AnsiCode's Blog

La Mort de YggTorrent : quand un site de pirates se fait pirater

Le 4 mars 2026, YggTorrent ferme définitivement après un hack massif. Retour sur neuf ans d’histoire, une dérive commerciale et la chute d’un géant du torrent francophone.
 Actu Tech  2015  10 min.

Le 4 mars 2026, YggTorrent affiche un message laconique : “L’histoire s’arrête ici.” En quelques heures, le plus grand tracker de torrents francophone disparaît de la toile — non pas sous les coups d’une saisie judiciaire, mais terrassé par l’un des siens. Un hacker du nom de Gr0lum vient d’exfiltrer 6,6 millions de comptes, de vider les wallets crypto et de publier l’intégralité du code source et des bases de données.

L’ironie est totale : un site qui a bâti son empire sur la culture du partage libre vient de tomber sous les coups d’un pirate qui lui reprochait d’avoir trahi cette même culture.

2017–2024 : La naissance d’un géant francophone

L’héritier de T411

L’histoire commence dans les cendres. Le 26 juin 2017, T411 — le tracker de référence en France depuis des années — ferme ses portes, laissant des millions d’utilisateurs orphelins.

C’est dans ce vide que naît YggTorrent : le domaine avait été réservé dès le 21 mai 2017, et le site remodèle en profondeur son fonctionnement pour ouvrir officiellement en tant que tracker public participatif en début juillet 2017. En l’espace de quelques semaines, il change de modèle et devient un tracker privé à inscription libre.

Quelques mois plus tard, le 31 octobre 2017, c’est T411.si — l’un des clones qui avaient tenté de reprendre le flambeau — qui annonce sa fusion avec Ygg. La communauté se consolide d’un coup. Le bilan de la fin de l’année est éloquent : le 8 décembre 2017, moins de six mois après le lancement, le site revendique déjà plus de 600 000 membres et 173 000 torrents.

Seule ombre au tableau : le 1er décembre 2017, Google déréférence le site suite à un afflux massif de demandes DMCA.

La montée en puissance

Les années suivantes voient Ygg s’imposer comme le point de passage obligé du téléchargement de torrents en langue française. Au 1er janvier 2020, Alexa Internet classe le site 35e site le plus visité en France — un classement qui en dit long sur l’ampleur du phénomène. La plateforme atteint alors 3,5 millions d’utilisateurs. Films, séries, jeux, logiciels, musique : la communauté construit un catalogue considérable, entretenu par des équipes de contributeurs bénévoles organisés en groupes de release.

Le modèle est celui du tracker semi-privé classique : inscription sur invitation ou après un temps d’attente, ratio upload/download à maintenir, communauté soudée. Ygg se distingue par une interface soignée, un forum actif et une relative tolérance envers les débutants. En coulisses, Oracle — l’administrateur principal, localisé au Maroc — gère le site de manière autoritaire, via un intermédiaire surnommé « YggFlop » pour communiquer avec les modérateurs bénévoles, auxquels il est formellement interdit de poser des questions sur le fonctionnement interne.

Dès décembre 2018, un ancien administrateur révèle que la plateforme a généré 300 000 euros en seulement quatre mois — premier signe que le “partage libre” est depuis longtemps une activité très lucrative.

Les pressions judiciaires : une guerre d’usure

La réussite attire aussi les foudres judiciaires. Le 17 octobre 2019, le tribunal de grande instance de Paris ordonne le blocage de plusieurs noms de domaine. Le 5 février 2020, le registraire désactive le domaine principal pour infractions à la propriété intellectuelle. Le 26 avril 2023, l’Arcom inscrit officiellement YggTorrent sur sa liste des services contrefaisants — inscription renouvelée en novembre 2024 pour atteintes « graves et répétées » aux droits d’auteur. En avril puis juillet 2024, de nouvelles décisions judiciaires contraignent les FAI français à bloquer l’accès au site pour des durées de 18 mois.

Face à chaque blocage, Ygg répond par un changement de nom de domaine — .com, .pe, .ws, .do… La guerre d’usure tourne à l’avantage du site, qui survit à tous les assauts. Les administrateurs ne se contentent pas de défense passive : selon Gr0lum, ils commanditaient également des attaques DDoS contre les trackers concurrents, pour forcer uploadeurs et utilisateurs à rester sur leur plateforme.

