Opération Nova : Europol et le FBI ferment un VPN russe utilisé « pour des activités criminelles »

Bons BTC de Russie
Droit 5 min
Opération Nova : Europol et le FBI ferment un VPN russe utilisé « pour des activités criminelles »
Crédits : FOTOKITA/iStock

Europol et le FBI annoncent avoir fermé un VPN « intentionnellement conçu pour des activités criminelles et permettre à ses clients d'opérer en évitant d'être identifiables par les forces de l'ordre ». Ses créateurs se référaient à Tim Berners-Lee, et proposaient « 5 couches de connexions VPN anonymes »… pour 190 dollars par an.

Safe-Inet, un VPN « utilisé par les plus grands cybercriminels du monde entier », vient d'être démantelé et son nom de domaine saisi dans le cadre de l'Opération Nova, annoncent Europol et le ministère de la Justice américaine.

Cette action policière coordonnée a été menée par le siège de la police allemande de Reutlingen en collaboration avec celle des Pays-Bas, de la Suisse, de la France et le FBI dans le cadre de la plate-forme multidisciplinaire européenne contre les menaces criminelles (EMPACT).

Actif depuis plus d'une décennie, Safe-Inet était utilisé par des opérateurs de ransomware, de fraudes à la carte bancaire, de phishing, de piratage informatique et d'autres formes de cybercriminalité grave, précise le procureur des États-Unis, Matthew Schneider.

L'enquête aurait révélé que trois domaines – insorg.org, safe-inet.com et safe-inet.net – offraient des services présentés comme « bullet-proof », à savoir « intentionnellement conçus pour fournir des services d'hébergement Web ou VPN pour des activités criminelles et pour permettre à ses clients d'opérer tout en évitant d'être identifiables par les forces de l'ordre ».

Le communiqué du ministère de la Justice précise que « bon nombre de ces services sont annoncés sur des forums en ligne consacrés à la discussion des activités criminelles », et qu’ils « soutiennent sciemment les activités criminelles de leurs clients et deviennent des coconspirateurs dans des stratagèmes criminels ».

Un VPN comme un autre... ou presque

La société de cybersécurité israélienne Kela, spécialiste du « Darknet », a transmis à BleepingComputer des captures d'écran de plusieurs publicités parues sur des forums de « carders », fournisseurs de ransomwares et autres services « black hat ». Safe-Inet s’y présente lui-même comme « bullet-proof ».

safe-inet vpn kela
Crédits : Kela

La vitrine de son site ressemblait pourtant à n’importe quel autre service de VPN : « Attention ! Ce service est uniquement destiné à la sécurité sur Internet ! Toutes les actions illégales sont interdites ! », pouvait-on lire sur la page d'accueil. Les CGU proscrivaient le recours au VPN « pour le spamming (y compris le spamming de lien), les irrégularités financières, la fraude, la distribution de pornographie enfantine, tout type d'attaque informatique, le piratage ou toute autre action ou activité susceptible de nuire à tout utilisateur ou service Internet ». 

Alors qu'il existait depuis 2009, Safe-Inet ne s'était inscrit sur TrustPilot qu'en octobre dernier, et n'y compte que 33 avis – dont 32 en cyrillique – signe que le VPN n'était pas si grand public que cela.

Le site tel que sauvegardé par archive.org, offrait une assistance (y compris via ICQ) en russe/anglais et jusqu'à cinq couches de VPN : « 34 Single VPN (votre trafic passera par un serveur), 34 Double VPN (via 2 serveurs), 32 Triple VPN (via 3 serveurs), 32 Quadro VPN (via 4 serveurs), 32 Penta VPN (via 5 serveurs) sur OpenVPN, et jusqu'à 32 serveurs Single VPN par les protocoles IKEv2, L2TP / IPsec, PPTP », pour 190 dollars par an (soit 15,83 dollars par mois).

Il était également possible de s'abonner pour 24 heures (1,3 dollar), 7 jours (7,5 dollars) ou un mois (20 dollars). Les paiements pouvaient être effectués en cryptomonnaies (BTC, ETH, LTC, ZEC), via Webmoney, Yandex money et Qiwi (trois opérateurs russes), carte de crédit ou PayPal.

safe-inet vpn fbi europolinsorg safe-inet vpn

Leur « manifeste d'entreprise » se référait à Tim Berners-Lee

Si Safe-Inet est un service récent (juillet 2020), il s’agit du nouveau nom d’insorg.org (pour INternet SOftware Research Group) créé en 2009. Il proposait initialement un proxy anonymisant et sans conservation des logs, mettant en avant le fait que des journalistes et dissidents avaient, en Iran et en Afghanistan, été condamnés à mort ou à de la prison pour s'être exprimés sur le web ou y avoir téléchargé des rapports relatifs aux droits humains.

À cette époque, amis d'enfance, ses créateurs en avaient eu l'idée « lors d'un voyage en Europe » au motif qu'« en passant d'un pays à l'autre, nous étions constamment confrontés aux restrictions de tel ou tel contenu en raison des actions des gouvernements de différents États ».

Leur « manifeste d'entreprise » se référait à Tim Berners-Lee qui, en créant le web, le voulait comme « un îlot de sécurité, qui n'était pas soumis à la censure et aux restrictions gouvernementales ». « Malheureusement, aujourd'hui, cette idée est loin d'être réalisée. Par conséquent, notre objectif principal est de tout faire pour que les utilisateurs puissent avoir un accès illimité à une variété de contenus ».

Pas de logs, mais des enquêtes en cours

Son site précisait que « l'une des principales règles que nous suivons au jour le jour est l'absence de journaux et d'informations personnelles sur les utilisateurs ». Une promesse qui revient régulièrement chez les services du genre. « Nous n'avons reçu aucune lettre relative à la sécurité nationale » y lisait-on le 23 novembre 2020.

Les forces de l'ordre ont pu identifier et prévenir 250 entreprises dans le monde qui étaient espionnées par des utilisateurs de ce VPN, leur permettant de prendre des mesures pour se protéger contre d’éventuelles attaques qui pourraient être en préparation. Elles auraient procédé à « un retrait coordonné de serveurs dans au moins cinq pays différents ». Ni Europol ni le FBI ne précisent s'ils étaient accompagnés d’arrestations de personnes.

Enfin, des enquêtes sont en cours dans un certain nombre de pays pour identifier et prendre des mesures contre certains des utilisateurs de Safe-Inet, sans que l'on sache comment les autorités seraient remontées jusqu'à eux. De quoi, sans doute, inciter les fournisseurs de tels services à prendre garde à qui sont leurs clients. 

Ce 21 décembre, alors que le nom de domaine venait d'être saisi, le compte Twitter de Safe-Inet.com, suivi par 29 personnes seulement, se fendait d'un tweet laconique : « Nous sommes conscients du problème, et le service sera restauré dans les prochains jours. Excusez-moi ».

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !