C’est un coup de maître discret qui a été mené en l’espace de 48 heures et qui a mis fin à dix ans d’impunité. Les autorités judiciaires de sept pays européens ont annoncé ce jeudi 21 mai le démantèlement de First VPN, un réseau privé virtuel qui s’était imposé comme l’outil de référence des cybercriminels pour effacer leurs traces sur internet. Trente-trois serveurs ont été saisis à travers l’Europe et le principal administrateur du service a été entendu à la demande du juge d’instruction français.
Un service conçu pour l’impunité
L’opération a été diligentée conjointement par les autorités judiciaires françaises et néerlandaises avec l’appui d’Eurojust et d’Europol, et elle est l’aboutissement d’un travail d’investigation qui s’est étalé sur plusieurs années. C’est en décembre 2021 que le parquet de Paris a ouvert une première enquête alors que ce service remontait régulièrement dans les affaires de cybercriminalité.
En mars 2022, une information judiciaire a été publiée pour complicité d’extorsion en bande organisée et d’association de malfaiteurs en vue de la préparation d’un crime. C’est ensuite en 2023 qu’une équipe commune d’enquête est constituée avec les Pays-Bas et elle a donné naissance à une cellule opérationnelle au sein d’Europol : l’Espagne, la Suède, les États-Unis, le Canada, l’Allemagne, la Suisse, le Royaume-Uni, le Luxembourg et la Roumanie ont contribué à des degrés divers à l’enquête avant le démantèlement récent.
Sur le papier, First VPN ressemblait à n’importe quel autre fournisseur de VPN : Son site, qui est d’ailleurs toujours disponible, promeut l’anonymat, la stabilité et la sécurité – et il communique sur sa présence dans une trentaine de pays. Mais là où les VPN du grand public comme NordVPN ou ExpressVPN servent à protéger la vie privée d’internautes ordinaires, First VPN avait délibérément construit son offre pour une clientèle… criminelle.
Le service affichait ouvertement son refus de coopérer avec les autorités judiciaires et affirmait ne conserver aucune donnée sur ses utilisateurs. Par ailleurs, sa publicité ne circulait pas sur des plateformes classiques : elle était diffusée exclusivement sur des forums russophones dédiés à la cybercriminalité où le nom de First VPN revenait comme une garantie d’impunité.
Dans son communiqué, Europol souligne que le service apparaissait “dans la quasi-totalité des enquêtes majeures sur la cybercriminalité” menées par l’agence au cours des dernières années. Attaques par rançongiciel, vols de données, fraudes à grande échelle : First VPN était présent sur tous les fronts. La réalité, comme l’ont découvert ses utilisateurs à leurs dépens, était bien différente des promesses affichées…
5 000 comptes, 506 usagers identifiés
Fondé en 2014, le service avait attiré plus de 5 000 clients en une décennie d’activité, et les investigations menées par la brigade de lutte contre la cybercriminalité de la préfecture de police de Paris et par l’Office anti-cybercriminalité (Ofac) ont permis de remonter jusqu’aux usagers et constituer un volume conséquent de renseignements exploitables.
Au total, ce sont aujourd’hui 83 dossiers concernant 506 usagers qui ont été transmis aux pays partenaires. Parmi les infractions documentées figure l’utilisation du service dans des attaques liées au rançongiciel Phobos, un logiciel malveillant très virulent qui chiffrait les données des victimes avant d’exiger une rançon.
Le message adressé aux anciens abonnés du service est sans ambiguïté : ils ont été informés non seulement de la fermeture de First VPN, mais aussi du fait qu’ils avaient été formellement identifiés par les enquêteurs. Une façon de signifier que l’anonymat promis n’était qu’une illusion soigneusement entretenue.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
