Lors d’une opération menée par la France et les Pays-Bas le 19 mai 2026, le réseau « FirstVPN » a été démantelé. Utilisé par les cybercriminels pour dissimuler leur identité sur le net, cet outil était promu exclusivement sur les plateformes criminelles.
Tout commence en décembre 2021, lorsque la section de lutte contre la cybercriminalité du parquet de Paris ouvre une enquête. Les autorités remarquent que l’outil est utilisé « pour la commission de nombreuses infractions au préjudice de victimes françaises » selon Laure Beccuau procureure de la République de Paris.
Un Réseau privé virtuel, de l’anglais Virtual private Network (VPN) est un outil permettant à un utilisateur de renvoyer son identité sur internet à un autre serveur avant d’accéder à la requête demandée, vers un autre pays par exemple. Si cet outil est principalement utilisé pour garantir plus de sécurité dans la navigation ou pour accéder à des contenus restreints dans certains pays comme avec les plateformes de vidéos à la demande, il sert aussi aux pirates et cybercriminels à dissimuler leur identité.
« Trentre-trois serveurs »
Les autorités françaises et néerlandaise, avec l’appui d’Eurojust et Europol ont pu saisir « trentre-trois serveurs » à travers l’Europe et arrêté « le principal administrateur, localisé en Ukraine ». Celui-ci a été entendu « en présence de la section de lutte contre la cybercriminalité du parquet de Paris » à la demande du juge d’instruction.
Si l’outil en lui même ne présente pas de caractère frauduleux, son utilisation a été considérée « comme non coopérant(e) avec les services de police ». En effet, FirstVPN, en service depuis 2014, était promu « exclusivement sur des forums cybercriminels ».
L’enquête menée par la brigade de lutte contre la cybercriminalité de la police judiciaire de la préfecture de police et par l’Office anti-cybercriminalité (Ofac) a aussi révélé que le service « avait pu être utilisé par plus de 5.000 comptes ». Comme les outils grand public, des « offres tarifaires différentes selon le degré de complexité des relais de connexions » étaient mises à disposition des criminels.
Enfin, les investigations ont permis « de recueillir des éléments intéressants des enquêtes sur des ransomwares, comme Phobos » ajoute la procureure. Phobos étant un virus qui exploite les protocoles de bureaux à distance mal configurés des entreprises pour extraire des données et fichiers de leurs ordinateurs.
Collaboration Internationale
A la suite de l’enquête ouverte par le parquet de Paris en 2021, une information judiciaire est ensuite ouverte en mars 2022 pour « complicité d’accès, maintien et introduction frauduleuse de données dans un système de traitement automatisé de données (STAD) », et « complicité d’extorsion en bande organisée et d’association de malfaiteurs en vue de la préparation d’un crime ».
C’est alors qu’une « TaskForce » d’enquêteurs français et néerlandais est créée en 2023, suivi d’une « équipe opérationnelle » à Europol avec l’aide de l’Espagne et la Suède. Ce cluster a permis le partage de « 83 dossiers de renseignements concernant 506 usagers » entre les pays partenaires. En tout douze pays ont participé aux manoeuvres, les Etats-Unis, le Canada et l’Allemagne ont également participé l’enquête ainsi que l’Ukraine, la Suisse, le Royaume-Uni, le Luxembourg et la Roumanie pour l’opération.
Lire aussi : Protéger sa vie privée en ligne : les conseils d’un expert
