Problème 5376

Sur le papier, le premier candidat semblait parfait. Thomas était originaire d'une région rurale du Tennessee et avait étudié l'informatique à l'Université du Missouri. Son CV indiquait qu'il était programmeur professionnel depuis huit ans et qu'il avait réussi un test de codage préliminaire sans problème. C'était une excellente nouvelle pour le futur patron de Thomas, Simon Wijckmans, fondateur de la start-up de sécurité web C.Side. Ce Belge de 27 ans était basé à Londres mais recherchait des codeurs ambitieux travaillant entièrement à distance. Thomas portait un nom de famille anglo-saxon, ce qui a surpris Wijckmans lorsqu'il a ouvert son Google Meet et s'est retrouvé à discuter avec un jeune homme d'origine asiatique au fort accent. Thomas avait choisi comme arrière-plan l'image générique d'un bureau. Sa connexion internet était lente – bizarre pour un codeur professionnel – et son appel était bruyant. Aux yeux de Wijckmans, Thomas semblait assis dans un grand espace bondé, peut-être une résidence universitaire ou un centre d'appels. Wijckmans a lancé ses questions d'entretien, et les réponses de Thomas étaient assez convaincantes. Mais Wijckmans a remarqué que Thomas semblait surtout intéressé par son salaire. Il ne semblait pas s'intéresser au travail en lui-même, au fonctionnement de l'entreprise, ni même aux avantages sociaux comme les actions de la startup ou la couverture santé. Bizarre, pensa Wijckmans. La conversation s'est terminée et il s'est préparé pour l'entretien suivant. Une fois de plus, le candidat a déclaré être basé aux États-Unis, avoir un nom anglo-saxon et être un jeune homme asiatique avec un fort accent non américain. Il utilisait un arrière-plan virtuel basique, avait une connexion internet médiocre et était obsédé par le salaire. Ce candidat, cependant, portait des lunettes. Dans les lentilles, Wijckmans a repéré le reflet de plusieurs écrans et a pu distinguer une fenêtre de discussion blanche où défilaient des messages. « Il était clairement en train de discuter avec quelqu'un ou d'utiliser un outil d'IA », se souvient Wijckmans. En état d'alerte, Wijckmans a pris des captures d'écran et des notes. Une fois l'appel terminé, il a relu les candidatures. Il a constaté que les offres d'emploi de son entreprise étaient inondées de candidatures similaires : un poste de développeur full-stack a reçu plus de 500 candidatures par jour, bien plus que d'habitude. Et en examinant de plus près les tests de codage des candidats, il a constaté que beaucoup semblaient avoir utilisé un réseau privé virtuel (VPN), qui permet de masquer la véritable localisation de son ordinateur. Wijckmans ne le savait pas encore, mais il était tombé sur les écueils d'une opération de cybercriminalité audacieuse et mondiale. Il avait involontairement pris contact avec une armée d'informaticiens apparemment sans prétention, déployés pour travailler à distance pour des entreprises américaines et européennes sous de fausses identités, tout cela pour financer le gouvernement de Corée du Nord. Avec l'aide de quelques amis sur place, bien sûr. Christina Chapman vivait dans une caravane à Brook Park, dans le Minnesota, un hameau au nord de Minneapolis, lorsqu'elle a reçu un message d'un recruteur qui a changé sa vie. Âgée de 44 ans, pétillante, aux cheveux roux bouclés et portant des lunettes, elle adorait ses chiens et sa mère et publiait du contenu sur la justice sociale sur TikTok. Pendant son temps libre, elle écoutait de la K-pop, appréciait les foires Renaissance et s'initiait au cosplay. Chapman apprenait également, d'après son CV en ligne, à coder en ligne. C'était en mars 2020 lorsqu'elle a cliqué sur le message sur son compte LinkedIn. Une entreprise étrangère recherchait quelqu'un pour « être le visage américain » de l'entreprise. L'entreprise avait besoin d'aide pour trouver du télétravail pour ses employés étrangers. Chapman a accepté. On ignore à quelle vitesse sa charge de travail a augmenté, mais en octobre 2022, elle pouvait se permettre de quitter