Les forces de l'ordre européennes ont fait ce que tout bon videur ferait : elles ont piraté un service VPN utilisé par des gangs de ransomware et autres malfrats numériques, identifié des milliers d'utilisateurs, puis ont fermé le tout et arrêté la personne qui le gérait.

Europol a annoncé hier que l'opération visait First VPN, un service dont le site affiche désormais un avis de saisie plutôt que ses promesses habituelles d'invisibilité totale. « Pendant des années, le service, connu sous le nom de 'First VPN', a été promu sur des forums de cybercriminalité russophones comme un outil de confiance pour rester hors de portée des forces de l'ordre », a déclaré l'agence. Il s'avère que cette confiance était quelque peu mal placée.

L'enquête a débuté en décembre 2021, et à un moment donné, les enquêteurs ont réussi à pénétrer le service, à récupérer sa base de données d'utilisateurs et à identifier les connexions VPN utilisées par des criminels tentant de se cacher. Bitdefender, le fournisseur de sécurité, a prêté main forte. « Les renseignements recueillis ont exposé des milliers d'utilisateurs liés à l'écosystème de la cybercriminalité », a déclaré Europol.

Le Corps national de la police néerlandaise a noté qu'avant de saisir les domaines, « la police avait accès au trafic criminel des utilisateurs du service, qui se croyaient en sécurité par erreur ». C'est l'équivalent numérique de découvrir que votre cachette secrète avait une caméra cachée depuis le début.

Le site de First VPN, conservé par Internet Archive, promettait de masquer les adresses IP, de chiffrer les communications et de cacher les actions « au fournisseur et aux autres personnes intéressées ». Il faisait également la promesse classique de « zéro journal », assurant aux clients qu'aucun enregistrement ne serait conservé pour les forces de l'ordre ou d'autres tiers. « Big Brother vous regarde, pas nous ! » proclamait le site. Eh bien, Big Brother regardait, mais pas celui qu'ils attendaient.

Le VPN faisait principalement de la publicité sur des forums de cybercriminels, ciblant les criminels comme clients potentiels et déclarant qu'il ne coopérerait jamais avec aucune autorité judiciaire. Eurojust, l'agence de coopération judiciaire de l'UE, a déclaré que First VPN promettait « qu'il ne coopérerait avec aucune autorité judiciaire, qu'il ne stockerait pas de données et que le service ne serait soumis à aucune juridiction ».

First VPN était actif depuis 2014 et fournissait 32 serveurs de nœuds de sortie dans 27 pays, a déclaré le FBI dans une alerte de renseignement. Il faisait de la publicité sur des forums russophones qui « fournissent des marchés aux cybercriminels pour acheter et vendre un accès non autorisé à des systèmes informatiques, des informations d'identification personnelle volées, des outils de piratage et des marchandises de contrebande ». Au moins 25 groupes de ransomware, dont Avaddon Ransomware, ont utilisé l'infrastructure de First VPN pour la reconnaissance réseau et les intrusions. Le FBI a noté que ses adresses IP étaient utilisées pour des activités de scan, des botnets, des attaques par déni de service, des escroqueries et du piratage.

L'opération a produit 83 « paquets de renseignement », partagé des informations sur 506 utilisateurs à l'international et fait progresser 21 enquêtes soutenues par Europol jusqu'à présent. Les autorités ont mis hors ligne le VPN les 19 et 20 mai, « interrogé l'administrateur et effectué une perquisition domiciliaire en Ukraine », et démantelé 33 serveurs. Les saisies de domaines ont ciblé 1vpns.com, 1vpns.net, 1vpns.org et les domaines onion associés. « Les utilisateurs du service criminel ont été informés de la fermeture et informés qu'ils ont été identifiés », a ajouté Europol, ce qui n'est probablement pas la notification qu'ils espéraient.