Le 20 mai 2026, les autorités judiciaires françaises et néerlandaises ont mis hors service First VPN, un service de réseau privé virtuel dit « bulletproof » conçu pour masquer l’identité des cybercriminels. L’annonce, faite le lendemain par la procureure de Paris Laure Beccuau, a révélé l’ampleur d’un réseau actif depuis 2014 : 33 serveurs saisis à travers plusieurs pays européens, plus de 5 000 comptes reliés au service et 83 dossiers de renseignement transmis aux partenaires internationaux. Le démantèlement de First VPN marque un tournant dans la stratégie européenne, qui cible désormais l’infrastructure technique de la cybercriminalité plutôt que les seuls auteurs.
Cette opération, coordonnée par Europol et Eurojust, s’inscrit dans une séquence de frappes contre les services qui rendent possibles les attaques de rançongiciels, les vols de données et la fraude en ligne. Elle pose une question stratégique pour les défenseurs comme pour les attaquants : que vaut l’anonymat promis par un « bulletproof VPN » quand sept polices coopèrent pour l’éteindre ? Analyse d’un coup de filet qui redéfinit le rapport de force.
First VPN démantelé : ce que révèle l’opération du 20 mai 2026
L’opération a été conduite le mardi 20 mai 2026 et rendue publique le jeudi 21 mai par la procureure de Paris, Laure Beccuau. Les enquêteurs ont saisi 33 serveurs répartis dans différents pays d’Europe, fermant simultanément les noms de domaine qui permettaient à First VPN d’opérer. Selon le parquet de Paris, le service existait depuis 2014 et aurait été utilisé par plus de 5 000 comptes.
First VPN n’était pas un fournisseur grand public. Les autorités le décrivent comme un VPN « bulletproof », c’est-à-dire un service délibérément hébergé dans des juridictions complaisantes, ignorant les demandes de retrait et les réquisitions judiciaires. Sa clientèle visait l’opacité totale : dissimuler l’adresse IP réelle, brouiller la géolocalisation et empêcher tout recoupement entre une attaque et son auteur. Les investigations ont établi que l’outil servait à couvrir des attaques de rançongiciels, des vols de données et d’autres infractions graves.
Le travail des enquêteurs ne s’est pas arrêté à la saisie matérielle. À partir des données récupérées sur les serveurs, les autorités françaises ont constitué 83 dossiers de renseignement portant sur 506 usagers identifiés, transmis aux pays partenaires pour alimenter des enquêtes en cours. Cette exploitation des données est le véritable cœur de l’opération : un serveur saisi vaut surtout par les traces qu’il livre sur ses clients. C’est ce qui distingue une simple coupure technique d’une frappe judiciaire structurante.
De 2014 à 2026 : la longue traque d’un service clandestin
L’histoire de First VPN couvre plus d’une décennie. Lancé en 2014, le service a prospéré pendant des années à l’abri des juridictions complaisantes, à une période où la coopération judiciaire transfrontalière en matière cyber restait embryonnaire. Sa longévité illustre une réalité que les enquêteurs européens connaissent bien : les infrastructures criminelles survivent tant qu’aucune autorité ne dispose à la fois des preuves, de la compétence territoriale et des partenaires nécessaires pour frapper.
Le point de bascule est venu de la coopération franco-néerlandaise. Le juge d’instruction français a obtenu que le principal administrateur du service, localisé en Ukraine, soit entendu en présence d’enquêteurs français. Cet acte, rare dans des affaires impliquant des opérateurs basés hors de l’Union, montre que les frontières ne protègent plus automatiquement les gestionnaires d’infrastructures clandestines.
Les éléments recueillis ont notamment alimenté des enquêtes sur le rançongiciel Phobos, l’une des familles les plus actives contre les petites et moyennes entreprises ces dernières années. Le lien entre un service d’anonymisation et une souche de rançongiciel précise donne à l’opération une portée concrète : ce ne sont pas des serveurs abstraits qui tombent, mais un maillon des chaînes d’attaque qui frappent des hôpitaux, des collectivités et des PME.
