S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

« Un empire bâti sur le racket » : YggTorrent ferme, 30 Go de données dans la nature

« Un empire bâti sur le racket » : YggTorrent ferme, 30 Go de données dans la nature

Illustration : Flock

« L’histoire s’arrête ici. » C’est par ces mots que l’équipe de YggTorrent annonce la fin du site. Ce n’est pas son choix. Elle a été victime d’un piratage à grande échelle, qui met au jour 30 Go de données et lève le voile sur le caractère très lucratif de ses activités, ainsi que sur du code source, des mots de passe, des échanges, des bases de données, etc.

Le 04 mars à 17h48

YggTorrent était un site dédié au téléchargement illégal et plus particulièrement aux torrents, comme son nom l’indique. Il changeait régulièrement de domaine, pour contrer les ordonnances de blocage dont il était régulièrement la cible. Le site affiche cette fois-ci un message différent : « Fermeture définitive de YggTorrent ».

« Fermeture définitive de YggTorrent »

Dernier épisode d’une série où des pirates s’attaquent aux pirates. L’équipe YggTorrent affirme en effet que, « le 3 mars 2026 au soir, un groupe malveillant a attaqué volontairement notre infrastructure. Un serveur secondaire de préproduction, distinct du système principal, a été compromis. Une escalade de privilèges a permis la suppression puis l’exfiltration de la base de données. Des portefeuilles crypto destinés uniquement au financement des serveurs, représentant plusieurs dizaines de milliers d’euros, ont également été dérobés (un détail que certains choisiront d’ignorer) […] C’était une attaque pensée, préparée et exécutée pour faire disparaître ».

L’attaque est signée et revendiquée par Grolum (parfois Gr0lum). Et au moins les deux « camps » sont raccords sur un point, le seul d’ailleurs : « Toute l’infrastructure de YGG a été compromise : code source, bases de données du tracker, du forum, de la boutique, logs serveur, configurations, mots de passe et cookies, projets en développement, échanges privés, données personnelles », affirme Grolum.

Grolum pas content : « mode "Turbo" de merde pour racketter »

« 6,6 millions d’utilisateurs. Des années de mensonges. Un empire bâti sur le racket. C’est fini. Les serveurs ont été vidés, puis détruits […] Près de 10 millions d’euros de recettes pour 2024 - 2025 ne vous ont pas suffi. Vous avez imposé votre mode « Turbo » de merde pour racketter quiconque voulait télécharger plus de cinq fichiers par jour. En profitant de votre monopole, vous avez pris les gens en otage avec un système de quota ridicule », ajoute-il.

En décembre, YggTorrent changeait de « modèle économique » avec un abonnement payant à la place des ratios (il fallait auparavant partager suffisamment pour pouvoir télécharger). La fronde est rapidement montée dans la communauté, comme nous l’avions alors relaté.

« Beaucoup ont payé, comme le montrent clairement vos chiffres de janvier et février », affirme Grolum. Ceux qui ont pris un « turbo à vie » ou ne serait-ce que pendant plusieurs mois, ne pensaient certainement pas que la vie du site serait aussi éphémère. Dans tous les cas, l’argent est arrivé dans les caisses de « l’équipe de YggTorrent » et selon Grolum les sommes seraient conséquentes. Reste maintenant à savoir qui a l’argent.

Ce tableau diffusé par le pirate détaillerait les revenus générés par YggTorrent – capture d’écran

« L’équipe YggTorrent » affirme que des sauvegardes existent et qu’une « reconstruction serait techniquement possible », mais ne souhaite pas « continuer dans un climat d’acharnement permanent ».

Grolum aussi parle d’un drôle de climat, mais avec un angle différent : « Alors que vos équipes de modérateurs bossent bénévolement pour faire tourner le site, vous continuez d’amasser une véritable fortune sur leur dos. Francisco depuis le Maroc et Vladimir depuis la France, vous avez exploité la naïveté de personnes qui croyaient en un projet de partage libre, désintéressé et communautaire. Pendant des années, vous avez utilisé des méthodes de crapules : DDoS contre les trackers concurrents, purges d’uploadeurs dès qu’ils ouvraient la bouche, sabotage de votre propre API pour empêcher quiconque d’utiliser des outils tiers ». Ambiance.

