Google signale la menace croissante de faux informaticiens originaires de Corée du Nord

Des pirates nord-coréens se font passer pour des travailleurs informatiques à distance afin d’infiltrer des entreprises européennes

Les opérations de piratage informatique parrainées par l’État nord-coréen ont transformé les ressources humaines en un champ de bataille par procuration. Les cyber-opérateurs du régime ne se contentent plus de voler de la crypto-monnaie ou d’effectuer des ransomware ransomware. Désormais, ils se connectent à vos systèmes en tant qu' »employés ». Et l’Europe devient une destination privilégiée.

Voici ce qui se passe : Des agents formés à cet effet postulent à des postes d’informaticiens à distance dans des entreprises européennes. Ils rédigent de faux CV, falsifient des dossiers académiques, certains incluant même des diplômes de l’université de Belgrade, et dissimulent leur véritable identité derrière des photos et des données de profil modifiées par l’IA. Une fois embauchés, ils accèdent aux infrastructures internes, reproduisant le comportement de véritables collaborateurs. L’objectif est direct : générer des devises étrangères et obtenir des données sensibles. Il s’agit notamment de droits de propriété intellectuelle et d’identifiants d’accès à l’entreprise qui peuvent être utilisés par la Corée du Nord dans le cadre de ses vastes campagnes de cyberespionnage.

Ces opérations se sont discrètement déplacées des États-Unis vers l’Europe. La raison en est tactique. Les États-Unis ont pris des mesures sévères. Des inculpations ont été prononcées, la vérification du droit au travail est plus stricte et les faux profils sont de plus en plus connus. Cette pression oblige à s’adapter et, pour les agents, la prochaine étape logique est l’Europe.

Le groupe de renseignement sur les menaces de Google a suivi la situation de près. Jamie Collier, conseiller principal en matière de renseignements sur les menaces pour l’Europe au sein de la division, est très direct : « L’Europe doit se réveiller rapidement. Il a raison. Il ne s’agit plus seulement d’une question de conformité ou de contrôle des antécédents. Il s’agit d’une cybersécurité de première ligne. Et si vous ne contrôlez pas activement vos employés à distance à l’aide d’outils de vérification agressifs, vous assumez un risque que vous ne pouvez pas quantifier.

Les sites d’offres d’emploi, les plateformes de freelance comme Upwork et Freelancer, et même les portails de ressources humaines des entreprises sont autant de points d’entrée. Ces pirates sont disciplinés, disposent de ressources et ciblent désormais de grandes organisations au Royaume-Uni, en Allemagne, au Portugal et en Serbie.

De vraies entreprises sont déjà compromises. Si vous ne modifiez pas dès maintenant la façon dont vous évaluez les talents numériques, vous risquez de vous retrouver avec une personne qui présente une expérience trompeuse et qui constitue une menace pour la sécurité nationale. Les attaquants ne vont pas s’arrêter. Ils ont simplement changé d’endroit. La façon dont votre organisation réagira en dira long sur son modèle de confiance et sa maturité en matière de risques.

Escalade dans les tactiques et comportement agressif sous la pression opérationnelle

Les tactiques changent, et vite. Les agents nord-coréens qui se font passer pour des travailleurs informatiques à distance sont de plus en plus agressifs et de moins en moins soucieux de brouiller les pistes. Ce qui était autrefois une stratégie d’infiltration discrète devient aujourd’hui un jeu de pression à haut risque et à haut rendement. Ces acteurs ne se contentent plus de s’intégrer discrètement dans vos systèmes, ils émettent des menaces en cours de route.

Au début, ces opérateurs travaillaient avec soin. Lorsqu’ils étaient licenciés, l’objectif global était de maintenir les ponts intacts, dans l’espoir d’être réembauchés ailleurs. Cette époque est révolue. Aujourd’hui, lorsqu’ils sont découverts ou licenciés, beaucoup optent pour des représailles. Ils menacent d’exposer la propriété intellectuelle de l’entreprise, de divulguer publiquement des données exclusives ou d’exiger des paiements en crypto-monnaie en échange de leur silence.

Pourquoi ce changement ? Parce que l’environnement se resserre. L’application de la loi aux États-Unis s’est durcie. Les mécanismes de droit au travail sont plus stricts, la vérification de l’identité est plus difficile à contourner et les inculpations font qu’il est plus difficile pour les agents de recycler des tactiques qui fonctionnaient auparavant. La pression exercée par les forces de l’ordre et les défenses des entreprises pousse ces acteurs à réagir en intensifiant leur action.

