50 mythes sur le dark web démystifiés : fact-checking complet

Cette statistique confond deux réalités très différentes. Les 96% en question désignent le « deep web », c'est-à-dire l'ensemble des contenus non indexés par les moteurs de recherche : vos emails, vos comptes bancaires en ligne, les bases de données internes des entreprises, les intranets, tout ce qui est protégé par un mot de passe. Le dark web accessible via Tor, en revanche, ne représente qu'une infime fraction d'Internet, estimée à moins de 0,01 % du web total. Les études les plus sérieuses, comme celles de Terbium Labs ou du Tor Project lui-même, recensent entre 30 000 et 80 000 services .onion actifs à un moment donné. À comparer aux 1,8 milliards de sites du web ouvert. L'infographie en forme d'iceberg qui circule partout depuis 2001, popularisée par BrightPlanet, a durablement brouillé cette distinction dans l'imaginaire collectif.

L'étude de référence sur le sujet, menée par Daniel Moore et Thomas Rid du King's College London en 2016, a classé environ 57% des sites .onion actifs comme contenant du matériel illicite. C'est significatif, mais cela signifie aussi que 43% ne le sont pas. Et ces chiffres comptent les sites, pas le trafic : la grande majorité des visites sur Tor concerne des services parfaitement légaux comme Facebook, DuckDuckGo, BBC News, le New York Times, ProPublica, ProtonMail. Sur les 2 à 3 millions d'utilisateurs quotidiens estimés par le Tor Project, l'immense majorité ne fait rien d'illégal : ils consultent la presse, protègent leur vie privée, contournent la censure de leur pays, ou communiquent de manière sécurisée. Le dark web est un espace technique neutre, ses usages sont multiples.

Cette affirmation ne correspond à aucune réalité technique ni organisationnelle. Le réseau Tor est une infrastructure décentralisée, maintenue par environ 7 000 relais bénévoles répartis dans une centaine de pays. Il n'existe pas de « contrôle » central qui pourrait être exercé par quelque organisation que ce soit, y compris criminelle. Certains groupes de cybercriminels sont effectivement d'origine russophone, notamment dans le secteur des ransomwares, et plusieurs forums et marketplaces ont historiquement été opérés depuis l'ex-URSS. Mais ils ne représentent qu'une part de l'écosystème criminel global, qui est international et très fragmenté. Les rapports d'Europol et d'Interpol décrivent un paysage morcelé, sans hiérarchie unique, avec des acteurs chinois, nigérians, nord-américains, européens et sud-américains jouant chacun leur partition.

Les grandes rédactions internationales sont au contraire parmi les premiers utilisateurs institutionnels de Tor. ProPublica a été pionnier en 2016 avec la première grande adresse .onion d'un média généraliste. Le New York Times a suivi en 2017, la BBC en 2019, puis Deutsche Welle, Radio Free Europe, Le Monde (via SecureDrop), Mediapart, The Intercept, The Washington Post. Des centaines de journalistes professionnels utilisent Tor quotidiennement pour communiquer avec leurs sources confidentielles via des plateformes comme SecureDrop ou GlobaLeaks. Le financement de SecureDrop, assuré par la Freedom of the Press Foundation, est soutenu par des donateurs majeurs comme Reuters, l'AP ou Al Jazeera. Loin de fuir le dark web, le journalisme d'investigation en a fait un outil professionnel standard.

Le réseau Tor a été développé à partir du milieu des années 1990 par le Naval Research Laboratory de la marine américaine, dans le cadre d'un programme de recherche en communications sécurisées pour les agents gouvernementaux à l'étranger. Les chercheurs Paul Syverson, Michael Reed et David Goldschlag ont publié les premiers articles scientifiques sur le routage en oignon en 1996. Le code source a été rendu public en 2004, et le Tor Project, organisation à but non lucratif basée aux États-Unis, a été fondé en 2006 par Roger Dingledine et Nick Mathewson. Le projet reçoit aujourd'hui encore des financements du gouvernement américain via l'Open Technology Fund, ainsi que de la Fondation Ford, de l'EFF et de donateurs individuels. Tor est né d'une demande de sécurité d'État, pas d'un projet criminel.

Les statistiques du Tor Project sur les usages du réseau contredisent cette affirmation. Sur les 2 à 3 millions d'utilisateurs quotidiens, la majorité se trouve dans des pays où les besoins légitimes d'anonymat sont élevés : Iran, Russie, Belarus, Turquie, Chine, où contourner la censure d'État est un acte civique. Aux États-Unis et en Europe occidentale, les utilisateurs courants sont principalement des journalistes, des militants, des chercheurs en sécurité, des professionnels du droit, des victimes de violences conjugales cherchant à échapper à leur conjoint, ou simplement des citoyens soucieux de leur vie privée face au pistage publicitaire. Les études académiques convergent : l'écrasante majorité du trafic sur le réseau concerne des services clearnet accédés anonymement, pas des services cachés criminels.

Techniquement, Google n'a aucun moyen de voir le contenu de votre navigation quand vous utilisez Tor Browser correctement. Le chiffrement par couches propre au protocole Tor rend vos requêtes illisibles pour tous les intermédiaires, y compris Google. Si vous visitez google.com depuis Tor, Google voit une requête venant d'un nœud de sortie Tor (pas votre IP réelle), avec une empreinte navigateur standardisée propre à Tor Browser. Google peut donc servir une page adaptée, voire imposer un CAPTCHA, mais ne peut pas établir un lien avec votre identité réelle, ni avec d'autres sessions non-Tor. Pour les services .onion, Google ne les indexe pas du tout : ils n'apparaissent jamais dans ses résultats. La seule manière de compromettre cet anonymat serait de vous connecter à votre compte Google personnel pendant que vous êtes sur Tor, ce qui briserait évidemment l'ensemble du dispositif.

