Installation facile d'un relais Tor

Présentation de Tor & guide de mise en place rapide d'un relais Tor et de son outil de supervision Nyx

[ Retrouvez également mes autres guides UNIX/Linux sur TheRaphit.com ]

Disposer de son propre relais Tor

[Avantages] - [Pré-requis] - [Configuration] - [Supervision]

23 juillet 2025

Pour faire suite à mon article sur le CG-NAT ainsi qu'à ceux sur le contournement du filtrage de Reddit et de celui des sites olé-olé, je vais vous guider aujourd'hui dans l'installation et la configuration de votre propre relais Tor, vous permettant ainsi d'éviter la censure et le traçage de votre navigation sur Internet. C'est particulièrement d'actualité, et m'est avis que cela pourrait servir de plus en plus souvent...

De plus, Tor est un projet communautaire décentralisé, dans l'esprit Internet, qui mérite que l'on s'y intéresse et que l'on y contribue ! Si Tor vous est inconnu, cette page vous en propose également une brève présentation.

Si vous connaissez déjà Tor, vous pouvez vous rendre directement au guide d'installation, plus bas dans cet article.

Qu'est-ce que Tor ?

Tor est un réseau virtuel décentralisé fonctionnant en peer-to-peer dont le but premier - et revendiqué par le Tor Project - est de naviguer anonymement sur Internet, et de contourner les blocages. Il s'agit à l'origine d'un acronyme signifiant The Onion Router, mais l'usage en a fait un nom propre, qui s'écrit donc Tor (et non TOR).

Tor est souvent associé au Darknet, un ensemble de sites Web inaccessibles par des URL ou des liens HTML standard. Tor permet en effet de mettre à disposition un hidden service, correspondant à un nom sous le pseudo-TLD .onion, utilisable dans un URL. Un tel nom est reconnu au sein du réseau Tor mais n'est pas un nom DNS, et il n'a donc aucune adresse IP associée. Il est ainsi impossible d'atteindre un hidden service autrement que via le réseau Tor.

Par opposition, le Web public est appelé le clearnet par les utilisateurs de Tor. Un site Web ordinaire, tel qu'un site de presse officiel, peut parfois être rendu accessible également via un hidden service dans le but de contourner les censures gouvernementales.

Tor ne fonctionne pas comme un service de VPN, avec lequel vous établissez d'abord une connexion vers un serveur, au travers duquel toute votre navigation va ensuite circuler. Votre fournisseur de VPN connaît votre adresse IP, et les services auxquels vous avez accédé connaissent l'adresse IP du serveur VPN. Il n'est pas très difficile de remonter le fil...

Avec Tor en revanche, votre ordinateur se connecte à un relais, qui a établi au travers du réseau peer-to peer différents circuits vers d'autres noeuds. A chaque passage par un relais, le trafic est chiffré, ce qui fait que les relais Tor voient le plus souvent arriver du trafic déjà chiffré, le chiffrent à leur tour, puis le transmettent au relais suivant. C'est de là que vient la comparaison avec l'oignon (le légume) : Tor fonctionne avec une succession de couches de chiffrement. Cela rend l'analyse du trafic sous-jacent très complexe, et ce même si une clé privée utilisée par l'un des relais est compromise.

De plus, l'accès à Tor est gratuit.

Pourquoi installer son propre relais ?

Dans l'absolu, il n'est pas nécessaire d'installer un relais pour pouvoir utiliser le réseau Tor. Tout ce dont vous avez besoin, c'est de télécharger et d'installer le Tor Browser, qui est une version modifiée de Firefox. Celui-ci se charge de se connecter au réseau pour vous, pour ensuite anonymiser l'ensemble de votre navigation.

Cependant, si les relais intermédiaires et celui en sortie de réseau n'ont aucun moyen de connaître votre véritable adresse IP, le relais d'entrée la connaît forcément. En utilisant votre propre relais, vous devenez le seul à connaître l'adresse IP avec laquelle vous êtes entré dans le réseau Tor.

