Virtual Pwned Network

Au terme d’une enquête ouverte fin 2021, les enquêteurs des polices française, néerlandaise et de 14 autres pays ont saisi et démantelé un service de VPN qui était « presque exclusivement » promu sur les forums de cybercriminels russophones. Son infrastructure aurait été préalablement compromise par les autorités, et plusieurs milliers de ses utilisateurs identifiés.

First VPN, un service « utilisé dans la quasi-totalité des grandes enquêtes sur la cybercriminalité menées avec le soutien d’Europol ces dernières années » pour dissimuler des attaques par ransomware, des vols de données et d’autres infractions graves, a été démantelé lors d’une opération internationale menée par la France et les Pays-Bas, avec le soutien d’Europol et d’Eurojust.

Laure Beccuau, procureure de la République, précise qu’une enquête avait été ouverte en décembre 2021 par la section de lutte contre la cybercriminalité du parquet de Paris, « devant le constat récurrent de l’utilisation de ce service VPN pour la commission de nombreuses infractions au préjudice de victimes françaises ».

Son communiqué souligne que le service « faisait de la publicité exclusivement sur des forums cybercriminels ». Celui (.pdf) de l’Internet Crime Complaint Center (IC3) du FBI qu’ « au moins 25 groupes de ransomwares, tels qu’Avaddon Ransomware », ont utilisé l’infrastructure First VPN Service pour effectuer des reconnaissances et des intrusions.

« Nous ne sommes soumis à aucune juridiction »

First VPN ne faisait au surplus « presque exclusivement » de publicité de ses services que sur des forums criminels connus du dark web tels que Exploit[.]in et XSS[.]is, deux des plus importants forums et places de marché noir dédiés aux cybercriminels en langue russe.

Pendant des années, il a été présenté sur des forums de cybercriminalité russophones comme « un outil fiable permettant d’échapper aux forces de l’ordre », relève Europol, proposant à ses utilisateurs des paiements anonymes, une infrastructure dissimulée et des services « spécialement conçus pour des activités criminelles ».

Dans sa FAQ, First VPN indiquait ne conserver aucun log de ses utilisateurs, mais également que « Nous ne sommes soumis à aucune juridiction », et donc qu’« aucune circonstance ne nous obligerait à divulguer des informations concernant nos utilisateurs » :

« Nous ne conservons aucun journal qui permettrait, à nous-mêmes ou à des tiers, d’associer une adresse IP à un utilisateur de notre service pour une période donnée. Les seules données que nous conservons sont l’adresse e-mail et le nom d’utilisateur, mais il est impossible de relier l’activité de l’utilisateur sur Internet à un utilisateur spécifique de notre service. »

Le principal administrateur était localisé en Ukraine

Les investigations diligentées par la brigade de lutte contre la cybercriminalité de la Direction de la Police Judiciaire et par l’Office anti-cybercriminalité (OFAC) ont permis d’établir que ce service, qui existait depuis 2014, avait pu être utilisé par plus de 5 000 comptes, et de recueillir des éléments intéressant des enquêtes sur des ransomwares, comme Phobos.

Eurojust explique avoir ouvert une enquête à la demande des autorités françaises en mai 2022. Une équipe d’enquête conjointe avait été mise en place en novembre 2023, permettant aux autorités françaises et néerlandaises d’échanger des éléments de preuve et des informations, et de définir une stratégie en matière de poursuites.

Eurojust avait depuis organisé 16 réunions de coordination entre les autorités concernées afin de préparer l’opération coordonnée qui a permis la saisie des serveurs, des noms de domaine et le démantèlement de l’infrastructure les 19 et 20 mai.

Les États-Unis, le Canada, et l’Allemagne ont également contribué à l’enquête. L’Ukraine, la Suisse, le Royaume-Uni, le Luxembourg et la Roumanie ont quant à eux participé à la journée d’action.

