La mascotte ours polaire NordBastion dans un crypte-observatoire nordique en pierre avec un grand symbole Tor en forme d'oignon violet profond flottant devant lui et une pluie de code matrix cyber-vert tombant autour des couches
Mode d'emploi · Auto-hébergement·10 min de lecture · 20 min de pratique

Auto-hébergez un service caché Tor v3.
Vingt minutes pour votre propre .onion.

Cinq étapes depuis le provisionnement d'un VPS jusqu'à une adresse onion v3 vivante de 56 caractères accessible uniquement via le réseau Tor. Testé sur Debian 12 avec le dépôt officiel du Tor Project.

Les cinq étapes
  1. 01

    Provisionner

    Un VPS nordique

  2. 02

    Installer

    Package officiel Tor

  3. 03

    Configurer

    Deux lignes dans torrc

  4. 04

    Obtenir l'adresse

    cat .../hostname

  5. 05

    Durcir

    Permissions + isolation

Étape 01 · Provisionnement

N'importe quel bastion nordique convient. Tor s'occupe de la géographie.

Contrairement à un site clearnet, un service caché n'a pas vraiment d'importance sur quel bastion physique il réside — les clients vous atteignent via trois relais Tor, donc la latence vers le bastion n'affecte pas beaucoup l'expérience utilisateur. Choisissez le bastion dans lequel vous avez d'autres charges de travail, ou celui dont la juridiction correspond le mieux à votre modèle de menace (voir /guides/nordic-jurisdictions-for-privacy-hosting/).

Le niveau Sentinel (5,90 $/mois) est largement suffisant pour un service caché hébergeant un site personnel, un endpoint SSH compatible Tor, ou un petit miroir onion Mastodon. Les services cachés plus importants (instance Mastodon principale, partage de fichiers, etc.) nécessiteront Garrison ou Ravelin pour la RAM et le stockage supplémentaires.

Étape 02 · Installation

Dépôt officiel du Tor Project, pas le package de la distribution.

Le Tor distribué par les packages est souvent en retard de plusieurs mois sur l'upstream et peut manquer des correctifs de sécurité. Utilisez le propre dépôt apt du Tor Project :

apt install -y apt-transport-https gpg curl
curl -fsSL https://deb.torproject.org/torproject.org/A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89.asc \
  | gpg --dearmor -o /usr/share/keyrings/tor-archive-keyring.gpg
echo "deb [signed-by=/usr/share/keyrings/tor-archive-keyring.gpg] \
  https://deb.torproject.org/torproject.org bookworm main" \
  > /etc/apt/sources.list.d/tor.list
apt update
apt install -y tor deb.torproject.org-keyring

Vérifiez que le démon est actif : systemctl status tor — doit afficher Active (running). La configuration par défaut n'ouvre aucun port entrant et fait fonctionner Tor en client relais uniquement ; nous le transformerons en service caché à l'étape suivante.

Étape 03 · Configuration

Deux lignes dans torrc. C'est tout.

Ouvrez /etc/tor/torrc et ajoutez :

HiddenServiceDir /var/lib/tor/my_service/
HiddenServicePort 80 127.0.0.1:80

Deux choses à savoir. (1) HiddenServiceDir est l'endroit où Tor stocke la clé privée du service (le secret qui définit l'adresse .onion). Tor crée le répertoire au premier démarrage ; ne modifiez pas son contenu. (2) HiddenServicePort mappe le port public sur l'onion vers un port local — ici, le port 80 sur l'onion va vers 127.0.0.1:80 (nginx, Apache, tout ce qui écoute localement). Ajoutez d'autres lignes HiddenServicePort pour des ports supplémentaires (HTTPS sur 443, SSH sur 22, etc.).

Quelle que soit la cible locale à laquelle vous liez (nginx, sshd, gitea), assurez-vous qu'elle écoute sur 127.0.0.1 — pas sur 0.0.0.0. Un service lié à 0.0.0.0 est également accessible via l'IP publique, ce qui contredit la prémisse du service-caché uniquement.

Étape 04 · Obtenir l'adresse

Redémarrez Tor. Lisez le fichier hostname.

