YggTorrent piraté, vidé, détruit : retour sur la fin…

Les faits remontent à hier. Ce jour-là, un dossier intitulé « YGGtorrent — Fin de partie » apparaît sur le site officiel. Son auteur, « Grolum » , y détaille méthodiquement comment il a compromis l’ensemble de l’infrastructure du site. La méthode n’a rien d’un exploit technique digne d’un film. Elle est presque embarrassante pour les administrateurs.

Grolum a d’abord calculé l’empreinte du favicon de YggTorrent. Il l’a ensuite recherchée sur Shodan, un moteur de recherche spécialisé dans les appareils connectés. Résultat : un serveur de pré-production sous Windows Server, avec treize ports ouverts et un pare-feu désactivé. Le répertoire du serveur web était accessible en clair, exposant le code source complet, les fichiers de configuration et les mots de passe stockés en texte brut.

À partir de là, l’escalade a été rapide. L’administrateur technique, connu sous le pseudonyme « Destroy » , utilisait ce serveur comme ordinateur personnel. Son navigateur contenait des centaines de mots de passe enregistrés. Son client FTP conservait les accès à d’autres machines. En exploitant ces identifiants, Grolum a pris le contrôle de quatre serveurs au total, dont le traqueur principal et la base de données de production.

Le butin est considérable : code source, bases de données du traqueur et du forum, journaux de connexion, communications internes, données personnelles des administrateurs. Grolum précise toutefois avoir volontairement expurgé les informations personnelles des utilisateurs.

Mais le volet financier du dossier est le plus accablant. Grolum avance le chiffre de près de 10 millions d’euros de revenus pour 2024-2025, contre à peine 50 000 euros de frais de serveurs. Le dossier identifie huit processeurs de paiement coexistants qui se vante d’accepter les « modèles commerciaux à haut risque » où les « commerçants restent anonymes » . Les paiements par carte bancaire transitaient par des faux sites de commerce en ligne, des vitrines WooCommerce où un abonnement torrent apparaissait comme un achat de t-shirt sur le relevé bancaire. Les fonds étaient ensuite convertis en cryptomonnaie, passés par le mélangeur Tornado Cash, puis retirés vers des portefeuilles anonymes.

L’historique de navigation de « Destroy » , daté du 16 décembre 2025, montre trois conversions de stablecoins USDT vers le Monero, une cryptomonnaie intraçable, en l’espace d’une minute. Des reçus de dépôt Tornado Cash retrouvés sur le serveur documentent au moins 22 ETH déjà blanchis, soit environ 42 000 dollars. Et ce n’est, selon Grolum, que ce qui était récupérable sur une seule machine.

Parallèlement, le dossier identifie les figures clés sans révéler leurs identités civiles. « Oracle » , l’administrateur principal, était localisé au Maroc via une adresse IP résidentielle de Maroc Telecom. « YggFlop » servait de relais unique entre Oracle et les modérateurs bénévoles, qui n’avaient pas le droit de poser de questions sur le fonctionnement du site.

Côté communauté, la crise avait déjà atteint un point de non-retour. Le « Turbo Mode » , déployé le 21 décembre 2025 en pleine période de fêtes, limitait les comptes gratuits à cinq téléchargements par jour avec une attente obligatoire de 30 secondes. Le déblocage coûtait 14,99 euros par mois, ou 85,99 euros à vie. La réaction des équipes de partage a été immédiate. La Team QTZ, l’un des groupes les plus prolifiques du site avec plus de 3 300 fichiers partagés, a publié une lettre ouverte dénonçant un intermédiaire qui « impose une commission, souvent aux dépens des plus vulnérables » . Elle a été bannie dans la foulée, son message supprimé. La Team Forward, responsable d’environ 35 000 fichiers partagés, a reçu un seul mot en guise de congédiement : « OUST » . D’autres groupes ont suivi, comme tsundere-raws et BTT. Le fil de discussion a été verrouillé, le salon de discussion désactivé.

L’une des conclusions les plus contre-intuitives du dossier de Grolum contredit le récit dominant. Ce n’était probablement pas une arnaque de sortie. Sur le serveur de pré-production, le pirate a trouvé sept projets de développement actifs. Deux réécritures parallèles de la plateforme YGG, un service d’hébergement de fichiers, un nouveau traqueur baptisé « RageTorrent » , un site appelé Warez acheté le 27 décembre 2025, un service de télévision par Internet et une instance Mastodon. L’historique PowerShell révèle plus de 170 cycles de compilation sur l’un de ces projets, avec une activité datée du 23 janvier 2026.

La conclusion de Grolum est cinglante : ce n’est pas une fuite, c’est une opération qui s’installe dans la durée et qui a simplement décidé de « presser le citron plus fort » . En clair, les administrateurs ne préparaient pas leur départ. Ils optimisaient leur extraction, tout en développant de nouveaux projets. Le « Turbo Mode » n’était pas un dernier coup avant la sortie, mais un palier supplémentaire dans une logique de rentabilité assumée.

Cette affaire met aussi en lumière un paradoxe savoureux. Depuis près d’une décennie, les autorités françaises ont mobilisé un arsenal juridique considérable contre YggTorrent. La SCPP a obtenu des ordonnances de blocage auprès des fournisseurs d’accès. L’ARCOM a inscrit le site sur sa liste noire officielle en avril 2023. Les tribunaux ont étendu les blocages aux résolveurs DNS de Google, Cloudflare et Cisco. La SACEM a fait saisir des noms de domaine. La MPA a listé YggTorrent dans son inventaire annuel des marchés contrefaisants. Rien de tout cela n’a fonctionné. YggTorrent a survécu à chaque offensive en changeant de domaine, passant successivement par les extensions diverses.

Au final, ce sont un favicon indexé sur Shodan et un administrateur trop négligent pour activer son pare-feu qui ont eu raison du site. Pas un juge, pas un régulateur, pas un ayant droit.

Reste la suite. Le collectif Utopeer, qui se présente sous la devise « Peer Over Profit » , a mis en ligne un site en 24 heures pour préserver le catalogue de fichiers partagés. Le projet se coordonne via un espace Matrix qui compte environ 1 800 membres. Son approche technique est radicalement différente : pas de traqueur centralisé, mais un système décentralisé fondé sur les tables de hachage distribuées, avec un indexeur décrit comme « auto-hébergé et inviolable » . Le contenu récupéré de YggTorrent y est proposé en téléchargement libre et illimité.

Source de l’article : Clubic