Livres blancs<\/h3>\n\n\n\n\n- Planification Finance et Achats : Etude de cas chez le g\u00e9ant du pr\u00eat-\u00e0-porter et jouets pour enfants, IDKids<\/a><\/li>\n\n\n\n
- Planification financi\u00e8re et enjeux des CFO<\/a><\/li>\n\n\n\n
- Microsoft Surface pour les \u00e9tablissements de Sant\u00e9<\/a><\/li>\n<\/ul>\n\n\n\n
Selon les autorit\u00e9s am\u00e9ricaines, des sp\u00e9cialistes du sujet et des entreprises vis\u00e9es, de plus en plus de candidats informaticiens se r\u00e9v\u00e8lent \u00eatre des \u00ab\u00a0taupes\u00a0\u00bb, souvent venues de Cor\u00e9e du Nord. Elles s’infiltrent sous de fausses identit\u00e9s dans les effectifs des entreprises et dans leurs syst\u00e8mes informatiques. Pour \u00e9viter cette menace, RSSI et DSI doivent renforcer v\u00e9rifications et contr\u00f4les.<\/p>\n\n\n\n![\"Selon](\"https:\/\/images.itnewsinfo.com\/lmi\/articles\/grande\/000000098683.jpg\" "\\"Selon")
Selon plusieurs sources, de plus en plus de candidats \u00e0 des postes d’informaticiens sont des espions, venant entre autres de Cor\u00e9e du Nord et se pr\u00e9sentant sous de fausses identit\u00e9s. (Photo : G. Altman\/Pixabay)<\/figcaption><\/figure>\n\n\n\nLes RSSI qui cherchent \u00e0 recruter de nouveaux informaticiens sont d\u00e9j\u00e0 confront\u00e9s \u00e0 la p\u00e9nurie de profils sur le march\u00e9 et \u00e0 la n\u00e9cessit\u00e9 de combler les d\u00e9ficits de comp\u00e9tences en mati\u00e8re de cybers\u00e9curit\u00e9. Mais il leur faut d\u00e9sormais affronter une nouvelle menace plus inattendue. Des d\u00e9veloppeurs nord-cor\u00e9ens violent les sanctions prises contre leur pays et se font passer pour des candidats potentiels. La Cor\u00e9e du Nord infiltre ainsi activement les entreprises occidentales via ces informaticiens qualifi\u00e9s qui se font passer pour des t\u00e9l\u00e9travailleurs aupr\u00e8s de ces organisations, g\u00e9n\u00e9ralement – mais pas exclusivement – aux \u00c9tats-Unis.
Ils utilisent de fausses identit\u00e9s, souvent vol\u00e9es \u00e0 de vrais citoyens am\u00e9ricains, pour postuler \u00e0 des contrats d’ind\u00e9pendants ou \u00e0 des postes \u00e0 distance. Ces stratag\u00e8mes constituent une des m\u00e9thodes d\u00e9ploy\u00e9es par le r\u00e9gime nord-cor\u00e9en pour g\u00e9n\u00e9rer des revenus illicites, alors qu’il fait l’objet de sanctions financi\u00e8res en raison de son programme d’armement nucl\u00e9aire. Ils s’inscrivent aussi dans le cadre des activit\u00e9s de cyberespionnage du pays.
Des tactiques identifi\u00e9es depuis 2022<\/strong>
C’est en 2022 que le Tr\u00e9sor am\u00e9ricain a mis en garde<\/a> pour la premi\u00e8re fois contre ce type de tactique. Des milliers d’informaticiens hautement qualifi\u00e9s profitent en effet de la forte demande en d\u00e9veloppeurs pour obtenir des contrats d’ind\u00e9pendants aupr\u00e8s de clients du monde entier, notamment en Am\u00e9rique du Nord, en Europe et en Asie du Sud-Est. \u00ab Bien que ces informaticiens de la RPDC [Cor\u00e9e du Nord] ne s’adonnent pas directement \u00e0 des cyberactivit\u00e9s malveillantes, ils utilisent les acc\u00e8s privil\u00e9gi\u00e9s obtenus en tant que sous-traitants pour faciliter les cyber-intrusions malveillantes de la RPDC \u00bb, mettait alors en garde le minist\u00e8re.
\u00ab Ils s’appuient souvent sur leurs contacts \u00e0 l’\u00e9tranger pour obtenir des emplois en freelance et pour \u00eatre mis en contact direct avec des clients \u00bb, poursuivait le Tr\u00e9sor am\u00e9ricain. Ces citoyens nord-cor\u00e9ens se pr\u00e9sentent comme des Sud-Cor\u00e9ens, des Chinois, des Japonais ou encore des Europ\u00e9ens de l’Est, et comme des t\u00e9l\u00e9travailleurs bas\u00e9s aux \u00c9tats-Unis. Dans certains cas, ils dissimulent encore davantage leur identit\u00e9 en signant des contrats avec des sous-traitants tiers. Deux ans apr\u00e8s ce premier avertissement du Tr\u00e9sor am\u00e9ricain, de plus en plus d’exemples de mise en pratique de cette ruse sont mis au jour.
