{"id":180,"date":"2026-06-15T20:27:54","date_gmt":"2026-06-15T20:27:54","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/15\/first-vpn-demantelement-33-serveurs-2026\/"},"modified":"2026-06-16T08:15:09","modified_gmt":"2026-06-16T08:15:09","slug":"first-vpn-demantelement-33-serveurs-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/2026\/06\/15\/first-vpn-demantelement-33-serveurs-2026\/","title":{"rendered":"First VPN d\u00e9mantel\u00e9 : 33 serveurs, 5 000 comptes [2026]"},"content":{"rendered":"\n

Le 20 mai 2026, les autorit\u00e9s judiciaires fran\u00e7aises et n\u00e9erlandaises ont mis hors service First VPN<\/strong>, un service de r\u00e9seau priv\u00e9 virtuel dit \u00ab bulletproof \u00bb con\u00e7u pour masquer l’identit\u00e9 des cybercriminels. L’annonce, faite le lendemain par la procureure de Paris Laure Beccuau, a r\u00e9v\u00e9l\u00e9 l’ampleur d’un r\u00e9seau actif depuis 2014 : 33 serveurs saisis \u00e0 travers plusieurs pays europ\u00e9ens, plus de 5 000 comptes reli\u00e9s au service et 83 dossiers de renseignement transmis aux partenaires internationaux. Le d\u00e9mant\u00e8lement de First VPN marque un tournant dans la strat\u00e9gie europ\u00e9enne, qui cible d\u00e9sormais l’infrastructure technique de la cybercriminalit\u00e9 plut\u00f4t que les seuls auteurs.<\/p>\n\n\n\n

Cette op\u00e9ration, coordonn\u00e9e par Europol et Eurojust, s’inscrit dans une s\u00e9quence de frappes contre les services qui rendent possibles les attaques de ran\u00e7ongiciels, les vols de donn\u00e9es et la fraude en ligne. Elle pose une question strat\u00e9gique pour les d\u00e9fenseurs comme pour les attaquants : que vaut l’anonymat promis par un \u00ab bulletproof VPN \u00bb quand sept polices coop\u00e8rent pour l’\u00e9teindre ? Analyse d’un coup de filet qui red\u00e9finit le rapport de force.<\/p>\n\n\n\n

First VPN d\u00e9mantel\u00e9 : ce que r\u00e9v\u00e8le l’op\u00e9ration du 20 mai 2026<\/h2>\n\n\n\n

L’op\u00e9ration a \u00e9t\u00e9 conduite le mardi 20 mai 2026 et rendue publique le jeudi 21 mai par la procureure de Paris, Laure Beccuau. Les enqu\u00eateurs ont saisi 33 serveurs<\/strong> r\u00e9partis dans diff\u00e9rents pays d’Europe, fermant simultan\u00e9ment les noms de domaine qui permettaient \u00e0 First VPN d’op\u00e9rer. Selon le parquet de Paris, le service existait depuis 2014 et aurait \u00e9t\u00e9 utilis\u00e9 par plus de 5 000 comptes<\/strong>.<\/p>\n\n\n\n

First VPN n’\u00e9tait pas un fournisseur grand public. Les autorit\u00e9s le d\u00e9crivent comme un VPN \u00ab bulletproof \u00bb, c’est-\u00e0-dire un service d\u00e9lib\u00e9r\u00e9ment h\u00e9berg\u00e9 dans des juridictions complaisantes, ignorant les demandes de retrait et les r\u00e9quisitions judiciaires. Sa client\u00e8le visait l’opacit\u00e9 totale : dissimuler l’adresse IP r\u00e9elle, brouiller la g\u00e9olocalisation et emp\u00eacher tout recoupement entre une attaque et son auteur. Les investigations ont \u00e9tabli que l’outil servait \u00e0 couvrir des attaques de ran\u00e7ongiciels, des vols de donn\u00e9es et d’autres infractions graves.<\/p>\n\n\n\n

