### Opération Internationale Ciblant un VPN Criminel Les autorités d'Europe et d'Amérique du Nord ont annoncé la perturbation de **First VPN Service**, un VPN criminel utilisé pour dissimuler la source des attaques par ransomware, des violations de données, des activités de scan et des attaques par déni de service. L'opération, baptisée Opération Saffron, a été menée par la France et les Pays-Bas, avec le soutien de nombreux autres pays depuis décembre 2021. Les pays participants comprenaient le Luxembourg, la Roumanie, la Suisse, l'Ukraine, le Royaume-Uni, le Canada, l'Allemagne, les États-Unis, l'Espagne, la Suède, le Danemark, l'Estonie, la Lettonie, la Lituanie, la Pologne et le Portugal. ### First VPN : Anonymat au Service de la Cybercriminalité Selon **Europol**, First VPN proposait des services spécifiquement adaptés à un usage criminel. Cela incluait des paiements anonymes et une infrastructure cachée conçue pour aider les clients à dissimuler leur identité lors de la conduite d'attaques par ransomware, de fraudes à grande échelle et de vols de données. Le service était activement promu sur les forums de cybercriminalité russophones tels que Exploit[.]in et XSS[.]is comme un outil pour échapper aux forces de l'ordre. ### Détails du Démantèlement L'opération internationale s'est déroulée entre le 19 et le 20 mai. Les autorités ont interrogé l'administrateur du service, effectué une perquisition en Ukraine, fermé 33 serveurs et saisi des infrastructures dans le monde entier. Les domaines confisqués comprennent : * 1vpns[.]com * 1vpns[.]net * 1vpns[.]org * Domaines onion associés fonctionnant sur le réseau Tor « Le site web de First VPN se promouvait en mettant l'accent sur l'anonymat, promettant à ses utilisateurs qu'il ne coopérerait avec aucune autorité judiciaire, qu'il ne stockerait aucune donnée et que le service ne serait soumis à aucune juridiction », a déclaré **Eurojust**. ### Données des Utilisateurs Compromises Europol a informé les utilisateurs de First VPN que leurs identités sont désormais connues des autorités. **Bitdefender**, qui a assisté l'enquête en partageant des informations sur 506 utilisateurs, a souligné que la perturbation des services d'anonymisation augmente le coût des opérations pour les cybercriminels. Bitdefender a déclaré : « De nouveaux services d'anonymisation apparaîtront. La demande économique n'a pas changé. Mais chaque démantèlement raccourcit la fenêtre opérationnelle du prochain service et augmente la barrière pour les acteurs qui dépendaient de solutions clés en main. First VPN se présentait comme un service auquel les criminels pouvaient faire confiance pour les maintenir hors de portée des forces de l'ordre. L'opération a prouvé que cette affirmation était fausse, et chaque acteur évaluant le prochain service d'anonymisation sait désormais que le même risque existe. » ### Alerte Flash du FBI Le **U.S. Federal Bureau of Investigation (FBI)** a émis une alerte flash coordonnée, notant que le service était actif depuis environ 2014, exploitant 32 serveurs de nœuds de sortie dans 27 pays. Trois de ces nœuds de sortie étaient situés aux États-Unis : * 2.223.66[.]103 * 5.181.234[.]59 * 92.38.148[.]58 D'autres nœuds de sortie étaient situés dans divers pays, notamment l'Australie, l'Autriche, la Belgique, le Canada, Chypre, la Finlande, la France, l'Allemagne, Hong Kong, l'Italie, la Lettonie, le Luxembourg, la Moldavie, les Pays-Bas, le Panama, la Pologne, la Roumanie, la Russie, la Serbie, Singapour, l'Espagne, la Suède, la Suisse, la Turquie, l'Ukraine et le Royaume-Uni. ### Connexion Ransomware Au moins 25 groupes de ransomware, y compris **Avaddon Ransomware**, auraient utilisé l'infrastructure de First VPN pour la reconnaissance réseau et les intrusions. Les durées d'abonnement variaient d'un jour à un an, avec des prix allant de 2 $ pour une journée à 483 $ pour une année complète. Les paiements étaient acceptés via Bitcoin, Perfect Money, Webmoney, EgoPay et InterKass. ### Détails Techniques « First VPN Service proposait plusieurs protocoles de connexion, notamment OpenConnect, WireGuard, Outline et VLess TCP Reality, et plusieurs options de chiffrement dont OpenVPN ECC, L2TP/IPSec et PPtP », a déclaré le FBI. « Un support technique était également proposé aux utilisateurs via un serveur Jabber auto-hébergé et un service de messagerie chiffrée Telegram. Parmi les options de protocoles VPN, First VPN Service proposait 'VLESS' et 'Reality' qui permettent de déguiser le trafic Internet VPN en trafic HTTPS sur des ports couramment utilisés pour se connecter à des sites web. » ### Fausses Promesses d'Anonymat Selon des instantanés capturés sur l'Internet Archive, First VPN faisait la publicité de « l'anonymat, la stabilité, la sécurité », affirmant : « Nous ne stockons aucun journal qui nous permettrait, à nous ou à des tiers, d'associer une adresse IP à une période donnée à l'utilisateur de notre service. » Le service déclarait également : « Les seules données que nous stockons sont l'e-mail et le nom d'utilisateur, mais il est impossible de relier l'activité de l'utilisateur sur Internet à un utilisateur spécifique de notre service. » Pour atténuer sa responsabilité, First VPN indiquait dans sa FAQ qu'il interdisait « strictement » l'utilisation de ses serveurs pour des activités illicites. « Cela facilite la réception de plaintes concernant nos serveurs, et par conséquent, ils seront désactivés », pouvait-on lire dans la FAQ.