographie, OTR offre le déni plausible pour les messages (impossible de prouver l'authenticité à un tiers a posteriori). VeraCrypt offre le déni plausible par ses conteneurs cachés : on peut révéler un mot de passe qui donne accès à un contenu anodin, tout en gardant secret un second mot de passe qui révèle le vrai contenu. Pour les activistes et journalistes dans des contextes où l'on peut être forcé sous contrainte à révéler des mots de passe, ces mécanismes offrent une couche de protection juridique et physique supplémentaire.

Pluggable Transport

Module Tor qui transforme l'apparence du trafic pour contourner les blocages.

Un pluggable transport est un module optionnel de Tor qui transforme l'apparence du trafic réseau pour échapper aux systèmes de détection et de blocage. Différents pluggable transports existent, chacun adapté à des contextes de censure différents. Les plus courants sont : obfs4 (trafic aléatoire indistinguable), meek (imitation de trafic HTTPS vers des CDN comme Cloudflare ou Azure), Snowflake (rebond via des navigateurs volontaires utilisant WebRTC). Les pluggable transports sont particulièrement utiles dans les pays qui pratiquent le Deep Packet Inspection (Chine, Iran, Russie). Ils se configurent dans Tor Browser via l'option « Utiliser un bridge » et sont régulièrement mis à jour pour contrer l'évolution des techniques de censure.

ProPublica

Rédaction d'investigation américaine, premier grand média à avoir ouvert un .onion.

ProPublica est une rédaction indépendante à but non lucratif basée à New York, fondée en 2008, spécialisée dans le journalisme d'investigation. Elle a reçu plusieurs prix Pulitzer pour ses enquêtes sur la finance, la politique, la santé publique et les inégalités. En janvier 2016, ProPublica est devenu le premier grand média à lancer une version .onion officielle de son site, bien avant le New York Times, la BBC et les autres. Cette initiative, pilotée par Mike Tigas, visait à offrir aux sources et aux lecteurs dans des pays à risque un accès sans trace aux enquêtes. ProPublica utilise également SecureDrop pour recevoir des documents confidentiels. L'organisation a servi de modèle à l'ensemble de l'écosystème journalistique.

Proxy

Intermédiaire qui relaie les requêtes entre un client et un serveur.

Un proxy (ou « mandataire » en français) est un serveur intermédiaire qui reçoit les requêtes d'un client et les transmet au serveur de destination. Les proxies peuvent masquer l'identité du client au serveur (anonymat partiel), filtrer le contenu, mettre en cache les réponses. Les VPN sont une forme de proxy avec chiffrement. Tor est une forme de proxy en chaîne (plusieurs relais successifs). Les proxies SOCKS5 sont couramment utilisés pour rediriger le trafic d'une application spécifique via Tor : le proxy SOCKS de Tor Browser écoute par défaut sur le port 9050. Contrairement à un VPN, un simple proxy n'offre généralement pas de chiffrement entre le client et lui.

Ransomware

Aussi appelé : rançongiciel

Malware qui chiffre les données de la victime et exige une rançon pour les déchiffrer.

Un ransomware est un logiciel malveillant qui chiffre les fichiers de sa victime et exige le paiement d'une rançon, généralement en cryptomonnaies, pour fournir la clé de déchiffrement. Les grandes familles (LockBit, BlackCat/ALPHV, Conti, REvil, Cl0p) opèrent parfois en « RaaS » (Ransomware-as-a-Service) : les développeurs louent leur malware à des affiliés qui mènent les attaques. Les négociations et paiements transitent généralement par le dark web, avec des sites de « name and shame » pour les victimes qui refusent de payer. Les polices internationales ont démantelé plusieurs groupes majeurs ces dernières années (opération contre LockBit en février 2024, Hive en janvier 2023), mais le phénomène reste un problème majeur de cybersécurité.

Rendezvous Point

Relais où client et service caché se rencontrent sans révéler leurs IP.

Un Rendezvous Point est un relais du réseau Tor où un client et un service caché se rencontrent pour établir une connexion. Le client propose un Rendezvous Point via un Introduction Point du service caché ; le service, informé, construit un circuit vers ce Rendezvous Point ; les deux parties peuvent alors communiquer à travers ce point commun, sans que l'une connaisse l'adresse IP réelle de l'autre. Cette architecture à trois étapes (Introduction Point, publication dans le DHT, Rendezvous Point) est ce qui permet à un service .onion d'être accessible anonymement par des millions d'utilisateurs tout en restant lui-même anonyme.

Ricochet Refresh

Messagerie peer-to-peer sans serveur, basée exclusivement sur Tor.