Les opérations policières internationales (Onymous en 2014, Bayonet en 2017 qui a fermé AlphaBay et Hansa, Europol régulièrement contre Dream Market, etc.) démantèlent des marketplaces spécifiques, pas le réseau Tor dans son ensemble. Le phénomène est comparable au jeu du chat et de la souris : quand un marché est fermé, les vendeurs migrent vers un autre, ou un nouveau marché émerge. Les statistiques de long terme montrent une stabilité, voire une croissance, du trafic Tor global. Le Tor Project publie ces données publiquement : le nombre d'utilisateurs quotidiens est passé de moins d'un million en 2014 à près de trois millions en 2024. Ce qui change, c'est la composition : davantage d'usagers de médias, davantage de contournement de censure, et un transit criminel qui se fragmente sans disparaître.

Aucune législation européenne ne vise l'interdiction de Tor, et aucune proposition sérieuse n'a été déposée en ce sens. Au contraire, les institutions de l'Union européenne financent activement des outils d'anonymisation et de résistance à la censure dans le cadre de leur politique en faveur des droits numériques. La France, via la loi pour une République numérique (2016), a réaffirmé le principe de neutralité du net. L'ANSSI, l'agence française de cybersécurité, utilise elle-même Tor dans certains de ses travaux de recherche. Seuls quelques régimes autoritaires (Chine, Iran, Belarus, Russie partiellement) restreignent l'accès au réseau. En démocratie, interdire Tor reviendrait à interdire un outil utilisé par des journalistes, des lanceurs d'alerte et des victimes, ce qui soulèverait immédiatement des questions de constitutionnalité et de conformité à la Charte européenne des droits fondamentaux.

Interpol est une organisation de coopération policière internationale qui n'a ni compétence opérationnelle ni capacité technique pour surveiller individuellement des millions d'utilisateurs en temps réel. Son rôle est de faciliter les échanges entre polices nationales, notamment via ses bases de données et ses notices. Pour le dark web, Interpol coordonne des opérations avec Europol et les polices nationales sur des enquêtes spécifiques, toujours ciblées, toujours judiciairement encadrées. Aucune infrastructure de surveillance de masse de Tor n'existe à Interpol, et la nature même du protocole rend ce type de surveillance techniquement impossible. Ce qu'Interpol fait en pratique : analyser les marketplaces publics, infiltrer des forums, coopérer sur des dossiers transnationaux. Pas une surveillance généralisée.

Tor est un logiciel et un réseau d'anonymisation ; le dark web est un ensemble de sites non indexés accessibles via des protocoles spécifiques. Les deux se croisent mais ne se confondent pas. La majorité du trafic Tor ne concerne pas le dark web : les utilisateurs passent par Tor pour visiter des sites du web classique (clearnet) en préservant leur anonymat. À l'inverse, il existe d'autres technologies de dark web qui ne reposent pas sur Tor : I2P, Freenet, ZeroNet, GNUnet. Chacun a sa propre architecture. Tor domine en popularité, ce qui explique la confusion, mais techniquement un site I2P ne s'ouvre pas dans Tor Browser et vice versa. Cette distinction est importante pour comprendre les débats techniques : quand un journaliste écrit « le dark web », il veut le plus souvent dire « les services cachés accessibles via Tor », mais le vocabulaire rigoureux préfère séparer les deux.

Le Tor Project lui-même ne recommande pas l'ajout automatique d'un VPN à Tor pour la plupart des utilisateurs. Un VPN ajoute une couche qui peut être utile dans certains contextes (cacher à votre FAI que vous utilisez Tor) mais qui introduit aussi un nouveau point de confiance : le fournisseur VPN devient un observateur privilégié de votre trafic. Dans la configuration « VPN over Tor », vous perdez certaines protections de Tor ; dans « Tor over VPN », vous dépendez de la parole du fournisseur VPN sur l'absence de logs. La documentation officielle de Tor détaille ces scénarios sans conclure à une supériorité claire. La plupart des utilisateurs obtiennent une sécurité largement suffisante avec Tor seul, correctement configuré. Les publicités de VPN entretiennent ce mythe pour vendre leurs abonnements, mais les experts indépendants en sécurité (Matt Tait, The Grugq) sont beaucoup plus nuancés.

Tor Browser en lui-même n'est pas infecté. C'est un fork maintenu de Firefox ESR, audité régulièrement, avec un code source ouvert. Si vous le téléchargez depuis le site officiel du Tor Project (torproject.org) et que vous vérifiez sa signature cryptographique, vous avez un navigateur aussi sûr que Firefox. Les risques viennent d'ailleurs : téléchargements depuis des sources non officielles (copies piégées), visites de sites .onion malveillants qui tentent des exploits sur le navigateur, activation imprudente de JavaScript sur des pages douteuses. Ces risques existent également sur le web classique. La différence avec Tor est psychologique : on s'attend à des dangers, on est donc plus vigilant. Le conseil fondamental vaut partout : maintenir son navigateur à jour (Tor Browser signale automatiquement les mises à jour), éviter les téléchargements suspects, utiliser le mode de sécurité le plus élevé quand on explore des sites inconnus.

