S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

[MàJ] YggTorrent (et YGG) S01E42 : retour (encore) abandonné, Gr0lum aurait été identifié

Bonne ambiance !

[MàJ] YggTorrent (et YGG) S01E42 : retour (encore) abandonné, Gr0lum aurait été identifié

Illustration : Flock

YggTorrent est mort, mais il bouge encore. Le message affiché sur la page d’accueil change, répond à certaines accusations et propose désormais les noms de domaine à la vente… « exclusivement pour un projet légal ». Pendant un temps, un compte à rebours annonçait un retour, sous la forme Ygg tout court.

Le 13 mars à 09h10

Mise à jour du 13 mars à 8h15. La page a de nouveau été modifiée, le compte à rebours supprimé. Un nouveau message annonce désormais que « le relancement initialement envisagé est abandonné, faute des conditions nécessaires pour poursuivre le projet dans un contexte marqué par des cyberattaques répétées ». YGGtorrent remonte aussi la piste de Gr0lum. L’actualité a été mise à jour en conséquence.

Mise à jour du 6 mars à 12h55. Le compte à rebours est de retour, toujours avec un rendez-vous lundi à 21 h.

Article du 6 mars à 9 h 33. En début de semaine, le site YggTorrent annonçait sa fermeture, suite à un piratage massif de ses données : pas moins de 30 Go ont été publiées avec des informations sur le code source, les utilisateurs, bancaires, etc. Le pirate expliquait aussi en détail comment il était entré dans les serveurs.

Le message de l’équipe d’YggTorrent était alors clair, sans ambiguïté : il débutait par « Fermeture définitive de YggTorrent » et se terminait par « L’histoire s’arrête ici ». Une « reconstruction serait techniquement possible », affirmait l’équipe, mais elle ne souhaitait pas « continuer dans un climat d’acharnement permanent ». Mais en fait non, l’histoire ne s’arrête pas là.

Nouveau message, toujours une « fermeture définitive »

Un nouveau texte a été mis en ligne sur le site de YggTorrent. Il est plus court et moins dans l’émotion que le premier et donne de nouvelles informations. Tout d’abord, le site affirme qu’« aucune donnée bancaire n’a jamais été collectée ni stockée par nos systèmes, et l’ensemble des mots de passe des comptes actifs étaient protégés par un hachage cryptographique sécurisé ». Il était auparavant précisé que les mots de passe étaient « hachés et salés ».

Il n’est plus du tout question des « portefeuilles crypto destinés uniquement au financement des serveurs, représentant plusieurs dizaines de milliers d’euros, [qui] ont également été dérobés (un détail que certains choisiront d’ignorer) ». Le site affirme que « les auteurs de l’attaque multiplient les déclarations mensongères […] Ils déforment les faits, fabriquent de fausses preuves et comptent sur la confusion pour imposer leur version ». À ce petit jeu, l’équipe d’YggTorrent semble aussi participer…

Offre légale mise en avant, l’intégralité des noms de domaine est à vendre

Enfin, comme précédemment, l’offre légale est mise en avant : « Ne vous laissez pas tromper et tournez-vous plutôt vers les nombreuses solutions légales désormais disponibles ». Le site est désormais divisé en deux, avec la partie droite qui met en avant les plateformes légales comme Netflix, Canal+, Disney+, Prime, France.tv, Arte…

Il est par ailleurs précisé que « l’intégralité de nos noms de domaine est à vendre, exclusivement pour un projet légal, sans aucun lien avec le torrenting ni le téléchargement d’œuvres protégées. Les demandes non sérieuses seront ignorées ».

Il y a peu, un compte à rebours annonçait… un retour d’Ygg

Mais ne pensez pas que l’histoire s’arrête là ! Avant cette mise en vente, il y a eu un retour annoncé de Ygg (sans le Torrent) avec un compte à rebours, comme le rapporte ZDNet, avec le message « Quelque chose se prépare », et une phrase en russe : « il est trop tôt pour nous enterrer ». Le rendez-vous était pour lundi 16 mars à priori, mais le compte à rebours a disparu… pour l’instant ? Le site est cette semaine en mode girouette, bien malin celui qui arrive à prévoir le prochain coup.

