First VPN, très prisé par plusieurs hackers pour dissimuler leur identité, a été démantelé cette semaine dans une opération internationale menée par la France et les Pays-Bas. Après le service Socks Escort en mars, les autorités accentuent leur pression sur les services techniques qui permettent aux cybercriminels de masquer leur identité et d’opérer à distance.
C’est la fin pour First VPN et son anonymat pour les hackers
Le coup de filet a abouti à la saisie de 33 serveurs dans plusieurs pays d’Europe. Le principal administrateur, localisé en Ukraine, a été entendu à la demande du juge d’instruction français en présence d’enquêteurs de la brigade de lutte contre la cybercriminalité. Laure Beccuau, procureure de Paris, résume l’ampleur de l’intervention : « 33 serveurs ont été saisis dans différents pays d’Europe ».
L’enquête française ne date pas d’hier. Ouverte en décembre 2021, elle visait un service repéré de manière récurrente dans des infractions commises contre des victimes françaises. Une information judiciaire a suivi en mars 2022, avec des qualifications lourdes, dont la complicité d’intrusion frauduleuse dans un système informatique et la complicité d’extorsion en bande organisée.
First VPN vendait un outil d’anonymisation présenté comme capable de mettre ses utilisateurs à l’abri de toute identification et de toute coopération avec la police. Le service redirigeait les connexions via des serveurs tiers, avec des offres tarifaires ajustées selon la complexité des relais utilisés.
Les enquêteurs estiment que la plateforme, active depuis 2014, a pu servir à plus de 5 000 comptes. Sa promotion se faisait exclusivement sur des forums de pirates et les enquêtes ont aussi permis de récupérer des éléments utiles dans des dossiers liés à des ransomwares comme Phobos.
Le dossier a été porté par la brigade de lutte contre la cybercriminalité de la police judiciaire parisienne et par l’Ofac (Office anti-cybercriminalité). L’enjeu dépasse le simple hébergement technique : il s’agit de viser un maillon de service utilisé pour couvrir des attaques, brouiller les traces et faciliter d’autres infractions.
Une offensive plus large avec l’aide internationale
L’enquête a pris une dimension internationale avec une équipe commune mise en place en 2023 entre la France et les Pays-Bas, puis une cellule opérationnelle à Europol, avec le soutien de l’Espagne et de la Suède. Au total, 83 dossiers de renseignements concernant 506 usagers ont été transmis aux pays partenaires. Les États-Unis, le Canada et l’Allemagne ont contribué aux enquêtes, tandis que l’Ukraine, la Suisse, le Royaume-Uni, le Luxembourg et la Roumanie ont participé à la journée d’action.
Cette séquence prolonge l’opération menée en mars contre Socks Escort. Ce service permettait à des cybercriminels de passer par des box Internet et des objets connectés compromis pour attaquer dans l’ombre. Un million de modems infectés avaient alors été déconnectés du réseau criminel, 40 000 euros saisis en France et trois millions d’euros en cryptomonnaie gelés par les États-Unis.
Le principe était le même : louer une couche d’infrastructure à des délinquants pour masquer leur véritable adresse IP et faciliter des attaques informatiques, d’autres délits, voire des échanges de fichiers pédopornographiques. En visant désormais ces intermédiaires techniques, les enquêteurs cherchent à désorganiser les services dont dépend une partie de la cybercriminalité.