Jamie Collier, de Google, qui fournit des conseils en matière de renseignement sur les menaces en Europe, estime que cette adaptation s’inscrit dans le cadre d’une décennie d’innovation cybernétique de la part de la Corée du Nord. Le régime a toujours cherché à obtenir des devises étrangères par le biais de la criminalité numérique. Cela inclut des vols très médiatisés comme l’attaque bancaire SWIFT, le vol généralisé de crypto-monnaies, les déploiements de ransomware et les compromissions de la chaîne d’approvisionnement. Les menaces qui pèsent sur les travailleurs à distance s’inscrivent dans la même logique, mais elles sont mieux camouflées.

Les cadres doivent comprendre qu’il s’agit d’une opération soutenue par l’État qui tente d’extraire de la valeur par tous les moyens possibles. Il s’agit notamment de transformer vos propres lacunes en matière de sécurité, comme la manière dont vous traitez les licenciements virtuels, en un levier d’action.

Si vous n’avez pas encore de plan d’action pour la cessation d’activité de votre personnel qui tienne compte du risque de représailles de la part d’acteurs intégrés, vous n’êtes pas équipé pour faire face à l’évolution de la menace. Les contrôles d’accès après la cessation d’activité doivent être absolus. Les journaux d’accès aux données doivent être surveillés bien après le départ. Et la segmentation des systèmes n’est plus optionnelle, elle est fondamentale. Les attaquants planifient stratégiquement. Les entreprises doivent réagir de la même manière.

Déploiement de méthodes de déguisement avancées et de tactiques pilotées par l’IA

Les agents nord-coréens évoluent. Nous assistons aujourd’hui à une utilisation généralisée de l’IA, de l’automatisation et des données d’identité volées pour créer des personnages entièrement faux qui se font passer pour des travailleurs qualifiés du secteur technologique mondial. Il n’est plus rare qu’un candidat utilise un deepfake lors d’un entretien vidéo ou qu’il soumette un CV construit à partir de références et d’antécédents professionnels récoltés auprès de personnes réelles.

Ces attaquants se présentent comme des professionnels de différents pays (Italie, Japon, Singapour, Ukraine, Viêt Nam, États-Unis) afin de répondre aux préférences d’embauche. Ils fabriquent leur légitimité à l’aide de biographies rédigées par l’IA, de paramètres linguistiques localisés et de communications culturellement exactes traduites en temps réel à l’aide d’outils d’écriture. Certains fournissent même des références fabriquées de toutes pièces en utilisant d’autres identités numériques qu’ils contrôlent pour se porter garants. À première vue, tout cela semble réel. Et c’est bien là le problème.

Ce que les agents proposent pendant le processus d’embauche, des compétences en développement de blockchain, des applications d’IA, des plateformes CMS et des bots, est conçu pour s’aligner sur les rôles d’ingénierie à forte demande et à forte confiance. En réalité, il s’agit d’un écran de fumée pour un accès durable à votre plateforme ou à l’environnement de votre produit. Une fois à l’intérieur, ils effectuent suffisamment d’opérations pour paraître légitimes, tout en extrayant de la valeur sous le radar. Votre pipeline de recrutement, s’il n’est pas renforcé, devient le point d’entrée.

L’un des mécanismes de couverture les plus efficaces est l’utilisation de l’IA pour fabriquer des identités impossibles à distinguer des vrais candidats. Cela inclut des images de profil photoréalistes et une communication écrite sophistiquée. Ces outils éliminent la plupart des signaux d’alerte traditionnels sur lesquels les recruteurs ou les équipes des ressources humaines s’appuient, comme les incohérences faciales, les fautes de grammaire ou l’inadéquation de la documentation. Les attaquants comprennent le fonctionnement des processus de recrutement et conçoivent leur fraude de manière à contourner ces éléments.

Pour les dirigeants, il ne s’agit pas seulement d’une question de sécurité, mais aussi d’un problème de vivier de talents. Si votre entreprise s’appuie fortement sur le recrutement à distance pour des postes techniques spécialisés, en particulier par le biais de plateformes d’indépendants comme Upwork ou Freelancer, vous êtes dans le collimateur.

Les équipes de sécurité doivent se coordonner avec les RH pour évaluer la manière dont la vérification de l’identité des candidats est effectuée. Les outils automatisés, les systèmes de vérification multicouches et les contrôles de géoposition doivent faire partie des procédures opérationnelles standard. Sans ce changement de processus, les agents continueront à franchir votre porte d’entrée déguisés en experts prêts à vous aider.

Les facilitateurs des régions occidentales soutiennent la fraude à l’emploi

Le programme nord-coréen de télétravail ne fonctionne pas de manière isolée. Il est soutenu par un réseau croissant de facilitateurs, des personnes et des entités réelles basées aux États-Unis, au Royaume-Uni et sur d’autres marchés cibles, qui aident ces agents à infiltrer les entreprises plus efficacement. Ces facilitateurs ne sont pas des agents officiels du régime. Ce sont des opportunistes qui fournissent des services essentiels : blanchiment d’identité, fabrication de titres de compétences et aide à la prospection d’emploi.