Redémarrez Tor ; Tor génère la paire de clés v3 et l'adresse :

systemctl restart tor
cat /var/lib/tor/my_service/hostname
# example output:
# 7f43hp...long-string...7q.onion

Cette chaîne base32 de 56 caractères se terminant par .onion est l'adresse de votre service caché. Elle est dérivée de la clé publique Ed25519 dans /var/lib/tor/my_service/hs_ed25519_public_key. Quiconque possède l'adresse peut atteindre le service via Tor Browser (ou tout client compatible Tor). Testez-le : ouvrez Tor Browser, collez l'adresse, appuyez sur Entrée — votre service web devrait répondre.

Sauvegardez le contenu de /var/lib/tor/my_service/ dans un endroit sûr. Perdre les clés signifie perdre l'adresse .onion — elle ne peut pas être récupérée. Partager les clés signifie que quiconque les possède peut faire tourner le même .onion depuis n'importe quel serveur.

Étape 05 · Durcissement

Permissions, isolation, suppression des bannières. La partie ennuyeuse mais critique.

1. Vérifiez que le service s'exécute en tant qu'utilisateur debian-tor, et non root. apt install s'en charge sur Debian/Ubuntu. Vérifiez : ps aux | grep tor — l'uid ne doit pas être 0.

2. Verrouillez les clés. chmod 700 /var/lib/tor/my_service/ — seul debian-tor peut lire. Tor refuse de démarrer si le répertoire est lisible par tous.

3. Supprimez les bannières serveur. nginx : server_tokens off; dans le contexte http. Apache : ServerTokens Prod, ServerSignature Off. Application web : supprimez X-Powered-By, définissez Server: vide si votre proxy inverse le permet. L'objectif est qu'une réponse HTTP du .onion ne fuite pas l'IP ou le hostname.

4. Désactivez les fuites DNS sortantes. Votre application web ne doit pas résoudre les noms de domaine externes à la demande, sinon ces requêtes DNS quittent le VPS par clearnet. Configurez l'application pour utiliser le proxy SOCKS de Tor pour les appels sortants (127.0.0.1:9050).

5. Configurez Onion-Location sur votre site clearnet. Ajoutez cet en-tête à votre configuration nginx clearnet : add_header Onion-Location http://<your-onion>.onion$request_uri; — les utilisateurs de Tor Browser reçoivent désormais une invite pour rediriger automatiquement vers l'onion.

FAQ · Tor

Questions, réponses.

Huit questions qu'un opérateur de service caché pour la première fois pose.

Qu'est-ce qu'une adresse onion v3 et en quoi diffère-t-elle de la v2 ?

Une adresse onion v3 est une chaîne base32 de 56 caractères se terminant par .onion, dérivée d'une clé publique Ed25519. La v2 (dépréciée et désactivée par Tor depuis 2021) utilisait un base32 de 16 caractères issu d'une clé RSA-1024 tronquée — courte, mais cryptographiquement bien plus faible. La v3 possède une clé plus solide (Ed25519), une meilleure confidentialité de l'annuaire (pas d'énumération des services), une prise en charge de l'autorisation client, et est la seule version encore opérationnelle. Si vous voyez une adresse .onion de 16 caractères, elle est morte.

Un service caché Tor divulgue-t-il l'IP de mon serveur ?

Un service correctement configuré ne le fait pas. Tor se connecte depuis votre VPS vers trois relais Tor (un garde, un intermédiaire, un rendez-vous) et n'accepte jamais de connexions entrantes directement sur l'IP du VPS. Le service caché n'est accessible que via le circuit Tor. Les mauvaises configurations qui FONT fuir l'IP : l'exécution du service sur un port public (il devrait être lié à 127.0.0.1), les fuites DNS de l'application web hébergée, les bannières du logiciel serveur estampillant l'IP dans les réponses sortantes. La liste de contrôle standard ci-dessous couvre chacun de ces cas.

Mon fournisseur VPS peut-il voir ce qui se trouve sur le service caché ?

Votre fournisseur VPS voit le trafic Tor sortant de votre VPS — il sait que « ce serveur fait tourner Tor » mais pas quel contenu est atteint. Il ne peut pas voir ce qui se trouve sur le service caché depuis l'extérieur ; il peut voir ce qui se trouve sur le disque depuis l'intérieur, comme tout fournisseur VPS. NordBastion n'accède pas aux disques des clients, mais un serveur que vous ne contrôlez pas avec chiffrement intégral du disque est un serveur qu'un opérateur peut théoriquement lire. Pour une confidentialité absolue du service caché, utilisez LUKS avec une phrase de passe que vous seul possédez — Servury l'intègre par défaut sur le matériel dédié, les autres (NordBastion inclus) le laissent en option à installer par le client.

