Darkiworld et phpMyAdmin : quelle relation entre un annuaire DDL et un outil de gestion SQL?
Le domaine darkiworld.com héberge la documentation officielle de phpMyAdmin 5.2.1, copyright The phpMyAdmin devel team 2021-2025. Ce détail, visible dans le code source des pages, révèle immédiatement comment fonctionne la plateforme sous le capot.
Darkiworld n’héberge aucun fichier vidéo directement. C’est un annuaire DDL (Direct Download Links) : le site stocke dans ses bases de données des millions de liens pointant vers des hébergeurs tiers. Pour gérer cet inventaire, les administrateurs s’appuient sur phpMyAdmin, l’interface web classique permettant d’interroger, modifier et exporter des bases MySQL.
Le même schéma se retrouve sur le domaine darkiworld15.com, qui expose aussi la documentation phpMyAdmin 5.2.1. Deux domaines distincts, même outil, même version – ce qui suggère une infrastructure dupliquée pour la redondance ou les migrations entre rebranding successifs.
L’infrastructure technique de Darkiworld : une base de données à 38 000 films et 800 000 comptes
Pour comprendre l’ampleur du problème, il faut d’abord mesurer ce que contiennent ces bases de données. Le catalogue référencé atteint 38 000 films, 13 000 séries et 9 000 animés. Chaque entrée comporte des métadonnées, des liens de téléchargement multiples, des informations de streaming – autant de lignes SQL stockées et indexées.
La plateforme n’est pas née de rien. Sa généalogie remonte à Zone Téléchargement, puis Tirexo, Palixi, Darkino. Le dernier rebranding en date s’est produit en juin 2024, donnant naissance à Darkiworld, lui-même renommé Hydracker par la suite. Chaque migration implique une reprise des bases existantes – ce qui explique l’accumulation de données sur plusieurs années.
Côté utilisateurs, 800 000 comptes ont été enregistrés sur la plateforme. Ces comptes contiennent des adresses e-mail, des mots de passe hashés, des adresses IP de connexion et des historiques d’activité. Une cible de premier ordre pour n’importe quel attaquant.
Quelles sont les causes du piratage de Darkiworld/Hydracker et de la fuite de données?
L’attaquant, opérant sous le pseudonyme blackspell81, revendique une motivation idéologique. Sa cible : le virage commercial de la plateforme, qui a progressivement abandonné la gratuité pour introduire des abonnements premium et des mécanismes de monétisation agressifs. Pour une partie de la communauté, ce changement représentait une trahison des origines du site.
Le résultat opérationnel de cette attaque est massif. Blackspell81 a publié environ 2,4 millions de liens de films et séries, 130 000 torrents, et un total de 46 Go de données comprenant des fichiers SQL, JSON et torrent. La base de données des liens seule pèse 17,4 Go.
Les 800 000 comptes utilisateurs ont bien été aspirés, mais n’ont pas été publiés – du moins au moment des premières révélations. Cette rétention constitue une menace suspendue : les données existent quelque part, leur publication reste possible à tout moment.
La page de fuite affirme que l’intégralité de l’infrastructure de Darkiworld/Hydracker a été compromise. Si cette affirmation est exacte, cela signifie que l’accès aux bases n’était pas limité aux données des liens : les tables utilisateurs, les configurations serveur et potentiellement les accès phpMyAdmin eux-mêmes ont pu être exfiltrés.
Vulnérabilités phpMyAdmin exploitées : SQL injection, setup PHP et failles CVE
phpMyAdmin concentre historiquement plusieurs vecteurs d’attaque documentés. Dans les versions 5.x antérieures à 5.2.0, une injection SQL peut être déclenchée via les paramètres tbl_storage_engine ou tbl_collation dans le fichier CreateAddField.php. Un attaquant authentifié peut ainsi exécuter des requêtes arbitraires sur la base de données sous-jacente.
Une faille similaire affecte les branches 4.x avant 4.9.5 et 5.x avant 5.0.2, cette fois dans le mécanisme de récupération du nom d’utilisateur courant. Les deux vulnérabilités font l’objet d’annonces PMASA (phpMyAdmin Security Announcement) et d’un identifiant CVE associé.
Le vecteur le plus exploité en pratique reste la fonction setup de phpMyAdmin. Un module Metasploit documenté cible cette interface pour injecter du code PHP arbitraire dans un fichier de configuration. Si l’interface setup est exposée sans authentification – ce qui arrive quand la configuration par défaut n’est pas durcie – l’accès complet au serveur devient accessible en quelques minutes.
Chaque nouvelle vulnérabilité identifiée sur phpMyAdmin suit le même pipeline : rapport interne, annonce PMASA, attribution d’un CVE, publication du correctif. Mais entre la publication du patch et son déploiement effectif sur des infrastructures comme celle de Darkiworld, le délai peut se compter en mois – parfois en années.
Darkiworld expose ses utilisateurs à des risques concrets qui vont bien au-delà du simple téléchargement illégal
Les faux clones de Darkiworld prolifèrent à chaque fermeture ou rebranding. Ces copies diffusent des publicités malveillantes et des scripts de cryptojacking : votre navigateur mine de la cryptomonnaie à votre insu pendant que vous parcourez le catalogue. Les ressources CPU grimpent, la batterie se vide, et vous ne voyez rien.
Plus grave : ces clones tentent d’aspirer vos données de connexion. Si vous réutilisez le même mot de passe sur d’autres services – messagerie, banque en ligne – l’exposition devient un problème qui dépasse largement le cadre du streaming. Les erreurs d’accès refusé sur des ressources système après une visite sur un clone infecté peuvent signaler une compromission plus profonde de votre environnement.
Sur le plan légal, les tribunaux français ont statué que référencer et organiser des liens vers du contenu protégé constitue une contrefaçon au sens du Code de la propriété intellectuelle. L’utilisateur qui télécharge n’est pas nécessairement poursuivi, mais la plateforme elle-même opère dans un cadre clairement illégal – et l’utilisateur qui y laisse ses données personnelles prend un risque que la loi ne viendra pas réparer.
Une base de 800 000 comptes non publiée, c’est une épée de Damoclès. Si ces données apparaissent un jour sur un forum de fuite, vos identifiants circuleront sans que vous en soyez informé – et sans recours possible contre un opérateur qui n’avait aucune existence légale.