Illustration : Flock
YggTorrent est mort, mais il bouge encore. Le message affiché sur la page d’accueil change, répond à certaines accusations et propose désormais les noms de domaine à la vente… « exclusivement pour un projet légal ». Pendant un temps, un compte à rebours annonçait un retour, sous la forme Ygg tout court.
Mise à jour du 13 mars à 8h15. La page a de nouveau été modifiée, le compte à rebours supprimé. Un nouveau message annonce désormais que « le relancement initialement envisagé est abandonné, faute des conditions nécessaires pour poursuivre le projet dans un contexte marqué par des cyberattaques répétées ». YGGtorrent remonte aussi la piste de Gr0lum. L’actualité a été mise à jour en conséquence.
Mise à jour du 6 mars à 12h55. Le compte à rebours est de retour, toujours avec un rendez-vous lundi à 21h.
Article du 6 mars à 9 h 33. En début de semaine, le site YggTorrent annonçait sa fermeture, suite à un piratage massif de ses données : pas moins de 30 Go ont été publiées avec des informations sur le code source, les utilisateurs, bancaires, etc. Le pirate expliquait aussi en détail comment il était entré dans les serveurs.
Le message de l’équipe d’YggTorrent était alors clair, sans ambiguïté : il débutait par « Fermeture définitive de YggTorrent » et se terminait par « L’histoire s’arrête ici ». Une « reconstruction serait techniquement possible », affirmait l’équipe, mais elle ne souhaitait pas « continuer dans un climat d’acharnement permanent ». Mais en fait non, l’histoire ne s’arrête pas là.
Nouveau message, toujours une « fermeture définitive »
Un nouveau texte a été mis en ligne sur le site de YggTorrent. Il est plus court et moins dans l’émotion que le premier et donne de nouvelles informations. Tout d’abord, le site affirme qu’« aucune donnée bancaire n’a jamais été collectée ni stockée par nos systèmes, et l’ensemble des mots de passe des comptes actifs étaient protégés par un hachage cryptographique sécurisé ». Il était auparavant précisé que les mots de passe étaient « hachés et salés ».
Il n’est plus du tout question des « portefeuilles crypto destinés uniquement au financement des serveurs, représentant plusieurs dizaines de milliers d’euros, [qui] ont également été dérobés (un détail que certains choisiront d’ignorer) ». Le site affirme que « les auteurs de l’attaque multiplient les déclarations mensongères […] Ils déforment les faits, fabriquent de fausses preuves et comptent sur la confusion pour imposer leur version ». À ce petit jeu, l’équipe d’YggTorrent semble aussi participer…
Offre légale mise en avant, l’intégralité des noms de domaine est à vendre
Enfin, comme précédemment, l’offre légale est mise en avant : « Ne vous laissez pas tromper et tournez-vous plutôt vers les nombreuses solutions légales désormais disponibles ». Le site est désormais divisé en deux, avec la partie droite qui met en avant les plateformes légales comme Netflix, Canal+, Disney+, Prime, France.tv, Arte…
Il est par ailleurs précisé que « l’intégralité de nos noms de domaine est à vendre, exclusivement pour un projet légal, sans aucun lien avec le torrenting ni le téléchargement d’œuvres protégées. Les demandes non sérieuses seront ignorées ».
Il y a peu, un compte à rebours annonçait… un retour d’Ygg
Mais ne pensez pas que l’histoire s’arrête là ! Avant cette mise en vente, il y a eu un retour annoncé de Ygg (sans le Torrent) avec un compte à rebours, comme le rapporte ZDNet, avec le message « Quelque chose se prépare », et une phrase en russe : « il est trop tôt pour nous enterrer ». Le rendez-vous était pour lundi 16 mars à priori, mais le compte à rebours a disparu… pour l’instant ? Le site est cette semaine en mode girouette, bien malin celui qui arrive à prévoir le prochain coup.
En effet, quelques heures avant la capture d’écran de ZDNet, un utilisateur sur X faisait état d’encore une nouvelle version du site, déjà avec un compte à rebours, mais surtout avec un « communiqué », que l’on retrouve aussi sur Reddit. Le message affirmait déjà qu’« aucune donnée bancaire n’a jamais été collectée, stockée ni traitée par nos systèmes ».
Le communiqué ajoutait que « notre architecture n’a à aucun moment intégré de module de stockage d’informations de cartes de paiement. Les allégations contraires sont factuellement fausses […] Le recours au hachage MD5 évoqué concerne exclusivement moins de 3 % des comptes utilisateurs ». Communiqué qui n’est aujourd’hui plus disponible.
Selon le texte qui était alors disponible, le site rejette la faute du piratage sur son hébergeur, sauf que comme l’a montré Grolum dans sa longue explication, cela ne colle pas vraiment avec ses explications.
Retour du compte à rebours
Dans la matinée, le compte à rebours était de retour, comme nous l’a signalé Droup dans les commentaires. Le reste du message, y compris la vente des noms de domaine, est le même. Seule différence, le mot Torrent de YggTorent est barré.
On retrouve donc le message « YggTorrentest mort », « Quelque chose se prépare » et « Non omnis moriar ». Du latin qui, d’après DeepL, se traduirait par « Je ne mourrai pas complètement ». Rendez-vous lundi à 21h… du moins si le compte à rebours reste en place et annonce vraiment quelque chose. Le code source de la page ne semble pas cacher de secret particulier.
