Comment éviter d'embaucher un espion nord-coréen déguisé en informaticien
Selon les autorités américaines, des spécialistes du sujet et des entreprises visées, de plus en plus de candidats informaticiens se révèlent être des "taupes", souvent venues de Corée du Nord. Elles s'infiltrent sous de fausses identités dans les effectifs des entreprises et dans leurs systèmes informatiques. Pour éviter cette menace, RSSI et DSI doivent renforcer vérifications et contrôles.
PublicitéLes RSSI qui cherchent à recruter de nouveaux informaticiens sont déjà confrontés à la pénurie de profils sur le marché et à la nécessité de combler les déficits de compétences en matière de cybersécurité. Mais il leur faut désormais affronter une nouvelle menace plus inattendue. Des développeurs nord-coréens violent les sanctions prises contre leur pays et se font passer pour des candidats potentiels. La Corée du Nord infiltre ainsi activement les entreprises occidentales via ces informaticiens qualifiés qui se font passer pour des télétravailleurs auprès de ces organisations, généralement - mais pas exclusivement - aux États-Unis.
Ils utilisent de fausses identités, souvent volées à de vrais citoyens américains, pour postuler à des contrats d'indépendants ou à des postes à distance. Ces stratagèmes constituent une des méthodes déployées par le régime nord-coréen pour générer des revenus illicites, alors qu'il fait l'objet de sanctions financières en raison de son programme d'armement nucléaire. Ils s'inscrivent aussi dans le cadre des activités de cyberespionnage du pays.
Des tactiques identifiées depuis 2022
C'est en 2022 que le Trésor américain a mis en garde pour la première fois contre ce type de tactique. Des milliers d'informaticiens hautement qualifiés profitent en effet de la forte demande en développeurs pour obtenir des contrats d'indépendants auprès de clients du monde entier, notamment en Amérique du Nord, en Europe et en Asie du Sud-Est. « Bien que ces informaticiens de la RPDC [Corée du Nord] ne s'adonnent pas directement à des cyberactivités malveillantes, ils utilisent les accès privilégiés obtenus en tant que sous-traitants pour faciliter les cyber-intrusions malveillantes de la RPDC », mettait alors en garde le ministère.
« Ils s'appuient souvent sur leurs contacts à l'étranger pour obtenir des emplois en freelance et pour être mis en contact direct avec des clients », poursuivait le Trésor américain. Ces citoyens nord-coréens se présentent comme des Sud-Coréens, des Chinois, des Japonais ou encore des Européens de l'Est, et comme des télétravailleurs basés aux États-Unis. Dans certains cas, ils dissimulent encore davantage leur identité en signant des contrats avec des sous-traitants tiers. Deux ans après ce premier avertissement du Trésor américain, de plus en plus d'exemples de mise en pratique de cette ruse sont mis au jour.
Un groupe de plusieurs milliers d'informaticiens espions démantelé
Christina Chapman, résidente de l'Arizona, est par exemple accusée de fraude dans le cadre d'un système complexe de ce type, qui aurait permis à des informaticiens nord-coréens de se faire passer pour des citoyens et résidents américains en utilisant des identités volées et ainsi obtenir des emplois dans plus de 300 entreprises américaines. Ces informaticiens ont utilisé des plateformes de paiement et des sites de recrutement en ligne américains pour obtenir abusivement des postes dans ces organisations, dont une grande chaîne de télévision, un constructeur automobile, une entreprise technologique de la Silicon Valley et un industriel de l'aérospatiale.
Publicité« Certaines de ces entreprises ont été délibérément ciblées par un groupe de travailleurs informatiques de la RPDC », selon les procureurs américains, qui ajoutent que deux agences gouvernementales américaines ont été visées, mais sans succès. Selon l'acte d'accusation du ministère de la Justice (DoJ), dévoilé en mai 2024, Christina Chapman pilotait une ferme d'ordinateurs portables, hébergeant les ordinateurs des travailleurs informatiques étrangers à son domicile de manière à donner l'impression que ceux-ci se trouvaient aux États-Unis. Elle recevait et falsifiait des chèques de paie et blanchissait les paiements par dépôt direct des salaires sur des comptes bancaires qu'elle contrôlait.
Selon les procureurs, un grand nombre des travailleurs étrangers de sa cellule étaient originaires de Corée du Nord. On estime à 6,8 millions de dollars les sommes versées pour ce travail, dont une grande partie a été faussement déclarée aux autorités fiscales au nom de 60 citoyens américains réels dont l'identité a été soit volée, soit empruntée. Les autorités américaines ont saisi les fonds liés à ce système auprès de Christina Chapman, ainsi que les salaires et les sommes accumulées par plus de 19 travailleurs informatiques étrangers.