le froid du Minnesota pour une maison basse de quatre chambres à Litchfield Park, en Arizona. Ce n'était pas luxueux – un terrain d'angle en banlieue avec quelques arbres clairsemés – mais c'était un sérieux plus que la caravane. La pandémie a considérablement augmenté le nombre de télétravailleurs, et Pyongyang a vu l'occasion idéale. Chapman a alors commencé à documenter davantage sa vie sur TikTok et YouTube, parlant principalement de son alimentation, de sa forme physique ou de sa santé mentale. Dans une vidéo bavarde, partagée en juin 2023, elle décrivait comment elle prenait son petit-déjeuner sur le pouce – un bol d'açaï et un smoothie – parce qu'elle était surchargée de travail. « Mes clients deviennent fous ! » se plaignait-elle. En arrière-plan, la caméra a aperçu des étagères métalliques sur lesquelles reposaient au moins une douzaine d'ordinateurs portables ouverts et couverts de post-its. Quelques mois plus tard, des enquêteurs fédéraux ont perquisitionné le domicile de Chapman, saisi ses ordinateurs portables et finalement porté plainte contre elle, l'accusant d'avoir contribué pendant trois ans aux « activités de génération de revenus illicites » du gouvernement nord-coréen. Depuis près d'une décennie, les services de renseignement nord-coréens forment de jeunes informaticiens et les envoient en équipes à l'étranger, souvent en Chine ou en Russie. Depuis ces bases, ils scrutent le web à la recherche d'offres d'emploi, généralement dans le domaine de l'ingénierie logicielle, et généralement auprès d'entreprises occidentales. Ils privilégient les postes entièrement à distance, offrant des salaires stables, un bon accès aux données et aux systèmes, et peu de responsabilités. Au fil du temps, ils ont commencé à postuler à ces emplois sous des identités volées ou falsifiées et à s'appuyer sur les membres de leurs équipes criminelles pour fournir des références fictives ; certains ont même commencé à utiliser l'IA pour réussir des tests de codage, des entretiens vidéo et des vérifications d'antécédents. Mais si un candidat décroche une offre d'emploi, le syndicat a besoin d'une personne sur le terrain dans le pays où il prétend résider. Après tout, un faux employé ne peut pas utiliser les adresses ou les comptes bancaires liés à ses identités volées, et il ne peut pas se connecter aux réseaux d'une entreprise depuis l'étranger sans éveiller immédiatement les soupçons. C'est là qu'une personne comme Christina Chapman entre en jeu. En tant que « facilitatrice » de centaines d'emplois liés à la Corée du Nord, Chapman signait des documents frauduleux et gérait une partie des salaires de ces faux employés. Elle recevait souvent leurs chèques sur l'un de ses comptes bancaires, prélevait une commission et transférait le reste à l'étranger : les procureurs fédéraux affirment que Chapman s'était vu promettre jusqu'à 30 % de l'argent qui lui passait par les mains. Sa tâche la plus importante, cependant, était de s'occuper du « parc d'ordinateurs portables ». Après son embauche, un faux employé demande généralement que son ordinateur soit envoyé à une adresse différente de celle enregistrée, généralement en prétextant un déménagement de dernière minute ou un séjour chez un proche malade. La nouvelle adresse, bien sûr, appartient à l'intermédiaire, en l'occurrence Chapman. Parfois, l'intermédiaire transfère l'ordinateur portable à une adresse à l'étranger, mais le plus souvent, cette personne le conserve et installe un logiciel permettant de le contrôler à distance. Le faux employé peut alors se connecter à son ordinateur depuis n'importe où dans le monde tout en se faisant passer pour un employé aux États-Unis. (« Vous savez installer Anydesk ? » a demandé un agent nord-coréen à Chapman en 2022. « Je le fais pratiquement TOUS LES JOURS ! » a-t-elle répondu.) Dans ses messages avec ses supérieurs, Chapman a évoqué l'envoi de formulaires gouvernementaux comme le formulaire I-9, qui atteste qu'une personne est légalement autorisée à travailler aux États-Unis. (« J'ai