Le réseau d'informaticiens nord-coréens est une opération de fraude pilotée par un État, qui place de faux salariés en télétravail au sein d'entreprises occidentales à l'aide d'identités volées, de complices basés aux États-Unis qui font tourner des « fermes d'ordinateurs portables » et d'entretiens dopés à l'IA. Le seul volet « faux salariés » génère de façon constante entre **250 et 600 millions de dollars par an** de salaires frauduleux pour la Corée du Nord, et il fait l'objet de poursuites devant la justice fédérale américaine en ce moment même. Pour y mettre fin, il faut vérifier l'identité dès la candidature, mener des entretiens caméra allumée avec des tests anti-deepfake en direct, n'expédier le matériel qu'à l'adresse vérifiée et n'accorder aucun accès aux systèmes tant que la vérification des antécédents n'est pas validée. La défense se joue dans votre tunnel de recrutement, pas dans votre pare-feu.

C'est inconfortable pour une raison que la plupart des conseils de sécurité n'ont pas : l'attaquant ne force aucune porte. Il postule. Il réussit l'entretien. Il accepte votre offre, signe vos papiers et passe votre intégration sans accroc. Le pipeline de recrutement est la surface d'attaque, et pour une équipe à distance sans service de sécurité adossé au recrutement, elle est grande ouverte.

## En quoi consiste réellement le réseau d'informaticiens nord-coréens

Le dispositif s'appuie sur de vraies identités américaines pour faire embaucher des agents nord-coréens dans de véritables postes d'ingénierie en télétravail, avec un complice américain rémunéré qui donne au salarié l'apparence d'un profil local. Le travailleur se trouve physiquement en Chine, en Russie ou ailleurs ; un opérateur de « ferme d'ordinateurs portables » aux États-Unis réceptionne le portable de l'entreprise, y installe un logiciel d'accès à distance et laisse le travailleur à l'étranger s'y connecter. L'employeur croit avoir embauché un ingénieur local. C'est faux.

Le ministère américain de la Justice affirme que la Corée du Nord a « déployé des milliers d'informaticiens hautement qualifiés à travers le monde », et le réseau de complices couvre plusieurs pays (source : [DOJ, action nationale de juin 2025](https://www.justice.gov/opa/pr/justice-department-announces-coordinated-nationwide-actions-combat-north-korean-remote)). On ne parle pas d'une poignée d'opportunistes, mais d'un pipeline de revenus industrialisé, avec division du travail, outillage dédié et un objectif d'évitement des sanctions.

### Les chiffres, décodés : 2,8 Md$ de crypto contre 250 à 600 M$ de salaires

Deux chiffres sont sans cesse confondus, et les distinguer est le moyen le plus rapide de repérer qui maîtrise vraiment le sujet. L'équipe multilatérale de suivi des sanctions (MSMT) évalue l'*ensemble* des revenus nord-coréens issus du cyber et des informaticiens à environ **2,8 milliards de dollars entre janvier 2024 et septembre 2025**, mais l'essentiel de cette somme provient du **vol de cryptomonnaies**, pas des salaires (source : [rapport MSMT du Département d'État américain](https://www.state.gov/releases/office-of-the-spokesperson/2026/01/multilateral-sanctions-monitoring-team-report-on-dprk-violations-and-evasions-of-un-sanctions-through-cyber-and-information-technology-worker-activities), synthétisé par [Chainalysis](https://www.chainalysis.com/blog/msmt-report-north-korea-dprk-cyber-threats/)).

Le **dispositif des faux informaticiens à lui seul** constitue un flux distinct, plus modeste, que l'ONU estime entre **250 et 600 millions de dollars par an** de salaires frauduleux (source : [Fortune](https://fortune.com/2026/04/25/north-korean-it-worker-scheme-american-faciliators/), citant des rapports de l'ONU). Chaque travailleur toucherait entre 3 500 et 10 000 dollars par mois. Donc quand vous lisez « 2,8 milliards de dollars grâce aux faux informaticiens », c'est faux. Le volet salaires n'est qu'un pilier d'une machine plus vaste, et c'est précisément le pilier qui traverse de bout en bout votre logiciel de suivi des candidatures.

