Opération Saffron : Europol démantèle First VPN, utilisé par 25 groupes de ransomware

Europol et les forces de l’ordre de 18 pays ont démantelé First VPN les 19 et 20 mai 2026. Ce service fonctionnait depuis 2014 et offrait une couverture à au moins 25 groupes de ransomware. Un administrateur ukrainien a été arrêté. Trente-trois serveurs répartis dans 27 pays ont été saisis, ainsi qu’une base de données complète de plus de 5 000 comptes criminels.

Cette affaire est plus significative que les habituelles opérations de démantèlement.

Ce qu’était réellement First VPN

First VPN n’était pas un produit grand public. C’était un hébergeur bulletproof. Ces services existent pour ignorer les demandes des forces de l’ordre, accepter des paiements en cryptomonnaie et ne conserver aucun enregistrement permettant d’identifier les clients.

Le service a fonctionné 12 ans avant qu’Europol ne le rattrape. Durant cette période, il a fourni aux groupes de ransomware comme Avaddon l’infrastructure nécessaire pour lancer des attaques, collecter des paiements et disparaître. Les groupes faisaient transiter leur trafic par les serveurs de First VPN, rendant toute attribution presque impossible pour les enquêteurs.

Bitdefender a participé à l’opération aux côtés du Centre européen de lutte contre la cybercriminalité (EC3) d’Europol, qui a coordonné l’action avec le Canada, le Danemark, l’Estonie, la France, l’Allemagne, la Lettonie, la Lituanie, le Luxembourg, les Pays-Bas, la Pologne, le Portugal, la Roumanie, l’Espagne, la Suède, la Suisse, l’Ukraine, le Royaume-Uni et les États-Unis.

La base de données utilisateurs saisie constitue le vrai butin. Plus de 5 000 comptes liés à des activités criminelles, avec l’historique complet des transactions et des journaux de connexion. Les enquêteurs disposent désormais d’un lien direct vers chaque groupe ayant utilisé le service.

Pourquoi cette saisie est différente

Les forces de l’ordre ont historiquement visé les opérateurs individuels de ransomware. Arrêter un membre, inculper la direction : le groupe se fragmentait et se reformait souvent sous un nouveau nom. C’est lent, coûteux et les résultats sont inégaux.

L’opération Saffron a emprunté une autre voie : cibler l’infrastructure partagée. Les hébergeurs bulletproof, les mixeurs de cryptomonnaies et les services VPN criminels sont la plomberie qui rend possible le ransomware à grande échelle. Couper les tuyaux, et tous les groupes qui les utilisent perdent leur couverture opérationnelle d’un coup.

Vingt-cinq groupes de ransomware ont perdu leur couche d’anonymat en un seul week-end. Ils doivent maintenant tout reconstruire depuis zéro, sachant qu’au moins un de leurs prestataires clés conservait de meilleurs enregistrements qu’annoncé.

C’est la même logique qui a démantelé plusieurs marchés du darknet ces dernières années : s’attaquer à la logistique, pas seulement aux criminels.

Ce que cela signifie pour les utilisateurs ordinaires de VPN

C’est là que l’histoire est souvent mal interprétée en ligne. Chaque fois que les forces de l’ordre ferment un “VPN”, des commentateurs tech écrivent des articles sur le fait que les VPN ne peuvent pas être fiables. Ce cadrage passe à côté de l’essentiel.

First VPN n’était pas un VPN grand public. Il utilisait l’étiquette VPN comme description technique, pas comme catégorie de produit. Il n’avait ni application publique, ni politique de confidentialité, ni audit indépendant, et aucun intérêt à protéger les données des utilisateurs vis-à-vis des forces de l’ordre. Sa valeur pour ses clients reposait entièrement sur le fait qu’il opérait en dehors de tout cadre légal.

Les VPN grand public comme NordVPN ou ProtonVPN sont des entreprises enregistrées dans des juridictions spécifiques, soumises à des audits, liées par leurs propres conditions d’utilisation, et régulièrement examinées par des cabinets de sécurité externes. NordVPN est basé au Panama et a passé plusieurs audits no-logs par des cabinets externes. ProtonVPN est basé en Suisse, sous certaines des lois sur la vie privée les plus strictes au monde, et publie des rapports de transparence couvrant chaque demande gouvernementale reçue.

La question pour tout utilisateur légitime de VPN n’est pas “ce VPN pourrait-il être saisi ?” C’est “ce VPN conserve-t-il des journaux qui seraient utiles en cas de saisie ?”

Un VPN no-logs correctement géré, saisi demain, ne livre rien. Aucun enregistrement de connexion, aucune donnée d’activité, aucune correspondance d’identité utilisateur.

Ce contre quoi une politique no-logs vous protège réellement

La chute de First VPN, c’est sa base de données. Europol est reparti avec 5 000 comptes criminels parce que le service les conservait. C’est exactement l’opposé du fonctionnement d’une vraie politique no-logs.