Le tournant de mai 2024

Le 17 mai 2024, Ygg franchit un cap décisif : le passage en tracker totalement privé et rebaptisé simplement Ygg. Plus d’inscriptions ouvertes au public, accès uniquement par invitation. Le nombre d’inscrits dépasse alors les 6 millions. Officiellement, il s’agit de protéger la communauté. Dans les faits, la décision concentre le pouvoir et les revenus entre quelques mains — et prépare le terrain pour la suite. En février 2025, le catalogue atteint plus de 880 000 torrents indexés.

Chronologie YggTorrent

La dérive commerciale : quand le piratage devient un business

Le “Mode Turbo” : quand on fait payer pour pirater

Le 21 décembre 2025, en pleine période de fêtes. Une annonce tombe sur le forum Ygg et provoque un tollé immédiat : le lancement du “Mode Turbo”. Pour bénéficier de téléchargements sans limite et sans temps d’attente, il faudra désormais passer à la caisse.

La grille tarifaire est sans ambiguïté :

  • 14,99€/mois
  • 85,99€ à vie

Pour les comptes gratuits, les restrictions tombent comme un couperet : 30 secondes d’attente entre chaque torrent, 5 fichiers par jour maximum. Le site qui se présentait comme un espace de liberté et de partage devient, de fait, un service freemium.

La réaction de la communauté est brutale. Des années de contributions bénévoles — uploads, vérifications, maintenance des releases — pour se voir imposer un paywall ? La grogne enfle rapidement.

Mode Turbo YggTorrent

L’escalade : boycott, bannissement et accusations graves

La réaction des équipes de release est immédiate. La Team QTZ — l’un des groupes les plus prolifiques du site avec plus de 3 300 fichiers partagés — publie une lettre ouverte dénonçant un intermédiaire qui « impose une commission, souvent aux dépens des plus vulnérables ». Elle est bannie dans la foulée, son message supprimé. La Team Forward, responsable d’environ 35 000 fichiers partagés, reçoit un seul mot en guise de congédiement : “OUST”. D’autres groupes — tsundere-raws, BTT — subissent le même sort. Le fil de discussion est verrouillé, le salon de discussion désactivé.

Les révélations du hack allaient ensuite exposer l’ampleur de la dérive. Les données exfiltrées par Gr0lum permettent de reconstituer un tableau accablant :

  • 5 à 10 millions d’euros de revenus pour la période 2024-2025, avec des pics à 490 000€ par mois et plus de 249 000 commandes passées par ~100 000 payeurs uniques
  • 54 776 numéros de carte bancaire complets — avec cryptogrammes visuels (CVV) et dates d’expiration — interceptés via un fichier Security.php qui captait les données au moment du paiement avant de les transmettre au processeur
  • Un script malveillant caché sous le nom ImageCarouselManager (renommé depuis security.min.js) qui s’exécutait dans le navigateur de chaque visiteur pour détecter les extensions de wallets crypto : MetaMask, Phantom, Coinbase Wallet…
  • Une fraude bancaire organisée : les paiements transitaient par de fausses boutiques WooCommerce (ventes de t-shirts fictives) pour masquer l’origine des fonds sur les relevés bancaires, avant d’être convertis en crypto, passés par le mélangeur Tornado Cash (au moins 22 ETH documentés), puis convertis en Monero (XMR) — cryptomonnaie intraçable — vers des portefeuilles anonymes

Derrière le site : deux administrateurs accusés d’avoir orchestré l’ensemble du dispositif. “Oracle” (localisé au Maroc via une IP résidentielle Maroc Telecom) pour la direction générale, “Destroy” (en France) pour la partie technique — celui-là même dont la négligence allait causer la chute.

Le hack de Gr0lum : une nuit pour détruire neuf ans

Étape 1 — La reconnaissance : trouver l’infrastructure

Gr0lum ne part pas à l’aveugle. Sa première action est aussi simple qu’efficace : il calcule l’empreinte numérique (hash) du favicon du site YggTorrent, puis la soumet à Shodan — le moteur de recherche des objets connectés exposés sur Internet. Cette technique d’empreinte de favicon permet d’identifier tous les serveurs hébergeant une copie identique de cette icône, révélant ainsi les machines de l’infrastructure même derrière des CDN ou des reverse proxies.

Ce qu’il trouve le laisse sans doute perplexe tant c’est béant : un serveur de pré-production sous Windows Server, accessible publiquement, avec treize ports ouverts et le pare-feu désactivé. Un répertoire web entier est accessible en clair.

Étape 2 — L’exploitation : une chaîne de négligences

La prise de contrôle ne repose sur aucune faille logicielle sophistiquée. Elle enchaîne des erreurs humaines élémentaires :

  1. SphinxQL sans authentification : Le moteur de recherche interne du site (SphinxQL) est exposé directement sur Internet, sans la moindre protection. Gr0lum s’y connecte et exploite sa capacité à lire des fichiers locaux sur le serveur.