fait de mon mieux pour copier votre signature », a-t-elle écrit. « Haha. Merci », a-t-elle répondu.) Elle a également effectué des dépannages techniques de base et participé à des réunions par téléphone au nom d'un employé, parfois au pied levé, comme dans cette conversation de novembre 2023 : *Employé : Nous allons avoir une réunion d'installation d'ordinateur portable dans 20 minutes. Pouvez-vous rejoindre une réunion Teams et suivre les instructions du technicien informatique ? Parce que cela nécessiterait de redémarrer l’ordinateur plusieurs fois, ce que je ne peux pas gérer. Vous pouvez couper le son et suivre ses instructions… * *Chapman : Qui dois-je prétendre être ? * *Employé : Vous n’êtes pas obligé de le dire, je participerai aussi. * *Chapman : Je viens de taper le nom de Daniel. S’ils vous demandent POURQUOI vous utilisez deux appareils, dites simplement que le microphone de votre ordinateur portable ne fonctionne pas correctement… La plupart des techniciens informatiques acceptent cette explication. * Parfois, elle était nerveuse. « J’espère que vous trouverez d’autres personnes pour vos I9 physiques », a-t-elle écrit à ses supérieurs en 2023, selon des documents judiciaires. « Je les ENVERRAIS pour vous, mais demandez à quelqu’un d’autre de s’occuper des papiers. Je peux aller en prison fédérale pour falsification de documents fédéraux. » Michael Barnhart, enquêteur chez DTEX, société de cybersécurité, et expert reconnu de la menace informatique nord-coréenne, affirme que l'implication de Chapman a suivi un schéma classique : d'un premier contact anodin sur LinkedIn à des demandes de plus en plus nombreuses. « Petit à petit, les demandes deviennent de plus en plus nombreuses », explique-t-il. « Puis, à la fin de la journée, on demande à l'animateur de se rendre dans un établissement gouvernemental pour récupérer une véritable pièce d'identité officielle. » Lorsque les enquêteurs ont perquisitionné le domicile de Chapman, elle détenait plusieurs dizaines d'ordinateurs portables, chacun avec un post-it indiquant l'identité et l'employeur du faux employé. Certains agents nord-coréens cumulaient plusieurs emplois ; d'autres travaillaient discrètement depuis des années. Les procureurs ont déclaré qu'au moins 300 employeurs avaient été impliqués dans ce stratagème unique, dont « un des cinq plus grands réseaux de télévision et médias nationaux, une entreprise technologique de premier plan de la Silicon Valley, un fabricant de l'aérospatiale et de la défense, un constructeur automobile américain emblématique, un magasin de détail haut de gamme et l'une des entreprises de médias et de divertissement les plus connues au monde ». Chapman, selon eux, aurait contribué à la transmission d'au moins 17 millions de dollars. Elle a plaidé coupable en février 2025 de fraude électronique, d'usurpation d'identité et de blanchiment d'argent et attend sa condamnation. L'affaire Chapman n'est qu'une des nombreuses poursuites contre des Nord-Coréens concernant de faux employés devant les tribunaux américains. Un Ukrainien du nom d'Oleksandr Didenko est accusé d'avoir créé un site web indépendant permettant de connecter de faux informaticiens à des identités usurpées. Les procureurs affirment qu'au moins un employé était lié à la ferme d'ordinateurs portables de Chapman et que Didenko a également des liens avec des opérations à San Diego et en Virginie. Didenko a été arrêté en Pologne l'année dernière et extradé vers les États-Unis. Dans le Tennessee, Matthew Knoot, 38 ans, doit être jugé pour son rôle présumé dans une escroquerie qui, selon les enquêteurs, aurait transféré des centaines de milliers de dollars vers des comptes liés à la Corée du Nord via sa ferme d'ordinateurs portables à Nashville. (Knoot a plaidé non coupable.) Et en janvier 2025, les procureurs de Floride ont porté plainte contre deux citoyens américains, Erick Ntekereze Prince et Emanuel Ashtor, ainsi qu'un complice mexicain et deux Nord-Coréens. (Aucun des avocats des accusés dans ces affaires n'a répondu