Problème 5379

Un expert chevronné en cybermenaces donne un conseil original aux responsables du recrutement qui interviewent des informaticiens à distance : évaluez la propension des candidats à insulter le dirigeant suprême autoritaire de la Corée du Nord.

« Ma question préférée est du genre : "Quel est le poids de Kim Jong-un ?" », a déclaré Adam Meyers, vice-président senior des opérations de contre-attaque chez CrowdStrike, lors d'une table ronde à la Conférence RSAC 2025. Il a ajouté avoir constaté que cette question avait poussé de nombreux candidats à raccrocher au nez. La raison : il s'agissait de ressortissants nord-coréens se faisant passer pour des Américains, dans le but d'échapper aux sanctions et de gagner de l'argent pour la République populaire démocratique de Corée (RPDC). « Ils ne méritent pas qu'ils tiennent des propos négatifs sur le dirigeant géographique de ce pays », a déclaré Meyers.

Selon le Département du Trésor américain, des milliers de travailleurs informatiques nord-coréens qualifiés utilisent des identités volées pour occuper des postes à distance bien rémunérés dans des entreprises occidentales, gagnant ainsi illégalement de l'argent pour le régime de Kim Jong-un. Les experts estiment que la RPDC perçoit chaque année des centaines de millions de dollars grâce à ce système de faux travailleurs informatiques, finançant directement le programme d'armement illégal du pays. Lors de la table ronde du RSAC, des experts en sécurité du FBI et du secteur privé ont informé les participants de la menace actuelle, ainsi que des stratégies que les organisations peuvent utiliser pour éviter d'embaucher des agents nord-coréens et démasquer ceux qui sont déjà dans leurs rangs.

En général, les travailleurs à distance nord-coréens ciblent les postes d'ingénieur logiciel, de développeur front-end et de développeur full-stack, a déclaré Elizabeth Pelker, agent spécial du FBI. Des ressortissants nord-coréens ont réussi à décrocher des emplois à distance dans des entreprises du Fortune 500, notamment une chaîne de distribution haut de gamme, un grand constructeur automobile américain, une entreprise technologique de premier plan de la Silicon Valley, l'une des cinq plus grandes entreprises médiatiques nationales et un fabricant du secteur de l'aérospatiale et de la défense, selon le ministère de la Justice américain.

Des équipes plus petites se sont également retrouvées dans le collimateur. Greg Schloemer, analyste principal en renseignement sur les menaces chez Microsoft, a déclaré avoir vu des organisations de seulement cinq employés intégrer involontairement des informaticiens nord-coréens à distance. « On peut penser à tort que les grandes organisations sont particulièrement vulnérables, mais toute organisation est une cible », a-t-il déclaré.

Pour les informaticiens nord-coréens, la recherche d'emploi commence comme pour la plupart : sur les réseaux sociaux. Des équipes d'agents, souvent basées en Russie ou en Chine, utilisent des identités volées et l'IA générative (GenAI) pour créer de faux profils LinkedIn. Ils recherchent ensuite des offres d'emploi sur des plateformes telles que LinkedIn, Indeed, Craigslist et des sites de recrutement tiers.

Il s'agit d'un réseau très sophistiqué, et les personnes qui passent les entretiens sont hautement qualifiées. Il est extrêmement difficile de les identifier.

Chris Horne, Directeur principal des enquêtes et du renseignement sur la confiance et la sécurité, Upwork

Il peut arriver qu'un candidat fasse une erreur lors d'un entretien, par exemple en laissant le responsable du recrutement entrevoir une application de traduction tout en partageant son écran. Mais n'y comptez pas trop, prévient Chris Horne, Directeur principal des enquêtes et du renseignement sur la confiance et la sécurité chez Upwork, plateforme de recrutement freelance.

« Il s'agit d'un réseau extrêmement sophistiqué, et les personnes qui passent les entretiens sont hautement qualifiées », a déclaré Horne. « Il est extrêmement difficile de les identifier. » Les améliorations apportées à GenAI et aux deepfakes en temps réel aggravent rapidement un problème déjà existant, a-t-il ajouté.

Une fois qu'un employé nord-coréen décroche un emploi, il demande généralement à son nouvel employeur d'envoyer son matériel professionnel à une adresse différente de celle indiquée sur sa candidature, invoquant souvent une urgence familiale ou une autre raison plausible pour justifier ce changement de lieu. L'adresse secondaire abrite un parc d'ordinateurs portables, où un résident américain travaillant pour la RPDC entretient et gère un parc d'appareils, ainsi que des technologies permettant aux informaticiens nord-coréens d'accéder à distance.

