Premier VPN démantelé : comment la police a infiltré le réseau des cybercriminels

UN VPN UTILISÉ PAR LES CYBERCRIMINELS DÉMANTÉLÉ

Une collaboration internationale menée par la France et les Pays-Bas, avec le soutien d’Europol et d’Eurojust, a permis de démanteler un VPN (réseau privé virtuel) utilisé par des cybercriminels pour masquer leurs activités. Ce service, nommé First VPN, était présenté sur des forums russophones dédiés à la cybercriminalité comme un outil fiable pour échapper aux autorités.

Le site de First VPN affiche désormais un message indiquant que le domaine a été saisi dans le cadre d’une action judiciaire conjointe. Europol précise que ce VPN servait à dissimuler des attaques par ransomware, des vols de données et d’autres infractions graves. Pendant des années, il a été promu comme un moyen de rester hors de portée des forces de l’ordre, en proposant des paiements anonymes et une infrastructure cachée.

LA POLICE A ACCÉDÉ AUX DONNÉES DES UTILISATEURS

L’enquête a débuté en décembre 2021. À un moment donné, les enquêteurs ont réussi à accéder au service, à obtenir sa base de données et à identifier les connexions VPN utilisées par les cybercriminels pour masquer leurs activités. Le fournisseur de sécurité Bitdefender a aidé les forces de l’ordre à mener cette opération.

Les renseignements recueillis ont permis d’exposer des milliers d’utilisateurs liés à l’écosystème de la cybercriminalité. Ces informations ont également généré des pistes opérationnelles liées à des attaques par ransomware, des fraudes et d’autres infractions graves dans le monde entier.

UN SERVICE PROMIS « SANS JOURNALISATION » ET ANONYME

Une capture d’écran du site de First VPN, archivée par l’Internet Archive, montre qu’il promettait de masquer les adresses IP, de chiffrer toutes les communications et de cacher les actions des utilisateurs « du fournisseur et des autres personnes intéressées ». Le service affichait aussi la promesse « no logs », courante chez les fournisseurs de VPN, pour garantir aux clients que leurs données n’étaient pas enregistrées et ne pourraient pas être transmises aux autorités.

Le site affichait ce message : « Tous nos serveurs répondent à des exigences de sécurité élevées et ne conservent pas de journaux. Ils sont configurés par des spécialistes ayant une vaste expérience dans ce domaine. Big Brother vous observe, mais pas nous . »

Comme beaucoup de plateformes en ligne, les VPN peuvent être utilisés à des fins légitimes ou criminelles. Il est difficile, voire impossible, pour les utilisateurs de vérifier la crédibilité des promesses de confidentialité et de sécurité d’un service VPN.

Le risque que les forces de l’ordre infiltrent les systèmes internes d’un fournisseur de VPN ajoute à cette incertitude pour les utilisateurs. Pourtant, la police néerlandaise a souligné que ce VPN en particulier était considéré comme criminel, car il ciblait spécifiquement les cybercriminels et leur offrait la possibilité de protéger leur identité.

UNE CIBLE EXPLICITE POUR LES CYBERCRIMINELS

Selon la police néerlandaise, First VPN « était principalement annoncé sur les forums de cybercriminalité connus des autorités et s’adressait donc explicitement aux cybercriminels comme clients potentiels ». Le site du service affirmait également qu’il refuserait toute coopération avec la justice, qu’il n’était soumis à aucune juridiction et qu’aucune donnée sur les utilisateurs n’était stockée.

Eurojust, l’agence de l’Union européenne pour la coopération judiciaire en matière pénale, a indiqué que le site de First VPN se présentait en mettant l’accent sur l’anonymat. Il promettait à ses utilisateurs qu’il ne coopérerait avec aucune autorité judiciaire, qu’il ne stockerait pas de données et que le service ne serait soumis à aucune juridiction.

32 SERVEURS DANS 27 PAYS POUR MASQUER LES ACTIVITÉS CRIMINELLES

Le FBI a révélé dans une alerte de renseignement que First VPN était actif depuis 2014 et fournissait 32 serveurs de sortie dans 27 pays. Le service était annoncé sur des forums russophones proposant des « marchés pour que les cybercriminels achètent et vendent des accès non autorisés à des systèmes informatiques, des informations personnelles volées, des Outils de piratage et des produits de contrebande ».

Selon le FBI, au moins 25 groupes de ransomware, comme Avaddon Ransomware, ont utilisé l’infrastructure de First VPN pour effectuer des reconnaissances de réseau et des intrusions. Les adresses IP de First VPN ont été utilisées pour des activités de balayage, des botnets, des attaques par déni de service, des arnaques et des piratages.

