À l’ère de l’intelligence artificielle générative, une nouvelle menace émerge silencieusement dans le monde du recrutement : des candidats qui ne sont pas ceux qu’ils prétendent être. Grâce à une panoplie d’outils technologiques, certains individus réussissent à fabriquer de faux profils professionnels, à générer des pièces d’identité numériques truquées, voire à se faire aider en temps réel pendant les entretiens d’embauche. Cette tendance, encore marginale il y a quelques années, commence à inquiéter sérieusement les recruteurs, notamment dans les secteurs technologiques et les emplois en télétravail. L’objectif : décrocher un poste, parfois très qualifié, sans en avoir ni les compétences, ni l’identité réelle.Lorsque la startup Pindrop Security, spécialisée dans l'authentification vocale, a publié une offre d'emploi, un candidat s'est démarqué des centaines d'autres.
Le candidat, un codeur russe nommé Ivan, semblait avoir toutes les qualifications requises pour le poste d'ingénieur principal. Cependant, lors de l'entretien vidéo du mois dernier, le recruteur de Pindrop a remarqué que les expressions faciales d'Ivan n'étaient pas du tout en phase avec ses paroles.
C'est parce que le candidat, que l'entreprise a depuis surnommé « Ivan X », était un escroc qui utilisait des logiciels de deepfake et d'autres outils d'IA générative pour tenter de se faire embaucher par l'entreprise technologique, a déclaré le PDG et cofondateur de Pindrop, Vijay Balasubramaniyan.
« L'IA a brouillé la frontière entre ce qu'est un être humain et ce qu'est une machine », a déclaré Balasubramaniyan. « Ce que nous constatons, c'est que des personnes utilisent ces fausses identités, ces faux visages et ces fausses voix pour obtenir un emploi, allant même parfois jusqu'à échanger leur visage avec celui d'une autre personne qui se présente pour le poste ».
Les entreprises luttent depuis longtemps contre les attaques de pirates informatiques qui espèrent exploiter les failles de leurs logiciels, de leurs employés ou de leurs fournisseurs. Aujourd'hui, une autre menace est apparue : Des candidats à l'emploi qui ne sont pas ce qu'ils prétendent être et qui utilisent des outils d'intelligence artificielle pour fabriquer des photos d'identité, générer des historiques d'emploi et fournir des réponses lors des entretiens d'embauche.
Selon le cabinet de recherche et de conseil Gartner, l'essor des profils générés par l'IA signifie que d'ici 2028, un candidat à l'emploi sur quatre sera un faux.
Le risque pour une entreprise d'engager un faux demandeur d'emploi peut varier en fonction des intentions de la personne. Une fois embauché, l'imposteur peut installer un logiciel malveillant pour demander une rançon à l'entreprise, ou voler ses données clients, ses secrets commerciaux ou ses fonds, selon Balasubramaniyan. Dans de nombreux cas, les employés malhonnêtes perçoivent simplement un salaire qu'ils ne pourraient pas toucher autrement, a-t-il ajouté.
Une augmentation « massive »
Les entreprises de cybersécurité et de crypto-monnaies ont connu une récente recrudescence de faux demandeurs d'emploi, ont déclaré des experts du secteur. Comme ces entreprises recrutent souvent pour des postes à distance, elles constituent des cibles précieuses pour les acteurs malveillants, ont déclaré ces personnes.
Ben Sesser, PDG de BrightHire, a déclaré avoir entendu parler de ce problème pour la première fois il y a un an et que le nombre de candidats frauduleux avait « augmenté massivement » cette année. Sa société aide plus de 300 entreprises clientes dans les domaines de la finance, de la technologie et de la santé à évaluer des employés potentiels lors d'entretiens vidéo.
« Les humains sont généralement le maillon faible de la cybersécurité, et le processus d'embauche est un processus intrinsèquement humain, avec de nombreux transferts et de nombreuses personnes impliquées », a déclaré Sesser. « C'est devenu un point faible que les gens essaient d'exposer ».
Mais le problème ne se limite pas à l'industrie technologique. Plus de 300 entreprises américaines ont embauché par inadvertance des imposteurs ayant des liens avec la Corée du Nord pour des travaux informatiques, notamment une grande chaîne de télévision nationale, un fabricant de matériel de défense, un constructeur automobile et d'autres entreprises figurant au classement Fortune 500, selon les allégations du ministère de la justice en mai dernier.
Les travailleurs utilisaient des identités américaines volées pour postuler à des emplois à distance et déployaient des réseaux à distance et d'autres techniques pour masquer leur véritable emplacement, a déclaré le ministère de la justice. En fin de compte, ils envoyaient des millions de dollars de salaires à la Corée du Nord pour l'aider à financer son programme d'armement, selon le ministère de la justice.
