100 000 développeurs fantômes : comment la Corée du Nord a transformé le recrutement IT mondial en machine à financer son programme d'armement

Ils rapportent 500 millions de dollars par an à Kim Jong Un

Un rapport conjoint d'IBM X-Force et de Flare Research lève le voile sur l'une des opérations de fraude à l'emploi les plus sophistiquées et les plus lucratives de l'histoire de la cybersécurité. Derrière chaque offre d'emploi acceptée, chaque pull request soumise, chaque réunion quotidienne de suivi sur Slack, une machine d'État nord-coréenne pourrait être en train d'aspirer salaires, données sensibles et accès aux systèmes internes des plus grandes entreprises du monde. L'échelle du phénomène dépasse désormais tout ce que les experts avaient anticipé.

Ce n'est plus qu'un secret de polichinelle (le FBI avait affirmé en 2023 que la Corée du Nord a déployé des milliers de faux informaticiens US pour financer son programme d'armement) et les chiffres continuent de donner le vertige. Selon un rapport de l'ONU datant de 2024, plus de 100 000 travailleurs nord-coréens sont déployés dans une quarantaine de pays, générant environ 500 millions de dollars par an pour le régime de Pyongyang. Des travailleurs qui ne sont pas des espions au sens traditionnel du terme ; ils ne piratent pas de serveurs dans la nuit, ne dérobent pas de codes sources à grand renfort de logiciels malveillants sophistiqués. Non : ils postulent à des offres d'emploi. Ils passent des entretiens. Ils rejoignent des équipes de développement. Ils font leur travail quotidien. Et ils envoient l'essentiel de leur salaire à l'État nord-coréen.

Un conseiller du gouvernement américain indique qu'un de ces travailleurs peut individuellement gagner plus de 300 000 dollars par an, une fortune dans un pays où la quasi-totalité de la population vit sous le seuil de pauvreté, sans accès à internet, et où les déplacements internes sont soumis à autorisation administrative. Être sélectionné pour ce programme équivaut à une promotion sociale spectaculaire : résidence autorisée à Pyongyang, privilèges réservés aux élites, et un accès à des ressources numériques inaccessibles au reste de la population.

Le rapport intitulé Inside the North Korean Infiltrator Threat, publié le 18 mars 2026 par Flare Research en collaboration avec IBM X-Force, offre pour la première fois une radiographie complète de cette opération, s'appuyant non pas sur des suppositions ou des témoignages indirects, mais sur des données de renseignement propriétaires collectées à partir de sources multiples : feuilles de temps internes, présentations de formation destinées aux travailleurs, historiques de navigation, journaux d'outils de messagerie, et bien d'autres éléments qui dessinent un portrait aussi précis qu'inquiétant.

Une structure en quatre niveaux, digne d'une multinationale

L'un des apports majeurs de ce rapport est la cartographie détaillée de l'écosystème opérationnel. Loin d'être une collection de hackers en chambre agissant à leur compte, les chercheurs ont identifié une structure hiérarchique claire à quatre niveaux : recruteurs, facilitateurs, travailleurs IT et collaborateurs occidentaux.

Les recruteurs jouent un rôle proche de celui d'un cabinet de recrutement classique. Ils mènent des entretiens de présélection, évaluent les candidats (souvent sans que ceux-ci réalisent exactement dans quoi ils s'engagent) et transmettent les dossiers aux facilitateurs. Les entretiens enregistrés révèlent que les candidats sont approchés au nom d'une prétendue start-up en phase de lancement appelée "C Digital LLC", et sont informés qu'ils seront amenés à postuler à des emplois dans des entreprises occidentales en utilisant une identité américaine. La confusion exprimée par les candidats face à cette proposition (plutôt qu'une acceptation naïve) suggère que beaucoup ne comprennent pas d'emblée qu'ils intègrent un dispositif de fraude d'État.

Les facilitateurs et les travailleurs IT constituent le cœur du système. Ils sont recrutés pour leurs compétences en développement web full stack, en .NET, en WordPress et en développement blockchain. Leur journée est méticuleusement documentée : des feuilles de temps internes enregistrent chaque seconde travaillée, les candidatures déposées sur les plateformes de freelance comme Upwork ("Bids" et les messages envoyés sur LinkedIn ou Freelancer ("Msg". Un travailleur peut soumettre jusqu'à 300 candidatures par jour, pour un taux d'acceptation d'environ 10 sur 300 (une approche de masse rendue possible par la structure d'État qui la soutient).

Enfin, les collaborateurs occidentaux (souvent recrutés via LinkedIn ou GitHub) représentent le maillon le plus inquiétant. Ces individus mettent leur identité à disposition des opérateurs nord-coréens, reçoivent les ordinateurs professionnels envoyés par les entreprises, et remplissent les formulaires administratifs d'embauche. Parfois consentants et rémunérés via des accords de partage des revenus, parfois victimes d'usurpation d'identité sans le savoir.


Google Translate comme colonne vertébrale opérationnelle

L'un des détails les plus révélateurs du rapport concerne un outil que personne n'aurait spontanément désigné comme arme de cyberguerre : Google Translate. Les chercheurs estiment que les travailleurs nord-coréens s'en servent à quasiment toutes les étapes de leur activité en ligne : traduction des offres d'emploi, rédaction de candidatures, interprétation des réponses de ChatGPT, communication avec les collaborateurs et les vendeurs de...