Un service VPN largement utilisé par des cybercriminels pour masquer leur identité a été démantelé mardi 19 mai 2026 lors d’une vaste opération coordonnée par les autorités judiciaires françaises et néerlandaises. Selon Le Figaro, trente-trois serveurs répartis dans plusieurs pays européens ont été saisis dans le cadre de cette enquête, révélant l’ampleur d’un réseau exploité depuis 2014.

L’annonce a été faite jeudi 21 mai 2026 par Laure Beccuau, procureure de Paris, qui a précisé que « le principal administrateur, localisé en Ukraine, a été entendu à la demande du juge d’instruction français, en présence des enquêteurs de la brigade de lutte contre la cybercriminalité ». L’opération, menée avec le soutien d’Eurojust et d’Europol, marque un coup dur pour les acteurs du cybercrime utilisant ce type d’outil pour échapper à toute identification.

Ce qu'il faut retenir

  • Trente-trois serveurs ont été saisis en Europe, dont le principal administrateur, basé en Ukraine, a été entendu par les autorités françaises.
  • Le service First VPN, créé en 2014, comptait plus de 5 000 comptes et était « largement utilisé par des cybercriminels pour dissimuler leur identité ».
  • Une enquête avait été ouverte en décembre 2021 par le parquet de Paris, devant le « constat récurrent de l’utilisation de ce service VPN pour la commission de nombreuses infractions au préjudice de victimes françaises ».
  • Le réseau faisait « de la publicité exclusivement sur des forums cybercriminels » et proposait des offres tarifaires adaptées au niveau de complexité des relais de connexions.

Un réseau au service de la cybercriminalité depuis plus de dix ans

L’enquête, ouverte en décembre 2021 par la section de lutte contre la cybercriminalité du parquet de Paris, a permis de retracer l’activité de First VPN depuis sa création en 2014. Selon Laure Beccuau, ce service se présentait comme une solution « mettant ses utilisateurs à l’abri de toute identification » et refusant toute coopération avec les services de police. « Ce dispositif permettant de rediriger les connexions au travers d’un serveur tiers, empêchant ainsi d’en identifier l’origine, était devenu un outil privilégié pour les auteurs d’infractions », a rappelé la magistrate.

Les investigations menées par la brigade de lutte contre la cybercriminalité de la police judiciaire de la préfecture de police et par l’Office anti-cybercriminalité (Ofac) ont permis d’établir que le service avait pu être utilisé dans le cadre d’enquêtes sur des ransomwares, comme Phobos. « Des éléments intéressants ont pu être recueillis », a indiqué la procureure, sans préciser la nature exacte de ces données.

Une publicité ciblée sur les forums illégaux et une facturation adaptée

Contrairement aux services VPN légitimes, First VPN ne proposait pas ses services au grand public. Comme l’a souligné Laure Beccuau, « le service faisait de la publicité exclusivement sur des forums cybercriminels ». Cette stratégie commerciale visait à attirer une clientèle spécialisée dans les activités illicites, en proposant des offres tarifaires différenciées selon le niveau de complexité des relais de connexions utilisés.

Cette organisation a permis au réseau de prospérer pendant plus d’une décennie, malgré les soupçons des autorités. « Plus de 5 000 comptes » ont été identifiés, bien que le chiffre réel d’utilisateurs actifs reste inconnu. Le modèle économique reposait sur une tarification progressive, incitant les cybercriminels à payer davantage pour des connexions plus difficiles à tracer.

Une procédure judiciaire complexe et une coopération internationale renforcée

Une information judiciaire a été ouverte en mars 2022, notamment pour « complicité d’accès, maintien et introduction frauduleuse de données dans un système de traitement automatisé de données (STAD) », ainsi que pour « complicité d’extorsion en bande organisée et d’association de malfaiteurs en vue de la préparation d’un crime ». Ces chefs d’accusation reflètent la gravité des infractions commises via ce réseau.

