Le problème des faux travailleurs IT nord-coréens est partout

 (theregister.com)
1 points par GN⁺ 2025-07-14 | 1 commentaires | Partager sur WhatsApp
  • Le problème des faux candidats IT originaires de Corée du Nord est largement constaté dans la plupart des grandes entreprises
  • Leurs méthodes d’infiltration sont variées : IA, deepfakes, identités falsifiées, et vont parfois jusqu’au vol de données internes et à des demandes de rançon
  • Récemment, les entreprises européennes sont elles aussi devenues des cibles, et la majorité des cas concernent des postes en télétravail
  • Les entreprises mettent en place diverses stratégies de défense pendant le processus de recrutement, comme la vérification des documents, l’onboarding en présentiel et le partage d’IoC
  • Les méthodes criminelles évoluent et se diffusent dans le crime organisé, ce qui rend indispensable le renforcement de la coopération entre sécurité et recrutement, de la formation et du pare-feu humain

Vue d’ensemble et situation actuelle

  • Le problème récent des faux candidats IT liés à la Corée du Nord est désormais courant dans les grandes entreprises mondiales
  • De nombreux CISO d’entreprises du Fortune 500 ont indiqué y avoir été confrontés, et les responsables sécurité de Google et Snowflake, entre autres, ont eux aussi identifié ce type de cas dans leurs processus de recrutement internes
  • Le département américain de la Justice a annoncé que les pertes causées par ces acteurs au cours des six dernières années atteignaient 88 millions de dollars
  • Dans certains cas, des incidents ont été signalés où l’accès aux systèmes internes a conduit au vol de code source et d’informations confidentielles, puis à des demandes de rançon
  • Alors que les entreprises américaines renforcent leur vigilance, le ciblage du marché européen augmente rapidement

Tendances caractéristiques dans le processus de recrutement

  • Des entreprises comme Socure voient récemment affluer des milliers de candidatures anormales
  • Les profils LinkedIn sont souvent superficiels ou ont peu de connexions malgré des expériences impressionnantes, et des incohérences sont détectées dans les numéros de téléphone, les e-mails ou l’usage de VPN
  • Lors des entretiens vidéo, des cas d’incohérence démographique se répètent, par exemple un nom occidental avec une apparence est-asiatique ou un accent qui ne correspond pas
  • De nombreuses réponses de candidats ont été jugées similaires à celles produites par des outils d’IA comme ChatGPT
  • En apparence, ils peuvent sembler amicaux et tout à fait normaux, mais des vérifications approfondies font ressortir de nombreux éléments suspects

Nécessité d’une coopération entre sécurité et équipes de recrutement

  • La plupart des recruteurs manquent de connaissances en cybersécurité ou en gestion de l’identité, et le manque de communication entre RH et équipes sécurité constitue un problème
  • Des entreprises comme Netskope mettent en place des dispositifs de coopération multipartite, avec des réunions entre sécurité, RH et juridique, ainsi que des briefings avec le FBI local
  • Dans un environnement de travail à distance, les vérifications dans le monde réel, comme une visite hors ligne pour récupérer le PC ou la validation de l’adresse, jouent un rôle important
  • On observe aussi de façon répétée que de faux candidats abandonnent en cours de route lorsqu’on exige une vérification documentaire

Réponses possibles via l’IA et le partage d’informations

  • Alors que les abus de nouvelles technologies comme l’IA et les deepfakes augmentent, des entreprises comme Snowflake exploitent la création de jeux de données d’IoC (indicateurs de compromission) et le partage d’informations avec leurs partenaires
  • Les IoC incluent des informations facilement falsifiables comme les e-mails, les adresses physiques réelles et les numéros de téléphone
  • Avec une stratégie de pare-feu humain (formation des recruteurs), on leur apprend à repérer des indices comme l’exagération du CV, les délais inhabituels dans les réponses en entretien, la confusion sur des sujets techniques ou un environnement de type centre d’appels
  • En fin de compte, l’entretien en présentiel, ainsi que les excuses invoquant une impossibilité absolue de se présenter physiquement, sont considérés comme de forts motifs de suspicion
  • La coopération entre entreprises, partenaires et organismes publics vise à bloquer dès le pré-screening l’entrée même de candidats suspects

