Imaginez-vous vous connecter un matin sur votre site de torrents préféré, celui que vous utilisez depuis des années sans vraiment vous poser de questions, et découvrir à la place un message glacial : « Fermeture définitive ». C’est exactement ce qui est arrivé dans la nuit du 3 au 4 mars 2026 à des millions d’utilisateurs francophones. YggTorrent, l’indétrônable référence du partage de fichiers en France, n’est plus. Mais cette chute n’est pas venue d’une énième plainte de l’ARCOM ou d’une descente de police. Non. Elle est l’œuvre d’un seul individu, un hacker qui a signé son coup d’éclat sous le pseudonyme de Gr0lum.
En quelques heures, ce dernier a réussi à exfiltrer 19 gigaoctets de données internes, à détruire les quatre serveurs principaux et à siphonner les portefeuilles crypto des administrateurs. Le site est tombé, et avec lui, neuf années d’une domination quasi absolue sur le warez francophone. Mais ce qui choque le plus, ce n’est pas seulement la prouesse technique : ce sont les révélations explosives publiées sur un site miroir baptisé yggleak.top. Elles montrent qu’YggTorrent n’était pas le projet communautaire désintéressé que beaucoup imaginaient, mais une véritable entreprise occulte générant des millions d’euros… et utilisant des méthodes plus que douteuses.
La chute brutale d’un empire du torrent français
Pour comprendre l’ampleur du choc, il faut remonter un peu dans le temps. YggTorrent naît en 2017 sur les ruines de T411, l’ancien mastodonte du P2P francophone qui avait lui-même disparu dans des conditions troubles. Rapidement, Ygg s’impose comme le nouveau roi incontesté : plus de 6,6 millions de membres revendiqués, plus d’un million de fichiers référencés, une communauté très active et une interface qui, même si elle n’a jamais brillé par son design, faisait le job. Beaucoup y voyaient un service rendu à la communauté, un espace de liberté numérique à l’heure où les plateformes légales devenaient de plus en plus restrictives.
Mais depuis quelques mois, des signaux étranges avaient commencé à apparaître. L’introduction du « Mode Turbo », un abonnement payant censé accélérer les téléchargements, avait fait grincer des dents. Les prix allaient de 14,99 € par mois à 85,99 € pour l’offre Premium annuelle. Pour beaucoup, cela sentait la monétisation agressive. Personne n’imaginait à quel point cette intuition était juste.
Ce que Gr0lum a révélé en une nuit :
- Exfiltration de 19 Go de données internes (bases utilisateurs, logs, scripts…)
- Destruction complète des quatre serveurs principaux
- Vol des portefeuilles crypto des administrateurs
- Publication publique de preuves accablantes sur yggleak.top
- Mise en lumière d’un système commercial dissimulé
Le hacker n’a pas agi par simple vandalisme. Il semble avoir eu accès à des informations privilégiées pendant longtemps. Son objectif : faire tomber le masque et montrer au grand jour ce que les administrateurs cachaient derrière l’image du « partage communautaire ».
Une machine à cash bien huilée
Selon les documents publiés par Gr0lum, YggTorrent aurait généré entre 5 et 8,5 millions d’euros de chiffre d’affaires entre 2024 et 2025. Presque 250 000 transactions ont été recensées sur cette période. Ces chiffres, s’ils sont confirmés, placent le site parmi les structures les plus lucratives du warez francophone, loin devant la plupart des concurrents.
Le modèle économique reposait sur plusieurs piliers :
- Publicités très intrusives (pop-under, redirections forcées)
- Vente de comptes VIP et invitations
- Le fameux Mode Turbo et ses abonnements mensuels ou annuels
Mais ce n’est pas tout. Les documents internes montrent que le site utilisait un script PHP nommé Security.php pour capturer les informations de paiement des utilisateurs. Résultat : 54 776 cartes bancaires stockées en clair (numéro, date d’expiration, CVV). Ces données étaient ensuite transmises à des processeurs de paiement offshore basés à Saint-Kitts-et-Nevis, un paradis fiscal bien connu pour sa discrétion.
« Ce n’était pas un site de partage, c’était une usine à cash qui se cachait derrière une façade communautaire. »
Extrait commenté du leak Gr0lum
Plus troublant encore : des scripts de fingerprinting permettaient d’identifier les extensions de portefeuilles crypto installées sur le navigateur des visiteurs (MetaMask, Phantom, Trust Wallet…). Officiellement, il s’agissait de « sécurité ». Dans les faits, cela ressemblait fort à de la préparation pour des attaques ciblées ou de la revente de profils.
Le circuit de blanchiment ultra-sophistiqué
Le point le plus impressionnant du leak concerne sans doute la manière dont les revenus étaient blanchis. Les administrateurs avaient mis en place un système multicouche d’une complexité digne des plus grandes organisations criminelles numériques.