  2. Mots de passe en clair : Dans ces fichiers, il découvre des identifiants administrateur stockés en texte brut — dont les accès aux bases de données de production.

  3. L’ordinateur personnel de “Destroy” : L’administrateur technique utilisait ce serveur de pré-production comme machine personnelle. Son navigateur contenait des centaines de mots de passe enregistrés, et son client FTP conservait les connexions aux serveurs critiques. Tout cela se retrouve entre les mains de Gr0lum.

  4. Escalade vers la production : Armé de ces identifiants, Gr0lum rebondit du serveur de pré-production vers quatre serveurs critiques : le tracker principal, la base de données de production, la boutique de paiement et les sauvegardes.

Étape 3 — L’exfiltration

Une fois à l’intérieur, le pillage est méthodique. Gr0lum constitue une archive de 11 Go baptisée YGGLeak, contenant :

  • La base des 6,6 millions de comptes utilisateurs (pseudonymes, âges, sexes, historiques de téléchargement) — les IPs, emails et mots de passe sont caviardés dans la version publique, mais Gr0lum précise les garder « au chaud »
  • Environ 50% des mots de passe hachés avec l’algorithme MD5 — obsolète et trivial à casser par tables arc-en-ciel — le reste avec des méthodes plus récentes
  • Le code source complet du site et l’architecture des serveurs
  • Les bases de la boutique WooCommerce avec 89 000 commandes et les logs de transactions financières
  • Les preuves du circuit de blanchiment crypto et les reçus Tornado Cash
  • Les données des 54 776 cartes bancaires interceptées et les logs du script malveillant

Étape 4 — La destruction

L’exfiltration terminée, Gr0lum efface. Méthodiquement :

  • 4 serveurs vidés puis détruits
  • 7 bases de données critiques supprimées définitivement

Il n’y a pas de sauvegarde accessible. L’infrastructure de neuf ans d’existence disparaît en quelques commandes.

Le message

Avant de tout publier, Gr0lum laisse une dénonciation point par point, adressée directement aux administrateurs. Il nomme Oracle (Francisco, au Maroc) et Destroy (Vladimir, en France), les accuse d’avoir « pris les utilisateurs en otage » pour amasser une fortune, dénonce les DDoS sur la concurrence, la collecte de données bancaires illicites et l’exploitation des bénévoles. Il conclut avec un pique sur la sécurité, s’adressant à Oracle : « D’ailleurs Oracle, la moitié des hash sont encore en md5, c’est pas sérieux l’ami. »

Le 4 mars 2026 au matin, les serveurs de YggTorrent affichent leur dernier message : “L’histoire s’arrête ici.”

Le hack YggTorrent

Et après ? La communauté cherche ses héritiers

Ygg.gratis et le retour aux origines

Dans les heures qui suivent la fermeture, le collectif Utopeer lance Ygg.gratis — un fork pensé comme un retour aux fondamentaux : pas de paywall, gouvernance communautaire, infrastructure transparente. Trop tôt pour dire si le projet tiendra ses promesses, mais l’élan est là.

Un écosystème qui survit

YggTorrent est mort. Le torrent francophone, lui, ne l’est pas. Sharewood, TheOldSchool.eu et d’autres trackers spécialisés continuent d’opérer, souvent avec des communautés plus petites mais plus soudées autour de valeurs partagées.

Ce que cette histoire dit vraiment

La trajectoire de YggTorrent est un miroir tendu à l’ensemble des plateformes communautaires : qu’arrive-t-il quand un projet né de la culture du don et du partage commence à générer des revenus ? La tentation de la monétisation est compréhensible. La dérive, apparemment, inévitable.

Ce qui distingue l’histoire de Ygg, c’est que sa chute n’est pas venue de l’extérieur — pas d’Hadopi, pas d’Europol, pas de saisie spectaculaire. Elle est venue de l’intérieur, d’un utilisateur qui estimait que la trahison des valeurs fondatrices méritait une réponse radicale.

C’est une leçon que les trackers survivants — et plus largement tous les projets communautaires qui flirtent avec la monétisation — feraient bien de méditer.

Le piratage continuera. Mais sous quelle forme, et à quel prix éthique ?

*Sources : Clubic, KultureGeek, Solutions Numériques, L’Observateur, Wikipedia (Ygg), Reddit r/france

updatedupdated2026-04-112026-04-11