Deux rectifications avant tout : vous n’accédez pas au dark web avec un VPN (c’est Tor qui fait ça), et y naviguer n’est pas illégal dans la plupart du monde (ce que vous y faites peut l’être). La plupart de ce qui est écrit sur ce sujet relève soit de la peur entretenue, soit du discours commercial, souvent les deux à la fois.
Voici la version sobre : ce qu’est vraiment le dark web, où se trouvent les vrais risques, et quel rôle légitime joue un VPN.
Ce qu’est réellement le dark web
Trois couches, souvent confondues. Le web de surface, c’est ce que les moteurs de recherche indexent. Le web profond, c’est tout ce qui se cache derrière des identifiants et des paywalls : votre e-mail, votre banque en ligne, la majeure partie d’internet en volume, et parfaitement banal. Le dark web, c’est la petite tranche accessible uniquement via un routage spécial, principalement Tor et ses adresses en .onion : des sites dont la localisation physique est dissimulée par le même routage en oignon qui dissimule leurs visiteurs.
Ce qu’on y trouve est plus nuancé que ce que les gros titres laissent entendre : des marchés criminels et forums de fraude, oui, mais aussi les boîtes à lettres pour lanceurs d’alerte de grands médias, des miroirs de sites courants (la BBC et d’autres maintiennent des versions .onion) pour les pays censurés, des portails de services de confidentialité, et des forums pour des personnes dont la situation exige l’anonymat. La technologie est neutre ; la géographie inclut à la fois des quartiers dangereux et des ambassades.
La légalité suit cette logique dans la plupart des démocraties : utiliser Tor et naviguer sur des sites .onion est légal ; acheter de la drogue, des kits de fraude ou pire est tout aussi illégal qu’ailleurs. (Quelques pays restreignent ou bloquent Tor lui-même ; le guide pays par pays identifie les pays les plus stricts.)
Où se trouvent les vrais risques
La liste honnête des risques ressemble peu au scénario hollywoodien. Les arnaques arrivent en tête : les marchés du dark web sont très exposés à la fraude dans les deux sens, et le résultat le plus courant pour le curieux est simplement de se faire escroquer. Les malwares ensuite : les sites .onion n’ont aucun système de réputation, les téléchargements sont radioactifs par défaut, et votre antivirus ne lit pas dans les pensées. Le phishing en troisième : les adresses .onion imitées sont endémiques, car le format d’adresse est impossible à mémoriser.
La désanonymisation, le risque que les gens craignent le plus, touche surtout ceux qui la méritent : se connecter à de vrais comptes via Tor, télécharger et ouvrir des fichiers qui “téléphonent à la maison”, mélanger des identités entre sessions, ou utiliser le navigateur avec des paramètres modifiés. La protection de Tor est solide contre l’observation réseau et fragile face au comportement de l’utilisateur, la même hiérarchie de traçage qu’ailleurs, mais avec des enjeux plus élevés.
Et le risque banal : votre FAI peut voir que vous utilisez Tor (pas ce que vous y faites), et l’usage de Tor est suffisamment rare pour être remarquable dans un journal réseau. Dans la plupart des démocraties, c’est sans conséquence ; sur un réseau hostile, dans un pays strict, ou simplement pour ceux qui veulent rester discrets par défaut, c’est cette visibilité qui motive l’ajout d’un VPN.
Ce qu’un VPN ajoute réellement : Tor over VPN
La combinaison légitime est une question d’ordre, pas de substitution : connectez d’abord le VPN, puis ouvrez le navigateur Tor. Votre FAI ne voit alors que le trafic VPN (la connexion Tor est cachée à l’intérieur du tunnel), et le noeud d’entrée Tor voit l’adresse du serveur VPN plutôt que votre IP à domicile. C’est le seul gain, et pour les modèles de menace décrits ci-dessus, c’est un gain réel. Proton VPN intègre cette route avec des serveurs Tor-over-VPN dédiés ; avec n’importe quel fournisseur de qualité, la séquence manuelle donne le même résultat, comme notre comparaison VPN vs Tor le détaille.
Ce que le VPN n’ajoute pas : de la vitesse (les trois sauts de Tor fixent le rythme de toute façon), une protection contre les sites malveillants (c’est une couche entièrement différente), ni d’anonymat au-delà de ce que Tor offre lui-même (c’est le routage en oignon qui fait ce travail). Et l’ordre inverse (Tor d’abord, VPN ensuite) est une niche pour experts avec de vrais inconvénients ; ignorez les guides qui le recommandent sans précaution.
