L'escroquerie nord-coréenne impliquant des faux informaticiens a rapporté au moins 88 millions de dollars en six ans, selon le ministère américain de la Justice. Des travailleurs nord-coréens se faisaient passer pour des techniciens à distance en dissimulant leur véritable identité et emplacement, et ciblaient des entreprises, souvent des sociétés informatiques, pour extorquer de l'argent ou voler des données sensibles. Ces « guerriers de l'informatique » ont utilisé des identités fictives et des faux sites web pour obtenir des emplois et exiger des paiements en échange de leur silence ou de la non-divulgation d'informations volées.Deux entreprises, Yanbian Silverstar en Chine et Volasys Silverstar en Russie, sont identifiées comme ayant facilité cette opération en employant plus de 130 informaticiens nord-coréens. Ces derniers auraient dû générer un revenu de 93,6 millions de dollars sur six ans, avec des objectifs mensuels de 10 000 dollars par technicien. En parallèle, des extorsions plus violentes ont eu lieu avec des demandes de rançons en cryptomonnaies.
Le FBI et le Département d'État américain ont intensifié leurs efforts pour démanteler ce réseau, en offrant une récompense pour toute information perturbant ces activités. Cependant, malgré l'identification des responsables, la menace reste active, le gouvernement nord-coréen ayant formé des milliers d'informaticiens pour mener ces escroqueries à grande échelle.
Informaticiens nord-coréens impliqués dans un programme de fraude et d'extorsion
Un tribunal fédéral de Saint-Louis (Missouri) a inculpé 14 ressortissants de la République populaire démocratique de Corée du Nord (RPDC) pour leur implication dans une conspiration de longue durée visant à violer les sanctions américaines, ainsi que pour des actes de fraude électronique, de blanchiment d'argent et d'usurpation d'identité. Ces conspirateurs, travaillant pour les sociétés nord-coréennes Yanbian Silverstar et Volasys Silverstar, basées en Chine et en Russie, ont utilisé de fausses identités, des identités volées et des identités empruntées à des Américains pour se faire passer pour des informaticiens à distance travaillant pour des entreprises américaines et des organisations à but non lucratif. Pendant six ans, ils ont généré au moins 88 millions de dollars, en grande partie en volant des informations sensibles des entreprises, qu'ils utilisaient ensuite pour extorquer de l'argent.
Les conspirateurs, agissant sous la direction de leurs supérieurs, ont complété leurs revenus en menaçant de divulguer des informations confidentielles de leurs employeurs si ceux-ci refusaient de payer. Les fonds générés par ces activités ont été transférés par l'intermédiaire de systèmes financiers américains et chinois vers des comptes en Chine, alimentant ainsi les ressources du régime nord-coréen.
Le FBI met en lumière un stratagème informatique nord-coréen
En 2023, le FBI a révélé que la Corée du Nord avait mis en place, sur plusieurs années, un stratagème informatique permettant de tromper de nombreuses entreprises américaines en faisant travailler des informaticiens à distance pour elles. Les salaires perçus par ces travailleurs étaient ensuite envoyés en Corée du Nord pour financer le programme de missiles balistiques du pays.
Selon un reportage de l'Associated Press, ces informaticiens ont utilisé diverses méthodes pour duper les entreprises américaines. Déployés dans des pays comme la Chine et la Russie, ils ont signé des contrats pour travailler à distance pour des sociétés basées aux États-Unis. Jay Greenberg, agent spécial du FBI à Saint-Louis, a expliqué que ces travailleurs ont mis en œuvre plusieurs stratégies pour simuler qu’ils travaillaient depuis les États-Unis. Par exemple, certains ont payé des Américains pour utiliser leur connexion Wi-Fi afin de dissimuler leur localisation réelle.
Le stratagème a permis de générer des millions de dollars annuellement pour des entités liées à la Corée du Nord, comme le ministère de la Défense, grâce à l’utilisation de faux comptes de messagerie, de médias sociaux, de plateformes de paiement, de sites d’emploi en ligne et de faux sites web. Les informaticiens ont également utilisé des ordinateurs mandataires situés aux États-Unis et ailleurs.
En plus de financer le programme d'armement, ce système a permis aux cybercriminels nord-coréens d'infiltrer les réseaux informatiques d'entreprises américaines pour voler des données sensibles et en conserver l'accès, avec l'intention de mener des piratages et des extorsions futures.
En réponse à cette menace, le ministère de la Justice a publié en 2023 une liste de signes susceptibles de signaler la présence de ces travailleurs nord-coréens dans les entreprises américaines. Parmi ces indicateurs, on trouve l’incapacité ou le refus de se soumettre à des entretiens vidéo, une réticence à passer des tests de dépistage de drogues ou à participer à des réunions en personne, ainsi que des incohérences dans les informations fournies, telles que des adresses personnelles et des profils en ligne discordants. Des demandes de paiement anticipé ou une formation académique douteuse dans des universités chinoises, japonaises ou singapouriennes peuvent aussi être des signes d’alerte.
Le FBI a mis en garde les entreprises contre la fréquence de ce stratagème, les incitant à redoubler de vigilance lorsqu’elles recrutent des travailleurs à distance. D'autres entreprises américaines pourraient également avoir été ciblées par des informaticiens travaillant pour la Corée du Nord ou d'autres pays.
Les dangers de la fraude informatique menée par la Corée du Nord
Les autorités américaines soulignent que l'inculpation des 14 ressortissants nord-coréens illustre l'ingéniosité du régime dans son utilisation de travailleurs informatiques pour générer des revenus par la fraude. Lisa Monaco, procureure générale adjointe, a averti les entreprises du monde entier de rester vigilantes face à cette menace malveillante. Le procureur général adjoint Matthew G. Olsen a précisé que cette action s'inscrit dans le cadre d'une initiative visant à perturber les efforts de la RPDC pour duper les entreprises américaines en embauchant ses citoyens pour travailler à distance, une activité dangereuse pour la cybersécurité, notamment à travers le vol d'informations sensibles à des fins d'extorsion.
Le FBI et les autorités compétentes continuent de lutter contre ces menaces, incitant les entreprises à renforcer leur surveillance des travailleurs informatiques à distance pour éviter le vol de données et la finance involontaire du régime nord-coréen. Les actions antérieures du Département à l'encontre de ce groupe comprennent.
- une saisie autorisée par le tribunal en janvier d'environ 320 000 dollars ;
- une saisie autorisée par le tribunal en juillet d'environ 444 800 dollars ;
- des saisies autorisées par le tribunal annoncées précédemment en octobre 2022 et janvier 2023 d'environ 1,5 million de dollars ;
- des saisies autorisées par le tribunal annoncées précédemment en octobre 2023 et mai 2024 de 29 domaines Internet utilisés par le même groupe pour accroître la bonne foi et l'attrait de leurs identités présumées auprès d'employeurs potentiels.
En plus de ces mesures, le département d'État a annoncé une offre de récompense allant jusqu'à 5 millions de dollars pour des informations sur ces sociétés, les individus identifiés, leurs activités illicites et/ou celles des individus et entités qui leur sont associés.
Le programme Rewards for Justice et la lutte contre l'escroquerie nord-coréenne
Le programme « Rewards for Justice » du département d'État américain offre des récompenses pour des informations permettant de perturber les mécanismes financiers des personnes impliquées dans des activités soutenant le gouvernement nord-coréen. Cela inclut notamment les revenus générés par les travailleurs hautement qualifiés envoyés à l'étranger par la Corée du Nord. Ces travailleurs, souvent des informaticiens, sont employés pour violer les sanctions internationales en trompant des entreprises américaines et étrangères.
Les revenus générés servent à financer le régime de la République populaire démocratique de Corée (RPDC), contribuant ainsi indirectement à ses programmes de développement d'armements interdits par l'ONU. Le FBI et ses partenaires ont mis en lumière que ces travailleurs pouvaient gagner jusqu'à 300 000 dollars par an, générant des centaines de millions de dollars annuellement pour la Corée du Nord.
Les conspirateurs nord-coréens ont déployé diverses méthodes pour masquer leur identité et éviter d’être détectés par leurs employeurs. Ils ont utilisé des identités volées et falsifié des sites web, des comptes de messagerie et des plateformes de recrutement pour se faire passer pour des travailleurs qualifiés. Pour dissimuler leur localisation, ils ont installé des ordinateurs portables aux États-Unis via des « fermes d'ordinateurs portables », permettant ainsi aux informaticiens de travailler à distance depuis la Corée du Nord tout en donnant l'illusion d'être présents aux États-Unis.
En outre, certains informaticiens ont extorqué des paiements supplémentaires à leurs employeurs en menaçant de divulguer des informations confidentielles. Les conspirateurs font face à des accusations de fraude, de blanchiment d'argent et d'usurpation d'identité, avec des peines potentielles allant jusqu'à 27 ans de prison. L'enquête, dirigée par le FBI, met en évidence l'ampleur de cette opération et les risques persistants liés à ces escroqueries.
Ce sujet soulève plusieurs questions importantes concernant la cybercriminalité organisée, les sanctions internationales et la protection des entreprises contre les menaces étrangères. Voici quelques éléments de réflexion sur ce cas d'escroquerie nord-coréenne impliquant des faux informaticiens.
L'escroquerie orchestrée par la Corée du Nord, notamment par le biais de faux informaticiens, met en lumière la sophistication croissante des cyberattaques étatiques. Le fait que des travailleurs nord-coréens aient pu se faire passer pour des employés à distance auprès d'entreprises internationales pendant plusieurs années soulève des préoccupations sur les vulnérabilités existantes dans les systèmes de recrutement et la gestion des travailleurs à distance. Les entreprises, souvent dans le secteur informatique, sont particulièrement exposées à ces menaces, car elles traitent quotidiennement des données sensibles et gèrent des systèmes de haut niveau qui, s'ils sont compromis, peuvent causer des dommages considérables.
Le recours à des identités volées, à des faux sites web et à des pratiques de dissimulation avancées montre l’ingéniosité des opérateurs, mais aussi la difficulté pour les entreprises et les gouvernements de détecter ces menaces avant qu’elles ne causent des dégâts. Ce cas démontre que la cybersécurité est désormais un enjeu global et que la vigilance des entreprises doit être constante, surtout lorsqu'elles font appel à des travailleurs distants dans un contexte international.
La portée des extorsions et les implications pour la politique internationale
Le montant de 88 millions de dollars généré par cette escroquerie en six ans témoigne de l’ampleur de la fraude, mais aussi de la manière dont la Corée du Nord utilise des moyens de financement détournés pour soutenir son régime. En recourant à l'extorsion par cryptomonnaie, les auteurs de l'escroquerie ont exploité une forme de paiement difficile à tracer, ce qui complique l'effort des autorités internationales pour identifier les bénéficiaires et interrompre ces flux financiers. Cela montre également à quel point les réseaux criminels peuvent être interconnectés avec des stratégies étatiques visant à contourner les sanctions internationales.
Le rôle des entreprises comme Yanbian Silverstar et Volasys Silverstar, facilitant l’opération en employant les travailleurs nord-coréens, soulève aussi des questions sur les mécanismes de contrôle dans les pays tiers. Bien que ces entreprises soient situées en Chine et en Russie, elles ont joué un rôle central dans la mise en œuvre de ce programme de fraude, ce qui indique un besoin urgent de coopération internationale et d'une réglementation plus stricte des activités transfrontalières en matière de cybersécurité.
Une menace persistante malgré les efforts de répression
Malgré les efforts du FBI et du Département d'État pour démanteler ce réseau, la menace reste persistante. Comme le souligne l'agent spécial du FBI, le gouvernement nord-coréen a formé et déployé des milliers d'informaticiens pour mener des escroqueries similaires à grande échelle, ce qui laisse entendre que cette opération n'est que la partie visible d'un problème beaucoup plus vaste. Les gouvernements occidentaux, en particulier les États-Unis, se retrouvent dans une situation délicate : bien qu’ils identifient et poursuivent ces réseaux, la nature décentralisée et les moyens sophistiqués employés par ces acteurs rendent difficile la neutralisation complète de cette menace.
De plus, l'accent mis sur l’utilisation de cryptomonnaies pour l’extorsion montre à quel point les technologies modernes, bien qu'elles offrent des avantages indéniables, sont aussi un terrain fertile pour la criminalité internationale. Cela soulève des interrogations sur la régulation des cryptomonnaies, qui, en l'état actuel, restent en grande partie non surveillées par les autorités financières internationales.
Cette affaire souligne l'importance d'une collaboration renforcée entre les entreprises, les autorités nationales et les acteurs internationaux pour contrer la menace grandissante de la cybercriminalité étatique. Si l'inculpation des responsables constitue un pas important, la menace nord-coréenne ne disparaîtra pas de sitôt. Les entreprises doivent être particulièrement vigilantes dans leurs processus de recrutement, et les gouvernements doivent intensifier leurs efforts pour réglementer les flux financiers mondiaux et mettre en place des protocoles de sécurité plus robustes contre les attaques de ce type. La cybersécurité est désormais une priorité mondiale et doit être traitée comme telle pour éviter de futures attaques de grande envergure.
Sources : U.S. Department of Justice (1, 2), U.S District Court
Et vous ?
Quel est votre avis sur le sujet ? Dans quelle mesure les mesures de cybersécurité des entreprises, notamment dans le secteur technologique, sont-elles suffisantes pour identifier et contrer de telles menaces ? Quelles améliorations devraient être apportées pour éviter que de telles escroqueries ne se reproduisent ? Quelle est la responsabilité des entreprises qui ont facilité cette escroquerie en recrutant des travailleurs étrangers sans effectuer de vérifications approfondies ? Existe-t-il une négligence ou un manque de diligence de la part de ces entreprises dans la prévention de la fraude ? Quels sont les impacts à long terme de cette escroquerie pour la réputation et la sécurité des entreprises victimes ? Comment ces entreprises peuvent-elles récupérer la confiance des clients et partenaires après une telle violation de leurs données ?Voir aussi :
Le FBI affirme que la Corée du Nord a déployé des milliers de faux informaticiens US pour financer son programme d'armement, ce stratagème nord-coréen aurait généré des millions de dollars Kim Jong Un maintenu au pouvoir par une armée croissante de pirates informatiques, la Corée du Nord compte sur la cybercriminalité pour financer les armes nucléaires et soutenir l'économie Des faux tests de compétences en codage Python pour les développeurs à la recherche d'un nouvel emploi font installer des paquets de logiciels malveillants de Corée du Nord