C’est la fin d’une histoire : YggTorrent, le plus gros site de torrents francophone, ferme ses portes. « Fermeture définitive », peut-on lire sur le tracker. Cela fait suite à un énorme piratage qui a pour nom YGGLeak.
Fermeture de YggTorrent après le hack YGGLeak
Le hack a permis à un hacker, qui a pour pseudo Gr0lum, d’avoir infiltré l’ensemble du système, d’avoir exfiltré plusieurs Go de données internes, puis d’avoir vidé complètement les serveurs. L’ampleur réelle de la compromission reste à confirmer de manière indépendante, mais les éléments publiés en font l’une des fuites les plus importantes jamais liées à un tracker francophone. Une archive pesant près de 11 Go avec toutes les données est disponible au téléchargement.
Les données revendiquées couvrent un spectre très large :
- base utilisateurs avec 6,6 millions de comptes (adresses e-mail, identifiants, hashs de mots de passe, adresses IP, historiques de navigation)
- bases du tracker, du forum et de la boutique
- code source complet du site
- architecture serveurs
- logs techniques
- données financières et échanges internes des administrateurs
Le pirate précise avoir masqué certaines informations sensibles avant toute publication publique. Il écrit :
Aucune information sur les utilisateurs (adresses IP, emails, mots de passe) ne sera accessible ici. Hélas pour l’ARCOM, je garde ça bien au chaud. D’ailleurs Oracle, la moitié des hash sont encore en md5, c’est pas sérieux l’ami.
Le hacker n’a pas apprécié les pratiques de YggTorrent
Mais pourquoi un leak de YggTorrent aussi énorme ? Le hacker Gr0lum fait notamment allusion au mode Turbo payant qui a fait ses débuts en décembre. Ceux qui ne payaient pas avaient une limite de téléchargement de 5 torrents par jour. Il écrit :
Près de 10 millions d’euros de recettes pour 2024-2025 ne vous ont pas suffi. Vous avez imposé votre mode « Turbo » de merde pour racketter quiconque voulait télécharger plus de cinq fichiers par jour. En profitant de votre monopole, vous avez pris les gens en otage avec un système de quota ridicule. Beaucoup ont payé, comme le montrent clairement vos chiffres de janvier et février. Après le départ massif des équipes d’uploadeurs, vous auriez pu vous remettre en question. Au lieu de ça, vous avez choisi la censure et les bannissements.
Alors que vos équipes de modérateurs bossent bénévolement pour faire tourner le site, vous continuez d’amasser une véritable fortune sur leur dos. Francisco depuis le Maroc et Vladimir depuis la France, vous avez exploité la naïveté de personnes qui croyaient en un projet de partage libre, désintéressé et communautaire.
Pendant des années, vous avez utilisé des méthodes de crapules : DDoS contre les trackers concurrents, purges d’uploadeurs dès qu’ils ouvraient la bouche, sabotage de votre propre API pour empêcher quiconque d’utiliser des outils tiers. Mais le plus intéressant, c’est ce qu’on trouve dans le code source, n’est-ce pas, Oracle ? Tu enregistres les 54 776 cartes bancaires de tes membres ? Pour en faire quoi, exactement ? Le tracking comportemental de chaque visiteur, c’est pour quel usage ? Et le fingerprinting des wallets crypto, tes utilisateurs sont au courant ? Les scans de CNI volées que tu utilises pour payer les serveurs, tu es à l’aise avec ça ?
Un piratage en plusieurs étapes
La brèche initiale ne repose pas sur une faille technique complexe, mais sur une succession d’erreurs élémentaires de configuration. Un service SphinxQL exposé sur Internet sans authentification a permis de lire des fichiers locaux sur le serveur, dont un fichier Windows contenant le mot de passe administrateur en clair. Depuis ce point d’entrée, le hacker a rebondi vers plusieurs serveurs de l’infrastructure, jusqu’au tracker principal et aux bases de données de production. Il a alors eu un contrôle complet.
L’accès aux systèmes de paiement est particulièrement notable. Le pirate affirme avoir atteint la base du forum, la boutique WooCommerce et ses plus de 89 000 commandes, ainsi que plusieurs processeurs et passerelles de paiement avec leurs logs de transactions. Des systèmes de rotation de domaines ont été utilisés pour masquer l’origine des transactions.
L’infrastructure des serveurs de YggTorrent
Énormément de détails techniques sont disponibles au sujet du piratage de YggTorrent, elles sont à retrouver sur cette page.
Le dossier révèle l’ampleur financière de l’opération de YggTorrent : plus de 249 000 commandes, près de 100 000 payeurs uniques et entre 5 et 8,5 millions d’euros de chiffre d’affaires estimés sur la période 2024-2025, avec un pic revendiqué de 490 000 euros de revenus sur un seul mois. Ces revenus ont été convertis en cryptomonnaies avant d’être redistribués via différents services et portefeuille (wallets).
Tous les torrents ont été récupérés
Malgré la destruction des serveurs, Gr0lum annonce avoir sauvegardé le catalogue complet des torrents avec l’aide de l’équipe du projet U2P (Utopeer). Les torrents ont été remis en ligne sur ygg.gratis. Le hacker a trouvé un moyen pour que les utilisateurs qui partageaient (seedaient) déjà les fichiers sur YggTorrent puissent continuer à le faire via ygg.gratis sans qu’ils aient besoin de modifier quoi que ce soit au niveau de leur client torrent. Une redirection automatique a eu lieu au niveau de l’URL.
Bien sûr, l’affaire pourrait attirer l’attention des autorités, compte tenu de l’ampleur du site, du nombre d’utilisateurs concernés et des données financières désormais exposées. De plus, les ayants droit doivent être ravis de la fermeture de YggTorrent, étant donné qu’il s’agit du plus gros tracker francophone.
C’est vraiment de la bombe, je sais pas où t’as eu toutes les infos mais wow. Je vais continuer à lire sur Ygg.leak.
Merci pour le taf.
je suis sur T411 depuis le début et au passage de ygg rien n’avais changé
Mais… reste à savoir si l’initiative Ygg.gratis, et son modèle 100% gratuit, permettra l’indexation sans cesse continuelle de fichiers torrent… l’avantage sur Ygg c’était d’avoir ce ration qui t’obligeait à créer et partager du contenu pour être toujours à l’équilibre. maintenant que c’est full gratuit, pas sûr qu’autant d’internaute jouent le jeu…
C’est en tout cas bien dommage cette fermeture.
extrait des leaks
« Détournement de cartes bancaires et fingerprinting abusif de ses 6.6 millions d’utilisateurs, DDoS des concurrents, blanchiment de millions d’euros via des montages sophistiqués, fausses identités fabriquées à partir de CNI volées. … »
Perso j’étais utilisateur ce site rempli de facho français! De fait je savais qu’il ne fallait jamais payer, mettre des infos et blinder sa connexion (vpn, proxi, ect…). Espéreront que ces pourris se fasse tondre.
..
Je le penses aussi. Fausse BD, avec diffusion de fausses IP des admin pour brouiller les pistes. Nous verrons si ils tombent dans 6 mois. Y’a des faits très grave mis en avant mais rien qui parle de leur siphonnage massifs de bande passante sur les utilisateurs.
C411 & Torr9 …. Qu’ils arrêtent de prendre les gens pour des jambons toutes ces raclu***
le ygg gratis pour l’instant c’est une vaste plaisanterie.
Quant à https://ygg.gratis/#/, il est déjà bloqué.