Espionnage offshore : comment les informaticiens nord-coréens infiltrent les sociétés occidentales

A coup de profils bidon sur LinkedIn et de faux avatars lors d’entretiens d’embauche en visio, les espions à la solde de Pyongyang sont passés maîtres dans l’art de s’introduire incognito dans les entreprises américaines et européennes pour siphonner de l’intérieur, et en toute discrétion, leurs données les plus sensibles.

Ils ne portent pas de faux nez et leurs identifiants sont tout ce qu’il y a de plus régulier. Depuis quelques années, une armée d’informaticiens nord-coréens s’est lancée à l’assaut des multinationales occidentales. « Une fois embauchés comme codeurs, par exemple, ces espions se font livrer leur matériel, ordinateur, login et mot de passe valides, observe Benoît Grunemwald, expert en cybersécurité chez ESET, premier éditeur européen de logiciels antivirus. Connectés au réseau de l’entreprise, ils ont accès à tout ou partie des données de la société, le plus souvent liées à la propriété industrielle, qu’ils vont pouvoir exfiltrer. » Faux employés mais vrais risques. Ces cyberattaques sont permises notamment par la cascade de sous-traitants intervenant pour les grands groupes pris pour cible. Et le « Zero Trust » (thème du Forum InCyber à Lille en avril dernier – ndlr) n’y change pas grand-chose selon M. Grunemwald : « En théorie, vous ne devez pas faire confiance à un nouvel entrant, mais s’il a déjà un pied dans l’entreprise, il sera moins suspect que quelqu’un de l’extérieur. L’attaque interne est la plus compliquée à déjouer. »

Comportements inappropriés

Ces intrusions sont difficiles à quantifier d’autant plus que les victimes ne le crient pas sur tous les toits. « Aujourd’hui, si vous subissez une telle intrusion, rien ne vous oblige à porter plainte ou à la déclarer à la CNIL, mais cela va changer en Europe avec NIS2 », prédit M. Grunemwald. Selon lui, rien qu’en France, 3 000 entreprises, dont celles du SBF 120 et de la BITD (industries de défense), seraient des cibles potentielles. Des PME opérants dans des secteurs sensibles comme la fabrication de drones civils, faciles à détourner pour un usage militaire, sont aussi particulièrement vulnérables car pas forcément outillées pour parer à ces cyberattaques. « Il faut systématiquement vérifier la provenance et l’origine des gens que vous souhaitez embaucher, insiste Jean-Noël de Galzain, PDG de Wallix, éditeur de logiciels de cybersécurité, et président d’Hexatrust. Il existe aussi des solutions comme le PAM (privileged access management) ou l’UBA (user behavior analytics) qui vont permettre de s’assurer, pendant les connexions, que les comportements de la personne ne sont pas inappropriés. Il y a quelques années, nous avions un stagiaire en fin de cycle ingénieur. Il devait rejoindre une équipe de la société. Mais on s’est aperçu qu’il allait fouiller dans des fichiers de la R&D ou des RH de manière assez étonnante. On a arrêté immédiatement la période d’essai et la personne est partie. » Ne pas hésiter à vérifier un profil quand il semble trop beau pour être vrai ou à examiner la cohérence entre la fiche LinkedIn et le CV du candidat.

Opération « Dream Job »

Placée depuis près de vingt ans par l’ONU sous un strict embargo, la Corée du Nord finance aussi la formation de ses pirates informatiques et de ses recherches militaires grâce à des détournements de cryptomonnaies à grande échelle. Franck Decloquement, expert en intelligence stratégique et membre du conseil scientifique de l’Institut d’études de géopolitique appliquée – EGA , rapporte qu’en 2023, « les Nord-Coréens ont empoché un total estimé à 661 millions de dollars, selon Chainalysis, société d’investigation en cryptographie. Ils ont doublé cette somme en 2024 avec 1,34 milliard de dollars à travers 47 braquages distincts. Et actuellement, début 2025, on est déjà à 1,5 milliard de dollars ! » Lancée il y cinq ans environ sous le nom d’opération « Dream Job », la campagne actuelle a ainsi récemment permis à des pirates informatiques de Pyongyang de pénétrer le réseau d’une entreprise espagnole du secteur de l’aérospatiale, cette fois via le recours à de faux chasseurs de têtes inscrits sur LinkedIn, poussant un peu plus loin les techniques de social engineering. D’autant que ces cybercriminels nord-coréens se sont mis à la page, d’après M. Grunemwald : « ils ont recours à l’intelligence artificielle pour étudier tous les process de recrutement d’une entreprise et se mettre dans le bain. Grâce à une IA professionnelle comme Heygen, ils arrivent même à utiliser de faux avatars lors d’entretiens vidéo d’embauche à distance. »

« Ferme à ordinateurs »

Un nom revient souvent derrière ces attaques de plus en plus sophistiquées, celui de Lazarus, un groupe de cyber-espionnage lié à la Corée du Nord. Les jeunes nord-coréens sont doués pour les disciplines techniques. Ainsi, les étudiants de l’université de technologie KimChaek ont remporté il y a deux ans HackerEarth, un concours international de programmation. Enfin, en Corée du Nord, les hommes sont soumis à un service militaire obligatoire de dix ans, le plus long au monde. Le régime de Pyongyang dispose ainsi d’un inépuisable vivier de talents à sa disposition. Signe de l’ampleur du phénomène : il y a tout juste un an, une enquête du FBI aboutissait à l’arrestation de Christina Chapman. Depuis l’Arizona, cette Américaine gérait en toute discrétion une véritable « fermes à ordinateurs » – une infrastructure permettant aux agents nord-coréens de se connecter à distance tout en masquant leur véritable localisation. Les sommes en jeu sont colossales : 6,8 millions de dollars ont transité par ce seul réseau, impliquant le vol d’identité de soixante citoyens américains.