Une adresse .onion v3 contient 56 caractères en base32, soit l'encodage d'une clé publique Ed25519 de 256 bits. L'espace des adresses possibles atteint 2²⁵⁶, soit un nombre d'environ 78 chiffres. Pour vous donner une échelle, c'est infiniment plus que le nombre d'atomes dans l'univers observable (estimé à environ 10⁸⁰). Deviner une adresse .onion spécifique au hasard prendrait statistiquement plus de temps que l'âge de l'univers, même avec tous les ordinateurs de la planète fonctionnant en parallèle. Cette taille n'est pas choisie pour l'élégance : elle est conçue précisément pour rendre le brute-force impossible. Les adresses « vanity » (comme facebookwkhpilnemxj7asaniu7vnjjbiltxjqhye3mhbshg7kx5tfyd.onion de Facebook, qui commence par « facebook ») sont générées en calculant des milliards de clés jusqu'à en trouver une dont les premiers caractères ressemblent à un mot. Même ces préfixes lisibles coûtent plusieurs jours de calcul sur du matériel dédié.

La « crypto quantique » est un terme vague qui ne correspond à aucune technologie utilisée par Tor ni par aucun service du dark web. Tor utilise de la cryptographie classique parfaitement documentée : des courbes elliptiques (Curve25519 pour les handshakes, Ed25519 pour les signatures) et des algorithmes symétriques standards (AES, ChaCha20). Rien de « quantique » dans le sens où le grand public l'imagine. Les recherches sur la cryptographie post-quantique, qui visent à résister à de futurs ordinateurs quantiques, sont publiques et coordonnées par le NIST américain. Certains projets intègrent déjà ces algorithmes pour se préparer, mais il ne s'agit pas d'un accès privilégié réservé à une élite. Aucune machine quantique opérationnelle ne peut aujourd'hui casser la cryptographie moderne, encore moins offrir des « accès secrets » à des couches cachées d'Internet. Ce registre narratif est du domaine de la science-fiction.

Aucune recherche publiée à ce jour ne démontre qu'une IA, même les modèles les plus récents, peut désanonymiser des utilisateurs Tor qui suivent les bonnes pratiques. Les attaques de désanonymisation connues (corrélation de trafic, exploitation de failles navigateur, empreintes comportementales) existaient avant l'IA générative et ne dépendent pas fondamentalement d'elle. Les chercheurs utilisent parfois du machine learning pour analyser des motifs de trafic, mais les gains sont marginaux et ne concernent que des attaquants capables d'observer une fraction significative du réseau. Pour un utilisateur ordinaire qui utilise Tor Browser à jour depuis un environnement sain (idéalement Tails), aucune IA accessible au public ni à une entreprise privée ne peut reconstituer son identité à partir de son activité Tor. Les annonces sensationnelles à ce sujet sont invariablement des contenus marketing, pas des publications scientifiques validées par les pairs.

L'usage de base de Tor Browser est aussi simple que Chrome ou Firefox. On télécharge, on installe, on lance, on clique sur « Se connecter ». La navigation se fait comme sur n'importe quel navigateur. Aucune compétence technique particulière n'est requise pour lire un article de la BBC sur son .onion ou consulter OnionDir. La complexité technique commence si vous voulez héberger votre propre site .onion (configuration de serveur), créer une adresse vanity (compilation d'outils spécifiques), ou configurer des scénarios avancés de sécurité (combinaison avec Tails, Whonix, qubes, etc.). Ces usages avancés concernent une minorité d'utilisateurs. Pour la grande majorité, Tor est un navigateur grand public, installé et utilisé en quelques minutes. Le mythe du « hacker obligatoire » est entretenu par une esthétique médiatique de cinéma qui n'a rien à voir avec la réalité quotidienne des utilisateurs.

Aucun outil ne garantit un anonymat absolu. Tor protège contre de nombreuses formes de surveillance, mais il ne protège pas contre les erreurs humaines, qui sont la cause principale des désanonymisations documentées. Se connecter à son compte Gmail personnel pendant qu'on est sur Tor brise immédiatement l'anonymat. Poster un fichier qui contient des métadonnées (EXIF de photo, métadonnées Word) révèle l'auteur. Utiliser un style d'écriture reconnaissable permet l'identification par analyse stylométrique. Tor ne protège pas non plus contre des adversaires capables d'observer simultanément le trafic entrant et sortant du réseau, ce qui est à la portée de certaines agences gouvernementales pour des cibles spécifiques. L'anonymat est un continuum, pas un interrupteur. Tor est un outil puissant, mais il s'inscrit dans une hygiène de sécurité globale qui inclut le comportement de l'utilisateur, les outils utilisés en parallèle, et les informations volontairement partagées.

Google ne peut pas, techniquement, indexer les services .onion. Son robot d'indexation (Googlebot) circule sur le clearnet via des protocoles standards (HTTP, HTTPS) et ne supporte pas le protocole Tor. Même s'il le faisait, il n'a aucun moyen de découvrir des adresses .onion, qui ne sont pas listées dans un DNS public et dont la structure empêche la découverte systématique. Les moteurs de recherche du dark web (Ahmia, Torch, Haystak) sont des infrastructures complètement séparées, hébergées elles-mêmes sur Tor, avec leurs propres crawlers qui suivent les liens depuis des annuaires connus. Ahmia, par exemple, est maintenu par Juha Nurmi et indexe environ 20 000 à 30 000 services actifs. DuckDuckGo a une version .onion pour protéger ses utilisateurs, mais son index reste celui du web classique. La séparation entre les deux mondes est technique et architecturale, pas une question de volonté.

