First VPN, un réseau privé virtuel plébiscité par les cybercriminels depuis 2014, a été démantelé le 19 mai, annonce aujourd'hui le Parquet de Paris. Trente-trois serveurs ont été saisis, et des milliers d'usagers sont dans le viseur des enquêteurs.
Pendant près de cinq ans, les enquêteurs français ont pisté un service, First VPN, qui promettait aux cybercriminels de devenir invisibles sur internet, donc intouchables. Le 19 mai 2026, la traque a pris fin avec 33 serveurs saisis à travers l'Europe et l'administrateur principal entendu, grâce à une coalition internationale mobilisée. L'opération, décrite par la procureure de la République du parquet de Paris, a aussi permis de faire avancer des enquêtes sur des ransomwares parmi les plus actifs de ces dernières années.
First VPN, le VPN des hackers qui avait fait de l'invisibilité son fonds de commerce, vient de tomber
First VPN n'est pas le genre de service dont on parle entre amis. Depuis 2014, ce réseau privé virtuel, dont le but est de masquer l'origine d'une connexion internet en la faisant transiter par des serveurs intermédiaires, se vendait comme un bouclier total contre toute identification. Il proposait à ses abonnés de disparaître du radar des enquêteurs, en reroutant les connexions via des serveurs tiers. La promesse commerciale était affichée : zéro coopération avec les forces de l'ordre. Quant à la publicité, elle ne circulait qu'en sous-main, exclusivement sur des forums fréquentés par des hackers.
Le 19 mai 2026, les autorités françaises et néerlandaises, appuyées par Europol (l'agence européenne de coopération policière et Eurojust (son pendant judiciaire), ont frappé en même temps dans plusieurs pays. En une seule journée, 33 serveurs ont été mis hors ligne et saisis à travers l'Europe. Quant au principal administrateur du service, retranché en Ukraine, il a été entendu sur place par les enquêteurs français, à la demande du juge d'instruction chargé du dossier.
En douze ans d'existence, First VPN aurait ainsi servi plus de 5 000 comptes, donc autant de cybercriminels potentiels ayant pu opérer dans l'ombre. Les investigations ont par ailleurs fourni des renseignements utiles à d'autres enquêtes en cours, notamment sur des ransomwares, dont on rappelle qu'ils sont des logiciels malveillants qui prennent en otage les données d'une victime pour lui extorquer de l'argent. Parmi eux, Phobos, un nom bien connu des services de police spécialisés.
Cinq ans d'enquête et une douzaine de pays mobilisés : l'envers du démantèlement
Dès décembre 2021, le parquet de Paris avait ouvert une enquête après avoir constaté que First VPN était régulièrement utilisé pour commettre des infractions contre des victimes françaises. Quelques mois plus tard, en mars 2022, une information judiciaire fut ouverte, un juge d'instruction prit en main le dossier. Les charges retenues étaient lourdes, avec complicité de piratage informatique, extorsion en bande organisée et association de malfaiteurs en vue de préparer des crimes.
En 2023, la France et les Pays-Bas unissaient leurs forces en constituant une équipe commune d'enquête, qui a permis l'ouverture d'une cellule de travail dédiée au sein d'Europol, rejointe par l'Espagne et la Suède. Un travail de fourmi qui finit par payer puisqu'au total, 83 dossiers de renseignement visant 506 utilisateurs identifiés ont pu être transmis aux pays partenaires, avec le concours des États-Unis, du Canada et de l'Allemagne.
Le jour de l'opération, donc mardi, d'autres pays ont prêté main-forte à la France, parmi lesquels la Suisse, le Luxembourg, l'Ukraine, le Royaume-Uni et la Roumanie. Au total, ce sont donc plus d'une douzaine de nations qui se sont mobilisées pour fermer un seul service VPN. De quoi nous donner une idée de l'ampleur qu'avait pris First VPN dans le monde de la cybercriminalité internationale.