Un groupe de plusieurs milliers d’informaticiens espions d\u00e9mantel\u00e9<\/strong>
Christina Chapman, r\u00e9sidente de l’Arizona, est par exemple accus\u00e9e de fraude dans le cadre d’un syst\u00e8me complexe de ce type, qui aurait permis \u00e0 des informaticiens nord-cor\u00e9ens de se faire passer pour des citoyens et r\u00e9sidents am\u00e9ricains en utilisant des identit\u00e9s vol\u00e9es et ainsi obtenir des emplois dans plus de 300 entreprises am\u00e9ricaines. Ces informaticiens ont utilis\u00e9 des plateformes de paiement et des sites de recrutement en ligne am\u00e9ricains pour obtenir abusivement des postes dans ces organisations, dont une grande cha\u00eene de t\u00e9l\u00e9vision, un constructeur automobile, une entreprise technologique de la Silicon Valley et un industriel de l’a\u00e9rospatiale.
\u00ab Certaines de ces entreprises ont \u00e9t\u00e9 d\u00e9lib\u00e9r\u00e9ment cibl\u00e9es par un groupe de travailleurs informatiques de la RPDC \u00bb, selon les procureurs am\u00e9ricains, qui ajoutent que deux agences gouvernementales am\u00e9ricaines ont \u00e9t\u00e9 vis\u00e9es, mais sans succ\u00e8s. Selon l’acte d’accusation du minist\u00e8re de la Justice (DoJ)<\/a>, d\u00e9voil\u00e9 en mai 2024, Christina Chapman pilotait une ferme d’ordinateurs portables, h\u00e9bergeant les ordinateurs des travailleurs informatiques \u00e9trangers \u00e0 son domicile de mani\u00e8re \u00e0 donner l’impression que ceux-ci se trouvaient aux \u00c9tats-Unis. Elle recevait et falsifiait des ch\u00e8ques de paie et blanchissait les paiements par d\u00e9p\u00f4t direct des salaires sur des comptes bancaires qu’elle contr\u00f4lait.
Selon les procureurs, un grand nombre des travailleurs \u00e9trangers de sa cellule \u00e9taient originaires de Cor\u00e9e du Nord. On estime \u00e0 6,8 millions de dollars les sommes vers\u00e9es pour ce travail, dont une grande partie a \u00e9t\u00e9 faussement d\u00e9clar\u00e9e aux autorit\u00e9s fiscales au nom de 60 citoyens am\u00e9ricains r\u00e9els dont l’identit\u00e9 a \u00e9t\u00e9 soit vol\u00e9e, soit emprunt\u00e9e. Les autorit\u00e9s am\u00e9ricaines ont saisi les fonds li\u00e9s \u00e0 ce syst\u00e8me aupr\u00e8s de Christina Chapman, ainsi que les salaires et les sommes accumul\u00e9es par plus de 19 travailleurs informatiques \u00e9trangers.
Une plateforme de recherche d’emploi pi\u00e8ge des entreprises peu m\u00e9fiantes<\/strong>
L’Ukrainien Oleksandr Didenko, 27 ans, a \u00e9t\u00e9 quant \u00e0 lui inculp\u00e9 pour avoir cr\u00e9\u00e9 pendant des ann\u00e9es de faux comptes sur des plateformes am\u00e9ricaines de recherche d’emploi dans le secteur des technologies de l’information et aupr\u00e8s de soci\u00e9t\u00e9s de transfert de fonds bas\u00e9es aux \u00c9tats-Unis. \u00ab Il a vendu les comptes \u00e0 des informaticiens non am\u00e9ricains, dont certains qu’il suspectait d’\u00eatre nord-cor\u00e9ens, et ils ont utilis\u00e9 ces fausses identit\u00e9s pour postuler \u00e0 des emplois aupr\u00e8s d’entreprises peu m\u00e9fiantes \u00bb, selon le DoJ<\/a>. Oleksandr Didenko, qui a \u00e9t\u00e9 arr\u00eat\u00e9 en Pologne en mai dernier, fait l’objet d’une proc\u00e9dure d’extradition vers les \u00c9tats-Unis. Les autorit\u00e9s am\u00e9ricaines ont saisi le domaine upworksell.com de sa soci\u00e9t\u00e9.
La fa\u00e7on dont ce type de fraude s’exerce dans une entreprise cibl\u00e9e a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9e – un comble – par le t\u00e9moignage du fournisseur de solutions de sensibilisation \u00e0 la s\u00e9curit\u00e9 KnowBe4<\/a>. Ce dernier a en effet reconnu en juillet avoir embauch\u00e9 \u00e0 son insu un espion informatique nord-cor\u00e9en. Le nouvel employ\u00e9 a \u00e9t\u00e9 rapidement rep\u00e9r\u00e9 apr\u00e8s avoir infect\u00e9 son ordinateur portable professionnel avec des logiciels malveillants, avant de dispara\u00eetre lorsque l’incident a \u00e9t\u00e9 d\u00e9tect\u00e9 et de refuser de dialoguer avec les \u00e9quipes de s\u00e9curit\u00e9. L’ing\u00e9nieur logiciel, embauch\u00e9 pour rejoindre l’\u00e9quipe IA interne de KnowBe4, avait r\u00e9ussi ses entretiens vid\u00e9o et ses ant\u00e9c\u00e9dents avaient \u00e9t\u00e9 v\u00e9rifi\u00e9s.