Ricochet Refresh est une messagerie instantanée qui repose exclusivement sur les services cachés de Tor. Chaque utilisateur fait tourner un service .onion local, et les conversations se déroulent directement entre les adresses .onion des participants. Aucun serveur central, aucune inscription, aucune métadonnée collectée ailleurs que chez les participants eux-mêmes. L'identité d'un utilisateur sur Ricochet est son adresse .onion, qu'il peut renouveler à tout moment. Les conversations sont chiffrées de bout en bout et les métadonnées sont inexistantes du point de vue d'un observateur extérieur. Ricochet Refresh est la continuation d'un projet initial de 2014, repris et modernisé par Blueprint for Free Speech. C'est probablement la messagerie la plus anonyme disponible aujourd'hui pour des besoins extrêmes.

Riseup

Collectif technologique militant fournissant email, VPN et listes depuis 2000.

Riseup est un collectif technologique militant fondé en 1999-2000 à Seattle par des activistes altermondialistes. Il fournit depuis plus de vingt ans des services d'infrastructure — email, listes de discussion, VPN, pads collaboratifs — aux mouvements sociaux progressistes à travers le monde. Son accès .onion permet aux militants de communiquer sans que fournisseurs d'accès, employeurs ou gouvernements puissent intercepter leurs métadonnées. Les comptes email Riseup sont obtenus sur invitation, pour limiter les abus. Le collectif est structuré comme une association à but non lucratif aux États-Unis, avec une infrastructure technique volontairement distribuée. Il a résisté à plusieurs demandes d'accès par des agences fédérales américaines et incarne une vision militante du tech.

SecureDrop

Plateforme open source pour la communication anonyme entre sources et journalistes.

SecureDrop est une plateforme open source qui permet à une source anonyme de transmettre des documents sensibles à une rédaction via une interface .onion. Le projet, initialement conçu par Aaron Swartz et Kevin Poulsen en 2013 sous le nom de DeadDrop, a été repris par la Freedom of the Press Foundation après la mort d'Aaron Swartz. L'architecture de SecureDrop implique plusieurs machines isolées dans le bureau de la rédaction, des sas d'authentification physique et un chiffrement end-to-end à plusieurs couches. Plus de quatre-vingts grandes rédactions mondiales utilisent SecureDrop : New York Times, Washington Post, The Guardian, ProPublica, The Intercept, Le Monde, Mediapart, etc. Plusieurs fuites majeures de la dernière décennie ont transité par cette plateforme.

Silk Road

Première grande marketplace du dark web, active de 2011 à 2013.

Silk Road a été la première grande marketplace du dark web, lancée en février 2011 par Ross Ulbricht sous le pseudonyme de Dread Pirate Roberts. La plateforme permettait l'achat et la vente de biens divers, principalement des drogues, avec paiement exclusif en Bitcoin. Son succès a été fulgurant, avec plusieurs dizaines de milliers de vendeurs et acheteurs actifs. En octobre 2013, Ross Ulbricht a été arrêté dans une bibliothèque publique de San Francisco, et le site saisi. Condamné en 2015 à deux peines de prison à perpétuité sans possibilité de libération conditionnelle, Ulbricht est devenu un symbole des débats sur la sévérité de la justice fédérale américaine. Il a été gracié par Donald Trump en janvier 2025.

Snowflake

Pluggable transport utilisant WebRTC pour contourner les blocages de Tor.

Snowflake est un pluggable transport de Tor lancé en 2019, qui utilise la technologie WebRTC pour contourner les systèmes de blocage. Son originalité est de s'appuyer sur des « proxies éphémères » : des volontaires à travers le monde installent une extension Chrome ou Firefox qui transforme leur navigateur en relais temporaire Tor quand ils sont en ligne. Les utilisateurs dans des pays censurés sont routés à travers ces proxies aléatoires, ce qui rend le blocage particulièrement difficile (il faudrait bloquer tous les navigateurs qui ouvrent WebRTC). Snowflake a été massivement utilisé lors des manifestations en Iran en 2022-2023, avec des centaines de milliers de sessions par jour. Le projet est maintenu par le Tor Project avec des contributions externes.

SOCKS5

Protocole de proxy générique supportant tous les types de trafic TCP.

SOCKS5 est la version 5 du protocole SOCKS (Socket Secure), un standard pour les proxies génériques. Contrairement à un proxy HTTP qui ne gère que le trafic web, SOCKS5 peut faire passer n'importe quel type de trafic TCP (et optionnellement UDP) : email, SSH, FTP, messageries, torrent. Il supporte plusieurs méthodes d'authentification et peut fonctionner avec ou sans chiffrement additionnel. Tor expose une interface SOCKS5 locale sur le port 9050 (9150 dans Tor Browser), ce qui permet de rediriger n'importe quelle application compatible SOCKS5 à travers le réseau Tor. La plupart des clients modernes (Firefox, Thunderbird, IRC clients) supportent nativement SOCKS5.

