| 📰 La Revue de TheRaphit.com | Article n° 44 [06 mars 2026] |
[Article au hasard 🎲]
[Précédent]
 Dernier 
|
Le piratage (et la fin) de YggTorrent
Par l'exploitation d'une faille de sécurité béante...![[Yggtorrent Closed]](images/rev44/ygg-closed.jpg)
≫ Le récit complet du piratage est consultable sur yggleak.top ! ≪
Cette page n'a pas pour but de se substituer à celle de Gr0lum, où il explique tout dans les moindres détails.
|
Elle est là pour apporter une forme de vulgarisation sur le mode d'action qu'il a
employé, notamment pour ceux qui ne sont pas spécialistes en sécurité informatique,
et qui sont intéressés par une petite synthèse de sa méthode.
J'y ai ajouté également quelques informations supplémentaires sur ce qu'était YggTorrent et sur comment l'un des sites de téléchargement les plus populaires a initié sa propre chute, vu que la question a l'air de revenir assez souvent sur les forums... |
[YggTorrent, c'était quoi ?] [Le piratage, expliqué simplement] [Est-ce vraiment la fin de Ygg ?] [Téléchargement du leak]
Le 03 mars 2025, YggTorrent - le plus gros tracker francophone - a été intégralement piraté.
Actif depuis 2017, le site offrait l'accès à plus d'un million de torrents, de petits fichiers permettant d'initier le téléchargement de livres, films, séries et logiciels au moyen du protocole Bittorrent, fonctionnant en peer-to-peer - P2P, ou « pair à pair » en bon françois.
Complémentaire à la page de Gr0lum, l'auteur du piratage (lien ci-dessus), cet article va tenter de vous expliquer, en les termes les plus simples possibles, comment celui-ci a réussi à accéder à l'intégralité des serveurs de la plateforme... A partir d'un simple icône !
Comme vous le savez, je suis moi-même un passionné de serveurs Internet depuis plus de 30 ans, et l'exploit de Gr0lum ainsi que les erreurs de sécurité informatique monumentales du fondateur de YggTorrent sont de véritables cas d'école, qu'il fallait absolument que je vous partage !
YggTorrent, c'était quoi ?
[ Si vous savez déjà ce qu'est un tracker et que vous connaissiez YggTorrent, vous pouvez passer cette section et vous rendre directement à la partie piratage. ]
YggTorrent était un tracker privé, c'est à dire un site donnant accès à une liste de fichiers
.torrent permettant de télécharger du contenu en P2P, mais
soumis à procédure d'inscription. Celle-ci était globalement anonyme (plus exactement
pseudonyme) et ne nécessitait qu'une simple adresse e-mail vérifiable.
Il était impossible d'accéder au contenu du site sans s'authentifier. Une fois ceci fait, vous pouviez en parcourir tout le catalogue.
![[Site YggTorrent]](images/rev44/site-yggtorrent.jpg "Capture d'écran (datant de quelques années) du site YggTorrent")
Outre l'aspect « communautaire » - présence d'un forum de discussion, possibilité de recevoir de l'aide - l'intérêt principal d'être un tracker privé est que le moteur du site peut identifier qui télécharge ou partage, et comptabiliser les volumes de données de chaque utilisateur.
Le rapport entre le volume partagé (envoyé) et celui téléchargé, nommé à juste titre ratio (puisque mathématiquement parlant, c'en est un) devait être maintenu supérieur ou égal à 1. Pour quelle raison ? C'était une manière d'encourager chaque participant à fournir un peu de sa bande passnte Internet au reste de la communauté, en partageant le plus longtemps possible les fichiers téléchargés.
Et dans la pratique, bien que ce système de ratio soit critiqué dès l'origine, cela fonctionnait. Là où les trackers publics voient leurs torrents mourir au bout de quelques semaines, sur YggTorrent vous pouviez accéder rapidement à des fichiers référencés depuis plusieurs années.
Le site acceptait les donations dès l'origine (en Bitcoin uniquement) pour pouvoir se financer. Mais à un moment donné, l'équipe de YggTorrent a décidé de passer à la vitesse supérieure en proposant de plus en plus de possibilités - moyennant finance - de passer outre les limites de téléchargement dûes au ratio, cette fois avec des vrais euros.
![[Offres YggTorrent]](images/rev44/offres-yggtorrent.jpg "Certaines montants dépassaient de loin les tarifs du streaming légal...")
Au fur et à mesure, il est devenu clair pour la communauté que YggTorrent était désormais devenu un site de téléchargement payant.
Le « coup de masse » final tombe le 21 décembre 2025 : l'arrivée du mode « Turbo », mentionné dans le détail de chacune des offres. Sans souscrire à l'une de celles-ci, les téléchargements étaient limités à cinq par jour, il était nécessaire de patienter 30 secondes après avoir cliqué sur un lien pour obtenir le torrent.