Il ajoute que Oracle, celui qui serait à la tête de YggTorrent, aurait enregistré « les 54 776 cartes bancaires [des] membres » et se demande « Pour en faire quoi, exactement ? ». D’autres questions remontent : « Le tracking comportemental de chaque visiteur, c’est pour quel usage ? Et le fingerprinting des wallets crypto, tes utilisateurs sont au courant ? Les scans de CNI volées que tu utilises pour payer les serveurs, tu es à l’aise avec ça ? ».

30 Go de données brutes

Pour joindre la parole aux actes, il propose un lien .torrent pour récupérer des données de 6,6 millions d’utilisateurs, avec en plus des informations sur les coulisses, l’infrastructure, l’organisation, les finances, les projets internes, les données personnelles des admins, etc.

Il explique son choix de publier : « des gens dont c’est le métier vont pouvoir y jeter un œil, collecter des preuves supplémentaires et peut-être engager des poursuites contre les responsables du site, mais aussi contre les hébergeurs ou d’autres tiers identifié ». Reste à savoir si toutes les données sont bien celles de YggTorrent.

Grolum précise avoir fait quelques caviardages : « Aucune information sur les utilisateurs (adresses IP, emails, mots de passe) ne sera accessible ici. Hélas pour l’ARCOM, je garde ça bien au chaud. D’ailleurs Oracle, la moitié des hash sont encore en md5, c’est pas sérieux l’ami », ajoute-t-il. En dépit de cette information selon laquelle les informations personnelles ont été expurgées, il faudra attendre de voir si dans l’immense quantité de données, il n’est pas possible de faire des rapprochements et remonter à des utilisateurs.

À ce sujet, YggTorrent affirme que « les mots de passe présents dans la base étaient hachés et salés, ce qui signifie qu’ils n’étaient pas stockés en clair et qu’ils bénéficiaient d’une protection cryptographique empêchant leur lecture directe », sans préciser la technique utilisée. La fonction de hachage md5 est pour rappel qualifiée d’obsolète par la CNIL. Toujours les mêmes recommandations : si vous avez utilisé le même mot de passe sur YggTorrent et d’autres sites/services, il faut en changer au plus vite.

Le fichier pèse pas moins de 11 Go et se présente sous la forme d’une archive compressée. L’espace total occupé par les fichiers est de 30 Go une fois décompressés, dont 20 Go rien que pour les bases de données et 14 Go dans un seul fichier ygg_tracker_redacted/torrents/data.sql . Autant dire qu’il faudra du temps pour tout analyser.

Dans les données, se trouve notamment un fichier « Reunion201117_fra.json » avec ce qui semble être une transcription d’une réunion audio. Voici quelques extraits :

« La sécurité va s’améliorer parce que je peux vous le dire sincèrement, je vais être 100 % clair et gardez ça pour vous, mais les mots de passe sont z-, sont cryptés médiocres. Euh, le, le, la sécurité en ce moment des utilisateurs est très minime. C’est pour ça que nous, euh, Destroy est venu nous voir et nous a demandé d’avoir une meilleure sécurité. Moi, je suis arrivé avec une entreprise privée pour, pour le, la machine, parce qu’avant, avant, c’était des mecs russes très bizarres qui, qui fouillaient un peu sur la machine, vous voyez le genre ? ».

On trouve aussi des emails et des mots de passe associés à des comptes (rappel, réutiliser le même n’est pas une bonne idée). Certains ne sont plus valides, d’autres demandent un code envoyé par email avant de laisser passer. Certains des comptes semblent bien avoir existé.

