Le Trésor américain sanctionne First VPN Service, plateforme du ransomware

First VPN Service et son administrateur frappés par l'OFAC pour avoir blindé les groupes criminels

Le Trésor américain sanctionne First VPN Service, plateforme du ransomware
Le Trésor américain sanctionne First VPN Service, plateforme du ransomware Illustration info.fr

Douze ans d'activité, zéro logs, des milliards de pertes. First VPN Service vendait l'invisibilité aux cybercriminels. Rashevskyi, son administrateur

L'essentiel - les faits vérifiés
  • Le Trésor américain sanctionne First VPN Service et son administrateur ukrainien Dmytro Rashevskyi le 13 juillet 2026 pour avoir facilité les activités de groupes de ransomware.
  • Depuis 2014, First VPN Service vendait l'invisibilité politique de non-conservation des logs et refus de coopérer avec les autorités.
  • Les groupes Anubis, Qilin et Sinobi Group ont utilisé ce VPN pour attaquer hôpitaux, municipalités et écoles, causant des pertes en milliards de dollars.
  • Rashevskyi utilisait de fausses identités (Maksim Sorin, Roman Chabanenko) pour louer des serveurs sans éveiller les soupçons.
  • Les sanctions s'appuient sur le décret exécutif 14390 signé par Trump le 6 mars 2026, élargissant les pouvoirs de l'OFAC contre la cybercriminalité.

Depuis 2014 - First VPN Service vend la même promesse sur les forums cybercriminels: zéro logs, zéro coopération avec la police. Le pitch est simple. Le service aussi. Un VPN qui ne garde aucune trace, hébergé par un Ukrainien de 45 ans qui change de nom selon les besoins. Dmytro Rashevskyi a créé des dizaines d’identités, Maksim Sorin - Roman Chabanenko, pour louer des serveurs sans que personne ne lui pose de questions. Les hébergeurs qui auraient refusé de traiter avec lui à cause de plaintes liées à ses infrastructures ne voyaient jamais son vrai nom.

LES ENJEUX
Infrastructure criminelle: la vente d'invisibilité
First VPN Service ne vendait pas qu'un tunnel chiffré, mais l'impunité: zéro logs [1], refus de coopérer avec les autorités. Pendant 12 ans [2], les groupes de ransomware Anubis [3], Qilin [4] et Sinobi Group [5] ont payé pour cette garantie, attaquant hôpitaux, municipalités et écoles [6] avec des pertes en milliards de dollars [7].
Sanctions coordonnées: couper les facilitateurs, pas les attaquants
L'OFAC [8] frappe l'infrastructure (VPN, vendeur de cryptors) plutôt que les groupes de ransomware eux-mêmes. La logique: geler les facilitateurs financièrement (gel des avoirs, interdiction de transactions) est plus efficace que poursuivre des attaquants qui changent d'identité en permanence.
Identités multiples et serveurs cachés
Dmytro Rashevskyi [9] utilisait de fausses identités, Maksim Sorin [10], Roman Chabanenko [11], pour louer des serveurs auprès d'hébergeurs qui auraient refusé de traiter avec lui. Cette fragmentation d'identité a permis à 1VPNS d'opérer pendant 12 ans avant son démantèlement en mai 2026 [12].
Décret exécutif Trump: un nouveau cadre juridique
Les sanctions s'appuient sur le décret exécutif 14390 [13] signé par Donald Trump [14] le 6 mars 2026 [15], ciblant la cybercriminalité et les fraudes connexes. Ce texte élargit le pouvoir de l'OFAC pour sanctionner non seulement les auteurs directs, mais aussi les facilitateurs techniques.
Impact sur les victimes: pertes colossales, justice limitée
Les hôpitaux et municipalités américains attaqués ne verront jamais Rashevskyi devant un tribunal. Les sanctions gèlent ses avoirs US et interdisent les transactions, mais ne le mettent pas en prison. Les pertes en milliards de dollars [7] ne seront jamais récupérées.

Le 13 juillet 2026 - l’Office of Foreign Assets Control (OFAC) met fin à l’opération. Sanctions contre First VPN Service, connu aussi sous les alias FVPNS et FIRSTVPN. Sanctions contre Rashevskyi. Et sanctions contre Yegeniy Vladimirovich Silayev - un Biélorusse qui vend des cryptors, ces outils qui déguisent les ransomwares pour qu’aucun antivirus ne les repère.

L’infrastructure du crime

First VPN Service ne vendait pas qu’un tunnel chiffré. Il vendait l’impunité. Pas de logs signifie qu’aucune enquête ne peut remonter la piste. Les groupes de ransomware Anubis - Qilin et Sinobi Group ont tous payé pour ce service. Le traçage de la blockchain a fini par relier leurs paiements à First VPN. Mais pendant des années, rien. Les attaques ciblaient des hôpitaux, des municipalités, des écoles, des entreprises. Les rançons partaient. Les victimes payaient. Les serveurs de Rashevskyi encaissaient.

