Le service First VPN, présenté par les autorités comme largement utilisé par des cybercriminels pour masquer leur identité en ligne, a été démantelé le 19 mai lors d’une opération internationale coordonnée par les autorités judiciaires françaises et néerlandaises. Trente-trois serveurs ont été saisis en Europe.
Cette affaire trouve son origine dans une enquête ouverte à Paris dès 2021 après l’identification répétée de ce service dans des dossiers de cybercriminalité visant des victimes françaises.
Une présence récurrente dans les enquêtes françaises
L’affaire remonte à décembre 2021. Selon la procureure de Paris, Laure Beccuau, la section de lutte contre la cybercriminalité du parquet de Paris avait alors ouvert une enquête après avoir constaté l’utilisation répétée de First VPN dans de nombreuses infractions commises au détriment de victimes françaises.
Au fil des investigations, les enquêteurs ont identifié un service dont la vocation dépassait le simple usage de confidentialité habituellement associé aux réseaux privés virtuels. Les autorités françaises décrivent ainsi First VPN comme un outil « largement utilisé par des cybercriminels pour dissimuler leur identité ». Elles soulignent également que le service faisait sa promotion exclusivement sur des forums fréquentés par des acteurs de la cybercriminalité.
Ces éléments ont conduit les magistrats et les services d’enquête à poursuivre leurs investigations dans un cadre international, l’infrastructure étant répartie dans plusieurs pays européens.
Une opération coordonnée à l’échelle européenne
Le 19 mai, les autorités françaises et néerlandaises ont déclenché une opération conjointe avec le soutien d’Eurojust et d’Europol. L’intervention a abouti à la saisie de 33 serveurs hébergés dans différents pays d’Europe et à la mise hors service de l’infrastructure.
Le parquet de Paris présente cette opération comme l’aboutissement d’un travail engagé plusieurs années auparavant pour identifier et cartographier les moyens techniques utilisés afin de masquer l’origine de certaines activités criminelles en ligne.
Les autorités n’ont pas détaillé à ce stade les dossiers criminels précis dans lesquels First VPN aurait été utilisé, mais elles rappellent que le service apparaissait régulièrement dans des enquêtes portant sur des infractions commises contre des victimes françaises.
Les infrastructures techniques dans le viseur des enquêteurs
Cette opération s’inscrit dans une série d’actions récentes visant les services techniques utilisés par les cybercriminels. En mars dernier, une autre opération transnationale avait déjà conduit à la neutralisation d’un réseau permettant à des attaquants de dissimuler leurs activités en exploitant des box internet et des objets connectés compromis.
Selon le parquet de Paris, cette intervention avait permis de déconnecter un million de modems infectés du réseau criminel. Quarante mille euros avaient été saisis en France et trois millions d’euros de cryptomonnaies gelés aux États-Unis.
Avec le démantèlement de First VPN, les autorités poursuivent la même logique : s’attaquer aux infrastructures utilisées pour masquer les activités illicites et compliquer le fonctionnement des écosystèmes cybercriminels.
