Depuis 2018, Brave propose un mode « Fenêtre privée avec Tor » qui combine la familiarité d’un navigateur Chromium durci avec la puissance d’anonymisation du réseau Tor. En 2025, l’option reste maintenue et régulièrement patchée — les notes de version 1.77.98 (19 avril 2025) prouvent que Brave continue d’investir dans ce module. Pourtant, beaucoup d’internautes ignorent encore ce qu’implique réellement l’usage de Tor à l’intérieur de Brave : quelles protections sont (ou ne sont pas) activées ? Quelles limites techniques ou juridiques faut-il connaître ? Cet article, volontairement long et didactique, répond à l’ensemble des questions qu’un utilisateur francophone peut se poser en 2025.
Le réseau Tor : rappels indispensables
Tor (« The Onion Router ») repose sur l’idée d’un routage oignon : avant d’être envoyé, votre trafic est chiffré en couches successives. Chaque relais (nœud) ne peut décoder qu’une couche, ne connaît que son voisin amont et aval, et ne voit jamais le contenu complet ni l’identité finale de l’utilisateur. Le circuit typique comprend :
- nœud d’entrée (guard) – voit votre IP mais pas votre destination,
- nœud intermédiaire,
- nœud de sortie – voit la destination claire mais pas votre IP réelle.
Le dernier relais donne donc au site l’adresse IP du nœud de sortie, pas la vôtre. L’empreinte réseau est publique : n’importe quel fournisseur sait qu’une connexion provient du réseau Tor, mais il ignore qui émet la requête et ce qu’elle contient si TLS est actif.
Pourquoi utiliser Tor dans Brave ?
Brave est déjà réputé pour son bloqueur natif, sa protection anti-fingerprinting et son modèle de revenus via BAT. Utiliser Tor ajoute une couche de dissimulation d’adresse IP ; c’est utile lorsque :
- vous voyagez dans un pays où les VPN sont restreints ;
- vous souhaitez séparer certaines recherches sensibles (médicales, politiques, bancaires) de votre identité ordinaire ;
- vous devez accéder ponctuellement à un service en .onion sans installer Tor Browser complet.
Brave permet alors un compromis : une interface Chromium classique, compatible avec la quasi-totalité des sites, mais acheminant le trafic de la fenêtre privée choisie via Tor. Les sites ne verront pas votre adresse IP ni vos cookies habituels. Brave précise néanmoins que son implémentation « n’inclut pas la plupart des défenses du Tor Browser » et que l’empreinte n’est pas uniformisée.
Brave + Tor ≠ Tor Browser : comprendre les différences
| Fonction | Brave (Fenêtre privée + Tor) | Tor Browser |
|---|---|---|
| Uniformisation de l’empreinte (fingerprint) | Partielle : Brave bloque/randonne certaines API, mais conserve son propre fingerprint, distinct de la majorité des utilisateurs Tor | Très poussée : tous les utilisateurs partagent la même empreinte FF ESR + Tor Patch |
| Isolation de premier niveau | Par fenêtre | Par onglet (circuit différent par domaine) |
| Mises à jour du moteur | Alignées sur Chromium stable (toutes les 4 semaines) | Basé sur Firefox ESR (cycle 42–52 semaines) |
| Extensions | Désactivées par défaut dans la fenêtre Tor, mais l’utilisateur peut les activer (risque) | Aucune extension autorisée |
| Paramètres HTTPS-only, NoScript | Optionnels | Activés par défaut |
Plusieurs experts de la communauté r/privacy rappellent que « Tor Browser lui-même reste la référence » pour l’anonymat. Cela ne signifie pas que Brave est inutile, mais qu’il vise un public moins disposé à sacrifier confort et compatibilité Web.
Sous le capot : architecture et flux techniques
Quand vous ouvrez Fichier → Nouvelle fenêtre privée avec Tor :
- Brave lance un processus
brave_tor.exe(Windows) oubrave_tor(macOS/Linux) qui incorpore un client Tor embarqué. Celui-ci télécharge le consensus et établit un circuit de trois relais. - Le trafic du profil Tor passe alors par un proxy SOCKS5 local (
127.0.0.1:9250). Le rendu reste dans le même moteur Blink, mais toutes les requêtes réseau de cet espace de navigation transitent via ce proxy. - Séparation de profil : cookies, cache, historique, fichiers de session sont stockés dans un sous-répertoire dédié (
tor_profile). À la fermeture de la dernière fenêtre Tor, Brave efface ces données. - BLoquer WebRTC : Brave applique la politique
WebRTC IP Handling = Disable non-proxy UDPpour éviter les fuites d’IP.
La page brave://tor-internals affiche l’état du daemon depuis la version 1.62 (octobre 2023) et aide au diagnostic.
Activer un « onglet privé avec Tor » pas à pas
Sur desktop (Windows, macOS, Linux)
- Ouvrez Brave > Paramètres > Vie privée et sécurité.
- Activez l’option Tor Windows (désactivée par certaines GPO d’entreprise).
- Cliquez sur le menu hamburger (≡) puis Nouvelle fenêtre privée avec Tor.
- Patientez : le bandeau violet affiche Connecting to Tor… puis Tor connected.
- Vérifiez votre IP via
https://check.torproject.org.
Astuce : si la connexion reste sur Disconnected, désactivez puis réactivez la bascule Tor dans les paramètres ; cela force la régénération du répertoire Tor local — procédure fréquemment conseillée par l’équipe support.
Sur mobile
À ce jour, Brave Mobile n’intègre toujours pas Tor en natif ; des demandes communautaires sont ouvertes depuis 2024 mais non planifiées. Sur smartphone, l’alternative est d’utiliser Orbot + Brave (proxy global) ou le Tor Browser officiel Android.
Réglages avancés : ponts, politiques et environnement entreprise
- Bridges : Brave n’expose pas d’UI pour configurer des ponts privés. Il faut éditer le fichier
torrcdans le dossier de profil Tor (non recommandé, risque de corruption). Pour les réseaux qui bloquent Tor par DPI, Tor Browser demeure préférable. - Politiques de groupe/registre (Windows) : clé
HKLM\SOFTWARE\Policies\BraveSoftware\Brave → TorDisabled = 1pour désactiver Tor sans supprimer la navigation privée. - Environnements filtrés : certains antivirus (TrendMicro, par ex.) suppriment le client Tor ; l’issue #8613 documente le cas et la nécessité d’exclure le dossier Brave Tor dans l’AV.
Performances, latence et bande passante
Acheminer les paquets via trois — parfois six — relais bénévoles introduit fatalement de la latence ; Brave annonce une navigation « plus lente que d’ordinaire ». Des utilisateurs rapportent dans le forum Brave que les vidéos YouTube 1080p deviennent inaccessibles et que certaines pages ne chargent pas. La vitesse dépend essentiellement :
- de la qualité des relais de sortie ;
- de la congestion du réseau Tor ;
- du protocole (HTTP 2, QUIC désactivé par Tor).
Optimiser la vitesse :
- privilégiez des sites compatibles HTTP 2 TLS 1.3 ;
- évitez les téléchargements lourds ;
- changez de circuit via
New Tor circuit for this site(clic sur onglet) si un relais est saturé.
Limites de confidentialité et vecteurs de risque
- Empreinte unique : la palette Brave + Tor est rare, donc plus facile à isoler.
- Extensions : autoriser uBlock, Metamask, etc., expose à des fuites JS. Brave les désactive par défaut ; laissez-les ainsi.
- Média & WebGL : certains API matériels restent actifs ; désactivez
brave://settings/shields --> Fingerprinting → Bloquer toutes les empreintespour uniformiser, au prix d’éventuels dysfonctionnements. - Bugs passés : fuite DNS
.onion(février 2021) — les requêtes vers des domaines oignon étaient envoyées au résolveur DNS local avant d’être capturées. Correctif appliqué le même mois, mais démontre que l’implémentation est perfectible. - Historique interne : certains utilisateurs ont remarqué que la barre d’adresse « se souvient » d’URLs Tor après redémarrage, en dépit des promesses d’effacement ; un ticket ouvert en février 2025 discute la questio.
Retour d’expérience : bugs historiques, fuites DNS et correctifs
| Année | Bug | Impact | Correctif |
|---|---|---|---|
| 2021 | Fuite DNS .onion (ad-blocker) | Exposition des domaines visités au FAI | Patch dans Brave 1.20.108 (Feb 21) |
| 2022 | Tor disconnected après install admin → user non-admin | Impossible d’ouvrir Tor | Issue #31124, résolu via correctif droit fichiers |
| 2023 | Espace vide dans bulle « Clear data » fenêtre Tor | Pure UI | fix 1.44.x |
| 2024 | DNS leak false positive avec Secure DNS + VPN | Inconfort, pas une vraie fuite | rejeté après test |
| 2025 | Historique suggéré en Tor | Investigation en cours | non résolu (avril) |
Bonnes pratiques pour rester (vraiment) anonyme
- Limitez les sessions : fermez la fenêtre Tor après usage ; cela détruit le profil.
- Pas de comptes personnels : ne vous connectez pas à Gmail/Facebook, sinon la valeur de Tor chute.
- Préférez HTTPS : Tor ne chiffre pas hors TLS ; utilisez E-SNI ou Oblivious DoH si possible.
- Désactivez JavaScript sur les .onion critiques (via le Shields ou une extension comme NoScript).
- Considérez un pont obfs4 pour contourner la censure ; mais dans Brave c’est compliqué, donc penchez-vous sur Tor Browser si nécessaire.
Accéder aux sites en .onion depuis Brave
Tapez simplement l’URL .onion dans la barre ; Brave sait qu’il doit passer par le proxy Tor. Si l’adresse échoue :
- vérifiez qu’elle est réellement en ligne (Down for everyone … ?) ;
- contrôlez que le circuit Tor supporte l’ancienne v2 (dépréciée) ou la v3. Brave supporte encore v2 mais Tor Project fermera ces services fin 2025.
Rappel : l’usage ou l’hébergement de contenus illicites reste répréhensible indépendamment du protocole (voir § 15).