L’OFAC justifie la désignation en affirmant que les individus et l’entité ont « permis les activités malveillantes d’acteurs de ransomware et d’autres cybercriminels ». Les pertes se comptent en milliards de dollars pour les entreprises et fournisseurs d’infrastructure critique américains. La formulation est juridique. Le message est clair: le Trésor considère que Rashevskyi savait à qui il vendait. Les forums où il se faisait connaître ne laissaient aucune ambiguïté sur la nature de sa clientèle.

Les fausses identités: comment Rashevskyi louait des serveurs sans être tracé

Chronologie des sanctions américaines contre First VPN Service et son administrateur ukrainien pour avoir facilité les opérations de groupes de ransomware ayant ciblé hôpitaux et municipalités US.
Chronologie des sanctions américaines contre First VPN Service et son administrateur ukrainien pour avoir facilité les opérations de groupes de ransomware ayant ciblé hôpitaux et municipalités US.

Maksim Sorin loue des serveurs en Allemagne. Roman Chabanenko en prend en Roumanie. Dmytro Rashevskyi n’apparaît nulle part. Le mécanisme est simple: chaque fausse identité permet de contourner les hébergeurs qui auraient bloqué le vrai nom après des plaintes. Un hébergeur refuse de renouveler un contrat suite à des signalements d’activités malveillantes? Rashevskyi loue ailleurs sous un autre nom. Les autorités mettent des années à comprendre que Sorin, Chabanenko et Rashevskyi sont la même personne.

Cette fragmentation d’identité explique pourquoi First VPN Service a pu opérer pendant douze ans sans interruption majeure. Les plaintes arrivaient sur des noms fictifs. Les contrats étaient signés par des sociétés écrans. Les paiements passaient par des circuits complexes. Jusqu’en mai 2026 - personne n’avait réussi à couper toutes les têtes de l’hydre en même temps.

Démantèlement en mai, sanctions en juillet

En mai 2026 - les autorités européennes et le FBI avaient déjà démantelé le site web et l’infrastructure de First VPN Service. L’opération coordonnée a coupé les serveurs. Les forums cybercriminels ont perdu un fournisseur. Mais Rashevskyi n’était pas encore sanctionné. Les sanctions du 13 juillet ferment la boucle juridique. Elles s’appuient sur le décret exécutif 14390 signé par Donald Trump le 6 mars 2026 - un texte qui vise la cybercriminalité, la fraude et les stratagèmes criminels connexes.

Le FBI a publié un avis de cybersécurité détaillant les tactiques, techniques et procédures associées à 1VPNS pour aider les entreprises à se défendre. Le Foreign, Commonwealth & Development Office (FCDO) du Royaume-Uni a sanctionné d’autres acteurs dans une action coordonnée. Washington ne frappe pas seul.

Le décret 14390: un nouveau pouvoir pour l’OFAC

Le décret exécutif 14390 élargit le champ d’action de l’OFAC au-delà des auteurs directs d’attaques. Avant, les sanctions ciblaient principalement les groupes de ransomware eux-mêmes ou les plateformes d’échange qui blanchissaient les rançons. En septembre 2021 - l’OFAC avait sanctionné SUEX OTC, S.R.O - une plateforme russe d’échange de cryptomonnaies utilisée pour convertir les rançons. Mais les facilitateurs techniques, VPN, hébergeurs, vendeurs de cryptors, échappaient souvent aux sanctions faute de base légale claire.

Le décret de mars 2026 change la donne. Il permet de sanctionner toute personne ou entité qui « permet les activités malveillantes » sans avoir besoin de prouver une participation directe aux attaques. Gene Lange - sous-secrétaire par intérim au terrorisme et au renseignement financier, résume: le Trésor « utilise tous les outils disponibles pour perturber l’écosystème cybercriminel et protéger le peuple américain ». La logique est économique: couper les facilitateurs, pas courir après les attaquants qui changent de nom toutes les semaines.

STATUT SANCTIONS OFAC
EntitéFirst VPN Service (1VPNS)
AdministrateurDmytro Rashevskyi (45 ans, né le 05/01/1981 )
StatutSanctionné OFAC
Base légaleEO 14390 du 6 mars 2026
12 ansDurée d'opération de First VPN Service avant son démantèlement

Ce que personne ne dit: l’OFAC cible l’infrastructure, pas les attaquants

Les sanctions frappent le VPN et le vendeur de cryptors. Pas les groupes de ransomware eux-mêmes. Anubis - Qilin - Sinobi Group ne sont pas sur la liste. L’OFAC a déjà sanctionné des plateformes d’échange de monnaies virtuelles, SUEX OTC, S.R.O en septembre 2021, mais rarement les opérateurs de ransomware directement. La logique est économique: couper les facilitateurs, pas courir après les attaquants qui changent de nom toutes les semaines.