Les recherches de Google ont permis de retracer plusieurs de ces réseaux. Dans un cas, il s’est avéré qu’un ordinateur portable d’entreprise enregistré à New York fonctionnait à partir de Londres et était directement lié à un candidat frauduleux. Il ne s’agit pas d’une anomalie inhabituelle. C’est la preuve d’un soutien coordonné qui donne aux agents de la Corée du Nord des points d’accès locaux, ce qui les rend plus authentiques et plus difficiles à repérer dans le cadre d’un contrôle de conformité ou d’une vérification préalable des technologies de l’information.

Ces facilitateurs aident à tout mettre en place, des faux passeports aux numéros de téléphone locaux. Ils donnent des conseils sur la manière d’utiliser les fuseaux horaires, les références culturelles et les normes d’emploi propres à chaque région pour paraître crédible lors des entretiens. Certains accompagnent même les agents dans l’élaboration de stratégies spécifiques à des sites d’embauche comme Upwork ou à des marchés de l’emploi européens locaux. Chaque détail est conçu pour passer l’examen minutieux des recruteurs internes et des systèmes automatisés de sélection des candidats.

Si vous êtes un cadre de haut niveau et que vous dirigez des équipes distribuées, vous devez changer d’état d’esprit. Votre vulnérabilité en matière de recrutement peut être renforcée localement par des personnes qui savent comment contourner vos contrôles. S’appuyer sur des indices géographiques ou sur une confiance présumée basée sur la localisation ne sert à rien lorsque votre cible de recrutement a accès à des facilitateurs qui ont une connaissance approfondie de votre marché.

Les entreprises doivent commencer à considérer l’intégration des talents comme un vecteur potentiel de cybercriminalité, en particulier lorsqu’elles recrutent à l’étranger. Travaillez avec des plateformes qui fournissent des informations d’identification vérifiées. Effectuez des contrôles croisés sur la documentation. Confirmez l’emplacement des adresses IP au moment de l’entretien et comparez-les aux informations fournies.

Ignorer le rôle des facilitateurs rend la détection plus difficile. Un agent nord-coréen bénéficiant d’un encadrement professionnel, ayant des comportements spécifiques à la région et des documents falsifiés ne correspond pas au profil que la plupart des équipes de sécurité sont censées rechercher. C’est pourquoi cela fonctionne.

Vulnérabilités des entreprises appliquant des politiques de type « Bring your own device » (BYOD)

Des agents nord-coréens exploitent une faille de sécurité que de nombreuses organisations sous-estiment encore, les environnements « Bring Your Own Device » (BYOD) (Bring Your Own Device). Les entreprises qui autorisent leurs employés à utiliser des ordinateurs portables personnels pour accéder à leurs systèmes internes s’exposent à une architecture de menaces qui est intrinsèquement plus difficile à sécuriser et à surveiller. Depuis janvier, le Threat Intelligence Group de Google a observé une recrudescence des attaques ciblant délibérément les entreprises dont la main-d’œuvre est répartie et dotée d’un système BYOD.

Voici pourquoi cela fonctionne : les appareils personnels contournent souvent les politiques de sécurité centralisées. Ils ne disposent pas de la même surveillance des points d’extrémité, de la même journalisation au niveau du système ou de la même application de la configuration que les machines fournies par l’entreprise. Lorsque les attaquants utilisent leur propre matériel non géré pour se connecter à l’infrastructure de l’entreprise via des machines virtuelles, il n’y a pas de piste d’audit physique. Il n’y a pas d’adresse de livraison à vérifier. Il n’y a pas de profil d’inventaire à signaler. Cela rend la détection plus lente et, dans de nombreux cas, inexistante.

Dans un environnement BYOD, il est plus difficile d’appliquer des restrictions d’accès ou de vérifier l’identité des utilisateurs de manière cohérente sur tous les appareils. L’attaquant se fond dans la masse. Il travaille à partir d’un matériel que vous n’avez pas configuré, dans un lieu que vous n’avez pas validé, sous une identité que vous pensiez réelle. Une fois l’accès accordé, il fonctionne comme n’importe quel autre employé à distance. Cela lui donne du temps, le temps d’observer, d’exporter et de s’intégrer plus profondément dans votre environnement.

D’un point de vue exécutif, cela exige de revoir deux choses : la politique relative aux points finaux et les seuils de vérification de l’identité. Si votre stratégie de sécurité repose sur une confiance basée uniquement sur une connexion réussie, vous ne vous défendez que contre des amateurs. Vos systèmes ont besoin de contrôles en couches. Cela inclut la détection des anomalies comportementales (que fait l’utilisateur ?), l’empreinte digitale des appareils (à partir de quoi le fait-il ?) et la surveillance des sessions (comment ces comportements évoluent-ils ?).