\u00ab Le candidat utilisait une identit\u00e9 am\u00e9ricaine valide, mais vol\u00e9e \u00bb, a pr\u00e9cis\u00e9 l’\u00e9diteur. Il s’est av\u00e9r\u00e9 par la suite que la photo figurant sur sa candidature avait \u00e9t\u00e9 \u00e9dit\u00e9e \u00e0 l’aide d’outils d’intelligence artificielle \u00e0 partir d’une image standard. Le nouvel employ\u00e9 n’a cependant pas termin\u00e9 son processus d’int\u00e9gration et n’avait donc pas acc\u00e8s aux syst\u00e8mes de KnowBe4. Il n’y a donc pas eu de violation de donn\u00e9es. \u00ab Aucun acc\u00e8s ill\u00e9gal n’a \u00e9t\u00e9 obtenu et aucune donn\u00e9e n’a \u00e9t\u00e9 perdue, compromise ou exfiltr\u00e9e sur les syst\u00e8mes de KnowBe4 \u00bb, selon l’\u00e9diteur, qui consid\u00e8re l’incident comme une le\u00e7on \u00e0 retenir.
Un kit d’espion infiltr\u00e9 pr\u00eat \u00e0 l’emploi d\u00e9couvert sur Github<\/strong>
Un nombre croissant de preuves sugg\u00e8re que KnowBe4 n’est qu’une des nombreuses organisations cibl\u00e9es par les informaticiens nord-cor\u00e9ens sous couverture. En novembre dernier, l’\u00e9diteur de solutions de s\u00e9curit\u00e9 Palo Alto a indiqu\u00e9 que les repr\u00e9sentants de la menace nord-cor\u00e9enne cherchaient activement des emplois <\/a>aupr\u00e8s d’organisations bas\u00e9es aux \u00c9tats-Unis et dans d’autres parties du monde. Au cours d’une enqu\u00eate sur une campagne de cyberespionnage, les chercheurs de Palo Alto ont d\u00e9couvert un d\u00e9p\u00f4t GitHub contenant de faux CV, des questions et r\u00e9ponses \u00e0 des entretiens d’embauche, un scan de carte de r\u00e9sident permanent am\u00e9ricaine vol\u00e9e et des copies d’offres d’emploi dans le domaine des technologies de l’information \u00e9manant d’entreprises am\u00e9ricaines, entre autres ressources.
Selon Palo Alto, les CV contenus dans ces fichiers indiquent qu’un large \u00e9ventail d’entreprises am\u00e9ricaines et de march\u00e9s de l’emploi ind\u00e9pendants avaient \u00e9t\u00e9 cibl\u00e9s. Mandiant, la soci\u00e9t\u00e9 de renseignements sur les menaces appartenant \u00e0 Google, a signal\u00e9 l’ann\u00e9e derni\u00e8re que \u00ab des milliers de travailleurs informatiques hautement qualifi\u00e9s de Cor\u00e9e du Nord <\/a>\u00bb \u00e9taient ainsi \u00e0 la recherche d’un emploi.
\u00ab Ces informaticiens obtiennent des contrats en freelance aupr\u00e8s de clients du monde entier […] et bien qu’ils r\u00e9alisent principalement des t\u00e2ches l\u00e9gales, ils abusent de leurs acc\u00e8s pour permettre des cyber-intrusions men\u00e9es par la Cor\u00e9e du Nord \u00bb, confirme Mandiant. Les adresses \u00e9lectroniques utilis\u00e9es par Park Jin Hyok (PJH), un cyberespion nord-cor\u00e9en notoire li\u00e9 au d\u00e9veloppement de WannaCry et au tristement c\u00e9l\u00e8bre raid de 81 M$ sur la banque du Bangladesh, sont apparues sur des sites d’emploi avant l’inculpation de Park aux \u00c9tats-Unis pour cybercriminalit\u00e9. \u00ab Entre l’attaque de Sony [2014] et l’\u00e9mission du mandat d’arr\u00eat, PJH a \u00e9t\u00e9 rep\u00e9r\u00e9 sur des plateformes de recherche d’emploi aux c\u00f4t\u00e9s d’autres informaticiens de Cor\u00e9e du Nord \u00bb.
Plus r\u00e9cemment, CrowdStrike a rapport\u00e9 qu’un groupe nord-cor\u00e9en surnomm\u00e9 \u00ab\u00a0Famous Chollima\u00a0\u00bb avait infiltr\u00e9 plus de 100 entreprises avec de faux professionnels de l’informatique. Les faux employ\u00e9s de ce groupe, qu’on pr\u00e9sume li\u00e9 \u00e0 la RPDC et dont les cibles comprenaient des entreprises des secteurs de l’a\u00e9rospatiale, de la d\u00e9fense, du retail et de la high tech, principalement aux \u00c9tats-Unis, \u00e9taient suffisamment performants pour conserver leur emploi tout en tentant d’exfiltrer des donn\u00e9es et d’installer des outils de surveillance et de gestion \u00e0 distance (RMM) permettant \u00e0 de nombreuses adresses IP de se connecter aux syst\u00e8mes de leurs victimes.
Les entreprises europ\u00e9ennes \u00e9galement menac\u00e9es<\/strong>
En utilisant des chatbots, les recrues potentielles adaptent parfaitement leur CV et utilisent en outre des deepfakes cr\u00e9\u00e9s par l’IA pour se faire passer pour de vraies personnes. Crystal Morin, ancienne analyste du renseignement pour l’US Air Force devenue strat\u00e8ge en cybers\u00e9curit\u00e9 chez Sysdig, explique que la Cor\u00e9e du Nord vise principalement les entit\u00e9s du gouvernement am\u00e9ricain, les entrepreneurs de la d\u00e9fense et les entreprises technologiques qui recrutent des informaticiens.
