Le FBI de Boston, Europol et les forces de l'ordre de huit pays ont démantelé First VPN, un service VPN dit blindé qui fonctionnait exclusivement comme infrastructure pour les gangs de ransomwares et les cybercriminels. L'opération, exécutée les 19 et 20 mai 2026, a abouti à la saisie de 33 serveurs dans plusieurs juridictions et à l'envoi de 83 dossiers de renseignement à 16 pays couvrant plus de 500 cybercriminels identifiés. Pour les utilisateurs réguliers de VPN, la question est simple : devez-vous vous inquiéter ? La réponse courte est non - et les raisons révèlent quelque chose d'important sur la façon dont les forces de l'ordre abordent réellement les outils de confidentialité.
Ce qu'était First VPN - et qui il servait
First VPN a été lancé en 2014 sur les domaines 1vpns.com, 1vpns.net, 1vpns.org et une adresse Tor cachée. Il n'a jamais diffusé de publicité sur les plateformes grand public. Il n'y a eu aucune critique sur des blogs, aucune liste sur des sites de comparaison, aucun code promo. L'ensemble de son opération marketing consistait en des publications sur des forums criminels fermés - y compris des marchés en langue russe comme Exploit, où les identifiants de bases de données volés et les accès aux réseaux d'entreprise sont couramment vendus.
Le service offrait des capacités techniques conçues spécifiquement pour les opérations d'attaque. Les utilisateurs pouvaient enchaîner jusqu'à quatre serveurs distincts pour masquer leur trace numérique. Il prenait en charge OpenConnect, WireGuard et un protocole appelé VLESS TCP Reality - ce dernier permettant au trafic VPN malveillant de se déguiser en requêtes HTTPS standard, ce qui permettait aux attaquants de passer au travers des pare-feu d'entreprise sans déclencher d'alertes de sécurité. Le paiement n'était accepté qu'en cryptomonnaie. L'assistance passait par un serveur Jabber anonyme et Telegram.
Selon Europol, le service est apparu « dans presque toutes les grandes enquêtes sur la cybercriminalité » de ces dernières années. La documentation du FBI cite le groupe de ransomware Avaddon comme utilisateur principal. Au total, les enquêteurs ont attribué l'utilisation de l'infrastructure de First VPN à au moins 25 opérations de ransomware distinctes - des groupes qui l'ont déployée pour la reconnaissance de réseaux, la coordination de botnets, les attaques DDoS et la diffusion de ransomwares.
Comment l'enquête s'est déroulée
L'enquête a commencé en décembre 2021 - plus de quatre ans avant le démantèlement public. Ce délai reflète le temps qu'il faut pour cartographier les infrastructures criminelles sans alerter leurs opérateurs. La phase d'arrêt actif des 19 et 20 mai 2026 a été une frappe coordonnée simultanée dans plusieurs pays pour empêcher les migrations de serveurs avant que les autorités ne puissent saisir le matériel physique.
L'opération était dirigée par la BL2C française (Brigade de Lutte Contre la Cybercriminalité) et le NHTC néerlandais (Unité nationale de lutte contre la criminalité de haute technologie). Le soutien est venu de la division cyber du FBI de Boston, d'Europol, d'Eurojust et des forces de l'ordre d'Ukraine, du Royaume-Uni, de Suisse et du Luxembourg. L'entreprise de cybersécurité Bitdefender a fourni une assistance technique.
Le résultat : 33 serveurs saisis dans plusieurs pays, tous les domaines clearnet et Tor pris en charge et remplacés par des avis de saisie des forces de l'ordre, et un ressortissant ukrainien identifié comme administrateur du service - fouillé et interrogé par les autorités. Plus important encore, les enquêteurs ont obtenu la base de données des utilisateurs du service. Europol a envoyé des avis d'avertissement aux utilisateurs identifiés, et les données ont généré 83 dossiers de renseignement actuellement utilisés dans des enquêtes actives à travers 16 pays.
