YggTorrent : Décryptage du piratage révélateur du dossier YggLeak

Mise à jour le 2026-03-05 10:15:00 : Le dossier YggLeak dévoile les failles de sécurité qui ont permis le piratage d’YggTorrent, impactant des millions d’utilisateurs.

Table Of Content

La publication du dossier YggLeak suite au piratage d’YggTorrent met en évidence la méthodologie utilisée par Grolum pour compromettre les serveurs du tracker de torrents francophone le plus populaire.

Ce qu’il faut savoir

  • Le fait : Le piratage d’YggTorrent a été réalisé en 15 phases, exploitant des failles de configuration.
  • Qui est concerné : Les utilisateurs d’YggTorrent et les administrateurs de serveurs.
  • Quand : L’attaque a été révélée récemment avec la publication du dossier YggLeak.
  • Où : Principalement en France, où YggTorrent est le tracker de torrents le plus utilisé.

Chiffres clés

  • 4 serveurs compromis
  • 7 bases de données détruites

Concrètement, pour vous

  • Ce qui change : Risques accrus pour la sécurité des données personnelles des utilisateurs.
  • Démarches utiles : Vérifiez la sécurité de vos comptes en ligne.
  • Risques si vous n’agissez pas : Exposition à des vols de données et à des fraudes.

Contexte

Le rapport met en évidence une attaque qui s’est déroulée en 15 phases et l’intrusion est surtout liée à des problèmes de configurations. En effet, l’attaquant a d’abord profité de la fonctionnalité Directory Listing activée sur un serveur web mal configuré, ce qui lui a permis de lister les fichiers à la racine. Mais le véritable problème de sécurité se situe au niveau de Sphinx, le moteur d’indexation utilisé pour la recherche de torrents.

Il s’avère que le service SphinxQL (le langage de requête de Sphinx) était exposé, sur son port par défaut (9306), sans authentification.

« Bon un moteur de recherche accessible sans authentification, c’est déjà un problème. Mais SphinxQL supporte nativement la lecture de fichiers locaux via CALL SNIPPETS, une fonctionnalité prévue pour l’indexation. Quand le service tourne avec des privilèges élevés et qu’il est exposé à Internet sans restrictions, ça revient à donner un accès en lecture sur tout le disque à n’importe qui. », peut-on lire.

La capacité de Sphinx à lire des fichiers locaux marque donc un tournant dans cette attaque. En utilisant des commandes équivalentes au LOAD_FILE de MySQL, l’attaquant a pu effectuer une lecture arbitraire de fichiers. Cela lui a permis d’extraire des fichiers sensibles comme /etc/passwd, les fichiers de configuration Apache/Nginx, et les fichiers contenant les variables d’environnement du site.

Toujours via cette méthode, l’attaquant a pu lire des données sur les serveurs Windows, notamment le fichier sysprep_unattend.xml résultant d’une installation automatisée de serveurs Windows. Ce fichier contenait, en clair, le mot de passe administrateur des serveurs.

« Le mot de passe administrateur du serveur. En clair. Dans un fichier que n’importe qui pouvait lire via SphinxQL. La partie « hack » est terminée. Tout ce qui suit est de la post-exploitation. », peut-on lire.

L’attaquant a pu rebondir vers d’autres serveurs grâce à un accès en lecture et écriture sur le disque C des serveurs Windows, y compris sur l’environnement de pré-production. Il affirme avoir compromis puis détruit 4 serveurs et 7 bases de données.

L’intrusion est donc liée à un service exposé sur Internet et mal configuré : une situation fréquente et qui représente une menace sérieuse. Il suffit de lire les rapports d’attaques pour comprendre qu’un service mal configuré peut ouvrir les portes d’une infrastructure, tout comme un service non maintenu à jour.

Au cœur du code : des scripts malveillants

Ce leak ne se contente pas de montrer comment YggTorrent a été piraté, il révèle également ce que les admins d’YggTorrent faisaient des données des utilisateurs. L’analyse du code source PHP a permis d’identifier deux fichiers suspects :

  • Security.php (skimming bancaire) : ce fichier contenait du code capable d’intercepter et d’enregistrer les informations de cartes bancaires saisies sur les fausses boutiques utilisées pour les paiements.
  • Web3stats.php (fingerprinting) : un script conçu pour scanner les extensions de navigateur liées aux cryptomonnaies (comme MetaMask) afin de profiler les utilisateurs possédant des portefeuilles numériques.

Côté infrastructure financière, le rapport détaille l’utilisation de CardsShield. Ce système permettait de faire passer les paiements pour des dons YggTorrent via une rotation de plus de 36 noms de domaine de « fausses boutiques » trompant ainsi PayPal et Stripe.

« Le schéma est le suivant : les paiements des utilisateurs transitent par des dizaines de faux sites e-commerce (les « shields » CardsShield), arrivent sur PayPal/Stripe sous l’apparence d’achats de t-shirts, puis sont convertis en crypto via PayGate.to et d’autres processeurs. Une fois en crypto, les fonds sont mélangés via Tornado Cash pour couper la trace, puis retirés vers des wallets anonymes. », peut-on lire.

Si vous souhaitez connaître tous les détails techniques, consultez cette page. Je pense que cette affaire n’a pas encore livré tous ses rebondissements… À suivre.

Sources

Source : IT-Connect

Visuel d’illustration — Source : www.it-connect.fr

Source d’origine : Voir la publication initiale

Date : 2026-03-05 10:15:00 — Site : www.it-connect.fr

Auteur : Cédric Balcon-Hermand — Biographie & projets

Application : Téléchargez Artia13 Actualité (Android)

Notre IA anti-désinformation : Analyzer Fake News (Artia13)

Publié le : 2026-03-05 10:15:00 — Slug : comment-sest-deroule-le-piratage-de-yggtorrent

Hashtags : #Comment #sest #déroulé #piratage #YggTorrent

Partager ici :
Tags:
Leave a Comment

Comments

No comments yet. Why don’t you start the discussion?

Laisser un commentaire