Cette affaire, qui implique un réseau de complices présumés, dont un citoyen américain, n'a révélé qu'une petite partie de ce que les autorités américaines considèrent comme un réseau tentaculaire de milliers de travailleurs des technologies de l'information ayant des liens avec la Corée du Nord. Depuis, le ministère de la justice a déposé d'autres plaintes concernant des informaticiens nord-coréens.
Un secteur en pleine croissance
Les faux demandeurs d'emploi ne faiblissent pas, si l'on en croit l'expérience de Lili Infante, fondatrice et directrice générale de CAT Labs. Sa startup, basée en Floride, se situe à l'intersection de la cybersécurité et des crypto-monnaies, ce qui la rend particulièrement attrayante pour les mauvais acteurs. « Chaque fois que nous publions une offre d'emploi, 100 espions nord-coréens postulent », explique Infante. « Lorsque vous regardez leurs CV, ils sont incroyables ; ils utilisent tous les mots clés pour ce que nous recherchons ».
Infante explique que son entreprise s'appuie sur une société de vérification d'identité pour éliminer les faux candidats, dans le cadre d'un secteur émergent qui comprend des sociétés telles que iDenfy, Jumio et Socure.
Selon Roger Grimes, consultant chevronné en sécurité informatique, l'industrie des faux employés s'est étendue ces dernières années à des groupes criminels situés en Russie, en Chine, en Malaisie et en Corée du Sud, et non plus seulement aux Nord-Coréens.
Paradoxalement, certains de ces travailleurs frauduleux seraient considérés comme les meilleurs dans la plupart des entreprises. « Parfois, ils s'acquittent mal de leur tâche, mais parfois ils le font si bien que certaines personnes m'ont dit qu'elles regrettaient d'avoir dû les licencier », a déclaré Grimes.
Son employeur, la société de cybersécurité KnowBe4, a déclaré en octobre avoir embauché par inadvertance un ingénieur logiciel nord-coréen.
Le travailleur a utilisé l'IA pour modifier une photo de stock, combinée à une identité américaine valide mais volée, et a passé les vérifications d'antécédents, y compris quatre entretiens vidéo, a déclaré l'entreprise. Il n'a été découvert qu'après que l'entreprise a constaté une activité suspecte sur son compte.
Combattre les « deepfakes »
Malgré l'affaire du DOJ et quelques autres incidents rendus publics, les responsables du recrutement de la plupart des entreprises ne sont généralement pas conscients des risques liés aux faux candidats, selon Sesser de BrightHire.
« Ils sont responsables de la stratégie des talents et d'autres choses importantes, mais être en première ligne de la sécurité n'a jamais été l'une d'entre elles », a-t-il déclaré. « Les gens pensent qu'ils ne sont pas concernés, mais je pense qu'il est plus probable qu'ils ne se rendent pas compte de ce qui se passe.
Selon Sesser, il sera de plus en plus difficile d'éviter ce problème à mesure que la qualité de la technologie des « deepfakes » s'améliorera.
Quant à « Ivan X », Balasubramaniyan de Pindrop a déclaré que la startup avait utilisé un nouveau programme d'authentification vidéo qu'elle avait créé pour confirmer qu'il s'agissait d'un deepfake frauduleux.
Alors qu'Ivan prétendait se trouver dans l'ouest de l'Ukraine, son adresse IP indiquait qu'il se trouvait en fait à des milliers de kilomètres à l'est, dans une possible installation militaire russe près de la frontière nord-coréenne, a indiqué l'entreprise.
Pindrop, soutenue par Andreessen Horowitz et Citi Ventures, a été fondée il y a plus de dix ans pour détecter les fraudes dans les interactions vocales, mais pourrait bientôt s'orienter vers l'authentification vidéo. Parmi ses clients figurent certaines des plus grandes banques américaines, des assureurs et des sociétés de santé.
« Nous ne pouvons plus faire confiance à nos yeux et à nos oreilles », a déclaré Balasubramaniyan. « Sans technologie, la situation est pire que celle d'un singe qui tirerait au hasard à pile ou face avec une pièce de monnaie ».
Des techniques de fraude de plus en plus élaborées
Les cas recensés dans plusieurs grandes entreprises tech et ESN révèlent une combinaison inquiétante de technologies :
[LIST][*]CV et lettres de motivation générés par LLM : ChatGPT, Gemini ou Claude permettent de produire des documents calibrés pour répondre aux attentes RH et optimiser le passage des filtres ATS, sans effort réel de la part du fraudeur.[*]Faux profils LinkedIn et références fictives : Des réseaux de faux comptes sont utilisés pour construire une crédibilité sociale apparente autour du candidat.[*]Pièces d’identité et documents professionnels[/*]...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
