3 erreurs courantes à éviter quand on combine Tor et VPN

Miser sur Tor et un VPN pour renforcer sa confidentialité en ligne, c’est tentant. Mais mal les associer peut fragiliser la protection recherchée… et transformer votre navigation en parcours du combattant.

Sur le papier, combiner Tor et un VPN ressemble à la solution idéale pour rester discret en ligne. Mais dans les faits, ce duo n’est pas toujours aussi efficace qu’il en a l’air. La combinaison de protections peut sembler rassurant, mais il ouvre la porte aux malentendus techniques et aux choix qui affaiblissent la sécurité autant qu’ils la renforcent. Aussi, avant d’empiler les couches de chiffrement, il vaut mieux savoir comment elles interagissent, quels usages elles servent vraiment… et à quel prix en termes de performances.

Erreur #1 : mal comprendre l’ordre des couches

Faut-il d’abord activer son VPN, puis se connecter à Tor ? Ou l’inverse ? La réponse dépend de l’objectif, mais l’erreur consiste à penser que les deux approches se valent.

Dans le schéma Tor over VPN, votre trafic transite d’abord par le tunnel chiffré du VPN avant de circuler sur Tor. C’est le scénario le plus courant, et c’est généralement ce que proposent les VPN grand public derrière l’option Onion over VPN. Dans cette configuration, votre FAI ne voit qu’une connexion chiffrée vers le serveur VPN, sans savoir que vous cherchez à vous connecter à Tor. Le nœud d’entrée Tor ne voit que l’adresse du serveur VPN, pas la vôtre. Le VPN n’observe que l’adresse du nœud d’entrée Tor et des métadonnées de connexion, sans connaître les sites ou services consultés. Les sites et services ne voient que l’adresse du nœud de sortie Tor.

À l’inverse, dans un schéma VPN over Tor, votre trafic passe dans le réseau Tor avant d’être encapsulé dans un tunnel VPN. Votre FAI détecte alors que vous utilisez Tor, et la passerelle d’entrée Tor connaît votre adresse IP réelle. En revanche, le nœud de sortie ne connaît pas la destination réelle du trafic : il transmet simplement le flux vers le serveur VPN, qui devient alors le point de sortie unique vers Internet. Les sites et plateformes ne savent donc pas que la connexion provient de Tor. Cette configuration peut être utile pour contourner les blocages imposés aux sorties Tor, mais elle exige des réglages précis et empêche l’accès aux services .onion.

Dans les deux cas, il n’existe pas de bonne ou mauvaise configuration universelle. En pratique, pour contourner une censure ou éviter que votre FAI voie que vous utilisez Tor, VPN puis Tor est la voie adaptée : c’est elle qui masque l’existence du réseau. Si vous cherchez à accéder à des sites web qui filtrent le trafic Tor, alors c’est une config Tor puis VPN qu’il faut privilégier, à condition de bien en maîtriser la mise en œuvre.

Erreur #2 : surestimer le gain en confidentialité

C’est l’erreur la plus courante : croire qu’en combinant Tor et un VPN, on double sa confidentialité. En réalité, on ne la renforce pas forcément ; on la déplace. Et si l’on ne s’y prend pas correctement, on peut même l’affaiblir.

Dans un montage Tor over VPN, l’essentiel des enjeux de confidentialité repose sur le fournisseur VPN, qui connaît votre adresse IP et conserve des métadonnées, ainsi que sur le nœud de sortie Tor, capable de voir ce qui n’est pas protégé par HTTPS.

Dans un schéma VPN over Tor, tout le trafic sortant passe par une seule adresse IP, celle que le fournisseur VPN vous attribue, ce qui tend à neutraliser l’effet d’anonymat collectif offert par les nœuds de sortie du réseau Tor. De fait, tout site ou observateur capable de voir cette IP peut en déduire que l’ensemble de ces requêtes émane d’un internaute unique. Un risque d’autant plus important si vous avez opté pour une IP dédiée. On rappellera toutefois que certains services prennent en charge la rotation dynamique des adresses IP, ce qui complique l’observation extérieure, mais ne supprime pas pour autant la capacité du fournisseur VPN à relier l’ensemble des flux à une même session.

Au-delà du choix d’architecture, la confidentialité dépend aussi – et surtout – de vos usages. Se connecter à des comptes personnels, publier en son nom, réutiliser des identifiants ou mélanger navigation Tor et navigation « classique » suffit à ruiner la protection offerte par le réseau, quel que soit le soin apporté à la configuration.