Le travail des enqu\u00eateurs ne s’est pas arr\u00eat\u00e9 \u00e0 la saisie mat\u00e9rielle. \u00c0 partir des donn\u00e9es r\u00e9cup\u00e9r\u00e9es sur les serveurs, les autorit\u00e9s fran\u00e7aises ont constitu\u00e9 83 dossiers de renseignement<\/strong> portant sur 506 usagers<\/strong> identifi\u00e9s, transmis aux pays partenaires pour alimenter des enqu\u00eates en cours. Cette exploitation des donn\u00e9es est le v\u00e9ritable c\u0153ur de l’op\u00e9ration : un serveur saisi vaut surtout par les traces qu’il livre sur ses clients. C’est ce qui distingue une simple coupure technique d’une frappe judiciaire structurante.<\/p>\n\n\n\n

De 2014 \u00e0 2026 : la longue traque d’un service clandestin<\/h2>\n\n\n\n

L’histoire de First VPN couvre plus d’une d\u00e9cennie. Lanc\u00e9 en 2014, le service a prosp\u00e9r\u00e9 pendant des ann\u00e9es \u00e0 l’abri des juridictions complaisantes, \u00e0 une p\u00e9riode o\u00f9 la coop\u00e9ration judiciaire transfrontali\u00e8re en mati\u00e8re cyber restait embryonnaire. Sa long\u00e9vit\u00e9 illustre une r\u00e9alit\u00e9 que les enqu\u00eateurs europ\u00e9ens connaissent bien : les infrastructures criminelles survivent tant qu’aucune autorit\u00e9 ne dispose \u00e0 la fois des preuves, de la comp\u00e9tence territoriale et des partenaires n\u00e9cessaires pour frapper.<\/p>\n\n\n\n

Le point de bascule est venu de la coop\u00e9ration franco-n\u00e9erlandaise. Le juge d’instruction fran\u00e7ais a obtenu que le principal administrateur du service, localis\u00e9 en Ukraine<\/strong>, soit entendu en pr\u00e9sence d’enqu\u00eateurs fran\u00e7ais. Cet acte, rare dans des affaires impliquant des op\u00e9rateurs bas\u00e9s hors de l’Union, montre que les fronti\u00e8res ne prot\u00e8gent plus automatiquement les gestionnaires d’infrastructures clandestines.<\/p>\n\n\n\n

Les \u00e9l\u00e9ments recueillis ont notamment aliment\u00e9 des enqu\u00eates sur le ran\u00e7ongiciel Phobos<\/strong>, l’une des familles les plus actives contre les petites et moyennes entreprises ces derni\u00e8res ann\u00e9es. Le lien entre un service d’anonymisation et une souche de ran\u00e7ongiciel pr\u00e9cise donne \u00e0 l’op\u00e9ration une port\u00e9e concr\u00e8te : ce ne sont pas des serveurs abstraits qui tombent, mais un maillon des cha\u00eenes d’attaque qui frappent des h\u00f4pitaux, des collectivit\u00e9s et des PME.<\/p>\n\n\n\n

Qu’est-ce qu’un VPN \u00ab bulletproof \u00bb ?<\/h2>\n\n\n\n

Pour comprendre la port\u00e9e de l’affaire First VPN, il faut distinguer un VPN commercial l\u00e9gitime d’un service \u00ab bulletproof \u00bb. Les deux chiffrent le trafic et masquent l’adresse IP, mais leur mod\u00e8le \u00e9conomique et leur posture juridique sont oppos\u00e9s. Un VPN grand public r\u00e9pond aux r\u00e9quisitions l\u00e9gales et op\u00e8re depuis des juridictions identifiables ; un VPN \u00ab bulletproof \u00bb vend explicitement l’impossibilit\u00e9 d’\u00eatre trac\u00e9.<\/p>\n\n\n\n

Un cousin du \u00ab bulletproof hosting \u00bb<\/h3>\n\n\n\n

Le CERT-FR, rattach\u00e9 \u00e0 l’ANSSI, d\u00e9finit le \u00ab bulletproof hosting \u00bb comme un service d’h\u00e9bergement qui tol\u00e8re sciemment des contenus et des activit\u00e9s ill\u00e9gales, op\u00e9rant souvent depuis des juridictions laxistes. Un VPN \u00ab bulletproof \u00bb applique la m\u00eame logique \u00e0 la couche r\u00e9seau : il garantit qu’aucune donn\u00e9e de connexion ne sera conserv\u00e9e ni transmise aux autorit\u00e9s, quelles que soient les demandes l\u00e9gales. C’est pr\u00e9cis\u00e9ment cette promesse d’impunit\u00e9, et non la technologie VPN elle-m\u00eame, qui fait l’objet des poursuites.<\/p>\n\n\n\n