### Le pipeline : identité volée, complice américain, ferme d'ordinateurs portables, blanchiment

Le mécanisme est identique d'une affaire poursuivie à l'autre :

1. **Identité volée ou empruntée.** L'agent utilise le nom, le numéro de sécurité sociale et l'adresse d'un véritable Américain, souvent achetés ou récupérés lors de fuites de données antérieures.
2. **Un complice basé aux États-Unis.** Un acolyte rémunéré (l'opérateur de la « ferme d'ordinateurs portables ») donne au dispositif une empreinte locale en réceptionnant le portable de l'entreprise à une adresse américaine.
3. **Accès à distance.** Le complice installe un logiciel de contrôle à distance pour que le travailleur à l'étranger opère comme s'il était assis à ce bureau américain.
4. **Blanchiment des salaires.** La rémunération transite par le complice, puis est acheminée à l'étranger vers la Corée du Nord, parfois via la cryptomonnaie.

Les complices vont du profiteur parfaitement conscient à des personnes recrutées via des annonces de « travail à domicile » qui ne mesurent pas vraiment ce dans quoi elles se sont engagées. Dans tous les cas, l'entreprise à l'autre bout voit un dossier de paie irréprochable et un ingénieur qui fait le travail.

## Ce n'est pas du sensationnalisme, c'est poursuivi au pénal

Si vous aviez rangé ce sujet dans la case « argumentaire commercial des éditeurs de sécurité », il est temps de revoir votre classement. Le ministère de la Justice a obtenu des peines de plusieurs années de prison contre les complices américains qui font tourner le dispositif, et les dossiers d'instruction se lisent comme un mode d'emploi de la fraude.

### La ferme d'ordinateurs portables de l'Arizona : 309 entreprises, 17 M$, 102 mois

L'affaire de référence est celle de Christina Chapman, qui faisait tourner une ferme d'ordinateurs portables depuis son domicile en Arizona. Le 24 juillet 2025, elle a été condamnée à **102 mois de prison**. Son dispositif a généré **plus de 17 millions de dollars**, lésé **309 entreprises américaines** (dont une chaîne de télévision figurant dans le top 5, une société tech de la Silicon Valley et des entreprises du classement Fortune 500) et reposé sur **68 identités américaines volées** (source : [DOJ](https://www.justice.gov/opa/pr/arizona-woman-sentenced-17m-information-technology-worker-fraud-scheme-generated-revenue)).

Une perquisition à son domicile en 2023 a permis de saisir **plus de 90 ordinateurs portables** dans une installation organisée, et elle avait déjà expédié **49 appareils à l'étranger**, dont plusieurs envois vers une ville chinoise frontalière de la Corée du Nord (sources : DOJ ; [The Record](https://therecord.media/arizona-woman-sentenced-north-korean-laptop-farm)). Imaginez la scène : une maison de banlieue avec 90 portables d'entreprise qui ronronnent sur des étagères, chacun incarnant un ingénieur à distance dans une entreprise différente.

La procureure fédérale Jeanine Pirro a résumé la leçon en une phrase :

> L'appel vient de l'intérieur de la maison... Les entreprises qui ne vérifient pas leurs salariés virtuels font courir un risque de sécurité à tout le monde. Vous êtes la première ligne de défense face à la menace nord-coréenne.

### Le coup de filet national de 2025 : 16 États, 29 fermes d'ordinateurs portables

Chapman n'était pas un cas isolé. En juin 2025, une action coordonnée du DOJ s'est étendue à **16 États**, avec des perquisitions dans **29 fermes d'ordinateurs portables avérées ou suspectées** et la saisie d'**environ 200 ordinateurs, 29 comptes financiers et 21 sites web frauduleux**. Les travailleurs avaient décroché des postes dans **plus de 100 entreprises américaines**. Dans l'un des dispositifs, ils ont dérobé des **technologies militaires américaines soumises à contrôle des exportations** ; dans un autre, des travailleurs nord-coréens employés par une société blockchain d'Atlanta ont volé environ **900 000 dollars en cryptomonnaie** (source : [DOJ](https://www.justice.gov/opa/pr/justice-department-announces-coordinated-nationwide-actions-combat-north-korean-remote)).