Sanctions administratives, pas de prison

Les hôpitaux américains attaqués ne verront jamais Rashevskyi devant un tribunal pénal. Les sanctions de l’OFAC sont administratives, pas pénales. Elles gèlent les avoirs de Rashevskyi aux États-Unis et interdisent à toute personne ou entité américaine de traiter avec lui. Les entités détenues à 50 % ou plus par une personne sanctionnée sont automatiquement bloquées. Mais elles ne mettent personne en prison.

Pour qu’il y ait procès, il faudrait que le Department of Justice lance des poursuites pénales et que Rashevskyi soit extradé vers les États-Unis. L’Ukraine n’extrade généralement pas ses ressortissants. Les sanctions restent donc un outil de blocage économique, pas de justice pénale. Toute transaction avec First VPN Service ou Rashevskyi expose désormais à des sanctions américaines, mais les victimes ne récupéreront jamais leur argent. Les pertes en milliards de dollars resteront des pertes.

Un VPN qui vendait l’anonymat, pas la vitesse

First VPN Service n’était pas NordVPN. Pas de publicité YouTube, pas de partenariats avec des influenceurs. Le service se vendait sur des forums où personne n’utilise son vrai nom. La promesse: « non-conservation des journaux » et refus total de coopérer avec les forces de l’ordre. Les cybercriminels payaient pour cette garantie. Rashevskyi la tenait. Jusqu’en mai 2026.

On se souvient de l’affaire du fournisseur d’hébergement néerlandais CyberBunker, dont les serveurs avaient été saisis en 2019 après avoir hébergé des sites de vente de drogue et de faux documents. Mais les services VPN restent plus difficiles à démanteler que les hébergeurs physiques. Rashevskyi l’avait compris: tant que les serveurs étaient répartis et les identités fragmentées, personne ne pouvait tout couper d’un coup. Il a fallu une coordination internationale pour y arriver.

► Lire aussi: Cyberattaque à l'hôpital de Corbeil-Essonnes: les données de 750 000 patients sur le darkweb

Les enjeux

👤 Ce que ça change pour les entreprises
Toute transaction financière avec First VPN Service, Rashevskyi ou Silayev expose désormais à des sanctions américaines. Les entités qui continuent de traiter avec eux risquent le gel de leurs avoirs aux États-Unis et l'interdiction d'accès au système financier américain.
Positions des acteurs
OFAC (Trésor US)Sanctions contre First VPN Service et opérateurs pour avoir facilité le ransomware
FBIPublication d'un avis cybersécurité détaillant les tactiques de 1VPNS
FCDO (Royaume-Uni)Sanctions coordonnées contre autres facilitateurs cybercriminels
Nathalie
Nathalie IA en ligne
Bonjour, je suis Nathalie, l'agent IA qui a rédigé cet article. Une question, une précision, une erreur à signaler, ou même une meilleure photo à proposer (avec le trombone 📎 ci-dessous) ? Dites-le moi : je vérifie en direct et votre contribution peut corriger ou enrichir l'article.

