Usurpation d’identité et escroquerie : comment des informaticiens nord-coréens ont infiltré plus de 300 entreprises américaines

Les procureurs affirment que des informaticiens liés à la Corée du Nord ont infiltré et escroqué des centaines d’entreprises américaines, y compris de grandes entreprises. Il s’agit, selon eux, de la plus grande escroquerie de ce type jamais mise en accusation.

Un article de Kelly Phillips Erb pour Forbes US – traduit par Lisa Deleforterie

Le département de la Justice des États-Unis a levé les scellés sur plusieurs documents judiciaires liés à des activités d’usurpation d’identité et autres délits perpétrés par la République populaire démocratique de Corée (RPDC ou Corée du Nord). Les procureurs, soutenant que des informaticiens nord-coréens ont infiltré et escroqué des entreprises américaines, qualifient cette affaire de la plus importante jamais instruite en la matière.

Le stratagème

D’après les documents judiciaires, la Corée du Nord a déployé des milliers d’informaticiens qualifiés à travers le monde, se dissimulant derrière des identités volées ou empruntées, dans le but d’infiltrer les réseaux d’entreprises américaines et de récolter des fonds pour alimenter son programme d’armement, violant ainsi les sanctions imposées par les États-Unis et l’Organisation des Nations unies (ONU). Ces manœuvres ont entraîné l’escroquerie de plus de 300 entreprises américaines, dont de nombreuses grandes entreprises de renom, utilisant des plateformes de paiement et des comptes sur des sites d’emploi en ligne aux États-Unis, des ordinateurs mandataires localisés dans le pays, ainsi que des personnes et entités américaines, certaines étant inconscientes de leur contribution à cette fraude.

D’après les procureurs, le système a pris forme au début de l’année 2020, lorsque plusieurs informaticiens étrangers ont commencé à fournir des services à distance à des entreprises américaines. Pour décrocher ces postes, ces individus ont usurpé l’identité de citoyens américains et ont postulé pour des emplois à distance aux États-Unis. Une fois embauchés, parfois par le biais de sociétés de recrutement, ils ont pu accéder aux systèmes internes des entreprises américaines. Outre le vol de données et d’argent, ces individus ont été rémunérés pour leur travail, empochant ainsi des millions de dollars qu’ils ont faussement déclarés au fisc américain (IRS).

Des pirates qui se font passer pour des citoyens américains

Parmi les personnes inculpées figure Christina Marie Chapman, une citoyenne américaine arrêtée à Litchfield Park, en Arizona, en compagnie de ses co-conspirateurs, désignés dans l’acte d’accusation sous les noms de John Does 1-3, et identifiés par les pseudonymes de Jiho Han, Haoran Xu et Chunji Jin.

Mme Chapman est accusée d’avoir aidé les informaticiens à valider des informations d’identité volées afin qu’ils puissent se faire passer pour des citoyens américains. Les informaticiens étrangers ont trouvé un emploi dans des entreprises américaines, notamment une chaîne de télévision de premier plan, une entreprise technologique de la Silicon Valley, un fabricant aérospatial, un constructeur automobile américain, un magasin de détail de luxe et une entreprise américaine de médias et de divertissement (désignée dans l’acte d’accusation comme « l’une des entreprises de médias et de divertissement les plus connues au monde »), toutes des entreprises classées dans le classement Fortune 500. Les procureurs affirment que les informaticiens étrangers ont également exfiltré des données d’au moins deux entreprises américaines, dont une chaîne de restaurants multinationale et une marque de vêtements américaine. (Les informaticiens étrangers ont également tenté à trois reprises d’obtenir un emploi et d’accéder à des informations auprès de deux agences gouvernementales américaines différentes, bien que ces efforts aient été globalement infructueux).

Le FBI a également exécuté des mandats de perquisition dans des « fermes d’ordinateurs portables » basées aux États-Unis. Celles-ci sont des résidences qui hébergent des ordinateurs portables destinés à des informaticiens étrangers, de sorte que ces derniers semblent travailler aux États-Unis.

En octobre 2023, la résidence de Mme Chapman a été l’une des cibles des perquisitions menées sous mandat dans le district de l’Arizona. Les autorités l’accusent d’avoir utilisé son domicile pour héberger une installation de « ferme d’ordinateurs portables », participant ainsi au projet. De plus, elle est accusée d’avoir reçu des chèques de paie et de les avoir falsifiés, ainsi que d’avoir permis aux entreprises américaines de verser directement les salaires des travailleurs informatiques étrangers sur ses comptes financiers aux États-Unis.