Qu’est-ce qu’un VPN « bulletproof » ?
Pour comprendre la portée de l’affaire First VPN, il faut distinguer un VPN commercial légitime d’un service « bulletproof ». Les deux chiffrent le trafic et masquent l’adresse IP, mais leur modèle économique et leur posture juridique sont opposés. Un VPN grand public répond aux réquisitions légales et opère depuis des juridictions identifiables ; un VPN « bulletproof » vend explicitement l’impossibilité d’être tracé.
Un cousin du « bulletproof hosting »
Le CERT-FR, rattaché à l’ANSSI, définit le « bulletproof hosting » comme un service d’hébergement qui tolère sciemment des contenus et des activités illégales, opérant souvent depuis des juridictions laxistes. Un VPN « bulletproof » applique la même logique à la couche réseau : il garantit qu’aucune donnée de connexion ne sera conservée ni transmise aux autorités, quelles que soient les demandes légales. C’est précisément cette promesse d’impunité, et non la technologie VPN elle-même, qui fait l’objet des poursuites.
Pourquoi les criminels y recourent
Un attaquant qui loue un accès initial, déploie un rançongiciel puis négocie une rançon multiplie les points de contact avec ses victimes et avec les serveurs de commande. Chacun de ces points laisse une trace. Le VPN « bulletproof » sert à briser le lien entre l’identité réelle et l’activité criminelle, en faisant transiter le trafic par des serveurs qui ne coopéreront pas. Pour la défense, comprendre cette mécanique est aussi utile que de savoir distinguer un VPN d’anonymat d’un service grand public, sujet que nous détaillons dans notre comparatif Tor vs VPN.
33 serveurs, 506 usagers : les chiffres clés de l’affaire
Plusieurs chiffres circulent dans les comptes rendus de l’opération, et il convient de les manier avec prudence. Les « plus de 5 000 comptes » évoqués par le parquet ne correspondent pas aux « 506 usagers » des dossiers de renseignement : les premiers désignent l’ensemble des comptes ouverts sur la durée de vie du service, les seconds les profils suffisamment documentés pour fonder une transmission judiciaire. Le tableau ci-dessous synthétise les données les mieux établies à ce jour.
| Indicateur | Valeur | Précision |
|---|---|---|
| Date de l’opération | 20 mai 2026 | Annonce publique le 21 mai 2026 |
| Année de lancement du service | 2014 | Selon le parquet de Paris |
| Serveurs saisis | 33 | Répartis dans plusieurs pays d’Europe |
| Comptes reliés au service | Plus de 5 000 | Sur toute la durée de vie |
| Dossiers de renseignement | 83 | Transmis aux pays partenaires |
| Usagers documentés | 506 | Profils identifiés dans les dossiers |
| Administrateur principal | Localisé en Ukraine | Entendu à la demande du juge français |
| Rançongiciel lié à l’enquête | Phobos | Parmi les familles concernées |
Un point reste flou : le nombre exact de pays impliqués dans la coopération. Certains comptes rendus évoquent sept pays européens, d’autres jusqu’à seize. Aucun montant consolidé des dommages causés par First VPN n’a été communiqué à ce stade, et il serait imprudent d’en avancer un. Cette incertitude n’enlève rien à la portée symbolique de l’opération, mais elle rappelle qu’une analyse rigoureuse distingue les faits établis des chiffres encore mouvants.
Le maillon manquant des chaînes de rançongiciel
La cybercriminalité moderne fonctionne comme une industrie de services. Un groupe de rançongiciel ne maîtrise plus l’intégralité de sa chaîne : il achète des accès à des courtiers, loue des infrastructures à des hébergeurs complaisants et dissimule ses connexions derrière des VPN « bulletproof ». Chaque fournisseur se spécialise, ce qui rend l’écosystème plus efficace mais aussi plus fragile, car la disparition d’un maillon perturbe tous ceux qui en dépendaient.