Car comme vous ne vous en doutez peut-être pas, nos « chers » espions d'état vous attendent au tournant : certains gouvernements n'ont rien trouvé de mieux à faire de leur temps que d'infiltrer Tor en installant leurs relais à eux, afin de pouvoir capter et analyser une partie du trafic qui circule sur ce réseau... Il y a donc toujours un risque pour vous, si vous utilisez simplement le Tor Browser, que votre point d'entrée sur Tor soit en fait un relais sournois.

Pour un maximum d'efficacité et de confidentialité, le mieux c'est de faire fonctionner le relais au plus proche de votre machine de navigation, idéalement dans votre propre réseau local. Ainsi, même un analyseur de trafic temporairement placé par votre fournisseur d'accès sur votre connexion ne montrera que du trafic chiffré vers un autre relais Tor, ce qui ne serait pas le cas avec seulement le Tor Browser.

Il y a d'autres plus-values significatives obtenues avec l'utilisation de votre propre relais :

Les performances : la navigation via le réseau Tor, même en 2025, est plutôt lente. Les serveurs jouant le rôle de relais ne disposent pas forcément d'une quantité importante de débit à allouer à Tor. Si vous disposez d'une connexion fibre à 1 Gbit/s ou plus, vous pouvez probablement allouer tranquillement de 100 à 200 Mbit/s à votre relais, qui établiera des circuits vers des relais proches en termes de latence et disposant de débits similaires. Cela permet un minimum d'optimisation.

Le proxy SOCKS : le Tor Browser n'est qu'un navigateur Web, alors que le réseau Tor permet de se connecter à n'importe quel service Internet. Vous pouvez envoyer de l'e-mail ou utiliser IRC via Tor ! Le logiciel Tor implémente, sans installation supplémentaire, un proxy SOCKS. Et les logiciels clients de la plupart des protocoles Internet offrent la possibilité d'utiliser un tel proxy pour se connecter au serveur correspondant.

La mise en place d'un hidden service : bien que le guide ici présent ne couvre pas ce point, déployer un relais Tor vous permet de mettre à disposition votre propre service .onion aux autres utilisateurs du réseau.

Notez cependant que faire fonctionner un relais Tor correspond plus ou moins à faire du don de bande passante. Votre relais sera ouvert à l'ensemble des autres relais et utilisateurs du réseau, y compris en tant que point d'entrée. Tor doit s'appuyer sur la participation de la communauté, mais c'est aussi ce qui permet qu'il reste sûr : plus il y a de participants qui font fonctionner des relais, moins il y a de chances de capter du trafic via des relais espions !

Si l'utilisation de Tor est intéressante voire nécessaire pour vous, vous avez tout intérêt à contribuer au réseau en dépoyant votre propre relais.

Pré-requis pour un relais middle/guard

Je vais vous proposer ici d'installer un middle/guard relay (suivant la terminologie Tor), c'est à dire un relais pouvant fonctionner en entrée de réseau ou en tant qu'intermédiaire.

Pour pouvoir faire fonctionner un relais middle/guard, il vous faudra :

Un serveur permettant d'exécuter le logiciel Tor - Vous avez le choix, une bonne variété d'OS sont supportés : Linux (distributions majeures), FreeBSD, OpenBSD, NetBSD, DragonFlyBSD et même Windows. Le Tor Project recommande un serveur dédié, mais ce peut être bien sûr une machine virtuelle (VM). Il n'y a besoin que de peu de mémoire et d'espace disque, et Tor n'est pas particulièrement optimisé pour les architectures multi-coeur. Une VM « minimum syndical » avec 2 coeurs, 16 Go d'espace disque et 4 Go de RAM conviendra parfaitement. N'oubliez cependant pas qu'utiliser un relais placé sur une machine virtuelle hébergée par un tiers apporte moins de confidentialité.

Une adresse IPv4 publique accessible - Tor est compatible avec IPv6, mais vous ne pouvez pas faire fonctionner de relais Tor uniquement avec ce protocole. Il est nécessaire que vous disposiez d'une adresse IPv4 publique avec au moins un port TCP que vous pouvez ouvrir à tout Internet. Cette adresse n'a pas besoin d'être portée par votre serveur, vous pouvez utiliser du NAT inverse avec votre routeur. De plus, vous n'avez pas besoin d'une adresse IP fixe !