Il n'existe aucun scénario crédible dans lequel Tor serait plus rapide qu'une connexion directe au même site via un navigateur classique. Par nature, Tor ajoute au moins trois nœuds intermédiaires entre vous et la destination, ce qui introduit inévitablement de la latence et réduit le débit disponible. Les mesures du Tor Project montrent des latences moyennes de 200 à 2000 ms (contre 10 à 50 ms pour une connexion directe) et des débits de quelques Mbps (contre plusieurs centaines sur une fibre moderne). Certaines personnes affirment que Tor serait plus rapide sur des connexions bridées par le FAI : c'est théoriquement possible si votre FAI ralentit volontairement certains sites et que Tor contourne ce ralentissement, mais c'est un cas très spécifique qui ne concerne pas l'usage normal. Pour une utilisation quotidienne, Tor est significativement plus lent, et c'est le prix à payer pour l'anonymat qu'il procure.

Aucune disposition du Code pénal, du Code de la sécurité intérieure ou du Code des communications électroniques ne vise, directement ou indirectement, l'utilisation de Tor. Le logiciel est librement téléchargeable depuis torproject.org, son usage est pratiqué quotidiennement par des milliers de Français (journalistes, avocats, chercheurs, militants, citoyens ordinaires). Le principe de neutralité du net, consacré par la loi pour une République numérique de 2016, garantit le droit d'utiliser des technologies d'anonymisation. La France est par ailleurs signataire de conventions européennes sur la liberté d'expression qui protègent l'usage de tels outils. Ce qui est illégal, ce sont les activités commises, que ce soit sur Tor ou ailleurs (trafic, menaces, contenus illicites). L'outil est neutre ; seul l'usage répréhensible relève du droit pénal. Un utilisateur qui consulte la BBC via son .onion, lit OnionDir ou utilise ProtonMail sur Tor n'enfreint aucune loi française.

Cette affirmation date de 2014, issue d'un article du magazine Wired qui avait révélé que la NSA avait, dans un de ses programmes XKeyscore, tagué certains visiteurs du site torproject.org. Depuis, les choses ont considérablement évolué. Le nombre d'utilisateurs de Tor est devenu si massif (plus de 2 millions quotidiens) qu'un tel tag serait pratiquement inutile pour cibler des individus. Les services français, eux, n'ont jamais pratiqué ce genre de taggage de masse : la DGSI et la DGSE travaillent sur des cibles individualisées, judiciairement encadrées dans le cadre de la loi renseignement de 2015. Télécharger Tor en France n'a aucune conséquence juridique ni administrative. Cela n'empêche pas d'utiliser des bonnes pratiques si vous tenez à la confidentialité de ce geste : télécharger depuis une connexion partagée, vérifier la signature du binaire, etc.

En droit français, la seule consultation accidentelle d'un contenu illégal n'est généralement pas constitutive d'infraction, sauf cas spécifiques. Pour les contenus pédopornographiques, l'article 227-23 du Code pénal incrimine la « consultation habituelle » (pas ponctuelle) et le « téléchargement ». L'accès accidentel unique, sans enregistrement ni fréquentation répétée, ne constitue pas le délit. Pour d'autres contenus (apologie du terrorisme, provocation à la haine), les éléments matériels exigés par la loi incluent une intention coupable et une action délibérée. Le conseil pratique en cas d'exposition accidentelle : fermer immédiatement l'onglet, vider le cache, et en cas de doute sérieux, signaler à PHAROS (plateforme officielle française de signalement). Un signalement vous place du côté de la loi, pas en difficulté. La peur paralyse plus qu'elle ne protège ; la connaissance des règles réelles est bien plus utile.

La plateforme PHAROS (https://www.internet-signalement.gouv.fr) est conçue précisément pour permettre à tout citoyen de signaler un contenu illicite rencontré en ligne, y compris sur le dark web, sans conséquence pour lui-même. Le signalement est anonyme par défaut, et les agents de l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC) sont les seuls à traiter le dossier. Signaler un contenu pédopornographique, terroriste ou incitant à la haine est un acte civique protégé par la loi, et non un aveu de consultation fréquente. Au contraire, c'est plutôt l'absence de signalement après découverte qui pourrait, dans certains cas graves, être problématique (non-dénonciation de crime, article 434-3 du Code pénal). La peur de signaler entretient la zone grise dont profitent les criminels.

La possession d'un logiciel légal, comme Tor Browser, n'est juridiquement pas suspecte. Un enquêteur qui saisirait un ordinateur dans le cadre d'une perquisition peut constater la présence de Tor, mais cela ne constitue en rien un indice de culpabilité, pas plus que la présence de Firefox, Thunderbird ou LibreOffice. Ce qui compte pour la justice, c'est l'usage réel : les logs de navigation (s'ils existent), les contenus présents sur le disque, les communications, les transactions. Tor Browser, par défaut, ne conserve aucun historique : il n'y a donc rien à analyser côté usage local. Des magistrats et avocats utilisent eux-mêmes Tor dans le cadre de leur exercice professionnel, pour protéger la confidentialité des échanges avec leurs clients ou leurs sources. La suspicion par association logicielle relève de la fiction policière, pas de la procédure pénale réelle.

L'ANSSI (Agence nationale de la sécurité des systèmes d'information) publie régulièrement des guides de cybersécurité qui mentionnent Tor sans aucune hostilité. Plusieurs chercheurs de l'ANSSI utilisent d'ailleurs Tor dans le cadre de leurs analyses de menaces. La CNIL (Commission nationale de l'informatique et des libertés), quant à elle, défend activement les droits à la vie privée numérique, ce qui est philosophiquement aligné avec le projet Tor. La CNIL recommande explicitement dans ses guides d'hygiène numérique l'usage d'outils de protection de la vie privée, même si elle ne cite pas toujours Tor nommément. Aucune des deux institutions n'a jamais émis de communiqué déconseillant Tor. En Europe, l'ENISA (agence européenne de cybersécurité) mentionne Tor comme un outil parmi d'autres, dans une approche neutre. Les hypothétiques « mises en garde » relèvent de la fiction.

