Incidents associés
Christina Chapman avait l'allure d'une Américaine lambda cherchant à se faire un nom dans le milieu du travail acharné.
Dans des publications prolifiques sur son compte TikTok, qui a atteint plus de 100 000 abonnés, elle évoquait sa vie bien remplie de télétravail avec des clients du secteur informatique et le livre fantastique qu'elle avait commencé à écrire. Elle y abordait des sujets tels que des causes politiques progressistes, ses repas et ses voyages pour voir son groupe de pop japonais préféré.
Pourtant, en réalité, cette femme de 50 ans exploitait une « ferme d'ordinateurs portables », remplissant sa maison d'ordinateurs qui permettaient à des Nord-Coréens d'occuper des emplois dans le secteur technologique américain et de percevoir illégalement 17,1 millions de dollars de salaires auprès de plus de 300 entreprises américaines, selon les procureurs fédéraux.
Dans une vidéo de juin 2023, elle expliquait ne pas avoir eu le temps de préparer son petit-déjeuner ce matin-là : « Mes clients sont en train de devenir fous », disait-elle. Elle décrit ensuite le bol d'açaï et le smoothie à la piña colada qu'elle avait achetés. Tandis qu'elle parle, au moins dix ordinateurs portables ouverts sont visibles sur les étagères derrière elle, leurs ventilateurs ronronnant de manière audible, et d'autres sur le côté.
Chapman faisait partie des dizaines de « fermiers d'ordinateurs portables » qui ont surgi aux États-Unis dans le cadre d'une escroquerie visant à infiltrer des entreprises américaines et à gagner de l'argent pour la Corée du Nord, en difficulté financière. Des personnes comme Chapman exploitent généralement des dizaines d'ordinateurs portables destinés à des télétravailleurs légitimes vivant aux États-Unis.
Ce que les employeurs – et souvent les fermiers eux-mêmes – ignorent, c'est que ces travailleurs sont des Nord-Coréens vivant à l'étranger, mais utilisant des identités américaines usurpées. Une fois embauchés, ils se coordonnent avec quelqu'un comme Chapman qui peut leur fournir une couverture américaine : réception des livraisons d'ordinateurs, configuration des connexions en ligne et aide au versement des salaires. Pendant ce temps, les Nord-Coréens se connectent quotidiennement aux ordinateurs portables depuis l'étranger grâce à un logiciel d'accès à distance.
Chapman a été nommée à ce poste après avoir reçu une demande sur LinkedIn pour « être le visage américain » d'une entreprise qui recrutait des informaticiens étrangers, selon des documents judiciaires. Rien n'indique qu'elle savait qu'elle travaillait avec des Nord-Coréens.
Le FBI affirme que l'escroquerie, plus largement, implique des milliers de travailleurs nord-coréens et rapporte des centaines de millions de dollars par an au pays. « Cela représente un pourcentage important de leur économie », a déclaré Gregory Austin, chef de section au FBI.
Avec les sanctions internationales qui gèlent les flux financiers, la Corée du Nord a fait preuve de créativité dans sa quête de liquidités. Selon la société d'analyse blockchain Chainalysis, des pirates informatiques nord-coréens ont volé plus de 6 milliards de dollars en cryptomonnaies. Grâce au « laptop farming », ils ont bouleversé l'économie des petits boulots et ont trouvé des moyens ingénieux de tromper les entreprises pour qu'elles leur versent des salaires.
Cela devient un problème de plus en plus important pour les entreprises qui font appel à des télétravailleurs, a déclaré Adam Meyers, vice-président senior de CrowdStrike. L'entreprise de cybersécurité a récemment identifié environ 150 cas de travailleurs nord-coréens sur les réseaux de ses clients et a identifié des parcs d'ordinateurs portables dans au moins huit États.
Ces travailleurs, généralement des spécialistes en technologie, sont formés dans le cadre des programmes d'enseignement technique nord-coréens. Certains restent en Corée du Nord, tandis que d'autres se dispersent dans des pays comme la Chine ou la Russie – pour dissimuler leur connexion nord-coréenne et bénéficier d'un internet plus fiable – avant de tenter leur chance comme informaticiens pour des entreprises occidentales.
Ils sont parfois de piètres employés et sont rapidement licenciés. D'autres restent en poste pendant des mois, voire des années.
« Ces informaticiens de RPDC sont tout à fait capables d'occuper des emplois à bas salaires à six chiffres dans des entreprises américaines, et parfois même d'occuper plusieurs de ces emplois », a déclaré Austin du FBI.
Ils travaillent pour presque tous les secteurs imaginables qui font appel au télétravail. Il y a deux ans, une entreprise de cybersécurité a découvert qu'elle employait neuf travailleurs nord-coréens, tous par l'intermédiaire d'agences de recrutement, selon des documents judiciaires. Deux d'entre eux se connectaient chaque matin via le parc d'ordinateurs portables de Chapman.
Il semblerait que ces travailleurs volent parfois des données à des fins d'espionnage ou de rançon.
