Le pirate qui a détruit YggTorrent assure avoir protégé les données personnelles des 6,6 millions d'inscrits. La réalité est plus nuancée, et bien plus inquiétante.
Depuis hier, YggTorrent a définitivement cessé d'exister. L'auteur de l'attaque, « Grolum », a vidé et détruit les serveurs, puis publié un dossier explosif. Dans la foulée, une archive de 11 Go contenant les données internes du site a été mise en téléchargement libre. D'emblée, Grolum a tenu à rassurer : les informations personnelles des membres, adresses IP, courriels et mots de passe, ont été « délibérément caviardées ». Mais entre ce que le pirate affirme avoir retiré et ce que l'archive contient encore, la frontière est plus poreuse qu'il n'y paraît.
Ce que l'archive YGGLeak expose malgré l'anonymisation
Commençons par ce que Grolum dit avoir supprimé. Les adresses IP de connexion, les adresses de courriel et les empreintes de mots de passe ne figurent pas dans les fichiers rendus publics. C'est le minimum vital pour éviter une identification directe des utilisateurs. Grolum pousse même la provocation en adressant un message à l'ARCOM, le régulateur français de l'audiovisuel : il « garde ça bien au chaud ». Sous-entendu : ces données existent, elles sont en sa possession, mais il choisit de ne pas les diffuser.
Le problème, c'est tout le reste. Selon les premières analyses de l'archive relayées par plusieurs médias spécialisés, les profils des utilisateurs restent associables par pseudonyme. L'âge déclaré, le sexe et surtout l'historique complet des téléchargements sont toujours présents dans les données. Or, dans le domaine de la protection des données, la CNIL distingue clairement l'anonymisation de la pseudonymisation. La première rend toute réidentification impossible. La seconde, non. Et quand un pseudonyme est rattaché à des années d'habitudes de téléchargement, il suffit parfois de croiser ces informations avec d'autres sources pour remonter jusqu'à une personne physique.
Ce n'est d'ailleurs pas le seul sujet d'inquiétude. Le dossier de Grolum a mis au jour des pratiques de collecte de données que les utilisateurs de YggTorrent ignoraient totalement. Dans le code source du site, un fichier nommé « Security[.]php » contenait un mécanisme qui interceptait les numéros de carte bancaire complets, le cryptogramme visuel et la date d'expiration avant de les transmettre au processeur de paiement. Grolum avance le chiffre de 54 776 cartes bancaires ainsi enregistrées. Le dossier ne peut pas prouver formellement que ces données ont servi à des fraudes, mais il rappelle des témoignages d'utilisateurs sur Reddit signalant des débits frauduleux après avoir payé sur YggTorrent. Un utilisateur rapportait par exemple 4 000 euros de matériel audio commandé à son insu après un paiement via PayPal sur le site.
Autre découverte : un script déguisé en gestionnaire d'images (« ImageCarouselManager ») s'exécutait dans le navigateur de chaque visiteur. En réalité, il scannait la présence de portefeuilles de cryptomonnaies : MetaMask, Phantom, Trust Wallet, Coinbase Wallet, WalletConnect. L'historique du serveur montre que ce fichier avait été volontairement renommé de « security[.]min[.]js » en « modal[.]min[.]js » pour passer inaperçu. À quoi servait cet inventaire ? Le dossier pose la question sans y répondre définitivement. Mais le croisement entre les données de carte bancaire, les adresses de portefeuilles numériques et le suivi comportemental de chaque visiteur dessine un tableau peu rassurant.
Dernier point technique : Grolum note que la moitié des empreintes de mots de passe étaient encore stockées en MD5, un algorithme obsolète dont le déchiffrement prend quelques secondes avec les outils actuels. Pour un site qui comptait 6,6 millions de comptes, c'est un choix qui en dit long sur le niveau de considération accordé à la sécurité des utilisateurs.
Le paradoxe Grolum : un pirate plus soucieux que les administrateurs
La situation est paradoxale à bien des égards. En caviardant les données d'identification directe, Grolum a objectivement pris plus de précautions envers les utilisateurs de YggTorrent que les administrateurs du site eux-mêmes. Pendant des années, « Oracle » et « Destroy » ont collecté des numéros de carte bancaire en clair, déployé des scripts de surveillance dans les navigateurs, et stocké des mots de passe avec un chiffrement d'un autre âge. Le tout sans en informer personne.
Mais cette bienveillance affichée a ses limites. L'archive est publique, téléchargeable par quiconque, et son contenu n'est contrôlé par personne. Grolum a retiré les données les plus sensibles de sa publication. Rien ne garantit qu'elles ne circulent pas déjà ailleurs, ou qu'elles ne seront pas reconstituées à partir des éléments restants. Le pirate lui-même le concède : « Si cette base fuite un jour avec les données utilisateurs, ce ne sera pas de mon fait. » Une précaution rhétorique qui ressemble aussi à un avertissement.
Pour les 6,6 millions d'utilisateurs concernés, les recommandations sont les mêmes que pour toute fuite de données à grande échelle. Changer immédiatement tout mot de passe réutilisé sur d'autres services. Surveiller ses relevés bancaires si un paiement a été effectué sur YggTorrent. Et garder à l'esprit qu'un pseudonyme associé à un historique de téléchargement n'est jamais tout à fait anonyme.
Le pirate qui a tué YggTorrent voulait exposer ses administrateurs, pas ses utilisateurs. Reste que ces derniers se retrouvent, comme souvent, entre les deux.
À toutes fins utiles
On vous le rappelle souvent chez Clubic et on continuera de le faire.
Il est tout à fait interdit de télécharger des œuvres protégées par le droit d'auteur ou d’autres droits de propriété intellectuelle sans l’autorisation des titulaires de ces droits. Clubic recommande expressément aux utilisateurs de son site et aux tiers de respecter scrupuleusement ces droits ; étant rappelé qu’en France la violation des droits d’auteurs est constitutive du délit de contrefaçon puni d’une peine de 300 000 euros d’amende et de 3 ans d'emprisonnement (art. L. 335-2 s. CPI) et qu’il existe également des sanctions spécifiques en cas de contournement de mesures techniques de protection (art. L. 335-3-1 et L.335-3-2 CPI).
En outre, le titulaire de l’abonnement à internet doit veiller à l’usage licite de sa connexion, sauf à s’exposer au risque de contravention de négligence caractérisée sanctionnée par une peine d’amende de 1 500 € pour les personnes physiques. En cas d’utilisation d’un logiciel P2P pour télécharger ou mettre à disposition des œuvres protégées par le droit d’auteur, sans autorisation, le titulaire de la connexion à internet pourra être destinataire de recommandations de l’Arcom et, en cas de constats répétés, être poursuivi sur le fondement de la contravention de négligence caractérisée.