aux demandes de commentaires.) Les actes d'accusation affirment que Prince et Ashtor avaient passé six ans à diriger une série de fausses agences de recrutement qui ont placé des Nord-Coréens dans au moins 64 entreprises. Avant que le royaume ermite n'ait ses fermes d'ordinateurs portables, il ne disposait que d'une seule connexion Internet confirmée, du moins pour autant que le monde extérieur puisse le savoir. Pas plus tard qu'en 2010, ce lien unique vers le Web était réservé à l'usage des hauts fonctionnaires. Puis, en 2011, Kim Jong-un, 27 ans, a succédé à son père comme dictateur du pays. Secrètement éduqué en Suisse et réputé pour être un joueur passionné, le jeune Kim a fait de l'informatique une priorité nationale. En 2012, il a exhorté certaines écoles à « accorder une attention particulière à l'intensification de leur enseignement informatique » afin d'offrir de nouvelles perspectives au gouvernement et à l'armée. L'informatique est désormais au programme de certains lycées, tandis que les étudiants peuvent suivre des cours de sécurité informatique, de robotique et d'ingénierie. Les étudiants les plus prometteurs se voient enseigner les techniques de piratage informatique et les langues étrangères, ce qui peut les rendre plus efficaces. Le personnel des agences gouvernementales, dont le Bureau général de reconnaissance (le service de renseignement clandestin du pays), recrute les meilleurs diplômés d'écoles prestigieuses comme l'Université de technologie Kim Chaek (surnommée par beaucoup le « MIT de la Corée du Nord ») ou la prestigieuse Université des sciences de Pyongsong. On leur promet de bons salaires et un accès illimité à Internet – le véritable Internet, et non l'intranet réservé aux Nord-Coréens aisés, qui se résume à une poignée de sites web nord-coréens fortement censurés. Les premières cyberattaques lancées par Pyongyang étaient simples : la dégradation de sites web avec des messages politiques ou des attaques par déni de service pour fermer des sites web américains. Elles sont rapidement devenues plus audacieuses. En 2014, des pirates informatiques nord-coréens ont volé et divulgué des informations confidentielles du studio de cinéma Sony. Ils ont ensuite ciblé des institutions financières : des transactions frauduleuses ont retiré plus de 81 millions de dollars des comptes de la Banque du Bangladesh à la Réserve fédérale de New York. Par la suite, les pirates informatiques nord-coréens se sont tournés vers les rançongiciels : l'attaque WannaCry de 2017 a bloqué des centaines de milliers d'ordinateurs Windows dans 150 pays et exigé des paiements en bitcoins. Si le montant des revenus générés par l'attaque est sujet à débat – certains estiment qu'elle n'a rapporté que 140 000 dollars de paiements –, elle a causé des dommages bien plus importants, les entreprises s'efforçant de moderniser leurs systèmes et leur sécurité, coûtant jusqu'à 4 milliards de dollars, selon une estimation. Les gouvernements ont réagi en augmentant les sanctions et en renforçant les mesures de sécurité, et le régime a changé de cap, abandonnant les rançongiciels au profit de stratagèmes plus discrets. Il s'avère que ces derniers sont également plus lucratifs : aujourd'hui, l'outil le plus précieux de l'arsenal cybercriminel nord-coréen est le vol de cryptomonnaies. En 2022, des pirates ont dérobé plus de 600 millions de dollars de cryptomonnaies en attaquant le jeu blockchain Axie Infinity ; en février de cette année, ils ont dérobé 1,5 milliard de dollars de monnaie numérique à la plateforme d'échange de cryptomonnaies Bybit, basée à Dubaï. L'escroquerie informatique, quant à elle, semblait se développer lentement jusqu'à ce que la pandémie ait considérablement augmenté le nombre de télétravailleurs, et que Pyongyang y ait vu l'occasion idéale. En 2024, selon un récent rapport du Service national de renseignement sud-coréen, le nombre de personnes travaillant dans les divisions cybernétiques nord-coréennes – qui incluent des imposteurs, des voleurs de cryptomonnaies et