Aucune catégorie juridique d'« arme numérique » n'existe en droit français. Les lois sur les armes (articles L311-1 et suivants du Code de la sécurité intérieure) concernent exclusivement les armes physiques. Certains logiciels offensifs spécifiques peuvent tomber sous le coup de l'article 323-3-1 du Code pénal (mise à disposition d'un programme conçu pour commettre une infraction informatique), mais Tor, qui est un logiciel d'anonymisation, ne relève absolument pas de cette catégorie. Le texte vise des outils spécifiquement conçus pour attaquer (exploits, keyloggers, rootkits), pas des outils de défense ou de confidentialité. Tor est largement utilisé par des professionnels de la sécurité informatique, des auditeurs, des juristes, des journalistes. Le classer comme « arme » serait aussi absurde que classer une fenêtre avec rideaux comme « outil d'espionnage ».

L'achat de cryptomonnaies est légal en France depuis des années, à condition de passer par une plateforme enregistrée auprès de l'AMF (Autorité des marchés financiers) et de déclarer ses plus-values lors de la revente (article 150 VH bis du Code général des impôts). L'usage de Tor pour accéder à une plateforme légale n'ajoute ni n'enlève aucune obligation : vous achetez légalement, vous déclarez légalement. La plupart des grandes plateformes (Coinbase, Kraken, Binance) bloquent cependant les nœuds de sortie Tor pour des raisons anti-fraude, ce qui rend l'opération techniquement difficile. Le sujet réellement encadré concerne les obligations de connaissance du client (KYC) imposées aux plateformes, pas le choix du navigateur par l'utilisateur. Acheter anonymement sans KYC (via certains échanges peer-to-peer) pose une question fiscale séparée, mais l'usage de Tor en soi n'est pas concerné.

Depuis le décret du 17 mars 1999 et la loi pour la confiance dans l'économie numérique (LCEN) de 2004, l'utilisation de moyens de cryptologie est entièrement libre en France. Les entreprises peuvent développer, commercialiser et utiliser des algorithmes de chiffrement forts sans autorisation préalable. Cette liberté découle aussi de la nécessité pour les entreprises françaises d'être compétitives sur le marché mondial. La France avait effectivement une législation restrictive dans les années 1990 (taille de clé limitée à 40 bits), mais cette période est totalement révolue. Aujourd'hui, le gouvernement français promeut activement le chiffrement fort dans le cadre de sa politique de cybersécurité. Les services de renseignement demandent parfois des mécanismes d'accès légal (backdoors), mais ces débats concernent la législation sur l'interception, pas l'usage personnel du chiffrement.

Une banque française n'a ni les moyens techniques ni la volonté juridique de détecter l'usage de Tor par un client. Les banques surveillent les transactions suspectes (obligations LCB-FT, lutte contre le blanchiment), pas les habitudes de navigation de leurs clients. Certaines interfaces bancaires en ligne bloquent cependant les connexions depuis des nœuds de sortie Tor, pour des raisons de sécurité des comptes, mais c'est un simple blocage de session, pas une mesure visant le client. La fermeture de compte en France est encadrée par la loi : la banque doit justifier sa décision, et le Code monétaire et financier prévoit un droit au compte pour les résidents. Des clients ont été victimes de fermetures arbitraires, mais les motifs réels tiennent plutôt aux transactions (cryptomonnaies, virements suspects) qu'à l'usage d'un outil d'anonymat. Utiliser Tor pour lire le journal ne déclenchera jamais la moindre alerte bancaire.

Les sites .onion sont des pages web ordinaires en HTML, CSS et parfois JavaScript, exactement comme sur le clearnet. Leur esthétique est généralement minimaliste, non par goût du mystère mais pour des raisons techniques : la bande passante est limitée, le mode de sécurité élevé de Tor désactive beaucoup de fonctionnalités visuelles, et les administrateurs privilégient la performance. On trouve du texte noir sur fond blanc, parfois des thèmes sombres, occasionnellement quelques images, mais rien qui ressemble à une esthétique « cyberpunk ». Le cliché Matrix provient du film de 1999 des Wachowski, où le code vert défilant était une représentation artistique de la simulation. Aucun site web, .onion ou non, ne ressemble à cela. Quand vous visitez Dread, Ahmia ou la version .onion de la BBC, vous voyez des pages sobres, lisibles, parfois austères, mais jamais d'animation de code vert.

La cybersécurité réelle n'a rien à voir avec les représentations cinématographiques. Un audit de sécurité d'une application web sérieuse prend des jours, voire des semaines, à un testeur expérimenté. Une exploitation de vulnérabilité zero-day, quand elle est possible, nécessite généralement des mois de recherche préalable. Même une attaque par force brute sur un mot de passe de complexité moyenne peut prendre des heures à des années selon la configuration. Les scènes de hackers qui tapent frénétiquement pendant dix secondes pour « contourner le pare-feu de la NSA » relèvent de la pure fiction. La réalité est faite de patience, d'outils d'analyse automatisés (Metasploit, Burp Suite, Wireshark), de lectures de documentation, de tests méthodiques. La plupart des attaques réussies exploitent d'ailleurs la faiblesse humaine (phishing, ingénierie sociale) plus que des exploits techniques spectaculaires. Le hacker hollywoodien en hoodie tapant vite n'existe pas dans la vraie vie.