Meyers a déclaré que l'équipe de lutte contre les attaques de CrowdStrike avait initialement découvert des activités de la RPDC dans les environnements clients en 2024, lorsqu'elle avait remarqué l'apparition de clusters de KVM sur la plateforme Falcon XDR de CrowdStrike. Un KVM (clavier, vidéo (moniteur) et souris) permet à un utilisateur de contrôler plusieurs ordinateurs depuis une seule console. CrowdStrike a partagé ces informations avec le FBI et a rapidement confirmé l'existence d'activités internes malveillantes liées à la RPDC dans plus de 150 organisations clientes, avec un vol de données dans la moitié des cas.

« Les notifications aux clients étaient très importantes, du genre : "Vous avez un développeur senior dans votre environnement qui est un initié malveillant" », a déclaré Meyers. « En discutant avec les victimes, il s'est avéré que chacune d'entre elles était un véritable cas positif. »

Depuis lors, CrowdStrike a continué de détecter des activités internes malveillantes dans les environnements clients. Au cours des trois mois précédant la commission RSAC, Meyers a déclaré que son équipe avait découvert plus de 90 informaticiens nord-coréens se faisant passer pour des ressortissants américains.

S'ils parviennent à maintenir leur couverture, les agents de la RPDC pourraient continuer à travailler dans des entreprises occidentales pendant de nombreux mois, a déclaré Meyers. Cependant, après leur licenciement, ils laissent souvent derrière eux des logiciels malveillants ou emportent des données exfiltrées.

« Cette menace est très adaptable », a déclaré Pelker du FBI. « Même s'ils savent qu'ils seront licenciés à un moment donné, ils ont une stratégie de sortie et un plan pour en tirer de nouveaux profits. »

Pelker a déclaré avoir constaté des cas où l'exfiltration de données s'est produite lentement et régulièrement au cours d'un emploi à long terme. « Imaginez le pire scénario : l'exfiltration de code d'IA propriétaire », a-t-elle ajouté. « Et lorsqu'ils sont licenciés, nous constatons que cette extorsion de données se produit. »

Les intervenants ont exhorté les employeurs à rester vigilants face aux signaux d'alerte suivants, susceptibles d'indiquer une activité interne malveillante de la part d'informaticiens nord-coréens :

1. Modifications de dernière minute des adresses de livraison. Si un nouvel employé demande à recevoir du matériel de l'entreprise à une adresse différente de celle figurant sur ses documents d'embauche officiels, il pourrait s'agir d'un parc d'ordinateurs portables.

2. Problèmes de présence aux réunions. Un agent de la RPDC peut fréquemment invoquer des excuses pour manquer des réunions, surtout sans préavis.

3. Bruit de fond pendant les appels. Étant donné que les informaticiens nord-coréens travaillent en équipe, on peut avoir l'impression qu'ils travaillent dans un centre d'appels plutôt qu'à domicile.

4. Connexions Internet lentes. Les employés travaillant secrètement hors des États-Unis peuvent bénéficier d'une connexion Internet anormalement lente.

5. Utilisation de VPN. Les télétravailleurs nord-coréens utilisent parfois des services VPN pour masquer leur géolocalisation.

6. Utilisation de KVM ou d'outils de surveillance et de gestion à distance. Au mieux, l'utilisation non autorisée de KVM et d'outils RMM expose l'organisation à des vecteurs de menaces supplémentaires. Au pire, elle indique une activité illicite.

7. Problèmes de performance. Les employés de la RPDC pourraient rencontrer des problèmes de performance au travail, par exemple s'ils cumulent plusieurs rôles afin de maximiser les revenus du régime. Pelker a toutefois averti que le FBI avait également constaté des cas où des employés nord-coréens étaient les plus performants de leurs équipes.

8. Paramètres linguistiques inattendus sur les appareils. Les paramètres multilingues, par exemple le coréen sur l'appareil d'un utilisateur affirmant ne parler que l'anglais et le chinois, devraient déclencher l'alarme.

