Ressusciter un tracker torrent mort et découvrir 3 millions de pairs

 (kianbradley.com)
1 points par GN⁺ 2025-06-18 | 1 commentaires | Partager sur WhatsApp
  • L’auteur a acquis le domaine d’un tracker torrent mort et a exploité lui-même opentracker
  • Après avoir relancé le tracker, 1,7 million de torrents et 3,1 millions de pairs ont automatiquement tenté de s’y connecter
  • Dans le protocole BitTorrent, le tracker joue un rôle centralisé et, sans lui, le partage de fichiers devient difficile
  • Il existe aussi des alternatives décentralisées comme Mainline DHT, mais elles présentent des limites et des vulnérabilités
  • En raison des risques juridiques, il a finalement supprimé le domaine et le VPS

Aperçu

  • En téléchargeant des torrents comme des ISO Linux, l’auteur a constaté que la plupart des trackers étaient hors service
  • Il s’est aperçu que le tracker « mort » (udp://open.demonii.si:1337/announce) n’était plus enregistré
  • Il a acheté ce domaine, installé opentracker sur un VPS et a essayé d’exploiter un vrai tracker

Qu’est-ce qu’un tracker BitTorrent ?

  • Dans le protocole BitTorrent, un tracker remplit le rôle de service central qui aide les pairs (utilisateurs) à se connecter entre eux
  • Si le tracker ne fonctionne plus, les utilisateurs ne peuvent plus se trouver, ce qui empêche le partage de fichiers
  • Lorsque les trackers ne sont pas maintenus ou subissent une pression juridique, les utilisateurs en subissent les conséquences

Alternatives décentralisées (DHT) et leurs limites

  • Mainline DHT permet de rechercher des pairs via un réseau distribué sans tracker
  • La DHT présente toutefois des limites, comme la dépendance à des nœuds de bootstrap et une vulnérabilité aux attaques Sybil
  • Dans le cas du torrent testé par l’auteur, aucun pair n’a été trouvé, même via la DHT

Mise en place du tracker

  • Après avoir acheté le domaine, il l’a relié à un VPS anonyme
  • Il a utilisé opentracker (le logiciel de tracker torrent le plus utilisé) pour mettre rapidement en place un serveur de tracking
  • Une fois le système lancé, il a constaté un afflux massif de trafic sur le port UDP 1337
  • En une heure, les statistiques indiquaient des tentatives de connexion de 1,73 million de torrents et 3,15 millions de pairs

Statistiques du tracker (Stats)

  • Vérification de 1 735 538 torrents, 3 155 701 pairs, 1 342 504 seeders (copies complètes) et 244 224 téléchargements terminés
  • Agrégation de données sur différents types de requêtes, notamment les connexions TCP/UDP, announce et scrape
  • Analyse également des statistiques de connexion et d’erreur, avec un faible volume d’erreurs de paramètres (400 Invalid Parameter) et de 404 Not Found

Enjeux juridiques

  • La promotion d’un site public, de fichiers .torrent et la monétisation publicitaire peuvent entraîner des problèmes juridiques en tant qu’incitation à la violation du droit d’auteur
  • Le simple fait d’exploiter uniquement l’infrastructure du tracker rend la responsabilité juridique plus floue. Mais la preuve de l’intention peut devenir l’élément déterminant
  • L’auteur savait que ce tracker était utilisé à la fois pour des torrents libres et des torrents protégés par le droit d’auteur

Conclusion finale

  • En raison des inquiétudes juridiques et de moyens de paiement nominatifs (comme le paiement par carte), il a rapidement abandonné le VPS et le domaine
  • Il indique qu’il existe encore de nombreux domaines de trackers non utilisés, qu’un utilisateur intéressé peut facilement enregistrer
  • Il cite des domaines de trackers enregistrables publiquement, comme open.demonii.si

Conclusion

  • Le texte montre de manière empirique le rôle et la fragilité d’une infrastructure de trackers centralisée dans l’écosystème BitTorrent, ainsi que les limites des technologies décentralisées
  • Il est frappant de constater qu’en réactivant un domaine de tracker resté mort pendant longtemps, des millions de pairs tentent immédiatement de s’y connecter
  • Il partage aussi des mises en garde sur les risques juridiques liés à l’exploitation d’une telle infrastructure

À lire aussi

1 commentaires

 
GN⁺ 2025-06-18
Avis Hacker News

  • Dans ce cas, il ne s’agit pas d’héberger directement le tracker, mais seulement d’observer les connexions entrantes, donc je pense qu’il y a peu de raisons que ce soit illégal. Même faire tourner un tracker, ce n’est pas forcément facile à prouver comme étant illégal en soi. Héberger quelque chose comme opentrackr, c’est un peu comme exploiter un moteur de recherche. Le point clé, c’est la manière dont on répond aux demandes de retrait légales. Le tracker lui-même est un logiciel serveur assez simple. Je trouve un peu étrange que ce genre de chose soit considéré comme illégal

