Europol et le FBI annoncent avoir fermé un VPN « intentionnellement conçu pour des activités criminelles et permettre à ses clients d'opérer en évitant d'être identifiables par les forces de l'ordre ». Ses créateurs se référaient à Tim Berners-Lee, et proposaient « 5 couches de connexions VPN anonymes »… pour 190 dollars par an.
Safe-Inet, un VPN « utilisé par les plus grands cybercriminels du monde entier », vient d'être démantelé et son nom de domaine saisi dans le cadre de l'Opération Nova, annoncent Europol et le ministère de la Justice américaine.
Cette action policière coordonnée a été menée par le siège de la police allemande de Reutlingen en collaboration avec celle des Pays-Bas, de la Suisse, de la France et le FBI dans le cadre de la plate-forme multidisciplinaire européenne contre les menaces criminelles (EMPACT).
Actif depuis plus d'une décennie, Safe-Inet était utilisé par des opérateurs de ransomware, de fraudes à la carte bancaire, de phishing, de piratage informatique et d'autres formes de cybercriminalité grave, précise le procureur des États-Unis, Matthew Schneider.
L'enquête aurait révélé que trois domaines – insorg.org, safe-inet.com et safe-inet.net – offraient des services présentés comme « bullet-proof », à savoir « intentionnellement conçus pour fournir des services d'hébergement Web ou VPN pour des activités criminelles et pour permettre à ses clients d'opérer tout en évitant d'être identifiables par les forces de l'ordre ».
Le communiqué du ministère de la Justice précise que « bon nombre de ces services sont annoncés sur des forums en ligne consacrés à la discussion des activités criminelles », et qu’ils « soutiennent sciemment les activités criminelles de leurs clients et deviennent des coconspirateurs dans des stratagèmes criminels ».
Un VPN comme un autre... ou presque
La société de cybersécurité israélienne Kela, spécialiste du « Darknet », a transmis à BleepingComputer des captures d'écran de plusieurs publicités parues sur des forums de « carders », fournisseurs de ransomwares et autres services « black hat ». Safe-Inet s’y présente lui-même comme « bullet-proof ».

La vitrine de son site ressemblait pourtant à n’importe quel autre service de VPN : « Attention ! Ce service est uniquement destiné à la sécurité sur Internet ! Toutes les actions illégales sont interdites ! », pouvait-on lire sur la page d'accueil. Les CGU proscrivaient le recours au VPN « pour le spamming (y compris le spamming de lien), les irrégularités financières, la fraude, la distribution de pornographie enfantine, tout type d'attaque informatique, le piratage ou toute autre action ou activité susceptible de nuire à tout utilisateur ou service Internet ».
Alors qu'il existait depuis 2009, Safe-Inet ne s'était inscrit sur TrustPilot qu'en octobre dernier, et n'y compte que 33 avis – dont 32 en cyrillique – signe que le VPN n'était pas si grand public que cela.
Le site tel que sauvegardé par archive.org, offrait une assistance (y compris via ICQ) en russe/anglais et jusqu'à cinq couches de VPN : « 34 Single VPN (votre trafic passera par un serveur), 34 Double VPN (via 2 serveurs), 32 Triple VPN (via 3 serveurs), 32 Quadro VPN (via 4 serveurs), 32 Penta VPN (via 5 serveurs) sur OpenVPN, et jusqu'à 32 serveurs Single VPN par les protocoles IKEv2, L2TP / IPsec, PPTP », pour 190 dollars par an (soit 15,83 dollars par mois).
Il était également possible de s'abonner pour 24 heures (1,3 dollar), 7 jours (7,5 dollars) ou un mois (20 dollars). Les paiements pouvaient être effectués en cryptomonnaies (BTC, ETH, LTC, ZEC), via Webmoney, Yandex money et Qiwi (trois opérateurs russes), carte de crédit ou PayPal.
Leur « manifeste d'entreprise » se référait à Tim Berners-Lee
Si Safe-Inet est un service récent (juillet 2020), il s’agit du nouveau nom d’insorg.org (pour INternet SOftware Research Group) créé en 2009. Il proposait initialement un proxy anonymisant et sans conservation des logs, mettant en avant le fait que des journalistes et dissidents avaient, en Iran et en Afghanistan, été condamnés à mort ou à de la prison pour s'être exprimés sur le web ou y avoir téléchargé des rapports relatifs aux droits humains.
À cette époque, amis d'enfance, ses créateurs en avaient eu l'idée « lors d'un voyage en Europe » au motif qu'« en passant d'un pays à l'autre, nous étions constamment confrontés aux restrictions de tel ou tel contenu en raison des actions des gouvernements de différents États ».
Leur « manifeste d'entreprise » se référait à Tim Berners-Lee qui, en créant le web, le voulait comme « un îlot de sécurité, qui n'était pas soumis à la censure et aux restrictions gouvernementales ». « Malheureusement, aujourd'hui, cette idée est loin d'être réalisée. Par conséquent, notre objectif principal est de tout faire pour que les utilisateurs puissent avoir un accès illimité à une variété de contenus ».
Pas de logs, mais des enquêtes en cours
Son site précisait que « l'une des principales règles que nous suivons au jour le jour est l'absence de journaux et d'informations personnelles sur les utilisateurs ». Une promesse qui revient régulièrement chez les services du genre. « Nous n'avons reçu aucune lettre relative à la sécurité nationale » y lisait-on le 23 novembre 2020.
Les forces de l'ordre ont pu identifier et prévenir 250 entreprises dans le monde qui étaient espionnées par des utilisateurs de ce VPN, leur permettant de prendre des mesures pour se protéger contre d’éventuelles attaques qui pourraient être en préparation. Elles auraient procédé à « un retrait coordonné de serveurs dans au moins cinq pays différents ». Ni Europol ni le FBI ne précisent s'ils étaient accompagnés d’arrestations de personnes.
Enfin, des enquêtes sont en cours dans un certain nombre de pays pour identifier et prendre des mesures contre certains des utilisateurs de Safe-Inet, sans que l'on sache comment les autorités seraient remontées jusqu'à eux. De quoi, sans doute, inciter les fournisseurs de tels services à prendre garde à qui sont leurs clients.
Ce 21 décembre, alors que le nom de domaine venait d'être saisi, le compte Twitter de Safe-Inet.com, suivi par 29 personnes seulement, se fendait d'un tweet laconique : « Nous sommes conscients du problème, et le service sera restauré dans les prochains jours. Excusez-moi ».