Fin de l'année dernière, Ryan Goldberg, responsable de la réponse aux incidents chez Sygnia, une entreprise de cybersécurité, a pu examiner un ordinateur portable restitué à un client, une entreprise du secteur des sciences de la vie, après une perquisition du FBI dans un parc d'ordinateurs portables de la côte Est.
Au démarrage du MacBook, il a été stupéfait par ce qu'il a vu : une série de sept programmes personnalisés conçus pour contourner les antivirus et les pare-feu, offrant aux Nord-Coréens une porte dérobée quasiment indétectable sur le réseau de l'entreprise.
Un programme leur permettait d'espionner les réunions Zoom. D'autres pouvaient être utilisés pour télécharger des données sensibles sans être détectés. « La façon dont ils utilisaient le contrôle à distance était inédite », a déclaré Goldberg. « Ils ont vraiment fait preuve d'imagination. »
Mais d'abord, ils doivent recruter un Américain pour ouvrir la porte.
« Je ne sais pas quoi faire »
Les Nord-Coréens commencent par envoyer des milliers de demandes à des personnes sur des sites d'emploi comme LinkedIn, Upwork et Fiver, selon les enquêteurs. Leur vaste réseau attrape souvent des personnes en difficulté financière, comme Chapman, qui a reçu le message LinkedIn en mars 2020.
Chapman, ancienne serveuse et massothérapeute vivant alors dans une petite ville au nord de Minneapolis, avait terminé un stage de codage à cette époque, espérant devenir développeuse web. Ça n'a pas marché. Le 21 janvier 2021, elle a lancé un appel à l'aide pour trouver un logement dans une publication larmoyante sur TikTok.
« Je vis dans une caravane. Je n'ai pas l'eau courante ; je n'ai pas de salle de bain fonctionnelle. Et maintenant, je n'ai plus de chauffage », a-t-elle déclaré. « J'ai très peur. Je ne sais pas quoi faire. »
Des documents judiciaires indiquent que Chapman a commencé à travailler avec les Nord-Coréens vers octobre 2020 et que son implication n'a cessé de croître. En janvier 2023, elle avait déménagé en Arizona et gagnait suffisamment d'argent pour emménager dans une maison de quatre chambres qu'elle partageait avec une colocataire à Phoenix, avec un jardin pour ses chihuahuas, dont Henry, Serenity et Bearito.
Chapman était une touche-à-tout pour ses « clients ». Elle les aidait à envoyer leurs formulaires fiscaux W-2 falsifiés ou autres documents de vérification lors de leur embauche. Les ordinateurs portables des employés étaient livrés à son adresse. Elle les déballait, installait un logiciel d'accès à distance et les allumait pour que les Nord-Coréens puissent se connecter. Elle s'assurait du bon fonctionnement des connexions et aidait à résoudre les problèmes. Des post-its collés sur les ordinateurs identifiaient l'entreprise et le travailleur auquel ils étaient censés appartenir.
En avril 2022, un employé fraîchement embauché comme ressortissant américain, utilisant le pseudonyme « Max », a envoyé un message à Chapman au sujet d'un formulaire I-9 utilisé pour établir l'admissibilité d'un employé à travailler aux États-Unis.
« Veuillez envoyer le formulaire I-9 signé à la main avant la fin de la journée », a-t-il écrit. « L'entreprise vous a recontacté. Pourriez-vous m'aider aujourd'hui ? »
« Oui. Je l'enverrai aujourd'hui », a écrit Chapman. « J'ai fait de mon mieux pour copier votre signature. »
« Haha. Merci », a-t-il répondu.
Les appareils ne restaient pas toujours chez elle. Elle a expédié 49 ordinateurs portables, tablettes et autres ordinateurs à l'étranger, dont beaucoup à Dandong, une ville chinoise à la frontière avec la Corée du Nord.
Il lui arrivait de recevoir ses chèques de paie à son domicile, de les signer et de les déposer sur son compte bancaire, puis de transférer les fonds sur un autre compte après avoir prélevé une commission, selon les documents judiciaires.
Astuces vidéo IA
L'une des prouesses les plus remarquables des Nord-Coréens réside dans leur capacité à exploiter les travailleurs indépendants pour contourner la quasi-totalité des contrôles mis en place par les entreprises pour les détecter.
« Ils ont compris qu'il était très facile d'embaucher des gens pour n'importe quoi », explique Taylor Monahan, chercheur en sécurité chez MetaMask, une entreprise de cryptomonnaies, qui fait partie d'une communauté soudée d'enquêteurs étudiant les télétravailleurs nord-coréens. « Ils connaissent parfaitement le système. »
Au-delà des parcs d'ordinateurs portables, ils font appel à des proxys américains pour simplement fournir une adresse postale afin de recevoir des colis ou des chèques, ou pour communiquer leur propre identité aux Nord-Coréens. D'autres se soumettent à des « vérifications d'activité » : ils se font passer pour le véritable employé chaque fois que l'employeur leur demande d'activer une caméra. Ils recrutent des personnes pour créer des comptes légitimes sur des plateformes de freelance, comptes qui sont ensuite transmis aux Nord-Coréens.
