Sous couvert d’une « grande victoire » contre le cybercrime, les autorités françaises et néerlandaises viennent de porter un coup fatal à First VPN, l’un des derniers outils permettant au citoyen lambda de préserver son anonymat sur internet. Officiellement, l’opération coordonnée par le parquet de Paris, Europol et Eurojust visait un service devenu « référence » sur les forums russophones spécialisés dans le rançongiciel, le phishing et le vol de données. En réalité, ce démantèlement marque le début d’une offensive assumée contre les VPN, ces tunnels numériques qui, depuis des années, permettent de contourner la censure d’État et d’échapper à la surveillance généralisée.
Présenté comme un simple service de confidentialité avec ses 33 serveurs dans 27 pays, First VPN promettait à ses utilisateurs une protection basique, masquage d’IP et chiffrement des connexions. Mais les enquêteurs français affirment avoir identifié plus de 500 « utilisateurs suspects » et saisi leurs données.
Le message est limpide, peu importe que des millions de personnes utilisent ces outils de manière parfaitement légale. Dès lors qu’un VPN est fréquenté par des “cybercriminels” – des russophones –, il devient une cible prioritaire.
Mais derrière ce paravent commode de la lutte contre la « cybercriminalité russe », c’est bien le dernier bastion d’anonymat du citoyen ordinaire qui est visé. Depuis plusieurs années, les services français de cyberdéfense ont changé de stratégie : ils ne traquent plus seulement les hackers, ils démantèlent méthodiquement les infrastructures qui leur servent de bouclier, permettant ainsi de réduire l’anonymat du citoyen lambda. Hébergeurs « bulletproof », messageries chiffrées, et désormais VPN : la chaîne logistique de l’anonymat est méthodiquement démontée. La logique est implacable : priver tout le monde de ces outils.
Ce n’est pas une première. On se souvient des opérations Safe-Inet en 2020 et DoubleVPN en 2021, déjà pilotées avec Europol, et déjà présentées comme des coups décisifs contre le ransomware. À chaque fois, le même discours : des plateformes « utilisées par des groupes criminels russophones ». Le prétexte est rodé, presque trop commode. Car en 2026, au moment où les gouvernements européens renforcent leur arsenal de contrôle numérique – lois sur la « souveraineté » des données, lutte contre la « désinformation », traçabilité des connexions –, les VPN restent le seul moyen pour le citoyen de contourner la censure d’État, de protéger sa vie privée contre les GAFAM et les agences de renseignement, ou simplement de naviguer librement.
En s’attaquant à First VPN, Paris envoie un signal fort. L’Europe ne tolérera plus ces outils qui échappent à son contrôle. Peu importe que les journalistes d’investigation, les dissidents, les entreprises ou de simples particuliers en aient besoin pour échapper à la surveillance de masse. Le risque collatéral est assumé, fragiliser l’anonymat de tous au nom de la « sécurité ». On veut tuer la liberté numérique du plus grand nombre sur l’autel d’une lutte contre une cybercriminalité que l’on agite comme un chiffon rouge, en insistant lourdement sur son origine « russe ».
En visant First VPN, l’État ne frappe pas des criminels, il frappe le dernier rempart qui permettait encore au citoyen ordinaire de garder un semblant de vie privée et de liberté face à la censure et à la surveillance généralisée.