Cas d’usage légitimes et éthiques
- Journalisme et lanceurs d’alerte – consultation de bases de données accessibles en .onion (SecureDrop).
- Recherches médicales personnelles – cancer, santé reproductive, VIH, etc., sans laisser de trace dans l’historique familial.
- Contournement de censure – accéder à des médias indépendants bloqués géographiquement.
- Vie privée commerciale – tester des fuites d’adresse IP dans vos propres applications Web.
Tor, VPN, HTTPS : complémentarités et divergences
| Critère | Tor (Brave) | VPN | HTTPS |
|---|---|---|---|
| IP visible par le site | IP du nœud de sortie | IP du serveur VPN | IP réelle (au site) |
| Chiffrement entre vous et le 1er relais | Oui (TLS interne) | Oui (tunnel) | Oui |
| Uniformité d’empreinte | Faible | Nulle | Nulle |
| Performance | Lente | Bonne | Excellente |
| Coût | Gratuit | Payant/souvent | Gratuit |
| Cadre légal en France | Libre, sauf usage illicite | Libre, fournisseur soumis à RGPD | N/A |
Un internaute demandait s’il pouvait « remplacer son VPN par la fenêtre Tor » ; la communauté Reddit répond « Pas vraiment ; cas d’usage différents ».
Aspects juridiques : ce que dit le droit en France, dans l’UE et ailleurs
En France, ni la loi renseignement 2015 ni le code des postes et communications électroniques n’interdit Tor. Le Conseil d’État a d’ailleurs rappelé, dans plusieurs avis, que la cryptologie relève de la liberté de communication sous contrôle proportionné de la puissance publique. La CNIL souligne régulièrement que « la protection par le chiffrement est un droit fondamental ».
Toutefois :
- Héberger ou consulter des contenus illicites (pédopornographie, apologie du terrorisme, contrefaçon) demeure pénalement répréhensible (art. 323-1 s. CP, loi LCEN).
- Certains pays (Chine, Russie, Iran) bloquent Tor ou assimilent son usage à un acte subversif. Si vous voyagez, vérifiez la législation locale.
- En entreprise, l’usage de Tor peut enfreindre les chartes informatiques ; le DSI est en droit de filtrer le port 9001 ou les relais.
Dépannage courant : « Disconnected », sites bloqués, lenteurs extrêmes
| Problème | Diagnostic | Solution rapide |
|---|---|---|
| Bandeau « Disconnected » | Tor daemon corrompu | Settings → toggle Tor off/on ; redémarrer Brave |
| Impossible d’accéder à torproject.org | Pare-feu, proxy réseau, DPI | Passer par un pont obsf4 (non officiel) ou Tor Browser avec Snowflake |
| Vidéo saccadée | Circuit saturé | Changer de circuit, réduire la qualité, utiliser un VPN plutôt |
| Captcha infini (reCAPTCHA) | IP nœud liste noire | New Tor circuit, ou tester via VPN |
| Historique qui persiste | Bug 2025 en cours | Effacer manuellement tor_profile dans %APPDATA% ; surveiller les releases |
Désactiver Tor (contrôle parental, conformité, parc entreprise)
- Windows – Registre :
TorDisabled=1(voir § 7). - macOS – MDM/Plist :
TorDisabledbooléen. - Chrome Policy Cloud : non supporté (Brave n’est pas géré par Google Admin).
- Désinstaller Tor complètement : lancer Brave avec l’argument
--disable-brave-extension=torà l’installation MSI.
Foire aux questions (FAQ)
Non, Brave applique Tor à toute la fenêtre. Ouvrez une fenêtre standard pour le reste.
Non, les ports UDP sont bloqués et c’est contraire à la politique du réseau Tor.
Oui jusqu’à la fin 2025, ensuite les relais les rejetteront. Préférez v3 (56 caractères).
C’est possible (mode « Tor over VPN »). Avantage : FAI ne sait pas que vous utilisez Tor. Inconvénient : latence + confiance dans le VPN.
Non depuis le patch 1.20.108 (février 2021). Pensez quand même à désactiver Secure DNS dans brave://settings/security.
Feuille de route et futur de la fonctionnalité
Les développeurs Brave n’ont pas annoncé de suppression de Tor ; au contraire, les notes Chromium 125 intègrent un sélecteur de mode réseau que Brave compte exploiter pour simplifier l’usage de ponts. Des discussions sur GitHub (#19211) évoquent également l’ajout d’un indicateur de statut Tor dans l’UI (icône oignon verte/rouge).
Naviguer via Tor dans Brave reste en 2025 une solution pratique pour qui désire masquer ponctuellement son IP et ses cookies sans changer de navigateur. Cependant, ce mode n’égale pas Tor Browser en matière d’anonymat total ; il faut connaître ses limites, garder de bonnes habitudes opérationnelles et suivre de près l’actualité des correctifs de sécurité. En suivant les recommandations de ce guide, vous pourrez exploiter le meilleur des deux mondes — la rapidité et la compatibilité Brave, l’invisibilité relative du réseau Tor — tout en minimisant les risques techniques, juridiques et humains.