Skip to content
hacker_posts

Opération Saffron : la France et les Pays-Bas démantèlent First VPN

33 serveurs saisis dans 27 pays, un administrateur interpellé en Ukraine. Le service était utilisé par 25 groupes de rançongiciels et plus de 5 000 comptes criminels.

Publié le 3 min de lecture
ransomwareeuropolvpnfranceoperation-saffron

Action coup de poing les 19 et 20 mai 2026 : l'opération Saffron, pilotée par la France et les Pays-Bas avec l'appui d'Europol, d'Eurojust et de Bitdefender, a mis hors ligne First VPN (1VPNS), un service d'anonymisation prisé des opérateurs de rançongiciels et des fraudeurs depuis plusieurs années. Bilan opérationnel : 33 serveurs saisis dans 27 pays, l'administrateur principal interpellé en Ukraine, les domaines principaux du service neutralisés. L'annonce officielle d'Europol date du 21 mai.

Le service ciblé

First VPN se vendait sur les forums cybercriminels russophones comme un outil conçu pour échapper aux forces de l'ordre et masquer l'origine d'attaques. Selon les enquêteurs, 25 groupes de rançongiciels s'en servaient en routine, aux côtés de fraudeurs, de voleurs de données et d'opérateurs de scans à grande échelle. Le service exploitait un réseau de 32 nœuds de sortie distribués dans 27 pays — un éclatement géographique typique des fournisseurs d'anonymisation « bulletproof ».

L'enquête a démarré dès décembre 2021. L'équipe commune d'enquête franco-néerlandaise, formalisée en 2023, a obtenu un accès interne au service au fil du temps — c'est cette infiltration longue durée qui explique l'ampleur des données récupérées lors du démantèlement.

Ce qui change pour les utilisateurs

Le point central de l'opération n'est pas la mise hors ligne du service. C'est la saisie de la base d'utilisateurs. Les enquêteurs disposent désormais de l'identification des connexions VPN attribuables à des cybercriminels présumés. Plus de 5 000 comptes considérés comme criminels figurent dans cette base. La cellule opérationnelle a déjà adressé 83 dossiers de renseignements concernant 506 usagers à ses partenaires.

Conséquence pratique : tout opérateur qui s'appuyait sur First VPN comme couche d'anonymisation doit considérer son historique de connexion comme compromis. Les enquêtes en cours sur les incidents de rançongiciel des dix-huit derniers mois — y compris des dossiers déjà classés faute de pistes — peuvent rouvrir là où les logs récupérés permettent une corrélation.

La coalition

18 pays ont contribué : Canada, Danemark, Estonie, France, Allemagne, Lettonie, Lituanie, Luxembourg, Pays-Bas, Pologne, Portugal, Roumanie, Espagne, Suède, Suisse, Ukraine, Royaume-Uni et États-Unis. Eurojust a hébergé 16 réunions de coordination sur la durée de l'enquête. Du côté privé, Bitdefender a contribué via le programme partenaire d'Europol — c'est la première opération de cette ampleur sur la catégorie VPN dans l'historique de cette collaboration.

À surveiller

  1. Migration vers un autre fournisseur. L'écosystème cybercriminel ne reste jamais longtemps sans relais d'anonymisation. Surveillez la promotion sur les forums russophones de nouveaux services « bulletproof » dans les semaines qui viennent.
  2. Renforcement des hypothèses d'enquête. Les équipes DFIR et CERT qui travaillent sur des incidents récents peuvent demander à être destinataires d'éléments via leur point de contact Europol national, dès lors qu'une connexion attribuée à First VPN apparaît dans leurs logs.
  3. Détection. Les adresses IP des nœuds de sortie First VPN, désormais documentées, peuvent enrichir les listes de réputation de votre SIEM ou de votre pare-feu nouvelle génération. Les fournisseurs de threat intelligence devraient publier des feeds dédiés dans la foulée.

Contexte

L'opération Saffron prolonge une série de démantèlements ciblant l'infrastructure cybercriminelle « as a service » : VPN, marchés noirs, hébergeurs bulletproof, services de cash-out. La stratégie est désormais assumée : viser les canaux mutualisés plutôt que les groupes individuels, parce qu'un seul démantèlement met simultanément en difficulté des dizaines d'opérateurs en aval.

C'est aussi le premier démantèlement majeur de la catégorie VPN dans l'historique de la collaboration de Bitdefender avec les forces de l'ordre — un signal que les éditeurs de cybersécurité acceptent désormais d'intégrer formellement la chaîne d'investigation policière, et plus seulement de publier des rapports indépendants après-coup.

Articles liés