IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

100 000 développeurs fantômes : comment la Corée du Nord a transformé le recrutement IT mondial en machine à financer son programme d'armement
Ils rapportent 500 millions de dollars par an à Kim Jong Un

Le , par Stéphane le calme

116PARTAGES

7  0 
100 000 développeurs fantômes : comment la Corée du Nord a transformé le recrutement IT mondial en machine à financer son programme d'armement,
ils rapportent 500 millions de dollars par an à Kim Jong Un

Un rapport conjoint d'IBM X-Force et de Flare Research lève le voile sur l'une des opérations de fraude à l'emploi les plus sophistiquées et les plus lucratives de l'histoire de la cybersécurité. Derrière chaque offre d'emploi acceptée, chaque pull request soumise, chaque réunion quotidienne de suivi sur Slack, une machine d'État nord-coréenne pourrait être en train d'aspirer salaires, données sensibles et accès aux systèmes internes des plus grandes entreprises du monde. L'échelle du phénomène dépasse désormais tout ce que les experts avaient anticipé.

Ce n'est plus qu'un secret de polichinelle (le FBI avait affirmé en 2023 que la Corée du Nord a déployé des milliers de faux informaticiens US pour financer son programme d'armement) et les chiffres continuent de donner le vertige. Selon un rapport de l'ONU datant de 2024, plus de 100 000 travailleurs nord-coréens sont déployés dans une quarantaine de pays, générant environ 500 millions de dollars par an pour le régime de Pyongyang. Des travailleurs qui ne sont pas des espions au sens traditionnel du terme ; ils ne piratent pas de serveurs dans la nuit, ne dérobent pas de codes sources à grand renfort de logiciels malveillants sophistiqués. Non : ils postulent à des offres d'emploi. Ils passent des entretiens. Ils rejoignent des équipes de développement. Ils font leur travail quotidien. Et ils envoient l'essentiel de leur salaire à l'État nord-coréen.

Un conseiller du gouvernement américain indique qu'un de ces travailleurs peut individuellement gagner plus de 300 000 dollars par an, une fortune dans un pays où la quasi-totalité de la population vit sous le seuil de pauvreté, sans accès à internet, et où les déplacements internes sont soumis à autorisation administrative. Être sélectionné pour ce programme équivaut à une promotion sociale spectaculaire : résidence autorisée à Pyongyang, privilèges réservés aux élites, et un accès à des ressources numériques inaccessibles au reste de la population.

Le rapport intitulé Inside the North Korean Infiltrator Threat, publié le 18 mars 2026 par Flare Research en collaboration avec IBM X-Force, offre pour la première fois une radiographie complète de cette opération, s'appuyant non pas sur des suppositions ou des témoignages indirects, mais sur des données de renseignement propriétaires collectées à partir de sources multiples : feuilles de temps internes, présentations de formation destinées aux travailleurs, historiques de navigation, journaux d'outils de messagerie, et bien d'autres éléments qui dessinent un portrait aussi précis qu'inquiétant.

Une structure en quatre niveaux, digne d'une multinationale

L'un des apports majeurs de ce rapport est la cartographie détaillée de l'écosystème opérationnel. Loin d'être une collection de hackers en chambre agissant à leur compte, les chercheurs ont identifié une structure hiérarchique claire à quatre niveaux : recruteurs, facilitateurs, travailleurs IT et collaborateurs occidentaux.

Les recruteurs jouent un rôle proche de celui d'un cabinet de recrutement classique. Ils mènent des entretiens de présélection, évaluent les candidats (souvent sans que ceux-ci réalisent exactement dans quoi ils s'engagent) et transmettent les dossiers aux facilitateurs. Les entretiens enregistrés révèlent que les candidats sont approchés au nom d'une prétendue start-up en phase de lancement appelée "C Digital LLC", et sont informés qu'ils seront amenés à postuler à des emplois dans des entreprises occidentales en utilisant une identité américaine. La confusion exprimée par les candidats face à cette proposition (plutôt qu'une acceptation naïve) suggère que beaucoup ne comprennent pas d'emblée qu'ils intègrent un dispositif de fraude d'État.