des pirates informatiques militaires – s'élevait à 8 400, contre 6 800 deux ans plus tôt. Certains de ces travailleurs sont basés dans le pays, mais beaucoup sont en poste à l'étranger, en Chine, en Russie, au Pakistan ou ailleurs. Relativement bien rémunérés, leurs postes sont loin d'être confortables. Des équipes de 10 à 20 jeunes hommes vivent et travaillent dans un seul appartement, dormant à quatre ou cinq par chambre et travaillant jusqu'à 14 heures par jour à des horaires décalés pour correspondre au fuseau horaire de leur travail à distance. Ils sont soumis à des quotas de revenus illicites qu'ils sont tenus d'atteindre. Leurs déplacements sont étroitement contrôlés, tout comme ceux de leurs proches, qui sont de fait pris en otage pour éviter les défections. « On n'a aucune liberté », déclare Hyun-Seung Lee, un transfuge nord-coréen vivant à Washington, D.C., qui raconte que certains de ses anciens amis ont participé à de telles opérations. « On n'a pas le droit de quitter l'appartement, sauf pour faire des achats, comme des courses, et c'est le chef d'équipe qui organise cela. Deux ou trois personnes doivent y aller ensemble, pour éviter toute exploration. » Le gouvernement américain estime qu'une équipe type de prétendants peut rapporter jusqu'à 3 millions de dollars par an à Pyongyang. Les experts affirment que cet argent est injecté dans tous les domaines, de la caisse noire personnelle de Kim Jong-un au programme d'armement nucléaire du pays. Quelques millions de dollars peuvent paraître dérisoires comparés aux braquages de cryptomonnaies les plus spectaculaires, mais avec autant d'équipes opérant dans l'ombre, l'escroquerie est efficace précisément parce qu'elle est si banale. À l'été 2022, une grande multinationale a embauché un ingénieur à distance pour travailler au développement d'un site web. « Il participait aux réunions par téléphone et aux discussions », m'a confié un cadre de l'entreprise sous couvert d'anonymat. Son manager disait qu'il était considéré comme le membre le plus productif de l'équipe. Un jour, ses collègues lui ont organisé une surprise pour son anniversaire. Réunis par visioconférence pour le féliciter, ils ont été surpris par sa réponse : « Mais ce n'est pas mon anniversaire ! ». Après presque un an dans l'entreprise, l'employé avait apparemment oublié la date de naissance indiquée dans son dossier. Cela a suffi à éveiller les soupçons, et peu après, l'équipe de sécurité a découvert qu'il utilisait des outils d'accès à distance sur son ordinateur professionnel, et il a été licencié. Ce n'est que plus tard, lorsque les enquêteurs fédéraux ont découvert l'une de ses fiches de paie dans le parc d'ordinateurs portables de Christina Chapman en Arizona, que l'entreprise a fait le lien et réalisé qu'elle avait employé un agent étranger pendant près d'un an. Il est même arrivé que des agents envoient des sosies récupérer une carte d'identité physique dans un bureau ou se soumettre à un test de dépistage de drogues exigé par un employeur. Pour beaucoup de ces imposteurs, l'objectif est simplement de gagner un bon salaire à envoyer à Pyongyang, et non pas de voler de l'argent ou des données. « Nous avons vu des opérations de longue traîne où ils travaillaient pendant 10, 12, 18 mois dans certaines de ces organisations », explique Adam Meyers, vice-président senior des opérations de contre-attaque chez CrowdStrike, une entreprise de sécurité. Parfois, cependant, les agents nord-coréens ne survivent que quelques jours, le temps de télécharger d'énormes quantités de données d'entreprise ou d'implanter des logiciels malveillants dans les systèmes d'une entreprise avant de démissionner brutalement. Ce code pourrait altérer des données financières ou manipuler des informations de sécurité. Ou bien, ces germes pourraient rester inactifs pendant des mois, voire des années. « Le risque potentiel d'une seule minute d'accès aux systèmes est quasiment illimité pour une entreprise », explique Declan Cummings, responsable de l'ingénierie chez