Stem (bibliothèque Python)

Bibliothèque Python officielle pour interagir avec le protocole Tor.

Stem est la bibliothèque Python officielle pour interagir avec le protocole Tor, maintenue par le Tor Project depuis 2012. Elle permet d'écrire des scripts qui contrôlent Tor, surveillent les relais, publient des services cachés ou analysent le réseau. Les outils Nyx (monitoring de relais en ligne de commande), OnionShare et d'innombrables projets de recherche reposent sur Stem. La bibliothèque offre une API complète pour tous les aspects programmatiques de Tor : construction de circuits, contrôle des flags de relais, publication de descriptors. C'est l'outil de référence pour les développeurs qui veulent construire des applications intégrées à Tor.

Stylométrie

Analyse statistique du style d'écriture pour identifier ou distinguer des auteurs.

La stylométrie est une technique qui analyse statistiquement les caractéristiques du style d'écriture d'un auteur : fréquence des mots, structure des phrases, ponctuation, vocabulaire spécifique. Ces caractéristiques forment une « empreinte stylistique » relativement stable dans le temps, qui peut servir à identifier un auteur anonyme en le comparant à des textes connus. Des affaires judiciaires célèbres ont reposé sur la stylométrie (l'identification d'Unabomber Ted Kaczynski via son manifeste). Pour les lanceurs d'alerte et sources journalistiques, la stylométrie est une menace sérieuse à l'anonymat : il faut parfois reformuler les documents pour gommer les tics d'écriture distinctifs avant publication.

Tails OS

Aussi appelé : tails

Système d'exploitation amnésique lancé depuis une clé USB, routant tout via Tor.

Tails (The Amnesic Incognito Live System) est un système d'exploitation Linux basé sur Debian, conçu pour préserver la vie privée et l'anonymat. Sa particularité : il se lance depuis une clé USB sans être installé sur le disque dur, et tout le trafic Internet est routé par défaut à travers Tor. À l'extinction, Tails ne laisse aucune trace sur la machine hôte, sauf si l'utilisateur a activé un « persistent storage » chiffré. Le système inclut par défaut Tor Browser, Thunderbird avec Enigmail, KeePassXC, OnionShare, Electrum et de nombreux autres outils de privacy. Tails est recommandé par Edward Snowden et utilisé par des journalistes d'investigation du monde entier, notamment ceux qui travaillent sur des dossiers particulièrement sensibles.

TLS

Aussi appelé : SSL

Protocole de chiffrement utilisé pour sécuriser les communications web (HTTPS).

TLS (Transport Layer Security) est le protocole qui sécurise la plupart des communications Internet modernes, notamment HTTPS pour le web. Successeur de SSL (obsolète depuis 2015), TLS est actuellement dans sa version 1.3 (publiée en 2018), qui a considérablement simplifié le handshake et amélioré la sécurité. TLS assure confidentialité, intégrité et authentification via des certificats délivrés par des autorités de certification. Let's Encrypt a démocratisé l'obtention gratuite de certificats depuis 2015. Les services .onion natifs n'ont généralement pas besoin de TLS car l'adresse .onion elle-même authentifie cryptographiquement le serveur, mais certains utilisent quand même TLS pour la compatibilité.

Tor Browser

Navigateur officiel basé sur Firefox permettant l'accès au réseau Tor.

Tor Browser est le navigateur officiel développé par le Tor Project pour accéder au réseau Tor. Il est basé sur Firefox ESR (Extended Support Release) et pré-configuré avec une série de protections : désactivation des plugins par défaut, standardisation de l'empreinte navigateur pour contrer le fingerprinting, intégration de HTTPS Everywhere et NoScript, routage automatique du trafic via Tor. Tor Browser est gratuit, open source et disponible sur Windows, macOS, Linux et Android (via Google Play ou F-Droid). La version iOS officielle n'existe pas encore ; Onion Browser est l'alternative recommandée sur iPhone. Maintenir Tor Browser à jour est essentiel : les mises à jour corrigent les failles de sécurité qui pourraient compromettre l'anonymat.

Tor Project

Organisation non lucrative américaine qui développe et maintient Tor.

