Le 4 mars 2026 au matin, YggTorrent n’affiche plus rien. La page blanche remplace l’index torrent le plus fréquenté du monde francophone. Dans la nuit, un attaquant solitaire a vidé les serveurs, effacé les bases, et posté 11 Go de données internes sur un site d’un genre nouveau: yggleak[.]top. L’archive, tristement baptisée YGGLeak, contient les entrailles d’une plateforme qui brassait des millions d’euros.

Ce n’est pas la première fois qu’un site pirate disparaît sans prévenir. Ce qui rend l’épisode inédit, c’est la méthode et la justification. L’auteur se fait appeler Gr0lum, avec un zéro, et il n’a pas seulement cassé la boutique: il a rendu publiques les preuves de ce que les administrateurs cachaient. Ce dossier n’est pas un simple vandalisme. C’est un acte qui, pour beaucoup d’utilisateurs, transforme la crainte d’une coupure en véritable alerte sur leurs propres données.

Qui se cache derrière Grolum

À ce jour, l’identité de Grolum reste inconnue. Le pseudonyme, orthographié avec un 0, est apparu pour la première fois le 3 mars 2026 sur des forums techniques. Aucune revendication préalable, aucun historique public. L’individu, s’il est seul, prétend avoir agi sans complice, motivé par le désir de dénoncer un « système mafieux » derrière YggTorrent.

Les indices sont minces. Une interview publiée le 16 mars 2026 sur le forum planete-warez.net détaille ses motivations, la chronologie de l’attaque et quelques détails techniques. L’échange, long et frotté d’un jargon d’admin système, dénote une maîtrise réelle des bases de données et des architectures web. Grolum y affirme avoir « détesté » ce que la plateforme était devenue: une pompe à fric qui sniffait les transactions bancaires de ses propres membres.

Ce qui intrigue les observateurs, c’est la déconnexion entre le discours idéologique et la violence de l’opération. Grolum parle de « nettoyage » et de « rendre aux utilisateurs leurs propres données », mais son action efface tout et expose les logs. En pratique, les utilisateurs n’ont repris le contrôle de rien: ils découvrent simplement que leurs requêtes torrent, leurs adresses IP et parfois leurs dons sont désormais publics.

L’intrusion par injection SQL: ce qui a réellement fait tomber le site

Si vous imaginez un hacker armé d’un arsenal de zero-days, vous êtes à côté de la réalité. D’après les déclarations de Grolum et les analyses des premiers experts, l’attaque a exploité une vulnérabilité simple, connue depuis des années: une injection SQL.

YggTorrent utilisait le moteur de recherche full-text Sphinx, en version communautaire. L’interface d’interrogation, SphinxQL, acceptait des requêtes dont les paramètres n’étaient pas correctement assainis. En envoyant des commandes spécialement forgées, l’attaquant a pu exécuter des opérations non prévues: lire les tables de la base, extraire du contenu, puis, au bout du processus, supprimer des données.

Cette faille de type injection ne demande ni compétences exceptionnelles, ni outillage coûteux. Le fait qu’elle soit restée exploitable en mars 2026 sur une plateforme manipulée par des millions d’euros en dit long sur l’hygiène de sécurité interne. Les administrateurs, concentrés sur la monétisation de leur trafic et le contournement des blocages DNS, ont visiblement négligé la couche applicative.

Une fois le noyau de la base extrait, Grolum aurait poussé l’avantage pour exfiltrer près de 30 Go de données avant de supprimer les copies principales. L’archive redistribuée, elle, pèse 11 Go compressés. Elle inclut des logs de navigation, des historiques de recherche, des identifiants techniques et des traces de transactions financières.

Ce que l’archive YGGLeak expose vraiment

Le contenu de l’archive a surpris par ce qu’il contient et par ce qu’il ne contient pas.

Des mots de passe en clair ont été trouvés dans les fragments analysés. Les hashs, eux, sont présents, mais il ne s’agit pas d’une base d’authentification complète. L’essentiel des 11 Go se compose de logs internes, d’horodatages, d’adresses IP d’utilisateurs, de données sur les torrents téléchargés et, point plus critique, de traces de paiement.

Les historiques de dons et de souscriptions ont révélé un système de sniffing bancaire organisé. Plusieurs utilisateurs ont rapporté après coup des débits frauduleux: un membre de Clubic cite un cas de 4 000 euros de matériel audio commandé à son insu après un paiement via PayPal sur le site. Les logs montrent que les administrateurs capturaient certaines informations de transaction pour les réutiliser à des fins personnelles. L’archive contient des preuves de détournement de fonds et de comptes bancaires associés à des achats tiers.

Par ailleurs, les pseudonymes utilisés sur YggTorrent n’étaient pas cloisonnés de manière étanche. Par recoupement avec d’autres sources, il devient possible d’associer un pseudo sur le site à une adresse mail ou à une identité civile lorsque l’utilisateur réemployait les mêmes informations ailleurs. La pseudonymisation partielle mise en place par les admins n’a pas protégé du croisement externe.

Un business illégal à plus de 10 millions d’euros

L’affaire YggTorrent illustre à quel point une plateforme pirate peut devenir une machine à cash. Selon les éléments extraits par Grolum et repris par IT-Connect, les recettes de la plateforme auraient atteint 10 millions d’euros sur l’exercice 2024-2025. Un chiffre qui provient des dons, des abonnements à des offres premium, et de la vente d’espaces publicitaires discrets mais lucratifs.

Ce modèle reposait sur plusieurs millions de visiteurs mensuels, attirés par un catalogue francophone pléthorique. L’abonnement « VIP » permettait de sauter les files d’attente et de profiter d’un débit prioritaire, le tout sans publicité. Un abonnement autour de 10 euros par mois pouvait sembler modique, mais multiplié par une base de donateurs fidèles, il générait des flux constants.

