| 📰 La Revue de TheRaphit.com | Article n° 44 [06 mars 2026] | [Article au hasard 🎲] [Précédent] [Suivant] |
Le piratage de YggTorrent
Par l'exploitation d'une faille de sécurité béante...[Accès direct au téléchargement du leak]
![[Yggtorrent Closed]](images/rev44/ygg-closed.jpg)
≫ Le récit complet du piratage est consultable sur yggleak.top ! ≪
Cette page n'a pas pour but de se substituer à celle de Gr0lum, où il explique tout dans les moindres détails.
|
Elle est là pour apporter une forme de vulgarisation sur le mode d'action qu'il a
employé, notamment pour ceux qui ne sont pas spécialistes en sécurité informatique,
et qui sont intéressés par une petite synthèse de sa méthode.
J'y ai ajouté également quelques informations supplémentaires sur ce qu'est YggTorrent et sur comment l'un des sites de téléchargement les plus populaires a peut-être initié sa propre chute, vu que la question a l'air de revenir assez souvent sur les forums... |
[YggTorrent, c'est quoi ?] [Le piratage, expliqué simplement]
[Est-ce vraiment la fin de YggTorrent ?]
Le 03 mars 2025, YggTorrent - le plus gros tracker francophone - a été intégralement piraté.
Actif depuis 2017, le site offrait l'accès à plus d'un million de torrents, de petits fichiers permettant d'initier le téléchargement de livres, films, séries et logiciels au moyen du protocole Bittorrent, fonctionnant en peer-to-peer - P2P, ou « pair à pair » en bon françois.
Complémentaire à la page de Gr0lum, l'auteur du piratage (lien ci-dessus), cet article va tenter de vous expliquer, en les termes les plus simples possibles, comment celui-ci a réussi à accéder à l'intégralité des serveurs de la plateforme... A partir d'un simple icône !
Comme vous le savez, je suis moi-même un passionné de serveurs Internet depuis plus de 30 ans, et l'exploit de Gr0lum ainsi que plusieurs erreurs de sécurité informatique commises par le fondateur de YggTorrent sont de véritables cas d'école, qu'il fallait absolument que je vous partage !
YggTorrent, c'est quoi ?
[ Si vous savez déjà ce qu'est un tracker et que vous connaissez YggTorrent, vous pouvez passer cette section et vous rendre directement à la partie piratage. ]
YggTorrent est un tracker privé, c'est à dire un site donnant accès à une liste de fichiers
.torrent permettant de télécharger du contenu en P2P, mais
soumis à procédure d'inscription. Celle-ci est globalement anonyme (plus exactement
pseudonyme) et ne nécessite qu'une simple adresse e-mail vérifiable.
Il est impossible d'accéder au contenu du site sans s'authentifier. Une fois ceci fait, vous pouvez en parcourir tout le catalogue.
![[Site YggTorrent]](images/rev44/site-yggtorrent.jpg "Capture d'écran (datant de quelques années) du site YggTorrent")
Outre l'aspect « communautaire » - présence d'un forum de discussion, possibilité de recevoir de l'aide - l'intérêt principal d'être un tracker privé est que le moteur du site peut identifier qui télécharge ou partage, et comptabiliser aussi les volumes de données de chaque utilisateur.
Le rapport entre le volume partagé (envoyé) et celui téléchargé, nommé à juste titre ratio (puisque mathématiquement parlant, c'en est un) doit être maintenu supérieur ou égal à 1. Pour quelle raison ? C'était une manière d'encourager chaque participant à fournir un peu de sa bande passnte Internet au reste de la communauté, en partageant le plus longtemps possible les fichiers téléchargés.
Ce système de ratio est critiqué dès l'origine, mais pragmatiquement (et c'est comme cela que l'on doit toujours raisonner) il faut reconnaître que ce n'est pas très difficile de maintenir son ratio au-dessus de 1, et donc que globalement, cela fonctionne. Là où les trackers publics voient leurs torrents mourir au bout de quelques semaines, sur YggTorrent vous pouvez accéder rapidement à des fichiers référencés depuis plusieurs années.
Le site accepte les donations pour pouvoir se financer, à l'origine en Bitcoin uniquement. Mais arrive un moment où l'équipe de YggTorrent décide de passer à la vitesse supérieure en proposant de plus en plus de possibilités - moyennant finance - de passer outre les limites de téléchargement dûes au ratio, cette fois avec des vrais euros.
![[Offres YggTorrent]](images/rev44/offres-yggtorrent.jpg "Certaines montants dépassaient de loin les tarifs du streaming légal...")
Au fur et à mesure, il est devenu clair pour la communauté que YggTorrent est désormais un site de téléchargement payant.
Le « coup de masse » final tombe le 21 décembre 2025 : l'arrivée du mode « Turbo », mentionné dans le détail de chacune des offres. Sans souscrire à l'une de celles-ci, les téléchargements sont limités à cinq par jour, et il est nécessaire de patienter 30 secondes après avoir cliqué sur un lien pour obtenir le torrent.