Perspectives d’expansion de l’organisation et de la criminalisation

  • Lorsqu’une méthode rentable est identifiée, les organisations criminelles ont tendance à la copier et à la diffuser rapidement
  • Le phénomène ne devrait pas se limiter aux opérations pilotées par la Corée du Nord, et il est très probable qu’il s’étende à d’autres pays et au crime organisé
  • Dans tous les processus de recrutement, la nécessité de renforcer la coopération entre sécurité et recrutement ainsi que de former aux cas les plus récents devient de plus en plus forte

À lire aussi

1 commentaires

 
GN⁺ 2025-07-14
Avis Hacker News

  • Je pense qu’on pourrait éviter ce genre de problème en rendant obligatoire une procédure de vérification d’identité en personne

  • On dit qu’on distingue les vrais profils des faux parce qu’un profil LinkedIn n’a que 25 connexions, mais en réalité il existe aussi des comptes LinkedIn piratés. Le compte d’un collègue a été compromis alors qu’il avait plus de 1 000 relations réelles. La photo et le nom ont été modifiés pour paraître est-asiatiques, et le CV a aussi été changé pour afficher une expérience chez un sous-traitant de la défense américaine. Par chance, la fonction de verrouillage automatique du compte a permis de le repérer, mais il aurait très bien pu rester dans cet état longtemps. Même quelqu’un connecté à des milliers de personnes ne se souvient pas de toutes ses relations une par une, il n’y a pas d’alerte sur le changement de nom, donc il est tout à fait plausible que ce genre de profil piraté soit revendu et exploité par des informaticiens nord-coréens

    • Il y a aussi beaucoup de gens comme moi qui n’ont tout simplement pas de compte LinkedIn. L’idée d’une vérification hors ligne du type « il faut venir chercher l’ordinateur portable en personne » me paraît bien plus efficace

  • Jeff Geerling a récemment partagé une expérience où il a été contacté par le FBI au sujet de petits appareils KVM utilisés de manière stratégique par des faux candidats nord-coréens à des postes IT. Vidéo associée

    • D’après ce que j’ai entendu, ces appareils KVM sont branchés à plusieurs ordinateurs portables et réellement exploités depuis des sous-sols ou des chambres chez des particuliers. Quelqu’un reçoit une somme fixe par mois pour chaque ordinateur fourni par une entreprise, branche un petit KVM dessus et permet à un travailleur distant de s’y connecter. Cela rend le traçage beaucoup plus difficile

    • Je ne m’y connais pas bien, mais un KVM fait quoi exactement ? C’est juste un appareil avec des ports Ethernet et HDMI qui permet le contrôle à distance ? Et on raconte ça comme si des Nord-Coréens entraient vraiment chez les gens pour brancher ces appareils, ce que j’ai du mal à imaginer. Je ne comprends pas non plus pourquoi le FBI a contacté Jeff Geerling. Honnêtement, je ne connaissais KVM que dans le sens de la virtualisation du noyau Linux

  • Il était dit que « maintenant que les entreprises IT américaines commencent à mieux repérer les faux candidats, les entreprises européennes deviennent la nouvelle cible ». Toutes les entreprises où j’ai travaillé aux États-Unis ont vérifié mon identité de façon très rigoureuse. Presque toutes font des background checks par défaut. Les entreprises européennes semblent plutôt un peu plus laxistes

    • Les background checks des entreprises américaines peuvent parfois aller trop loin, au point d’empiéter sur ma vie privée. Par exemple, avant l’embauche, on peut exiger une vérification de solvabilité, des prêts restants sur les cartes, la voiture ou la maison, les mensualités, et même tous les salaires des sept dernières années. Je trouve ça excessif. Comme ils connaissent alors toute ma situation, c’est aussi défavorable pour la négociation salariale

    • Il a aussi été signalé des cas où des entreprises proposent à quelqu’un de « prêter son identité ». L’apparence extérieure est celle de cette personne, mais le vrai travail est effectué par d’autres. Le salaire est ensuite partagé. Évidemment, c’est extrêmement risqué et il y a beaucoup d’éléments illégaux, mais il y a quand même pas mal de gens prêts à gagner de l’argent facilement

    • Beaucoup d’entreprises européennes n’offrent pas du tout le télétravail, ou très rarement, et même si elles font des entretiens vidéo ou téléphoniques, elles exigent presque toujours un entretien en présentiel. Elles partent donc au minimum du principe que la personne vit réellement dans le pays concerné. Elles exigent aussi parfois la maîtrise de la langue locale, ce qui rend ce processus beaucoup plus difficile à franchir pour des informaticiens nord-coréens