Les activités de balayage observées depuis les adresses IP de First VPN « correspondaient aux efforts des adversaires pour identifier les ports ouverts, les services et les configurations réseau ». Le FBI a précisé que « l’infrastructure VPN peut être utilisée pour énumérer les systèmes au sein d’un réseau cible après un accès initial » et que « les nœuds de sortie VPN peuvent faciliter des tentatives de pulvérisation de mots de passe ou de force brute contre des services exposés tels que SSH, RDP ou des applications web ».

83 DOSSIERS DE RENSEIGNEMENTS ET 506 UTILISATEURS IDENTIFIÉS

L’opération contre First VPN a produit 83 « dossiers de renseignements » et a permis de partager des informations sur 506 utilisateurs à l’échelle internationale. Elle a également contribué à faire avancer 21 enquêtes soutenues par Europol jusqu’à présent. « Avec l’infrastructure démantelée et l’administrateur arrêté, les enquêteurs de plusieurs juridictions utilisent désormais les renseignements recueillis pour soutenir les enquêtes en cours sur la cybercriminalité dans le monde entier », a déclaré Europol.

Après des années d’enquête, les autorités ont démantelé le VPN lors d’une série d’actions les 19 et 20 mai. Elles ont « interrogé l’administrateur et effectué une perquisition à son domicile en Ukraine » et « démantelé 33 serveurs liés au service criminel ».

Les saisies de domaines ont été autorisées par des ordonnances judiciaires et ciblaient les sites 1vpns.com, 1vpns.net, 1vpns.org et les domaines onion associés. « Les utilisateurs du service criminel ont été informés de la fermeture et informés qu’ils avaient été identifiés », a ajouté Europol.

UNE COOPÉRATION JUDICIAIRE COMPLEXE POUR UNE ACTION CONJOINT

Bien que l’enquête ait commencé en décembre 2021, elle est entrée dans une nouvelle phase en novembre 2023. Le soutien d’Eurojust a aidé les autorités françaises et néerlandaises à « travailler en étroite collaboration, échanger des preuves et des informations, et décider d’une stratégie de poursuites ». Eurojust a organisé 16 réunions de coordination entre les autorités concernées pour préparer l’action conjointe de cette semaine, soulignant la nécessité d’une coopération judiciaire complexe.

Les actions directes des 19 et 20 mai ont été menées par des autorités de France, des Pays-Bas, du Luxembourg, de Roumanie, de Suisse, d’Ukraine et du Royaume-Uni. Plusieurs pays ont apporté divers niveaux de soutien, dont le Canada, l’Allemagne, les États-Unis, l’Espagne, la Suède, le Danemark, l’Estonie, la Lettonie, la Lituanie, la Pologne et le Portugal. Europol a indiqué avoir mis en place une task force réunissant des enquêteurs de différents pays « pour analyser les données saisies et coordonner le partage de renseignements avec les partenaires internationaux ».

UN OUTIL PRÉSENTÉ COMME INTRANQUILLISABLE

Le site de First VPN affichait des messages comme « Big Brother vous observe, mais pas nous . » ou promettait de ne pas coopérer avec la justice. Pourtant, pendant des années, le service a été infiltré par les forces de l’ordre. Les utilisateurs, souvent des cybercriminels, croyaient à tort que leurs activités restaient invisibles.

Les autorités ont profité d’une faille dans la promesse « no logs » pour accéder aux données du service. Même si le VPN chiffrait les communications, les serveurs conservaient des traces exploitables par les enquêteurs.

Cette opération montre que même les services les plus sécurisés peuvent être compromis, surtout lorsqu’ils ciblent délibérément des activités illégales.

LES CONSÉQUENCES POUR LES UTILISATEURS DU VPN

Les utilisateurs de First VPN ont été informés de la fermeture du service et de leur identification. Certains pourraient faire face à des poursuites judiciaires dans leur pays d’origine. D’autres pourraient voir leurs données personnelles utilisées comme preuves dans des enquêtes en cours.

Cette affaire rappelle que les outils de cryptage ne garantissent pas l’impunité. Les forces de l’ordre disposent désormais de moyens pour infiltrer même les services les plus opaques.

CE QUE L’OPÉRATION RÉVÈLE SUR LA CYBERCRIMINALITÉ

Cette opération illustre l’évolution des tactiques des forces de l’ordre face à la cybercriminalité. Au lieu de se contenter de traquer les criminels après leurs actes, elles infiltrent désormais les infrastructures utilisées pour commettre ces infractions.

