Le pirate qui a détruit YggTorrent assure avoir protégé les données personnelles des 6,6 millions d'inscrits. La réalité est plus nuancée, et bien plus inquiétante.
Depuis hier, YggTorrent a définitivement cessé d'exister. L'auteur de l'attaque, « Grolum », a vidé et détruit les serveurs, puis publié un dossier explosif sur yggleak[.]top. Dans la foulée, une archive de 11 Go contenant les données internes du site a été mise en téléchargement libre. D'emblée, Grolum a tenu à rassurer : les informations personnelles des membres, adresses IP, courriels et mots de passe, ont été « délibérément caviardées ». Mais entre ce que le pirate affirme avoir retiré et ce que l'archive contient encore, la frontière est plus poreuse qu'il n'y paraît.
Ce que l'archive YGGLeak expose malgré l'anonymisation
Commençons par ce que Grolum dit avoir supprimé. Les adresses IP de connexion, les adresses de courriel et les empreintes de mots de passe ne figurent pas dans les fichiers rendus publics. C'est le minimum vital pour éviter une identification directe des utilisateurs. Grolum pousse même la provocation en adressant un message à l'ARCOM, le régulateur français de l'audiovisuel : il « garde ça bien au chaud ». Sous-entendu : ces données existent, elles sont en sa possession, mais il choisit de ne pas les diffuser.
Le problème, c'est tout le reste. Selon les premières analyses de l'archive relayées par plusieurs médias spécialisés, les profils des utilisateurs restent associables par pseudonyme. L'âge déclaré, le sexe et surtout l'historique complet des téléchargements sont toujours présents dans les données. Or, dans le domaine de la protection des données, la CNIL distingue clairement l'anonymisation de la pseudonymisation. La première rend toute réidentification impossible. La seconde, non. Et quand un pseudonyme est rattaché à des années d'habitudes de téléchargement, il suffit parfois de croiser ces informations avec d'autres sources pour remonter jusqu'à une personne physique.
Ce n'est d'ailleurs pas le seul sujet d'inquiétude. Le dossier de Grolum a mis au jour des pratiques de collecte de données que les utilisateurs de YggTorrent ignoraient totalement. Dans le code source du site, un fichier nommé « Security.php » contenait un mécanisme qui interceptait les numéros de carte bancaire complets, le cryptogramme visuel et la date d'expiration avant de les transmettre au processeur de paiement. Grolum avance le chiffre de 54 776 cartes bancaires ainsi enregistrées. Le dossier ne peut pas prouver formellement que ces données ont servi à des fraudes, mais il rappelle des témoignages d'utilisateurs sur Reddit signalant des débits frauduleux après avoir payé sur YggTorrent. Un utilisateur rapportait par exemple 4 000 euros de matériel audio commandé à son insu après un paiement via PayPal sur le site.
Autre découverte : un script déguisé en gestionnaire d'images (« ImageCarouselManager ») s'exécutait dans le navigateur de chaque visiteur. En réalité, il scannait la présence de portefeuilles de cryptomonnaies : MetaMask, Phantom, Trust Wallet, Coinbase Wallet, WalletConnect. L'historique du serveur montre que ce fichier avait été volontairement renommé de « security.min.js » en « modal.min.js » pour passer inaperçu. À quoi servait cet inventaire ? Le dossier pose la question sans y répondre définitivement. Mais le croisement entre les données de carte bancaire, les adresses de portefeuilles numériques et le suivi comportemental de chaque visiteur dessine un tableau peu rassurant.
Dernier point technique : Grolum note que la moitié des empreintes de mots de passe étaient encore stockées en MD5, un algorithme obsolète dont le déchiffrement prend quelques secondes avec les outils actuels. Pour un site qui comptait 6,6 millions de comptes, c'est un choix qui en dit long sur le niveau de considération accordé à la sécurité des utilisateurs.
Le paradoxe Grolum : un pirate plus soucieux que les administrateurs
La situation est paradoxale à bien des égards. En caviardant les données d'identification directe, Grolum a objectivement pris plus de précautions envers les utilisateurs de YggTorrent que les administrateurs du site eux-mêmes. Pendant des années, « Oracle » et « Destroy » ont collecté des numéros de carte bancaire en clair, déployé des scripts de surveillance dans les navigateurs, et stocké des mots de passe avec un chiffrement d'un autre âge. Le tout sans en informer personne.
Mais cette bienveillance affichée a ses limites. L'archive est publique, téléchargeable par quiconque, et son contenu n'est contrôlé par personne. Grolum a retiré les données les plus sensibles de sa publication. Rien ne garantit qu'elles ne circulent pas déjà ailleurs, ou qu'elles ne seront pas reconstituées à partir des éléments restants. Le pirate lui-même le concède : « Si cette base fuite un jour avec les données utilisateurs, ce ne sera pas de mon fait. » Une précaution rhétorique qui ressemble aussi à un avertissement.
Pour les 6,6 millions d'utilisateurs concernés, les recommandations sont les mêmes que pour toute fuite de données à grande échelle. Changer immédiatement tout mot de passe réutilisé sur d'autres services. Surveiller ses relevés bancaires si un paiement a été effectué sur YggTorrent. Et garder à l'esprit qu'un pseudonyme associé à un historique de téléchargement n'est jamais tout à fait anonyme.
Le pirate qui a tué YggTorrent voulait exposer ses administrateurs, pas ses utilisateurs. Reste que ces derniers se retrouvent, comme souvent, entre les deux.