    • Plutôt que de demander « est-ce légal ? », la vraie question pratique est surtout « quelle est la probabilité de se faire poursuivre ? ». On peut subir une action civile que ce soit légal ou non. Si des avocats vous prennent pour cible, cela devient très pénible
    • Si l’on aide délibérément à commettre un crime, cela est considéré comme équivalent au fait de le commettre soi-même. En droit fédéral américain (18 USC 2a, lien de référence), le simple fait qu’il s’agisse d’un logiciel ne donne pas d’immunité si l’on facilite un comportement fautif. Il existe quelques exceptions juridiques sûres, notamment en matière de droit d’auteur, mais de manière générale, aider au crime d’autrui doit être considéré comme un crime en soi. Je ne suis pas avocat, mais il vaut mieux éviter d’aider à commettre des crimes
    • Il faut distinguer le tracker (le serveur qui coordonne les pairs BitTorrent) du « tracker » (le site qui héberge des fichiers .torrent et des URI magnet). En pratique, les mesures de retrait légales se sont surtout concentrées sur le second, c’est-à-dire les sites qui hébergent des fichiers .torrent ou des liens
    • (Je ne suis pas spécialiste, mais) selon les circonstances, cela peut être légal ou illégal. Si vous ne répondez pas aux demandes de retrait, cela peut faire pencher la balance vers l’illégalité. À l’inverse, si vous y répondez et mettez les hash sur liste noire, il y a de fortes chances que tout se passe bien. Bien sûr, cela dépend aussi de la juridiction et de la question de savoir si l’association hash–IP:port est considérée comme une distribution ou une complicité (voir l’affaire TPB). Une personne que je connais a exploité pendant des années un grand tracker en blacklistant les demandes de retrait et n’a toujours eu aucun problème
    • L’industrie de la musique et du cinéma déteste le P2P de manière générale, et j’ai l’impression qu’elle a de fait tué l’écosystème P2P dans les années 2000. Je pense qu’il faudra rouvrir ce débat un jour. Aujourd’hui, obtenir des licences est plus simple, donc tant que l’application du DRM fonctionne bien, il n’y a pas vraiment lieu de s’inquiéter

  • Il existe de nombreux clients BitTorrent, et une bonne partie est écrite dans des langages non sûrs. Je me demande donc s’il ne serait pas possible pour un tracker malveillant d’attaquer certains clients. Si un tracker envoie des données anormales, certains clients pourraient mal réagir et présenter des comportements vulnérables

    • Dans le cas de Transmission, la vulnérabilité DNS rebinding connue sous le nom de CVE-2018-5702 permettait autrefois l’exécution de code à distance. Les attaques via tracker me semblent donc être un risque réel
    • La plupart des clients torrent utilisés par la majorité des gens sont des wrappers autour de la bibliothèque libtorrent. libtorrent est une bibliothèque bien testée et auditée sur le plan de la sécurité, donc assez fiable
    • J’ai moi aussi créé un client comme hobby, et au final, la réponse est « oui ». On traite des données d’entrée venant du serveur, avec en plus des interactions complexes avec le système de fichiers. Même dans un langage memory-safe, c’est difficile d’obtenir quelque chose qui fonctionne à peu près correctement, et le faire de manière totalement sûre en C ou en C++ m’a semblé particulièrement ardu
    • Il existe aussi beaucoup d’autres programmes non écrits en Rust, donc je ne pense pas qu’il faille trop s’inquiéter (ou alors on peut considérer que tout logiciel est potentiellement risqué)
    • J’aurais aimé que l’article explore davantage cette menace technique

  • Au fond, cela signifie qu’il suffit d’enregistrer un domaine et de publier certains enregistrements DNS pour pouvoir DDoS l’IP de son choix

    • L’intervalle d’annonce des clients populaires est assez long (environ 30 minutes). Mais avec 3 millions de pairs, cela pourrait malgré tout créer une charge réseau en soi
    • Je ne suis pas convaincu que ce soit un risque si grave. Les clients BitTorrent que j’ai utilisés attendent généralement au moins 60 secondes après un échec de connexion. Même si l’on rachète le domaine d’un tracker mort pour rediriger les clients vers l’IP de quelqu’un d’autre, si aucun service ne tourne sur ce port et que le protocole tracker n’est pas utilisé, je me demande si même plusieurs millions de clients suffiraient vraiment à créer un gros problème

  • Il existe une master list de trackers mise à jour quotidiennement ici. On pourrait aussi s’en servir pour trouver d’autres trackers morts

  • Ma première question est de savoir combien de clients BitTorrent contiennent encore du code de parsing vulnérable. Je me demande si quelqu’un ne pourrait pas enregistrer un domaine de manière malveillante pour infecter les clients