En effet, quelques heures avant la capture d’écran de ZDNet, un utilisateur sur X faisait état d’encore une nouvelle version du site, déjà avec un compte à rebours, mais surtout avec un « communiqué », que l’on retrouve aussi sur Reddit. Le message affirmait déjà qu’« aucune donnée bancaire n’a jamais été collectée, stockée ni traitée par nos systèmes ».

Le communiqué ajoutait que « notre architecture n’a à aucun moment intégré de module de stockage d’informations de cartes de paiement. Les allégations contraires sont factuellement fausses […] Le recours au hachage MD5 évoqué concerne exclusivement moins de 3 % des comptes utilisateurs ». Communiqué qui n’est aujourd’hui plus disponible.

Selon le texte qui était alors disponible, le site rejette la faute du piratage sur son hébergeur, sauf que comme l’a montré Grolum dans sa longue explication, cela ne colle pas vraiment avec ses explications.

Retour du compte à rebours

Dans la matinée, le compte à rebours était de retour, comme nous l’a signalé Droup dans les commentaires. Le reste du message, y compris la vente des noms de domaine, est le même. Seule différence, le mot Torrent de YggTorent est barré.

On retrouve donc le message « YggTorrentest mort », « Quelque chose se prépare » et « Non omnis moriar ». Du latin qui, d’après DeepL, se traduirait par « Je ne mourrai pas complètement ». Rendez-vous lundi à 21 h… du moins si le compte à rebours reste en place et annonce vraiment quelque chose. Le code source de la page ne semble pas cacher de secret particulier.

Encore une « fermeture définitive » de YGGtorrent (et YGG)

Finalement, pas besoin d’attendre lundi 16 mars. Hier, un nouveau message est arrivé : « YGGtorrent / YGG. Fermeture définitive ». La « fermeture définitive de YggTorrent » avait déjà été annoncée au début de cette affaire. Le billet de l’époque se terminait par « l’histoire s’arrête ici »… autant dire que c’est loin d’être le cas.

Cette nouvelle « fermeture définitive » concerne cette fois-ci aussi bien YGGtorrent que le nouveau projet YGG. La suite du message ne laisse aucune place au doute :

« Après plusieurs années d’activité, nous mettons fin à l’ensemble des services YGGtorrent / YGG (site, tracker et infrastructure). Le relancement initialement envisagé est abandonné, faute des conditions nécessaires pour poursuivre le projet dans un contexte marqué par des cyberattaques répétées […] Aucun retour n’est prévu. Méfiez-vous des sites ou services se présentant comme des alternatives dans les semaines à venir : la plupart sont malveillants. Restez vigilants ».

L’offre légale est de nouveau vantée, et la vente des noms de domaine – « qui continuent de générer un volume de trafic significatif » – toujours d’actualité. YGGtorrent annonce aussi que « l’auteur de l’intrusion et de la fuite de données a été identifié », avec un lien vers cette page.

Pour YGGtorrent, pas de doute : « Gr0lum est @uwudev »

L’équipe de YGGtorrent y affirme que Gr0lum aurait envoyé un email « exigeant 300 XMR (plus de 100 000 $) en échange du non-leak des données de l’infrastructure ». Refus de YGGtorrent et publication des données, comme nous l’avons expliqué.

Ils ajoutent que Gr0lum aurait aussi envoyé un « faux signalement à Cloudflare prétendant que ygg.guru sert de serveur C2 pour un ransomware », puis « compile un véritable ransomware intégrant un appel vers ygg.guru/api/health ». « Cette opération a porté ses fruits : à la suite de ces faux signalements, le domaine ygg.guru a été placé en onhold par le registrar, rendant le nouveau site inaccessible ».

