Incidents associés
La plupart des propriétaires d’entreprise font au moins quelques efforts pour se défendre contre les risques croissants de cyberattaques, de demandes de rançongiciels et de fraudes menées par de faux candidats à un emploi. Ils reçoivent désormais des avertissements d'experts en sécurité concernant la menace croissante posée par des milliers d'agents nord-coréens qui créent de fausses identités pour décrocher des emplois en tant que télétravailleurs informatiques auprès d'entreprises américaines, puis envoient leur salaire et leurs données à leur gouvernement à Pyongyang.
Cette menace d'imposteurs de la République populaire démocratique de Corée (RPDC) infiltrant des entreprises américaines en se faisant passer pour de simples télétravailleurs technologiques n'est pas nouvelle, mais les experts affirment qu'elle s'est accrue à une vitesse alarmante. Une étude publiée le mois dernier par SentinelOne, spécialiste de la cybersécurité, a détaillé un vaste complot, extrêmement actif et souvent efficace, impliquant des milliers de Nord-Coréens embauchés par de grandes entreprises technologiques, ainsi que par de nombreuses entreprises du Fortune 500. Son rapport mettait en garde contre un « volume impressionnant de tentatives d'infiltration en cours », qui, selon lui, « dépasse de loin tout autre vecteur de menace interne que nous surveillons ».
Selon des experts cités dans un récent rapport de Politico, les agents nord-coréens volent ou inventent des informations personnelles liées à de véritables employés informatiques américains, et parcourent les sites d'offres d'emploi à la recherche de postes technologiques bien rémunérés. Ils postulent ensuite massivement pour ces postes afin d'augmenter leurs chances d'obtenir un entretien. Politico a rapporté que les imposteurs utilisent l'intelligence artificielle pour créer des « deepfakes imitant l'apparence et la voix de la personne qu'ils tentent d'imiter, souvent en temps réel ».
« Ces acteurs ne postulent pas à l'aveugle : ils affinent leur processus, exploitent des identités volées ou fabriquées et adaptent leurs tactiques de communication pour refléter de manière de plus en plus convaincante les candidats légitimes », indique le rapport de SentinelOne. Notre équipe a suivi environ 360 faux profils et plus de 1 000 candidatures liés aux opérations informatiques de la RPDC, postulant à des postes chez SentinelOne, y compris des tentatives effrontées d'obtenir des postes au sein de l'équipe d'ingénierie du renseignement de SentinelLabs.
Une fois embauchés, les infiltrés fournissent un véritable travail informatique à distance, tout en laissant peu d'indices permettant aux employeurs de découvrir leur supercherie. Leur objectif initial, selon les experts, est de reverser les salaires conséquents qu'ils perçoivent au programme de développement militaire de leur gouvernement. Mais dans le cadre de ces fonctions, ils installent souvent des logiciels malveillants et configurent des réseaux pour accéder à ces données et effectuer des vols de données ou des demandes de rançon s'ils sont arrêtés et licenciés.
Le lieu de travail effectué en Corée du Nord est masqué par des complices aux États-Unis, à qui les employeurs envoient à leur insu des ordinateurs portables fournis par l'entreprise. Ces ordinateurs sont laissés allumés pour simuler une utilisation aux États-Unis et sont accessibles aux infiltrés nord-coréens pendant leur travail. Les employeurs peuvent penser en avoir pour leur argent grâce à leurs informaticiens à distance, alors qu'en réalité, ils sont vulnérables à de graves menaces.
« Cet informaticien nord-coréen a accès à l'ensemble de vos logiciels de développement web, à tous les actifs que vous avez collectés… (et) il est payé par vous, transféré vers l'État nord-coréen, et mène simultanément des activités d'espionnage », a déclaré à Politico Alexander Leslie, analyste en cybersécurité chez Recorded Future, une société spécialisée dans le renseignement. « Cela représente un risque financier et de conformité important. »
Cela expose également les entreprises à des poursuites judiciaires potentielles de la part des autorités américaines pour avoir employé et rémunéré des citoyens nord-coréens – une violation de la loi, intentionnelle ou non. C'est l'une des raisons pour lesquelles les experts affirment que de nombreuses entreprises qui découvrent cette arnaque ne la rendent pas publique.
Mais c'est une erreur, selon le rapport SentinelOne. Au cours de son enquête, l'entreprise a découvert que plus elle partageait ses informations avec ses partenaires, internes et externes, plus les indices, les informations et les techniques d'identification des imposteurs se multipliaient rapidement sur son réseau.