    • Les background checks ne sont pas parfaits non plus. Le CV peut correspondre à une identité fabriquée, et certains achètent aussi l’identité d’un Américain. C’est pratiquement la seule manière de contourner la vérification d’identité I-9. Il existe aussi différents types de background checks, et beaucoup d’entreprises omettent complètement les procédures contraignantes comme la vérification des employeurs précédents. La vérification des références ne sert pas à grand-chose non plus, puisqu’on peut aussi fabriquer les référents. Au final, il faudrait également vérifier l’identité des référents

    • C’est l’un des types d’arnaque. Un nouvel immigrant aux États-Unis peut même passer un background check sans encombre. Une méthode courante consiste à décrocher un poste de développeur contractuel avec de faux diplômes et une fausse expérience, puis à sous-traiter le travail en Asie pendant la nuit. Avec l’aide de ChatGPT, il suffit même de prendre une photo de l’écran pour obtenir immédiatement le texte, ce qui facilite encore plus le travail à distance. Il est même courant que des développeurs externalisent une partie de leur propre travail, et certains travaillent ainsi à plusieurs endroits en même temps

  • Je me demande quel est l’objectif suivant quand ces escrocs réussissent réellement à se faire embaucher. Est-ce qu’ils collectent juste des informations comme des espions industriels, est-ce qu’ils font réellement le travail qu’on leur confie, ou est-ce qu’ils essaient de soutirer le plus possible de données ou d’argent dès leur arrivée avant de disparaître s’ils se font repérer ? Je me demande aussi s’ils ont réellement des compétences en informatique

    • L’article mentionnait aussi des cas où des données d’entreprise ou du code source sont pris en otage contre rançon. Même lorsqu’ils ne sont pas liés à la Corée du Nord, la stratégie de base consiste à toucher autant de salaires que possible dans différentes entreprises, puis à passer à la suivante une fois repérés. Dans certains cas, ils ne tiennent qu’un ou deux mois, mais il arrive aussi qu’ils travaillent quelques heures sans problème particulier et touchent plusieurs salaires à la fois parce que les managers prêtent peu d’attention. Ils tirent ainsi un revenu à court terme, puis si toute l’équipe est licenciée, ils retournent simplement sur le marché de l’emploi

  • Selon un tweet que j’ai vu quelque part, on pourrait demander à un candidat de critiquer Kim Jong-un pour voir s’il est nord-coréen

    • Ce serait une méthode neutralisée très vite après seulement une ou deux tentatives. Si j’étais un espion ou en mission secrète, j’imagine bien que l’organisation me ferait dire n’importe quoi si nécessaire

    • Si quelqu’un me demandait de critiquer Kim Jong-un, la conversation s’arrêterait là. Je critique librement quand je le veux. Avec une méthode comme ça, on risque plutôt d’écarter de vrais candidats

    • Si ce type de filtrage devient fréquent, certains se diront aussi « ah, je me suis fait repérer » ou jugeront que le risque a trop augmenté, et se retireront d’eux-mêmes. C’est un peu comme les escrocs par e-mail qui utilisent volontairement une grammaire maladroite : l’idée est d’éliminer vite les cibles difficiles dès le départ et de ne garder que les cas faciles

    • Il faut être prudent avec ce genre de question. Il faut pouvoir prouver qu’elle a été posée de façon identique à tous les candidats, quelle que soit leur origine ethnique ou leur statut migratoire. En pratique, il faudrait même poser cette question à des personnes non asiatiques ou à des natifs du monde anglophone pour être prudent, car la Corée du Nord pourrait aussi évoluer vers l’utilisation d’intermédiaires ou de tiers extérieurs pour candidater

  • Je trouve étonnant qu’on voie autant de cas de ce genre. Moi, je suis quelqu’un de normal et de sérieux, et pourtant il m’est difficile de trouver un bon poste. Alors voir ces faux candidats se faire embaucher à la chaîne, ça me dépasse. Je me demande bien ce que font les entreprises

