Incidents associés
Un nombre croissant d'entreprises technologiques de premier plan du pays ont recruté des informaticiens à distance, avant de découvrir qu'il s'agissait en réalité de cyber-agents nord-coréens.
Leur objectif ? Profiter des salaires élevés des meilleurs informaticiens pour reverser des millions de dollars à Pyongyang afin de financer son programme d'armement.
Selon les plus grands experts en cybersécurité du pays, l'escroquerie est plus répandue qu'on ne le pensait et a récemment touché de nombreuses entreprises du Fortune 500. Le problème est alimenté par le manque de talents en sécurité informatique aux États-Unis et par l'essor du télétravail depuis la pandémie.
Alors que ces agents perfectionnent leurs méthodes en utilisant des outils d'IA sophistiqués et des complices américains, de nouveaux foyers d'escroqueries continuent d'apparaître aux États-Unis, au grand dam des responsables de la sécurité informatique et des dirigeants technologiques du monde des affaires.
Bien qu'il soit difficile de quantifier le nombre d'entreprises ciblées par cette escroquerie massive, de plus en plus de dirigeants du secteur technologique témoignent de leur expérience, tandis que les forces de l'ordre continuent de sévir et de révéler le fonctionnement secret de cette opération d'experts.
« J'ai discuté avec de nombreux RSSI d'entreprises du Fortune 500, et presque tous ceux que j'ai interrogés au sujet du problème des informaticiens nord-coréens ont admis avoir embauché au moins un informaticien nord-coréen, voire une douzaine, voire quelques dizaines », a déclaré Charles Carmakal, directeur technique de Mandiant (Google Cloud), lors d'une récente conférence de presse.
Dans près d'une douzaine d'entretiens avec des experts en sécurité de premier plan du secteur cybernétique, ce stratagème prolifique a été cité comme une menace majeure, nombre d'entre eux admettant que leurs entreprises en avaient été victimes et peinaient à enrayer sa propagation. Iain Mulholland, RSSI Cloud chez Google Cloud, a déclaré lors de la même conférence de presse que Google avait repéré des informaticiens nord-coréens « dans notre pipeline », mais a refusé de préciser si cela signifiait que les candidats avaient été repérés lors du processus de sélection ou avaient effectivement été embauchés.
L'entreprise de cybersécurité SentinelOne fait partie des entreprises qui ont publiquement annoncé être la cible de ce programme. Le mois dernier, elle a publié un rapport révélant avoir reçu environ 1 000 candidatures liées au programme d'informaticiens nord-coréens. Brandon Wales, ancien directeur exécutif de l'Agence de cybersécurité et de sécurité des infrastructures et actuel vice-président de la stratégie de cybersécurité chez SentinelOne, a déclaré que l'ampleur et la rapidité avec lesquelles le gouvernement nord-coréen a utilisé cette stratégie pour financer son programme d'armement étaient sans précédent.
Selon les experts, le scénario est similaire : un agent nord-coréen crée un faux profil LinkedIn en se faisant passer pour un demandeur d’emploi américain, souvent en utilisant des informations volées, telles que des adresses et des numéros de sécurité sociale, auprès d’une personne réelle. Il postule souvent en masse à des emplois bien rémunérés ou contacte des recruteurs sous une fausse identité. Une fois arrivé à l’étape de l’entretien, il utilise des deepfakes générés par l’IA pour ressembler à la personne qu’il tente d’imiter, souvent en temps réel.
« Des individus travaillant dans le développement de logiciels à travers le pays sont utilisés comme identités », a déclaré Alexander Leslie, analyste en cybersécurité chez Recorded Future, une société spécialisée dans la cybersécurité. « Leurs informations personnelles ont été volées : dossiers de sécurité sociale, informations de passeport, informations d’identité. »
Après leur embauche, ces agents nord-coréens utilisent des identifiants volés pour faciliter le processus d'intégration et demandent aux employeurs d'envoyer leurs ordinateurs portables professionnels à des adresses de façade aux États-Unis, souvent des « fermes » d'ordinateurs portables contenant des dizaines d'appareils gérés par quelques Américains rémunérés pour participer au système.
« Dans certains cas, ils ont 90 ordinateurs portables installés, qu'ils se contentent de brancher et de maintenir allumés », explique Adam Meyers, vice-président senior des opérations de contre-attaque chez CrowdStrike, une entreprise de cybersécurité.
Il précise que son équipe suit l'évolution des agents nord-coréens infiltrant des entreprises américaines depuis 2022. CrowdStrike a mis en place un programme de détection des menaces internes potentielles au sein de diverses organisations et, dès la première semaine, a identifié 30 entreprises victimes du système. Ces efforts se sont intensifiés depuis début 2024, à mesure que l'IA progresse et que les espions nord-coréens perfectionnent leurs méthodes.
Selon un avis publié par le FBI, les départements d'État et du Trésor, chaque employé peut gagner en moyenne jusqu'à 300 000 dollars par an.