Cela n'a pas manqué d'irriter les plus gros contributeurs du site (indépendants de l'équipe YggTorrent), lesquels auraient été bannis suite à leurs protestations.
Et parmi les utilisateurs mécontents figure le mystérieux Gr0lum qui décida, en cette belle soirée du 03 mars 2026, de sonner la fin de la partie.
Le piratage, expliqué simplement
Comment peut-on obtenir l'accès intégral à une infrastructure consistuée de multiples serveurs « à partir d'un icône » ? Bien évidemment, cette affirmation rapide et, je l'avoue, un peu sensationnaliste (elle n'est pas de Gr0lum) nécessite quelques éclaicissements.
Sur (presque) tous les serveurs Web du monde on peut trouver à la racine un fichier
/favicon.ico - format hérité des icônes
32 × 32 de Windows 3.0 (!) - servant à produire (entre autres)
l'icône de l'onglet de navigateur dans lequel le site a été ouvert.
![[Onglet Chrome TheRaphit.com]](images/rev44/favicon-theraphit-chrome.png "TheRaphit.com ouvert dans un onglet du navigateur Chrome, montrant le 'favicon.ico' de mon site")
Les moteurs de recherche affichent également cet icône dans leurs résultats.
Il faut savoir qu'il y a, sur Internet, tout un tas de robots fonctionnant 24 heures sur 24 qui collectent des données de toutes sortes sur les serveurs Web, à des fins statistiques. Et ces petits icônes en font partie.
La première étape a donc consisté à rechercher si un de ces archiveurs n'avait pas rencontré un
favicon.ico identique à celui
de YggTorrent sur un autre serveur Web, quelque part sur Internet. Et en effet,
Gr0lum en trouve un, sur une machine dont l'adresse IP est 188.253.108.198. Et il
s'y trouve une copie (accessible et fonctionnelle) du site de Ygg, ce qui est
un excellent début de piste.
En examinant ensuite les différents services réseau offerts par cette machine - c'est possible depuis n'importe quelle connexion Internet avec un simple utilitaire - Gr0lum en découvre de nombreux en dehors du serveur Web. Ils ne sont pas forcément tous bien paramétrés, mais toutefois relativement sécurisés dans leur ensemble.
A l'exception d'un seul.
En effet la machine fait fonctionner un logiciel appelé Sphinx Search, un indexeur servant à créer des moteurs de recherche. Et celui-ci est très mal configuré : il fonctionne avec un niveau de privilège trop élevé et surtout, son interface de contrôle est accessible depuis tout Internet sans authentification.
Un peu plus de détails techniques pour ceux que cela intéresse – Cliquez pour afficher
Pour vous donner une idée, sachez qu'à partir d'un simple shell sur une machine UNIX où le client MySQL est installé, il était possible de se connecter au serveur Sphinx avec une unique ligne de commande.
mysql -h 188.253.108.198 -P 9306
Une fois connecté, une interface en mode texte permet d'examiner la base issue
de l'indexation.
![[SphinxQL sur la machine 188.253.108.198]](images/rev44/sphinxql.png "Totalement ouvert à tout vent... C'est la fête !")
Toutes les captures d'écran sont disponibles en intégralité sur yggleak.top.
Dans l'absolu, n'importe qui sur Internet aurait pu le faire à tout moment... C'est même très étonnant qu'aucun robot ne l'ait détecté, car le port 9306 est celui par défaut de Sphinx. Et pour l'avoir constaté sur mes propres machines, les serveurs SQL sont recherchés, même si c'est le port MySQL d'origine (3306) qui est généralement visé.
Oui, ça paraît incroyable mais en quelques secondes, vous pouviez être en liaison directe avec tous les secrets de YggTorrent !
Et cette énorme faille était présente depuis potentiellement des mois, voire des années.
C'est à ce moment-là que Gr0lum réalise le tour de force qui n'était pas donné à tout le monde.
Tout d'abord il connaît Sphinx et son fonctionnement, et se rend assez vite compte que le programme donne bien accès à tous les fichiers du serveur. Mais surtout, il a repéré que la machine auquel il a maintenant partiellement accès n'est pas un vulgaire PC posé sur un coin de bureau. Il s'agit d'une machine virtuelle hébergée en datacenter, donc son système d'exploitation (Windows Server 2019) a probablement été installé par une procédure de déploiement automatique.
Il vérifie alors s'il ne reste pas des traces de celle-ci, par exemple un fichier contenant (en clair) le mot de passe Administrateur de la machine. Il se trouve qu'il est bien présent, sous le chemin :
C:\Windows\Panther\Unattend\sysprep_unattend.xml
A partir de là, puisque le service RDP (accès distant Windows) fonctionne également
sur le serveur et qu'il est (aussi) accessible depuis tout Internet, Gr0lum peut
obtenir l'accès complet à la machine, comme s'il était devant un écran et
un clavier/souris branchés directement dessus.
![[Capture d'écran du serveur]](images/rev44/screenshot-machine-oracle-big.png "Ah oui, comme à la maison...")
