YggTorrent blanchissait des millions d’euros en cryptomonnaies à l’insu de ses utilisateurs

Le 3 mars 2026, YggTorrent a fermé ses portes. Pas à la suite d’une décision de justice ou sous l’action de l’ARCOM mais un piratage. Le plus gros site de torrents francophone comptait 6,6 millions de comptes et un million de fichiers référencés. Le tout a été détruit de l’intérieur par un seul individu.

Un hacker appelé Gr0lum a infiltré toute l’infrastructure de YggTorrent. Il a récupéré 19 Go de données internes, puis vidé et détruit les quatre serveurs principaux. Ce que le leak a révélé va bien au-delà d’un simple piratage. On parle d’un réseau de blanchiment de plusieurs millions d’euros. Et d’un script qui scannait les portefeuilles crypto des visiteurs.

À lire aussi : YggTorrent, les 3 meilleures alternatives

YggTorrent se faisait des millions d’euros avec son activité illégale

YggTorrent a longtemps proposé un modèle gratuit. Les utilisateurs téléchargeaient librement et le site vivait de dons. Tout a basculé le 21 décembre 2025. Les administrateurs ont lancé le mode Turbo, un abonnement de 14,99 euros par mois à 85,99 euros pour un accès à vie. Sans cet abonnement, chaque téléchargement imposait 30 secondes d’attente et le site limitait à 5 torrents par jour.

La justification officielle parlait de bots qui fragilisaient la plateforme. Mais la communauté a vite sorti les fourches. Plusieurs équipes d’uploadeurs comme la Team QTZ et Forward ont publié des lettres ouvertes pour dénoncer ce racket. Gr0lum lui-même a été motivé par cette politique payante :« Près de 10 millions d’euros de recettes pour 2024-2025 ne vous ont pas suffi. Vous avez imposé votre mode « Turbo » de merde pour racketter quiconque voulait télécharger plus de cinq fichiers par jour. En profitant de votre monopole, vous avez pris les gens en otage avec un système de quotas ridicule. »

Le circuit de blanchiment d'argent de YggTorrent vaut le détour.

Le schéma est le suivant : les paiements des utilisateurs transitent par des dizaines de faux sites e-commerce (les "shields" CardsShield), arrivent sur PayPal/Stripe sous l'apparence d'achats de t-shirts, puis… https://t.co/VBt4yyXEDh pic.twitter.com/N35vLkiN9f

— Aurea (@AureaLibe) March 4, 2026

Les données volées par Gr0lum montrent que YggTorrent a encaissé entre 5 et 8,5 millions d’euros de revenus en 2024. Le mois de janvier 2026 a atteint 490 000 euros de recettes à lui seul grâce au mode Turbo. Pour un site qui se présentait comme un projet communautaire de partage, les chiffres sont colossaux. Mais le plus grave, c’est le circuit mis en place pour blanchir cet argent.

Comment YggTorrent réussissait à blanchir son argent sale ?

Les abonnements passaient par PayPal et Stripe, deux services de paiement qui bloquent les transactions des activités illégales. Pour tromper leur vigilance, les administrateurs de YggTorrent utilisaient un plugin WooCommerce appelé CardsShield. Ce programme routait les paiements à travers 36 fausses boutiques en ligne aux noms anodins. Sur les relevés bancaires des utilisateurs, un abonnement à YggTorrent ressemblait à un achat de vêtements. Les processeurs de paiement n’y voyaient que du feu.

Le leak a aussi révélé un script PHP qui interceptait en clair les numéros de carte bancaire, les cryptogrammes et les dates d’expiration. Ces données étaient enregistrées avant d’être transmises aux plateformes de paiement. Pas moins de 54 776 cartes bancaires seraient concernées par cette fuite. Sur Reddit, un utilisateur a été débité de 4 000 euros de matériel audio à son insu après un paiement sur le site.

Une fois l’argent collecté via PayPal et Stripe, les administrateurs le convertissaient en USDT puis en Ethereum (ETH). Les fonds passaient ensuite par Tornado Cash, un protocole de mixage qui brouille le traçage des transactions sur la blockchain. Des notes de dépôt Tornado Cash sur le serveur de pré-production prouvent qu’au moins 22 ETH avaient déjà été traités par ce circuit.

La dernière étape ? Convertir les ETH en Monero. Une cryptomonnaie conçue pour rendre les transactions totalement anonymes. L’expéditeur et le destinataire ne sont pas visibles sur la blockchain avec Monero. C’est l’outil préféré des cybercriminels pour récupérer leurs gains.

Les utilisateurs étaient aussi espionnés par les administrateurs

Le leak ne s’arrête pas là. Un script camouflé en gestionnaire d’images scannait le navigateur de chaque visiteur. Le but était de détecter la présence de portefeuilles cryptomonnaies comme MetaMask, Phantom ou Coinbase Wallet. En clair, les administrateurs de YggTorrent espionnaient les actifs numériques de leurs propres utilisateurs. Un fichier CSV de 259 Mo listait les habitudes de navigation de plus de 540 000 personnes sur un an.

L’intrusion de Gr0lum est un cas d’école en cybersécurité. Le hacker a identifié le serveur de pré-production grâce au hash du favicon du site, indexé publiquement sur Shodan. Ce serveur tournait sous Windows Server 2019 avec le pare-feu coupé et l’antivirus neutralisé. Le mot de passe administrateur était stocké en clair dans un fichier d’installation non supprimé.

À partir de là, Gr0lum a rebondi de serveur en serveur via SMB et SSH en trois jours. L’administrateur principal, appelé Oracle, était localisé au Maroc. Son bras droit YggFlop, alias Vlad, opérait depuis la France. Une vingtaine de modérateurs bénévoles faisaient tourner le site sans être payés alors que les deux hommes empochaient des millions.

Dans le cas de YggTorrent dont les torrents sont disponibles sur Ygg.gratis, les autorités françaises n’ont pas encore annoncé l’ouverture d’une enquête judiciaire. Mais le dossier publié par Gr0lum offre une mine d’informations aux services de police spécialisés en cybercriminalité financière. En neuf ans, les blocages des fournisseurs d’accès, les actions de l’ARCOM et les décisions de justice n’ont pas réussi à couler YGGtorrent. Il a suffi d’un seul utilisateur en colère et d’un mot de passe en clair pour que coule ce site qui ne reviendra jamais.

Source : yggleak