Les facilitateurs et les travailleurs IT constituent le cœur du système. Ils sont recrutés pour leurs compétences en développement web full stack, en .NET, en WordPress et en développement blockchain. Leur journée est méticuleusement documentée : des feuilles de temps internes enregistrent chaque seconde travaillée, les candidatures déposées sur les plateformes de freelance comme Upwork ("Bids" et les messages envoyés sur LinkedIn ou Freelancer ("Msg". Un travailleur peut soumettre jusqu'à 300 candidatures par jour, pour un taux d'acceptation d'environ 10 sur 300 (une approche de masse rendue possible par la structure d'État qui la soutient).

Enfin, les collaborateurs occidentaux (souvent recrutés via LinkedIn ou GitHub) représentent le maillon le plus inquiétant. Ces individus mettent leur identité à disposition des opérateurs nord-coréens, reçoivent les ordinateurs professionnels envoyés par les entreprises, et remplissent les formulaires administratifs d'embauche. Parfois consentants et rémunérés via des accords de partage des revenus, parfois victimes d'usurpation d'identité sans le savoir.


Google Translate comme colonne vertébrale opérationnelle

L'un des détails les plus révélateurs du rapport concerne un outil que personne n'aurait spontanément désigné comme arme de cyberguerre : Google Translate. Les chercheurs estiment que les travailleurs nord-coréens s'en servent à quasiment toutes les étapes de leur activité en ligne : traduction des offres d'emploi, rédaction de candidatures, interprétation des réponses de ChatGPT, communication avec les collaborateurs et les vendeurs de comptes.

Mieux encore, cette dépendance génère une signature numérique caractéristique. Parce que Google Translate met à jour la barre d'adresse du navigateur à chaque caractère tapé, les historiques de navigation présentant de longues séquences d'URL incrémentales vers Google Translate indiquent généralement que le travailleur rédigeait son message directement dans l'interface, lettre par lettre.

Les chercheurs ont ainsi pu reconstituer des échanges entiers ; des lettres d'acceptation d'embauche traduites en coréen, des mises à jour quotidiennes de statut (daily stand-up) composées caractère par caractère, ou encore des messages enthousiastes envoyés à de nouveaux collègues, traduits ensuite en coréen pour vérifier que le sens était correct.

Ce n'est pas la seule signature exploitable. Des groupes suivis par Microsoft sous les noms de code « Jasper Sleet » et « Coral Sleet » utilisent des logiciels de modification vocale pour masquer leur accent lors des entretiens à distance, et des applications de permutation de visage pour insérer des photos dans des pièces d'identité volées.


Une infrastructure interne mise à nu

Le rapport révèle également l'existence d'une infrastructure de gestion interne propre à l'opération, un fait jusqu'ici inconnu des chercheurs en cybersécurité. Les analystes ont identifié deux plateformes distinctes : « RB Site » et « NetkeyRegister », qui semblent fonctionner comme des tableaux de bord permettant de suivre l'activité des travailleurs, d'enregistrer leurs équipements et de distribuer des mises à jour logicielles. Le nom "RB" est associé avec un niveau de confiance modéré à la Korea Ryonbong General Corporation, une entité sanctionnée par le Trésor américain pour son rôle dans les programmes d'armement nord-coréens.

Parmi les outils identifiés sur les machines des travailleurs, on trouve également OConnect et NetKey (un VPN d'origine nord-coréenne vraisemblablement utilisé pour se connecter aux réseaux internes de Pyongyang) ainsi qu'IP Messenger, une application de messagerie décentralisée open source qui ne dépend d'aucun serveur central, et permet donc des communications hors de portée des grandes plateformes américaines.

Les universités d'élite nord-coréennes qui forment ces travailleurs ont également été identifiées, dont l'Université des sciences de Pyongyang, un établissement géré par l'Académie d'État des sciences, dont d'anciens étudiants réfugiés décrivent l'accès comme un privilège rare, assorti d'une résidence autorisée dans la capitale et d'un emploi garanti.


Tout le monde y est exposé... ou presque

Selon Mandiant, désormais intégré à Google Cloud, quasiment tous les directeurs de la sécurité informatique des entreprises du Fortune 500 interrogés sur la question ont admis avoir recruté au moins un travailleur nord-coréen. CrowdStrike a, de son côté, signalé une augmentation de 220 % en 2025 du nombre d'infiltrations détectées dans des entreprises occidentales.