Comment obtenir une adresse .onion personnalisée (commençant par mon nom de marque par exemple) ?

Utilisez mkp224o — un outil open-source qui force en force brute des paires de clés Ed25519 jusqu'à ce que l'adresse v3 résultante commence par un préfixe choisi. Un préfixe de 4 caractères se trouve en quelques minutes sur un ordinateur portable moderne ; un préfixe de 7 caractères prend quelques heures ; 10+ caractères prend des semaines à des mois sur du matériel dédié. L'adresse onion résultante est cryptographiquement valide — la force brute ne fait que trouver la clé dont la partie publique hachée commence par les caractères souhaités.

Quelle est la vitesse d'un service caché ?

Plus lent que le clearnet. Tor achemine via trois relais, chaque aller-retour ajoute ~300-800ms de latence. Le débit est limité par le relais le plus lent du circuit choisi ; comptez 1-5 MB/s en moyenne pour le contenu statique, moins pour les charges de travail interactives. Tor a introduit les optimisations « HSDir bandwidth » et HiddenServiceSingleHopMode pour les cas où l'anonymat côté service n'est pas requis.

Dois-je utiliser HiddenServiceSingleHopMode ?

Uniquement si votre modèle de menace accepte que le côté SERVICE soit publiquement connu (par exemple, vous avez déjà publié « cet onion tourne sur mon serveur en Islande »). Le mode à un seul saut saute les relais garde+intermédiaire côté service et se connecte directement au rendez-vous, ce qui est plus rapide (200 à 400 ms de latence en moins) mais ne protège pas l'IP côté service. Les clients obtiennent toujours une confidentialité complète à trois sauts de leur côté. Pour un service caché qui a besoin d'anonymat côté serveur, laissez-le désactivé (la valeur par défaut).

Puis-je faire tourner un service caché sur le même VPS que mon site clearnet ?

Oui, et de nombreux sites le font. Le serveur web clearnet écoute sur l'IP publique aux ports 80/443 ; le service caché Tor pointe vers le même serveur web sur 127.0.0.1 aux mêmes ports. Les deux atteignent le même contenu. Deux notes opérationnelles : (1) assurez-vous que le serveur web ne stamp pas l'IP publique dans les en-têtes (Server, X-Real-IP, banderoles de hostname), et (2) définissez l'en-tête HTTP Onion-Location sur le site clearnet pour que les utilisateurs de Tor Browser soient automatiquement redirigés vers l'adresse onion.

Qu'est-ce que Vanguards / Vanguards-lite ?

Un module complémentaire Tor (Vanguards) qui fixe le relais de garde côté service, atténuant une classe d'attaques où un attaquant observe quels gardes le service fait tourner et les utilise pour le désanonymiser. Vanguards-lite est intégré au démon Tor depuis la version 0.4.7 et est activé par défaut pour les services cachés dans les versions actuelles de Tor — vous n'avez généralement rien à faire pour en bénéficier. Le module complémentaire Vanguards complet est excessif pour la plupart des services cachés personnels et utile principalement pour les cibles de grande valeur.

Prêt

Commandez un VPS et mettez votre service sur l'onion.

Voir le catalogue VPS Ensuite : durcissez le VPS Ou : VPN WireGuard

Dernière révision · 2026-05-20 · Testé · Debian 12 · Tor 0.4.8+

Part of the series

Anonymous VPS hosting in 2026 — the cluster.

This guide is one spoke of a larger series. The pillar walks the three privacy layers end to end — the sibling spokes below dive into the specifics.

Guide pilier
Read the pillar · Anonymous VPS hosting in 2026

Three independent layers — signup, payment, network — explained, legal context included, common mistakes flagged.

Open the pillar
Self-host · network
WireGuard VPN on a VPS

Your own WireGuard tunnel — server config, peer keys, kill-switch.

Continue →
Fundamentals
No-KYC VPS, explained

What “no KYC” actually means — and what it does not.

Continue →
Fundamentals
Nordic jurisdictions for privacy hosting

Why Sweden, Finland, Norway and Iceland — the legal floor of each.

Continue →
Paiements
How to pay a VPS with Monero

XMR end-to-end — wallet, transfer, confirmations, change.

Continue →