En neutralisant First VPN, les autorités ne décapitent pas un groupe criminel, elles retirent un outil partagé par plusieurs. C’est la même logique que celle déployée contre les places de marché de données volées ou les services de chiffrement clandestins. La menace du rançongiciel reste l’enjeu central : en Europe, les campagnes d’extorsion ont fortement progressé en 2025, comme l’analyse notre dossier sur le ransomware en Europe. Priver les attaquants de leurs couches d’anonymat augmente mécaniquement leur coût opérationnel et leur risque d’exposition.
Cette approche n’est pas sans limite. Un service tombé est rapidement remplacé par un concurrent, et les utilisateurs les plus prudents migrent dès les premiers signes d’enquête. Mais chaque migration force les criminels à reconstruire des routines, à exposer de nouveaux comptes et à laisser de nouvelles traces. L’objectif n’est pas l’éradication, impossible, mais l’érosion continue de la rentabilité du crime.
Une coopération France-Pays-Bas pilotée par Europol et Eurojust
L’architecture de l’opération illustre la maturité atteinte par la coopération judiciaire européenne. La France et les Pays-Bas en ont assuré la direction, avec l’appui d’Europol pour la coordination opérationnelle et d’Eurojust pour la synchronisation judiciaire. Europol a confirmé que la fermeture des noms de domaine ciblés a été obtenue grâce à la coopération internationale des forces de l’ordre et des autorités judiciaires.
Le rôle d’Eurojust est souvent sous-estimé. L’agence ne mène pas d’enquêtes, mais elle résout les conflits de compétence, accélère les commissions rogatoires et permet à des magistrats de plusieurs pays d’agir le même jour. Sans cette mécanique, l’audition de l’administrateur en Ukraine ou la saisie simultanée de 33 serveurs dans plusieurs juridictions seraient restées impossibles. La coopération transfrontalière est désormais la condition de toute frappe sérieuse contre les infrastructures criminelles.
Cette montée en puissance s’inscrit dans une dynamique européenne plus large. Les attaques contre les institutions et services essentiels de l’Union, comme la récente vague visant les infrastructures d’énergie et d’eau, ont accéléré la mise en place de cadres de réponse partagés. La sécurité collective ne se joue plus à l’échelle nationale.
First VPN dans la lignée des grandes opérations européennes
Le démantèlement de First VPN n’est pas un événement isolé. Il prolonge une série d’opérations qui, depuis 2022, visent méthodiquement l’infrastructure de soutien de la cybercriminalité. La comparaison avec les frappes précédentes éclaire à la fois l’ambition et les proportions de l’affaire.
| Opération | Date | Cible | Bilan vérifié |
|---|---|---|---|
| VPNLab.net | Janvier 2022 | VPN « bulletproof » | 15 serveurs saisis dans 10 pays |
| Operation Endgame (phase 1) | Mai 2024 | Chargeurs et botnets | Plus de 100 serveurs, plus de 1 300 domaines, env. 69 M€ d’avoirs |
| Operation Endgame (phase 2) | Mai 2025 | Infrastructures de logiciels malveillants | 300 serveurs, 650 domaines, 20 mandats d’arrêt |
| Sanctions OFAC Zservers / XHOST | Février 2025 | Hébergeur « bulletproof » | Lié au rançongiciel LockBit |
| Sanctions OFAC Aeza Group | Juillet 2025 | Hébergeur « bulletproof » | Soutien à des opérations cybercriminelles |
| First VPN | Mai 2026 | VPN « bulletproof » | 33 serveurs, 5 000+ comptes, 506 usagers documentés |
Le parallèle le plus direct est VPNLab.net, démantelé en janvier 2022 avec la saisie de 15 serveurs dans 10 pays. Quatre ans plus tard, First VPN tombe avec plus du double de serveurs et une exploitation des données bien plus poussée. Entre les deux, les opérations Endgame de 2024 et 2025 ont démontré qu’il était possible de neutraliser des centaines de serveurs et de domaines en une seule séquence coordonnée. La courbe d’apprentissage des forces de l’ordre européennes est manifeste.