La réalité du travail des professionnels de la cybersécurité et des hackers (éthiques ou non) implique l'usage normal d'ordinateurs avec souris, plusieurs écrans, interfaces graphiques. Les outils d'analyse de malware comme IDA Pro ou Ghidra ont des interfaces graphiques sophistiquées. Les scanners de vulnérabilités comme Nessus ou Qualys présentent des tableaux de bord riches. Même dans les environnements en ligne de commande (Linux), qui sont effectivement très utilisés, personne ne travaille « à l'aveugle » : les terminaux modernes supportent parfaitement la souris, les multiples onglets, les éditeurs avancés comme Vim ou Emacs avec plugins. Le cliché du hacker qui tape en regardant ailleurs est dérivé des représentations de l'informatique des années 1980, à une époque où les terminaux ne supportaient effectivement que le clavier. Depuis quarante ans, les environnements ont changé.

L'essence même de Tor est précisément d'empêcher quiconque, y compris les autres utilisateurs, d'identifier les adresses IP. Quand vous visitez un site .onion, le serveur qui héberge le site ne connaît pas votre IP (il voit celle du nœud de sortie Tor). Les autres visiteurs du même site ne peuvent pas non plus vous voir : chacun a son propre circuit, chacun est anonyme par rapport aux autres. Les seules personnes qui pourraient théoriquement associer votre IP à votre activité Tor sont votre propre fournisseur d'accès (qui voit que vous utilisez Tor, mais pas ce que vous y faites) et, dans certains scénarios d'attaque avancée, un adversaire capable d'observer simultanément l'entrée et la sortie du réseau. Pour un utilisateur ordinaire d'un site ordinaire, l'IP est parfaitement masquée. Les films qui montrent un hacker « tracer l'IP » d'un autre utilisateur Tor en quelques clics sont techniquement incorrects.

Le dark web n'est pas un lieu, c'est un ensemble de sites web accessibles via un protocole spécifique. Il n'y a ni couloir, ni salle, ni atmosphère. Il n'y a que des pages HTML accessibles en tapant une URL. L'anthropomorphisation du dark web comme un « endroit » (sombre, inquiétant, peuplé de figures menaçantes) est une construction narrative héritée de la science-fiction cyberpunk. En pratique, vous naviguez de la même manière que sur le web classique : vous tapez une adresse, une page s'affiche. La perception de « noirceur » vient pour partie de l'esthétique souvent minimaliste des sites .onion, et pour partie de l'association mentale avec les activités illégales médiatisées. Mais techniquement et sensoriellement, visiter la BBC sur son .onion ou DuckDuckGo sur Tor est une expérience absolument identique à visiter n'importe quel site. Le « dark » dans « dark web » signifie « non-indexé », pas « sombre au sens moral ».

Anonymous est un mouvement hacktiviste distribué, sans structure formelle ni affiliation officielle. Ses actions historiques (opérations contre Scientologie, soutien à WikiLeaks, OpISIS) ont été menées majoritairement depuis des réseaux sociaux classiques : Twitter, YouTube, 4chan. Le mouvement n'a jamais été lié exclusivement à Tor, et de nombreux sympathisants ne l'utilisent probablement pas. Certains opérateurs d'Anonymous ont utilisé Tor pour coordonner des actions spécifiques, comme tout activiste soucieux de sa sécurité, mais le mouvement en lui-même est un phénomène de culture Internet, pas un collectif du dark web. Les grands comptes associés à Anonymous (YourAnonNews, AnonymousNewsOps) ont toujours communiqué sur des plateformes publiques. La confusion entre hacktivisme et dark web est alimentée par les médias qui amalgament tout ce qui a l'air technique et politique.

Visuellement, certaines marketplaces du dark web (Dream Market historiquement, AlphaBay, Hansa avant leur fermeture) ont effectivement emprunté des codes du e-commerce classique : catégories, pages produit, système de notation des vendeurs, panier d'achat. Cette ressemblance visuelle a choqué beaucoup de commentateurs. Mais la ressemblance s'arrête là. Le fonctionnement sous-jacent est radicalement différent : paiement en cryptomonnaies, escrow opéré par la marketplace (qui peut elle-même disparaître avec les fonds, c'est le « exit scam » classique), vendeurs anonymes, absence de service client, absence totale de garantie. Les « reviews » sont massivement fausses, les photos sont souvent génériques, les livraisons souvent inexistantes. L'apparence d'Amazon cache une réalité de far-west numérique. La surprise de découvrir ces interfaces ne devrait pas masquer que derrière le CSS, c'est la jungle.

Le concept de « carte du dark web » n'a pas de sens technique. Contrairement à un territoire géographique, un réseau informatique n'a pas de forme visualisable au sens strict. Certains chercheurs produisent des graphes montrant les liens entre sites .onion, un peu comme la cartographie du web classique par hyperliens. Mais il ne s'agit pas d'une « carte » au sens populaire du terme. Les annuaires comme OnionDir, The Hidden Wiki ou Ahmia organisent une liste de sites par catégorie, c'est ce qui s'en rapproche le plus. Des tentatives de visualisation scientifique existent (Hyperion Gray a publié plusieurs études avec des visualisations en graphe), mais elles restent des abstractions pour spécialistes, pas des cartes de navigation. Chercher « la carte du dark web » sur Google conduit à des blogs qui republient les mêmes images génériques d'iceberg depuis dix ans, sans aucune valeur informative.