Le principal administrateur, localisé en Ukraine, y a été entendu à la demande du juge d’instruction français, en présence des enquêteurs de la brigade de lutte contre la cybercriminalité. Les différents communiqués ne précisent pas s’il a aussi été inculpé, ni incarcéré, ni les peines qu’il encourrait.

Des milliers d’utilisateurs identifiés

Les utilisateurs de First VPN ont également été informés de la fermeture et du fait qu’ils avaient été identifiés, souligne Europol, qui avance aussi que « les enquêteurs ont identifié des milliers d’utilisateurs impliqués dans des activités de cybercriminalité ».

Les renseignements recueillis ont également « généré des pistes opérationnelles » en rapport avec des attaques par ransomware, des stratagèmes frauduleux et d’autres infractions graves à l’échelle mondiale.

Partagés au sein d’un groupe de travail réunissant des enquêteurs de 16 pays, ils auraient d’ores et déjà donné lieu à des résultats concrets au niveau d’Europol, qui mentionne la diffusion de 83 dossiers de renseignements, le partage à l’échelle internationale d’informations concernant 506 utilisateurs, et le fait que 21 enquêtes ont progressé grâce aux renseignements obtenus.

Europol ne précise ni pourquoi les enquêteurs auraient mis 5 ans avant de pouvoir démanteler l’infrastructure, ni comment ils auraient mis moins de 48 heures à exploiter les données saisies.

BleepingComputer avance cela dit que les enquêteurs avaient réussi à s’infiltrer dans l’infrastructure VPN avant qu’elle ne soit mise hors ligne, récupérer la base de données des utilisateurs et identifier les connexions VPN utilisées par les cybercriminels lors de leurs attaques.

Un site web dédié, operation-saffron.eu, arbore les logos des 13 unités impliquées dans l’enquête, et propose également un petit dessin animé ironisant sur le fait qu’elles seraient bel et bien parvenues à pirater l’infrastructure de First VPN, et à récupérer les données de ses utilisateurs.

Virtual Pwned Network

Au terme d’une enquête ouverte fin 2021, les enquêteurs des polices française, néerlandaise et de 14 autres pays ont saisi et démantelé un service de VPN qui était « presque exclusivement » promu sur les forums de cybercriminels russophones. Son infrastructure aurait été préalablement compromise par les autorités, et plusieurs milliers de ses utilisateurs identifiés.

First VPN, un service « utilisé dans la quasi-totalité des grandes enquêtes sur la cybercriminalité menées avec le soutien d’Europol ces dernières années » pour dissimuler des attaques par ransomware, des vols de données et d’autres infractions graves, a été démantelé lors d’une opération internationale menée par la France et les Pays-Bas, avec le soutien d’Europol et d’Eurojust.

Laure Beccuau, procureure de la République, précise qu’une enquête avait été ouverte en décembre 2021 par la section de lutte contre la cybercriminalité du parquet de Paris, « devant le constat récurrent de l’utilisation de ce service VPN pour la commission de nombreuses infractions au préjudice de victimes françaises ».

Son communiqué souligne que le service « faisait de la publicité exclusivement sur des forums cybercriminels ». Celui (.pdf) de l’Internet Crime Complaint Center (IC3) du FBI qu’ « au moins 25 groupes de ransomwares, tels qu’Avaddon Ransomware », ont utilisé l’infrastructure First VPN Service pour effectuer des reconnaissances et des intrusions.

« Nous ne sommes soumis à aucune juridiction »

First VPN ne faisait au surplus « presque exclusivement » de publicité de ses services que sur des forums criminels connus du dark web tels que Exploit[.]in et XSS[.]is, deux des plus importants forums et places de marché noir dédiés aux cybercriminels en langue russe.

Pendant des années, il a été présenté sur des forums de cybercriminalité russophones comme « un outil fiable permettant d’échapper aux forces de l’ordre », relève Europol, proposant à ses utilisateurs des paiements anonymes, une infrastructure dissimulée et des services « spécialement conçus pour des activités criminelles ».