Selon elle, \u00ab les entreprises europ\u00e9ennes et d’autres pays occidentaux sont \u00e9galement en danger. Les informaticiens nord-cor\u00e9ens tentent de trouver un emploi soit pour des raisons financi\u00e8res – pour financer le programme d’armement de l’\u00c9tat -, soit pour faire du cyberespionnage. Ils essaient aussi parfois de se faire recruter dans des entreprises technologiques afin de voler leur propri\u00e9t\u00e9 intellectuelle, puis de l’utiliser pour cr\u00e9er leurs propres technologies de contrefa\u00e7on. Ce sont de vraies personnes avec de vraies comp\u00e9tences en d\u00e9veloppement de logiciels et il n’est donc pas toujours facile de les d\u00e9tecter \u00bb.
Naushad Uzzaman, cofondateur et directeur technique de Blackbird.AI, ajoute que, bien que la technologie de falsification de vid\u00e9os en temps r\u00e9el ne soit \u00ab pas encore mature \u00bb, les avanc\u00e9es ne feront probablement que faciliter la vie de ces faux candidats \u00e0 l’emploi. \u00ab On peut imaginer quelque chose comme un filtre Snapchat pour se pr\u00e9senter comme quelqu’un d’autre, imagine-t-il. Cependant, m\u00eame si cela se produisait, il y aurait probablement des d\u00e9fauts dans la vid\u00e9o qui montreraient des signes r\u00e9v\u00e9lateurs de falsification \u00bb.
L’indispensable renforcement du contr\u00f4le des recrutements<\/strong>
Les DSI et les RSSI doivent collaborer avec leurs coll\u00e8gues des RH afin d’examiner de plus pr\u00e8s les candidats. Voici quelques suggestions : organiser des vid\u00e9oconf\u00e9rences en direct avec les candidats potentiels au travail \u00e0 distance et les interroger sur leurs projets professionnels, rechercher les incoh\u00e9rences de carri\u00e8re dans les CV, v\u00e9rifier les r\u00e9f\u00e9rences en appelant le contact fourni, confirmer l’adresse de r\u00e9sidence, examiner et renforcer les contr\u00f4les d’acc\u00e8s et les processus d’authentification, surveiller l’\u00e9quipement fourni pour l’acc\u00e8s \u00e0 distance. Car les contr\u00f4les doivent aussi se poursuivre post-embauche. Selon KnowBe4, les employeurs doivent aussi se m\u00e9fier de l’utilisation sophistiqu\u00e9e de VPN ou de machines virtuelles pour acc\u00e9der au syst\u00e8me de l’entreprise. Pour eux, l’utilisation de num\u00e9ros VoIP et l’absence d’empreinte num\u00e9rique pour les informations de contact fournies sont d’autres signaux d’alerte.
David Feligno, recruteur technique en chef chez Huntress, fournisseur de services manag\u00e9s, livre quelques pr\u00e9cisions sur ses m\u00e9thodes : \u00ab nous avons un processus en plusieurs \u00e9tapes pour v\u00e9rifier un profil quand il semble trop beau pour \u00eatre vrai. C’est-\u00e0-dire si cette personne vole le profil de quelqu’un d’autre et le revendique comme le sien, ou si elle ment simplement au sujet de son lieu de r\u00e9sidence actuel. Nous v\u00e9rifions d’abord si le candidat a fourni un profil LinkedIn que nous pouvons comparer \u00e0 son CV actuel. Si nous constatons que la localisation du profil ne correspond pas \u00e0 celle du CV, nous savons qu’il s’agit d’un faux CV. Si les deux sont identiques, il faut n\u00e9anmoins s’assurer que cette personne n’a pas cr\u00e9\u00e9 de profil LinkedIn r\u00e9cemment ou qu’elle a bien des relations et des followers. \u00bb Huntress v\u00e9rifie \u00e9galement que le num\u00e9ro de t\u00e9l\u00e9phone fourni par le candidat est valide et lance une recherche Google sur lui.