Bulletproof hosting : un marché désormais sous sanctions
La frappe judiciaire n’est qu’un des leviers. Les États-Unis ont ouvert un second front avec l’arme des sanctions financières. En février 2025, le Trésor américain a sanctionné Zservers et son entité opérationnelle XHOST, accusés d’avoir fourni une infrastructure d’hébergement « bulletproof » au rançongiciel LockBit. En juillet 2025, c’est le groupe Aeza qui a été visé pour son rôle dans l’hébergement de services soutenant des opérations cybercriminelles.
Ces sanctions changent l’économie du secteur. Un hébergeur listé par l’OFAC perd l’accès au système financier occidental, voit ses partenaires se détourner et devient toxique pour toute entreprise qui voudrait traiter avec lui. Combinée aux saisies judiciaires européennes, cette pression crée un effet de tenaille : les démantèlements détruisent les serveurs, les sanctions assèchent les flux financiers. La stratégie de l’extorsion sans chiffrement, où les groupes misent tout sur le vol de données, dépend elle aussi de ces infrastructures de dissimulation.
Le risque, identifié par plusieurs chercheurs, est celui d’un déplacement géographique. Privés d’hébergeurs en Europe et bannis du système américain, les opérateurs se replient vers des juridictions encore plus difficiles d’accès. La lutte devient un jeu de relocalisation permanent, où chaque victoire rapproche la cible d’un sanctuaire mais ne l’élimine jamais totalement.
Impact pour les entreprises et le marché de la cybersécurité
Pour les entreprises, le démantèlement de First VPN a une conséquence directe : les indicateurs de compromission liés à ce service deviennent exploitables. Les équipes de sécurité peuvent rechercher dans leurs journaux les connexions associées aux plages d’adresses du service et identifier d’éventuelles intrusions passées restées invisibles. Les 506 usagers documentés alimenteront des enquêtes qui pourraient révéler des victimes encore inconscientes d’avoir été touchées.
Le contexte de menace reste tendu. Selon une étude relayée par Guardia School, 16 % des TPE et PME interrogées déclarent avoir subi au moins un incident sur les douze derniers mois, et 80 % s’estiment mal préparées. Ce sont précisément ces organisations que visent des rançongiciels comme Phobos, faute de moyens de détection et de réponse à la hauteur. Chaque infrastructure clandestine retirée du marché réduit la surface offensive disponible contre elles.
Sur le marché de la cybersécurité, ces opérations renforcent la demande pour le renseignement sur les menaces et l’investigation numérique. Les éditeurs capables de corréler des indicateurs issus de saisies judiciaires avec les journaux clients gagnent un avantage concurrentiel. La valeur ne réside plus seulement dans la détection, mais dans la capacité à rattacher une alerte à une infrastructure connue et neutralisée.
Réactions et analyses d’experts
Les responsables judiciaires et institutionnels ont souligné la dimension stratégique de l’opération. La procureure de Paris Laure Beccuau a mis en avant le caractère structurant de la saisie : « First VPN existait depuis 2014 et avait servi à des milliers de comptes pour dissimuler des activités criminelles ; mettre fin à ce service, c’est priver les attaquants d’un outil de confiance », a-t-elle résumé en substance lors de l’annonce.
Du côté d’Europol, la directrice exécutive Catherine De Bolle défend une ligne constante depuis les opérations Endgame : l’objectif n’est pas seulement d’interpeller des auteurs, mais de « perturber l’écosystème criminel lui-même » en frappant les serveurs, les domaines et les services qui rendent l’activité possible. La fermeture de First VPN prolonge cette doctrine de la frappe sur l’infrastructure.