Le profil des victimes couvre un spectre très large. Les opérateurs nord-coréens ont réussi à décrocher des postes dans une grande chaîne de distribution haut de gamme, un important constructeur automobile américain, une entreprise technologique parmi les plus valorisées de la Silicon Valley, et des organismes gouvernementaux. La Norvège a également émis une alerte officielle, son service de sécurité de la police (PST) indiquant avoir connaissance de plusieurs cas survenus au cours de la dernière année impliquant des entreprises norvégiennes victimes de ce type d'infiltration.

Le schéma de sortie est, lui aussi, bien rodé. Même lorsqu'un travailleur sait qu'il va finir par être licencié, il dispose d'une stratégie de sortie planifiée. Dans certains cas documentés, des données ont été exfiltrées lentement et régulièrement tout au long de la période d'emploi. Au moins trois organisations ont été victimes de tentatives d'extorsion après que des informations sensibles ont été publiées en ligne par des travailleurs licenciés.

Comment s'en défendre ?

Le rapport de Flare et IBM X-Force formule des recommandations pratiques à destination des équipes de sécurité, mais aussi (et c'est nouveau) des équipes RH, désormais en première ligne de ce type de menace. Parmi les signaux d'alerte à surveiller lors des entretiens : fonds virtuels suspects, logiciels de modification de visage ou de voix par intelligence artificielle, incohérences entre le contenu du CV et les réponses données à l'oral, ou encore décalage entre la langue maîtrisée revendiquée et celle effectivement pratiquée.

Après l'embauche, les équipes de sécurité sont invitées à surveiller la présence de logiciels VPN suspects, d'outils d'accès à distance non autorisés, et des signatures logicielles propres aux opérateurs nord-coréens (notamment NetKey et OConnect) tout en maintenant un contact régulier et direct avec les employés en télétravail.

Les travailleurs nord-coréens ont tendance à fuir les environnements où les interactions en personne sont fréquentes et où les relations humaines sont étroites. Ils prospèrent dans les organisations où le désengagement managérial est la norme. En ce sens, la meilleure défense technique reste, paradoxalement, humaine.
Et pour ceux qui cherchent une méthode expéditive : il existerait une question fatale lors des entretiens : demander à un candidat ce qu'il pense de la corpulence de Kim Jong-un. Un ressortissant nord-coréen mettra fin à l'appel immédiatement. Est-il utile de préciser qu'il faut le prendre au second degré... ou pas ?

Sources : Flare

Et vous ?

Face à la sophistication croissante de ces opérations (deepfakes, modifications de voix en temps réel, identités synthétiques renforcées par l'IA) les processus de vérification d'identité classiques sont-ils encore pertinents, ou faut-il repenser entièrement le recrutement à distance ?

La responsabilité des plateformes comme LinkedIn, Upwork ou GitHub est-elle suffisamment engagée ? Ces acteurs disposent-ils réellement des moyens pour détecter des profils construits à cette échelle et avec ce niveau de soin ?

Les collaborateurs occidentaux qui prêtent leur identité, souvent attirés par une rémunération attractive, doivent-ils être traités comme des complices à part entière ou comme des victimes d'un système qu'ils ne comprennent pas entièrement ? Où situer la frontière pénale ?

Si presque toutes les grandes entreprises du Fortune 500 ont déjà, selon Mandiant, recruté au moins un travailleur nord-coréen, quelle est la véritable étendue des données sensibles, y compris sur des technologies militaires ou gouvernementales, qui ont pu fuir vers Pyongyang ?

Voir aussi :

Le FBI met en garde contre l'embauche accidentelle d'un pirate nord-coréen, car ils utiliseraient leurs salaires pour soutenir les programmes d'armes nucléaires de la Corée du Nord

Le FBI affirme que la Corée du Nord a déployé des milliers de faux informaticiens US pour financer son programme d'armement. Ce stratagème nord-coréen aurait généré des millions de dollars

Le FBI affirme que des personnes utilisent des deepfakes pour postuler à des emplois à distance, les imposteurs auraient pour but de voler les données sensibles des entreprises
Vous avez lu gratuitement 20 468 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Leruas
Membre éclairé https://www.developpez.com
Le 19/03/2026 à 11:22
Ils ne peuvent pas faire des visios quotidiennes pour vérifier que la personne est réelle et comprend le code qu'elle a écrit ?
ça parait dingue qu'il y ait 100 000 développeurs dans ce cas, alors qu'il y a de plus en plus de "retour au bureau" et d'utilisation de l'IA pour remplacer des dev juniors.
0  0