Cela n'a pas manqué d'irriter les plus gros contributeurs du site (indépendants de l'équipe YggTorrent) qui se sont fait bannir immédiatement suite à leurs protestations.
Et parmi les utilisateurs mécontents figurait l'ami Gr0lum qui décida, en cette belle soirée du 03 mars 2026, de mettre un terme à cette sombre fumisterie.
Le piratage, expliqué simplement
Comment peut-on obtenir l'accès intégral à une infrastructure consistuée de multiples serveurs « à partir d'un icône » ? Bien évidemment, cette affirmation rapide et, je l'avoue, un peu sensationnaliste (elle n'est pas de Gr0lum) nécessite quelques éclaicissements.
Sur (presque) tous les serveurs Web du monde on peut trouver à la racine un fichier
/favicon.ico - format hérité des icônes
32 × 32 de Windows 3.0 (!) - servant à produire (entre autres)
l'icône de l'onglet de navigateur dans lequel le site a été ouvert.
![[Onglet Chrome TheRaphit.com]](images/rev44/favicon-theraphit-chrome.png "TheRaphit.com ouvert dans un onglet du navigateur Chrome, montrant le 'favicon.ico' de mon site")
Les moteurs de recherche affichent également cet icône dans leurs résultats.
Il faut savoir qu'il y a, sur Internet, tout un tas de robots fonctionnant 24 heures sur 24 qui collectent des données de toutes sortes sur les serveurs Web, à des fins statistiques. Et ces petits icônes en font partie.
La première étape a donc consisté à rechercher si un de ces archiveurs n'avait pas rencontré un
favicon.ico identique à celui
de YggTorrent sur un autre serveur Web, quelque part sur Internet. Et en effet,
Gr0lum en trouve un, sur une machine dont l'adresse IP est 188.253.108.198. Et il
s'y trouve une copie (accessible et fonctionnelle) du site de Ygg, ce qui est
un excellent début de piste.
En examinant ensuite les différents services réseau offerts par cette machine - c'est possible depuis n'importe quelle connexion Internet avec un simple utilitaire - Gr0lum en découvre de nombreux en dehors du serveur Web. Ils ne sont pas forcément tous bien paramétrés, mais toutefois relativement sécurisés dans leur ensemble.
A l'exception d'un seul.
En effet la machine fait fonctionner un logiciel appelé Sphinx Search, un indexeur servant à créer des moteurs de recherche. Et celui-ci est très mal configuré : il fonctionne avec un niveau de privilège trop élevé et surtout, son interface de contrôle est accessible depuis tout Internet sans authentification.
Un peu plus de détails techniques pour ceux que cela intéresse – Cliquez pour afficher
Pour vous donner une idée, sachez qu'à partir d'un simple shell sur une machine UNIX où le client MySQL est installé, il était possible de se connecter au serveur Sphinx avec une unique ligne de commande.
mysql -h 188.253.108.198 -P 9306
Une fois connecté, une interface en mode texte permet d'examiner la base issue
de l'indexation.
![[SphinxQL sur la machine 188.253.108.198]](images/rev44/sphinxql.png "Totalement ouvert à tout vent... C'est la fête !")
Toutes les captures d'écran sont disponibles en intégralité sur yggleak.top.
Dans l'absolu, n'importe qui sur Internet aurait pu le faire à tout moment... C'est même très étonnant qu'aucun robot ne l'ait détecté, car le port 9306 est celui par défaut de Sphinx. Et pour l'avoir constaté sur mes propres machines, les serveurs SQL sont recherchés, même si c'est le port MySQL d'origine (3306) qui est généralement visé.
Oui, ça paraît incroyable mais en quelques secondes, vous pouviez être en liaison directe avec tous les secrets de YggTorrent !
Et cette faille béante était là depuis potentiellement des mois, voire des années.
C'est à ce moment-là que Gr0lum réalise le tour de force qui n'était pas donné à tout le monde.
Tout d'abord il connaît Sphinx et son fonctionnement, et se rend assez vite compte que le programme donne bien accès à tous les fichiers du serveur. Mais surtout, il a repéré que la machine auquel il a maintenant partiellement accès n'est pas un vulgaire PC posé sur un coin de bureau. Il s'agit d'une machine virtuelle hébergée en datacenter, donc son système d'exploitation (Windows Server 2019) a probablement été installé par une procédure de déploiement automatique.
Il vérifie alors s'il ne reste pas des traces de celle-ci, par exemple un fichier contenant (en clair) le mot de passe Administrateur de la machine. Il se trouve qu'il est bien présent, sous le chemin :
C:\Windows\Panther\Unattend\sysprep_unattend.xml
A partir de là, puisque le service RDP (accès distant Windows) fonctionne également
sur le serveur et qu'il est (aussi) accessible depuis tout Internet, Gr0lum peut
obtenir l'accès complet à la machine, comme s'il était devant un écran et
un clavier/souris branchés directement dessus.