Edvardas Šileris, à la tête du Centre européen de lutte contre la cybercriminalité (EC3) d’Europol, insiste sur la nécessité de neutraliser les plateformes et services d’hébergement qui permettent le phishing, les botnets et le rançongiciel. Selon la position qu’il porte, la répression doit viser l’infrastructure de soutien autant que les individus, car c’est elle qui assure la résilience des réseaux criminels.
En France, le directeur général de l’ANSSI Vincent Strubel rappelle régulièrement que la menace est dominée par des acteurs opportunistes et industrialisés, et que la réponse doit combiner détection, résilience et réduction de l’exposition. Cette logique de durcissement des infrastructures et de désorganisation des chaînes d’attaque trouve dans l’affaire First VPN une illustration concrète. Le CERT-FR, de son côté, qualifie le « bulletproof hosting » de facteur d’industrialisation de la cybercriminalité, à cibler en priorité.
Le contexte réglementaire français et européen
L’affaire survient dans un climat réglementaire dense. Le bilan 2025 de la CNIL, publié le 18 mai 2026, fait état de 20 150 plaintes, 323 contrôles, 259 décisions et 83 sanctions, pour un total de plus de 487 millions d’euros d’amendes. L’autorité a aussi enregistré 6 167 notifications de violation de données en 2025, en hausse de 9,5 %, dont une sur deux résultait d’un acte de piratage informatique. La pression réglementaire sur les incidents cyber n’a jamais été aussi forte.
Du côté opérationnel, l’ANSSI a traité 1 366 incidents en 2025, un niveau qui se stabilise à un seuil élevé. La directive NIS2, dont la transposition mobilise les administrations françaises pour 2026-2027, élargit le périmètre des entités soumises à des obligations de sécurité et de notification. La feuille de route cyber de l’État pour 2026-2027, publiée le 9 avril 2026, place explicitement la conformité NIS2 et la préparation post-quantique au cœur de l’action publique.
Pour les organisations, l’enjeu est double : se défendre contre des attaquants mieux outillés et répondre à des obligations de transparence renforcées. Le démantèlement de First VPN s’inscrit dans cet écosystème où répression judiciaire, sanctions financières et régulation se renforcent mutuellement. Sur le plan des amendes record, le dossier français le plus marquant reste la sanction CNIL contre Free, symbole d’une régulation qui ne tolère plus la négligence.
Cinq prédictions pour la lutte contre l’infrastructure criminelle
L’affaire First VPN dessine plusieurs tendances pour les mois à venir. Voici cinq prédictions raisonnées à partir des dynamiques observées en 2025-2026.
- Multiplication des frappes sur l’infrastructure. Après VPNLab, Endgame et First VPN, les autorités européennes continueront de cibler les services partagés (VPN, hébergeurs, courtiers d’accès) plutôt que les seuls groupes. Attendez-vous à au moins une opération transfrontalière majeure par trimestre.
- Déplacement vers des juridictions sanctuaires. Privés d’hébergeurs en Europe et bannis du système financier américain, les opérateurs « bulletproof » se relocaliseront vers des zones encore moins coopératives, allongeant les délais d’enquête.
- Convergence sanctions-saisies. Le modèle de la tenaille, sanctions OFAC d’un côté, démantèlements européens de l’autre, deviendra la norme. Les hébergeurs criminels seront frappés simultanément sur leurs serveurs et leurs flux financiers.
- Exploitation accrue des données saisies. Comme pour les 506 usagers de First VPN, chaque saisie nourrira des vagues d’enquêtes secondaires. Le serveur n’est plus une fin, mais une source de renseignement contre les clients.
- Pression sur l’authentification et le contournement du MFA. Plusieurs éditeurs, dont Proofpoint et Google, anticipent que les attaquants viseront davantage l’authentification, via le vishing et l’ingénierie sociale, pour compenser la perte de leurs couches d’anonymat.
