Une opération internationale menée par dix-huit pays, dont la France et les Pays-Bas, a abouti au démantèlement de First VPN, un service de réseau privé virtuel (VPN) largement exploité par des cybercriminels pour masquer leurs activités malveillantes. Selon Numerama, cette saisie, effectuée les 19 et 20 mai 2026, a permis aux autorités de neutraliser l’intégralité des infrastructures du service et d’identifier des milliers d’utilisateurs liés à des infractions graves.
Cette action, coordonnée à l’échelle mondiale, marque un tournant dans la lutte contre la cybercriminalité. First VPN, bien que moins connu que des acteurs comme NordVPN ou Cyberghost, s’était imposé comme un outil clé dans l’écosystème des pirates. Europol souligne son rôle central dans presque toutes les enquêtes majeures menées ces dernières années par l’agence policière européenne. Le service servait notamment à dissimuler l’identité des criminels, héberger des infrastructures malveillantes et faciliter des attaques par ransomware, des fraudes à grande échelle ou des vols de données.
Ce qu'il faut retenir
- Un réseau de dix-huit pays, piloté par la France et les Pays-Bas, a démantelé First VPN, un VPN utilisé par des cybercriminels pour masquer leurs activités.
- 33 serveurs ont été saisis en Europe, ainsi que trois noms de domaine (1vpns.com, 1vpns.net, 1vpns.org) et des accès via le darknet neutralisés.
- L’administrateur principal du service, basé en Ukraine, a été interpellé et interrogé à la demande d’un juge français, en présence d’enquêteurs spécialisés.
- Les forces de l’ordre ont récupéré l’intégralité de la base de données de First VPN, permettant d’identifier des milliers d’utilisateurs impliqués dans des activités criminelles.
- 83 dossiers de renseignement et les données de 506 utilisateurs ont été partagés avec les autorités internationales, tandis que 21 enquêtes en cours ont progressé grâce à ces éléments.
- L’enquête, lancée en décembre 2021 avec le soutien de Bitdefender, a abouti à la fermeture définitive du service.
Une opération préparée depuis cinq ans
Le démantèlement de First VPN s’inscrit dans le cadre d’une enquête internationale lancée en décembre 2021, avec l’appui de l’entreprise de cybersécurité Bitdefender. Les autorités ont exploité une faille ou une collaboration technique pour accéder au cœur du service et récupérer l’intégralité de ses données. Cette base, qui contenait les connexions et profils des utilisateurs, a permis d’établir des liens directs entre le VPN et des activités criminelles variées.
Les clients de First VPN ont été informés de la fermeture du service et de leur identification formelle par une notification sur la plateforme. « Pendant des années, [First VPN] a été présenté sur des forums de cybercriminalité russophones comme un outil fiable permettant d’échapper aux forces de l’ordre », rappelle Numerama. Pourtant, les autorités ont désormais accès à des preuves compromettantes, mettant fin à des années d’impunité pour ses utilisateurs les plus actifs.
Une coopération internationale sans précédent
Pour traiter la masse de données saisies, la France et les Pays-Bas ont mis en place une équipe commune d’enquête dès novembre 2023, avec le soutien d’Eurojust. Parallèlement, une force opérationnelle coordonnée par Europol a réuni seize pays afin de partager les renseignements criminels collectés. Cette collaboration a déjà produit des résultats concrets : 83 dossiers de renseignement transmis aux autorités nationales, 506 profils d’utilisateurs partagés à l’international et 21 enquêtes en cours accélérées grâce à ces nouvelles données.
Edvardas Šileris, chef du Centre européen de cybercriminalité d’Europol, a salué cette opération lors d’une déclaration : « Mettre ce service hors ligne supprime une couche de protection essentielle dont les criminels dépendaient pour opérer, communiquer et échapper aux forces de l’ordre. » Les enquêteurs estiment que cette action devrait perturber durablement les réseaux criminels ayant recours à des infrastructures anonymisées.
Un administrateur interpellé en Ukraine
Parmi les temps forts de cette opération figure l’interpellation du principal administrateur de First VPN, dont le domicile a été perquisitionné par la police ukrainienne. L’homme, identifié et interrogé, a été placé à la disposition d’un juge d’instruction français, en présence d’enquêteurs de la Brigade de lutte contre la cybercriminalité. Son audition, menée à la demande des autorités françaises, constitue une avancée majeure dans l’enquête.
Les forces de l’ordre ont également neutralisé 33 serveurs répartis en Europe, ainsi que trois noms de domaine (1vpns.com, 1vpns.net et 1vpns.org). Les accès via le darknet, notamment via des domaines en « .onion », ont également été ciblés et rendus inaccessibles. Ces mesures visent à couper court à toute tentative de relance du service sous une autre forme.
Reste à savoir si d’autres services similaires prendront le relais de First VPN. Pour l’heure, les autorités appellent les internautes à la vigilance : un VPN ne garantit pas l’anonymat absolu, surtout lorsqu’il est exploité à des fins malveillantes. Les enquêtes en cours pourraient révéler de nouvelles ramifications et permettre de démanteler d’autres réseaux criminels.
Cette opération rappelle, une fois encore, que la cybercriminalité ne connaît pas de frontières. Elle souligne aussi l’importance de la coopération internationale dans la lutte contre les menaces numériques, alors que les attaques par ransomware et les fraudes en ligne continuent de croître.
First VPN offrait une couche d’anonymat quasi totale, permettant aux pirates de dissimuler leur localisation, leurs activités et les infrastructures utilisées pour mener des attaques. Le service était régulièrement recommandé sur des forums spécialisés, notamment russophones, comme un outil fiable pour échapper aux autorités. Son infrastructure décentralisée et son absence de logs officiels en faisaient un choix privilégié pour des activités illicites telles que les ransomwares ou les fraudes à grande échelle.