À une époque, les Nord-Coréens utilisaient l'intelligence artificielle générative pour modifier leur apparence lors des entretiens d'embauche en ligne. Mais lorsque les recruteurs ont trouvé un moyen simple de le détecter – demander aux personnes interrogées de passer la main devant leur visage, une manœuvre qui provoque des bugs dans le logiciel d'IA – les Nord-Coréens ont commencé à embaucher des personnes expertes en technologie pour réussir les entretiens, a déclaré Monahan.
L'arnaque crée également des problèmes pour les Américains sans méfiance dont les informations personnelles sont volées pour obtenir un emploi, a déclaré Meyers de CrowdStrike. En règle générale, les Nord-Coréens prélèvent le minimum de déductions fiscales, laissant la personne dont ils ont usurpé l'identité avec une dette fiscale, a-t-il déclaré. Le parc d'ordinateurs portables de Chapman « a créé de fausses obligations fiscales pour plus de 35 Américains », ont déclaré les procureurs dans des documents judiciaires.
Pour les entreprises employant des Nord-Coréens, leurs données sont en danger ; les travailleurs aidés par Chapman ont pu obtenir des emplois chez « un des cinq plus grands réseaux de télévision et médias nationaux, une entreprise technologique de premier plan de la Silicon Valley, un fabricant de l'aérospatiale et de la défense, un constructeur automobile américain emblématique, une chaîne de magasins haut de gamme et l'une des entreprises de médias et de divertissement les plus reconnues au monde », selon son acte d'accusation.
Chapman a aidé un employé, « Marcus », à obtenir un poste à distance chez « une marque de vêtements américaine classique dont le siège social est en Californie » par l'intermédiaire d'une agence de recrutement informatique. Six mois après son entrée en fonction, Marcus téléchargeait des données de son employeur et les envoyait vers un ordinateur au Nigeria.
« Informatique »
Les publications de Chapman sur TikTok ont augmenté en 2023. Elle a décrit sa vie professionnelle dans l'une d'elles en expliquant qu'elle avait encore eu une matinée chargée. « Je commence à 5 h 30, je vais directement à mon bureau, juste à côté de ma chambre, et je m'occupe de mes clients. Informatique », a-t-elle déclaré. « Il est presque midi et je commence à peine à manger. »
Dans une autre publication de mai, elle déballait une bague verte à 72 $ dans son jardin. « C'est le premier bijou que j'achète avec des instructions d'entretien », a-t-elle déclaré. Ce soir-là, elle et sa colocataire sont allées voir une représentation de Shakespeare arrosée, où les acteurs sont ivres.
En août, elle s'est rendue au Canada et au Japon pour voir son boys band japonais préféré. Le même mois, elle a échangé des messages avec plusieurs travailleurs étrangers au sujet de leurs formulaires I-9.
« À l'avenir, j'espère que vous trouverez d'autres personnes pour remplir vos formulaires I-9. Ce sont des documents fédéraux. Je vous les enverrai, mais demandez à quelqu'un d'autre de s'en occuper. Je peux aller en prison fédérale pour falsification de documents fédéraux », a-t-elle écrit, selon son acte d'accusation.
Les Nord-Coréens ont jugé Chapman si utile que deux mois plus tard, exaspérés par un autre exploitant présumé d'un parc d'ordinateurs portables en Virginie, ils ont demandé à ce dernier de lui expédier l'appareil à son domicile.
Le 27 octobre 2023, le FBI a perquisitionné le parc d'ordinateurs portables de Chapman et a découvert plus de 90 ordinateurs.
Ses activités secrètes étaient terminées. En décembre, elle était presque au bout du rouleau. Elle faisait face à de graves accusations fédérales, mais elle s'est voilée la face pour ses « lovelies », le nom qu'elle donnait à ses abonnés sur TikTok.
« J'ai perdu mon emploi fin octobre et je n'ai pas été payée le mois dernier », a-t-elle déclaré. « Même si j'ai postulé à au moins trois ou quatre emplois par jour, je n'ai toujours rien trouvé. »
Au fil des mois, elle a essayé de vendre des livres de coloriage sur Amazon. Elle a ouvert une boutique Etsy. Elle a lancé une campagne GoFundMe pour financer son loyer.
En août 2024, elle a emménagé dans un refuge pour sans-abri à Phoenix. « Je reviendrai bientôt », a-t-elle déclaré dans son dernier TikTok, publié en octobre. « Ce fut un véritable parcours du combattant. » Elle vit toujours dans un refuge, a déclaré son avocat.
En février, elle a plaidé coupable de fraude électronique, d'usurpation d'identité et de blanchiment d'argent. Ses revenus totaux s'élevaient à un peu moins de 177 000 dollars. Selon les termes de son accord de plaidoyer, elle encourt une peine maximale d'un peu plus de neuf ans de prison. Sa sentence est prévue pour le 16 juillet.