Cinder, éditeur de logiciels. Les experts affirment que les attaques se multiplient non seulement aux États-Unis, mais aussi en Allemagne, en France, au Royaume-Uni, au Japon et dans d'autres pays. Ils exhortent les entreprises à faire preuve de diligence raisonnable rigoureuse : contacter directement les personnes référentes, surveiller les changements d'adresse soudains des candidats, utiliser des outils de sélection en ligne fiables et organiser un entretien physique ou une vérification d'identité en personne. Mais aucune de ces méthodes n'est infaillible, et les outils d'IA les affaiblissent constamment. ChatGPT et autres logiciels similaires permettent à presque tout le monde de répondre à des questions ésotériques en temps réel avec une confiance injustifiée, et leur maîtrise du codage menace de rendre les tests de programmation obsolètes. Les filtres vidéo IA et les deepfakes peuvent également contribuer à la tromperie. Lors d'un appel d'intégration, par exemple, de nombreux représentants RH demandent désormais aux nouveaux employés de présenter leur pièce d'identité devant la caméra pour une inspection plus approfondie. « Mais les fraudeurs ont une astuce astucieuse », explique Donal Greene, expert en biométrie chez Certn, fournisseur de vérifications d'antécédents en ligne. Ils prennent une carte verte de la forme et de la taille exactes d'une carte d'identité – un mini-écran vert – et, grâce à la technologie deepfake, projettent l'image d'une pièce d'identité dessus. « Ils peuvent la déplacer et afficher le reflet », explique Greene. « C'est très sophistiqué. » Des agents nord-coréens sont même connus pour envoyer des sosies récupérer une carte d'identité physique dans un bureau ou passer un test de dépistage de drogues exigé par des employeurs potentiels. Même les experts en sécurité peuvent être dupés. En juillet 2024, Knowbe4, une entreprise floridienne proposant des formations en sécurité, a découvert qu'un nouvel embauché connu sous le nom de « Kyle » était en réalité un agent étranger. « Il a passé un excellent entretien », déclare Brian Jack, responsable de la sécurité informatique chez KnowBe4. « Il était filmé, son CV était correct, sa vérification d'antécédents et son identité étaient vérifiées. Nous n'avions aucune raison de soupçonner que ce n'était pas un candidat valable. » Mais lorsque son facilitateur – l'individu basé aux États-Unis qui lui fournissait une couverture – a tenté d'installer un logiciel malveillant sur l'ordinateur de l'entreprise de Kyle, l'équipe de sécurité l'a repéré et l'a exclu. De retour à Londres, Simon Wijckmans ne pouvait s'empêcher de penser que quelqu'un avait tenté de le duper. Il venait de lire l'affaire Knowbe4, ce qui a renforcé ses soupçons. Il a procédé à des vérifications d'antécédents et a découvert que certains de ses candidats utilisaient indéniablement des identités usurpées. Et il a découvert que certains d'entre eux étaient liés à des opérations nord-coréennes connues. Wijckmans a donc décidé de mener sa propre contre-enquête et m'a invité à observer. Jusqu'ici, tout correspond aux caractéristiques d'un faux employé : son arrière-plan virtuel, sa connexion lente, son anglais correct mais avec un fort accent. Je me connecte à Google Meet à 3 h, heure du Pacifique, fatigué et le visage embrumé. Nous avons délibérément choisi cette heure matinale, car il est 6 h à Miami, où le candidat, « Harry », prétend se trouver. Harry rejoint l'appel, le visage plutôt frais. Il a peut-être la fin de la vingtaine, les cheveux noirs, courts et lisses. Tout chez lui semble volontairement vague : il porte un simple pull noir à col rond et parle dans un casque audio de marque. « Je me suis levé tôt aujourd'hui pour cet entretien, pas de problème », dit-il. « Je sais que travailler avec les horaires du Royaume-Uni est une obligation, donc je peux adapter mes horaires aux vôtres, donc pas de problème. » Jusqu'ici, tout correspond aux caractéristiques d'un faux employé. L'arrière-plan virtuel d'Harry est l'une des options par défaut