Le Tor Project est une organisation à but non lucratif fondée en décembre 2006 par Roger Dingledine et Nick Mathewson, basée à Seattle. Sa mission est de développer et maintenir le logiciel Tor ainsi que l'écosystème associé (Tor Browser, Tails, pluggable transports). L'organisation est financée par des dons individuels, des fondations philanthropiques (Ford, Open Society, Knight), et des subventions gouvernementales (notamment via l'Open Technology Fund américain). Cette dernière source de financement crée un paradoxe régulièrement commenté : Tor est partiellement financé par le gouvernement américain tout en étant utilisé par des dissidents dans le monde entier. Le Tor Project emploie une soixantaine de personnes et coordonne des milliers de bénévoles qui opèrent des relais.

Tor2web

Passerelle qui permet d'accéder aux services .onion depuis un navigateur classique.

Tor2web était un projet lancé en 2010 par Aaron Swartz et Virgil Griffith qui permettait d'accéder aux services .onion depuis un navigateur ordinaire sans installer Tor. Il suffisait de remplacer « .onion » par « .tor2web.org » (ou d'autres domaines) dans l'URL. Ce service simplifiait l'accès mais compromettait radicalement l'anonymat : la passerelle voyait à la fois l'utilisateur et le service visité. Le Tor Project a toujours déconseillé cet usage. Le projet Tor2web historique a été officiellement arrêté en 2018. Des passerelles similaires continuent d'exister mais restent déconseillées pour tout usage sérieux.

Torrc

Fichier de configuration principal du logiciel Tor.

Le fichier torrc est le fichier de configuration principal du logiciel Tor. Il permet de personnaliser le comportement du programme : spécifier un bridge, configurer un hidden service, ajuster la politique de sortie d'un relais, définir les ports d'écoute, activer le mode client ou relais, et de nombreuses autres options. L'édition du torrc est nécessaire pour les configurations avancées : hébergement d'un site .onion, fonctionnement en tant que relais ou bridge, utilisation de transports obfusqués spécifiques. La documentation officielle du Tor Project décrit exhaustivement toutes les options disponibles. Pour un usage grand public de Tor Browser, aucune modification n'est nécessaire : les paramètres par défaut sont optimisés pour la sécurité et la confidentialité.

Vanity Address (Adresse personnalisée)

Aussi appelé : adresse vanity

Adresse .onion dont les premiers caractères forment un mot lisible.

Une vanity address (ou adresse vanity) est une adresse .onion dont les premiers caractères forment un mot ou une chaîne lisible, comme facebookwkhpilnemxj7asaniu7vnjjbiltxjqhye3mhbshg7kx5tfyd.onion pour Facebook. Ces adresses ne sont pas choisies librement : elles sont générées en calculant aléatoirement des milliards de clés Ed25519 jusqu'à ce qu'une d'entre elles produise une adresse correspondant au préfixe souhaité. Plus le préfixe est long, plus la génération est longue. Un préfixe de six caractères peut prendre quelques heures sur une machine puissante ; un préfixe de huit caractères plusieurs jours ; au-delà, cela devient industriellement coûteux. Des outils comme mkp224o facilitent la génération. Les vanity addresses ne sont pas plus sécurisées que les adresses aléatoires, mais elles facilitent la reconnaissance.

VeraCrypt

Logiciel open source de chiffrement de disques et conteneurs, successeur de TrueCrypt.

VeraCrypt est un logiciel open source de chiffrement de disques et de conteneurs, lancé en 2013 comme fork de TrueCrypt (abandonné mystérieusement en mai 2014). Il permet de chiffrer des partitions entières, des disques USB, ou de créer des conteneurs chiffrés apparaissant comme des fichiers ordinaires. Sa fonctionnalité de « volumes cachés » offre le déni plausible : un conteneur peut contenir deux niveaux de contenu accessibles par deux mots de passe différents, sans qu'il soit possible de prouver l'existence du second. VeraCrypt est multiplateforme (Windows, macOS, Linux), inclus par défaut dans Tails, et reste la référence pour le chiffrement local de données sensibles.

VPN (Virtual Private Network)

Tunnel chiffré masquant votre IP derrière celle d'un serveur intermédiaire.

Un VPN (Virtual Private Network) est un tunnel chiffré entre votre appareil et un serveur intermédiaire, à travers lequel transite tout votre trafic Internet. Les sites que vous visitez voient l'adresse IP du serveur VPN, pas la vôtre. Les VPN sont commerciaux pour la plupart (NordVPN, ExpressVPN, ProtonVPN, Mullvad, etc.) et leur fiabilité dépend entièrement de la parole du fournisseur sur sa politique de logs et son respect de la vie privée. Contrairement à Tor, un VPN est centralisé : tout votre trafic passe par une seule entreprise, qui pourrait théoriquement vous surveiller. L'usage combiné Tor + VPN fait débat dans la communauté : certains scénarios peuvent renforcer l'anonymat, d'autres l'affaiblissent. Le Tor Project ne recommande pas systématiquement l'ajout d'un VPN à Tor.

