Si vous suivez régulièrement la rubrique Cyberguerre de Numerama, ou plus largement l’actualité des cybermenaces visant les entreprises occidentales, vous n’avez sans doute pas échappé au phénomène des IT workers.
Ces informaticiens, suivis de près par les autorités internationales et les chercheurs en cybersécurité, sont formés et employés par le régime nord-coréen pour infiltrer à distance des entreprises étrangères, généralement sous de fausses identités ou via des sociétés écrans.
Leur objectif principal ? Générer des revenus pour le régime de Kim Jong-un, en transférant leur salaire, bien souvent converti en cryptomonnaies après des opérations de blanchiment d’argent.
Pour duper la vigilance des employeurs, ces prestataires fantômes s’appuient fréquemment sur des « facilitateurs » locaux. Ces derniers les aident dans leurs démarches d’usurpation d’identité ou hébergent à domicile l’infrastructure nécessaire pour mener à bien leurs missions et donner l’illusion qu’ils travaillent depuis les États-Unis.
Le vendredi 14 novembre, les autorités américaines ont annoncé que cinq de ces facilitateurs avaient récemment plaidé coupable. Le document publié à cette occasion détaille les différents profils et modes opératoires de ces intermédiaires.
Les facilitateurs niveau 1
Premiers dans cette liste de présumés coupables : Audricus Phagnasay, Jason Salazar et Alexander Paul Travis.
Tous trois ont reconnu leur culpabilité pour des faits de complot « en vue de commettre une fraude par voie électronique ».
Âgés de 24 à 34 ans, ils auraient permis à des informaticiens nord-coréens d’utiliser leur identité américaine entre septembre 2019 et novembre 2022, facilitant ainsi l’obtention de nombreux emplois au sein d’entreprises américaines.
Les trois accusés auraient également servi d’hébergeurs de « laptop farms », réceptionnant à leur domicile les ordinateurs fournis par les entreprises infiltrées et y installant des logiciels de contrôle à distance afin de permettre aux IT workers nord-coréens d’y accéder sans éveiller de soupçons.
Par ailleurs, deux d’entre eux se seraient même rendus dans les locaux des entreprises concernées pour y passer des tests de dépistage de drogues à la place des véritables travailleurs.
Alexander Paul Travis, militaire en service, aurait reçu un peu plus de 50 000 dollars pour sa participation, tandis que M. Phagnasay et M. Salazar auraient touché respectivement 3 450 et 4 500 dollars.
Le facilitateur à grande échelle
Oleksandr Didenko appartient à une autre catégorie de facilitateurs : ceux qui permettent aux infiltrés nord-coréens d’industrialiser leur mode opératoire.
Ce ressortissant ukrainien aurait d’abord volé ou racheté de nombreux documents d’identité appartenant à des citoyens américains, avant de les revendre à des IT workers pour leur permettre d’obtenir des emplois dans des entreprises américaines.
Les chiffres sont d’un tout autre ordre de grandeur : les IT workers associés aux activités de M. Didenko ont pu décrocher des postes dans 40 entreprises américaines, en tirant parti d’une véritable plateforme de fraude. « Didenko exploitait un site web utilisant un domaine américain, upworksell.com, conçu pour aider des travailleurs informatiques étrangers à acheter ou louer des identités volées ou empruntées », affirme le ministère de la Justice américaine.
Celui qui a plaidé coupable servait aussi d’intermédiaire pour trouver d’autres particuliers américains prêts à héberger des ordinateurs portables. Parmi ses partenaires figure Christina Marie Chapman, dont nous vous racontions l’affaire en juillet dernier.
Enfin, Oleksandr Didenko proposait à ses clients étrangers un accès à des services de transfert bancaires, sans nécessité d’ouvrir physiquement un compte dans une banque américaine. À 28 ans, il a accepté de restituer plus de 1,4 million de dollars issus de ces activités.
Le dirigeant de société de services en informatique
Erick Ntekereze Prince est le dernier accusé mentionné dans le rapport du « DoJ » américain.
Il est soupçonné d’avoir utilisé sa société de services informatiques, basée à New York, pour facturer des prestations réalisées par des informaticiens nord-coréens.
Ce système aurait permis de percevoir près de 950 000 dollars en salaires, dont la majeure partie a été reversée aux travailleurs localisés à l’étranger.
Selon le département de la Justice américaine, l’ensemble de ces actions et modes opératoires aurait permis l’infiltration de 136 entreprises américaines, générant plus de 2,2 millions de dollars de revenus au profit du régime nord-coréen.
Les IT workers ne représentent pas la seule source de revenus pour l’État nord-coréen dans le cyberespace. Un rapport de l’entreprise de cybersécurité ESET, publié en septembre dernier, soulignait la circulation de techniques et de renseignements entre les différents groupes constituant l’écosystème cybercriminel nord-coréen, parmi lesquels figurent des hackers à la sophistication nettement supérieure à celles des IT workers.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Pour ne rien manquer de l’actualité, suivez Numerama sur Google !