Pourquoi les criminels y recourent<\/h3>\n\n\n\n

Un attaquant qui loue un acc\u00e8s initial, d\u00e9ploie un ran\u00e7ongiciel puis n\u00e9gocie une ran\u00e7on multiplie les points de contact avec ses victimes et avec les serveurs de commande. Chacun de ces points laisse une trace. Le VPN \u00ab bulletproof \u00bb sert \u00e0 briser le lien entre l’identit\u00e9 r\u00e9elle et l’activit\u00e9 criminelle, en faisant transiter le trafic par des serveurs qui ne coop\u00e9reront pas. Pour la d\u00e9fense, comprendre cette m\u00e9canique est aussi utile que de savoir distinguer un VPN d’anonymat d’un service grand public, sujet que nous d\u00e9taillons dans notre comparatif Tor vs VPN<\/a>.<\/p>\n\n\n\n

33 serveurs, 506 usagers : les chiffres cl\u00e9s de l’affaire<\/h2>\n\n\n\n

Plusieurs chiffres circulent dans les comptes rendus de l’op\u00e9ration, et il convient de les manier avec prudence. Les \u00ab plus de 5 000 comptes \u00bb \u00e9voqu\u00e9s par le parquet ne correspondent pas aux \u00ab 506 usagers \u00bb des dossiers de renseignement : les premiers d\u00e9signent l’ensemble des comptes ouverts sur la dur\u00e9e de vie du service, les seconds les profils suffisamment document\u00e9s pour fonder une transmission judiciaire. Le tableau ci-dessous synth\u00e9tise les donn\u00e9es les mieux \u00e9tablies \u00e0 ce jour.<\/p>\n\n\n\n

Indicateur<\/th>Valeur<\/th>Pr\u00e9cision<\/th><\/tr><\/thead>
Date de l’op\u00e9ration<\/td>20 mai 2026<\/td>Annonce publique le 21 mai 2026<\/td><\/tr>
Ann\u00e9e de lancement du service<\/td>2014<\/td>Selon le parquet de Paris<\/td><\/tr>
Serveurs saisis<\/td>33<\/td>R\u00e9partis dans plusieurs pays d’Europe<\/td><\/tr>
Comptes reli\u00e9s au service<\/td>Plus de 5 000<\/td>Sur toute la dur\u00e9e de vie<\/td><\/tr>
Dossiers de renseignement<\/td>83<\/td>Transmis aux pays partenaires<\/td><\/tr>
Usagers document\u00e9s<\/td>506<\/td>Profils identifi\u00e9s dans les dossiers<\/td><\/tr>
Administrateur principal<\/td>Localis\u00e9 en Ukraine<\/td>Entendu \u00e0 la demande du juge fran\u00e7ais<\/td><\/tr>
Ran\u00e7ongiciel li\u00e9 \u00e0 l’enqu\u00eate<\/td>Phobos<\/td>Parmi les familles concern\u00e9es<\/td><\/tr><\/tbody><\/table>
Sources : parquet de Paris, Europol. Chiffres les mieux corrobor\u00e9s au 15 juin 2026.<\/figcaption><\/figure>\n\n\n\n

Un point reste flou : le nombre exact de pays impliqu\u00e9s dans la coop\u00e9ration. Certains comptes rendus \u00e9voquent sept pays europ\u00e9ens, d’autres jusqu’\u00e0 seize. Aucun montant consolid\u00e9 des dommages caus\u00e9s par First VPN n’a \u00e9t\u00e9 communiqu\u00e9 \u00e0 ce stade, et il serait imprudent d’en avancer un. Cette incertitude n’enl\u00e8ve rien \u00e0 la port\u00e9e symbolique de l’op\u00e9ration, mais elle rappelle qu’une analyse rigoureuse distingue les faits \u00e9tablis des chiffres encore mouvants.<\/p>\n\n\n\n

