il y a 7 hour
2
Publicité, votre contenu continue ci-dessous
Publié le 04/03/26 à 10h36
Nos réseaux :
Suivez-nous
5
YGG Torrent, le plus grand site de torrents francophone, n'a pas été fermé par la justice ni par l'ARCOM. Non : il a été éventré de l'intérieur par un seul individu, qui publie aujourd'hui un dossier accablant sur les pratiques de ses administrateurs.
Le site YGGtorrent, ici dans une version antérieure, affichait encore « La communauté BitTorrent francophone ». Ses serveurs ont été définitivement détruits dans la nuit du 3 au 4 mars 2026. © Sharaf Maksumov / Les Numériques
Ce mercredi 4 mars 2026, un dossier intitulé “YGGtorrent — Fin de partie” est apparu sur le site yggleak.top. Son auteur, un hacker opérant sous le pseudonyme Gr0lum, y détaille avec une précision chirurgicale comment il a compromis l'ensemble de l'infrastructure du tracker, exfiltré 19 Go de données internes, puis vidé et détruit les quatre serveurs de la plateforme. YGGtorrent, ses 6,6 millions de comptes et son catalogue d'un million de torrents ont cessé d'exister en l'espace de trois jours.
Publicité, votre contenu continue ci-dessous
Publicité
Ce que révèle le dossier YGGLeak
Le document ne se contente pas de raconter un piratage. Il reconstitue, preuves techniques à l'appui, le fonctionnement financier complet de YGGtorrent. Les chiffres donnent le vertige : 249 703 commandes enregistrées, près de 100 000 payeurs uniques, et un chiffre d'affaires estimé entre 5 et 8,5 millions d'euros sur la période 2024-2025. En janvier 2026, le revenu mensuel aurait atteint 490 289 euros, un triplement coïncidant avec l'introduction du “Turbo Mode”, ce système imposant une limite de cinq téléchargements quotidiens aux non-payeurs.
Les offres payantes de YGGtorrent, du “Standard” à 14,99 euros au “Premium” à 85,99 euros. L'introduction de ces abonnements fin 2025 a provoqué la colère de la communauté et motivé le piratage. © YGGLeak
Publicité, votre contenu continue ci-dessous
Publicité
Près de 10 millions d'euros de recettes pour 2024-2025 ne vous ont pas suffi. Vous avez imposé votre mode Turbo de merde pour racketter quiconque voulait télécharger plus de cinq fichiers par jour.
L'argent, selon le dossier, ne restait jamais longtemps sur PayPal ou Stripe. Il transitait par plus de 36 domaines proxy déguisés en boutiques de t-shirts, via un plugin WooCommerce nommé CardsShield, avant d'être converti en cryptomonnaies. Des notes de dépôt Tornado Cash, un mixer Ethereum conçu pour rendre les transactions intraçables, ont été retrouvées sur le serveur de pré-production. Gr0lum documente aussi trois conversions USDT vers Monero effectuées en une minute via ChangeNOW, pour un total d'environ 7 785 dollars.
Circuit de blanchiment reconstitué par Gr0lum à partir des données extraites des serveurs de YGGtorrent. Les paiements transitaient par des dizaines de faux sites e-commerce avant d'être convertis en cryptomonnaies et mélangés via Tornado Cash. © YGGLeak
Plus inquiétant encore : la présence dans le code de production d'un contrôleur PHP (Security.php) recevant en clair numéros de carte bancaire, CVV et dates d'expiration avant de les relayer vers un processeur de paiement. En parallèle, 54 776 transactions CB ont transité par enigmastocks.com, une passerelle façade enregistrée dans le paradis fiscal de Saint-Kitts-et-Nevis. Le dossier met aussi en lumière un script de fingerprinting détectant les wallets crypto des visiteurs, et un fichier CSV de 259 Mo traçant les habitudes de navigation de 543 448 utilisateurs sur douze mois.
Petit disclaimer : aucune information sur les utilisateurs (adresses IP, emails, mots de passe) ne sera accessible ici. Hélas pour l'ARCOM, je garde ça bien au chaud. D'ailleurs Oracle, la moitié des hash sont encore en md5, c'est pas sérieux l'ami.
Gr0lum affirme avoir délibérément purgé de l'archive publique les adresses IP, e-mails et mots de passe des utilisateurs, tout en précisant qu'il conserve ces données. Il se moque au passage du niveau de sécurité du site en relevant qu'une partie des mots de passe étaient encore hashés en MD5, un algorithme considéré comme obsolète et cassable en quelques secondes.
Publicité, votre contenu continue ci-dessous
Publicité
Les 6,6 millions de comptes ne sont donc pas exposés publiquement, mais ils existent quelque part, entre les mains d'un seul individu.
Un hack d'une simplicité embarrassante
La méthode d'intrusion, elle, relève presque de l'ironie.
Gr0lum a simplement calculé l'empreinte du favicon de YGGtorrent, l'a cherchée sur Shodan, et a trouvé un serveur de pré-production Windows avec treize ports ouverts, un pare-feu désactivé et Windows Defender absent.
Le serveur de pré-production de YGGtorrent retrouvé sur Shodan grâce à l'empreinte de son favicon. Un cookie “.ygg.test” trahit un environnement de développement laissé accessible sans protection. © YGGLeak
Le mot de passe administrateur figurait en clair dans un fichier d'installation automatique que personne n'avait pensé à supprimer. À partir de là, les mots de passe du navigateur Chrome de l'administrateur principal ont livré l'accès à tous les autres serveurs.
Contrôles de sécurité sur les serveurs : 0.
Côté staff, le dossier révèle que l'intégralité des modérateurs travaillaient bénévolement, sans accès aux décisions ni même le droit de poser des questions sur l'administrateur principal, connu sous le pseudo Oracle. Ce dernier, localisé au Maroc via une adresse IP résidentielle de 2019, opérait depuis exclusivement derrière des VPN.
Les torrents, eux, ont été sauvegardés par le collectif Utopeer avant la destruction des serveurs. Un nouveau site, ygg.gratis, tente de prendre le relais, mais son fonctionnement reste pour l'heure très incertain.
Publicité, votre contenu continue ci-dessous
Publicité
Suivez toute l'actualité des Numériques sur Google Actualités et sur la chaîne WhatsApp des Numériques
Envie de faire encore plus d'économies ? Découvrez nos codes promo sélectionnés pour vous.