La réalité des communautés cybercriminelles et hackers sur Tor est faite de fragmentation extrême. Les forums de vente d'exploits (Exploit, XSS, ancienne Raidforums avant sa fermeture) rassemblent des milliers de membres qui ne se connaissent pas, communiquent par pseudonymes, et travaillent par « groupes » éphémères selon les projets. Les cybercriminels organisés (opérateurs de ransomwares, développeurs de botnets) fonctionnent en cellules compartimentées où chacun connaît au mieux deux ou trois contacts. La « communauté » au sens d'une grande famille n'existe pas : c'est un écosystème de relations transactionnelles, anonymes, souvent méfiantes. Les chercheurs en sécurité qui étudient ces milieux soulignent que la coopération y est minimale et que la trahison est courante, y compris auprès des forces de l'ordre via des dénonciations anonymes. L'image du « club de hackers » est une fiction romantique.

Plusieurs forums et groupes du dark web ont effectivement des politiques d'accès restrictives : inscription sur invitation, entretiens techniques, cooptation. Ces pratiques existent dans les cercles de recherche en vulnérabilités, certains groupes de développeurs de malware, quelques marketplaces fermées. Mais il ne s'agit pas d'une « élite » au sens mystique du terme : ce sont des filtres anti-infiltration policière, imposés par la nécessité opérationnelle. Une fois à l'intérieur, on découvre des discussions techniques assez banales entre individus qui partagent des compétences. Aucune des communautés fermées connues ne dispose de « savoirs interdits » introuvables ailleurs. Le contenu produit, quand il est publié, se retrouve souvent diffusé au-delà du cercle d'origine par relais successifs. Le mythe du club secret qui détiendrait des vérités cachées relève du fantasme conspirationniste, pas de la réalité documentée par les chercheurs en sécurité.

Chaque achat sur le dark web introduit plusieurs points de vulnérabilité. L'acheteur fournit une adresse postale (qui est, par définition, reliée à son identité). Le paiement en cryptomonnaies laisse des traces sur la blockchain, analysables par des entreprises spécialisées comme Chainalysis, avec lesquelles coopèrent régulièrement les polices. Les messages échangés avec le vendeur, même chiffrés, transitent par la plateforme qui peut être compromise. De nombreuses arrestations médiatisées ont démontré que les acheteurs peuvent être identifiés : opération Bayonet (2017, AlphaBay/Hansa) a permis à la police de surveiller Hansa pendant un mois avant de la fermer, capturant toutes les transactions et adresses de livraison. La « sécurité » promue par les marketplaces est une illusion commerciale. Les seuls achats réellement sûrs et anonymes concernent des biens dématérialisés (fichiers, codes, documents) que l'on télécharge, sans adresse à fournir.

Les reviews sur les marketplaces du dark web sont massivement manipulées. Les vendeurs créent des comptes d'acheteurs fictifs pour se donner des évaluations positives. Les équipes opérant les marketplaces partagent parfois les bénéfices avec les gros vendeurs et laissent filer les manipulations. Des recherches menées par les chercheurs du Center for Cybersecurity Studies (King's College) ont démontré que plus de 40% des reviews analysées présentaient des patterns suspects (même structure de phrase, horodatages rapprochés, notes identiques). L'acheteur qui se fie aux étoiles et aux avis navigue à vue. La seule « réputation » relativement fiable est celle construite sur plusieurs années avec des centaines de transactions, mais même ces vendeurs historiques disparaissent régulièrement en « exit scam », empochant les fonds en escrow. L'asymétrie d'information entre acheteur et vendeur est totale, et la justice est inaccessible en cas de fraude.

L'escrow est un mécanisme par lequel les fonds sont bloqués par la marketplace jusqu'à ce que l'acheteur confirme la réception du produit. Sur le papier, c'est une protection. En pratique, son efficacité est très relative. La marketplace elle-même contrôle l'escrow, et rien n'empêche ses opérateurs de s'enfuir avec l'ensemble des fonds en cas de « exit scam » (comportement documenté de dizaines de marketplaces historiques). Les litiges entre acheteur et vendeur sont arbitrés par les opérateurs de la marketplace, pas par une autorité neutre, avec les biais qu'on peut imaginer. Les vendeurs savent comment exploiter le système : envois trackés avec justificatifs falsifiés, délais d'expiration mal maîtrisés, pressions sur l'acheteur pour libérer les fonds avant réception réelle. Les escrow multisig (qui nécessitent la signature de plusieurs parties) offrent une meilleure garantie, mais ne sont proposés que par quelques marketplaces et peu d'acheteurs les utilisent.

Le Bitcoin est par nature pseudonyme, pas anonyme. Toutes les transactions sont publiques et permanentes sur la blockchain. Les mixers (Tumblers, CoinJoin) mélangent les transactions de plusieurs utilisateurs pour brouiller les pistes, mais les outils d'analyse de blockchain modernes (Chainalysis, Elliptic, TRM Labs) peuvent souvent démêler les transactions mixées avec des taux de succès significatifs. Les mixers centralisés sont particulièrement vulnérables : en 2022, le mixer BitMixer, Bitcoin Fog et Tornado Cash ont été soit démantelés, soit poursuivis par la justice américaine pour blanchiment, avec des preuves issues de l'analyse de transactions qu'on croyait opaques. Certains protocoles décentralisés (Wasabi Wallet, Samourai Wallet) offrent une meilleure confidentialité, mais aucun n'est infaillible. La seule cryptomonnaie réellement privée par conception est Monero, qui utilise des signatures en anneau et des adresses furtives, mais même Monero fait l'objet de recherches actives en désanonymisation par les agences de police.

