Operation Saffron : Europol démantèle First VPN, 25 groupes ransomware exposés

Les faits

Les 19, 20 et 21 mai 2026, Europol a coordonné l'Operation Saffron, une opération internationale ayant abouti au démantèlement complet de First VPN (opérant sous les domaines 1vpns.com, 1vpns.net et 1vpns.org), un service VPN bulletproof utilisé exclusivement à des fins criminelles depuis 2014. L'opération a impliqué 18 pays, saisi 33 serveurs répartis dans 27 pays, permis l'arrestation de l'administrateur principal du service en Ukraine, et entraîné la mise hors ligne de l'ensemble des domaines du service, y compris ses adresses Tor. C'est la première fois dans l'histoire qu'un service VPN spécifiquement conçu pour les usages criminels est démantelé intégralement avec récupération des données utilisateurs.

First VPN n'était pas un service grand public. Il se positionnait explicitement sur les forums cybercriminels comme une infrastructure de confiance pour les opérateurs malveillants : paiements exclusivement en cryptomonnaies anonymisantes, politique de non-coopération absolue avec toute autorité judiciaire mondiale, infrastructure distribuée conçue pour résister aux saisies partielles, et support client disponible pour les opérateurs de ransomware. Son engagement de non-journalisation et de non-coopération était sa proposition de valeur centrale — une promesse qu'il a tenue pendant 12 ans avant que l'Operation Saffron ne le rattrape et ne révèle qu'il conservait en réalité des métadonnées exploitables.

L'enquête ayant mené à l'Operation Saffron a été ouverte par les autorités françaises en décembre 2021, suite à des crimes commis contre des victimes françaises via des attaques ayant transité par l'infrastructure First VPN. Une équipe d'investigation commune (EIC) a été formée en novembre 2023, réunissant initialement la France et les Pays-Bas avant de s'élargir progressivement à 16 autres nations. Pendant plus de deux ans, les enquêteurs ont méthodiquement infiltré et documenté l'infrastructure du service, ses utilisateurs et leurs activités criminelles, avant de déclencher l'opération de saisie coordonnée simultanée dans 27 pays le 19 mai 2026.

Les 18 pays participants à l'Operation Saffron étaient : Canada, Danemark, Estonie, France, Allemagne, Lettonie, Lituanie, Luxembourg, Pays-Bas, Pologne, Portugal, Roumanie, Espagne, Suède, Suisse, Ukraine, Royaume-Uni et États-Unis. Europol, Eurojust et Bitdefender ont fourni un support technique et analytique. La coordination de cette envergure illustre la maturité croissante de la coopération judiciaire internationale en matière de cybercriminalité, domaine où les différences de législation entre pays constituaient historiquement un frein majeur aux enquêtes transfrontalières.

Le résultat opérationnel le plus significatif de l'Operation Saffron n'est pas la saisie des serveurs mais ce qu'ils contenaient. Les enquêteurs ont obtenu la base de données complète des utilisateurs du service, incluant les logs de connexion, les méthodes de paiement en cryptomonnaies, les adresses de communication et les métadonnées d'utilisation couvrant 12 ans d'activité. En 12 ans, First VPN a servi 5 000 comptes criminels actifs, dont au moins 25 groupes ransomware identifiés incluant Avaddon et Phobos, ainsi que de nombreuses affiliations aux grandes franchises ransomware-as-a-service actives sur cette période. Europol a transmis 83 paquets de renseignements distincts aux nations partenaires pour alimenter leurs enquêtes nationales.

L'importance historique de ce démantèlement tient à une révélation fondamentale : malgré ses affirmations de zéro journalisation, First VPN conservait suffisamment de métadonnées pour que les enquêteurs reconstituent l'activité de ses utilisateurs criminels. Les précédentes opérations similaires contre des services VPN utilisés par des criminels s'étaient heurtées à la réalité des politiques de non-journalisation : pas de logs = pas de données exploitables. Ici, le service mentait à ses clients criminels sur sa politique de logs réelle, une ironie qui n'a pas manqué d'être relevée par les commentateurs du secteur.

Pour les opérateurs de ransomware ayant utilisé First VPN comme couche d'anonymisation principale de leurs opérations, la situation est potentiellement catastrophique. Non seulement leur infrastructure d'anonymisation est démantelée, mais les forces de l'ordre disposent désormais de données permettant de corréler des activités criminelles à des identités réelles via les métadonnées de connexion et les transactions cryptomonnaies. Les enquêtes nationales alimentées par les 83 paquets de renseignements devraient mener à des arrestations supplémentaires dans les mois suivant l'opération. Les threat intelligence teams signalent depuis le 21 mai 2026 une activité inhabituelle sur les forums cybercriminels, avec des acteurs cherchant à identifier d'urgence leur niveau d'exposition.

Europol souligne que le timing de l'Operation Saffron s'inscrit dans une stratégie délibérée d'attaque des infrastructures criminelles plutôt que des seuls acteurs individuels. En ciblant un service d'infrastructure utilisé par des dizaines de groupes différents, une seule opération expose potentiellement des centaines d'acteurs criminels simultanément. Cette approche — démanteler les fournisseurs de services criminels plutôt que de chasser les utilisateurs un par un dans des juridictions peu coopératives — représente une évolution majeure de la doctrine des forces de l'ordre en matière de cybercriminalité organisée.

Impact et exposition

Pour les organisations victimes de groupes ransomware ayant utilisé First VPN (Avaddon, Phobos, et affiliés RaaS actifs de 2014 à 2026), l'Operation Saffron représente potentiellement une opportunité d'identification des auteurs. Les entreprises ayant subi des attaques de ces groupes sont encouragées à contacter les unités de cybercriminalité de leurs autorités nationales — les données saisies pourraient apporter des éléments d'identification jusque-là inaccessibles permettant d'alimenter des procédures pénales ou des demandes d'indemnisation.

Pour l'écosystème cybercriminel, l'impact à court terme inclut un déplacement des acteurs vers des alternatives. Les threat intelligence teams signalent une hausse de la demande pour d'autres services bulletproof VPN et des solutions I2P et Tor renforcé. Cette période de transition peut se traduire par une activité criminelle temporairement réduite sur certains fronts, avant réorganisation autour de nouvelles infrastructures.

Recommandations

• Les organisations victimes d'Avaddon, Phobos ou d'affiliés RaaS actifs en 2014-2026 doivent contacter les autorités judiciaires compétentes avec leurs indicateurs de compromission disponibles
• Les équipes de threat intelligence doivent surveiller le mouvement des acteurs cybercriminels vers de nouvelles infrastructures VPN bulletproof et mettre à jour leurs indicateurs de compromission en conséquence
• Anticiper une possible hausse d'activité ransomware à court terme, les acteurs déplacés cherchant à rétablir rapidement leur opérabilité
• Maintenir une vigilance accrue sur les tentatives d'intrusion ciblant votre secteur dans les 4 à 8 semaines suivant le démantèlement