Les cybercriminels ne peuvent plus se cacher derrière des promesses de sécurité ou d’anonymat. Les autorités montrent qu’elles peuvent accéder aux données, même dans les services les plus protégés, dès lors qu’ils sont utilisés à des fins illégales.

Cette affaire pourrait inciter d’autres services VPN à revoir leurs politiques de sécurité et leur transparence, sous peine de se retrouver dans le collimateur des enquêteurs.

UN AVERTISSEMENT POUR LES UTILISATEURS DE VPN

Les utilisateurs de VPN doivent désormais se poser des questions sur la fiabilité des services qu’ils utilisent. Un VPN ne garantit pas l’anonymat absolu, surtout s’il est conçu pour des activités illégales.

Les promesses comme « no logs » ou « sans trace » doivent être prises avec prudence. Les forces de l’ordre peuvent trouver des moyens d’accéder aux données, même dans les services les plus sécurisés.

Cette affaire sert d’avertissement : aucun outil ne rend un criminel intouchable. Les cybercriminels doivent désormais compter avec des enquêteurs capables de les traquer, même dans les recoins les plus sombres du dark web.

LA FIN D’UNE ÈRE POUR LES VPN CRIMINELS ?

First VPN n’est pas le premier service de ce type à être démantelé, mais cette opération marque un tournant. Elle montre que les autorités sont désormais capables de s’attaquer aux infrastructures utilisées par les cybercriminels, et pas seulement à leurs actions individuelles.

Cette affaire pourrait inciter d’autres services VPN à revoir leurs pratiques, ou à disparaître purement et simplement. Les cybercriminels devront trouver d’autres moyens de masquer leurs activités, mais les forces de l’ordre ont désormais prouvé qu’elles pouvaient les traquer, même dans les services les plus opaques.

Les utilisateurs légitimes de VPN n’ont rien à craindre de cette opération. En revanche, ceux qui utilisent ces services pour des activités illégales doivent désormais savoir que leurs données peuvent être accessibles aux autorités.

QUELLE SUITE POUR LES ENQUÊTES EN COURS ?

Les 83 dossiers de renseignements produits par cette opération pourraient mener à de nouvelles arrestations et à la résolution d’autres affaires de cybercriminalité. Les 21 enquêtes soutenues par Europol pourraient aboutir à des inculpations dans les mois à venir.

Les données saisies lors de la perquisition en Ukraine et du démantèlement des 33 serveurs pourraient révéler de nouvelles pistes pour les enquêteurs. Les utilisateurs identifiés pourraient être contactés par les autorités de leur pays pour des interrogatoires.

Cette opération pourrait aussi inspirer d’autres pays à mener des actions similaires contre des services VPN utilisés à des fins criminelles. La coopération internationale semble désormais la clé pour lutter contre la cybercriminalité organisée.

CE QUE CETTE AFFAIRE NOUS APPREND SUR LA SÉCURITÉ EN LIGNE

Cette affaire rappelle que la sécurité en ligne ne repose pas uniquement sur les outils utilisés, mais aussi sur les pratiques des utilisateurs. Même les services les plus sécurisés peuvent être compromis si leurs administrateurs sont malveillants ou si les forces de l’ordre trouvent une faille.

Les utilisateurs doivent donc redoubler de prudence, surtout lorsqu’ils utilisent des services promettant l’anonymat absolu. Aucun outil ne garantit une protection totale contre les enquêtes judiciaires.

Cette opération montre aussi l’importance de la coopération internationale dans la lutte contre la cybercriminalité. Les cybercriminels ne connaissent pas de frontières, et les autorités doivent travailler ensemble pour les traquer.

LES LEÇONS À RETENIR POUR LES UTILISATEURS DE VPN

Si vous utilisez un VPN pour des raisons légitimes, comme protéger votre vie privée ou accéder à du contenu géo-restreint, cette affaire ne doit pas vous inquiéter. Les services VPN légaux sont généralement fiables et respectent les lois en vigueur.

En revanche, si vous utilisez un VPN pour des activités illégales, cette opération devrait vous faire réfléchir. Les forces de l’ordre ont prouvé qu’elles pouvaient accéder aux données, même dans les services les plus sécurisés. Aucun outil ne rend un criminel intouchable.

Les utilisateurs doivent donc choisir leurs services VPN avec prudence et se méfier des promesses trop belles pour être vraies. La sécurité en ligne repose sur la transparence et la confiance dans les outils utilisés.