Quand un VPN dit qu’il ne conserve pas de journaux, il ne peut pas remettre des enregistrements qu’il n’a jamais créés. Cela a été testé dans de vrais procès. Plusieurs fournisseurs ont reçu des citations à comparaître dans diverses juridictions et n’ont pas pu produire de données utilisateur parce qu’il n’en existait pas.

C’est pourquoi la juridiction compte autant que la revendication no-logs. Un VPN basé aux États-Unis, en Australie ou au Royaume-Uni se trouve dans des accords de partage de renseignements (Five Eyes, Nine Eyes, Fourteen Eyes) qui peuvent pousser les entreprises à conserver des données ou à coopérer avec des programmes de surveillance. Un VPN basé en Suisse ou au Panama fait face à un environnement juridique différent. Les demandes gouvernementales existent toujours, mais le seuil légal est plus élevé et les entreprises sont généralement tenues d’en informer les utilisateurs lorsque c’est possible.

Cela ne signifie pas que les VPN européens ou américains sont automatiquement compromis. Cela signifie que le cadre légal détermine la pression pouvant être exercée sur un fournisseur. La juridiction est un facteur parmi plusieurs.

L’écart entre services bulletproof et VPN grand public

Les services de type First VPN ne sont pas une zone grise. Ils font de la publicité auprès des criminels, fixent leurs prix en conséquence et ont des politiques explicites d’ignorance des demandes légales de tout gouvernement. C’est le modèle économique.

Les VPN grand public font exactement l’inverse : construire une activité légitime sur la confiance des utilisateurs. Leur intérêt commercial est de protéger les utilisateurs, car tout scandale détruit leur réputation et leurs revenus. First VPN n’avait aucune réputation à protéger.

Les groupes de ransomware utilisaient First VPN parce qu’ils savaient que les VPN ordinaires finiraient par se conformer aux demandes légales. C’est pourquoi ils payaient plus cher pour un service opérant hors la loi.

Comment évaluer un VPN après une telle affaire

Les nouvelles comme l’opération Saffron tendent à rendre les gens paranoïaques vis-à-vis des VPN en général. C’est la mauvaise réaction. Mais c’est aussi un bon moment pour vérifier si votre VPN actuel dispose bien des protections qu’il revendique.

Quelques points à vérifier :

La revendication no-logs doit être étayée par un audit. Pas une auto-déclaration, pas un communiqué de presse, un vrai audit tiers réalisé par un cabinet de sécurité nommément désigné. NordVPN utilise Deloitte et KPMG. ProtonVPN mandate Securitum. Si un fournisseur ne nomme pas l’auditeur, l’audit n’existe probablement pas.

La juridiction compte, mais ce n’est pas tout. La Suisse et le Panama sont bons. L’Islande aussi. Mais un fournisseur basé dans un pays Five Eyes peut tout de même offrir une protection solide s’il opère une vraie architecture no-logs et l’a prouvé face à des pressions légales.

La propriété doit être transparente. Certaines marques de VPN sont détenues par des holdings aux structures opaques. Cela ne les rend pas automatiquement peu fiables, mais vous devriez savoir qui est derrière le produit. First VPN n’avait aucun propriétaire public. C’était un signal d’alarme évident pour quiconque y prêtait attention.

Enfin, le prix doit être réaliste. First VPN facturait paraît-il environ 1,80 dollar par mois. C’est en dessous du coût d’une infrastructure légitime. Quand un VPN est vendu à une fraction du prix du marché et cible des acheteurs qui “ne posent pas de questions”, ce n’est pas un produit grand public.

La suite

Les 5 000 comptes saisis alimenteront des enquêtes pendant des années. Certains mèneront à des groupes de ransomware pas encore identifiés publiquement. D’autres ajouteront des preuves à des poursuites en cours.

La stratégie d’infrastructure se poursuivra probablement. Europol et ses agences partenaires ont montré que ça fonctionne. D’autres hébergeurs bulletproof regardent les serveurs de leurs concurrents s’entasser dans des salles de preuves.

Pour les groupes de ransomware, reconstruire une infrastructure opérationnelle après une telle saisie prend des mois. Durant cette période, ils sont exposés. Certains vont se taire. Quelques-uns feront des erreurs en allant trop vite.

Pour les utilisateurs ordinaires de VPN, l’opération Saffron ne change rien à la façon d’évaluer un VPN. La liste de contrôle reste la même : politique no-logs vérifiée, audit indépendant, juridiction claire, propriété transparente. First VPN n’avait rien de tout cela. C’était tout l’intérêt.

Envie de comparer tous les VPN côte à côte ? Consultez notre tableau comparatif complet avec les scores sur 18 critères.

Sources : TechCrunch, The Hacker News, Tom’s Hardware

À lire aussi : L’UE veut que les fournisseurs VPN journalisent vos données. Voici ce qui est vraiment dans le projet. et Qui possède vraiment votre VPN ? La carte des consolidations en 2026.