L’équipe de YGGtorrent remonte ensuite la piste de Gr0lum pour essayer de trouver qui se cache derrière ce pseudo. Leur enquête aurait porté ses fruits (on passe directement à la conclusion) : « Les éléments présentés dans ce dossier ne laissent aucun doute : Gr0lum est @uwudev. Il n’agit pas seul. D’autres individus, étroitement liés au milieu de la cybercriminalité, l’ont assisté dans ses activités ».

L’article se termine par un message adressé à Gr0lum : « Nous nous arrêterons à la révélation du pseudo. Le reste est entre les mains de ceux que ça concerne. Ce dossier ne représente qu’une fraction de ce que nous détenons ».

Aucune nouvelle publication pour le moment sur Yggleak, le site mis en place par Gr0lum pour publier les données et informations qu’il avait récupérées sur YGGtorrent et son infrastructure.

La suite au prochain épisode ?

Commentaires (52)

votre avatar
"Golum" au lieu de "Grolum"/"Gr0lum" a la fin de l'article... Quelque chose me dit que l'un des deux n'est pas tout a fait un hacker 🤭

(Édit : je viens de voir que le module de report de typo fonctionne toujours en fait, c'est juste que sur tél c'est très compliqué à cause du menu standard de sélection de texte qui le masque..!)
votre avatar
C’est coigé, meci ! :D
votre avatar
Ta touche R a des problèmes on dirait ! :langue:
votre avatar
Il est temps de prendre l'R ce WE.
votre avatar
Il est juste enhumé... :D
votre avatar
C'est d'être trop allé sur Ponhub ça :bocul:
votre avatar
Vous avez prévu de détailler un peu ce qu'il se fait à coté par U2P ?
votre avatar
Pour info, le compteur est de retour...
votre avatar
Mise à jour du 6 mars à 12h55. Le compte à rebours est de retour, toujours avec un rendez-vous lundi à 21 h.
Peut-être un lien avec cette remarque en bas de page :
Cession de noms de domaine
L'intégralité des noms de domaine YggTorrent est à vendre, exclusivement pour un projet légal, sans aucun lien avec le torrenting ni le téléchargement d'œuvres protégées. Les demandes non sérieuses seront ignorées.
votre avatar
Pourquoi racheter des domaines avec des tld random, alors qu’il suffit d’acheter le domaine sous un autre tld random à prix coûtant …
votre avatar
Surtout que les domaines doivent être blacklistés à gauche à droite.
votre avatar
Racheter un domaine avec torrent dedans sans vouloir faire de torrent, ce serait un concept...
votre avatar
Ou un pot de miel.
votre avatar
Ca reste quand-même en rapport avec les torrents.
votre avatar
Exit scam ou vrai hack ? Hmmm.
votre avatar
Peut être le lancement d'une nouvelle crypto INCROYABLE ! :bocul:
votre avatar
Perso je sens le mouv à la Napster, où ils vont devenir une plateforme légale. Parce que déjà, renvoyer vers des offres légales pour un site de tipiak, c'est qu'ils ont plus d'honneur...
votre avatar
Pourquoi essayer de mettre en avant les offres légales ?

Au vu des données fuités, leur liberté est surement éphémère : ils préparent leur repentance pour les tribunaux ???
votre avatar
Ha tiens, il n'y a plus que le compte à rebours maintenant, et il ont changé de .tld 🤣
votre avatar
Et ils ont changé la citation russe en une en latin « Non omnis moriar » 😅
votre avatar
Avec le compteur actuel, c plutôt lundi suivant, le 16 mars à 21h, le rendez-vous 🤔
votre avatar
mardi 16 mars
De quelle année ? Parce qu'en 2026, le 16 mars c'est un lundi 🤭
votre avatar
moi je trouve que cette histoire n'est pas anecdotique, ca a certainement à voir avec la situation conflictuelle au moyen orient.