    • Ces gens mentent dès la candidature. Ils volent des identités, fabriquent leur expérience, inventent des références et piratent LinkedIn. Ce sont des spécialistes de l’arnaque et de l’entretien. Comme ils s’organisent collectivement et que décrocher un emploi est littéralement leur moyen de subsistance, ils finissent par réussir d’une manière ou d’une autre. Et ils se moquent totalement de la qualité du poste. Ils tiennent le plus longtemps possible là où c’est faisable. Dans beaucoup d’entreprises, cela peut durer des années

  • Et si on imposait tout simplement une première semaine de travail en présentiel ? Ce serait facile à justifier au nom de l’onboarding, et à mon avis ça réglerait le problème

    • Toutes les entreprises n’ont pas de bureau. Mon précédent employeur n’a eu des locaux qu’au bout de six mois après mon arrivée, et plus de la moitié du personnel du pays était à 3 ou 4 heures du bureau. En réalité, je n’ai rencontré en personne qu’une partie de l’équipe ; le reste était réparti sur trois continents

    • Depuis le Covid, le travail entièrement à distance et le recrutement entièrement à distance se sont généralisés, donc dans les faits l’onboarding en présentiel a rapidement disparu. Mais maintenant que ce problème est mieux identifié, il est très probable que les entretiens en personne et la présence au bureau redeviennent la norme

    • C’est possible. C’est un peu comme dire que la sécurité irait mieux si tout le monde utilisait de bons mots de passe. En réalité, beaucoup d’entreprises ne le font toujours pas. Une autre raison est qu’imposer une première semaine en présentiel réduit le vivier de talents. Même si l’ambiance du moment est plutôt au retour forcé au bureau et aux semaines de 100 heures, il y a quand même des inconvénients

    • Dans une entreprise où j’ai travaillé, il fallait obligatoirement venir au bureau pendant trois mois. Le bureau lui-même ressemblait à un petit studio, mais cela suffisait à atteindre l’objectif

    • Je pense qu’imposer la première semaine en présentiel améliorerait les choses. Bien sûr, il y aurait quand même des gens pour multiplier les excuses, ou dire par exemple qu’ils ne veulent manger que des plats commandés sur DoorDash

  • Je me dis qu’au moins un de mes collègues aurait peut-être mieux valu s’il avait été de ce genre

  • Il y a quelque chose qui cloche. Des développeurs envoient des candidatures à des centaines d’endroits pour espérer décrocher un seul entretien, et pendant ce temps des informaticiens nord-coréens qui ne parlent même pas bien anglais continuent à obtenir des postes. Bientôt, sur LinkedIn, il faudra peut-être carrément faire l’éloge du dirigeant suprême

    • Pour qu’une arnaque réussisse, il faut vraiment être bon. Ils mentent de façon totalement professionnelle, avec une répartition des rôles entre la recherche de pipelines de candidats, les équipes chargées de faire passer les profils, la gestion des entretiens, etc. Ils utilisent aussi beaucoup l’automatisation, ce qui augmente fortement l’efficacité. Un développeur individuel se fait filtrer des dizaines de fois sur les points de candidature, le CV, l’entretien, etc., tout en essayant de ne pas mentir, donc ses chances de réussite sont faibles. Mais ces organisations frauduleuses ne font que ça toute la journée, donc elles deviennent de plus en plus efficaces. Un vrai développeur arrête de chercher une fois embauché, alors qu’un escroc continue d’affûter en permanence ses techniques de recherche d’emploi

    • Eux ne se soucient pas des contraintes du réel. Sur leur CV, ils mettent Harvard, une expérience chez Meta, et toutes sortes d’autres lignes prestigieuses. Et le recruteur, voyant ce profil accrocheur, le place au-dessus du mien

    • J’ai moi aussi reçu plusieurs fois des e-mails depuis des adresses étranges disant en substance : « je peux te faire obtenir un poste, tu n’as qu’à passer l’entretien et on s’occupe du reste. Faux nom et grosse somme d’argent garantis ». À ce niveau-là, j’en conclus surtout que mon CV est assez bon pour me rendre plus exposé à ce type d’arnaque. Mais ce genre de montage est vraiment grossier. 99 % des ingénieurs n’y prêtent pas attention ou les ignorent immédiatement

    • En réalité, il est possible que ces gens n’obtiennent pas vraiment les postes ; ils arrivent juste à passer l’étape de l’entretien

    • Je pense qu’ils utilisent probablement plusieurs identités à la fois