![[Capture d'écran du serveur]](images/rev44/screenshot-machine-oracle-big.png "Ah oui, comme à la maison...")
Cliquez pour ouvrir en grand dans un nouvel onglet
Cette capture d'écran n'est pas une simple image d'illustration, elle vient directement du serveur en question !
Il se trouve que cette machine était utilisée par Oracle (le fondateur de YggTorrent) pour développer et administrer toute la plateforme.
Plus précisément, au lieu d'utiliser son PC personnel pour travailler, il faisait tout directement sur ce serveur, en s'y connectant à distance.
A partir des applications installées dessus, notamment FileZilla (transfert de fichiers) et les navigateurs Chrome et Brave, Gr0lum va pouvoir accéder à l'intégralité des serveurs faisant fonctionner Ygg : serveur Web de production, tracker, serveurs de sauvegarde. Vous voyez la fonction des navigateurs (ou d'autres logiciels) qui vous permettent de sauvegarder vos mots de passe une fois que vous les avez entrés ? Eh bien, grosso-modo c'est l'idée.
![[Sauvegarde MDP Chrome]](images/rev44/chrome-saved-pw.png "Ne cherchez pas, il n'y a rien ici...")
Il y a bien sûr eu plusieurs erreurs sévères de la part de ce « cher » Oracle ayant permis tout cela... Il était peut-être un développeur pointu, mais n'avait clairement pas un profil d'administrateur système. Notamment, il ne semblait pas savoir qu'on ne laisse pas traîner un serveur en adresse IP publique sans firewall.
Etant donné qu'il ne s'agissait que d'une machine de tests, il s'est probablement dit « mais qui va la trouver, puis s'y intéresser ? » - c'est un raisonnement erroné classique en ce qui concerne la sécurité informatique... Car sachez que les robots peuvent parcourir tout Internet plusieurs fois par jour, et ne font aucune différence.
Il ignorait aussi très probablement la présence d'un fichier issu de l'installation de son serveur, et contenant le mot de passe en clair.
Mais la KOLOSSAL erreur est de n'avoir JAMAIS changé ce mot de passe initial qu'avait généré l'hébergeur !
En gros, Oracle l'a copié-collé dans son gestionnaire de mots de passe, et s'est contenté de l'oublier... C'est une illustration des dangers de ce genre d'outil, qui se veut être la couche ultime de sécurité alors qu'en réalité, c'est l'inverse.
YggTorrent sera-t-il de retour ?
La team gérant le site a publié un communiqué officiel indiquant que c'est non (voir ci-dessous). Et ce qui précède explique d'ailleurs bien pourquoi : à partir du moment où cela est arrivé une fois, Oracle et son bras-droit YggFlop savent qu'ils ne peuvent plus ignorer les considérations de sécurité.
Recruter un administrateur système de confiance nécessiterait sûrement de l'associer fortement au projet, et on sent bien que là aussi, c'est un non.
Communiqué officiel de l'équipe YggTorrent – Cliquez pour afficher
![[Message de la team YggTorrent]](images/rev44/ygg-message-team-big.jpg "Au moins c'est clair : 'salut, et merci pour le pognon'")
Cliquez pour ouvrir en grand dans un nouvel onglet Désolé, je n'ai pas de meilleure résolution, y compris pour la version en grand format. A noter que si vous vous connectez sur le site de YggTorrent, un communiqué similaire est lisible, mais avec quelques subtiles petites différences. ;-) |
Un torrent correspondant à l'ensemble complet des données extraites des serveurs de YggTorrent a été publié. Au cas où celui-ci ne serait plus accessible ou manquerait de seed, j'ai fait une copie de l'archive afin de la mettre à disposition sur mon site.
Archive au format XZ - 11 Go
C'est exactement le même fichier. Il n'y a aucune divulgation supplémentaire par rapport à ce que Gr0lum a bien voulu publier, et je n'ai rien enlevé.
Par ailleurs, tout le catalogue de YggTorrent a également été conservé, et est accessible gratuitement et sans incription sur ygg.gratis - un peu à la TheRaphit en quelque sorte ;-). Ce n'est toutefois pas de moi, mais de l'équipe U2P (Utopeer).
Nombre de visiteurs
depuis le 13 mai 1997.
[Accueil] [C'est quoi ?]
[(Tout)2 Evangelion]
Webzine : La Revue
[Manga Pink Zone]
[Mathématiques]
[Nouveautés] [Zone de téléchargement]
Site créé le 16 janvier 1997
©1997-2026 by TheRaphit
www.theraphit.com