de Google Meet, et sa connexion est un peu lente. Son anglais est bon, mais avec un fort accent, même s'il nous dit être né à New York et avoir grandi à Brooklyn. Wijckmans commence par des questions d'entretien classiques, et Harry jette des coups d'œil à sa droite en répondant. Il parle de différents langages de programmation et cite les frameworks qu'il connaît. Wijckmans commence à poser des questions techniques plus approfondies. Harry marque une pause. Il semble perplexe. « Puis-je rejoindre la réunion ? » demande-t-il. « J'ai un problème avec mon micro. » Wijckman hoche la tête et Harry disparaît. Quelques minutes passent, et je commence à craindre de l'avoir fait fuir, mais il revient dans la réunion. Sa connexion n'est guère meilleure, mais ses réponses sont plus claires. Peut-être a-t-il redémarré son chatbot ou s'est-il fait coacher par un collègue. L'appel dure encore quelques minutes et nous nous disons au revoir. Notre candidat suivant se fait appeler « Nic ». Sur son CV, il a un lien vers un site web personnel, mais ce type ne ressemble pas beaucoup à la photo de profil. C'est son deuxième entretien avec Wijckmans, et nous sommes certains qu'il fait semblant : il fait partie des candidats qui ont échoué à la vérification des antécédents après son premier appel, même s'il l'ignore. L'anglais de Nic est pire que celui d'Harry : lorsqu'on lui demande l'heure, il répond qu'il est « six heures et demie » avant de se corriger et de répondre « sept heures moins le quart ». Où habite-t-il ? « Je suis dans l'Ohio pour l'instant », dit-il avec un grand sourire, comme un gamin qui a eu raison à un contrôle surprise. Mais au bout de quelques minutes, ses réponses deviennent absurdes. Simon lui pose une question sur la sécurité web. « Les dirigeants politiques… les représentants du gouvernement ou les agences chargées de la sécurité aux frontières », répond Nic. « Ils sont chargés de surveiller et de sécuriser les frontières, donc nous pouvons employer du personnel pour patrouiller aux frontières, vérifier les documents et faire respecter les lois sur l'immigration. » J'échange des messages avec Wijckmans sur le canal secret que nous avons mis en place quand une révélation nous vient à l'esprit : le robot IA que Nic semble utiliser a dû mal interpréter une mention du « Border Gateway Protocol » – un système de transmission de trafic sur Internet – avec les frontières nationales, et s'est mis à débiter des inepties sur les contrôles d'immigration. « Quelle perte de temps », m'écrit Wijckmans. Nous terminons la conversation brusquement. J'essaie de me mettre à la place d'un responsable du recrutement ou d'un agent de sélection sous pression. Les propos des fraudeurs n'étaient peut-être pas toujours cohérents, mais leurs résultats aux tests et leurs CV semblaient solides, et leurs baratins techniques pourraient suffire à tromper un recruteur mal informé. Je soupçonne qu'au moins l'un d'entre eux aurait pu passer à l'étape suivante du processus de recrutement d'une entreprise sans méfiance. Wijckmans me dit qu'il a un plan s'il tombe sur un autre imposteur. Il a créé une page web qui ressemble à une évaluation de codage standard, qu'il enverra aux faux candidats. Dès qu'ils appuient sur le bouton pour démarrer le test, leur navigateur affiche des dizaines de pages pop-up qui défilent sur l'écran, toutes contenant des informations sur la façon de fuir la Corée du Nord. Puis une musique forte retentit – un rickroll, « The Star-Spangled Banner » – avant que l'ordinateur ne commence à télécharger des fichiers aléatoires et émette un bip assourdissant. « Juste une petite revanche », dit-il. Le coup de Wijckman ne va évidemment pas arrêter les prétendants. Mais peut-être les irritera-t-il un instant. Puis ils se remettront au travail, s'inscrivant depuis un atelier de piratage informatique en Chine ou une ferme d'ordinateurs portables aux États-Unis, et rejoindront la prochaine réunion d'équipe – une discussion tranquille, sans caméra, avec des collègues comme vous ou moi.