Une plateforme de recherche d'emploi piège des entreprises peu méfiantes
L'Ukrainien Oleksandr Didenko, 27 ans, a été quant à lui inculpé pour avoir créé pendant des années de faux comptes sur des plateformes américaines de recherche d'emploi dans le secteur des technologies de l'information et auprès de sociétés de transfert de fonds basées aux États-Unis. « Il a vendu les comptes à des informaticiens non américains, dont certains qu'il suspectait d'être nord-coréens, et ils ont utilisé ces fausses identités pour postuler à des emplois auprès d'entreprises peu méfiantes », selon le DoJ. Oleksandr Didenko, qui a été arrêté en Pologne en mai dernier, fait l'objet d'une procédure d'extradition vers les États-Unis. Les autorités américaines ont saisi le domaine upworksell.com de sa société.
La façon dont ce type de fraude s'exerce dans une entreprise ciblée a été révélée - un comble - par le témoignage du fournisseur de solutions de sensibilisation à la sécurité KnowBe4. Ce dernier a en effet reconnu en juillet avoir embauché à son insu un espion informatique nord-coréen. Le nouvel employé a été rapidement repéré après avoir infecté son ordinateur portable professionnel avec des logiciels malveillants, avant de disparaître lorsque l'incident a été détecté et de refuser de dialoguer avec les équipes de sécurité. L'ingénieur logiciel, embauché pour rejoindre l'équipe IA interne de KnowBe4, avait réussi ses entretiens vidéo et ses antécédents avaient été vérifiés.
« Le candidat utilisait une identité américaine valide, mais volée », a précisé l'éditeur. Il s'est avéré par la suite que la photo figurant sur sa candidature avait été éditée à l'aide d'outils d'intelligence artificielle à partir d'une image standard. Le nouvel employé n'a cependant pas terminé son processus d'intégration et n'avait donc pas accès aux systèmes de KnowBe4. Il n'y a donc pas eu de violation de données. « Aucun accès illégal n'a été obtenu et aucune donnée n'a été perdue, compromise ou exfiltrée sur les systèmes de KnowBe4 », selon l'éditeur, qui considère l'incident comme une leçon à retenir.
Un kit d'espion infiltré prêt à l'emploi découvert sur Github
Un nombre croissant de preuves suggère que KnowBe4 n'est qu'une des nombreuses organisations ciblées par les informaticiens nord-coréens sous couverture. En novembre dernier, l'éditeur de solutions de sécurité Palo Alto a indiqué que les représentants de la menace nord-coréenne cherchaient activement des emplois auprès d'organisations basées aux États-Unis et dans d'autres parties du monde. Au cours d'une enquête sur une campagne de cyberespionnage, les chercheurs de Palo Alto ont découvert un dépôt GitHub contenant de faux CV, des questions et réponses à des entretiens d'embauche, un scan de carte de résident permanent américaine volée et des copies d'offres d'emploi dans le domaine des technologies de l'information émanant d'entreprises américaines, entre autres ressources.
Selon Palo Alto, les CV contenus dans ces fichiers indiquent qu'un large éventail d'entreprises américaines et de marchés de l'emploi indépendants avaient été ciblés. Mandiant, la société de renseignements sur les menaces appartenant à Google, a signalé l'année dernière que « des milliers de travailleurs informatiques hautement qualifiés de Corée du Nord » étaient ainsi à la recherche d'un emploi.
« Ces informaticiens obtiennent des contrats en freelance auprès de clients du monde entier [...] et bien qu'ils réalisent principalement des tâches légales, ils abusent de leurs accès pour permettre des cyber-intrusions menées par la Corée du Nord », confirme Mandiant. Les adresses électroniques utilisées par Park Jin Hyok (PJH), un cyberespion nord-coréen notoire lié au développement de WannaCry et au tristement célèbre raid de 81 M$ sur la banque du Bangladesh, sont apparues sur des sites d'emploi avant l'inculpation de Park aux États-Unis pour cybercriminalité. « Entre l'attaque de Sony [2014] et l'émission du mandat d'arrêt, PJH a été repéré sur des plateformes de recherche d'emploi aux côtés d'autres informaticiens de Corée du Nord ».
Plus récemment, CrowdStrike a rapporté qu'un groupe nord-coréen surnommé "Famous Chollima" avait infiltré plus de 100 entreprises avec de faux professionnels de l'informatique. Les faux employés de ce groupe, qu'on présume lié à la RPDC et dont les cibles comprenaient des entreprises des secteurs de l'aérospatiale, de la défense, du retail et de la high tech, principalement aux États-Unis, étaient suffisamment performants pour conserver leur emploi tout en tentant d'exfiltrer des données et d'installer des outils de surveillance et de gestion à distance (RMM) permettant à de nombreuses adresses IP de se connecter aux systèmes de leurs victimes.
