Les autorités européennes ont mené l'une des opérations de cybercriminalité les plus médiatisées de ces dernières années. Le service First VPN, également connu sous le nom de 1VPNS, présenté sur des forums de hackers russophones comme un refuge pour les cybercriminels, a été ciblé. Europol a confirmé la saisie de l'infrastructure, la fermeture des serveurs et l'identification de centaines d'utilisateurs impliqués dans des activités criminelles. L'opération, menée les 19 et 20 mai, a impliqué des actions dans 27 pays. En Ukraine, les enquêteurs ont interpellé l'administrateur présumé du service après une perquisition à son domicile. Parallèlement, 33 serveurs hébergeant First VPN ont été saisis et les principaux domaines du service, notamment 1vpns.com, 1vpns.net et 1vpns.org, ont été fermés. Les adresses Onion associées, opérant sur le réseau Tor, ont également été désactivées. Selon Europol, First VPN est depuis des années l'un des outils les plus utilisés par les cybercriminels pour dissimuler leurs activités. Ce service a été impliqué dans la quasi-totalité des enquêtes majeures menées par les agences européennes concernant les rançongiciels, les fraudes en ligne et les vols de données. Ce qui est sans doute le plus inquiétant pour les utilisateurs de First VPN, c'est que les enquêteurs ont pu accéder à l'infrastructure du service avant sa fermeture. Europol et Eurojust ont confirmé avoir surveillé le fonctionnement du VPN pendant un certain temps, collectant des données sur le trafic et l'activité des utilisateurs. Ces informations ont permis d'obtenir des pistes opérationnelles concernant des attaques de rançongiciels, des fraudes financières et d'autres cybercrimes commis à travers le monde. Europol a également indiqué que les données de plus de 500 utilisateurs avaient été transmises à des partenaires internationaux. Les enquêteurs affirment que cette opération pourrait mener à d'autres arrestations et à de nouvelles poursuites.

Le premier VPN a été présenté sur les forums de cybercriminalité comme un service spécialement conçu pour garantir l'anonymat. Les publicités laissaient entendre que les utilisateurs pouvaient dissimuler en toute sécurité leur identité et l'infrastructure utilisée pour les cyberattaques. C’est cette image qui a attiré les groupes de rançongiciels et les individus impliqués dans le phishing, le vol de données et l’extorsion. Selon les enquêteurs, ce service est devenu l’un des piliers du marché clandestin de la cybercriminalité. Edvardas Šileris, directeur du Centre européen de lutte contre la cybercriminalité d'Europol, a déclaré ouvertement que, pendant des années, les criminels ont cru à leur impunité et à leur anonymat. L'opération visait à démontrer que même les services conçus pour dissimuler une activité ne garantissent pas une protection totale contre les forces de l'ordre. L'enquête concernant First VPN est en cours depuis 2021. Menée conjointement par la France et les Pays-Bas, avec le soutien d'Europol, d'Eurojust et de la société de cybersécurité Bitdefender, l'opération a permis aux agences de recourir à des mandats d'enquête européens et à l'entraide judiciaire internationale pour accéder à l'infrastructure du VPN et suivre les flux de données entre les utilisateurs. Les experts soulignent qu'il s'agit de l'une des opérations les plus sophistiquées jamais menées contre un service VPN utilisé par les cybercriminels. Jusqu'à présent, des plateformes similaires ont souvent fonctionné pendant des années sans problème majeur.

L'ensemble du dossier pourrait être utilisé contre ce type de services. Les VPN sont présentés depuis des années comme des outils renforçant la sécurité des utilisateurs, protégeant les données et empêchant le suivi des activités en ligne. Cependant, certains de ces services sont parfois exploités par des groupes criminels. Cependant, les experts soulignent que la grande majorité des fournisseurs de VPN légitimes opèrent en toute légalité et ne sont pas impliqués dans la cybercriminalité. First VPN se serait distingué par un marketing agressif ciblant directement les communautés de hackers et promouvant l'anonymat comme moyen d'échapper aux forces de l'ordre. Après la prise de contrôle de l'infrastructure par Europol, les utilisateurs du service ont vu des messages annonçant sa fermeture et l'identification de certains clients. Pour beaucoup, cela a peut-être constitué le premier avertissement que l'anonymat numérique n'était plus aussi fiable qu'il y a quelques années.