Cyberguerre

L’OFAC sanctionne un réseau nord-coréen d’emplois IT fictifs ayant généré près de 800 M$

Photo of Olivier Gouin Olivier Gouin Follow on Twitter il y a 3 heures
0 301 4 minutes de lecture
Deux responsables cybersécurité vérifient des accès en entreprise moderne
Des équipes sécurité renforcent les contrôles face aux fraudes à l’emploi IT.

Le Trésor américain vient de sanctionner six individus et deux entités accusés d’avoir aidé la Corée du Nord à financer ses programmes d’armes via une fraude très contemporaine, de faux emplois IT à distance. Le schéma vise des entreprises réelles, souvent aux États-Unis, avec des candidats qui semblent crédibles sur le papier, mais dont l’identité et le parcours ont été fabriqués ou volés.

Selon les autorités américaines, ces opérations auraient généré près de 800 millions de dollars en 2024, une partie majeure des salaires étant redirigée vers Pyongyang, en violation des sanctions américaines et onusiennes. Le dossier décrit aussi des cas où l’accès obtenu via l’emploi sert à voler des données sensibles, voire à tenter l’extorsion, une fois les informations exfiltrées.

OFAC sanctionne 6 personnes et 2 entités le 12 mars 2026

La décision annoncée le 12 mars 2026 par l’OFAC cible un réseau présenté comme structuré et international, avec des relais dans plusieurs pays, dont le Vietnam, le Laos et l’Espagne. L’objectif affiché est clair, couper des facilitateurs, geler des avoirs potentiels, compliquer les paiements et décourager les intermédiaires qui rendent possible l’embauche et la conversion des revenus. Dans les faits, ce type de sanctions produit surtout un effet de friction, pas une disparition immédiate du phénomène.

Le Trésor décrit des équipes IT qui se font recruter en télétravail en s’appuyant sur des documents frauduleux, des identités volées et des personas inventés. Une fois en poste, elles touchent des salaires « normaux » pour des métiers de développement, d’administration système ou de support, puis transfèrent une part importante des gains vers le régime. Les autorités estiment que l’État nord-coréen peut prélever jusqu’à 90% des revenus, ce qui transforme un simple contrat de prestation en source de financement stratégique.

Le discours officiel insiste aussi sur le risque opérationnel pour les entreprises, pas seulement financier. Le secrétaire au Trésor Scott Bessent évoque des scénarios où des opérateurs « weaponize » des données sensibles et réclament des paiements importants. Un analyste cybersécurité, Marc L., résume le piège côté employeur, « tu crois recruter un freelance, tu ouvres en réalité une porte durable dans ton système, et tu t’aperçois trop tard que l’accès légitime vaut de l’or pour un acteur étatique ».

Des faux profils IT infiltrent des entreprises et détournent des salaires

Le mécanisme est moins spectaculaire qu’un rançongiciel, mais souvent plus rentable sur la durée. Les opérateurs cherchent des postes en télétravail, parfois via des plateformes ou des processus de recrutement rapides, et se présentent avec des CV cohérents, des références plausibles et un niveau technique suffisant pour passer des entretiens. Les autorités américaines décrivent l’usage de personas fabriqués, de documents falsifiés et d’identités dérobées pour masquer l’origine réelle du candidat et sécuriser un contrat dans une entreprise légitime.

Une fois embauchés, ces profils disposent d’un accès régulier aux outils de travail, dépôts de code, environnements cloud, tickets internes, messageries, parfois même des secrets applicatifs. C’est là que l’affaire dépasse la fraude salariale. Dans certains cas, l’accès sert à voler des informations propriétaires ou sensibles, puis à faire pression. Microsoft, qui suit ce type de menace, recommande de traiter le sujet comme un risque d’initié, en surveillant l’usage de identifiants légitimes, les comportements anormaux et les activités « low-and-slow » qui se fondent dans la routine.

Un point qui mérite une nuance, l’embauche à distance n’est pas le problème en soi. Le problème, c’est un empilement de failles, vérifications d’identité faibles, sous-traitance en chaîne, comptes partagés, manque de segmentation des accès. Marc L. le formule sans détour, « si ton onboarding se résume à une copie de passeport et un appel vidéo, tu joues à pile ou face ». Les recommandations opérationnelles vont vers du contrôle renforcé, des accès au moindre privilège et une détection comportementale plus fine.

Crypto, sociétés écrans et outils d’IA accélèrent l’évasion des sanctions

Le dossier met en avant le rôle de structures qui facilitent les flux financiers. Parmi les entités visées figure Amnokgang Technology Development Company, décrite comme une société IT nord-coréenne supervisant des délégations de travailleurs à l’étranger et impliquée dans des activités d’approvisionnement illicite. Une autre entité, Quangvietdnbg au Vietnam, est présentée comme un rouage de conversion monétaire, transformant des gains issus de ces emplois en fonds exploitables pour le régime, ce qui illustre une logistique financière pensée pour durer.