Les administrateurs ne se contentaient pas de collecter de l’argent via des dons déguisés. Ils avaient mis en place des scripts de sniffing qui captaient des informations bancaires lors des transactions. C’est ce que contient l’archive: des traces de portefeuilles cryptomonnaies, des coordonnées bancaires partielles, et des historiques d’achats personnels effectués avec les fonds détournés. La logique de profit court-circuitait toute notion de respect des utilisateurs, qui croyaient simplement financer l’infrastructure.

Vous étiez sur YggTorrent: les gestes qui protègent vos comptes

Si vous avez utilisé YggTorrent, l’urgence n’est pas de retrouver un site miroir. Elle est de réduire la surface d’exposition laissée par votre activité sur la plateforme.

D’abord, changez immédiatement le mot de passe de votre compte YggTorrent sur tous les services où vous l’auriez réutilisé. Ce n’est pas le vol du mot de passe YggTorrent qui menace, mais le fait que, combiné à votre adresse email, il pourrait ouvrir d’autres accès. Utilisez un gestionnaire de mots de passe pour générer des identifiants uniques par service.

Ensuite, surveillez vos comptes bancaires. Les débits frauduleux déclarés après l’attaque ne sont pas systématiques, mais le sniffing documenté dans l’archive montre que certaines transactions ont été détournées. Activez les alertes SMS ou push de votre banque pour chaque paiement. Si vous constatez une opération que vous n’avez pas initiée, faites opposition sans attendre.

Enfin, activez l’authentification à deux facteurs partout où elle est proposée. Une IP exposée dans les logs ne compromet pas directement un compte protégé par 2FA. C’est le premier rempart contre les tentatives d’usurpation qui pourraient utiliser des informations croisées.

Gardez en tête que beaucoup d’utilisateurs cherchent déjà des portes de sortie vers d’autres indexeurs de torrents ou des sites miroirs promettant de restaurer l’accès. Ces plateformes alternatives, souvent bricolées en urgence, ne garantissent pas une sécurité supérieure. Pire, certaines pourraient capitaliser sur la panique pour collecter de nouvelles données.

Grolum, simple vandale ou lanceur d’alerte? La qualification pénale

Sur le plan strictement légal, l’action de Grolum n’a rien d’un service d’utilité publique. En droit français, l’accès non autorisé à un système de traitement automatisé de données, la modification et la suppression de ces données, ainsi que leur diffusion non consentie constituent des infractions pénales distinctes. Le Code pénal punit la contrefaçon de 300 000 euros d’amende et 3 ans d’emprisonnement, auxquels peuvent s’ajouter des peines liées à l’intrusion et au vol de données.

Les motivations alléguées (dénoncer des pratiques mafieuses) ne constituent pas un fait justificatif. Un tribunal ne retiendra pas le statut de lanceur d’alerte pour une personne qui supprime l’intégralité d’une base de données et expose les informations personnelles de tiers sans filtre. En janvier 2026, la jurisprudence n’offre aucun précédent de ce type ayant abouti à une relaxe.

En revanche, le dossier fragilise juridiquement les administrateurs de YggTorrent. Les éléments de l’archive fournissent aux autorités des preuves solides d’escroquerie en bande organisée, de blanchiment et de collecte frauduleuse de données bancaires. L’avantage tactique pour les enquêteurs est réel. Mais cela ne transforme pas l’attaquant en héros: il reste poursuivable.

Pour les utilisateurs, le périmètre légal est plus clair. Le téléchargement en soi était déjà illégal. Mais c’est désormais l’exposition de leurs données personnelles qui constitue le préjudice immédiat. Le RGPD, qui ne protège pas les activités illégales, ne leur offre aucun recours direct. La responsabilité de l’exposition repose sur l’attaquant, pas sur la plateforme disparue.

Questions fréquentes

Grolum a-t-il été identifié ou arrêté?

Non. Aucune interpellation n’a été rendue publique à la date de publication de cet article. Le pseudonyme Gr0lum reste sans visage, et les enquêteurs ne communiquent pas sur l’avancement des investigations.

YggTorrent peut-il renaître un jour?

Les serveurs d’origine ont été vidés et les bases de données structurelles supprimées. Reconstruire un catalogue à l’identique demanderait des mois de travail et une confiance que les anciens administrateurs ne pourront pas retrouver. Une réouverture sous un autre nom n’est pas exclue, mais elle serait une plateforme distincte, sans lien technique avec le YggTorrent de 2017-2026.

Comment savoir si mes données sont dans l’archive YGGLeak?

L’archive a circulé sur des canaux privés et certains agrégateurs de fuites l’ont indexée. Le service haveibeenpwned n’a pas encore intégré YggTorrent dans sa base à ce jour. Reste que si vous utilisiez un pseudonyme unique croisé avec la même adresse mail sur d’autres services, le risque de corrélation est déjà présent.

Pourquoi ne pas simplement ouvrir un autre compte sur un autre tracker?

Vous pouvez. C’est même ce que beaucoup ont fait. Mais la question posée par l’affaire n’est pas « comment continuer à télécharger »; c’est « que signifie confier son activité et parfois ses moyens de paiement à une infrastructure opaque, légale ou non ». La réponse, Grolum vient de la donner de manière brutale.

Quiz personnalisé

Votre recommandation sur grolum

Quelques questions rapides pour adapter la recommandation à votre cas.

Q1Votre situation sur grolum ?
Q2Votre priorité ?
Q3Votre horizon ?