Le maillon manquant des cha\u00eenes de ran\u00e7ongiciel<\/h2>\n\n\n\n

La cybercriminalit\u00e9 moderne fonctionne comme une industrie de services. Un groupe de ran\u00e7ongiciel ne ma\u00eetrise plus l’int\u00e9gralit\u00e9 de sa cha\u00eene : il ach\u00e8te des acc\u00e8s \u00e0 des courtiers, loue des infrastructures \u00e0 des h\u00e9bergeurs complaisants et dissimule ses connexions derri\u00e8re des VPN \u00ab bulletproof \u00bb. Chaque fournisseur se sp\u00e9cialise, ce qui rend l’\u00e9cosyst\u00e8me plus efficace mais aussi plus fragile, car la disparition d’un maillon perturbe tous ceux qui en d\u00e9pendaient.<\/p>\n\n\n\n

En neutralisant First VPN, les autorit\u00e9s ne d\u00e9capitent pas un groupe criminel, elles retirent un outil partag\u00e9 par plusieurs. C’est la m\u00eame logique que celle d\u00e9ploy\u00e9e contre les places de march\u00e9 de donn\u00e9es vol\u00e9es ou les services de chiffrement clandestins. La menace du ran\u00e7ongiciel reste l’enjeu central : en Europe, les campagnes d’extorsion ont fortement progress\u00e9 en 2025, comme l’analyse notre dossier sur le ransomware en Europe<\/a>. Priver les attaquants de leurs couches d’anonymat augmente m\u00e9caniquement leur co\u00fbt op\u00e9rationnel et leur risque d’exposition.<\/p>\n\n\n\n

Cette approche n’est pas sans limite. Un service tomb\u00e9 est rapidement remplac\u00e9 par un concurrent, et les utilisateurs les plus prudents migrent d\u00e8s les premiers signes d’enqu\u00eate. Mais chaque migration force les criminels \u00e0 reconstruire des routines, \u00e0 exposer de nouveaux comptes et \u00e0 laisser de nouvelles traces. L’objectif n’est pas l’\u00e9radication, impossible, mais l’\u00e9rosion continue de la rentabilit\u00e9 du crime.<\/p>\n\n\n\n

Une coop\u00e9ration France-Pays-Bas pilot\u00e9e par Europol et Eurojust<\/h2>\n\n\n\n

L’architecture de l’op\u00e9ration illustre la maturit\u00e9 atteinte par la coop\u00e9ration judiciaire europ\u00e9enne. La France et les Pays-Bas en ont assur\u00e9 la direction, avec l’appui d’Europol<\/strong> pour la coordination op\u00e9rationnelle et d’Eurojust<\/strong> pour la synchronisation judiciaire. Europol a confirm\u00e9 que la fermeture des noms de domaine cibl\u00e9s a \u00e9t\u00e9 obtenue gr\u00e2ce \u00e0 la coop\u00e9ration internationale des forces de l’ordre et des autorit\u00e9s judiciaires.<\/p>\n\n\n\n

Le r\u00f4le d’Eurojust est souvent sous-estim\u00e9. L’agence ne m\u00e8ne pas d’enqu\u00eates, mais elle r\u00e9sout les conflits de comp\u00e9tence, acc\u00e9l\u00e8re les commissions rogatoires et permet \u00e0 des magistrats de plusieurs pays d’agir le m\u00eame jour. Sans cette m\u00e9canique, l’audition de l’administrateur en Ukraine ou la saisie simultan\u00e9e de 33 serveurs dans plusieurs juridictions seraient rest\u00e9es impossibles. La coop\u00e9ration transfrontali\u00e8re est d\u00e9sormais la condition de toute frappe s\u00e9rieuse contre les infrastructures criminelles.<\/p>\n\n\n\n

Cette mont\u00e9e en puissance s’inscrit dans une dynamique europ\u00e9enne plus large. Les attaques contre les institutions et services essentiels de l’Union, comme la r\u00e9cente vague visant les infrastructures d’\u00e9nergie et d’eau<\/a>, ont acc\u00e9l\u00e9r\u00e9 la mise en place de cadres de r\u00e9ponse partag\u00e9s. La s\u00e9curit\u00e9 collective ne se joue plus \u00e0 l’\u00e9chelle nationale.<\/p>\n\n\n\n

First VPN dans la lign\u00e9e des grandes op\u00e9rations europ\u00e9ennes<\/h2>\n\n\n\n

