Le géant Amazon a démasqué un agent nord-coréen infiltré dans son département IT, grâce à une latence de frappe clavier. Plus de 1 800 tentatives d'infiltration ont été détectées depuis un an et demi.
Un administrateur système embauché par un prestataire d'Amazon cachait un secret. Derrière un profil en apparence irréprochable, se dissimulait un agent au service de la Corée du Nord. Mais le temps que l'employé presse une touche de son clavier et que l'information arrive aux serveurs d'Amazon a trahi toute une opération. Le mastodonte de la vente en ligne multiplie les découvertes de ce genre.
Amazon a détecté l'infiltré grâce au temps de frappe clavier
Comment attraper un imposteur parfait en 2025 ? En mesurant le temps que met l'information à voyager. Les systèmes de surveillance d'Amazon ont détecté quelque chose d'inhabituel sur le portable professionnel d'un nouvel administrateur système censé travailler depuis les États-Unis. Chaque frappe au clavier mettait plus de 110 millisecondes à atteindre Seattle. Un délai imperceptible pour l'œil humain, mais énorme, d'un point de vue réseau.
Car en théorie, un employé américain génère normalement une latence de quelques dizaines de millisecondes, au maximum. Dépasser les 110 millisecondes suggère une distance géographique considérable, comme si les données devaient traverser la moitié de la planète avant d'arriver à destination. Les équipes de Stephen Schmidt, patron de la cybersécurité chez Amazon, ont alors remonté la piste informatique aussi loin que techniquement possible. Ils ont atterri en Chine.
La machine était bien pilotée à distance, nous apprend Bloomberg. Mais quid de l'employé soi-disant irréprochable, qui n'était qu'un écran de fumée ? L'enquête a débouché sur une résidente de l'Arizona, condamnée en juillet à plusieurs années de prison pour avoir servi d'intermédiaire. Heureusement, l'ordinateur en question n'avait accès à rien de sensible. Mais Stephen Schmidt insiste pour dire que sans outils de détection performants scrutant ces micro-signaux suspects, personne n'aurait rien vu.
Une hausse de 27% des tentatives d'infiltration par trimestre, révèle Amazon
Amazon explique que depuis avril 2024, le groupe a identifié et bloqué plus de 1 800 tentatives de recrutement frauduleux pilotées par la Corée du Nord. Et l'hémorragie s'aggrave, car chaque trimestre voit une augmentation de 27% des tentatives par rapport au précédent. Pyongyang chercherait à contourner les sanctions internationales, en plaçant des agents dans des entreprises occidentales pour générer des revenus, notamment destinés aux programmes d'armement du régime.
Les imposteurs suivent un mode opératoire récurrent qui commence à être bien documenté. Ils présentent des CV qui affichent des parcours dans les mêmes écoles et entreprises, souvent des cabinets de conseil à l'étranger difficiles à vérifier depuis l'Occident. L'autre indice révélateur, c'est l'utilisation maladroite des articles anglais (« a », « an », « the ») et des idiomes américains qui sonnent faux aux oreilles natives.
Gerome Billois, expert français en cybersécurité chez Wavestone, confirme que le phénomène dépasse les frontières américaines. Il révèle sur LinkedIn que plusieurs de ses clients européens ont également été confrontés à ces infiltrations. Pour lui, c'est un réveil brutal. La menace interne ne se limite plus aux salariés mécontents ou négligents. Elle englobe désormais des opérations d'États structurées et sophistiquées. La surveillance comportementale, encore considérée comme un angle mort dans beaucoup d'entreprises, devient soudainement urgente, dans certaines circonstances. Mais le débat devient alors moral.