Former toutes les \u00e9quipes de recrutement<\/strong>
\u00ab Toutes ces v\u00e9rifications font gagner beaucoup de temps, insiste David Feligno. Car si quelque chose ne correspond pas \u00e0 la r\u00e9alit\u00e9, vous saurez que vous avez affaire \u00e0 un faux profil, et cela arrive souvent ! \u00bb Pour Brian Jack, RSSI de KnowBe4, toutes les organisations devraient se pr\u00e9occuper de ce sujet. \u00ab Les RSSI devraient examiner le profil de chaque candidat pour s’assurer qu’il n’y a pas de faille dans le processus, juge-t-il. Les RSSI devraient d’ailleurs revoir les processus d’embauche de l’organisation et s’assurer que leurs pratiques globales de gestion des risques englobent l’embauche. \u00bb
Les \u00e9quipes de recrutement devraient, de leur c\u00f4t\u00e9, \u00eatre form\u00e9es \u00e0 une v\u00e9rification approfondie des CV et des r\u00e9f\u00e9rences pour s’assurer que la personne interrog\u00e9e est bien celle qu’elle pr\u00e9tend \u00eatre, conseille Brian Jack. Le mieux serait de rencontrer les candidats en personne, munis d’une pi\u00e8ce d’identit\u00e9 d\u00e9livr\u00e9e par le gouvernement, ou de faire appel \u00e0 des agents de confiance, tels que des soci\u00e9t\u00e9s de v\u00e9rification des ant\u00e9c\u00e9dents, d’autant plus que l’IA entre en jeu dans les programmes de recrutement de ce type. \u00ab En tant que responsable du recrutement, je pose par exemple des questions auxquelles il serait difficile de se pr\u00e9parer et auxquelles il serait difficile \u00e0 l’IA de r\u00e9pondre \u00e0 la vol\u00e9e, mais dont une personne pourrait facilement parler si elle \u00e9tait bien celle qu’elle pr\u00e9tend \u00eatre \u00bb, poursuit Brian Jack.<\/p>\n\n\n\n
Selon les autorit\u00e9s am\u00e9ricaines, des sp\u00e9cialistes du sujet et des entreprises vis\u00e9es, de plus en plus de candidats informaticiens se r\u00e9v\u00e8lent \u00eatre des \u00ab\u00a0taupes\u00a0\u00bb, souvent venues de Cor\u00e9e du Nord. Elles s’infiltrent sous de fausses identit\u00e9s dans les effectifs des entreprises et dans leurs syst\u00e8mes informatiques. Pour \u00e9viter cette menace, RSSI et DSI doivent renforcer v\u00e9rifications et contr\u00f4les.<\/p>\n\n\n\n Les RSSI qui cherchent \u00e0 recruter de nouveaux informaticiens sont d\u00e9j\u00e0 confront\u00e9s \u00e0 la p\u00e9nurie de profils sur le march\u00e9 et \u00e0 la n\u00e9cessit\u00e9 de combler les d\u00e9ficits de comp\u00e9tences en mati\u00e8re de cybers\u00e9curit\u00e9. Mais il leur faut d\u00e9sormais affronter une nouvelle menace plus inattendue. Des d\u00e9veloppeurs nord-cor\u00e9ens violent les sanctions prises contre leur pays et se font passer pour des candidats potentiels. La Cor\u00e9e du Nord infiltre ainsi activement les entreprises occidentales via ces informaticiens qualifi\u00e9s qui se font passer pour des t\u00e9l\u00e9travailleurs aupr\u00e8s de ces organisations, g\u00e9n\u00e9ralement – mais pas exclusivement – aux \u00c9tats-Unis.
Ils utilisent de fausses identit\u00e9s, souvent vol\u00e9es \u00e0 de vrais citoyens am\u00e9ricains, pour postuler \u00e0 des contrats d’ind\u00e9pendants ou \u00e0 des postes \u00e0 distance. Ces stratag\u00e8mes constituent une des m\u00e9thodes d\u00e9ploy\u00e9es par le r\u00e9gime nord-cor\u00e9en pour g\u00e9n\u00e9rer des revenus illicites, alors qu’il fait l’objet de sanctions financi\u00e8res en raison de son programme d’armement nucl\u00e9aire. Ils s’inscrivent aussi dans le cadre des activit\u00e9s de cyberespionnage du pays.
Des tactiques identifi\u00e9es depuis 2022<\/strong>
C’est en 2022 que le Tr\u00e9sor am\u00e9ricain a mis en garde<\/a> pour la premi\u00e8re fois contre ce type de tactique. Des milliers d’informaticiens hautement qualifi\u00e9s profitent en effet de la forte demande en d\u00e9veloppeurs pour obtenir des contrats d’ind\u00e9pendants aupr\u00e8s de clients du monde entier, notamment en Am\u00e9rique du Nord, en Europe et en Asie du Sud-Est. \u00ab Bien que ces informaticiens de la RPDC [Cor\u00e9e du Nord] ne s’adonnent pas directement \u00e0 des cyberactivit\u00e9s malveillantes, ils utilisent les acc\u00e8s privil\u00e9gi\u00e9s obtenus en tant que sous-traitants pour faciliter les cyber-intrusions malveillantes de la RPDC \u00bb, mettait alors en garde le minist\u00e8re.
\u00ab Ils s’appuient souvent sur leurs contacts \u00e0 l’\u00e9tranger pour obtenir des emplois en freelance et pour \u00eatre mis en contact direct avec des clients \u00bb, poursuivait le Tr\u00e9sor am\u00e9ricain. Ces citoyens nord-cor\u00e9ens se pr\u00e9sentent comme des Sud-Cor\u00e9ens, des Chinois, des Japonais ou encore des Europ\u00e9ens de l’Est, et comme des t\u00e9l\u00e9travailleurs bas\u00e9s aux \u00c9tats-Unis. Dans certains cas, ils dissimulent encore davantage leur identit\u00e9 en signant des contrats avec des sous-traitants tiers. Deux ans apr\u00e8s ce premier avertissement du Tr\u00e9sor am\u00e9ricain, de plus en plus d’exemples de mise en pratique de cette ruse sont mis au jour.
Un groupe de plusieurs milliers d’informaticiens espions d\u00e9mantel\u00e9<\/strong>
Christina Chapman, r\u00e9sidente de l’Arizona, est par exemple accus\u00e9e de fraude dans le cadre d’un syst\u00e8me complexe de ce type, qui aurait permis \u00e0 des informaticiens nord-cor\u00e9ens de se faire passer pour des citoyens et r\u00e9sidents am\u00e9ricains en utilisant des identit\u00e9s vol\u00e9es et ainsi obtenir des emplois dans plus de 300 entreprises am\u00e9ricaines. Ces informaticiens ont utilis\u00e9 des plateformes de paiement et des sites de recrutement en ligne am\u00e9ricains pour obtenir abusivement des postes dans ces organisations, dont une grande cha\u00eene de t\u00e9l\u00e9vision, un constructeur automobile, une entreprise technologique de la Silicon Valley et un industriel de l’a\u00e9rospatiale.