En avril 2026, deux autres complices, Kejia Wang et Zhenxing Wang, ont été condamnés à 108 et 92 mois pour avoir placé des travailleurs nord-coréens dans **plus de 100 entreprises américaines** à l'aide d'**au moins 80 identités volées**, générant **plus de 5 millions de dollars** pour le régime. Le procureur général adjoint n'a pas mâché ses mots : la combine « a inscrit des informaticiens nord-coréens sur les feuilles de paie d'entreprises américaines sans méfiance et dans des systèmes informatiques américains, portant ainsi atteinte à notre sécurité nationale » (source : [DOJ](https://www.justice.gov/opa/pr/two-us-nationals-sentenced-facilitating-fraudulent-remote-information-technology-worker)).

Le schéma est désormais une réalité judiciaire établie. Des centaines d'entreprises, des sommes à huit et neuf chiffres, et des peines de prison qui se comptent en années.

## Comment l'IA a relevé la mise, et comment elle les trahit

L'IA n'a pas inventé ce dispositif. C'est un accélérateur greffé sur la fraude de base : identité volée plus complice. Mais c'est un accélérateur bien réel, et les outils mêmes qui permettent à un agent de truquer un entretien laissent aussi des empreintes que vous pouvez traquer.

### Un deepfake en temps réel monté en 70 minutes

L'Unit 42 de Palo Alto Networks a mené l'expérience qui devrait inquiéter tout responsable du recrutement : **un seul chercheur, sans expérience en manipulation d'images, avec des connaissances limitées en deepfake et un ordinateur vieux de cinq ans, a fabriqué une identité de synthèse pour passer des entretiens d'embauche en 70 minutes**, à l'aide d'une carte graphique grand public de 2020 et d'outils gratuits (source : [Unit 42](https://unit42.paloaltonetworks.com/north-korean-synthetic-identity-creation/)). Voilà le niveau désormais requis. Pas un laboratoire d'État, pas de matériel spécialisé. Soixante-dix minutes sur un vieux PC de gamer.

Les agents combinent la vidéo en temps réel avec substitution de visage et des **outils vocaux en temps réel pour masquer leur accent**, de sorte que le candidat sur votre appel peut avoir le visage et la voix de l'Américain dont il a volé l'identité (sources : Unit 42 ; [Dark Reading](https://www.darkreading.com/remote-workforce/north-korean-operatives-deepfakes-it-job-interviews)).

La bonne nouvelle : les deepfakes en temps réel sont fragiles sur le plan technique. Ils craquent dès qu'on les place dans des conditions sur lesquelles le modèle n'a pas été entraîné. Demandez au candidat de :

- Passer lentement une main devant son visage
- Se tourner complètement de profil et tenir la pose
- Faire un mouvement de tête rapide
- Provoquer un changement soudain de luminosité

Chacun de ces gestes tend à produire des déformations, du décalage ou des artefacts que la substitution de visage ne parvient pas à suivre. Aucune de ces demandes n'est impolie, et toutes sont faciles à mettre en œuvre.

### Masquage vocal, identités de synthèse et profils « trop propres »

Au-delà de l'appel en direct, la trace écrite raconte une histoire, à condition de savoir la lire. Méfiez-vous d'une identité dépourvue d'historique numérique organique : un compte GitHub flambant neuf face à un CV revendiquant dix ans d'expérience, un LinkedIn étrangement clairsemé ou étrangement parfait, des références injoignables, des numéros VoIP ou Google Voice au lieu d'une vraie ligne d'opérateur (sources : [SpyCloud](https://spycloud.com/blog/how-we-identified-fake-north-korean-it-workers/) ; Unit 42). Un profil « trop propre » est un signal d'alerte au même titre qu'un profil criblé de trous. Sur le problème plus large d'honnêteté que l'IA introduit dans les entretiens, voyez notre article sur les [candidats deepfake et la fraude au recrutement par l'IA](/blog/deepfake-candidates-ai-hiring-fraud) ; le présent article porte sur un adversaire précis, sous sanctions, qui fait tourner un pipeline de fraude complet.

## Le recrutement est désormais une surface d'attaque

Si une équipe de sécurité doit s'intéresser à votre tunnel de recrutement, c'est parce que ce tunnel est le vecteur d'entrée. Il n'y a aucun périmètre à percer quand l'adversaire entre par la grande porte, lettre d'offre valide en main.

