En bref

  • L'Opération Saffron, coordonnée par Europol et Eurojust, a démantelé First VPN les 19 et 20 mai 2026 : 33 serveurs saisis dans 27 pays, un administrateur ukrainien arrêté.
  • First VPN était utilisé par au moins 25 groupes ransomware distincts — dont Avaddon — pour masquer leurs opérations de reconnaissance, d'intrusion et de commandement.
  • Les enquêteurs ont intercepté le trafic criminel en direct avant la fermeture, exposant les données de 5 000 comptes criminels partagées avec les partenaires internationaux.

Comment Europol a infiltré et démantelé le VPN favori des groupes ransomware

Les 19 et 20 mai 2026, une opération judiciaire internationale d'envergure, baptisée Opération Saffron, a mis fin aux activités de First VPN, un service de réseau privé virtuel conçu exclusivement pour faciliter la criminalité organisée. L'opération, pilotée par la France et les Pays-Bas avec le soutien opérationnel d'Europol et d'Eurojust, a mobilisé les forces de l'ordre de 18 pays : le Canada, le Danemark, l'Estonie, la France, l'Allemagne, la Lettonie, la Lituanie, le Luxembourg, les Pays-Bas, la Pologne, le Portugal, la Roumanie, l'Espagne, la Suède, la Suisse, l'Ukraine, le Royaume-Uni et les États-Unis. Le résultat : 33 serveurs démantelés dans 27 pays, plusieurs domaines saisis — dont 1vpns.com, 1vpns.net, 1vpns.org et leurs équivalents en .onion — et un administrateur ukrainien placé en garde à vue.

First VPN s'était taillé une réputation solide dans les milieux de la cybercriminalité russophone en se présentant comme un service "bulletproof" — un fournisseur d'infrastructure qui s'engage contractuellement à ne jamais coopérer avec les autorités judiciaires, quelle que soit la juridiction. Le service se vantait ouvertement d'opérer hors de toute portée légale et ne se commercialisait que sur des forums cybercriminels de langue russe, ce qui lui assurait une clientèle ciblée et fidèle. Les paiements étaient exclusivement acceptés en cryptomonnaies, garantissant l'anonymat financier des transactions.

Ce positionnement avait attiré une clientèle de choix : selon les enquêteurs, au moins 25 groupes ransomware distincts avaient recours à First VPN pour leurs opérations. Parmi eux figure Avaddon, le groupe à l'origine d'attaques de grande envergure contre des cibles australiennes et américaines entre 2020 et 2021. D'autres groupes non nommés dans la communication officielle d'Europol utilisaient le service pour masquer leur trafic de reconnaissance préalable aux intrusions, établir leurs canaux de commandement et contrôle (C2), et coordonner les phases d'exfiltration de données avant le déploiement des charges chiffrantes.

L'aspect le plus spectaculaire de l'opération réside dans la méthode d'infiltration. Selon Help Net Security et Europol, les enquêteurs ont obtenu un accès covert à l'infrastructure de First VPN avant le début des saisies, leur permettant d'intercepter le trafic criminel en temps réel. Les utilisateurs du service, convaincus d'opérer en toute sécurité derrière un écran d'anonymat, ignoraient que leurs communications étaient surveillées et enregistrées. Cette surveillance secrète a permis de constituer des dossiers d'enquête solides sur les activités criminelles facilitées par le réseau, bien au-delà de ce qu'une simple saisie de serveurs aurait pu révéler.

Au moment du démantèlement, la base de données saisie comprenait des informations sur environ 5 000 comptes d'utilisateurs criminels actifs. Ces données ont été immédiatement partagées avec les partenaires internationaux via Europol : 83 "intelligence packages" ont été disséminés dans le monde entier, et des données sur 506 utilisateurs spécifiques ont été transmises directement aux agences nationales compétentes pour des enquêtes de suivi. Bitdefender, qui a participé à l'opération aux côtés des forces de l'ordre, a contribué à l'analyse technique de l'infrastructure et aux investigations forensiques sur les serveurs saisis.

La coopération internationale n'est pas anodine dans ce dossier. La présence simultanée de 18 nations reflète l'organisation mise en place depuis 2021 par Europol et le Joint Cybercrime Action Taskforce (J-CAT) pour coordonner les démantèlements de l'infrastructure criminelle globale. L'implication ukrainienne est particulièrement notable : malgré le contexte géopolitique, les autorités ukrainiennes ont coopéré pour faciliter l'interpellation de l'administrateur sur leur sol, poursuivant une tradition de coopération judiciaire avec l'Occident dans les dossiers cybercriminels de grande envergure.

Les domaines .onion associés à First VPN, qui constituaient une couche supplémentaire d'anonymisation pour les clients les plus prudents, ont également été saisis. Cette saisie sur le réseau Tor est techniquement complexe et souligne le niveau de préparation de l'opération : elle nécessite la connaissance des serveurs physiques hébergeant les services cachés — une information que seule une infiltration prolongée de l'infrastructure permet généralement d'obtenir. D'après les communications officielles d'Europol reprises par Tom's Hardware, l'enquête avait débuté plus d'un an avant le démantèlement, ce qui explique la qualité du renseignement accumulé.