Ce que les organisations doivent retenir
Le démantèlement de First VPN n’éliminera pas la cybercriminalité, mais il en augmente le coût et le risque. Pour les responsables sécurité, trois réflexes s’imposent. D’abord, intégrer les indicateurs de compromission liés au service dans leurs outils de détection, afin de débusquer d’éventuelles intrusions historiques. Ensuite, renforcer l’authentification, car les attaquants reportent leur pression sur ce maillon. Enfin, suivre les publications du CERT-FR et d’Europol, qui diffusent les éléments techniques exploitables après chaque opération.
L’affaire confirme surtout un changement de paradigme. La cybersécurité ne se joue plus uniquement dans les pare-feux des entreprises, mais aussi dans les salles d’audience et les cellules de coopération européenne. Pour les défenseurs, comprendre cette dimension judiciaire devient un atout : savoir qu’un service d’anonymisation est tombé, c’est savoir quelles traces chercher et quelles menaces réévaluer.
Related Coverage
- Ransomware en Europe : +44,5 % de victimes [2026]
- Tor vs VPN : 1 Mbps vs 95 % de débit [2026]
- Scattered Spider : 300 M£ de pertes chez M&S [2026]
- ShinyHunters : 1,5 milliard de données volées [2026]
- Cybermenace 2025 : l’ANSSI traite 1 366 incidents [2026]
- Sanction CNIL Free : 42 M€, 24 M comptes [2026]
Questions fréquentes
Qu’est-ce que First VPN ?
First VPN était un service de réseau privé virtuel dit « bulletproof », actif depuis 2014, conçu pour dissimuler l’identité et la localisation de ses utilisateurs. Selon le parquet de Paris, il était utilisé par des cybercriminels pour couvrir des attaques de rançongiciels, des vols de données et d’autres infractions graves. Il a été démantelé le 20 mai 2026.
Qui a mené le démantèlement de First VPN ?
L’opération a été conduite par les autorités judiciaires françaises et néerlandaises, avec l’appui d’Europol pour la coordination opérationnelle et d’Eurojust pour la synchronisation judiciaire. La procureure de Paris Laure Beccuau a annoncé les résultats le 21 mai 2026.
Combien de serveurs ont été saisis ?
Trente-trois serveurs ont été saisis dans plusieurs pays d’Europe. Les noms de domaine du service ont été fermés simultanément. Les données récupérées ont permis de constituer 83 dossiers de renseignement portant sur 506 usagers identifiés.
Qu’est-ce qu’un VPN « bulletproof » ?
C’est un service VPN délibérément hébergé dans des juridictions complaisantes, qui refuse de conserver et de transmettre les données de connexion aux autorités. À la différence d’un VPN commercial légitime, sa promesse centrale est l’impunité, ce qui en fait un outil prisé des cybercriminels.
Quel lien avec le rançongiciel Phobos ?
Les éléments recueillis lors de l’enquête ont alimenté des investigations sur le rançongiciel Phobos, l’une des familles les plus actives contre les PME. First VPN servait à dissimuler des connexions liées à ce type d’opérations, ce qui en faisait un maillon des chaînes d’attaque.
Les utilisateurs de First VPN risquent-ils des poursuites ?
Les 506 usagers documentés font l’objet de dossiers de renseignement transmis aux pays partenaires. Ces transmissions peuvent alimenter des enquêtes en cours et conduire à des poursuites lorsque des activités criminelles sont établies. La saisie des serveurs a donc des conséquences bien au-delà de la simple fermeture du service.
Cette opération va-t-elle réduire la cybercriminalité ?
Elle augmente le coût et le risque pour les attaquants sans éliminer la menace. Un service démantelé est souvent remplacé, mais chaque opération force les criminels à reconstruire leurs routines et à exposer de nouvelles traces. La stratégie européenne mise sur l’érosion continue de la rentabilité du crime plutôt que sur une éradication impossible.
Sources et références : Europol, Operation Endgame, Eurojust, CERT-FR, CNIL, cyber.gouv.fr (ANSSI).
