Gr0lum a détruit YggTorrent et publié une archive de 11 Go alors que l’on parle de 6,6 millions de comptes touchés.Et même si le hacker a supprimé certaines données sensibles, la fuite est plus grave qu’une liste de pseudonymes. Voici ce qu’elle contient et surtout ce qu’il faut faire si vous êtes concerné.
Gr0lum a assuré avoir supprimé les adresses IP, les adresses mail et les empreintes de mots de passe avant de publier l’archive. Il a même provoqué l’ARCOM en affirmant que ces données sont « bien au chaud ». En gros, les informations les plus sensibles existent. Elles sont entre ses mains mais le hacker a choisi de ne pas les rendre publiques. Le problème, c’est tout le reste.
À lire : Voici tout ce qu’il faut savoir sur YggLeak, le grand piratage de YggTorrent
Voici le données sensibles en circulation suite au piratage de YggTorrent
Les profils restent identifiables par pseudonyme. L’âge déclaré, le sexe et surtout l’historique des téléchargements figurent toujours dans les fichiers. Et en termes de protection des données, la CNIL fait une distinction très nette entre anonymisation et pseudonymisation. Un pseudonyme ne protège rien si d’autres éléments permettent de remonter à une personne. Un historique de téléchargements que l’on croise avec un pseudonyme utilisé sur d’autres sites suffit largement.
Mais le pire est ailleurs. Le code source de YggTorrent contenait un fichier appelé « Security.php » qui interceptait les numéros de carte bancaire complets, le cryptogramme et la date d’expiration avant de les transmettre au paiement. Gr0lum parle de 54 776 cartes bancaires enregistrées de cette façon. Le dossier ne prouve pas que ces données ont été utilisées pour des fraudes.
Et ce n’est pas tout. Un script déguisé en gestionnaire d’images sous le nom « ImageCarouselManager » tournait dans le navigateur de chaque visiteur. En réalité, il scannait la présence de portefeuilles de cryptomonnaies comme MetaMask, Phantom, Trust Wallet, Coinbase Wallet ou WalletConnect. L’historique du serveur montre que ce fichier avait été volontairement renommé de « security.min.js » en « modal.min.js » pour passer inaperçu.
Si un portefeuille était détecté, les informations remontaient au serveur avec le type de portefeuille, l’adresse IP et l’ID de session. Un fichier CSV de 259 Mo recensait les habitudes de navigation de plus de 540 000 utilisateurs sur un an. En clair, les administrateurs de YggTorrent espionnaient leurs propres membres.
Rappelons que la moitié des empreintes de mots de passe étaient stockées en MD5, un algorithme obsolète. Les outils actuels permettent de déchiffrer un hash MD5 en quelques secondes. Quiconque met la main sur ces empreintes peut retrouver les mots de passe originaux sans difficulté.
À lire : Ygg.gratis prend la place de YggTorrent, un tracker totalement gratuit
Que faire si je suis concerné par la fuite de données YggTorrent ?
La première chose à faire, c’est de changer de suite votre mot de passe sur tous les sites où vous utilisiez le même pseudonyme ou la même adresse mail que sur YggTorrent. C’est la base et c’est urgent. Beaucoup de personnes réutilisent les mêmes mots de passe sur plusieurs site et c’est exactement ce que les pirates exploitent en premier.
Ensuite, si vous avez utilisé une carte bancaire sur YggTorrent, contactez votre banque sans attendre pour faire opposition. C’est possible à tout heure du jour et de la nuit, en continu. Voici les numéros selon votre banque pour effectuer cette démarche :
| Banque | Numéro depuis la France | Numéro depuis l’étranger |
|---|---|---|
| BNP Paribas | 34 77 | +33 1 40 14 44 00 |
| Société Générale | 09 69 39 77 77 | +33 1 76 77 39 33 |
| Crédit Agricole | 09 69 39 92 91 | +33 9 69 39 92 91 |
| Caisse d’Épargne | 09 69 36 39 39 | +33 9 69 36 39 39 |
| Banque Populaire | 01 77 86 24 24 | +33 1 77 86 24 24 |
| La Banque Postale | 09 69 39 99 98 | +33 9 69 39 99 98 |
| LCL | 09 69 32 03 10 | +33 9 69 32 03 10 |
| Crédit Mutuel | 03 88 39 85 78 | +33 3 88 39 85 78 |
| Boursorama Banque | 09 77 40 10 08 | +33 9 77 40 10 08 |
| ING Direct | 01 57 22 54 09 | +33 1 57 22 54 09 |
| Monabanq | 03 88 39 85 78 | +33 3 88 39 85 78 |
| HSBC | 0 800 970 179 | +33 800 970 179 |
Il faut aussi penser à regarder régulièrement vos relevés de compte sur les derniers mois. Sans hésiter, signalez à votre banque le moindre débit suspect. En France, les établissements bancaires ont l’obligation de rembourser les transactions frauduleuses si vous les signalez dans un délai de 13 mois. Faites opposition et demandez une nouvelle carte.
Pour ceux qui ont des portefeuilles de cryptomonnaies, la prudence est de mise. Le script « ImageCarouselManager » a identifié ceux des utilisateurs. Ces informations regroupées avec d’autres données de la fuite permettent du hameçonnage ciblé. Faites preuve de prudence face à tout mail ou message qui mentionne vos cryptomonnaies. Des pirates pourraient jouer sur l’urgence pour vous faire réagir à chaud et dérober vos fonds.
J’ai un compte YggTorrent, est-ce que je risque quelque chose ?
Quant au risque juridique, il existe mais reste à tempérer. Oui, l’ARCOM surveille les réseaux de partage de fichiers et peut envoyer des avertissements. Un premier avertissement, puis une lettre recommandée dans les six mois si l’activité persiste. Puis enfin, des poursuites avec une amende de 1 500 euros.
Rassurez-vous toutefois puisque Gr0lum a gardé les adresses IP pour lui. L’ARCOM n’a donc pas accès à ces données via l’archive publique. En revanche, rien ne garantit que ces informations ne fuiteront pas un jour ou ne seront pas saisies dans le cadre d’une enquête judiciaire.
Pour vérifier si votre adresse mail est concernée par la fuite, le site Have I Been Pwned recense les violations de données majeures. Il est probable que la base de données YggTorrent soit ajoutée dans quelques jours ou semaines. D’ici là, activez la double authentification sur tous vos comptes importants que ce soit mail, banque, réseaux sociaux. C’est le réflexe le plus efficace pour empêcher un accès non autorisé même si votre mot de passe est compromis.
Dans tous les cas, cette fuite remet les pendules à l’heure. Tout site qui stocke vos données est une cible potentielle. Surtout quand il est illégal. YggTorrent n’a jamais été un site de confiance, soyons honnêtes, et ses administrateurs espionnaient leurs propres utilisateurs.
À lire aussi : YggTorrent, les 3 meilleures alternatives
- La fuite YggTorrent laisse des profils identifiables par pseudonyme avec l’âge, le sexe et l’historique des téléchargements.
- Le code source contenait « Security.php » qui interceptait les numéros de carte bancaire complets, le cryptogramme et la date d’expiration, avec 54 776 cartes évoquées.
- Le script « ImageCarouselManager » scannait les portefeuilles de cryptomonnaies et un CSV recense plus de 540 000 utilisateurs sur un an.
Source : YggLeak
Réagissez à cet article !