Il n’est pas nécessaire d’interdire totalement le BYOD pour résoudre la menace. Mais vous devez traiter les appareils BYOD avec des privilèges contrôlés et limités au sein de l’environnement. Appliquez une segmentation stricte. Surveillez les mouvements latéraux. Veillez à ce que les protocoles d’abandon révoquent tous les accès, quelle que soit l’origine de l’appareil. Ces attaquants ciblent le chemin de moindre résistance, et le BYOD, sans confinement strict, est actuellement ce chemin.

Principaux enseignements pour les dirigeants

Les pirates nord-coréens s’infiltrent par le biais de fausses embauches dans le secteur des technologies de l’information : Des agents soutenus par l’État se font passer pour des travailleurs informatiques à distance en utilisant de faux CV, des profils générés par l’IA et des identités volées pour obtenir des postes dans des entreprises européennes. Les dirigeants doivent veiller à une vérification rigoureuse de l’identité dans les filières de recrutement à distance afin de protéger les systèmes sensibles.
Les tactiques deviennent plus agressives après l’embauche : Les opérateurs menacent désormais de faire fuir les données de l’entreprise lorsqu’ils sont licenciés, ce qui marque le passage d’un accès passif à une extorsion active. Les dirigeants doivent mettre en place des contrôles d’accès après le licenciement et imposer la révocation en temps réel des informations d’identification.
L’IA et les identités synthétiques masquent les attaquants : Les attaquants utilisent des outils d’IA pour créer de fausses identités crédibles, avec de fausses vidéos, des indices de localisation et de fausses références. Les équipes de sécurité et de RH devraient déployer des contrôles d’identité multifactoriels et des signalements comportementaux pour détecter les anomalies.
Les facilitateurs basés en Occident favorisent la fraude : Les facilitateurs locaux aux États-Unis et au Royaume-Uni aident les agents à contourner la vérification et à obtenir des emplois avec de faux documents et un accès à la connexion. Les décideurs devraient réévaluer les hypothèses de confiance et exiger des procédures d’intégration transfrontalières plus strictes.
Les environnements BYOD augmentent les risques de compromission : les appareils personnels ne font pas l’objet d’une surveillance de niveau professionnel et donnent aux attaquants une plus grande couverture une fois qu’ils ont pénétré dans les réseaux. Les entreprises doivent segmenter l’accès BYOD, attribuer des privilèges minimaux et surveiller le comportement des appareils afin de réduire les risques.

Alexander Procter

avril 16, 2025

14 Min

Tendances sectorielles
Pourquoi les retards dans le déploiement des logiciels pèsent sur les budgets informatiques au Royaume-Uni
Avr 30, 2025
9 min
Tendances sectorielles
Pourquoi la plupart des entreprises ne sont pas prêtes pour le virage de la GenAI
Avr 30, 2025
10 min
Tendances sectorielles
Pourquoi les cabinets d’avocats devraient réparer leur pile technologique avant de se lancer dans l’IA
Avr 30, 2025
8 min

Google signale la menace croissante de faux informaticiens originaires de Corée du Nord

Des pirates nord-coréens se font passer pour des travailleurs informatiques à distance afin d’infiltrer des entreprises européennes

Escalade dans les tactiques et comportement agressif sous la pression opérationnelle

Déploiement de méthodes de déguisement avancées et de tactiques pilotées par l’IA

Les facilitateurs des régions occidentales soutiennent la fraude à l’emploi

Vulnérabilités des entreprises appliquant des politiques de type « Bring your own device » (BYOD)

Principaux enseignements pour les dirigeants

Pourquoi les retards dans le déploiement des logiciels pèsent sur les budgets informatiques au Royaume-Uni

Pourquoi la plupart des entreprises ne sont pas prêtes pour le virage de la GenAI

Pourquoi les cabinets d’avocats devraient réparer leur pile technologique avant de se lancer dans l’IA

Les meilleurs conseils de perfectionnement pour les professionnels de l’informatique d’Apple

Logiciel de livraison du dernier kilomètre : Exploiter les données en temps réel pour plus d’efficacité

Conception réactive ou adaptative : Choisir la bonne approche

Renforcer la fidélité des clients : L’importance du suivi numérique des commandes sur les plateformes de commerce électronique

Explorer le potentiel de l’informatique périphérique multi-accès dans les applications IdO

L’équilibre entre la personnalisation et la protection de la vie privée dans le monde numérique

Mots clés de longue traîne ou de courte traîne : Lequel est le meilleur pour les conversions

Les informations « cross-devices » révolutionnent les stratégies marketing à l’ère du tout-mobile

Chef de Projet: 4 solutions pour éviter les pièges de l’estimation de temps