Europol a mis hors service First VPN, un service présenté comme une infrastructure « blindée » pour cybercriminels. L'opération, baptisée Safran, a été menée dans le cadre d'une enquête internationale lancée en 2021. Les autorités, en coordination, ont saisi 33 serveurs répartis dans 27 pays et identifié 506 utilisateurs du service.
Dix-huit pays ont participé à l'effort, avec des rôles clés pour la France, les Pays-Bas, le Luxembourg, la Roumanie, la Suisse, l'Ukraine et le Royaume-Uni. Les domaines de First VPN, y compris ses adresses classiques et ses services cachés sur Tor, ont été confisqués et redirigent désormais vers une bannière de l'opération Safran. L'enquête a également conduit les autorités vers un site en Ukraine lié au service.
Europol indique que First VPN se vendait non seulement comme un outil de confidentialité, mais comme un service ne coopérant pas avec la justice et prétendant opérer hors de toute juridiction. Il était surtout promu sur des forums russophones dédiés à la cybercriminalité. La police affirme que ce service apparaissait régulièrement dans les enquêtes portant sur des fraudes en ligne, des attaques par malware et des rançongiciels.
L'affaire First VPN soulève un problème complexe : la frontière entre la protection légitime de la vie privée et l'infrastructure utilisée par les criminels. De nombreux VPN classiques ne conservent pas non plus de logs ni de données utilisateurs à fournir. Mais les services dits « blindés » sont différents : ils ciblent ouvertement une clientèle douteuse, ignorent les plaintes pour abus et se targuent souvent de résister aux forces de l'ordre.
Ces opérations posent inévitablement la question des limites juridiques de l'intervention. La saisie de serveurs dépend des lois de chaque pays, et les normes en matière de mandats, de preuves et de procédures varient considérablement. En Europe, la confidentialité numérique est un droit protégé, et le RGPD impose des règles strictes de traitement des données, ce qui rend l'équilibre sécurité-vie privée particulièrement délicat.
Les nouvelles propositions de l'UE visant à élargir l'accès des forces de l'ordre aux données ou à scanner les messages privés pour protéger les enfants ajoutent encore à la complexité. Dans ce contexte, la fermeture de First VPN n'est pas seulement un coup porté à l'infrastructure cybercriminelle, mais aussi un chapitre du débat en cours sur l'avenir de la confidentialité en ligne.