\u00ab Certaines de ces entreprises ont \u00e9t\u00e9 d\u00e9lib\u00e9r\u00e9ment cibl\u00e9es par un groupe de travailleurs informatiques de la RPDC \u00bb, selon les procureurs am\u00e9ricains, qui ajoutent que deux agences gouvernementales am\u00e9ricaines ont \u00e9t\u00e9 vis\u00e9es, mais sans succ\u00e8s. Selon l’acte d’accusation du minist\u00e8re de la Justice (DoJ)<\/a>, d\u00e9voil\u00e9 en mai 2024, Christina Chapman pilotait une ferme d’ordinateurs portables, h\u00e9bergeant les ordinateurs des travailleurs informatiques \u00e9trangers \u00e0 son domicile de mani\u00e8re \u00e0 donner l’impression que ceux-ci se trouvaient aux \u00c9tats-Unis. Elle recevait et falsifiait des ch\u00e8ques de paie et blanchissait les paiements par d\u00e9p\u00f4t direct des salaires sur des comptes bancaires qu’elle contr\u00f4lait.
Selon les procureurs, un grand nombre des travailleurs \u00e9trangers de sa cellule \u00e9taient originaires de Cor\u00e9e du Nord. On estime \u00e0 6,8 millions de dollars les sommes vers\u00e9es pour ce travail, dont une grande partie a \u00e9t\u00e9 faussement d\u00e9clar\u00e9e aux autorit\u00e9s fiscales au nom de 60 citoyens am\u00e9ricains r\u00e9els dont l’identit\u00e9 a \u00e9t\u00e9 soit vol\u00e9e, soit emprunt\u00e9e. Les autorit\u00e9s am\u00e9ricaines ont saisi les fonds li\u00e9s \u00e0 ce syst\u00e8me aupr\u00e8s de Christina Chapman, ainsi que les salaires et les sommes accumul\u00e9es par plus de 19 travailleurs informatiques \u00e9trangers.
Une plateforme de recherche d’emploi pi\u00e8ge des entreprises peu m\u00e9fiantes<\/strong>
L’Ukrainien Oleksandr Didenko, 27 ans, a \u00e9t\u00e9 quant \u00e0 lui inculp\u00e9 pour avoir cr\u00e9\u00e9 pendant des ann\u00e9es de faux comptes sur des plateformes am\u00e9ricaines de recherche d’emploi dans le secteur des technologies de l’information et aupr\u00e8s de soci\u00e9t\u00e9s de transfert de fonds bas\u00e9es aux \u00c9tats-Unis. \u00ab Il a vendu les comptes \u00e0 des informaticiens non am\u00e9ricains, dont certains qu’il suspectait d’\u00eatre nord-cor\u00e9ens, et ils ont utilis\u00e9 ces fausses identit\u00e9s pour postuler \u00e0 des emplois aupr\u00e8s d’entreprises peu m\u00e9fiantes \u00bb, selon le DoJ<\/a>. Oleksandr Didenko, qui a \u00e9t\u00e9 arr\u00eat\u00e9 en Pologne en mai dernier, fait l’objet d’une proc\u00e9dure d’extradition vers les \u00c9tats-Unis. Les autorit\u00e9s am\u00e9ricaines ont saisi le domaine upworksell.com de sa soci\u00e9t\u00e9.
La fa\u00e7on dont ce type de fraude s’exerce dans une entreprise cibl\u00e9e a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9e – un comble – par le t\u00e9moignage du fournisseur de solutions de sensibilisation \u00e0 la s\u00e9curit\u00e9 KnowBe4<\/a>. Ce dernier a en effet reconnu en juillet avoir embauch\u00e9 \u00e0 son insu un espion informatique nord-cor\u00e9en. Le nouvel employ\u00e9 a \u00e9t\u00e9 rapidement rep\u00e9r\u00e9 apr\u00e8s avoir infect\u00e9 son ordinateur portable professionnel avec des logiciels malveillants, avant de dispara\u00eetre lorsque l’incident a \u00e9t\u00e9 d\u00e9tect\u00e9 et de refuser de dialoguer avec les \u00e9quipes de s\u00e9curit\u00e9. L’ing\u00e9nieur logiciel, embauch\u00e9 pour rejoindre l’\u00e9quipe IA interne de KnowBe4, avait r\u00e9ussi ses entretiens vid\u00e9o et ses ant\u00e9c\u00e9dents avaient \u00e9t\u00e9 v\u00e9rifi\u00e9s.
\u00ab Le candidat utilisait une identit\u00e9 am\u00e9ricaine valide, mais vol\u00e9e \u00bb, a pr\u00e9cis\u00e9 l’\u00e9diteur. Il s’est av\u00e9r\u00e9 par la suite que la photo figurant sur sa candidature avait \u00e9t\u00e9 \u00e9dit\u00e9e \u00e0 l’aide d’outils d’intelligence artificielle \u00e0 partir d’une image standard. Le nouvel employ\u00e9 n’a cependant pas termin\u00e9 son processus d’int\u00e9gration et n’avait donc pas acc\u00e8s aux syst\u00e8mes de KnowBe4. Il n’y a donc pas eu de violation de donn\u00e9es. \u00ab Aucun acc\u00e8s ill\u00e9gal n’a \u00e9t\u00e9 obtenu et aucune donn\u00e9e n’a \u00e9t\u00e9 perdue, compromise ou exfiltr\u00e9e sur les syst\u00e8mes de KnowBe4 \u00bb, selon l’\u00e9diteur, qui consid\u00e8re l’incident comme une le\u00e7on \u00e0 retenir.