    • Cela me rappelle le roman de Jon Evans, « Invisible Armies », et la scène où l’auteur prend le contrôle d’un système en exploitant des bugs ou des backdoors dans des logiciels P2P
    • utorrent v2.1 est encore utilisé par beaucoup de gens, et il y a clairement des vulnérabilités dans ce cas

  • Cette situation ressemble à ce qui s’est passé quand Cloudflare a récupéré l’adresse IP 1.1.1.1. Dès que le domaine s’est ouvert, d’innombrables scripts automatisés et bots ont commencé à lui envoyer du trafic

    • Je me demande comment Cloudflare a réussi à obtenir cette adresse

  • J’ai déjà exploité brièvement un tracker personnel pour faire des tests. Son exploitation réelle a été très courte, et je n’ai pas étudié en profondeur le fonctionnement interne d’un tracker (j’ai essayé en demandant la prise en charge de webtorrent pour le tracker Aquatic écrit en Rust lien Aquatic). Je me demande surtout ce que le tracker suit réellement et s’il peut apprendre directement quelque chose à partir des échanges d’informations entre pairs. Mon intuition, c’est qu’il se contente d’organiser la rencontre des pairs à partir d’un hash ou d’une valeur magnet. Le magnet lui-même n’a pas nécessairement besoin de contenir des informations d’identification, à mon avis (beaucoup de liens magnet incluent aussi une description lisible par un humain). Le tracker pourrait certes recevoir le hash et télécharger lui-même le fichier pour le vérifier, mais sans le télécharger directement, il semble difficile de savoir précisément de quel contenu il s’agit. Je me demande quels éléments d’un lien magnet sont réellement indispensables pour l’appariement des pairs et si un tracker peut ignorer ou bloquer les champs lisibles par l’humain afin de rester neutre

    • Un tracker ne traite que le info hash du torrent. Il ne gère ni le nom de fichier, ni la description, ni la liste des contenus, ni quoi que ce soit d’autre. Par exemple, opentracker prend en charge à la fois le mode whitelist et le mode blacklist. La plupart des trackers ouverts (comme torrent.eu, opentrackr.org, etc.) fonctionnent en mode blacklist et autorisent presque tous les utilisateurs à trouver (presque) tous les contenus
    • Un tracker peut effectivement connaître le contenu qu’il suit. Le tracker d’émissions TV que j’exploitais autrefois allait jusqu’à suivre et gérer le ratio upload/download de chaque utilisateur

  • Il suffit d’enregistrer le domaine en Russie, en Chine, en Iran, etc., et d’héberger le site chez Alibaba. Même si une pression juridique est exercée depuis les États-Unis, une fois qu’elle arrive dans ce type de pays, elle devient totalement inopérante. En pratique, il est presque impossible d’y faire appliquer des mesures juridiques

  • Je ne suis pas avocat, mais à ma connaissance, exploiter aux États-Unis un tracker neutre vis-à-vis du contenu est légal. En revanche, dans d’autres pays, cela peut tout à fait être illégal, et cela dépend aussi de l’emplacement du VPS et du pays du TLD (.si, par exemple)

    • Si vous cherchez, vous trouverez des cas de trackers fermés de force par les autorités américaines (EliteTorrents, en 2005, article lié). Il y en a probablement d’autres. Beaucoup de trackers ont aussi été fermés à la suite d’actions civiles (par exemple des demandes de dommages-intérêts par des groupes comme la MPAA). Si la majeure partie de la liste concerne des contenus protégés par le droit d’auteur, un tracker peut très bien être fermé même aux États-Unis
    • Il y avait autrefois un grand tracker public exploité en .si. Toute personne ayant un peu d’expérience d’Internet en Slovénie au cours des 20 dernières années l’a probablement utilisé au moins une fois. Ce tracker n’a pas disparu à la simple réception de notifications juridiques
    • Le VPS est hébergé chez cockbox.org (voir l’article), et cette société serait basée en Moldavie

  • Si quelqu’un rachetait le domaine suprnova (fermé en 2004), je me demande s’il pourrait reprendre d’anciens téléchargements, à condition qu’il reste encore des seeders actifs. Je me demande aussi si le fait que ces torrents aient été créés avant l’ère du DHT change quelque chose. J’aimerais savoir si le DHT a une dimension suffisamment « historique » pour couvrir aussi d’anciens torrents

    • Le DHT est réellement « historique ». Autrement dit, tant que l’infohash correspond, il fonctionne quelle que soit la date de création du torrent. En revanche, les torrents créés sur des trackers privés ont généralement le drapeau « private » activé, ce qui les exclut de certaines fonctions comme le DHT ou le PEX. On peut supprimer ce drapeau soi-même, mais pour que le DHT fonctionne, le seeder doit aussi l’avoir retiré
    • Le DHT fonctionne dès lors que le client a cette fonction activée. Si d’anciens seeders sont passés à une version plus récente de leur client, les métadonnées peuvent être partagées automatiquement via le DHT
    • En théorie, oui, une telle situation est tout à fait possible