Les entreprises européennes également menacées
En utilisant des chatbots, les recrues potentielles adaptent parfaitement leur CV et utilisent en outre des deepfakes créés par l'IA pour se faire passer pour de vraies personnes. Crystal Morin, ancienne analyste du renseignement pour l'US Air Force devenue stratège en cybersécurité chez Sysdig, explique que la Corée du Nord vise principalement les entités du gouvernement américain, les entrepreneurs de la défense et les entreprises technologiques qui recrutent des informaticiens.
Selon elle, « les entreprises européennes et d'autres pays occidentaux sont également en danger. Les informaticiens nord-coréens tentent de trouver un emploi soit pour des raisons financières - pour financer le programme d'armement de l'État -, soit pour faire du cyberespionnage. Ils essaient aussi parfois de se faire recruter dans des entreprises technologiques afin de voler leur propriété intellectuelle, puis de l'utiliser pour créer leurs propres technologies de contrefaçon. Ce sont de vraies personnes avec de vraies compétences en développement de logiciels et il n'est donc pas toujours facile de les détecter ».
Naushad Uzzaman, cofondateur et directeur technique de Blackbird.AI, ajoute que, bien que la technologie de falsification de vidéos en temps réel ne soit « pas encore mature », les avancées ne feront probablement que faciliter la vie de ces faux candidats à l'emploi. « On peut imaginer quelque chose comme un filtre Snapchat pour se présenter comme quelqu'un d'autre, imagine-t-il. Cependant, même si cela se produisait, il y aurait probablement des défauts dans la vidéo qui montreraient des signes révélateurs de falsification ».
L'indispensable renforcement du contrôle des recrutements
Les DSI et les RSSI doivent collaborer avec leurs collègues des RH afin d'examiner de plus près les candidats. Voici quelques suggestions : organiser des vidéoconférences en direct avec les candidats potentiels au travail à distance et les interroger sur leurs projets professionnels, rechercher les incohérences de carrière dans les CV, vérifier les références en appelant le contact fourni, confirmer l'adresse de résidence, examiner et renforcer les contrôles d'accès et les processus d'authentification, surveiller l'équipement fourni pour l'accès à distance. Car les contrôles doivent aussi se poursuivre post-embauche. Selon KnowBe4, les employeurs doivent aussi se méfier de l'utilisation sophistiquée de VPN ou de machines virtuelles pour accéder au système de l'entreprise. Pour eux, l'utilisation de numéros VoIP et l'absence d'empreinte numérique pour les informations de contact fournies sont d'autres signaux d'alerte.
David Feligno, recruteur technique en chef chez Huntress, fournisseur de services managés, livre quelques précisions sur ses méthodes : « nous avons un processus en plusieurs étapes pour vérifier un profil quand il semble trop beau pour être vrai. C'est-à-dire si cette personne vole le profil de quelqu'un d'autre et le revendique comme le sien, ou si elle ment simplement au sujet de son lieu de résidence actuel. Nous vérifions d'abord si le candidat a fourni un profil LinkedIn que nous pouvons comparer à son CV actuel. Si nous constatons que la localisation du profil ne correspond pas à celle du CV, nous savons qu'il s'agit d'un faux CV. Si les deux sont identiques, il faut néanmoins s'assurer que cette personne n'a pas créé de profil LinkedIn récemment ou qu'elle a bien des relations et des followers. » Huntress vérifie également que le numéro de téléphone fourni par le candidat est valide et lance une recherche Google sur lui.
Former toutes les équipes de recrutement
« Toutes ces vérifications font gagner beaucoup de temps, insiste David Feligno. Car si quelque chose ne correspond pas à la réalité, vous saurez que vous avez affaire à un faux profil, et cela arrive souvent ! » Pour Brian Jack, RSSI de KnowBe4, toutes les organisations devraient se préoccuper de ce sujet. « Les RSSI devraient examiner le profil de chaque candidat pour s'assurer qu'il n'y a pas de faille dans le processus, juge-t-il. Les RSSI devraient d'ailleurs revoir les processus d'embauche de l'organisation et s'assurer que leurs pratiques globales de gestion des risques englobent l'embauche. »
Les équipes de recrutement devraient, de leur côté, être formées à une vérification approfondie des CV et des références pour s'assurer que la personne interrogée est bien celle qu'elle prétend être, conseille Brian Jack. Le mieux serait de rencontrer les candidats en personne, munis d'une pièce d'identité délivrée par le gouvernement, ou de faire appel à des agents de confiance, tels que des sociétés de vérification des antécédents, d'autant plus que l'IA entre en jeu dans les programmes de recrutement de ce type. « En tant que responsable du recrutement, je pose par exemple des questions auxquelles il serait difficile de se préparer et auxquelles il serait difficile à l'IA de répondre à la volée, mais dont une personne pourrait facilement parler si elle était bien celle qu'elle prétend être », poursuit Brian Jack.
Article rédigé par
John Leyden, CSO Online (adapté par E.Delsol)
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire