First VPN neutralisé : un réseau criminel démantelé par une opération internationale

Les autorités judiciaires françaises et néerlandaises, appuyées par Eurojust et Europol, ont démantelé mardi le service First VPN, utilisé par des cybercriminels pour masquer leur identité en ligne.

Ce réseau privé virtuel, qui existait depuis 2014, permettait à ses utilisateurs de dissimuler leurs connexions en les redirigeant via des serveurs tiers, rendant impossible l’identification de leur origine. Selon la procureure de Paris, Laure Beccuau, trente-trois serveurs ont été saisis dans plusieurs pays européens, et le principal administrateur, localisé en Ukraine, a été entendu par les enquêteurs de la brigade de lutte contre la cybercriminalité. Une enquête avait été ouverte en décembre 2021 face à l’usage récurrent de ce service pour commettre des infractions au préjudice de victimes françaises.

Le service se vantait de protéger ses abonnés contre toute identification et de ne pas coopérer avec les forces de l’ordre. Il proposait des offres tarifaires selon le degré de complexité des relais de connexion et faisait sa publicité exclusivement sur des forums criminels. Les investigations, menées par la police judiciaire parisienne et l’Office anti-cybercriminalité, ont établi que First VPN avait été utilisé pour environ cinq mille comptes. Des éléments ont également été recueillis dans le cadre d’enquêtes sur des rançongiciels, notamment Phobos.

Une information judiciaire a été ouverte en mars 2022 pour complicité d’accès frauduleux à des systèmes informatiques, complicité d’extorsion en bande organisée et association de malfaiteurs en vue de préparer un crime. L’équipe commune d’enquête, mise en place en 2023 avec les Pays-Bas et soutenue par l’Espagne et la Suède, a permis de transmettre quatre-vingt-trois dossiers de renseignements concernant cinq cent six usagers aux pays partenaires. Les États-Unis, le Canada, l’Allemagne, l’Ukraine, la Suisse, le Royaume-Uni, le Luxembourg et la Roumanie ont également contribué à l’opération.

En mars dernier, une opération similaire avait neutralisé Socks Escort, un service utilisant des box internet et objets connectés infectés pour permettre aux criminels d’agir dans l’ombre. Un million de modems avaient été déconnectés, et quarante mille euros saisis en France, tandis que trois millions d’euros en cryptomonnaie étaient gelés aux États-Unis. Ces actions visent à rendre les attaques informatiques plus coûteuses pour les malfaiteurs, en ciblant les infrastructures qui les soutiennent. Les appareils zombies, loués à des criminels pour masquer leur adresse IP, étaient utilisés pour divers délits, allant des attaques informatiques aux échanges de fichiers pédopornographiques.