Une fois embauchés, ces travailleurs ne se contentent pas de toucher un salaire. Dans les affaires poursuivies, ils ont dérobé à leurs employeurs des technologies militaires soumises à contrôle des exportations et de la cryptomonnaie (source : [DOJ](https://www.justice.gov/opa/pr/justice-department-announces-coordinated-nationwide-actions-combat-north-korean-remote)). Et les dégâts ne s'arrêtent pas au licenciement : une fois découverts ou remerciés, certains informaticiens nord-coréens ont **fait chanter leurs anciens employeurs**, menaçant de divulguer le code source et les données propriétaires dérobés, ce qui a motivé des alertes spécifiques du FBI (source : [Bitdefender/FBI](https://www.bitdefender.com/en-us/blog/hotforsecurity/north-korea-it-workers-us-extortion-employer-fbi)).

Le scénario catastrophe, ici, n'est donc pas « on a fait une mauvaise embauche qui sous-performe ». C'est une exposition aux sanctions, un vol de propriété intellectuelle et une menace de chantage qui prend vos dépôts privés en otage. Ce constat fait basculer la vérification d'identité d'une formalité RH à un véritable contrôle de sécurité, exactement le même glissement que celui que nous décrivions à propos des [angles morts du recrutement en matière de SOC 2](/blog/soc2-hiring-compliance-risk).

## L'arsenal de contrôles : candidature, entretien, intégration

La défense repose sur un ensemble de contrôles en couches sur lesquels le FBI/IC3, l'OFAC et l'Unit 42 convergent tous. Aucune vérification n'est décisive à elle seule ; ensemble, elles rendent votre pipeline assez coûteux pour que les agents aillent chercher une cible plus facile. Voici le plan de jeu, étape par étape.

### Vérifier l'identité dès la candidature (analyse documentaire + détection du vivant)

Commencez avant le premier entretien. Récupérez une pièce d'identité officielle et examinez-la pour détecter falsifications, dates d'expiration et éléments de sécurité propres au pays ; rejetez d'emblée les images de mauvaise qualité. Associez la pièce d'identité à une **détection du vivant (liveness)** pour écarter une photo statique ou un deepfake, et menez une **comparaison faciale** entre la capture en direct et la photo de la pièce d'identité (sources : [alerte PSA du FBI IC3](https://www.ic3.gov/PSA/2025/PSA250723-4) ; [ID Dataweb](https://www.iddataweb.com/shadow-workers/)). L'objectif de cette étape est simple : vérifier l'humain, pas seulement le CV.

C'est là qu'un canal de candidature vérifié fait toute la différence. Le portail candidat de Kit repose sur un [accès par lien magique, sans mot de passe](/blog/why-we-killed-passwords-for-candidates) plutôt que sur un formulaire de candidature en texte libre, ce qui vous offre, dès la première étape, un canal de communication unique et vérifié, l'endroit tout désigné pour superposer la vérification documentaire et la détection du vivant.

### Des signaux d'intégrité de l'entretien pour repérer doublures et deepfakes

Rendez la caméra obligatoire et enregistrez les entretiens avec consentement. Puis rendez l'entretien impossible à scénariser à l'avance :

- Posez des **questions spontanées et impossibles à googler** : monuments locaux près de l'adresse déclarée, actualité du jour, météo du moment là où le candidat prétend se trouver.
- **Faites tourner vos jeux de questions** pour que les réponses ne puissent pas être apprises par cœur sur Glassdoor.
- Repérez les **longs silences sur des questions de culture générale**, signe de quelqu'un qui relaie les réponses d'un complice hors caméra.
- Lancez les **tests physiques de vivant** décrits plus haut pour faire craquer toute substitution de visage en temps réel.

(Sources : [Help Net Security](https://www.helpnetsecurity.com/2026/04/20/north-korean-job-interview-infiltration-video/) ; [WeLiveSecurity](https://www.welivesecurity.com/en/business-security/recruitment-spot-spy-job-seeker/).)

