Le roi est mort… vive le roi ! (Enfin, surtout le roi du piratage qui finit en larme dans les annales de la cybersécurité).
Ce mercredi 4 mars 2026, un tweet a fait l’effet d’une bombe nucléaire au sein de la communauté warez francophone.
Incroyable le hack d’YggTorrent mdr. Ils auraient dû écouter la commu.
Allez voir, c’est super intéressant. https://t.co/fpazXKAeKH— Gost ™ (@_Gost__) March 4, 2026
Après une tornade populaire suite à la mise en place forcée du mode « Turbo » — un véritable passage en force digne d’un 49.3 — la plateforme YggTorrent a rendu l’âme. Mais pas de la manière dont on l’imaginait.
Malgré la fronde des uploaders historiques et une vague de censure digne d’un régime totalitaire sur le forum, le colosse aux pieds d’argile n’est pas tombé sous les coups de la justice, mais à cause… d’un Favicon.
Suite à une cyberattaque éclair survenue le 3 mars 2026, Ygg a définitivement fermé ses portes, l’admin partant évidemment avec la caisse. Voici l’autopsie d’un suicide numérique qui fera date.
Des années de traque judiciaire n’y ont rien fait, mais un hacker engagé et une erreur de configuration monumentale auront suffi à terrasser le géant du torrent français. Chronologie d’un carnage technique.
Phase 1 — La reconnaissance : Merci Shodan
Tout commence par le favicon. Chaque icône de site possède une empreinte numérique unique (hash). En calculant celui d’Ygg et en le cherchant sur Shodan, l’IP réelle du serveur de pré-production sort du bois, sans même avoir besoin de contourner Cloudflare :
http.favicon.hash:456260082
Résultat : 188.253.108.198. Un serveur Windows hébergé sur une VM Hyper-V. Un scan Nmap révèle 13 ports ouverts et un firewall visiblement en RTT prolongé.
| Port | Service | Détail du désastre |
|---|---|---|
| 80 / 443 | HTTP(S) | Apache — Directory listing actif |
| 445 | SMB | Microsoft-DS (signing non requis) |
| 3389 | RDP | Terminal Services (Bureau à distance) |
| 6379 | Redis | Protected mode absent, sans mot de passe |
| 9306 | SphinxQL | La faille critique : accessible sans authentification |
Phase 2 — Open Bar sur le Code Source
Le port 443 servait le DocumentRoot Apache avec le directory listing actif. C’est l’erreur de débutant par excellence. L’intégralité de l’arborescence web était listable, exposant le projet de la future API officielle d’YGGtorrent :
/ (directory listing)
|-- ygg/ → Application CodeIgniter (PHP)
|-- ygg-api/ → API Express.js — CODE SOURCE COMPLET EXPOSE
| |-- .env → Secrets en clair (DB, JWT, etc.)
| |-- src/ → Controllers, Routes, Middlewares
| |-- YGG_API.postman_collection.jsonLe fichier .env contenait des perles : utilisateur root sans mot de passe, secret JWT par défaut (changez_cette_clé_secrète...) et un CORS en wildcard (*). On est au-delà de la négligence, c’est du sabotage à ce niveau.
Phase 4 — SphinxQL, la porte dérobée
Le scan a révélé le service SphinxQL sur le port 9306. Ce moteur de recherche full-text utilise un protocole compatible MySQL. Problème : il était accessible depuis Internet sans aucune authentification. Une simple connexion permettait de dumper les index des utilisateurs (email, nickname, pass, salt).
Mais le coup de grâce vient d’une fonctionnalité native : CALL SNIPPETS avec le paramètre load_files=1. Quand le service tourne avec des privilèges élevés, cela revient à donner un accès en lecture sur tout le disque dur à n’importe qui.
Phase 6 — L’Epic Fail : Le mot de passe dans le Sysprep
C’est ici que l’histoire bascule dans le ridicule. Sur les serveurs Windows déployés automatiquement, le fichier sysprep_unattend.xml est souvent oublié. Ce fichier contient les paramètres d’installation… dont le mot de passe administrateur.
<AutoLogon>
<Username>Administrator</Username>
<Password>
<Value>&)d(5Hj46B7h5^fQF^c(yKYRP</Value>
<PlainText>true</PlainText>
</Password>
</AutoLogon>Bingo. Le mot de passe administrateur du serveur, en clair, récupéré via une simple requête SphinxQL. La partie « hack » est terminée, la suite n’est que de la post-exploitation d’une violence rare.
Phase 11 — L’effet domino (Lateral Movement)
Le hacker a réalisé que l’admin (Destroy) utilisait cette machine de pré-prod comme son propre PC de bureau. En exploitant cet accès, la chute de l’empire s’est accélérée :
- Navigateur déchiffré : Extraction de centaines de mots de passe Chrome (exchanges crypto, mails Proton, hébergeurs).
- FileZilla : Récupération des accès SFTP vers les serveurs de production réels.
- Pivot vers le Tracker (62.112.11.32) : Accès root direct au cœur du système gérant 6,6 millions d’utilisateurs.
- Boutiques WooCommerce : Exfiltration des données personnelles (noms, adresses) de 89 000 clients de la boutique YGG.
Bilan : Le naufrage en chiffres
En 72 heures, l’infrastructure a été cartographiée, pillée, puis méthodiquement annihilée (bases de données supprimées, accès verrouillés, dégradations).
| Métrique | Valeur |
|---|---|
| Serveurs compromis puis détruits | 4 |
| Comptes utilisateurs exposés | 6 629 484 |
| Données exfiltrées | ~19 GB |
| Processeurs de paiement compromis | 13+ |
| Durée de l’opération | ~3 jours |
Conclusion Cyber
Si vous gérez un empire du warez, évitez de laisser votre mot de passe admin dans un fichier de config lisible par tout Internet. La sécurité par l’obscurité a ses limites, surtout quand on oublie d’éteindre la lumière sur ses serveurs de test.
Sources :
https://yggleak.top/fr
https://korben.info/yggtorrent-fermeture-definitive.html