Les cyber-agents nord-coréens adaptent constamment leurs stratégies pour déjouer les défenses, ont averti le FBI et des experts en sécurité du secteur privé, ce qui rend la menace du télétravail difficile à combattre. Les organisations doivent rester agiles dans leurs efforts de détection et de réponse. Les experts recommandent de commencer par les stratégies d'atténuation suivantes :

• Surveiller les tests de compétences. Pelker suggère d'exiger des candidats qu'ils passent tous les tests de compétences techniques sur l'environnement informatique de l'entreprise. Rechercher les anomalies dans l'activité numérique des candidats, telles que les adresses IP inattendues, les paramètres de langue multiples et les changements d'écran fréquents.
• Chercher à avoir une visibilité sur les processus de recrutement. Selon Schloemer de Microsoft, les agences de recrutement externes représentent l'un des principaux vecteurs d'attaque pour les informaticiens nord-coréens à la recherche d'un emploi à distance. Les organisations qui travaillent avec des recruteurs externes devraient faire part de leurs préoccupations concernant les initiés malveillants et demander des informations sur la manière dont ces agences recherchent et sélectionnent les talents.
• Former et sensibiliser le personnel. Chaque employé, et en particulier les responsables du recrutement de première ligne, le personnel RH et les enquêteurs sur les cybermenaces, doit comprendre la menace en RPDC, savoir quoi rechercher et comment signaler ses inquiétudes. Les signes d'activités internes malveillantes sont rarement évidents et semblent souvent insignifiants pris isolément, a ajouté Horne d'Upwork. Par conséquent, la sensibilisation, l'intuition et la communication des employés sont essentielles pour aider les organisations à faire le lien.
• Adhésion de la direction et du conseil d'administration. Les responsables de la sécurité doivent sensibiliser les cadres supérieurs et les directeurs d'entreprise aux risques que représentent les informaticiens nord-coréens infiltrés dans les entreprises occidentales. « Assurez-vous qu'ils comprennent qu'il ne s'agit pas d'un problème spécifique à l'entreprise », a déclaré Horne. « C'est un problème sectoriel auquel nous devons tous nous attaquer. »
• Partenariats internes et externes. La nature insidieuse et sophistiquée des cyberopérations nord-coréennes rend la coopération entre les équipes essentielle. « En particulier dans les grandes organisations, il peut y avoir de petits groupes de personnes qui travaillent sur cette menace sous différents angles », a déclaré Schloemer. Assurez-vous qu'ils partagent leurs informations, leurs points de vue et leurs compétences afin de maximiser l'efficacité. Les partenariats externes entre les organisations du secteur privé et les forces de l'ordre fédérales sont également essentiels. * Planification de la réponse aux incidents. Inclure des mesures d'urgence contre les menaces internes malveillantes dans les plans de réponse aux incidents de l'organisation. Mettre en place des processus pour évaluer les données et les systèmes auxquels les personnes internes malveillantes ont accédé, ainsi que le code qu'elles ont pu écrire. Pour obtenir l'aide des forces de l'ordre, contactez un bureau local du FBI et demandez à parler aux experts du bureau en matière de menaces informatiques contre les travailleurs en RPDC.

Dans les mois et les années à venir, la menace des télétravailleurs nord-coréens devrait continuer à s'adapter et à évoluer, selon les experts. Alors que les entreprises américaines sont de plus en plus sensibilisées au problème, des groupes ont déjà commencé à cibler de nouvelles régions, comme l'Europe et l'Australie.

L'équipe de Schloemer chez Microsoft suit toutes les cyberactivités malveillantes en provenance de RPDC, dont l'arnaque aux télétravailleurs n'est qu'un élément. D'autres opérations de cybercriminalité nord-coréennes visent à voler des cryptomonnaies, la propriété intellectuelle et les secrets de défense. Les méthodes d'attaque varient ; dans certains cas, les acteurs malveillants ciblent les demandeurs d'emploi plutôt que les employeurs, ce qui est l'inverse du télétravail. Schloemer s'inquiète de l'évolution des relations entre les différents groupes de menaces nord-coréens et de la convergence de leurs intérêts.

« Nous devons anticiper cette situation en adoptant dès maintenant des recommandations solides en matière de détection et de réponse », a-t-il déclaré. « Nous ne voulons pas nous retrouver dans un scénario où l'emploi d'informaticiens permettrait le vol d'informations sensibles et critiques pour la sécurité nationale. »

Alissa Irei est rédactrice en chef du site SearchSecurity d'Informa TechTarget.