Les coulisses de l’attaque, la relève déjà en place

Dans la fin de son billet, Grolum explique de manière détaillée comment il est entré sur le serveur de YggTorrent et comment il a récupéré les données. S’il fallait simplifier à l’extrême voici la chaine d’opération, telle que décrite par le pirate.

Point de départ de l’attaque : le favicon de yggtorrent. « Chaque icône a une empreinte numérique unique. Si on calcule le hash de celle de YGG et qu’on le cherche dans Shodan, l’IP du serveur de pré-prod apparaît ».

Ensuite, un scan de port et découverte d’une entrée non sécurisée : « Le scan de ports a révélé le service SphinxQL sur le port 9306. Sphinx Search est un moteur de recherche full-text qui utilise un protocole compatible MySQL. Sur ce serveur, il est accessible depuis Internet sans aucune authentification […] SphinxQL supporte nativement la lecture de fichiers locaux ».

La suite : « Sur les serveurs Windows déployés automatiquement, le fichier sysprep_unattend.xml contient les paramètres d’installation, y compris, parfois, le mot de passe administrateur. Ce fichier aurait dû être supprimé après le déploiement. Il ne l’a pas été ».

Les pirates ont donc récupéré rien de moins que le mot de passe administrateur du serveur, en clair, « dans un fichier que n’importe qui pouvait lire via SphinxQL ». C’est la voie royale. Le pirate peut accéder en lecture et en écriture à l’ensemble du stockage.

Grolum affirme enfin que « Tous les torrents de YGG ont pu être sauvés grâce à l’aide de l’équipe du projet U2P », ou Utopeer. Sur les cendres de Torrent 411, Cpasbien ou encore Zone-Téléchargement, un nouveau site s’est encore lancé : ygg.gratis. Il propose « une interface de consultation qui permet de parcourir et télécharger les torrents issus de la base de données YggTorrent ayant fuité ».

Commentaires (64)

votre avatar
Et beh, bon au moins les torrents sont dispos pour le prochain qui prendra la relève mais ce sera les mêmes profils.

Pensée à ceux qui avaient pris le mode turbo ou je sais pas quoi à vie.

Edit : une fois n’est pas coutume le piratage semble relativement désintéressé, voir l'explication de l'auteur : https://yggleak.top/fr/home/ygg-dossier
votre avatar
Désintéressé ? Pas si sûr. On n'en sait rien pour le moment.
Des portefeuilles crypto destinés uniquement au financement des serveurs, représentant plusieurs dizaines de milliers d’euros, ont également été dérobés (un détail que certains choisiront d’ignorer).
(message du site yggtorrent)
votre avatar
L'avantage c'est que si l'adresse des portefeuille sont dispo, on pourra voir s'ils ont été vidé et quand
votre avatar
Mais difficilement par qui, ce qui est quand-même le plus important.
votre avatar
oui mais le timing peut aider, si c'est (bien) avant la publication, c'est le pirate. Si c'est après / au même moment c'est certainement l'équipe
votre avatar
Non ça peut aussi être l'équipe qui le retire avant la publication pour faire croire que c'est le pirate. Car en effet ce serait plutôt idiot de le retirer après la publication.
votre avatar
Mais quelle confiance accorder à ce genre de propos ?
votre avatar
Ben aucune, c'est justement ce qu'on dit.
votre avatar
oui, la description du leak est passionnante.
Chapeau bas à ce Grolum si son intention reste seulement le démantèlement de yggtorrent: il revient au hack "noble".
Le hack en soi est peu impressionnant avec les grossières erreurs du site. Mais ce grolum semble avoir passer un bon moment à analyser les données pour nous faire la documentation complète du système mafieux de yggtorrent: un énorme boulot. L histoire de grolum fera sans doute une belle video sur la chaîne de micode...

Au delà de ce cas, celle rappelle comment tout système mafieux se nourrit: l'addiction des clients. En principe, il serait assez simple de stopper ces systèmes inégalitaires si tout les utilisateurs arrêtaient simplement de payer. Cela va autant des consommateurs de drogues (mafia) à ici de contenus en ligne.