L’enquête a bénéficié d’une coopération internationale renforcée, avec la mise en place en 2023 d’une équipe commune d’enquête associant les Pays-Bas, l’Espagne et la Suède. Une équipe opérationnelle a été déployée au sein d’Europol, permettant d’adresser 83 dossiers de renseignements concernant 506 usagers aux pays partenaires. Les États-Unis, le Canada et l’Allemagne ont également contribué à l’enquête, tandis que l’Ukraine, la Suisse, le Royaume-Uni, le Luxembourg et la Roumanie ont participé à la journée d’opération du 19 mai.

« Ce dispositif permettant de rediriger les connexions au travers d’un serveur tiers, empêchant ainsi d’en identifier l’origine, se présentait comme mettant ses utilisateurs à l’abri de toute identification, et comme non coopérant avec les services de police. » — Laure Beccuau, procureure de Paris

Et maintenant ?

Les prochaines étapes de cette affaire dépendront des suites données par les juges d’instruction en France et aux Pays-Bas. Une fois les données récupérées sur les serveurs saisis analysées, les autorités pourraient identifier de nouvelles victimes ou élargir la liste des infractions liées à ce réseau. Par ailleurs, cette opération pourrait inciter les cybercriminels à se tourner vers des alternatives encore plus difficiles à tracer, poussant les services de police à renforcer leurs moyens technologiques et juridiques.

Un enjeu croissant pour la lutte contre la cybercriminalité

Le démantèlement de First VPN s’inscrit dans un contexte où les réseaux privés virtuels sont de plus en plus instrumentalisés par les groupes criminels pour commettre des fraudes, des extorsions ou des attaques informatiques. En France, les autorités judiciaires et policières multiplient les initiatives pour contrer cette menace, comme en témoigne le récent projet de loi visant à encadrer plus strictement l’usage des VPN.

Cette affaire rappelle aussi l’importance de la coopération internationale dans la lutte contre la cybercriminalité. Avec des acteurs répartis dans plusieurs continents, les enquêtes nécessitent une coordination étroite entre les services de police, les agences européennes et les pays tiers. Le recours à des outils technologiques avancés, comme ceux déployés par Europol, devient indispensable pour démanteler des réseaux aussi sophistiqués.

Des questions subsistent sur l’étendue des dégâts

Si le démantèlement de First VPN constitue une avancée majeure, plusieurs zones d’ombre persistent. Le nombre exact de victimes ayant subi des préjudices grâce à ce service reste à déterminer, tout comme l’ampleur des données dérobées via des ransomwares. Les autorités n’ont pas non plus communiqué sur d’éventuelles arrestations en dehors de l’administrateur ukrainien.

Par ailleurs, cette opération soulève des questions sur l’efficacité des mesures préventives. Comment éviter que de nouveaux services similaires émergent ? Les plateformes de cryptomonnaies et les forums illégaux restent des terrains propices au développement de tels réseaux, malgré les efforts des régulateurs.

Selon les éléments communiqués par la procureure de Paris, le service était « largement utilisé par des cybercriminels pour dissimuler leur identité » dans le cadre d’infractions variées, notamment des ransomwares comme Phobos. Les investigations ont également révélé son utilisation pour des activités liées à l’extorsion et à l’association de malfaiteurs.

Neuf pays ont pris part à cette opération internationale : la France, les Pays-Bas, l’Espagne, la Suède, les États-Unis, le Canada, l’Allemagne, l’Ukraine et la Suisse. Le Royaume-Uni, le Luxembourg et la Roumanie ont également contribué à la journée d’action du 19 mai.

Le démantèlement de First VPN rappelle la nécessité d’une vigilance constante face à l’évolution des outils utilisés par les cybercriminels. Si cette opération marque un succès pour les autorités, elle illustre aussi l’ingéniosité des réseaux criminels, qui savent exploiter les failles technologiques et juridiques pour prospérer.