Dans sa FAQ, First VPN indiquait ne conserver aucun log de ses utilisateurs, mais également que « Nous ne sommes soumis à aucune juridiction », et donc qu’« aucune circonstance ne nous obligerait à divulguer des informations concernant nos utilisateurs » :

« Nous ne conservons aucun journal qui permettrait, à nous-mêmes ou à des tiers, d’associer une adresse IP à un utilisateur de notre service pour une période donnée. Les seules données que nous conservons sont l’adresse e-mail et le nom d’utilisateur, mais il est impossible de relier l’activité de l’utilisateur sur Internet à un utilisateur spécifique de notre service. »

Le principal administrateur était localisé en Ukraine

Les investigations diligentées par la brigade de lutte contre la cybercriminalité de la Direction de la Police Judiciaire et par l’Office anti-cybercriminalité (OFAC) ont permis d’établir que ce service, qui existait depuis 2014, avait pu être utilisé par plus de 5 000 comptes, et de recueillir des éléments intéressant des enquêtes sur des ransomwares, comme Phobos.

Eurojust explique avoir ouvert une enquête à la demande des autorités françaises en mai 2022. Une équipe d’enquête conjointe avait été mise en place en novembre 2023, permettant aux autorités françaises et néerlandaises d’échanger des éléments de preuve et des informations, et de définir une stratégie en matière de poursuites.

Eurojust avait depuis organisé 16 réunions de coordination entre les autorités concernées afin de préparer l’opération coordonnée qui a permis la saisie des serveurs, des noms de domaine et le démantèlement de l’infrastructure les 19 et 20 mai.

Les États-Unis, le Canada, et l’Allemagne ont également contribué à l’enquête. L’Ukraine, la Suisse, le Royaume-Uni, le Luxembourg et la Roumanie ont quant à eux participé à la journée d’action.

Le principal administrateur, localisé en Ukraine, y a été entendu à la demande du juge d’instruction français, en présence des enquêteurs de la brigade de lutte contre la cybercriminalité. Les différents communiqués ne précisent pas s’il a aussi été inculpé, ni incarcéré, ni les peines qu’il encourrait.

Des milliers d’utilisateurs identifiés

Les utilisateurs de First VPN ont également été informés de la fermeture et du fait qu’ils avaient été identifiés, souligne Europol, qui avance aussi que « les enquêteurs ont identifié des milliers d’utilisateurs impliqués dans des activités de cybercriminalité ».

Les renseignements recueillis ont également « généré des pistes opérationnelles » en rapport avec des attaques par ransomware, des stratagèmes frauduleux et d’autres infractions graves à l’échelle mondiale.

Partagés au sein d’un groupe de travail réunissant des enquêteurs de 16 pays, ils auraient d’ores et déjà donné lieu à des résultats concrets au niveau d’Europol, qui mentionne la diffusion de 83 dossiers de renseignements, le partage à l’échelle internationale d’informations concernant 506 utilisateurs, et le fait que 21 enquêtes ont progressé grâce aux renseignements obtenus.

Europol ne précise ni pourquoi les enquêteurs auraient mis 5 ans avant de pouvoir démanteler l’infrastructure, ni comment ils auraient mis moins de 48 heures à exploiter les données saisies.

BleepingComputer avance cela dit que les enquêteurs avaient réussi à s’infiltrer dans l’infrastructure VPN avant qu’elle ne soit mise hors ligne, récupérer la base de données des utilisateurs et identifier les connexions VPN utilisées par les cybercriminels lors de leurs attaques.

Un site web dédié, operation-saffron.eu, arbore les logos des 13 unités impliquées dans l’enquête, et propose également un petit dessin animé ironisant sur le fait qu’elles seraient bel et bien parvenues à pirater l’infrastructure de First VPN, et à récupérer les données de ses utilisateurs.

Importés des États-Unis, les plans de retour à la performance visent normalement à « soutenir le salarié dans sa progression et de lui permettre de maintenir son employabilité », relève Basta.

