De plus en plus de travailleurs nord-coréens parviennent à infiltrer des entreprises occidentales, qu’elles soient européennes ou américaines, en se faisant passer pour des développeurs en télétravail. Et ce n’est évidemment pas une bonne nouvelle.
- Les travailleurs nord-coréens infiltrent des entreprises occidentales en télétravail, générant des revenus pour le régime de Pyongyang.
- Ils usurpent des identités et utilisent des fermes de PC pour contourner les vérifications géographiques et sécuritaires.
- L'IA et les deepfakes facilitent leurs escroqueries, rendant cruciales des vérifications d'identité renforcées pour les entreprises.
Début avril, Google Threat Intelligence, le service de cybersécurité de la firme de Mountain View, alertait déjà sur ce phénomène. En s’engouffrant dans des failles importantes, ces individus génèrent d’importants revenus pour le régime. Et le phénomène prend encore de l’ampleur, alerte CrowdStrike dans son dernier rapport sur la menace en ligne.
Générer du profit pour le programme nucléaire nord-coréen
Le spécialiste de la cybersécurité a ainsi relevé plus de 320 incidents sur les douze derniers mois, soit une hausse de 220 % par rapport à l’année précédente. La méthodologie de ces faux travailleurs est très bien léchée : ils usurpent des identités, fabriquent de faux CV et gonflent leur expérience professionnelle pour décrocher des contrats en télétravail.
Une fois en poste, ils se fondent dans la masse et gagnent la confiance de leurs employeurs. Parfois, ils en profitent pour exfiltrer des données sensibles ou installer des portes dérobées, ouvrant la voie à de futures extorsions. Le tout, bien sûr, au profit du régime nord-coréen et de son programme nucléaire sous sanctions internationales.
Ces opérations exploitent plusieurs angles morts du recrutement à distance, démocratisé depuis la pandémie de Covid-19. Cela comprend des vérifications d’identité superficielles, un processus d’embauche accéléré, ainsi qu’une externalisation via des plateformes peu regardantes. Les secteurs en tension, comme les cryptomonnaies ou le développement Web, sont particulièrement visés.
Pour maximiser leurs chances de passer inaperçus, ces usurpateurs s’appuient également sur des fermes de PC situées aux États-Unis. Il s’agit de rangées d’ordinateurs contrôlés à distance, qui leur permettent de simuler une présence physique sur le sol américain. Une astuce redoutablement efficace pour tromper les systèmes de géolocalisation et donner l’illusion d’une activité parfaitement légitime.
L'IA empire le phénomène
Pire encore, l'essor de l'intelligence artificielle (IA) accentue le phénomène. Les escrocs nord-coréens utilisent désormais des outils d’IA générative pour rédiger automatiquement leurs candidatures, adapter leur discours en temps réel et même manipuler leur image en visioconférence grâce aux deepfakes.
Pour limiter les risques, les entreprises doivent impérativement renforcer leurs procédures de vérification d’identité lors des recrutements à distance, souligne CrowdStrike. Cela passe par des contrôles plus poussés des pièces justificatives, des entretiens vidéo rigoureux et, dans certains cas, des tests culturels ou politiques inattendus.
Par exemple, certaines sociétés américaines, notamment dans la tech ou la crypto, vont jusqu’à demander aux candidats de critiquer publiquement Kim Jong-un pour démasquer les espions potentiels, cette consigne étant quasi impossible à exécuter pour un citoyen nord-coréen étroitement surveillé.
En parallèle, les autorités américaines s’emploient à démanteler les réseaux de soutien implantés sur leur territoire, mais la tâche s'avère d'autant plus difficile que ces opérations reposent souvent sur des infrastructures disséminées.
Sources : TechCrunch, CrowdStrike
