Douze interpellations, des crypto-actifs saisis et un préjudice estimé à plusieurs dizaines de millions d'euros pour les ayants droit : la Gendarmerie nationale a annoncé ce 2 juillet le démantèlement du réseau qui opérait YggTorrent. Un épilogue judiciaire pour le plus grand tracker torrent francophone, déjà réduit en cendres en mars dernier… par l'un de ses propres utilisateurs.

© Sharaf Maksumov / Shutterstock
© Sharaf Maksumov / Shutterstock

C'est une annonce presque paradoxale qu'a publiée ce matin la Gendarmerie nationale sur ses réseaux sociaux : le « démantèlement » d'un site qui, techniquement, n'existait plus depuis quatre mois. L'opération, menée par les gendarmes du Commandement du ministère de l'Intérieur dans le cyberespace (CyberGEND), s'est soldée par l'interpellation de douze individus, la saisie de crypto-actifs ainsi que de 45 000 euros de matériel informatique. Le préjudice pour les ayants droit est évalué à plusieurs dizaines de millions d'euros.

Pour comprendre cette opération, il faut remonter au 3 mars 2026 : la nuit où YggTorrent est mort une première fois.

L'arroseur arrosé : quand un hacker fait tomber le site pirate

Neuf ans de blocages DNS ordonnés par la justice, une inscription sur la liste noire de l'ARCOM dès 2023, des dizaines de plaintes des ayants droit : rien n'y avait fait. YggTorrent, héritier de T411 lancé en juillet 2017, avait survécu à tout, changeant d'extension de domaine au gré des décisions de justice, fort de ses 6,6 millions de comptes et de son catalogue de plus d'un million de torrents.

Ce qui a eu raison du géant, ce n'est ni une ordonnance de tribunal ni une perquisition, mais la colère d'un seul homme. Dans la nuit du 3 au 4 mars, un hacker opérant sous le pseudonyme Gr0lum s'introduit dans l'infrastructure du site via un serveur de pré-production mal sécurisé. Selon les éléments qu'il publiera ensuite, la suite relève de l'amateurisme total côté YggTorrent : un mot de passe administrateur retrouvé en clair dans un fichier de configuration lui permet de rebondir de serveur en serveur jusqu'à obtenir le contrôle complet. Il exfiltre 19 Go de données internes, puis détruit les serveurs et les bases de données, sauvegardes comprises.

Le mobile ? La trahison de l'esprit du partage. En décembre 2025, les administrateurs avaient introduit le « mode Turbo », un abonnement payant sans lequel les téléchargements devenaient fortement bridés. Un virage mercantile vécu comme un racket par une partie de la communauté et par Gr0lum, qui a signé son opération d'un dossier au titre évocateur : « YGGtorrent – Fin de partie ».

Un leak qui valait un dossier d'instruction

Au-delà de la destruction, c'est surtout le contenu du leak, baptisé YGGLeak, qui a changé la donne. Selon les documents publiés par Gr0lum, dont l'authenticité et la portée devront être appréciées par l'enquête, YggTorrent aurait fonctionné comme une véritable PME du piratage : un chiffre d'affaires qui aurait atteint 8,5 millions d'euros en 2025, des paiements qui auraient été dissimulés derrière un réseau de dizaines de faux sites e-commerce pour tromper les prestataires de paiement, et un circuit de blanchiment qui serait passé par le mixeur Tornado Cash avant conversion en Monero, cryptomonnaie réputée intraçable.

Le leak évoquait aussi des pratiques plus troubles encore : des dizaines de milliers de numéros de cartes bancaires qui auraient été stockés sur les serveurs, ainsi qu'un profilage des portefeuilles crypto des visiteurs. Des accusations que les anciens administrateurs ont formellement démenties à l'époque, affirmant n'avoir jamais collecté de données bancaires exploitables. Il faudra attendre la procédure judiciaire pour démêler le vrai du faux.

Impossible, à ce stade, de savoir dans quelle mesure les enquêteurs se sont appuyés sur ces données. Le rapprochement est toutefois tentant : la saisie de crypto-actifs mentionnée par la gendarmerie fait écho au système de blanchiment décrit dans le leak, et l'opération intervient quatre mois à peine après sa publication.

Les questions qui restent en suspens

Le communiqué de la gendarmerie, laconique, laisse plusieurs zones d'ombre. On ignore pour l'heure l'identité et le rôle des douze personnes interpellées : administrateurs, modérateurs, uploaders ? Le leak désignait un certain « Oracle » comme administrateur principal, présenté comme étant localisé au Maroc. Fait-il partie du coup de filet, ou une coopération internationale est-elle en cours ?

Autre inconnue de taille : le sort de Gr0lum lui-même. Le hacker, qui revendiquait avoir agi seul, a beau avoir précipité la chute d'un site dans le viseur des ayants droit, son intrusion et la destruction de l'infrastructure n'en restent pas moins des infractions pénales. Autre question sensible : si certaines investigations ont été nourries par les données publiées après le hack, il faudra voir comment ces éléments ont été recoupés et intégrés à la procédure.

Enfin, l'écosystème n'a pas disparu avec YggTorrent. Des plateformes se présentant comme des héritières, une d'entre elles affirme avoir récupéré le catalogue, ont émergé dès mars… sans parler des clones frauduleux qui pullulent. Le démantèlement d'aujourd'hui marque la fin d'un chapitre, pas celle du feuilleton.