### Confirmer que la personne évaluée est bien celle que vous embauchez

L'arme la plus redoutable du dispositif est la doublure : un excellent ingénieur cartonne à l'entretien, puis une autre personne fait le travail. Votre mission est de prouver que la personne évaluée est bien celle que vous payez. Un **exercice de code structuré assorti d'un échange en direct** est le test le plus net qui soit. Faites réaliser un vrai travail au candidat, puis, lors d'une session en direct enregistrée, demandez-lui de parcourir son propre code, de l'enrichir et d'expliquer des choix qu'il devrait avoir en tête s'il l'avait réellement écrit.

C'est exactement ainsi que les [exercices de code](/blog/how-to-structure-code-assignments) de Kit sont conçus pour être utilisés. L'exercice transmet une tâche réelle à partir d'un dépôt modèle GitHub, et une étape d'entretien en direct vous permet de vérifier que la personne ayant soumis le travail est bien celle qui est en face de vous. La continuité d'une étape à l'autre, le même candidat vérifié de la candidature à l'exercice puis au tour en direct, voilà la piste d'audit qui défait la doublure.

<div class="blog-inline-cta">
  <p><strong>Peur qu'une doublure passe entre les mailles ?</strong> Kit relie chaque étape à une seule identité candidat vérifiée, de la candidature par lien magique à l'exercice de code jusqu'à l'entretien en direct, pour que vous puissiez prouver que la personne évaluée est bien celle que vous avez embauchée.</p>
  <p><a href="/users/sign_up">Démarrez votre essai gratuit</a></p>
</div>

### Logistique et discipline d'accès

C'est le contrôle opérationnel le plus parlant et le moins coûteux à imposer. Conformément aux recommandations du FBI et de l'OFAC : **n'expédiez le matériel qu'à l'adresse vérifiée par la pièce d'identité**, et exigez une vérification supplémentaire pour tout changement d'adresse. Formez les RH et les responsables du recrutement à **signaler tout changement d'adresse ou de plateforme de paiement en pleine intégration**, l'instant précis où une ferme d'ordinateurs portables détourne le matériel. Et n'accordez **aucun accès aux systèmes tant que la vérification des antécédents n'est pas validée** (sources : [alerte PSA du FBI IC3](https://www.ic3.gov/PSA/2025/PSA250723-4) ; [avis de l'OFAC/Trésor](https://ofac.treasury.gov/media/923126/download?inline=)). Un soudain « finalement, expédiez-le plutôt à cette autre adresse » juste après l'offre est l'un des signaux les plus criants de tout le dispositif.

Quand une étape lève une alerte, des artefacts de deepfake pendant l'appel, un numéro VoIP, un changement d'adresse en pleine intégration, elle ne doit pas se perdre dans un fil Slack. Elle doit être routée vers un processus structuré de traitement de la fraude, avec un responsable attitré, exactement comme une équipe de sécurité traite un signalement de vulnérabilité entrant. Ce traitement façon CSIRT d'un signal d'identité, c'est le pont entre recrutement et sécurité qui manque à la plupart des entreprises.

## Comment mener un recrutement résistant à la fraude dans Kit

Kit est un [ATS nativement conçu pour l'IA](/blog/what-is-ai-native-ats) qui couvre l'intersection que la plupart des outils ignorent : le recrutement comme flux de travail et la sécurité comme discipline. Les contrôles décrits plus haut ne fonctionnent que s'ils sont des réglages par défaut de votre pipeline, et non des rappels qu'on espère voir suivis par quelqu'un sous la pression des délais. Voici comment chacun se traduit en une capacité concrète.

| Contrôle (de la candidature à l'intégration) | Comment Kit le prend en charge |
|---|---|
| Vérifier l'humain dès la candidature | Le portail candidat par lien magique offre un canal vérifié unique par candidat, le point d'ancrage où superposer les vérifications documentaire et de vivant |
| Confirmer que la personne évaluée = la personne embauchée | Exercice de code structuré à partir d'un dépôt modèle GitHub + une étape d'entretien en direct pour vérifier que la même personne a fait le travail |
| Piste d'audit de qui a été évalué | Pipeline par étapes avec affectation des évaluateurs et comptes rendus enregistrés : qui a mené l'entretien, quand, sur quoi |
| Router les alertes de fraude, plutôt que hausser les épaules | Traitement structuré façon CSIRT : une alerte de deepfake ou de changement d'adresse reçoit un responsable et un SLA, pas un message perdu |
| Discipline logistique | Champs et notes d'intégration pour inscrire les règles « expédition à l'adresse vérifiée » et « aucun accès avant validation » |