Un kit d’espion infiltr\u00e9 pr\u00eat \u00e0 l’emploi d\u00e9couvert sur Github<\/strong>
Un nombre croissant de preuves sugg\u00e8re que KnowBe4 n’est qu’une des nombreuses organisations cibl\u00e9es par les informaticiens nord-cor\u00e9ens sous couverture. En novembre dernier, l’\u00e9diteur de solutions de s\u00e9curit\u00e9 Palo Alto a indiqu\u00e9 que les repr\u00e9sentants de la menace nord-cor\u00e9enne cherchaient activement des emplois <\/a>aupr\u00e8s d’organisations bas\u00e9es aux \u00c9tats-Unis et dans d’autres parties du monde. Au cours d’une enqu\u00eate sur une campagne de cyberespionnage, les chercheurs de Palo Alto ont d\u00e9couvert un d\u00e9p\u00f4t GitHub contenant de faux CV, des questions et r\u00e9ponses \u00e0 des entretiens d’embauche, un scan de carte de r\u00e9sident permanent am\u00e9ricaine vol\u00e9e et des copies d’offres d’emploi dans le domaine des technologies de l’information \u00e9manant d’entreprises am\u00e9ricaines, entre autres ressources.
Selon Palo Alto, les CV contenus dans ces fichiers indiquent qu’un large \u00e9ventail d’entreprises am\u00e9ricaines et de march\u00e9s de l’emploi ind\u00e9pendants avaient \u00e9t\u00e9 cibl\u00e9s. Mandiant, la soci\u00e9t\u00e9 de renseignements sur les menaces appartenant \u00e0 Google, a signal\u00e9 l’ann\u00e9e derni\u00e8re que \u00ab des milliers de travailleurs informatiques hautement qualifi\u00e9s de Cor\u00e9e du Nord <\/a>\u00bb \u00e9taient ainsi \u00e0 la recherche d’un emploi.
\u00ab Ces informaticiens obtiennent des contrats en freelance aupr\u00e8s de clients du monde entier […] et bien qu’ils r\u00e9alisent principalement des t\u00e2ches l\u00e9gales, ils abusent de leurs acc\u00e8s pour permettre des cyber-intrusions men\u00e9es par la Cor\u00e9e du Nord \u00bb, confirme Mandiant. Les adresses \u00e9lectroniques utilis\u00e9es par Park Jin Hyok (PJH), un cyberespion nord-cor\u00e9en notoire li\u00e9 au d\u00e9veloppement de WannaCry et au tristement c\u00e9l\u00e8bre raid de 81 M$ sur la banque du Bangladesh, sont apparues sur des sites d’emploi avant l’inculpation de Park aux \u00c9tats-Unis pour cybercriminalit\u00e9. \u00ab Entre l’attaque de Sony [2014] et l’\u00e9mission du mandat d’arr\u00eat, PJH a \u00e9t\u00e9 rep\u00e9r\u00e9 sur des plateformes de recherche d’emploi aux c\u00f4t\u00e9s d’autres informaticiens de Cor\u00e9e du Nord \u00bb.
Plus r\u00e9cemment, CrowdStrike a rapport\u00e9 qu’un groupe nord-cor\u00e9en surnomm\u00e9 \u00ab\u00a0Famous Chollima\u00a0\u00bb avait infiltr\u00e9 plus de 100 entreprises avec de faux professionnels de l’informatique. Les faux employ\u00e9s de ce groupe, qu’on pr\u00e9sume li\u00e9 \u00e0 la RPDC et dont les cibles comprenaient des entreprises des secteurs de l’a\u00e9rospatiale, de la d\u00e9fense, du retail et de la high tech, principalement aux \u00c9tats-Unis, \u00e9taient suffisamment performants pour conserver leur emploi tout en tentant d’exfiltrer des donn\u00e9es et d’installer des outils de surveillance et de gestion \u00e0 distance (RMM) permettant \u00e0 de nombreuses adresses IP de se connecter aux syst\u00e8mes de leurs victimes.
Les entreprises europ\u00e9ennes \u00e9galement menac\u00e9es<\/strong>
En utilisant des chatbots, les recrues potentielles adaptent parfaitement leur CV et utilisent en outre des deepfakes cr\u00e9\u00e9s par l’IA pour se faire passer pour de vraies personnes. Crystal Morin, ancienne analyste du renseignement pour l’US Air Force devenue strat\u00e8ge en cybers\u00e9curit\u00e9 chez Sysdig, explique que la Cor\u00e9e du Nord vise principalement les entit\u00e9s du gouvernement am\u00e9ricain, les entrepreneurs de la d\u00e9fense et les entreprises technologiques qui recrutent des informaticiens.
Selon elle, \u00ab les entreprises europ\u00e9ennes et d’autres pays occidentaux sont \u00e9galement en danger. Les informaticiens nord-cor\u00e9ens tentent de trouver un emploi soit pour des raisons financi\u00e8res – pour financer le programme d’armement de l’\u00c9tat -, soit pour faire du cyberespionnage. Ils essaient aussi parfois de se faire recruter dans des entreprises technologiques afin de voler leur propri\u00e9t\u00e9 intellectuelle, puis de l’utiliser pour cr\u00e9er leurs propres technologies de contrefa\u00e7on. Ce sont de vraies personnes avec de vraies comp\u00e9tences en d\u00e9veloppement de logiciels et il n’est donc pas toujours facile de les d\u00e9tecter \u00bb.