On pourrait même étendre cela aux téléspectateurs près à payer pour voir un événement sportif. Cette part est encadrée et légale mais crée de très fortes inégalités, et l organisme central peu vite avoir des tendances mafieuses, je pense par ex à la Fifa.
votre avatar
Moi de toute façon j'ai un problème fondamental avec le principe de créer une œuvre non-rivale pour un coût X puis de chercher à la vendre à un prix Y au maximum de personnes et particulièrement lorsque chaque copie a un coût marginal.

Car pour moi ce principe nourri plein de déviances tel que le mensonge pour vendre un max, l'incertitude pour les créateurs , le surcout des assurances, la lutte contre la copie, la concentration des moyens dans le ou les personnes susceptibles de rendre "banquable" les projets et donc aussi une certaine uniformisation de la création, la recherche de l'addiction dans la création des œuvres, les enchères vis à vis des diffuseurs...

Ca fait des années que je n'ai plus acheté de média à l'unité.

Par contre, autant que possible je participe aux campagnes de pré-financement des œuvres, à condition que une fois financée (et réalisé) elle soit diffusé librement et gratuitement.

Pour moi les sites comme ygg sont un sous-produit aussi de ce système de financement.
votre avatar
ygg.gratis, j’ai testé mais les fichiers ne se téléchargent pas. Ça fonctionne chez vous? Asking for a friend 😊
votre avatar
Un ami très proche a testé (juste pour voir hein) et il m'a dit que ça fonctionne très bien
votre avatar
Il est d'ailleurs expliqué dans la rubrique Leak comment faire pour migrer vers les nouveaux trackers les torrents qu'on avait déjà en seed.

Mais c'est bizarre, je n'ai aucun peer avec les liens magnets par défaut du site. Et si je change la liste des trackers pour mettre ceux qui sont publiés sur le site, j'ai des peers mais ça ne transfère pas pour autant.
votre avatar
Et les torrents ont soit 8 jours, soit 8 ans 🤔
votre avatar
Ça fonctionne pour moi (testé sur deux torrents).
Par contre sur le client Freebox, il y a tellement de trackers dans le lien magnet que le client sort un message du genre "format d'url invalide". Il faut raccourcir l'url en supprimant 4 ou 5 trackers.
votre avatar
un ami a moi a egalement voulu voir aussi, mais le site semble down
votre avatar
N'empêche, avec les IP et les adresse e-mail, plus les historiques de paiement et de téléchargement ainsi que les volumes envoyés et reçus, les ayants droits pourraient s'amuser... :fumer:
votre avatar
tellement ! Jamais d'adresse réelle, toujours en VPN, depuis un navigateur que j'utilise que pour ça. Et par principe, aucun argent.

Les gens sont tellement crédules...

Sinon perso j'ai du mal à penser qu'on a volé l'argent et les portefeuille crypto, c'est une belle voie de sortie pour s'en aller avec la caisse...
votre avatar
Les données des utilisateurs ont été purgées. Il n'y a que les données perso des administrateurs qui sont rendues publiques.
votre avatar
Ça n'empêche en rien de prendre les "bonnes" mesures par défaut.
votre avatar
Comment les cartes bancaires sont connues s'ils passaient par un tiers tel que PayPal?
votre avatar
Process de paiement compromis : 13+
Donc sûrement pas que du PayPal.
votre avatar
Tu dois bien te douter que si Paypal ou autre prestataire classique ont travaillé avec Yggtorrent, ce ne devait être qu'au début le temps pour eux de réaliser ce qu'était le site.

De mémoire la dernière fois que j'avais regardé soit il y a plus d'un an, il n'y avait que le paiement par cryptos et le paiement en CB vers une petite entreprise en Californie dont je ne me rappelle plus le nom mais qui était clairement suspecte.

Aussi, il semblerait que sur les derniers mois ils ont utilisé des faux sites de vente de produits communs.