« Cet argent est directement destiné au programme d'armement, et il arrive même qu'il soit versé à la famille Kim », a ajouté Meyers. « On parle de dizaines de millions de dollars, voire de centaines. »
Les forces de l'ordre sont certainement attentives à ce phénomène, même si ces cyberattaques sont devenues plus répandues et plus difficiles à détecter. En février, Christina Chapman, une citoyenne américaine, a plaidé coupable après avoir été arrêtée pour avoir collaboré pendant trois ans avec des agents nord-coréens afin de voler des identités américaines et d'exploiter une ferme d'ordinateurs portables pour soutenir l'opération.
Ce stratagème aurait généré à lui seul plus de 17 millions de dollars, versés au gouvernement nord-coréen, et impliquait des Nord-Coréens recrutés par plus de 300 entreprises américaines. Souvent, ces agents cumulent plusieurs emplois dans différentes entreprises afin de maximiser leurs revenus et de développer leurs profils informatiques.
« Il est difficile de déterminer le nombre d'individus qui exploitent réellement ces profils, mais on estime qu'il y en a des milliers », a déclaré Greg Schloemer, analyste senior des menaces chez Microsoft. « C'est donc un phénomène colossal et omniprésent. »
Le ministère de la Justice a annoncé des inculpations en janvier contre deux Américains pour avoir participé pendant six ans à la gestion d'une escroquerie distincte, qui a permis à des agents nord-coréens du secteur technologique de travailler pour plus de 60 entreprises américaines et de générer plus de 800 000 dollars de revenus.
Elizabeth Pelker, agente spéciale du FBI, a déclaré lors d'une table ronde lors de la récente conférence RSA à San Francisco que lorsqu'un escroc est embauché, il peut fournir des références pour d'autres agents. Certaines entreprises ont signalé jusqu'à dix escrocs sur leur liste de paie se faisant passer pour des informaticiens.
Ces fraudeurs ont également trouvé le moyen de continuer à extorquer de l'argent à ces entreprises technologiques longtemps après avoir été démasqués et licenciés. Une fois à l'intérieur des réseaux des entreprises, ils installent souvent des logiciels malveillants pour accéder à des données ou des renseignements sensibles, obligeant les entreprises à verser des rançons colossales.
« C'est une stratégie très adaptative », a déclaré Pelker. « Même si [les pirates] savent qu'ils seront licenciés à un moment donné, ils ont une stratégie de sortie pour continuer à… en tirer un profit financier. »
Si les efforts du gouvernement fédéral pour mettre fin à ces escroqueries à grande échelle ont été relativement fructueux, les experts affirment que la poursuite des exploitants de parcs d'ordinateurs portables est essentielle pour démanteler le centre névralgique des escrocs.
« Si le FBI frappe à la porte, menotte cette personne et confisque tous ses ordinateurs portables, ils perdent 10 à 15 emplois et une personne avec laquelle ils avaient déjà investi dans cette relation », a déclaré Schloemer. « Donc, d'une certaine manière, c'est une goutte d'eau dans l'océan, mais c'est aussi très coûteux pour l'acteur. »
Les agents nord-coréens étendent désormais leurs activités au-delà des États-Unis. Meyers a indiqué que CrowdStrike surveille des stratagèmes similaires visant des travailleurs informatiques au Royaume-Uni, en Pologne, en Roumanie et dans d'autres pays européens, tandis que Leslie a indiqué que Recorded Future constate que cette escroquerie est utilisée par des organisations en Asie du Sud.
Pourtant, certaines entreprises hésitent à révéler qu'elles ont embauché des travailleurs nord-coréens en raison des potentielles conséquences juridiques liées au paiement d'agents d'un gouvernement soumis à de lourdes sanctions économiques. Leslie a ajouté qu'embaucher un travailleur nord-coréen, même à son insu, expose les entreprises à d'importants risques de conformité.
« Cet informaticien nord-coréen a accès à l'ensemble de vos logiciels de développement web, à tous les actifs que vous avez collectés. Ensuite, ce travailleur est payé par vous, réinjecté dans l'État nord-coréen et se livre simultanément à des activités d'espionnage », a déclaré Leslie. « Cela représente un risque financier et de conformité important. »
Souvent, les entreprises ciblées par ce stratagème gardent le silence par honte. Wales a déclaré que SentinelOne avait été transparent quant à son expérience, notamment parce que « nous ne voulons pas stigmatiser le fait d'en parler ».
« Il est essentiel que chacun fasse preuve d'ouverture et d'honnêteté, car c'est ainsi que nous allons gérer la situation, compte tenu de l'ampleur de la situation », a déclaré Wales.
CORRECTIF : Une version précédente de cet article présentait de manière erronée l'impact du programme nord-coréen de recrutement de travailleurs informatiques sur SentinelOne. SentinelOne a reçu de nombreuses candidatures liées à ce programme, mais n'a recruté aucun de ces travailleurs.