La dimension crypto apparaît aussi très concrètement. Les autorités ont inclus sept adresses de cryptomonnaies dans une désignation liée à Amnokgang, et une analyse sectorielle mentionne un facilitateur ayant converti environ 2,5 millions de dollars en crypto entre mi-2023 et mi-2025 pour des travailleurs IT liés à ces schémas. L’intérêt est double, rapidité des transferts et contournement partiel des garde-fous bancaires classiques, même si les plateformes et les analystes blockchain renforcent, eux aussi, leurs capacités de traçage.

Autre accélérateur, l’usage d’outils d’IA pour industrialiser la tromperie. Des évaluations évoquent des outils « agentiques » capables de générer de faux sites d’entreprise et d’aider à produire, affiner puis réimplémenter des composants de malware, parfois via le contournement de garde-fous de grands modèles de langage. Pour les entreprises, l’implication est immédiate, la frontière entre candidature crédible et identité synthétique devient plus difficile à repérer, ce qui pousse à renforcer les contrôles, pas à les alléger.

À retenir

  • Le Trésor américain sanctionne 6 individus et 2 entités liés à des faux emplois IT au profit de Pyongyang.
  • Les autorités estiment à près de 800 M$ les revenus générés en 2024, avec jusqu’à 90% prélevés par l’État nord-coréen.
  • Le schéma combine identités volées, accès internes prolongés, et parfois vol de données suivi d’extorsion.
  • La conversion via crypto et l’usage d’outils d’IA compliquent la détection et l’application des sanctions.

Questions fréquentes

Que sanctionne exactement l’OFAC dans cette affaire liée à la Corée du Nord ?
L’OFAC vise des facilitateurs, six individus et deux entités, accusés de soutenir des schémas de travailleurs IT opérant sous de fausses identités pour obtenir des emplois à distance et rediriger des revenus vers la Corée du Nord, en violation des sanctions.
Pourquoi des entreprises américaines sont-elles ciblées par de “faux” candidats IT ?
Parce que le recrutement à distance peut offrir un accès durable à des systèmes et à des données, tout en générant des salaires versés légalement par l’employeur. Les autorités américaines décrivent un détournement des gains au profit de programmes d’armes et, dans certains cas, des usages malveillants de l’accès obtenu.
Quel est le rôle des cryptomonnaies dans ces schémas ?
La crypto sert à déplacer et convertir des fonds issus des salaires. Les désignations mentionnent des adresses crypto et des facilitateurs de conversion, avec un exemple de conversions d’environ 2,5 millions de dollars sur une période allant de mi-2023 à mi-2025.
Comment une entreprise peut-elle réduire le risque face à ce type d’infiltration ?
Les recommandations mises en avant par des acteurs de la sécurité consistent à traiter le sujet comme un risque d’initié, surveiller l’usage d’identifiants légitimes, détecter des accès anormaux et limiter les privilèges, tout en renforçant les contrôles d’identité et l’onboarding.

Sources

Tags
Afficher plus
Photo of Olivier Gouin

Olivier Gouin

Olivier occupe aujourd'hui la fonction de Coordonnateur Régional sur la Zone Ouest (défense) du Réseau des Experts Cyber Menaces de la Police Nationale - Le RECyM depend de l'Office Anti-Cybecriminalité (OFAC). Son parcours illustre une synergie unique entre les univers de la défense et du monde civil, du public comme du privé, dans des domaines de la haute technologique, de la sécurité de l'information, de l'industrie et du secteur des services, de la gestion des risques et des assurances. Son expertise s'étend également à la formation spécialisée, notamment auprès des Compagnies d'assurances, des Courtiers et des Agents Géneraux sur les risques liés au numerique et à la cybersécurité. Très présent dans le monde de l'innovation technologique et du numérique, il a accompagné des projets et des programmes dans les secteurs technologiques de pointes et dans un environnement dual. Il a été également co-fondateur du Clusir Bretagne

Articles similaires

Photo of 2 fronts, 72 h de piratages massifs, drones terroristes à 3 km, ce que la guerre asymétrique prépare pour l’Europe

2 fronts, 72 h de piratages massifs, drones terroristes à 3 km, ce que la guerre asymétrique prépare pour l’Europe

il y a 4 jours
Photo of Le groupe Handala passe au ransomware dans sa cyberguerre contre Israël

Le groupe Handala passe au ransomware dans sa cyberguerre contre Israël

il y a 1 semaine
Photo of Des officiels irakiens visés par Dust Specter et ses nouveaux RATs .NET pilotés par IA

Des officiels irakiens visés par Dust Specter et ses nouveaux RATs .NET pilotés par IA

il y a 2 semaines
Photo of L’Iran monte en puissance dans la cyberguerre et vise de nouvelles cibles

L’Iran monte en puissance dans la cyberguerre et vise de nouvelles cibles

il y a 2 semaines

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page
Fermer