Le filet numérique d’Amazon : comment 1 800 escrocs nord-coréens ont tenté (et échoué) d’infiltrer les géants de la tech

C’est une discrète publication sur LinkedIn qui a déclenché une vague d’alerte dans l’industrie : Stephen Schmidt, directeur de la sécurité chez Amazon, a révélé que le géant de la tech avait bloqué plus de 1 800 agents nord-coréens présumés tentant d’infiltrer ses effectifs - rien que depuis avril 2024. Mais cet aveu public est bien plus qu’une simple fierté d’entreprise ; il offre un rare aperçu de l’ampleur et de la sophistication d’une escroquerie mondiale de l’ombre qui menace les entreprises partout dans le monde.

Depuis des années, le spectre des escroqueries d’informaticiens nord-coréens hante la communauté de la cybersécurité. Le principe est glaçant de simplicité : des agents liés au gouvernement, souvent en télétravail, se font passer pour des talents tech qualifiés afin de décrocher des emplois dans des entreprises occidentales. Une fois en poste, ils peuvent siphonner des secrets d’entreprise ou, plus fréquemment, reverser leur salaire aux programmes d’armement de Pyongyang. Mais la véritable ampleur de ces opérations est longtemps restée cachée - jusqu’à aujourd’hui.

La révélation d’Amazon sonne comme un signal d’alarme. Le vaste système de vérification des antécédents de l’entreprise - combinant contrôles de diplômes, sélection par IA et entretiens structurés - est devenu un champ de bataille contre la fraude numérique. Schmidt décrit comment les escrocs ont perfectionné leurs méthodes : vol d’identités, achat de profils LinkedIn inactifs, exploitation de « fermes de laptops » simulant une présence américaine alors que le véritable travailleur se trouve à l’étranger. Leurs diplômes revendiqués évoluent sans cesse : les faux passent désormais d’universités obscures d’Asie de l’Est à des établissements prestigieux de Californie ou de New York, dans l’espoir d’éviter les signaux d’alerte.

Et le problème ne concerne pas qu’Amazon. Le département de la Justice américain a sévi contre des réseaux de fraude multinationaux permettant à des agents nord-coréens de s’introduire dans plus d’une centaine d’entreprises américaines. Des chercheurs en sécurité, comme ceux de Sophos, signalent une recrudescence des cas dans des organisations de toutes tailles, avec des taux de détection qui s’améliorent enfin grâce à l’expérience acquise et à de nouveaux guides pour les responsables de la sécurité.

Pourtant, malgré les progrès, la menace mute. Sophos avertit que les acteurs liés à la RPDC « font évoluer leurs tactiques en utilisant des identités volées, des infrastructures proxy, etc. », surtout alors que le recrutement à distance devient la norme. Le message aux entreprises est clair : la cybersécurité n’est plus seulement une affaire d’IT, mais un enjeu RH de premier plan. La vigilance - analyse des schémas de CV, vérification répétée des identités, partage d’informations sur les menaces - est désormais essentielle pour tenir les saboteurs numériques à distance.

La lutte est loin d’être terminée. Comme le souligne Schmidt, « Plus nous partageons ce que nous apprenons, plus nous compliquons la tâche de ces opérations. » Pour Amazon et l’ensemble du secteur technologique, la leçon est claire : à l’ère du travail à distance, la prochaine brèche ne viendra peut-être pas d’un malware, mais d’un CV - soigné, professionnel, et entièrement faux.

WIKICROOK

• RPDC : La RPDC, ou Corée du Nord, est connue en cybersécurité pour ses activités de piratage, d’espionnage et de cybercriminalité soutenues par l’État, ciblant des organisations et infrastructures mondiales.
• Escroquerie d’informaticien : Une escroquerie d’informaticien implique des attaquants se faisant passer pour du personnel IT afin de tromper les employés et obtenir un accès, exposant l’entreprise à des fuites de données et des menaces de sécurité.
• Vérification des diplômes : La vérification des diplômes confirme l’identité, les qualifications et l’historique professionnel d’une personne pour garantir que seuls les utilisateurs autorisés accèdent aux systèmes et données sensibles.
• Infrastructure proxy : L’infrastructure proxy utilise des serveurs intermédiaires pour masquer l’identité de l’utilisateur, dissimuler la localisation et contourner les restrictions, servant à la fois la confidentialité et la gestion réseau.
• Télétravail : En cybersécurité, le télétravail signifie contrôler ou accéder à des appareils à distance, souvent via Internet, à l’aide de logiciels spécialisés. Cela nécessite des contrôles de sécurité renforcés.