« Les recruteurs ont commencé à identifier des tendances par eux-mêmes, ce qui a entraîné une augmentation du nombre de signalements précoces de profils suspects », indique le rapport. « Ils sont devenus un partenaire actif qui continue de signaler les nouvelles détections en première ligne. À notre tour, nous codifions ces informations dans des systèmes automatisés qui signalent, filtrent, enrichissent et bloquent proactivement ces campagnes afin d'alléger la charge de travail de nos recruteurs et responsables du recrutement, et de réduire le risque d'infiltration. » Le groupe de renseignement sur les menaces de Google a également documenté le nombre croissant de candidats et d'infiltrés nord-coréens, ainsi que l'expansion de leurs moyens de lever des fonds pour le régime du leader du pays, Kim Jong-un. Cela les a conduits à « intensifier leurs campagnes d'extorsion](https://cloud.google.com/transform/ultimate-insider-threat-north-korean-it-workers) contre les employeurs, et à mener des opérations sur les postes de travail virtuels, les réseaux et les serveurs des entreprises », selon un article de mars de l'unité.
Pour cette raison, le groupe de renseignement sur les menaces de Google a exhorté les entreprises à prendre des mesures de défense contre les nouvelles menaces nord-coréennes de la cybercriminalité. Parmi ces mesures, on peut citer :
- Élaborer un programme robuste de gestion des risques internes : établir un programme formel de gestion des risques internes (https://cloud.google.com/security/consulting/mandiant-insider-threats?hl=en#:~:text=Mandiant%20offers%20an%20Insider%20Threat,prevention%2C%20detection%2C%20and%20response) en élaborant une stratégie, en créant des politiques claires, en encadrant les dirigeants, en mettant en place des cadres organisationnels, en garantissant la gouvernance et en formant les employés afin de favoriser une culture de sécurité.
- Développer un processus et une culture de recrutement axés sur la sécurité : des vérifications d’antécédents rigoureuses, des entretiens vidéo minutieux exigeant un engagement personnel accru de la part du candidat et une vérification rigoureuse des antécédents professionnels peuvent contribuer à atténuer les risques posés par les informaticiens nord-coréens. > - Sécuriser les pratiques de télétravail : vérifier l’identité et la localisation des télétravailleurs, notamment en étant vigilant si l’employé suggère soudainement une adresse de livraison différente et en exigeant le retrait en personne de l’appareil chaque fois que possible.
- Surveiller les risques internes : les équipes de sécurité doivent disposer de la visibilité et des capacités de journalisation appropriées pour déterminer quand les employés ont exfiltré des données sensibles et fourni un accès au réseau. Bien que cela soit idéalement détecté et évité avant qu’un incident majeur ne se produise, les organisations doivent également intégrer les risques internes dans leurs plans de réponse aux incidents.
Que peuvent faire d’autre les recruteurs, les responsables du recrutement et les chefs d’entreprise lorsqu’ils soupçonnent d’avoir affaire à un infiltré nord-coréen potentiel lors d’un entretien d’embauche à distance ?
Harrison Leggio, investisseur providentiel et cofondateur de la startup crypto G8keep, a mis au point une astuce de défense low-tech qui pourrait également offrir aux managers un sentiment de revanche supplémentaire.
« Dites quelque chose de négatif sur Kim Jong-un](https://fortune.com/2025/04/07/north-korean-it-workers-infiltrating-fortune-500-companies/) », a déclaré Leggio à Fortune, faisant référence au leader central du culte de la personnalité en Corée du Nord. « La première fois que je l'ai fait, la personne a commencé à paniquer et à jurer. »
D'autres dirigeants d'entreprise ont adopté cette tactique pour contrecarrer de la même manière les candidats nord-coréens suspectés.
« Ma question d'entretien préférée, car nous en avons interrogé un certain nombre, est du genre : "Quel est le poids de Kim Jong-un ?" », a déclaré Adam Meyers, vice-président senior des opérations de contre-attaque de Crowdstrike, lors d'une récente conférence technologique, selon le site d'information sur la cybersécurité The Register. « Ils mettent fin à l'appel instantanément, car cela ne vaut pas la peine de dire quelque chose de négatif à ce sujet. »
De plus, en plus de protéger potentiellement votre entreprise contre une infiltration malveillante, utiliser cette ruse peut être l'une des rares occasions imaginables où la stigmatisation des personnes en surpoids sert le bien commun.