Pour le choix du fournisseur dans ce cas d’usage, la priorité absolue est la preuve d’absence de logs, car le VPN sait que vous utilisez Tor : uniquement la catégorie auditée. NordVPN (logs audités, plus ses propres routes Onion-over-VPN : ici) et Proton (serveurs Tor intégrés, juridiction suisse : ici) sont les deux choix naturels.
La liste de contrôle pour une visite sans risque
Pour les curieux légitimes, la discipline qui rend une exploration ennuyeuse (dans le bon sens) : utilisez le navigateur Tor officiel, non modifié, avec le niveau de sécurité élevé ; connectez d’abord le VPN ; ne vous connectez jamais à rien lié à votre identité réelle ; ne téléchargez rien ; traitez chaque marché, offre et message privé comme une arnaque jusqu’à preuve du contraire, puis continuez à le faire ; et gardez l’identité de la session scellée (pas de vrais pseudos, pas de pseudos réutilisés, aucune des empreintes comportementales qui annulent le routage). Visiter un miroir .onion d’un journal sous cette discipline est à peu près aussi dangereux que lire les nouvelles ; s’en écarter, c’est là que commencent les histoires cautionnaires.
Le conseil réaliste pour la plupart des lecteurs est encore plus simple : le dark web n’est pas vraiment fait pour vous, non pas parce qu’il est interdit mais parce qu’il est peu pratique, plein d’arnaques et lent, et tout ce que vous en voulez légitimement (confidentialité, résistance à la censure) a des équivalents sur le web de surface documentés sur ce site. La curiosité est normale ; la préparation la rend sans danger.
Ce que les gens cherchent vraiment, mappé vers de meilleures alternatives
Démystifier la demande aide plus que les mises en garde. Vous cherchez à vous protéger de la surveillance ? La pile web de surface (VPN, messagerie chiffrée, contre-mesures de traçage) offre une confidentialité plus utilisable que l’errance sur le dark web. Vous cherchez des informations censurées ? Les miroirs .onion des grands médias sont l’usage légitime du dark web, et le navigateur Tor les atteint directement. Vous voulez signaler des abus ? Les instances SecureDrop des journalistes sont exactement pour ça, et le guide pour les utilisateurs à haut risque couvre la discipline nécessaire. Vous cherchez des marchés ? C’est le quartier où se concentrent arnaques, malwares et exposition légale, et aucune configuration dans cet article ne le rend conseillable.
Le schéma : les usages légitimes du dark web sont spécifiques et étroits, ses usages illégitimes sont là où le danger se concentre, et la plupart des curiosités sont mieux satisfaites en connaissant la carte qu’en la parcourant.
Le rôle de l’industrie de surveillance dans la peur
Une note de calibration sur pourquoi ce sujet semble plus effrayant qu’il ne l’est : les produits de “surveillance du dark web” et le marketing de notification de violation ont des incitations commerciales à dramatiser. Le fond de vérité : des identifiants piratés circulent effectivement sur les marchés du dark web, c’est pourquoi la défense pratique est la bonne gestion des mots de passe et l’authentification à deux facteurs, pas quoi que ce soit impliquant Tor. Si une alerte de surveillance indique que votre e-mail est apparu dans une fuite, la réaction est de changer le mot de passe concerné et d’activer la 2FA, des tâches effectuées entièrement sur le web de surface. Le dark web est là où le symptôme est visible, pas là où le remède se trouve.
(Et la phrase de recadrage à partager avec des proches inquiets : Tor est un outil avec des usages légitimes, y naviguer n’est pas un crime, et les parties effrayantes sont les arnaques et les téléchargements, les mêmes parties effrayantes qu’ailleurs en ligne, juste concentrées.)
La satisfaction de la curiosité est le résultat le plus probable d’une visite prudente, ce qui est précisément l’anticlimax à viser.
(Restez curieux, restez ennuyeux ; cette combinaison est toute la posture de sécurité que ce sujet requiert.)
Envie de comparer tous les VPN côte à côte ? Consultez notre tableau comparatif complet avec les scores sur 18 critères.
Visiter le dark web est légal dans la plupart des endroits et sans danger en proportion de votre discipline : Tor assure l'anonymat, le VPN en dessous cache l'utilisation de Tor elle-même, et le comportement décide de tout ensuite. Utilisez la catégorie auditée sans logs pour la couche VPN, le navigateur Tor non modifié pour le reste, et traitez tout ce qui est transactionnel là-bas comme l'arnaque qu'il est statistiquement. Le plus grand secret du dark web est à quel point les visites prudentes sont ennuyeuses, ce qui est exactement comme elles devraient être.