Suffisamment de bande passante - La recommandation est de 10 Mbit/s minimum, mais c'est mieux de disposer d'au moins 100 Mbit/s. J'ai personnellement configuré Tor pour qu'il utilise un débit maximal de 256 Mbit/s, débit qui n'est pas atteint la majorité du temps. Plus vous allouez de bande passante, plus votre relais va être sollicité par d'autres utilisateurs, et plus votre propre trafic s'en retrouvera dilué. Allouer davantage de bande passante, c'est être encore plus discret !

Une bonne disponibilité - Le réseau fonctionne avec un principe « d'évaluation » des relais. Si vous souhaitez que le vôtre établisse des circuits vers d'autres relais de qualité, votre serveur se doit d'être disponible un maximum de temps. Bien évidemment, vous pouvez redémarrer celui-ci de temps en temps pour les mises à jour système sans impact sur vos performances.

Il n'est pas avisé de mettre en place un relais de sortie en tant que particulier. Pour cela, il est plutôt conseillé d'être une organisation ayant les épaules assez solides telle qu'une entreprise du milieu Internet, ou une association déjà bien établie, et militant contre la censure. En effet si des utilisateurs de Tor exploitent l'anonymat qu'ils obtiennent de ce réseau pour attaquer d'autres serveurs sur Internet, c'est l'adresse du relais Tor de sortie qui sera la source des attaques du point de vue des cibles. Un relais de sortie est également beaucoup plus intensif en ressources.

Installation et configuration

J'ai choisi, sur cette page, de détailler l'installation d'un relais sous FreeBSD. En effet, environ 85 % des relais Tor sont sous Linux, et le Tor Project est demandeur de contributeurs pouvant aider à varier les solutions logicielles utilisées sur le réseau. Eh oui, même au 21^ème siècle, il arrive parfois que la diversité ait du bon !

Si vous préférez cependant utiliser Linux ou si vous n'avez pas d'autre choix, vous pourrez facilement adapter mes instructions. Ce sont essentiellement les chemins de fichiers qui changeront, et les commandes pour installer et démarrer le logiciel.

Un package pour Tor est disponible sous FreeBSD. Aussi pour l'installer il vous suffit d'exécuter, en tant que root :

# pkg install tor

Egalement, il est nécessaire d'activer le Random_ID au niveau de votre système, sans cela le logiciel Tor pourrait râler. ;) Ceci active l'utilisation de paramètres aléatoires lors de la formation des paquets IP par votre serveur, ce qui rend plus diffile l'identification de celui-ci par des techniques distantes telles que l'OS fingerprinting. Vous n'aurez aucun problème avec cela, testé et approuvé par moi-même. ;-)

# echo "net.inet.ip.random_id=1" >> /etc/sysctl.conf
# sysctl net.inet.ip.random_id=1

La première commande permet de modifier de manière appropriée le fichier /etc/sysctl.conf pour réappliquer la configuration lors du redémarrage de votre serveur. Sous Linux, vous pouvez passer cette étape.

Passons maintenant à la configuration ! Vous trouverez un exemple de fichier commenté sous /usr/local/etc/tor/torrc.sample avec le package FreeBSD. Comme souvent il y a énormément de possibilités offertes par le logiciel, mais pour aller à l'essentiel, vous pouvez vous contenter d'un fichier de configuration très succint :


# Configuration minimale
Log notice syslog
DataDirectory /var/db/tor
ORPort 9090
Nickname Mon_Relais_de_Oof
RelayBandwidthRate 16 MBytes
RelayBandwidthBurst 32 Mbytes
ContactInfo Admin_de_Oof <tor-admin[]domaine.tld>
ExitRelay 0

# Optionnel : activation de l'IPv6 (en middle/guard seulement)
ORPort [2001:db8:1:1::100]:9090
IPv6Exit 0

# Optionnel : activation du proxy SOCKS
SOCKSPort 9050
SOCKSPort 192.0.2.100:9050
SOCKSPort [2001:db8:1:1::100]:9050

# Optionnel : supervision avec Nyx
ControlPort 9051
HashedControlPassword 16:BE442A2CBCE8737E60A6785FFA2610B2F26C299CD3148B8F60B8729186

A noter qu'ici, quel que soit le système UNIX que vous utilisez, vous pouvez copier et utiliser cette configuration à l'identique.

