Fin d’YggTorrent : Entre scandale financier et fuite de données massives
Révélations. Le paysage du piratage francophone vient de subir un séisme dont il pourrait ne jamais se remettre. Dans la nuit du 3 au 4 mars, YggTorrent, le premier annuaire de « torrents » de la communauté, a été totalement neutralisé par une cyberattaque d’une rare violence. Le site, qui revendiquait 6,6 millions de membres et plus d’un million de fichiers, affiche désormais la mention « Fermeture définitive ». Cette chute brutale n’est pas le fruit d’une opération de police ou de l’ARCOM, mais d’une vengeance menée par un hacker solo nommé Gr0lum. En une nuit, ce dernier a exfiltré 19 Go de données internes, détruit les quatre serveurs principaux et potentiellement accédé aux portefeuilles crypto des administrateurs, mettant fin à neuf ans de domination sur le warez français.
- YggTorrent a été anéanti par une cyberattaque orchestrée par un hacker solo, Gr0lum, qui a exfiltré des données et détruit les serveurs principaux.
- Les révélations ont mis en lumière une entreprise commerciale occulte, avec un chiffre d’affaires potentiel de plusieurs millions d’euros et un système de prédation agressif des données bancaires.
YggTorrent : Une machine à cash occulte derrière le projet communautaire
Loin de l’image d’un « projet bénévole » porté par la passion du partage, les révélations publiées par Gr0lum sur le site miroir yggleak.top dépeignent une entreprise commerciale d’une envergure insoupçonnée. L’introduction récente du « Mode Turbo » — un abonnement payant allant de 14,99 € par mois à 85,99 € pour l’offre Premium — a d’ailleurs agi comme un catalyseur.
Selon les documents exfiltrés, la plateforme aurait généré un chiffre d’affaires estimé entre 5 et 8,5 millions d’euros sur la période 2024-2025, avec près de 250 000 transactions enregistrées. Et le hacker a mis au jour un système de prédation des données particulièrement agressif. Via un script PHP nommé « Security.php », le site interceptait et stockait par exemple les coordonnées de 54 776 cartes bancaires (numéros, CVV et dates d’expiration) en clair.
Ces données étaient ensuite renvoyées vers des passerelles de paiement offshore situées à Saint-Kitts-et-Nevis, un paradis fiscal des Caraïbes. Plus inquiétant encore, le leak révèle que les administrateurs utilisaient des scripts de « fingerprinting » pour identifier les portefeuilles crypto (MetaMask, Phantom, Trust Wallet) des visiteurs, probablement à des fins de surveillance ou de ciblage malveillant.
USDT, ETH, XMR : Un circuit de blanchiment professionnel par mixage crypto
Le volet le plus spectaculaire des révélations de Gr0lum concerne l’infrastructure financière mise en place pour blanchir les revenus du site. Pour transformer les euros issus des abonnements en fonds intraçables, les administrateurs avaient déployé un circuit de blanchiment multicouche digne du grand banditisme numérique.
L’argent des abonnés passait tout d’abord par un réseau de 36 sites fantômes déguisés en boutiques de vêtements, un système de proxy permettant de tromper les processeurs de paiement sur la nature réelle des transactions. Les fonds étaient ensuite convertis en USDT, puis en Ethereum. Une fois les fonds convertis en ETH, ils étaient ensuite systématiquement envoyés vers Tornado Cash, un protocole de mixage décentralisé permettant de briser la traçabilité sur la blockchain en mélangeant les dépôts de milliers d’utilisateurs.
Pour verrouiller l’anonymat, les fonds mixés étaient finalement échangés contre du Monero (XMR), une cryptomonnaie dont la blockchain est opaque par nature. Le hacker a documenté des séquences de conversion automatisées atteignant plusieurs milliers de dollars en quelques secondes, rendant toute enquête financière traditionnelle quasiment impossible.
La disparition d’YggTorrent marque la fin d’une ère. Ce géant, né en 2017 sur les cendres de T411, s’est effondré sous le poids de sa propre cupidité. En exposant ce circuit de blanchiment ultra-sophistiqué et en compromettant l’ensemble de l’infrastructure (y compris les accès aux wallets crypto de l’équipe dirigeante), Gr0lum n’a pas seulement tué un site, il a porté un coup fatal à la crédibilité de ses administrateurs. Ces derniers, qui préparaient déjà un successeur sous le nom de RageTorrent, voient leur réputation et leur infrastructure définitivement réduites en cendres.
Le Journal Du Coin
Un article de la rédaction. Le Journal du Coin, premier média d’actualités francophone sur la cryptomonnaie, Bitcoin, et les protocoles blockchain.