Également connus sous les acronymes PIP (performance improvement plan), PRPA, PAP ou encore Pivot, ils serviraient cela dit à mettre des salariés sous pression, afin de les pousser à démissionner, ou à préparer un licenciement pour insuffisance professionnelle.

L’enquête de Basta indique que ce nouvel « outil managérial a fait une entrée fracassante dans de nombreuses entreprises du secteur informatique, de la Tech ou encore du conseil » :

« Leur principe : un salarié jugé en dessous des attentes se voit imposer un certain nombre d’objectifs à accomplir en 30 à 90 jours. S’ils ne sont pas atteints, il est licencié sans indemnité. »

Largement utilisés aux États-Unis par les multinationales du numérique depuis la période post-Covid, ils ont depuis été déployés chez Capgemini, Amazon, Leboncoin, Red Hat… se concluant souvent par des départs de salariés.

« En temps normal, ces licenciements sont plutôt rares, car vus comme un parcours du combattant pour l’employeur. Il faut prouver que le salarié sous-performe, mais aussi qu’il a été suffisamment accompagné et formé avant de pouvoir être licencié. C’est justifié par le fait qu’en droit français, c’est la période d’essai qui doit permettre de savoir si un salarié fait l’affaire ou non », explique à Basta un inspecteur du travail souhaitant rester anonyme :

« Évidemment, l’intérêt de l’employeur est de ne pas passer par la case prud’hommes. Un PIP peut permettre d’abuser un salarié sur ce qu’est juridiquement l’insuffisance professionnelle, en le laissant penser que son licenciement est juste car appuyé sur un document plus ou moins bien rédigé. »

Capgemini a ainsi présenté, en janvier 2026, un projet dit « d’adaptation des compétences et des emplois » qui se traduirait par la suppression de plus de 2 400 postes en France.

Importés des États-Unis, les plans de retour à la performance visent normalement à « soutenir le salarié dans sa progression et de lui permettre de maintenir son employabilité », relève Basta.

Également connus sous les acronymes PIP (performance improvement plan), PRPA, PAP ou encore Pivot, ils serviraient cela dit à mettre des salariés sous pression, afin de les pousser à démissionner, ou à préparer un licenciement pour insuffisance professionnelle.

L’enquête de Basta indique que ce nouvel « outil managérial a fait une entrée fracassante dans de nombreuses entreprises du secteur informatique, de la Tech ou encore du conseil » :

« Leur principe : un salarié jugé en dessous des attentes se voit imposer un certain nombre d’objectifs à accomplir en 30 à 90 jours. S’ils ne sont pas atteints, il est licencié sans indemnité. »

Largement utilisés aux États-Unis par les multinationales du numérique depuis la période post-Covid, ils ont depuis été déployés chez Capgemini, Amazon, Leboncoin, Red Hat… se concluant souvent par des départs de salariés.

« En temps normal, ces licenciements sont plutôt rares, car vus comme un parcours du combattant pour l’employeur. Il faut prouver que le salarié sous-performe, mais aussi qu’il a été suffisamment accompagné et formé avant de pouvoir être licencié. C’est justifié par le fait qu’en droit français, c’est la période d’essai qui doit permettre de savoir si un salarié fait l’affaire ou non », explique à Basta un inspecteur du travail souhaitant rester anonyme :

« Évidemment, l’intérêt de l’employeur est de ne pas passer par la case prud’hommes. Un PIP peut permettre d’abuser un salarié sur ce qu’est juridiquement l’insuffisance professionnelle, en le laissant penser que son licenciement est juste car appuyé sur un document plus ou moins bien rédigé. »

Capgemini a ainsi présenté, en janvier 2026, un projet dit « d’adaptation des compétences et des emplois » qui se traduirait par la suppression de plus de 2 400 postes en France.