Bref, entre prestataires douteux et des faux sites qui pouvaient probablement stocker les numéros...
votre avatar
Le site de leak explique qu'ils avaient un plugin Woocommerce qui utilise des faux sites de commerce (genre calcilux.shop) comme d'un proxy vers eux
votre avatar
Tout est expliqué dans le dossier écrit par le pirate :)
votre avatar
Comme le dit cydoo, tout est expliqué.

L'admin du site récupérait les infos en direct avant de les transmettre au prestataire de payement via un formulaire caché et des données envoyées en POST.

https://yggleak.top/fr/home/ygg-dossier#suspicion-de-skimming-bancaire-security-php
votre avatar
Au final, ils ont creusés leur propre trou avec leurs restrictions et offres payantes. Ils s'attendaient vraiment à ce que tout roule comme si de rien n'était ?
votre avatar
Le site a été mis à jour, avec une "mise au point" et la promesse d'un retour. L'aspect définitif de la fermeture n'aura pas duré bien longtemps.

Ils ne manquent pas d'air: ils rejettent sur l'hébergeur la faute du mot de passe admin stocké en clair. Pourtant, changer le mot de passe admin fourni par l'hébergeur c'est la base.
votre avatar
Tant qu'on ne sais pas ce qu'est ce "YGG" qui arrive, on ne peut pas dire que ce n'est pas définitif.
votre avatar
Ygg - sans le "torrent" - revient dans 11j d'après leur site : avec en signature "Нас рано хоронить", d'après le dossier le type à la tête du site dit "destroy" serait russophone ce qui ne veut pas dire nécessairement russe mais du moins avec de fortes chances. Encore une histoire qui sent bon tiens.
votre avatar
bon ça leur pendait au nez avec leur mode turbo ....

bon entre ça et hd-only en maintenance depuis 1 semaine c'est pas la fête en ce moment :/
votre avatar
votre avatar
J'ai jamais pu avoir de compte sur sharewood. C'était in club très fermé. On est loin de la mentalité de la grande époque de the pirate bay.
votre avatar
en même temps l'époque n'est pas la même,
votre avatar
sharewood est une vrai commu super top, leur interface est juste parfaite ! eux je les regretterais vraiment.
votre avatar
ah merd :/
votre avatar
Dire qu'il suffisait bêtement de supprimer la clef du tracker pour ne pas s'occuper du ratio... :D
votre avatar
Les plus important : la remettre alors le dl pour profiter des uploads, et avoir un super ratio
votre avatar
Payer pour du tipiaké :ane:
votre avatar
Y a un compte à rebours, maintenant. Sortez le popcorn.
votre avatar
Quid des crédules et naïfs qui ont payé il y a deux ans environ un compte par CB ? Oui, vous avez bien lu !
C'est pour un ami.
votre avatar
J'ai pas tout compris ce qu'était U2P, je crois comprendre que c'est un index décentralisé qui génère aussi un maillage de trackers.

En tout cas, certains vont se faire plaisir à recruter sur des trackers vérolés de partout, et on ne parle pas d'Hadopi qui va ratisser large avec la migration vers des trackers publics :non:
votre avatar
Hadopi c'est fini depuis 2022 ;-).
https://www.clubic.com/pro/legislation-loi-internet/telechargement-illegal/actualite-390856-piratage-hadopi-c-est-vraiment-fini-voici-son-remplacant.html

Je vois pas en quoi le fait d'utiliser un tracker privé serait plus anonyme qu'un tracker public (à moins de limiter l'accès au tracker privé à tes connaissances directes, ce qui limite d'office l'intérêt du protocole bitTorrent).