Cliquez pour ouvrir en grand dans un nouvel onglet
Cette capture d'écran n'est pas une simple image d'illustration, elle vient directement du serveur en question !
Il se trouve que cette machine était utilisée par Oracle (le fondateur de YggTorrent) pour développer et administrer toute la plateforme.
Plus précisément, au lieu d'utiliser son PC personnel pour travailler, il faisait tout directement sur ce serveur, en s'y connectant à distance.
A partir des applications installées dessus, notamment FileZilla (transfert de fichiers) et les navigateurs Chrome et Brave, Gr0lum va pouvoir accéder à l'intégralité des serveurs faisant fonctionner Ygg : serveur Web de production, tracker, serveur de réplication. Vous voyez la fonction des navigateurs (ou d'autres logiciels) qui vous permettent de sauvegarder vos mots de passe une fois que vous les avez entrés ? Eh bien, grosso-modo c'est l'idée.
![[Sauvegarde MDP Chrome]](images/rev44/chrome-saved-pw.png "Ne cherchez pas, il n'y a rien ici...")
Il y a bien sûr eu plusieurs erreurs de la part de Oracle ayant permis tout cela... Un développeur très pointu n'a pas forcément un profil expérimenté d'administrateur système, car clairement on ne laisse pas « traîner » un serveur en adresse IP publique sans firewall. C'est le premier problème, et celui qui a servi de base à tout le reste.
Etant donné qu'il ne s'agissait que d'une machine de tests, Oracle s'est probablement dit « mais qui va la trouver, puis s'y intéresser ? » - c'est un raisonnement erroné classique en ce qui concerne la sécurité informatique... Car sachez que les robots peuvent parcourir tout Internet plusieurs fois par jour, et eux ne font aucune différence.
Il ignorait aussi très probablement la présence d'un fichier issu de l'installation de son serveur, et contenant le mot de passe en clair.
Cependant il aurait ABSOLUMENT dû changer ce mot de passe initial qu'avait généré l'hébergeur ! Et ceci aura été l'erreur fatale.
En gros, Oracle l'a copié-collé dans son gestionnaire de mots de passe, et s'est contenté de l'oublier... C'est une illustration des dangers de ce genre d'outil, qui se veut être la couche ultime de sécurité alors qu'en réalité, c'est l'inverse. Il vaut mieux choisir des mots de passe plus simples, mais stockés qu'à un unique endroit : dans la tête !
Est-ce vraiment la fin de YggTorrent ?
Originellement, il a été annoncé dès le 04 mars par l'équipe de YggTorrent que le site était désormais fermé.
Mais à peine quelques jours plus tard, l'ex-site de Ygg annonçait déjà le retour imminent du tracker ! Derrière le nombre d'incertitudes entourant les suites de cette fuite de données, j'ai décidé m'y intéresser davantage en suivant les derniers avancements, que j'ai rassemblés au fur et à mesure sur une page additionnelle.
La mini-série du mois de mars 2026 (et au-delà...)
Personne d'autre (et sûrement pas les journalistes) ne semblant s'être penché sur le sujet, cette page est désormais le seul témoin des derniers instants de Ygg, de sa tentative de retour avec la même équipe aux commandes, et des différents événements et annonces ayant eu lieu juste après le piratage.
Les données extraites de YggTorrent
Un torrent correspondant à l'ensemble complet des données récupérées par Gr0lum sur les serveurs a été publié. Au cas où celui-ci manquerait de seed ou ne serait plus accessible, j'ai fait une copie de l'archive afin de vous la mettre à disposition, si jamais il était nécessaire qu'un site qui n'est pas aux ordres prenne le relais. Et oui, il manquait à cet article sa petite touche politiquement incorrecte !
Archive au format XZ - 11 Go
Il s'agit exactement du fichier d'origine. Si à l'avenir, cette archive est expurgée afin de prétendre que « Gr0lum n'a jamais publié cela » ou au contraire, que des ajouts sont effectués de manière à pouvoir attaquer les uns ou les autres, la référence sera disponible ici.
La somme MD5 du fichier présent sur mon serveur est 63cb288673b94a753031fefe35d5ff41 à titre de vérification.
C'est la raison pour laquelle je le publie, comme à chaque fois que je mets à disposition du contenu « controversé » sur mon site. Je ne suis pas là pour prendre parti, mais pour rétablir la vérité sur ce qu'il s'est passé et sur ce qui a été diffusé.
En attendant, tout le catalogue de YggTorrent a également été conservé, et est accessible gratuitement sans inscription sur ygg.gratis - un peu à la TheRaphit en quelque sorte ;-). Ce n'est toutefois pas de moi, mais de l'équipe U2P (Utopeer).
Nombre de visiteurs
depuis le 13 mai 1997.
[Accueil] [C'est quoi ?]
[(Tout)2 Evangelion]
Webzine : La Revue
[Manga Pink Zone]
[Mathématiques]
[Nouveautés] [Zone de téléchargement]
Site créé le 16 janvier 1997
©1997-2026 by TheRaphit
www.theraphit.com