C'est la grosse actu du jour ! YggTorrent, le plus gros tracker torrent francophone, a fermé DÉFINITIVEMENT ses portes après une cyberattaque survenue le 3 mars 2026. Un site de piratage qui se fait... pirater. Oups !

Un hacker du nom de Gr0lum a revendiqué l'opération baptisée YGGLeak. D'après lui, il aurait exfiltré la base de données complète du site, soit environ 6,6 MILLIONS de comptes utilisateurs. Il s'agit d'emails, de mots de passe hashés en bcrypt, d'adresses IP, d'historiques de navigation... genre, le package complet. Donc pas exactement le genre de truc que vous voulez voir traîner dans la nature.

De leur côté, l'équipe d'Ygg a publié un long communiqué où ils se posent en victimes. Selon eux, un ancien admin viré aurait gardé des accès et orchestré le sabotage de l'intérieur. Ils parlent de "trahison" et jurent que les mots de passe étaient "hashés et salés" (en gros, pas en clair... mais bon, ça rassure moyen quand toute votre base est dans la nature).

Sauf que la version de Gr0lum raconte une toute autre histoire. Le hacker accuse la plateforme d'avoir stocké pas moins de 54 776 numéros de cartes bancaires (sans qu'on sache si c'est des numéros complets ou tronqués), d'avoir mis en place du tracking comportemental poussé et même du fingerprinting de wallets crypto via un script (Sci.js) qui détectait Phantom, MetaMask ou Trust Wallet sur les machines des visiteurs. On est donc carrément loooooiiiiin du petit tracker communautaire sur lequel vous téléchargiez vos ISO Linux ^^.

Et le dossier complet publié par Gr0lum va encore plus loin. Un module baptisé Security.php aurait collecté les données de cartes bancaires COMPLÈTES... numéro, CVV, date d'expiration, nom du porteur, le tout relayé via un processeur de paiement tiers. Plusieurs utilisateurs sur Reddit ont d'ailleurs signalé des prélèvements frauduleux après avoir payé sur le site. En bonus, Ygg utilisait un service de DDoS (stresscat.ru) pour matraquer des trackers concurrents comme la-cale.space et sharewood.tv.

D'ailleurs, faut remettre un peu de contexte. Le 21 décembre 2025, Ygg avait lancé son fameux "Mode Turbo" qui limitait les utilisateurs gratuits à 5 téléchargements par jour... sauf si vous passiez à la caisse (86 euros). Résultat, d'après les données exfiltrées, le chiffre d'affaires a carrément TRIPLÉ en janvier 2026 pour atteindre ~490 000 euros sur le seul mois. Sur l'ensemble, on parle de 5 à 8,5 millions d'euros de revenus, avec près de 250 000 commandes traitées. Du coup, pour un site soi-disant "bénévole", ça fait beaucoup, j'avoue.

Côté technique, le hack est un cas d'école. Gr0lum a trouvé un port SphinxQL (9306) exposé sans authentification sur un serveur de pré-production. De là, lecture de fichiers arbitraires, récupération d'un mot de passe admin en clair dans un fichier sysprep, puis rebond de serveur en serveur via SMB et SSH. Trois jours seulement et 19 Go de données exfiltrées. Contrôle total. Le serveur de pré-prod tournait sous Windows Server 2019 avec le pare-feu désactivé et Defender coupé. Du grand art !

Pour le blanchiment des revenus crypto, ça passait par Tornado Cash avec conversion en Monero via ChangeNOW... le combo parfait pour disparaître de la blockchain. L'équipe avait même acheté le domaine warezfr.com fin décembre 2025 et bossait sur un nouveau tracker baptisé RageTorrent. Ils voyaient loin.

Si vous aviez un compte sur Ygg, surtout si vous utilisiez le même email et le même mot de passe sur d'autres services (oui, on sait que c'est votre cas ^^), changez le ailleurs, car même avec du hash salé, sur 6,6 millions de comptes y'a forcément des mots de passe type "123456" qui vont tomber en quelques secondes. Vérifiez aussi sur Have I Been Pwned si votre adresse a fuité.

Ah et bonne nouvelle, y'a déjà un successeur. Un collectif nommé Utopeer a récupéré le catalogue et lancé ygg.gratis. Attention, aucune garantie de fiabilité là non plus, hein.... Comme d'hab, méfiance.

C'est un peu comme Bato.to en janvier dernier... les géants du piratage tombent les uns après les autres... après T411 en 2017, après Zone-Téléchargement, après Bato.to, c'est donc au tour d'Ygg de tirer sa révérence, sauf que cette fois, c'est pas la police qui a frappé, mais visiblement un de leurs propres utilisateur avec quelques compétences...