Encore une « fermeture définitive » de YGGtorrent (et YGG)
Finalement, pas besoin d’attendre lundi 16 mars. Hier, un nouveau message est arrivé : « YGGtorrent / YGG. Fermeture définitive ». La « fermeture définitive de YggTorrent » avait déjà été annoncée au début de cette affaire. Le billet de l’époque se terminait par « l’histoire s’arrête ici »… autant dire que c’est loin d’être le cas.
Cette nouvelle « fermeture définitive » concerne cette fois-ci aussi bien YGGtorrent que le nouveau projet YGG. La suite du message ne laisse aucune place au doute :
« Après plusieurs années d’activité, nous mettons fin à l’ensemble des services YGGtorrent / YGG (site, tracker et infrastructure). Le relancement initialement envisagé est abandonné, faute des conditions nécessaires pour poursuivre le projet dans un contexte marqué par des cyberattaques répétées […] Aucun retour n’est prévu. Méfiez-vous des sites ou services se présentant comme des alternatives dans les semaines à venir : la plupart sont malveillants. Restez vigilants ».
L’offre légale est de nouveau vantée, et la vente des noms de domaine – « qui continuent de générer un volume de trafic significatif » – toujours d’actualité. YGGtorrent annonce aussi que « l’auteur de l’intrusion et de la fuite de données a été identifié », avec un lien vers cette page.
Pour YGGtorrent, pas de doute : « Gr0lum est @uwudev »
L’équipe de YGGtorrent y affirme que Gr0lum aurait envoyé un email « exigeant 300 XMR (plus de 100 000 $) en échange du non-leak des données de l’infrastructure ». Refus de YGGtorrent et publication des données, comme nous l’avons expliqué.
Ils ajoutent que Gr0lum aurait aussi envoyé un « faux signalement à Cloudflare prétendant que ygg.guru sert de serveur C2 pour un ransomware », puis « compile un véritable ransomware intégrant un appel vers ygg.guru/api/health ». « Cette opération a porté ses fruits : à la suite de ces faux signalements, le domaine ygg.guru a été placé en onhold par le registrar, rendant le nouveau site inaccessible ».
L’équipe de YGGtorrent remonte ensuite la piste de Gr0lum pour essayer de trouver qui se cache derrière ce pseudo. Leur enquête aurait porté ses fruits (on passe directement à la conclusion) : « Les éléments présentés dans ce dossier ne laissent aucun doute : Gr0lum est @uwudev. Il n’agit pas seul. D’autres individus, étroitement liés au milieu de la cybercriminalité, l’ont assisté dans ses activités ».
L’article se termine par un message adressé à Gr0lum : « Nous nous arrêterons à la révélation du pseudo. Le reste est entre les mains de ceux que ça concerne. Ce dossier ne représente qu’une fraction de ce que nous détenons ».
Aucune nouvelle publication pour le moment sur Yggleak, le site mis en place par Gr0lum pour publier les données et informations qu’il avait récupérées sur YGGtorrent et son infrastructure.
La suite au prochain épisode ?
'%3e%3cpath%20d='M72.6964%200.0625H38.5564L10.9388%2019.9971L0.383789%2052.2715L10.9388%2084.5314L38.5564%20104.466H72.6964L100.314%2084.5314L110.869%2052.2715L100.314%2019.9971L72.6964%200.0625Z'%20fill='white'/%3e%3cpath%20d='M68.7509%2062.065C73.4679%2061.5587%2077.9957%2059.7938%2081.6644%2056.7993C84.9983%2054.0941%2087.5461%2050.5209%2088.2304%2046.2099C89.1621%2040.6549%2086.2941%2034.7671%2081.446%2031.8449C79.7572%2030.7599%2077.8646%2030.1234%2075.9138%2029.7183C74.2395%2029.3711%2072.5216%2029.2265%2070.8183%2029.2265H58.8802L48.6746%2052.5462C44.9039%2052.7053%2041.2206%2053.0959%2038.0468%2053.5154L55.5172%2015.4111H44.307L20.4746%2067.3597L30.4909%2065.1174C30.5783%2065.103%2036.722%2063.7431%2044.0595%2063.0343L32.6456%2089.1171L44.0013%2084.7772C63.5244%2077.327%2074.487%2080.553%2081.7518%2082.694C81.9993%2082.7663%2082.2468%2082.8387%2082.4797%2082.911L85.3769%2073.1896C85.1294%2073.1173%2084.8819%2073.045%2084.6489%2072.9726C78.4033%2071.1354%2067.7173%2067.9818%2051.3097%2071.9021L55.3716%2062.6292C60.3215%2062.528%2064.8783%2062.4846%2068.7509%2062.065ZM65.548%2039.3674H69.2023C71.0803%2039.4108%2073.3223%2039.1938%2075.0694%2039.8737C77.8355%2040.9297%2078.9565%2043.7507%2077.4715%2046.4125C76.336%2048.5535%2073.9484%2050.246%2071.8519%2051.0851C68.0521%2052.4015%2063.8884%2052.199%2059.812%2052.4739L65.548%2039.3674Z'%20fill='%2300CFB3'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_206_9747'%3e%3crect%20width='110.485'%20height='104.403'%20fill='white'%20transform='translate(0.383789%200.0625)'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