« Attrapez-les tous »

« J’étais en manque d’attention et seul dans ma chambre. Je ne voyais personne, je m’ennuyais et j’ai dérapé », a expliqué le maraîcher de 21 ans mis en examen pour avoir piraté le fichier des détenteurs d’armes à feu. Le Monde revient aussi sur le profil de ShinyHunters, un groupe de jeunes pirates français dont le nom fait référence aux Pokémons et qui, s’étant développé à l’international, a piraté depuis 2020 des dizaines de grandes entreprises et dérobé près de deux milliards de comptes.

Article mis à jour à 11h29 avec le rajout de la mention d’un troisième article : Moyenne d’âge : 17 ans, qui passe « sa vie sur les forums »

---

Dans son rapport annuel sur la cybercriminalité, le commandement du ministère de l’Intérieur dans le cyberespace (COMCYBER-MI) soulignait récemment que l’interpellation de plusieurs Français, à la demande du FBI ou par les autorités françaises, membres présumés du groupe de pirates ShinyHunters, aurait incité plusieurs pirates à s’attaquer aux institutions, administrations, organisations, fédérations, associations et entreprises françaises.

Une recrudescence de cyberattaques accentuée suite au rapprochement en 2025 de plusieurs groupes de pirates issus de ShinyHunters, Scattered Spider et Lapsus$ (dont sept membres âgés de 16 à 21 ans avaient été arrêtés par la police britannique en 2022) au sein de Scattered Lapsus$ Hunters, également qualifié de « trinité du chaos », et réunissant de jeunes pirates anglophones s’étant illustrés par de très nombreux et coûteux vols de données.

• Vols de données : les pirates ciblent la France (ou le font croire) pour se venger

Dans une enquête en neuf parties intitulée « Données personnelles, la grande fuite », Le Monde revient entre autres sur l’histoire de ShinyHunters, un « groupe de pirates tapageurs parmi les plus actifs, ces six dernières années, dans le vol de données et dans l’extorsion ». Il s’était notamment fait connaître en relançant la place de marché noir BreachForums après l’arrestation, en avril 2023, de son administrateur Pompompurin par le FBI aux États-Unis.

• La succession d’erreurs qui a permis au FBI d’identifier l’administrateur de BreachForums

Créé en 2019, ShinyHunters, dont le nom s’inspire des Pokémons brillants (shiny, en anglais), s’était d’abord fait connaître en vendant des données volées à plus de 60 entreprises, entre avril 2020 et juin 2021, sur RaidForums et Empire Market.

• L’AdminSys de RaidForums identifié « à l’insu de son plein gré »

En 2022, trois jeunes Français, accusés par le FBI d’avoir « pompé l’équivalent de 200 millions de données d’une dizaine d’entreprises dans le monde », étaient interpellés. Si Abdel-Hakim E. et Gabriel B. s’accusent mutuellement, raconte Le Monde, Sébastien Raoult, qui a alors 20 ans, réfute avoir fait partie du groupe. Arrêté au Maroc puis extradé aux États-Unis, il a été condamné à trois ans de prison et, de retour en France, a depuis raconté son histoire au Parisien et à Brut.

Depuis, ShinyHunters serait devenue une sorte de franchise, revendiquée par une nouvelle génération de pirates, s’affranchissant des limites hexagonales pour se développer dans l’écosystème anglophone.

L’article qui lui est consacré dans la version anglaise de Wikipedia attribue à ShinyHunters le vol de près de 1,8 milliard de comptes clients via le piratage ou la compromission (souvent par ingénierie sociale) de GitHub, Wattpad, Mashable, AT&T, Ticketmaster, LVMH, Quantas, Jaguar Land Rover, Kering, Pornhub, SoundCloud, Rockstar Games, la Commission européenne, ainsi que Salesforce, qui lui aurait permis de potentiellement pouvoir compromettre 700 de ses clients.

• 2,5 milliards d’utilisateurs Gmail compromis ? Non, mais 700 entreprises potentiellement

Un groupe « profondément lié à la France »