Quelques précisions sur celle-ci :

Au sujet du port TCP principal (ORPort ici), le Tor Project recommande d'utiliser le port 443 car il est généralement très peu filtré par les firewalls. Mais pour un petit relais personnel cela ne se justifie pas vraiment, et bien sûr cela va vous ennuyer si vous devez faire fonctionner un serveur HTTPS sur la même machine. Utiliser un port supérieur à 1024 vous évitera également d'activer le setuid du daemon Tor, ce qui est toujours mieux pour la sécurité.

En ce qui concerne l'IPv6, vous devez avoir une adresse globale unicast directement configurée sur l'interface de votre serveur. Je n'ai pas testé, mais à priori Tor n'est pas prévu pour fonctionner avec du NPT.

Tor stocke quelques données sur votre disque, et va produire pas mal de logs. Si vous choisissez un sous-répertoire de /var pour DataDirectory comme proposé, assurez-vous qu'il y ait la place. Toutefois, après des mois d'utilisations, Tor ne m'a pas occupé plus de 400 Mo d'espace disque.

Pour la bande passante, une valeur entre 100 Mbit/s et 200 Mbit/s (soit 12,5 Mo/s à 25 Mo/s) est tout à fait correcte. Si vous pouvez allouer un peu plus en RelayBandwidthBurst c'est encore mieux pour vos performances, afin d'absorber les pics de trafic ponctuels comme il y en a toujours avec les protocoles fonctionnant sur IP.

Pour le Proxy SOCKS, la première directive SOCKSPort ne précisant que le port va uniquement indiquer au daemon Tor qu'il doit écouter sur l'adresse de loopback 127.0.0.1. Si vous souhaitez accéder à votre proxy via d'autres adresses, il est nécessaire d'ajouter les directives supplémentaires qui précisent celles-ci, comme indiqué. Pour l'IPv4 il peut parfaitement s'agir de l'adresse privée de votre serveur sur votre LAN. A ce propos, si vous activez l'écoute SOCKS sur une adresse publique, Tor va vous le notifier dans vos logs. Il est en effet indispensable dans ce cas d'effectuer un minimum de filtrage car laisser un proxy complètement ouvert et accessible depuis tout Internet est dangereux.

Au sujet du nom de relais et des informations de contact, sachez que ce sera diffusé sur le réseau Tor. Le mieux est d'utiliser ici une adresse e-mail dédiée si vous le pouvez. Faire figurer le caractère '@' ou le remplacer par '[]' est davantage une histoire de choix personnel, car je ne pense pas qu'un robot de spammeur ait du mal à identifier une adresse e-mail ici. Mais vu que les robots sont souvent totalement idiots, pourquoi pas...

Enfin pour la supervision cela se passe dans la suite de l'article. Un autre port TCP est ouvert pour cela (ControlPort - par défaut le 9051) mais uniquement sur l'adresse 127.0.0.1 dans la configuration standard.

Une fois votre fichier de configuration prêt et sauvegardé sous /usr/local/etc/tor/torrc (sous FreeBSD) il vous suffit de démarrer le logiciel Tor comme ceci (cette commande fonctionne en réalité sur presque tous les systèmes UNIX modernes) :

# service tor start

Pour que celui-ci démarre automatiquement avec votre serveur, éditez votre fichier /etc/rc.conf et rajoutez-y : tor_enable="YES". Si vous avez choisi d'écouter sur un port inférieur à 1024, ajoutez également tor_setuid="YES" avant la directive précédente.