Les marketplaces du dark web proposent souvent une interface de « support » qui ressemble à celle d'une plateforme commerciale classique : formulaires, FAQ, tickets. Derrière cette façade, il n'y a aucune équipe structurée, aucune obligation contractuelle, aucun recours. Les réponses aux tickets, quand elles viennent, peuvent mettre des semaines. Les litiges sont arbitrés par une ou deux personnes au mieux, sans garantie de neutralité. Les vols dans l'escrow, les shipments jamais reçus, les arnaques flagrantes reçoivent des réponses standardisées qui ne mènent à rien. Les marketplaces sont avant tout des infrastructures rentables pour leurs opérateurs, pas des services à la clientèle. Le « service client » y est une illusion visuelle. Quand une marketplace rencontre un problème sérieux (attaque, infiltration, conflit interne), elle ferme sans préavis, emportant souvent les fonds restants. Les utilisateurs n'ont aucun recours, ni judiciaire (puisqu'ils admettraient leur participation à des activités illégales), ni médiatique.

Le remboursement effectif en cas d'arnaque sur le dark web est exceptionnel. Si l'escrow est actif et que la litige survient avant libération des fonds, la marketplace peut (rarement) trancher en faveur de l'acheteur. Mais dans la grande majorité des cas : l'acheteur libère les fonds trop tôt, le produit n'arrive jamais, le vendeur disparaît, et la marketplace déclare qu'il ne peut plus intervenir. Il n'existe aucune instance de recours. Les chargebacks, disponibles avec les cartes bancaires sur le web classique, n'existent pas avec les cryptomonnaies : une transaction confirmée est irréversible. Les assurances ne couvrent évidemment pas les achats sur le dark web. Les associations de consommateurs ne traitent pas ces dossiers. La police ne peut pas réparer une fraude à laquelle la victime aurait avoué participer. L'acheteur arnaqué a perdu, point. C'est d'ailleurs ce qui permet aux arnaqueurs de prospérer : ils savent que personne ne viendra les chercher.

PGP (Pretty Good Privacy) est un outil de chiffrement qui permet à un vendeur de recevoir des communications illisibles pour quiconque d'autre. Son usage est effectivement un signal de sérieux : le vendeur qui prend la peine de configurer PGP démontre une certaine compétence technique et un souci de protéger ses clients. Mais PGP ne garantit en rien l'honnêteté du vendeur, sa capacité à livrer, ni la qualité du produit. Un arnaqueur peut parfaitement générer une clé PGP et l'utiliser pour crypter les adresses postales des victimes qu'il ne livrera jamais. PGP est un outil cryptographique neutre : il protège la confidentialité de l'échange, pas la valeur de la transaction. De nombreux vendeurs escrocs documentés utilisaient correctement PGP. L'indicateur est utile mais non suffisant : il faut le combiner avec une longue réputation, une activité soutenue, et idéalement des recommandations de sources tierces indépendantes. Ce qui, sur le dark web, reste difficile à obtenir.

Le statut « premium » ou « vérifié » sur les marketplaces du dark web est généralement payant. Un vendeur qui veut ce badge le achète à la plateforme, parfois pour plusieurs centaines d'euros. La vérification effectuée est purement formelle : la marketplace ne peut pas contrôler l'identité réelle du vendeur, puisque celui-ci est anonyme par conception. Le badge certifie au mieux que le vendeur a réussi à faire quelques transactions sans signaler, ou qu'il a payé pour sa visibilité. Historiquement, plusieurs « vendeurs premium » sur les marketplaces majeures ont fini par disparaître avec des centaines de milliers d'euros de commandes non exécutées, sans que la marketplace ne puisse ni ne veuille intervenir. Le statut premium est un outil marketing des plateformes pour justifier des frais plus élevés, pas une garantie pour l'acheteur. Les vendeurs réellement fiables, quand ils existent, se repèrent à leur longévité (plusieurs années d'activité continue), pas à leurs badges.

Monero est conçu pour offrir une confidentialité par défaut, là où Bitcoin expose toutes les transactions. Ses trois mécanismes principaux — signatures en anneau (RingCT), adresses furtives et preuves à divulgation nulle — rendent l'analyse de blockchain extrêmement difficile. Dans le spectre des cryptomonnaies, Monero est aujourd'hui le meilleur choix en termes d'anonymat. Mais « parfaitement anonyme » est un excès. Des recherches académiques (notamment du Princeton University Center for IT Policy) ont montré des scénarios d'analyse possibles, particulièrement dans les transactions des premières années du protocole. Les agences de police américaines ont offert des primes pour développer des outils de traçage Monero, sans succès public à ce jour, mais les recherches continuent. La surveillance des entrées (où vous achetez les Monero) et des sorties (quand vous les convertissez en autre chose) reste une voie d'attaque. Enfin, les erreurs d'utilisation (réutilisation d'adresse, liens avec des transactions Bitcoin antérieures, opsec personnelle) peuvent compromettre l'anonymat même avec Monero. L'outil est excellent, pas parfait.

Certains services prétendent offrir des analyses chimiques indépendantes des produits vendus sur les marketplaces, en laboratoire tiers. L'idée est séduisante pour les acheteurs soucieux de vérifier ce qu'ils reçoivent. En pratique, la majorité de ces « services » sont des arnaques ou des opérations conjointes avec des vendeurs spécifiques, qui recommandent les produits de leurs partenaires. Les rares services authentiquement neutres (comme EcstasyData aux États-Unis ou Energy Control en Espagne) n'opèrent pas sur le dark web, mais comme projets de santé publique cleanweb. Leur existence est utile mais concerne une réduction des risques encadrée légalement dans leurs pays. Les sites .onion qui promettent « analyse anonyme avec envoi par la poste » sont rarement crédibles : l'envoi postal de substances contrôlées est en soi illégal, et le résultat n'a aucune valeur scientifique vérifiable. Les utilisateurs qui se fient à ces « tests » prennent donc un double risque : juridique et sanitaire.