C'est quoi un tracker vérolé ? Un tracker surveillé ? Les trackers privés peuvent aussi l'être.
Perso je passe que par du DHT et du lien magnet (avec une blacklist de 30 000 IP récupérée sur le net). Jamais eu d'e-mail d'avertissement. Mais bon, je télécharge pas comme un cochon et je télécharge rarement des trucs récents.
votre avatar
Il y avait d'ailleurs des strikes Hadopi/Arcom sur Ygg…
votre avatar
Elle est trouvable où ta "liste" d'IP.
C'est pour un ami :troll:
votre avatar
votre avatar
Alors non, surtout pas iblocklist, les listes ne sont plus mis à jour depuis DES ANNÉES, à part pour ... La date de mise à jour 😅
J'ai fais un test de comparaison l'an dernier avec des listes qui avaient 2 ou 3 ans je crois et qui avaient de quoi êtres mises à jour : résultats, aucune différence 😱

Perso j'utilise github.com GitHub qui est une compilation de plusieurs listes fiables 👍🏼
votre avatar
Ah bon. Je viens de regarder et par rapport à fin janvier, j'ai une trentaine de modifications dans la liste level1.
Mais je vais regarder celle que tu proposes, et pourquoi pas les combiner…
votre avatar
Ha bah c'est une liste iBlockList que j'utilise aussi.
Je jetterai un oeil au dépôt GitHub, merci.
votre avatar
Vive eMule !
(Bah quoi ? 😁)
votre avatar
C'est la mise à jour de Kazaa ?
votre avatar
Rigole, mais ce que j'ai de plus fiable actuellement, c'est un hub DC++ 😅
votre avatar
Et bah je vais pas pleurer pour ces parasites...
votre avatar
J'ai pris la peine de lire tout le dossier du takedown résumé dans l'article, c'est très instructif.

Mais le plus intéressant pour moi c'est la découverte de Utopeer et sa vision.
Après 20 ans de torrent, je disais dernièrement que ça sentait plutôt la fin niveau trackers centralisés.
Mais là, il y a comme un vent frais qui fait plaisir.
votre avatar
Merci pour cette synthèse ! Feuilleton passionant !

Si jamais y a des parrainages d'inpactien possibles sur Sharewd ou la c*le.space, j'ai un amis preneur !
votre avatar
il n'y a pas de parrainage sharewood et ils ferme le 29 mars
votre avatar
Merci !
votre avatar
Pour ceux qui veulent suivre l'actu du projet ygg.gratis (UTOPEER), il y a un canal Matrix dédié : (https://matrix.to/#/#yggmigration:matrix.org). On y trouve un canal de discussion sur les alternatives avec les liens quand ils sont mal référencés et les annonces du projet qui est down pour le moment.
votre avatar
Faut une invite pour ce canal Matrix :(
votre avatar
invitation disponible sur ygg.gratis dans le bandeau du haut
votre avatar
Désolé pour les gens qui ont payés mais par contre c'est bien fait pour ygg vraiment bien loin de l’esprit du partage à la papa.
votre avatar
C'est triste qu'en 2026 le partage de fichiers par torrent ne soit toujours pas entièrement décentralisé. Ygg et autres n'auraient jamais pu générer de profits criminels si les créateurs et modérateurs de torrents n'avaient pas besoin de serveurs centralisés pour que leurs contributions soient trouvées et appréciées. Malheureusement le seul logiciel dont j'ai connaissance qui a essayé de rectifier les erreurs de conception du protocole est un projet académique que presque personne n'utilise (https://fr.wikipedia.org/wiki/Tribler).
votre avatar
Le DHT marche très bien.
Le problème n'est pas le partage, mais l'accès à l'information. Les trackers privés sont une méthode qui a ses avantages (et ses inconvénients) pour répondre à ce besoin…
votre avatar
La DHT fonctionne assez bien, mais c'est hors sujet. Tant que les index publics comme TPB et (semi-)privés comme Ygg restent massivement utilisés parce que les logiciels torrent et les protocoles qu'ils implémentent n'évoluent pas assez pour rendre les index centraux obsolètes, le processus de partage n'est pas entièrement décentralisé. 25 ans après la création de BitTorrent, c'est triste qu'on en soit encore là.