Ce qui rend un VPN « blindé »
Le terme « blindé » (bulletproof) dans la cybercriminalité désigne une infrastructure d'hébergement ou de réseau explicitement conçue pour ignorer les plaintes pour abus. Lorsqu'une entreprise légitime reçoit un signalement indiquant que l'une de ses adresses IP est utilisée pour attaquer des hôpitaux ou déployer des ransomwares, elle enquête et ferme le compte. Les fournisseurs blindés reçoivent les mêmes plaintes et ne font rien - cette absence de réponse est le produit principal vendu.
First VPN n'était pas un outil de confidentialité qui a été détourné par hasard. Il a été conçu dès le départ pour un usage criminel. La chaîne à sauts multiples jusqu'à quatre nœuds, le protocole VLESS Reality pour l'évasion des pare-feu, le paiement uniquement en cryptomonnaie, le marketing limité aux forums, le support basé sur Jabber - aucune de ces fonctionnalités ne se trouve dans les services de confidentialité grand public. Ce sont des fonctionnalités de sécurité opérationnelle pour les attaquants qui doivent rester invisibles lors de la compromission de réseaux d'entreprise.
Les fournisseurs de VPN légitimes fonctionnent différemment à tous les niveaux. Ils publient des conditions d'utilisation qui interdisent les activités illégales. Ils répondent aux demandes légales valides. Ils maintiennent des entités juridiques publiques et paient des impôts. Ils font de la publicité ouvertement. Lorsqu'un compte est utilisé pour des attaques, leurs systèmes de détection de fraude le signalent et le compte est suspendu. La capacité technique de router le trafic est la même ; le modèle commercial, la gouvernance et la base de clients sont complètement différents.
L'ampleur de ce qui a été découvert
La saisie de la base de données des utilisateurs est l'aspect de cette opération qui aura les conséquences les plus durables. Les enquêteurs disposent désormais de dossiers reliant des adresses IP spécifiques et des données de session à des campagnes d'attaque spécifiques. Pour les plus de 500 individus faisant actuellement l'objet d'une enquête dans 16 pays, la perte de First VPN n'est pas le problème principal - c'est que leur sécurité opérationnelle pour des années d'activités criminelles a été rétroactivement compromise. Les données n'expirent pas.
Il s'agit du modèle constant dans les démantèlements d'infrastructures blindées. Les criminels choisissent ces services en pensant que le fournisseur ne coopérera jamais avec les autorités. Ce qu'ils ne prennent pas en compte, c'est qu'une saisie des serveurs du fournisseur donne aux autorités tout ce que le fournisseur aurait refusé de remettre volontairement - les journaux, les relevés de paiement, les identifiants d'utilisateurs et les métadonnées de trafic remontant à plusieurs années.
Ce que cela signifie pour les utilisateurs soucieux de la vie privée
Le FBI a été direct sur la portée de cette opération. La documentation officielle indique explicitement que l'action « concerne uniquement le service First VPN et ne s'étend pas aux autres fournisseurs de VPN portant des noms similaires ». L'enquête visait une entreprise criminelle spécifique, et non une catégorie technologique.
L'utilisation d'un VPN réputé pour la confidentialité - pour protéger les données sur le Wi-Fi public, accéder au contenu dans les pays avec un filtrage restrictif ou réduire le suivi par les annonceurs - reste juridiquement sans ambiguïté dans la plupart des juridictions et n'est absolument pas affectée par cette opération. L'infrastructure qui a été saisie servait des gangs de ransomwares. L'infrastructure que vous utilisez pour protéger votre connexion à votre banque ne le fait pas.
La leçon importante pour les utilisateurs axés sur la confidentialité concerne la sélection du fournisseur, et non l'utilisation d'un VPN en général. Les services qui font de la publicité sur des forums criminels, n'acceptent que les cryptomonnaies, n'offrent aucune condition d'utilisation et commercialisent des chaînes à sauts multiples conçues pour l'évasion de pare-feu ne sont pas des outils de confidentialité. Ils sont l'infrastructure opérationnelle des campagnes d'attaque. La différence est visible avant votre inscription - si vous savez quoi chercher.