Le programme écrit des messages plutôt explicites dans vos logs, ainsi sous FreeBSD, n'hésitez pas à consulter votre /var/log/messages pour vérifier que tout se passe correctement. Notamment, le programme va tester que vos adresses IP (v4 et v6) et vos ports sont correctement joignables depuis Internet.

Le daemon Tor supporte la relecture de son fichier de configuration « à chaud » c'est à dire que si vous modifiez le dit fichier, vous pouvez faire un kill -1 <tor_pid> ou un service tor reload, et ne pas avoir à relancer le programme.

Supervision avec Nyx

Cette partie est optionnelle et honnêtement, essentiellement cosmétique. Tor est un programme stable qui fonctionne très bien tout seul. Par ailleurs, une page de suivi des relais existe déjà sur le site de Tor, voir plus bas. Mais l'outil étant sympathique, j'ai tout de même choisi de vous le présenter.

Le Tor Project fournit lui-même ce logiciel libre, dédié à la supervision en temps réel d'un relais, et écrit en Python : Nyx. Je vous propose ici d'installer Nyx sur le même serveur que votre relais.

Il s'agit un outil fonctionnant en ligne de commande, entièrement en mode terminal. Ce programme est également disponible en tant que package pour la plupart des systèmes, notamment FreeBSD. Vous pouvez l'installer sur cet OS comme ceci :

# pkg install security/nyx

Nyx est prévu pour fonctionner en tant qu'utilisateur normal, il n'est pas recommandé, d'après sa documentation, de l'exécuter en tant que root. Il dispose de son propre fichier de configuration, qui doit être présent dans le répertoire de votre utilisateur, sous ~/.nyx/config. Voici ce que peut contenir votre fichier de configuration, les éléments étant assez explicites :


# Configuration Nyx
password clear_password
show_bits true
graph_interval 5
graph_height 10

Le show_bits true permet d'utiliser le Mbit/s au lieu du Mo/s (MB/s en anglais) comme unité de débit. C'est ce qu'utilisent les véritables administrateurs réseau. ;-)

Le password, ici en clair, doit correspondre à la version chiffrée de celui qui est présent dans le fichier de configuration torrc, voir plus haut. Pour générer la version chiffrée, vous pouvez utiliser :

% tor --hash-password <clear_password>

Au cas où vous vous demanderiez : le hash présent dans le fichier de configuration ci-dessus correspond réellement au mot de passe en clair 'clear_password' :-)

Une fois le fichier ~./nyx/config prêt et la configuration du serveur adaptée, vous n'avez plus qu'à lancer le programme avec la commande : nyx

Cliquez pour voir en plein écran

Vous pouvez naviguer dans les différents écrans du programme avec le clavier. Les flèches directionnelles ainsi que [Pg.Down] et [Pg.Up] permettant de changer de page et de faire défiler le texte de la page en cours. Les différentes pages vous donnent accès aux logs du processus Tor ainsi qu'aux les graphes de trafic, à la liste des circuits établis, à la configuration en cours de fonctionnement ainsi qu'à une visualisation de votre fichier torrc.

Rien que vous ne pouvez donc obtenir très difficilement sans Nyx, mais il faut reconnaître que les graphes de trafic sont pratiques. :)

Même sans Nyx, la page Relay Search des Tor Metrics vous permet de vérifier l'activité d'un relais, en tapant son nickname (tel que précisé dans la configuration) dans le champ de recherche. Au bout de quelques jours de fonctionnement du vôtre, n'hésitez pas à aller vérifier qu'il est bien vu par le reste du réseau Tor.

Vous êtes désormais équipé pour aller faire fondre des flocons de neige en toute discrétion. ;D

La Revue de TheRaphit.com

Nombre de visiteurs
depuis le 13 mai 1997.

[Article précédent]

[Accueil]

Dernier article

[Les archives]

TheRaphit's Web Site - La dernière homepage du Web

[(Tout)² Evangelion]

Webzine : La Revue

[Manga Pink Zone] [Mathématiques]

[Nouveautés] [Zone de téléchargement]

Site créé le 16 janvier 1997
©1997-2025 by TheRaphit
www.theraphit.com