après la ptite gueguerre qui a duré 12 jours, ils ont commencé a durcir les critères de telechargement, pusi ils ont porposés des abo pour débloquer le truc...
ils ont attendu tranquillement, puis quand ca a commencé à chauffer, vu l'actualité, ils se sont dis" les gars c'est le moment de se barrer avec la caisse vite fait, mais faisont nous un petit jackpot avant: gratuit pour le week end pour tous et pub pour de l'abo a vie.
résultat quelques milliers d'usagers ont craqué et payé, ca uqi a fait grossir le magot déja bien étoffé.
ensuite ils casse le truc, brauqent leur propre caisse ,évoquent un piratge comme excuse, mais s'enfui alors que le conflit vas dégénerer de +en+
c'est pas annodin comme histoire, réfléchissez un peu, ma théorie est peut être vrai
après tout, il n' ap as qu'eux qui se barrent, chez la foret de robin de bois aussi ca se termine d'ici quelques jours .... :fumer::phibee:
votre avatar
C'est bien du second degré ?
votre avatar
pas impossible qu'ils se soient fait couper l'herbe sous le pied par le pirate. difficile de lâcher une poule aux 10M€...
sinon il y a aussi eu une redirection de leur page de connexion gitlab sur yggtorrent.com pendant quelques minutes. ils ont dû se planter dans les redirections DNS ou dans le routage des services... et puis vu le coup de massue que l'admin a pris, il a dû passer par toutes les phases du deuil et ça s'est ressenti sur sa homepage! :D
votre avatar
Ça a ENCORE changé ! Maintenant il y a un bandeau en haut indiquant que le tracker est à nouveau en ligne, avec le nombre de pairs et un lien vers le communiqué de type "même pas vrai d'abord, nous on est des gentils ! Et pi personne ne vous a forcé à payer d'abord !"

:roll:
votre avatar
Et ce matin je pointe sur ygg . guru et j'ai un beau message d'alerte de CloudFlare "Suspected Malware" :D
votre avatar
Ça doit être pour ça qu'ils ont changé de fournisseur anti-DDOS. Maintenant ils utilisent un fournisseur... Russe 😅
votre avatar
https://ygg.gratis/ marche bien par contre :)
votre avatar
Marche bien, marche bien ... Le site oui, le reste ...
votre avatar
Effectivement, aucun DL ne se lance...
votre avatar
Certains torrents qui ont démarrés après avoir retiré un tracker "nom chinois".com de leur longue liste de tracker. Mais ça marche pas à tout les coups. Par contre, aucune idée du pourquoi...
votre avatar
Je sais, je sais, cette news a presque une semaine mais il y a tellement de choses à dire au fil des jours ... 😅
Aujourd'hui, le nouveau nom de domaine de ygg (avec le .tld qui faisait penser à un secte) a été purement et simplement ... fermé, probablement par le registre 🤣
votre avatar
Nouveau message sur yggtorrent.org :
Fermeture définitive — 12 mars 2026
Après plusieurs années d'activité, nous mettons fin à l'ensemble des services YGGtorrent / YGG (site, tracker et infrastructure). Le relancement initialement envisagé est abandonné, faute des conditions nécessaires pour poursuivre le projet dans un contexte marqué par des cyberattaques répétées.
Nous présentons nos excuses à la communauté et remercions chaleureusement tous ceux qui ont soutenu YGGtorrent / YGG avec respect et bienveillance. L'auteur de l'intrusion et de la fuite de données a été identifié. Les éléments sont consultables sur gr0leak.fun.
Aucun retour n'est prévu. Méfiez-vous des sites ou services se présentant comme des alternatives dans les semaines à venir : la plupart sont malveillants. Restez vigilants.
votre avatar
Il semblerait que l'EPR de Flamanville serait repreneur du domaine de YGGtorrent.
votre avatar
Le message tout en bas de gr0leak[.]fun sent l'aigreur à plein nez 🤣
votre avatar
j'ai viteuf regardé le code de ciao-ygg, il a enlevé une ligne de commentaire avant son screen...