Voici le parcours typique d’un euro entrant sur YggTorrent :
- Paiement par carte via un des 36 sites-écrans déguisés en boutiques de vêtements
- Conversion en USDT sur une plateforme centralisée
- Transfert vers Ethereum (ETH)
- Envoi vers Tornado Cash pour casser la traçabilité on-chain
- Échange final contre du Monero (XMR), la cryptomonnaie la plus privée du marché
Ce circuit n’était pas improvisé. Il était entièrement automatisé. Des scripts exécutaient les conversions en quelques secondes, même pour des montants élevés. Le recours massif à Tornado Cash, protocole aujourd’hui sanctionné par plusieurs gouvernements, montre à quel point les administrateurs étaient conscients des risques et déterminés à rester intraçables.
Pourquoi Monero en bout de chaîne ?
Contrairement à Bitcoin ou Ethereum, dont les blockchains sont publiques et traçables, Monero utilise des signatures en anneau, des adresses furtives et des montants masqués. Une fois les fonds arrivés en XMR, il devient quasi impossible de suivre leur destination finale sans compromettre les nœuds ou les exchanges.
Gr0lum affirme avoir vidé une partie des wallets des administrateurs avant de publier son leak. Même si les sommes exactes restent inconnues, ce coup financier vient s’ajouter à la destruction technique et à l’humiliation publique.
Les conséquences pour la communauté warez francophone
La disparition soudaine d’YggTorrent laisse un vide immense. Des millions d’utilisateurs se retrouvent du jour au lendemain sans leur principale source de contenus francophones. Les forums et chaînes Telegram bruissent déjà de spéculations : va-t-il y avoir un clone ? Une résurrection sous un autre nom ? Les administrateurs avaient d’ailleurs commencé à teaser RageTorrent, présenté comme le successeur spirituel. Mais après un tel leak, il paraît très improbable que le projet voie le jour sous la même direction.
Pour la communauté, c’est aussi une claque psychologique. Beaucoup se sentent trahis. Ce qu’ils pensaient être un acte militant de partage libre s’est révélé être une entreprise très lucrative qui n’hésitait pas à stocker leurs données bancaires en clair et à les monétiser de la manière la plus opaque possible.
Du côté des ayants droit et des autorités, le timing est intéressant. Alors que l’ARCOM intensifie sa lutte contre le streaming et le P2P illicite, ce scandale pourrait servir d’argument supplémentaire pour justifier un durcissement réglementaire. Certains observateurs estiment même que l’État français pourrait profiter de l’occasion pour pousser de nouvelles lois sur la traçabilité des paiements crypto dans le cadre de la lutte contre le blanchiment.
Que nous apprend ce scandale sur le warez en 2026 ?
L’affaire YggTorrent est symptomatique d’une évolution profonde du paysage du piratage ces dernières années. Là où les trackers des années 2010 étaient souvent gérés par des passionnés motivés par l’ego et la reconnaissance, ceux d’aujourd’hui ressemblent de plus en plus à des entreprises structurées, avec business plan, stratégie marketing et optimisation fiscale.
Le recours systématique aux cryptomonnaies privées, aux mixers et aux paradis fiscaux montre que les opérateurs les plus importants ont intégré les mêmes techniques que les cybercriminels professionnels. La frontière entre warez « traditionnel » et cybercriminalité organisée s’est considérablement brouillée.
- Monétisation agressive (abonnements, pubs intrusives)
- Stockage massif de données sensibles
- Blanchiment via crypto et mixers sanctionnés
- Utilisation de sociétés-écrans offshore
Gr0lum, en détruisant YggTorrent, a peut-être mis fin à une ère. Mais il a surtout démontré qu’aucun système, aussi verrouillé soit-il, n’est à l’abri d’une personne déterminée disposant d’un accès interne. Ironiquement, c’est peut-être le plus grand « leak » de l’histoire du warez francophone qui aura eu raison du plus gros site du secteur.
Et maintenant ? Vers quel avenir pour le partage francophone ?
Dans les heures et les jours qui ont suivi la chute, plusieurs initiatives ont vu le jour. Des miroirs temporaires, des trackers alternatifs, des discussions sur la décentralisation via IPFS ou des réseaux peer-to-peer plus résistants. Mais aucun n’a pour l’instant la force de frappe et la bibliothèque d’YggTorrent.
Certains membres appellent à la création d’un nouveau projet 100 % communautaire, sans abonnement, sans publicité agressive et avec une gouvernance transparente. D’autres, plus pessimistes, pensent que l’époque des grands trackers publics centralisés est révolue, tout simplement parce que la cible est devenue trop grosse et trop lucrative pour ne pas attirer les vautours – qu’ils soient hackers vengeurs ou autorités judiciaires.
Ce qui est certain, c’est que l’affaire YggTorrent va laisser des traces durables. Elle a révélé au grand jour les dérives possibles quand le partage « gratuit » rencontre des ambitions financières démesurées. Elle a aussi montré que, même dans l’ombre du web, la transparence finit parfois par s’imposer… à coups de lignes de code et de leaks massifs.
Une chose est sûre : le 4 mars 2026 marquera un tournant dans l’histoire du warez francophone. Et pour beaucoup d’anciens utilisateurs, ce sera le jour où ils ont compris que même les géants du torrent pouvaient tomber en une seule nuit.
Maintenant, reste une question : qui sera le prochain ?
