First VPN, prisé par plusieurs hackers pour cacher leur identité, a été démantelé cette semaine lors d’une opération internationale menée par la France et les Pays-Bas. Après le service Socks Escort en mars, les autorités accentuent la pression sur les services techniques qui permettent aux cybercriminels de dissimuler leur identité et d’opérer à distance.
C’est la fin de First VPN et de son anonymat pour les hackers
Le filet a réussi à la saisie de 33 serveurs dans plusieurs pays européens. L’administrateur principal, situé en Ukraine, a été entendu à la demande du juge d’instruction français en présence des enquêteurs de la brigade anti-cybercriminalité. Laure Beccuau, procureure de Paris, résume l’ampleur de l’intervention : « 33 serveurs ont été saisis dans différents pays européens ».
L’enquête française n’est pas nouvelle. Ouvert en décembre 2021, il ciblait un service identifié de manière récurrente dans des infractions commises contre des victimes françaises. Une information judiciaire a suivi en mars 2022, avec de sérieuses réserves, notamment pour complicité d’intrusion frauduleuse dans un système informatique et complicité d’extorsion en bande organisée.
First VPN vendait un outil d’anonymisation présenté comme capable de protéger ses utilisateurs de toute identification et de toute coopération avec la police. Le service redirigeait les connexions via des serveurs tiers, avec des offres tarifaires ajustées en fonction de la complexité des relais utilisés.
Les enquêteurs estiment que la plateforme, active depuis 2014, aurait servi plus de 5 000 comptes. Il a été promu exclusivement sur des forums de hackers et des investigations ont également permis de récupérer des éléments utiles dans des fichiers liés à des ransomwares comme Phobos.
L’affaire a été portée par la brigade de lutte contre la cybercriminalité de la police judiciaire de Paris et par l’Ofac (Office de lutte contre la cybercriminalité). L’enjeu va au-delà du simple hébergement technique : il s’agit de cibler un lien de service utilisé pour couvrir des attaques, dissimuler des traces et faciliter d’autres infractions.
Une offensive plus large avec l’aide internationale
L’enquête a pris une dimension internationale avec une équipe commune mise en place en 2023 entre la France et les Pays-Bas, puis une unité opérationnelle à Europol, avec le soutien de l’Espagne et de la Suède. Au total, 83 dossiers d’informations concernant 506 utilisateurs ont été transmis aux pays partenaires. Les États-Unis, le Canada et l’Allemagne ont contribué aux enquêtes, tandis que l’Ukraine, la Suisse, le Royaume-Uni, le Luxembourg et la Roumanie ont participé à la journée d’action.
Cette séquence poursuit l’opération menée en mars contre Socks Escort. Ce service permettait aux cybercriminels d’utiliser des box Internet et des objets connectés compromis pour attaquer dans l’ombre. Un million de modems infectés ont alors été déconnectés du réseau criminel, 40 000 euros saisis en France et trois millions d’euros de cryptomonnaie gelés par les Etats-Unis.
Le principe était le même : louer une couche d’infrastructure aux contrevenants pour cacher leur véritable adresse IP et faciliter des attaques informatiques, d’autres délits, ou encore des échanges de fichiers pédopornographiques. En ciblant désormais ces intermédiaires techniques, les enquêteurs cherchent à perturber les services dont dépend une partie de la cybercriminalité.
