Fin de YggTorrent : un pirate détruit le site et révèle les pratiques mafieuses de ses admins

Grolum, c’est le surnom de l’auteur du piratage de YggTorrent. Il affirme avoir vidé et détruit les serveurs, puis il a publié un dossier chaud avec une archive de 11 Go de données sur le site yggleak[.]top. Qu’en est-il des données des utilisateurs ? Voici ce que l’on sait sur ce piratage.

Une archive nettoyée ou pas : le mythe de l’anonymat

Depuis hier, YggTorrent, l’un des plus gros sites de téléchargement illégal francophone, a cessé d’exister. Un arrêt brutal associé à la publication d’une archive de 11 Go sur le site yggleak[.]top. Une annonce qui fait beaucoup parler d’elle sur les réseaux, notamment sur Reddit.

Tout d’abord, Grolum évoque les recettes de la plateforme YggTorrent : 10 millions d’euros pour 2024-2025. Il critique les méthodes employées par les admins.

« Alors que vos équipes de modérateurs bossent bénévolement pour faire tourner le site, vous continuez d’amasser une véritable fortune sur leur dos. Francisco depuis le Maroc et Vladimir depuis la France, vous avez exploité la naïveté de personnes qui croyaient en un projet de partage libre, désintéressé et communautaire. », peut-on lire.

Mais au-delà de cela, le sujet chaud, c’est la publication des données. En effet, le pirate responsable de la chute du tracker a mis à disposition une archive contenant les données internes du site. Dans une démarche qu’il qualifie d’éthique, Grolum affirme que les données critiques (adresses IP, courriels et empreintes de mots de passe) ont été « délibérément caviardées ». Il nargue même l’ARCOM en précisant qu’il « garde ça bien au chaud », sous-entendant qu’il possède les preuves d’identité mais refuse de les livrer au régulateur.

Il y a tout de même un problème avec le mécanisme utilisé par Grolum pour anonymiser les données. En réalité, il est plutôt question de pseudonymisation, et donc le danger persiste pour les utilisateurs. L’anonymisation est irréversible, contrairement à la pseudonymisation. En réalité, en croisant un pseudo avec d’autres informations spécifiques, il devient envisageable d’identifier la personne physique. Cela ressemble à une maladresse de la part de l’auteur du leak.

Près de 30 Go de données des serveurs YggTorrent

Une fois décompressée, cette archive ZIP de 11 Go permet d’obtenir près de 30 Go de données : 12 231 fichiers stockés dans 1 045 dossiers. Entre code source, documents, bases de données, et identifiants, cette archive contient de nombreuses informations.

Sniffing bancaire : des admins aux allures de cybercriminels

Le pirate révèle que les administrateurs du site, connus sous les pseudos Oracle et Destroy, avaient mis en place un véritable système de surveillance pour leurs membres. On en vient même à se demander quelles étaient leurs véritables intentions au travers d’YggTorrent : ce qu’ils ont mis en place, c’est de vrais mécanismes de vol de données.

En effet, Grolum révèle qu’avec YggTorrent, la véritable menace vient de l’intérieur ! L’audit des fichiers volés sur le serveur met en évidence des pratiques malveillantes :

• Vol de cartes bancaires : un fichier nommé Security.php interceptait les numéros de carte bancaire, cryptogrammes et dates d’expiration avant leur transmission au processeur de paiement. Grolum précise que les admins ont pu mettre la main sur les informations de 54 776 cartes bancaires. Si certains utilisateurs se sont plaints de débits frauduleux, ce n’est sûrement pas un hasard.
• Scan de cryptomonnaies : un script caché, renommé de security.min.js en modal.min.js pour tromper la vigilance des utilisateurs, scannait les navigateurs des visiteurs à la recherche de portefeuilles (MetaMask, Coinbase Wallet, etc.).
• Stockage des mots de passe obsolète: sur les 6,6 millions de comptes, la moitié des mots de passe étaient stockés en MD5, un algorithme de hachage déprécié depuis des années et largement vulnérable.

Pour expliquer la présence de coordonnées bancaires sur un site de téléchargement illégal, il faut s’intéresser au fonctionnement d’YggTorrent. Je ne connais pas bien cette plateforme, mais il y a un système d’abonnements, en particulier pour avoir un mode Turbo sur les torrents. Surtout, YggTorrent fonctionne selon un mécanisme de ratio (quota) : il faut partager plus que l’on télécharge. Les abonnements pouvaient donc faire sauter certaines limites et restrictions.

Les intentions de Grolum me semblent claires : afficher les administrateurs et leurs pratiques douteuses aux yeux de tous, tout en essayant de protéger les utilisateurs qui sont de réelles victimes. Néanmoins, les utilisateurs se retrouvent indirectement exposés via la publication de ces données.

Si vous voulez tout savoir sur l’attaque, tout est détaillé sur cette page sous la forme d’un writeup…

Un dossier chaud et à suivre.