L'opération est officiellement en phase d'exploitation des données saisies, avec des arrestations supplémentaires attendues dans les semaines à venir à mesure que les 83 paquets de renseignements seront traités par chaque pays partenaire. SC Media UK et CybersecurityNews confirment que les enquêteurs de plusieurs nations ont déjà ouvert des dossiers sur la base des informations extraites des serveurs First VPN, ciblant des opérateurs de ransomware dont l'identité était jusqu'ici inconnue des autorités.

Pourquoi les takedowns de VPN criminels transforment la lutte anti-ransomware

Le démantèlement de First VPN illustre une évolution stratégique majeure dans la lutte internationale contre le ransomware. Pendant des années, les autorités se sont concentrées sur l'identification et l'arrestation des opérateurs des groupes ransomware eux-mêmes — une approche souvent vouée à l'échec face à des acteurs opérant depuis des pays non coopératifs. La nouvelle doctrine, initiée avec l'Opération Endgame de mai 2024 et confirmée depuis, consiste à cibler l'infrastructure commune qui sert l'ensemble de l'écosystème criminel : les bulletproof hosters, les services de blanchiment, les places de marché d'accès initial, et désormais les VPN criminels.

Cette approche est redoutablement efficace pour plusieurs raisons. Premièrement, un seul démantèlement peut perturber simultanément des dizaines de groupes criminels distincts — les 25 groupes qui utilisaient First VPN doivent désormais migrer vers une nouvelle infrastructure, ce qui crée une période de vulnérabilité opérationnelle. Deuxièmement, les données saisies dans un VPN criminel contiennent des métadonnées de connexion permettant de corréler des activités malveillantes jusqu'alors non attribuées, débloquant potentiellement des enquêtes au point mort. Troisièmement, chaque saisie réussie érode la confiance dans les services bulletproof, forçant les cybercriminels à adopter des solutions plus fragmentées et plus coûteuses.

Le précédent de l'opération de démantèlement de VPNLab.net en 2022, qui avait également été utilisé par plusieurs groupes ransomware dont Ryuk et Conti, montre que ces opérations ont un impact réel à court terme sur l'activité criminelle. Après la fermeture de VPNLab.net, les chercheurs de Recorded Future avaient observé une perturbation temporaire de plusieurs campagnes actives et un afflux de discussions sur les forums criminels cherchant des alternatives. La répétition de ce schéma avec First VPN devrait produire des effets comparables dans les semaines à venir, créant une fenêtre d'opportunité pour les défenseurs.

Pour les entreprises françaises et européennes, ce type d'opération rappelle l'importance de maintenir une surveillance active des indicateurs de compromission associés aux groupes ransomware connus. La période post-démantèlement est souvent caractérisée par une recrudescence des tentatives d'intrusion, les groupes criminels cherchant à accélérer leurs opérations en cours avant que leurs nouvelles infrastructures ne soient identifiées par les équipes de threat intelligence. Les SOC doivent renforcer le monitoring sur les vecteurs d'accès initial classiques — phishing, exploitation de VPN exposés, credentials compromis — dans les semaines qui suivent ce type d'annonce publique.

Ce qu'il faut retenir

  • First VPN a été démantelé les 19-20 mai 2026 dans le cadre de l'Opération Saffron : 33 serveurs saisis, administrateur ukrainien arrêté, 5 000 comptes criminels exposés aux autorités de 18 pays.
  • 25 groupes ransomware distincts utilisaient ce service — leur migration forcée vers de nouveaux VPN crée une fenêtre de vulnérabilité opérationnelle qui peut durer plusieurs semaines.
  • Renforcez le monitoring SOC : les groupes déstabilisés tentent souvent d'accélérer leurs opérations en cours, générant une hausse temporaire des tentatives d'intrusion dans les secteurs habituellement ciblés (santé, industrie, collectivités).

Comment un VPN commercialisé comme "bulletproof" peut-il être saisi malgré ses promesses d'anonymat ?

Un VPN "bulletproof" repose sur la promesse de non-coopération avec les autorités — mais cette promesse ne résiste pas à une infiltration covert de l'infrastructure. Dans l'Opération Saffron, les enquêteurs ont obtenu un accès discret aux serveurs de First VPN avant les saisies, leur permettant de surveiller le trafic en temps réel. Par ailleurs, les serveurs physiques sont toujours hébergés quelque part dans le monde : en identifiant les datacenters utilisés et en obtenant la coopération des pays hébergeurs (ici 27 pays concernés), les autorités peuvent saisir le matériel même si l'opérateur refuse de coopérer. L'anonymat promis par ces services repose sur une logique commerciale qui s'effondre dès qu'une infiltration judiciaire est correctement menée.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact