Le jeudi 21 mai 2026 à 11:14
Le service First VPN, un réseau privé virtuel largement utilisé par des cybercriminels pour dissimuler leur identité, a été démantelé ce 19 mai au cours d'une opération internationale. Diligentée par les autorités judiciaires françaises et néerlandaises, avec l'appui notamment d'Eurojust et d'Europol, l'opération a permis la saisie de 33 serveurs dans différents pays d'Europe. Le principal administrateur, localisé en Ukraine, a été entendu à la demande du juge d'instruction français, en présence des enquêteurs de la brigade de lutte contre la cybercriminalité. Les éléments ont été communiqués ce jeudi 21 mai dans un communiqué de presse de Laure Beccuau, la procureure de la République de Paris.
Le service se présentait, selon le communiqué du parquet de Paris, "comme mettant ses utilisateurs à l'abri de toute identification, et comme non coopérant avec les services de police". Le dispositif permettait de rediriger les connexions au travers d'un serveur tiers, empêchant ainsi d'en identifier l'origine. Il proposait des offres tarifaires différentes selon le degré de complexité des relais de connexions et faisait de la publicité exclusivement sur des forums cybercriminels. Les noms de domaine concernés sont 1vpns.com, 1vpns.net, 1vpns.org, ainsi que des domaines .onion associés.
Plus de 5000 comptes utilisateurs et un lien avec le ransomware Phobos
Une enquête avait été ouverte en décembre 2021 par la section de lutte contre la cybercriminalité du parquet de Paris, "devant le constat récurrent de l'utilisation de ce service VPN pour la commission de nombreuses infractions au préjudice de victimes françaises", précise le communiqué. Les investigations ont été conduites par la brigade de lutte contre la cybercriminalité de la police judiciaire de la préfecture de police et par l'OFAC (office anti-cybercriminalité). Elles ont permis d'établir que ce service, existant depuis 2014, avait pu être utilisé par plus de 5000 comptes, et de recueillir des éléments intéressant des enquêtes sur des ransomwares, comme Phobos.
Une information judiciaire a été ouverte en mars 2022, indique le parquet de Paris, "des chefs de complicité d'accès, maintien et introduction frauduleuse de données dans un système de traitement automatisé de données (STAD), de complicité de modification de données d'un STAD et d'entrave à un STAD, d'offre, cession ou mise à disposition sans motif légitime d'équipement, d'instrument, de programme ou données conçus ou adaptés pour un accès frauduleux à un STAD, de complicité d'extorsion en bande organisée et d'association de malfaiteurs en vue de la préparation d'un crime".
Une coopération internationale élargie à une dizaine de pays
Une équipe commune d'enquête a été signée en 2023 avec les Pays-Bas, donnant lieu à l'ouverture d'une équipe opérationnelle à Europol, avec l'appui de l'Espagne et de la Suède. Au total, selon le communiqué de la procureure de la République de Paris, "83 dossiers de renseignements concernant 506 usagers ont pu être adressés aux pays partenaires". Les États-Unis, le Canada et l'Allemagne ont également contribué à l'enquête. L'Ukraine, la Suisse, le Royaume-Uni, le Luxembourg et la Roumanie ont participé à la journée d'action.