Warrant canary

Aussi appelé : canari judiciaire

Message publié régulièrement pour signaler par son absence qu'une demande secrète a été reçue.

Un warrant canary est un mécanisme juridique indirect qui permet à une organisation de signaler qu'elle a reçu une demande judiciaire secrète (comme une National Security Letter aux États-Unis, que les destinataires ne peuvent pas révéler publiquement). Le principe : publier régulièrement un message qui affirme « nous n'avons reçu aucune demande secrète à ce jour ». Si le message disparaît ou n'est plus renouvelé, les utilisateurs avertis peuvent en déduire qu'une demande a été reçue. Apple, Reddit, Mullvad VPN et d'autres entreprises utilisent cette technique. Sa validité juridique n'a jamais été testée devant les tribunaux américains.

WebRTC leak

Fuite de la vraie IP via l'API WebRTC des navigateurs, même derrière un VPN ou Tor.

Les fuites WebRTC sont un problème de confidentialité où un navigateur révèle la véritable adresse IP locale de l'utilisateur via l'API WebRTC (Web Real-Time Communication), utilisée normalement pour la visioconférence peer-to-peer. Même derrière un VPN ou Tor, WebRTC peut révéler l'IP réelle via les mécanismes STUN/TURN de découverte réseau. Tor Browser désactive par défaut WebRTC pour éviter ce risque. Les utilisateurs de VPN avec Chrome ou Firefox doivent vérifier leur configuration (certaines extensions ou paramètres avancés permettent de désactiver WebRTC). Les sites comme browserleaks.com permettent de tester l'intégrité de l'anonymat.

Whonix

Système d'exploitation isolé en deux machines virtuelles pour un usage intensif de Tor.

Whonix est un système d'exploitation basé sur Debian, conçu pour une utilisation anonyme et sécurisée. Sa particularité technique est d'être composé de deux machines virtuelles isolées : une « Gateway » qui gère exclusivement la connexion Tor, et un « Workstation » où l'utilisateur travaille. Cette architecture garantit que même si le Workstation est compromis par un malware, celui-ci ne peut pas découvrir l'adresse IP réelle de la machine hôte — il ne voit que la Gateway Tor. Whonix se lance dans VirtualBox, QEMU ou Qubes OS, et est complémentaire à Tails : là où Tails est un système amnésique sur clé USB, Whonix est un système persistant pour un usage quotidien intensif. C'est la solution privilégiée pour les utilisateurs professionnels aux besoins de sécurité extrêmes.

Zcash

Aussi appelé : ZEC

Cryptomonnaie utilisant des preuves à divulgation nulle pour l'anonymat optionnel.

Zcash est une cryptomonnaie lancée en 2016 qui offre des transactions privées optionnelles grâce aux zk-SNARKs (preuves cryptographiques à divulgation nulle de connaissance). Contrairement à Monero où la confidentialité est obligatoire, Zcash permet de choisir entre transactions transparentes (comme Bitcoin) et transactions « shielded » (chiffrées). Les adresses commencent par « t » pour les transparentes, « z » pour les privées. Le protocole a été conçu par des cryptographes académiques de référence (Matthew Green, Eli Ben-Sasson et d'autres). Zcash est moins utilisé que Monero sur le dark web car la majorité des utilisateurs choisissent les transactions transparentes par commodité, mais son architecture cryptographique est remarquable.

Zero-day

Aussi appelé : 0-day, faille zero-day

Vulnérabilité logicielle inconnue du fournisseur et donc sans correctif disponible.

Un zero-day (ou 0-day) est une vulnérabilité de sécurité qui n'est pas connue du fournisseur du logiciel concerné, donc sans correctif disponible. Les exploits zero-day ont une valeur commerciale considérable : les programmes de bug bounty (payés par les fournisseurs pour corriger) offrent des primes de plusieurs dizaines à plusieurs millions de dollars selon le logiciel, tandis que les marchés gris (gouvernements, agences de renseignement) et noirs (criminels) paient encore plus. Zerodium, Crowdfense et d'autres courtiers spécialisés achètent des zero-days pour plusieurs millions de dollars sur certains logiciels critiques (iOS, Android, Chrome). Les navigateurs comme Tor Browser sont des cibles particulièrement intéressantes car exploiter un zero-day sur Tor Browser permet de désanonymiser des utilisateurs.