Naushad Uzzaman, cofondateur et directeur technique de Blackbird.AI, ajoute que, bien que la technologie de falsification de vid\u00e9os en temps r\u00e9el ne soit \u00ab pas encore mature \u00bb, les avanc\u00e9es ne feront probablement que faciliter la vie de ces faux candidats \u00e0 l’emploi. \u00ab On peut imaginer quelque chose comme un filtre Snapchat pour se pr\u00e9senter comme quelqu’un d’autre, imagine-t-il. Cependant, m\u00eame si cela se produisait, il y aurait probablement des d\u00e9fauts dans la vid\u00e9o qui montreraient des signes r\u00e9v\u00e9lateurs de falsification \u00bb.
L’indispensable renforcement du contr\u00f4le des recrutements<\/strong>
Les DSI et les RSSI doivent collaborer avec leurs coll\u00e8gues des RH afin d’examiner de plus pr\u00e8s les candidats. Voici quelques suggestions : organiser des vid\u00e9oconf\u00e9rences en direct avec les candidats potentiels au travail \u00e0 distance et les interroger sur leurs projets professionnels, rechercher les incoh\u00e9rences de carri\u00e8re dans les CV, v\u00e9rifier les r\u00e9f\u00e9rences en appelant le contact fourni, confirmer l’adresse de r\u00e9sidence, examiner et renforcer les contr\u00f4les d’acc\u00e8s et les processus d’authentification, surveiller l’\u00e9quipement fourni pour l’acc\u00e8s \u00e0 distance. Car les contr\u00f4les doivent aussi se poursuivre post-embauche. Selon KnowBe4, les employeurs doivent aussi se m\u00e9fier de l’utilisation sophistiqu\u00e9e de VPN ou de machines virtuelles pour acc\u00e9der au syst\u00e8me de l’entreprise. Pour eux, l’utilisation de num\u00e9ros VoIP et l’absence d’empreinte num\u00e9rique pour les informations de contact fournies sont d’autres signaux d’alerte.
David Feligno, recruteur technique en chef chez Huntress, fournisseur de services manag\u00e9s, livre quelques pr\u00e9cisions sur ses m\u00e9thodes : \u00ab nous avons un processus en plusieurs \u00e9tapes pour v\u00e9rifier un profil quand il semble trop beau pour \u00eatre vrai. C’est-\u00e0-dire si cette personne vole le profil de quelqu’un d’autre et le revendique comme le sien, ou si elle ment simplement au sujet de son lieu de r\u00e9sidence actuel. Nous v\u00e9rifions d’abord si le candidat a fourni un profil LinkedIn que nous pouvons comparer \u00e0 son CV actuel. Si nous constatons que la localisation du profil ne correspond pas \u00e0 celle du CV, nous savons qu’il s’agit d’un faux CV. Si les deux sont identiques, il faut n\u00e9anmoins s’assurer que cette personne n’a pas cr\u00e9\u00e9 de profil LinkedIn r\u00e9cemment ou qu’elle a bien des relations et des followers. \u00bb Huntress v\u00e9rifie \u00e9galement que le num\u00e9ro de t\u00e9l\u00e9phone fourni par le candidat est valide et lance une recherche Google sur lui.
Former toutes les \u00e9quipes de recrutement<\/strong>
\u00ab Toutes ces v\u00e9rifications font gagner beaucoup de temps, insiste David Feligno. Car si quelque chose ne correspond pas \u00e0 la r\u00e9alit\u00e9, vous saurez que vous avez affaire \u00e0 un faux profil, et cela arrive souvent ! \u00bb Pour Brian Jack, RSSI de KnowBe4, toutes les organisations devraient se pr\u00e9occuper de ce sujet. \u00ab Les RSSI devraient examiner le profil de chaque candidat pour s’assurer qu’il n’y a pas de faille dans le processus, juge-t-il. Les RSSI devraient d’ailleurs revoir les processus d’embauche de l’organisation et s’assurer que leurs pratiques globales de gestion des risques englobent l’embauche. \u00bb
Les \u00e9quipes de recrutement devraient, de leur c\u00f4t\u00e9, \u00eatre form\u00e9es \u00e0 une v\u00e9rification approfondie des CV et des r\u00e9f\u00e9rences pour s’assurer que la personne interrog\u00e9e est bien celle qu’elle pr\u00e9tend \u00eatre, conseille Brian Jack. Le mieux serait de rencontrer les candidats en personne, munis d’une pi\u00e8ce d’identit\u00e9 d\u00e9livr\u00e9e par le gouvernement, ou de faire appel \u00e0 des agents de confiance, tels que des soci\u00e9t\u00e9s de v\u00e9rification des ant\u00e9c\u00e9dents, d’autant plus que l’IA entre en jeu dans les programmes de recrutement de ce type. \u00ab En tant que responsable du recrutement, je pose par exemple des questions auxquelles il serait difficile de se pr\u00e9parer et auxquelles il serait difficile \u00e0 l’IA de r\u00e9pondre \u00e0 la vol\u00e9e, mais dont une personne pourrait facilement parler si elle \u00e9tait bien celle qu’elle pr\u00e9tend \u00eatre \u00bb, poursuit Brian Jack.<\/p>\n\n\n\n