Erreur #3 : oublier l’impact sur les performances

Superposer Tor et un VPN a aussi un coût sur les performances. Tor, par conception, privilégie l’anonymat plutôt que la vitesse : chaque requête traverse plusieurs relais chiffrés avant d’atteindre sa destination. Cette architecture protège efficacement l’identité de l’utilisateur ou de l’utilisatrice, mais elle induit déjà une latence notable et des débits inférieurs à une connexion classique.

Ajouter un VPN à cette chaîne rallonge encore le trajet des paquets et ajoute une couche supplémentaire de chiffrement et de routage. La navigation peut alors devenir très lente, surtout pour des usages gourmands comme le streaming vidéo, les appels en visioconférence ou le transfert de gros fichiers.

Et si le VPN choisi est lui-même peu performant – serveurs saturés, distance géographique importante ou protocoles mal optimisés –, l’expérience peut vite tourner au calvaire. Les pages mettent un temps infini à charger, les vidéos saccadent et les téléchargements prennent des heures, sans gain réel en matière de confidentialité.

Avant d’empiler les couches, il est donc utile de définir précisément l’objectif recherché : franchir une censure, protéger un usage ponctuel ou viser un haut niveau de confidentialité. Dans bien des cas, Tor seul ou un VPN seul, correctement configurés, répondent déjà à l’essentiel.

VPN + Tor, les recommandations de la rédac

Chez Clubic, nous testons chaque année des dizaines de VPN de manière totalement indépendante, en évaluant leur sécurité, leurs performances, leur rapport qualité-prix et leur gestion de la confidentialité. Si vous n’avez pas envie de vous lancer dans une configuration complexe – Tor over VPN, Onion over VPN ou autre –, certains services proposent une intégration soignée qui gère tout en arrière-plan et limite l’impact sur la vitesse. Voici ceux que nous recommandons.

CyberGhost : un réseau massif à prix doux

Avec plus de 11 000 serveurs répartis dans une centaine de pays, CyberGhost offre l’un des réseaux les plus vastes du marché. Il ne propose pas de serveurs Tor dédiés, mais l’intégration de WireGuard et la diversité géographique de ses points d’accès réduisent l’impact du double chiffrement sur la vitesse. Le service met aussi en avant des serveurs « NoSpy », installés dans des datacenters contrôlés en interne, et d’autres optimisés pour le streaming, le peer-to-peer ou le jeu en ligne. Ajoutons un prix très compétitif : pour celles et ceux qui cherchent un VPN abordable et rapide, c’est un choix solide.

Proton VPN : l’intégration la plus fluide avec Tor

Proton VPN aligne près de 15 000 serveurs dans 122 pays et prend en charge OpenVPN, WireGuard et son protocole Stealth pensé pour contourner les blocages. Surtout, il propose des serveurs « Onion over VPN » : il suffit de les sélectionner pour utiliser Tor sans aucune configuration supplémentaire. Cette intégration, soignée et optimisée, limite les pertes de vitesse tout en maintenant un haut niveau de protection des données. Issu de l’équipe derrière Proton Mail, le service conserve un positionnement très marqué sur la confidentialité, avec une politique stricte d’absence de logs et des fonctions avancées comme Secure Core.

ExpressVPN : rapidité et confort d’usage

ExpressVPN dispose d’un parc de plus de 3 000 serveurs répartis dans 105 pays. Il ne propose pas de serveurs Tor intégrés, mais sa prise en charge de WireGuard et surtout de Lightway, son protocole maison doté d’un mode Turbo, permet de réduire la latence et de stabiliser les débits même avec plusieurs couches de chiffrement. C’est un service qui mise beaucoup sur la fluidité : interface claire, applications pour toutes les plateformes, assistance réactive. Pour celles et ceux qui veulent combiner Tor et VPN sans trop sacrifier de performances, ExpressVPN reste une valeur sûre, même si son prix est plus élevé.

NordVPN : Onion over VPN prêt à l’emploi

NordVPN compte aujourd’hui environ 8 000 serveurs dans 126 pays. Il propose des serveurs « Onion over VPN », prêts à l’emploi : aucune configuration n’est nécessaire pour faire transiter le trafic directement vers Tor. Le service intègre NordLynx, un protocole maison basé sur WireGuard, optimisé pour la vitesse, ainsi qu’OpenVPN pour celles et ceux qui préfèrent un standard éprouvé. À cela s’ajoutent des serveurs spécialisés : double VPN, anti-DDoS, P2P ou IP dédiée. NordVPN combine ainsi une approche pragmatique de la sécurité et des performances, avec un réseau vaste et des applications soignées, adaptées aussi bien aux débutants qu’aux profils plus avancés.