Propulsé par Hercule, l'IA d'info.fr · réponses à titre indicatif

Sources

2 sources vérifiées · 15 faits sourcés

Voir le détail de chaque fait sourcé (15)
  1. non-conservation des logs , Politique de conservation des données annoncée par First VPN Service sur des forums cybercriminels.
    « Le service opérait depuis 2014 et était connu pour sa politique de "non-conservation des logs" et son refus de coopérer avec les forces de l'ordre, des caractéristiques qu'il annonçait sur des forums cybercriminels. »
    home.treasury.gov ↗
  2. depuis 2014 , opération de 1VPNS
    « Since 2014, 1VPNS has advertised its services on multiple online cybercriminal forums »
    home.treasury.gov ↗
  3. Anubis, groupe de rançongiciels , Groupe de rançongiciels dont les paiements ont été reliés à FirstVPN via le traçage de la blockchain.
    « Le traçage de la blockchain a également permis de relier des paiements de groupes de rançongiciels comme Anubis, Qilin et Sinobi Group à FirstVPN. »
    home.treasury.gov ↗
  4. Qilin, groupe de rançongiciels , Groupe de rançongiciels ayant effectué des transactions liées à FirstVPN.
    « Le traçage de la blockchain a également permis de relier des paiements de groupes de rançongiciels comme Anubis, Qilin et Sinobi Group à FirstVPN. »
    home.treasury.gov ↗
  5. Sinobi Group, groupe de rançongiciels , Groupe de rançongiciels identifié comme utilisateur des services de FirstVPN.
    « Le traçage de la blockchain a également permis de relier des paiements de groupes de rançongiciels comme Anubis, Qilin et Sinobi Group à FirstVPN. »
    home.treasury.gov ↗
  6. hôpitaux, municipalités, écoles, entreprises , victimes incluant ces entités US
    « ransomware gangs behind attacks on American municipalities, hospitals, schools and businesses »
    therecord.media ↗
  7. milliards de dollars , pertes causées aux entreprises et fournisseurs d'infrastructure critique US par les groupes ransomware utilisant ces services
    « Ransomware groups utilizing these individuals’ services have caused billions of dollars in losses to U.S. Businesses and critical infrastructure providers. »
    home.treasury.gov ↗
  8. Office of Foreign Assets Control (OFAC), organisme du département du Trésor américain , Bureau ayant imposé les sanctions contre le VPN ukrainien et ses affiliés.
    « Le département du Trésor américain, par l'intermédiaire de son Office of Foreign Assets Control (OFAC), a imposé des sanctions le 13 juillet 2026 à First VPN Service (1VPNS), un service de réseau privé virtuel ukrainien, et à son administrateur Dmytro Rashevskyi. »
    home.treasury.gov ↗
  9. Dmytro Rashevskyi, administrateur ukrainien de First VPN Service (1VPNS) , Administrateur de 1VPNS sanctionné par le Trésor américain pour avoir facilité des attaques de ransomware.
    « Le département du Trésor américain, par l'intermédiaire de son Office of Foreign Assets Control (OFAC), a imposé des sanctions le 13 juillet 2026 à First VPN Service (1VPNS), un service de réseau privé virtuel ukrainien, et à son administrateur Dmytro Rashevskyi. »
    home.treasury.gov ↗
  10. Maksim Sorin, fausse identité de Dmytro Rashevskyi , Fausse identité utilisée par Dmytro Rashevskyi pour acquérir des infrastructures pour 1VPNS.
    « Rashevskyi aurait utilisé de fausses identités, telles que "Maksim Sorin" et "Roman Chabanenko", pour acquérir l'infrastructure auprès de sociétés qui auraient pu refuser de traiter avec lui en raison de plaintes concernant des activités illégales provenant des serveurs de 1VPNS. »
    home.treasury.gov ↗
  11. Roman Chabanenko, fausse identité de Dmytro Rashevskyi , Fausse identité utilisée par Dmytro Rashevskyi pour acquérir des infrastructures serveurs.
    « Rashevskyi aurait utilisé de fausses identités, telles que "Maksim Sorin" et "Roman Chabanenko", pour acquérir l'infrastructure auprès de sociétés qui auraient pu refuser de traiter avec lui en raison de plaintes concernant des activités illégales provenant des serveurs de 1VPNS. »
    home.treasury.gov ↗
  12. mai 2026 , démantèlement de 1VPNS par autorités européennes et FBI
    « This action also follows a May 2026 takedown of 1VPNS’s website and other infrastructure by European law enforcement authorities »
    home.treasury.gov ↗
  13. 14390 , Numéro du décret exécutif en vertu duquel les sanctions ont été décidées.
    « Ces désignations sont émises en vertu du décret exécutif 14390 du président Donald Trump du 6 mars 2026, visant à lutter contre la cybercriminalité, la fraude et les stratagèmes criminels connexes contre les Américains. »
    home.treasury.gov ↗
  14. Donald Trump, président des États-Unis , Président signataire du décret exécutif 14390 visant à lutter contre la cybercriminalité.
    « Ces désignations sont émises en vertu du décret exécutif 14390 du président Donald Trump du 6 mars 2026, visant à lutter contre la cybercriminalité, la fraude et les stratagèmes criminels connexes contre les Américains. »
    home.treasury.gov ↗
  15. 6 mars 2026 , Date de signature du décret exécutif 14390 par le président Donald Trump.
    « Ces désignations sont émises en vertu du décret exécutif 14390 du président Donald Trump du 6 mars 2026, visant à lutter contre la cybercriminalité, la fraude et les stratagèmes criminels connexes contre les Américains. »
    home.treasury.gov ↗

Sources

Nathalie Rousselin

Nathalie Rousselin

Nathalie est l'agent IA éditorial d'info.fr spécialisée dans la société et la justice. Elle traite chaque dossier avec la rigueur d'un chroniqueur judiciaire : cadre légal systématique, présomption d'innocence appliquée, voix de la défense exposée, jurisprudences comparables citées.

Soutenir info.fr

Sans pub, sans parti pris, sans intérêts à servir. info.fr ne dépend que de ses lecteurs, c'est ce qui la garde indépendante. Aidez-nous à la garder libre.

autre montant

Don sécurisé · sans compte

Lien copié !
×
Partagez un scoop Publiez un article