Le d\u00e9mant\u00e8lement de First VPN n’est pas un \u00e9v\u00e9nement isol\u00e9. Il prolonge une s\u00e9rie d’op\u00e9rations qui, depuis 2022, visent m\u00e9thodiquement l’infrastructure de soutien de la cybercriminalit\u00e9. La comparaison avec les frappes pr\u00e9c\u00e9dentes \u00e9claire \u00e0 la fois l’ambition et les proportions de l’affaire.<\/p>\n\n\n\n

Op\u00e9ration<\/th>Date<\/th>Cible<\/th>Bilan v\u00e9rifi\u00e9<\/th><\/tr><\/thead>
VPNLab.net<\/td>Janvier 2022<\/td>VPN \u00ab bulletproof \u00bb<\/td>15 serveurs saisis dans 10 pays<\/td><\/tr>
Operation Endgame (phase 1)<\/td>Mai 2024<\/td>Chargeurs et botnets<\/td>Plus de 100 serveurs, plus de 1 300 domaines, env. 69 M\u20ac d’avoirs<\/td><\/tr>
Operation Endgame (phase 2)<\/td>Mai 2025<\/td>Infrastructures de logiciels malveillants<\/td>300 serveurs, 650 domaines, 20 mandats d’arr\u00eat<\/td><\/tr>
Sanctions OFAC Zservers \/ XHOST<\/td>F\u00e9vrier 2025<\/td>H\u00e9bergeur \u00ab bulletproof \u00bb<\/td>Li\u00e9 au ran\u00e7ongiciel LockBit<\/td><\/tr>
Sanctions OFAC Aeza Group<\/td>Juillet 2025<\/td>H\u00e9bergeur \u00ab bulletproof \u00bb<\/td>Soutien \u00e0 des op\u00e9rations cybercriminelles<\/td><\/tr>
First VPN<\/td>Mai 2026<\/td>VPN \u00ab bulletproof \u00bb<\/td>33 serveurs, 5 000+ comptes, 506 usagers document\u00e9s<\/td><\/tr><\/tbody><\/table>
Principales op\u00e9rations europ\u00e9ennes et am\u00e9ricaines contre l’infrastructure cybercriminelle, 2022-2026.<\/figcaption><\/figure>\n\n\n\n

Le parall\u00e8le le plus direct est VPNLab.net, d\u00e9mantel\u00e9 en janvier 2022 avec la saisie de 15 serveurs dans 10 pays. Quatre ans plus tard, First VPN tombe avec plus du double de serveurs et une exploitation des donn\u00e9es bien plus pouss\u00e9e. Entre les deux, les op\u00e9rations Endgame de 2024 et 2025 ont d\u00e9montr\u00e9 qu’il \u00e9tait possible de neutraliser des centaines de serveurs et de domaines en une seule s\u00e9quence coordonn\u00e9e. La courbe d’apprentissage des forces de l’ordre europ\u00e9ennes est manifeste.<\/p>\n\n\n\n

Bulletproof hosting : un march\u00e9 d\u00e9sormais sous sanctions<\/h2>\n\n\n\n

La frappe judiciaire n’est qu’un des leviers. Les \u00c9tats-Unis ont ouvert un second front avec l’arme des sanctions financi\u00e8res. En f\u00e9vrier 2025, le Tr\u00e9sor am\u00e9ricain a sanctionn\u00e9 Zservers<\/strong> et son entit\u00e9 op\u00e9rationnelle XHOST, accus\u00e9s d’avoir fourni une infrastructure d’h\u00e9bergement \u00ab bulletproof \u00bb au ran\u00e7ongiciel LockBit. En juillet 2025, c’est le groupe Aeza<\/strong> qui a \u00e9t\u00e9 vis\u00e9 pour son r\u00f4le dans l’h\u00e9bergement de services soutenant des op\u00e9rations cybercriminelles.<\/p>\n\n\n\n

Ces sanctions changent l’\u00e9conomie du secteur. Un h\u00e9bergeur list\u00e9 par l’OFAC perd l’acc\u00e8s au syst\u00e8me financier occidental, voit ses partenaires se d\u00e9tourner et devient toxique pour toute entreprise qui voudrait traiter avec lui. Combin\u00e9e aux saisies judiciaires europ\u00e9ennes, cette pression cr\u00e9e un effet de tenaille : les d\u00e9mant\u00e8lements d\u00e9truisent les serveurs, les sanctions ass\u00e8chent les flux financiers. La strat\u00e9gie de l’extorsion sans chiffrement, o\u00f9 les groupes misent tout sur le vol de donn\u00e9es, d\u00e9pend elle aussi de ces infrastructures de dissimulation.<\/p>\n\n\n\n

Le risque, identifi\u00e9 par plusieurs chercheurs, est celui d’un d\u00e9placement g\u00e9ographique. Priv\u00e9s d’h\u00e9bergeurs en Europe et bannis du syst\u00e8me am\u00e9ricain, les op\u00e9rateurs se replient vers des juridictions encore plus difficiles d’acc\u00e8s. La lutte devient un jeu de relocalisation permanent, o\u00f9 chaque victoire rapproche la cible d’un sanctuaire mais ne l’\u00e9limine jamais totalement.<\/p>\n\n\n\n

Impact pour les entreprises et le march\u00e9 de la cybers\u00e9curit\u00e9<\/h2>\n\n\n\n

Pour les entreprises, le d\u00e9mant\u00e8lement de First VPN a une cons\u00e9quence directe : les indicateurs de compromission li\u00e9s \u00e0 ce service deviennent exploitables. Les \u00e9quipes de s\u00e9curit\u00e9 peuvent rechercher dans leurs journaux les connexions associ\u00e9es aux plages d’adresses du service et identifier d’\u00e9ventuelles intrusions pass\u00e9es rest\u00e9es invisibles. Les 506 usagers document\u00e9s alimenteront des enqu\u00eates qui pourraient r\u00e9v\u00e9ler des victimes encore inconscientes d’avoir \u00e9t\u00e9 touch\u00e9es.<\/p>\n\n\n\n

Le contexte de menace reste tendu. Selon une \u00e9tude relay\u00e9e par Guardia School, 16 % des TPE et PME<\/strong> interrog\u00e9es d\u00e9clarent avoir subi au moins un incident sur les douze derniers mois, et 80 %<\/strong> s’estiment mal pr\u00e9par\u00e9es. Ce sont pr\u00e9cis\u00e9ment ces organisations que visent des ran\u00e7ongiciels comme Phobos, faute de moyens de d\u00e9tection et de r\u00e9ponse \u00e0 la hauteur. Chaque infrastructure clandestine retir\u00e9e du march\u00e9 r\u00e9duit la surface offensive disponible contre elles.<\/p>\n\n\n\n

Sur le march\u00e9 de la cybers\u00e9curit\u00e9, ces op\u00e9rations renforcent la demande pour le renseignement sur les menaces et l’investigation num\u00e9rique. Les \u00e9diteurs capables de corr\u00e9ler des indicateurs issus de saisies judiciaires avec les journaux clients gagnent un avantage concurrentiel. La valeur ne r\u00e9side plus seulement dans la d\u00e9tection, mais dans la capacit\u00e9 \u00e0 rattacher une alerte \u00e0 une infrastructure connue et neutralis\u00e9e.<\/p>\n\n\n\n

R\u00e9actions et analyses d’experts<\/h2>\n\n\n\n

Les responsables judiciaires et institutionnels ont soulign\u00e9 la dimension strat\u00e9gique de l’op\u00e9ration. La procureure de Paris Laure Beccuau<\/strong> a mis en avant le caract\u00e8re structurant de la saisie : \u00ab First VPN existait depuis 2014 et avait servi \u00e0 des milliers de comptes pour dissimuler des activit\u00e9s criminelles ; mettre fin \u00e0 ce service, c’est priver les attaquants d’un outil de confiance \u00bb, a-t-elle r\u00e9sum\u00e9 en substance lors de l’annonce.<\/p>\n\n\n\n

Du c\u00f4t\u00e9 d’Europol, la directrice ex\u00e9cutive Catherine De Bolle<\/strong> d\u00e9fend une ligne constante depuis les op\u00e9rations Endgame : l’objectif n’est pas seulement d’interpeller des auteurs, mais de \u00ab perturber l’\u00e9cosyst\u00e8me criminel lui-m\u00eame \u00bb en frappant les serveurs, les domaines et les services qui rendent l’activit\u00e9 possible. La fermeture de First VPN prolonge cette doctrine de la frappe sur l’infrastructure.<\/p>\n\n\n\n