Pour être précis sur le périmètre : Kit ne peut pas réaliser à votre place une analyse documentaire ou une détection du vivant, et aucun ATS n'aurait « empêché » l'affaire Chapman à lui seul. Ce que Kit fait, c'est transformer les contrôles de workflow, ceux qui démasquent réellement le dispositif, en chemin par défaut plutôt qu'en exception. Identité vérifiée à l'entrée, exercices à la fois structurés et vérifiés en direct, et un enregistrement défendable de qui exactement a été évalué à chaque étape. Le même module Csirt qui sous-tend le [programme de divulgation des vulnérabilités](/blog/how-to-set-up-vulnerability-disclosure-program) de Kit vous fournit le schéma de traitement structuré de la fraude pour router une alerte de recrutement comme un événement de sécurité.

## Foire aux questions

**La menace des informaticiens nord-coréens est-elle réelle, ou un argumentaire d'éditeur ?**
Réelle et poursuivie au niveau fédéral. Le DOJ a obtenu des peines de 102, 108 et 92 mois de prison contre des complices américains, perquisitionné 29 fermes d'ordinateurs portables dans 16 États lors d'une seule action en 2025, et documenté des centaines d'entreprises victimes. C'est une réalité d'application de la loi, pas du marketing.

**Quelle est l'ampleur du dispositif ?**
Le seul volet des faux informaticiens génère entre 250 et 600 millions de dollars par an de salaires frauduleux pour la Corée du Nord. Ce flux s'inscrit dans une machine cyber nord-coréenne plus large que l'ONU évalue à environ 2,8 milliards de dollars sur deux ans, dont la majeure partie provient du vol de cryptomonnaies, et non des salaires.

**Quels sont les signaux d'alerte ?**
Un profil numérique « trop propre » ou flambant neuf face à un long CV ; des numéros VoIP ou Google Voice ; une réticence à allumer la caméra ; de longs silences sur des questions élémentaires ; des artefacts de deepfake lors des rotations de tête ou des tests « main devant le visage » ; et, le plus criant, une demande de changement d'adresse de livraison ou de plateforme de paiement juste après l'offre.

**Une simple vérification des antécédents suffit-elle à l'arrêter ?**
Non. Le dispositif est conçu pour passer une vérification des antécédents, justement parce qu'il s'appuie sur l'identité vérifiée d'un véritable Américain. Cette vérification doit être associée à une identité contrôlée par détection du vivant dès la candidature, à des signaux d'intégrité de l'entretien, à la preuve que la personne évaluée est bien celle embauchée, et à une discipline logistique d'expédition à l'adresse vérifiée. Défense en profondeur, pas un unique point de contrôle.

## Ne laissez pas votre porte d'entrée devenir la surface d'attaque

Le réseau d'informaticiens nord-coréens est la preuve la plus nette à ce jour que le recrutement est un périmètre de sécurité. L'adversaire n'exploite aucune faille CVE ; il réussit votre entretien, signe votre offre et se connecte à distance depuis une ferme d'ordinateurs portables installée dans la chambre d'amis de quelqu'un. La parade n'est pas un prestataire de vérification des antécédents greffé après l'offre. Ce sont des contrôles résistants à la fraude intégrés au flux de recrutement dès la première candidature : identité vérifiée à la candidature, signaux d'intégrité de l'entretien qui démasquent doublures et deepfakes, une piste d'audit de qui exactement a été évalué, et un traitement structuré quand quelque chose cloche.

Chacun de ces contrôles est une décision que vous prenez avant que le portable ne parte. Si vous bâtissez une équipe d'ingénierie à distance, traitez votre pipeline pour ce qu'il est : une surface d'attaque. Quand vous serez prêt à faire de ces contrôles la norme par défaut, vous pouvez [démarrer un essai gratuit](/users/sign_up) et avoir, le jour même, un flux de recrutement vérifié et prêt à être audité.