Tech • IA • Crypto
Le plus gros site pirate de France est tombé
9/10INTRO
Le principal site français de téléchargement illégal, YggTorrent, a été piraté et exposé par un hacker solitaire, révélant d’importantes données utilisateurs, des montages financiers et des failles opérationnelles, entraînant la fermeture définitive du site et suscitant un débat sur l’avenir des plateformes de piraterie.
POINTS CLÉS
Statut d’YggTorrent et mécontentement de la communauté
YggTorrent, plus grand site torrent français et parmi les 35 sites les plus visités en France, a fonctionné pendant neuf ans malgré les tentatives répétées de fermeture par l’autorité réglementaire française Arcom. L’inscription était obligatoire pour télécharger et une offre « turbo mode » payante a récemment été introduite, causant le mécontentement des bénévoles et des équipes de upload, comme la célèbre équipe QTZ, finalement bannie. Ces tensions laissaient présager une instabilité avant le piratage.
Découverte de la faille de sécurité via un favicon
La brèche a été déclenchée quand le hacker, nommé Grosum, a exploité le favicon du site — la petite icône dans l’onglet du navigateur — en utilisant son hash unique pour trouver un serveur de préproduction non listé référencé par le service de scan internet Shodan. Ce serveur, sans pare-feu, exposait plusieurs ports ouverts et des fichiers sensibles ainsi que des services mal configurés.
Exploitation d’une mauvaise sécurité serveur
Grosum a utilisé des scans Nmap sur 13 ports ouverts, obtenant un accès root sans mot de passe sur certains services, et trouvé dans les fichiers de configuration des clés privées en clair et mots de passe administrateur. Le serveur de préproduction était utilisé négligemment comme un PC personnel par les admins, enregistrant mots de passe de navigateurs et identifiants FTP en clair, facilitant l’accès complet à l’infrastructure YggTorrent.
Fuite massive de données et exposition du contenu
Le hacker a extrait des données depuis quatre serveurs, accédant à sept bases de données contenant 6,6 millions de comptes utilisateurs, 13 processeurs de paiement et 15 portefeuilles de cryptomonnaies. Environ 19 gigaoctets de données — code, journaux de transactions, historiques utilisateurs — ont été publiés en ligne, à l’exception des détails sensibles (adresses IP, emails, hash des mots de passe) pour protéger la vie privée des utilisateurs.
Révélations compromettantes dans le code source
L’analyse du code source a dévoilé plusieurs pratiques inquiétantes: un hachage de mots de passe faible avec MD5, critiqué comme obsolète et facile à craquer; un script interne déguisé en gestionnaire d’images qui scanne les navigateurs pour des portefeuilles crypto comme MetaMask; et une intermédiation des paiements qui enregistre des métadonnées sensibles des transactions. Ces pratiques témoignent d’une surveillance intrusive et de standards de sécurité douteux.
Envergure financière et montage de blanchiment
Les données compromises montrent qu’YggTorrent générait environ 10 millions d’euros annuels, probablement non déclarés, avec des coûts serveurs autour de 500 000 euros. Les admins, sous pseudonymes « Oracle » et « Destroy », sont suspectés d’avoir tiré de gros profits. Le montage de blanchiment impliquait plus de 30 domaines proxy, de fausses boutiques en ligne, des processeurs de paiement légitimes comme Stripe masqués en ventes de t-shirts, conversion en crypto, et anonymisation via des mixers tels Tornado Cash et Monero.
Conflits et représailles entre hacker et admins
Le hacker a publié un manifeste critiquant la gestion et les failles du site. Les admins ont nié le vol de données, particulièrement concernant le stockage des cartes bancaires, et annoncé un relancement sous Django. Ils ont rapidement abandonné, choisissant de vendre le nom de domaine avec un avertissement contre tout usage illégal.
Contexte motivationnel et identité du hacker
Les admins ont affirmé que le hacker avait envoyé une demande de rançon de 100 000 $ pour ne pas divulguer les données, ce que le hacker a nié, suggérant un faux email. Ils l’ont aussi accusé d’avoir hébergé un ransomware sur leur serveur de préproduction pour déclencher une intervention policière. Le hacker, étudiant français en informatique de 23 ans actif sur GitHub, voulait d’abord contourner des restrictions pour usage personnel avant de découvrir ces graves failles.
Impact sur la scène française de la piraterie et futurs modèles
Après la chute d’YggTorrent, des plateformes alternatives comme Lacal, Thor9, ThorN9 et Gemini ont gagné en visibilité, avec un certain scepticisme communautaire envers leurs opérateurs. Un nouveau modèle décentralisé émerge, cherchant à répartir le contrôle et réduire la vulnérabilité, bien que des défis subsistent pour la modération des contenus et éviter l’infiltration policière. Ce changement illustre la résilience continue du téléchargement illégal français malgré les répressions.
CONCLUSION
Le piratage d’YggTorrent a exposé une négligence massive en matière de sécurité, des risques pour la vie privée des utilisateurs et une activité financière illicite à grande échelle, conduisant à la fermeture du site après près d’une décennie d’activité. Cet événement souligne les défis persistants pour concilier vulnérabilités techniques, gouvernance communautaire et pressions légales dans le paysage en évolution de la piraterie numérique en France.