C'est la fin d'une histoire : YggTorrent, le plus grand site torrent francophone, ferme ses portes. « Fermeture définitive »peut-on lire sur le tracker. Cela fait suite à un énorme hack appelé YGGFuite.
YggTorrent s'est arrêté après le piratage de YGGLeak
Le hack a permis à un hacker, dont le pseudonyme Gr0lum, d'avoir infiltré l'intégralité du système, d'avoir exfiltré plusieurs Go de données internes, puis d'avoir complètement vidé les serveurs. La véritable ampleur de la compromission reste à confirmer de manière indépendante, mais les preuves publiées en font l'une des plus grosses fuites jamais liées à un tracker francophone. Une archive pesant près de 11 Go avec toutes les données est disponible en téléchargement.
Les données revendiquées couvrent un spectre très large :
- base d'utilisateurs avec 6,6 millions de comptes (adresses email, identifiants, hachages de mots de passe, adresses IP, historiques de navigation)
- les bases du tracker, du forum et de la boutique
- code source complet du site
- architecture du serveur
- journaux techniques
- données financières et échanges internes des dirigeants
Le hacker précise avoir caché certaines informations sensibles avant toute publication publique. Il écrit :
Aucune information sur les utilisateurs (adresses IP, emails, mots de passe) ne sera accessible ici. Malheureusement pour l'ARCOM, je le garde bien au chaud. A part Oracle, la moitié des hashs sont encore en md5, ce n'est pas sérieux mon ami.
Le hacker n'a pas apprécié les pratiques d'YggTorrent
Mais pourquoi une si énorme fuite de YggTorrent ? Le hacker Gr0lum fait notamment référence au mode Turbo payant qui a fait ses débuts en décembre. Ceux qui ne payaient pas avaient une limite de téléchargement de 5 torrents par jour. Il écrit :
Près de 10 millions d’euros de revenus pour 2024-2025 ne vous suffisaient pas. Vous avez imposé votre mode merdique « Turbo » pour extorquer tous ceux qui voulaient télécharger plus de cinq fichiers par jour. En profitant de votre monopole, vous avez pris les gens en otage avec un système de quotas ridicule. Beaucoup ont payé, comme le montrent clairement vos chiffres de janvier et février. Après le départ massif des équipes de uploaders, vous auriez pu vous remettre en question. Au lieu de cela, vous avez choisi la censure et les interdictions.
Pendant que vos équipes de modérateurs travaillent bénévolement au bon fonctionnement du site, vous continuez à amasser une véritable fortune sur leur dos. Francisco du Maroc et Vladimir de France, vous avez exploité la naïveté de gens qui croyaient en un projet de partage libre, désintéressé et communautaire.
Pendant des années, vous avez utilisé des méthodes crapuleuses : DDoS contre les trackers concurrents, purgeant les utilisateurs dès qu'ils ouvrent la bouche, sabotant votre propre API pour empêcher quiconque d'utiliser des outils tiers. Mais le plus intéressant, c’est ce qu’on trouve dans le code source, non, Oracle ? Enregistrez-vous les 54 776 cartes bancaires de vos adhérents ? Pour faire quoi, exactement ? A quoi sert le suivi comportemental de chaque visiteur ? Et vos utilisateurs sont-ils conscients des empreintes digitales des portefeuilles cryptographiques ? Les scans CNI volés que vous utilisez pour payer les serveurs, êtes-vous à l'aise avec ça ?
Un hack en plusieurs étapes
La faille initiale ne repose pas sur une faille technique complexe, mais sur une succession d’erreurs de configuration élémentaires. Un service SphinxQL exposé à Internet sans authentification a pu lire des fichiers locaux sur le serveur, notamment un fichier Windows contenant le mot de passe administrateur en texte clair. À partir de ce point d’entrée, le pirate informatique a traversé plusieurs serveurs d’infrastructure, jusqu’aux principales bases de données de suivi et de production. Il avait alors un contrôle total.
L'accès aux systèmes de paiement est particulièrement remarquable. Le pirate affirme avoir atteint la base du forum, la boutique WooCommerce et ses plus de 89 000 commandes, ainsi que plusieurs processeurs et passerelles de paiement avec leurs journaux de transactions. Des systèmes de rotation de domaines ont été utilisés pour masquer l’origine des transactions.
Infrastructure du serveur YggTorrent
De nombreux détails techniques sont disponibles au sujet du piratage YggTorrent, ils peuvent être consultés sur cette page.
Le dossier révèle l'ampleur financière de l'opération d'YggTorrent : plus de 249 000 commandes, près de 100 000 payeurs uniques et entre 5 et 8,5 millions d'euros de chiffre d'affaires estimé sur la période 2024-2025, avec un pic revendiqué de 490 000 euros de recettes en un seul mois. Ces revenus étaient convertis en cryptomonnaies avant d’être redistribués via différents services et wallets.
Tous les torrents ont été récupérés
Malgré la destruction des serveurs, Gr0lum annonce avoir sauvegardé le catalogue complet des torrents grâce à l'aide de l'équipe du projet U2P. Les torrents ont été remis en ligne sur ygg.gratis. Le pirate a trouvé un moyen pour que les utilisateurs qui partageaient déjà des fichiers sur YggTorrent puissent continuer à le faire via ygg.gratis sans avoir besoin de modifier quoi que ce soit dans leur client torrent. Une redirection automatique a eu lieu au niveau de l'URL.
Bien entendu, l'affaire pourrait attirer l'attention des autorités, compte tenu de l'ampleur du site, du nombre d'utilisateurs concernés et des données financières désormais exposées. Par ailleurs, les ayants droit doivent se réjouir de la fermeture de YggTorrent, étant donné qu'il s'agit du plus gros tracker francophone.