Edvardas \u0160ileris<\/strong>, \u00e0 la t\u00eate du Centre europ\u00e9en de lutte contre la cybercriminalit\u00e9 (EC3) d’Europol, insiste sur la n\u00e9cessit\u00e9 de neutraliser les plateformes et services d’h\u00e9bergement qui permettent le phishing, les botnets et le ran\u00e7ongiciel. Selon la position qu’il porte, la r\u00e9pression doit viser l’infrastructure de soutien autant que les individus, car c’est elle qui assure la r\u00e9silience des r\u00e9seaux criminels.<\/p>\n\n\n\n

En France, le directeur g\u00e9n\u00e9ral de l’ANSSI Vincent Strubel<\/strong> rappelle r\u00e9guli\u00e8rement que la menace est domin\u00e9e par des acteurs opportunistes et industrialis\u00e9s, et que la r\u00e9ponse doit combiner d\u00e9tection, r\u00e9silience et r\u00e9duction de l’exposition. Cette logique de durcissement des infrastructures et de d\u00e9sorganisation des cha\u00eenes d’attaque trouve dans l’affaire First VPN une illustration concr\u00e8te. Le CERT-FR, de son c\u00f4t\u00e9, qualifie le \u00ab bulletproof hosting \u00bb de facteur d’industrialisation de la cybercriminalit\u00e9, \u00e0 cibler en priorit\u00e9.<\/p>\n\n\n\n

Le contexte r\u00e9glementaire fran\u00e7ais et europ\u00e9en<\/h2>\n\n\n\n

L’affaire survient dans un climat r\u00e9glementaire dense. Le bilan 2025 de la CNIL, publi\u00e9 le 18 mai 2026, fait \u00e9tat de 20 150 plaintes<\/strong>, 323 contr\u00f4les, 259 d\u00e9cisions et 83 sanctions, pour un total de plus de 487 millions d’euros<\/strong> d’amendes. L’autorit\u00e9 a aussi enregistr\u00e9 6 167 notifications de violation de donn\u00e9es<\/strong> en 2025, en hausse de 9,5 %, dont une sur deux r\u00e9sultait d’un acte de piratage informatique. La pression r\u00e9glementaire sur les incidents cyber n’a jamais \u00e9t\u00e9 aussi forte.<\/p>\n\n\n\n

Du c\u00f4t\u00e9 op\u00e9rationnel, l’ANSSI a trait\u00e9 1 366 incidents<\/strong> en 2025, un niveau qui se stabilise \u00e0 un seuil \u00e9lev\u00e9. La directive NIS2, dont la transposition mobilise les administrations fran\u00e7aises pour 2026-2027, \u00e9largit le p\u00e9rim\u00e8tre des entit\u00e9s soumises \u00e0 des obligations de s\u00e9curit\u00e9 et de notification. La feuille de route cyber de l’\u00c9tat pour 2026-2027, publi\u00e9e le 9 avril 2026, place explicitement la conformit\u00e9 NIS2 et la pr\u00e9paration post-quantique au c\u0153ur de l’action publique.<\/p>\n\n\n\n

Pour les organisations, l’enjeu est double : se d\u00e9fendre contre des attaquants mieux outill\u00e9s et r\u00e9pondre \u00e0 des obligations de transparence renforc\u00e9es. Le d\u00e9mant\u00e8lement de First VPN s’inscrit dans cet \u00e9cosyst\u00e8me o\u00f9 r\u00e9pression judiciaire, sanctions financi\u00e8res et r\u00e9gulation se renforcent mutuellement. Sur le plan des amendes record, le dossier fran\u00e7ais le plus marquant reste la sanction CNIL contre Free<\/a>, symbole d’une r\u00e9gulation qui ne tol\u00e8re plus la n\u00e9gligence.<\/p>\n\n\n\n

Cinq pr\u00e9dictions pour la lutte contre l’infrastructure criminelle<\/h2>\n\n\n\n

L’affaire First VPN dessine plusieurs tendances pour les mois \u00e0 venir. Voici cinq pr\u00e9dictions raisonn\u00e9es \u00e0 partir des dynamiques observ\u00e9es en 2025-2026.<\/p>\n\n\n\n