du coup, dans son footer: "Retournez sur vos trackers vibe codés"
et dans le code de ciao-ygg: "// bouffon prime il a laisse claude tout faire et a oublie le apache"

amour et mensonge, la série continue :D
votre avatar
lol, cette rage, jusqu'à aller faire une page gh :D
votre avatar
votre avatar
La justice et les ayants droits se frottent les mains, bientôt des capitaines pirates et black hackers sous les barreaux. 🤔
votre avatar
Oh mon dieu, le bon relent transphobe. Le pire c'est qu'au final, iels jettent une personne sous les roues de leur fan sans être certain(e)s que c'est bien la bonne personne. Ou comment jeter ENCORE UNE FOIS une personne trans.

PS : "Les phobies LGBTQI+ sont placés au même niveau que le fascisme ou le racisme" — C'est le cas, les gars.

EDIT : Pff, ça y ait, je suis énervée pour la journée.
votre avatar
nan mais faut le comprendre, la loi est un concept très flou pour lui... 🤡
votre avatar
Pour le coup je suis assez d'accord avec le message des auteurs de ygg : "ceux qui ont profité d'Ygg pendant des années avant de retourner leur veste...".

En prenant de la hauteur, on parle de piratage de contenu protégé fourni gratuitement par une plateforme. Ca me faisait chier comme les autres d'être limité en nombre de dl, du mode turbo etc. Mais bon les inscriptions étaient souvent ouvertes, on pouvait utiliser le site sans débourser le moindre centime et le site était globalement disponible. En ce qui concerne la vente de données, les CBs et tout, fallait pas rêver c'est une plateforme fondamentalement illégale donc on se doute bien que ceux derrière n'étaient pas très clean et perso ça ne me serait jamais venu à l'idée de payer avec ma CB si j'avais été tenté par une offre payante.

Sinon, C411 a l'air de prendre la relève et c'est plutôt bien foutu.
votre avatar
C411 est le nouveau T411 ?
votre avatar
Il en est encore loin pour le moment…
votre avatar
Rome ne s'est pas faite en 1 jour, ils valident entre 1000 et 1500 torrents par jour, la team pending a la tête sous l'eau. Mais à ce rythme, le site va vite devenir incontournable.
Enfin, c'est ce qu'un pote m'a dit. :transpi:
votre avatar
et @Carpette

C'est pour ça que j'ai précisé « pour le moment ».

Mais aussi, parce qu'il manque des liens vers les flux RSS ! Là, c'est la croix et la bannière pour les obtenir… :mad:
votre avatar
Soit patient, le truc a été créé il y a 2 mois, et en freeleech pdt 1 mois pour lancer la dynamique et actuellement pas loin de 30k torrents.
Les teams de validation et d'upload ont l'air en surchauffe ces derniers jours donc c'est plutôt de bonne augure.

En tout cas on a pas l'air d'être sur un tracker dont les inscriptions sont ouvertes 5minutes dans l'année à 2h45 du matin. Et par ailleurs il a l'air plutôt bien pensé donc on peut dire que c'est un bon candidat à reprendre le flambeau.
votre avatar
jusqu'à commencer à jouer au chat et à la souris avec les blocages etc... D'ailleurs, ont il un flux/site indépendant du site principal pour avoir les URL mises à jour en cas de blocage ? YGG avait cela il me semble (Mastodon)
votre avatar
et depuis que l'on peut avoir des certif ssl sur les adresses IP ce serait peut être une solution
votre avatar
Et donc maintenant qu'ils se sont rendu compte qu'il n'arriveraient pas à revendre leur NDD, ils font de la pub pour un VPN :mdr2:
Il n'ont pas pensé que la plupart de ceux qui peuvent lire leur pub sont déjà détenteur d'un VPN ? :roule:
votre avatar
Surpriiiiiiiise ! (ou pas)