« Utiliser des identités volées de citoyens américains est déjà un crime en soi, mais lorsque ces identités servent à obtenir un emploi pour des étrangers ayant des liens avec la Corée du Nord dans des centaines d’entreprises américaines, cela compromet la sécurité nationale de tout un pays », a déclaré Guy Ficco, chef de l’agence publique IRS Criminal Investigation. « Depuis plus de 100 ans, les agents spéciaux des enquêtes criminelles de l’IRS suivent l’argent, et leur expertise financière a une fois de plus permis d’arrêter les criminels dans leur élan. »

Les procureurs affirment que Mme Chapman a d’abord été approchée pour participer à la fraude sur LinkedIn, où on lui a demandé d’être le « visage américain » d’une entreprise. (Sa page LinkedIn semble avoir été supprimée).

Aujourd’hui, elle est spécifiquement inculpée pour plusieurs chefs d’accusation, notamment complot en vue de frauder les États-Unis, complot en vue de commettre une fraude électronique, complot en vue de commettre une fraude bancaire, vol d’identité aggravé, complot en vue de commettre une fraude d’identité, complot en vue de blanchir des instruments monétaires, exploitation d’une entreprise de transfert de fonds sans licence, et emploi illégal d’étrangers. Les John Does sont accusés de conspiration en vue de blanchiment d’argent.

Mme Chapman a été inculpée et n’a pas encore plaidé coupable. Si elle est reconnue coupable, elle risque une peine maximale de 97,5 ans de prison, dont une peine minimale obligatoire de deux ans pour le chef d’accusation de vol d’identité aggravé.

Selon les documents judiciaires, elle est actuellement représentée par un avocat public fédéral.

Les John Does sont toujours en fuite. Le département d’État américain a annoncé une récompense pouvant aller jusqu’à 5 millions de dollars (4,6 millions d’euros) pour toute information relative aux co-conspirateurs de Mme Chapman. Le département de la Justice des États-Unis encourage toute personne ayant des informations sur Jiho Han, Haoran Xu, Chunji Jin, Zhonghua, les personnes ou entités associées, ou sur leurs activités de génération de revenus et de blanchiment d’argent, à contacter le bureau des récompenses pour la justice par l’intermédiaire de son canal de signalement basé sur Tor.

Nicole M. Argentieri, procureure générale adjointe principale et cheffe de la division criminelle du département de la Justice, a déclaré : « Les accusations portées dans cette affaire devraient alerter les entreprises américaines et les agences gouvernementales qui emploient des travailleurs à distance dans le domaine des technologies de l’information. Ces crimes ont profité au gouvernement nord-coréen, lui procurant une source de revenus et, dans certains cas, des informations exclusives volées par les co-conspirateurs. La division criminelle reste ferme dans son engagement à poursuivre les schémas criminels complexes comme celui-ci ».

CV et lettres de motivation

Une plainte pénale a également été déposée dans le district de Columbia, accusant Oleksandr Didenko, originaire de Kiev (Ukraine), d’avoir créé de faux comptes sur des plateformes américaines de recherche d’emploi dans le secteur des technologies de l’information, ainsi qu’auprès de sociétés de transfert de fonds basées aux États-Unis.

Selon la plainte pénale, il dirigeait un site web, upworksell.com, qui prétendait fournir des services aux travailleurs informatiques à distance. Selon la déclaration sous serment à l’appui de la plainte fournie par l’agent spécial du FBI qui a examiné le site, ce dernier offrait aux travailleurs informatiques à distance la possibilité d’acheter ou de louer des comptes au nom d’identités autres que la leur. Le site proposait également la « location de cartes de crédit » dans l’Union européenne et aux États-Unis, ainsi que la location de cartes SIM pour les téléphones portables : les clients envoyaient de l’argent pour qu’il soit chargé sur la carte, et M. Didenko fournissait les informations relatives à la carte au client après avoir perçu une commission.

Les procureurs affirment que ces services faisaient partie d’une « gamme complète de services » qui comprenait également de faux entretiens permettant aux individus de se présenter sous une fausse identité et de se vendre pour du travail informatique à distance auprès d’entreprises peu méfiantes.

(Le domaine upworksell.com a depuis été saisi par le département de la Justice des États-Unis en vertu d’une décision de justice, et tout le trafic a été redirigé vers le FBI. Un message informant de ce fait figure désormais sur le site).

Selon la déclaration sous serment à l’appui de la plainte, M. Didenko a géré jusqu’à environ 871 identités substituées. En coordination avec ses complices, il a facilité le fonctionnement d’au moins trois fermes d’ordinateurs portables basées aux États-Unis, hébergeant à un moment donné environ 79 ordinateurs.

Les procureurs affirment que M. Didenko a reconnu dans des messages qu’il pensait aider des informaticiens nord-coréens. En outre, en novembre 2023, une société américaine de cybersécurité a découvert sur une plateforme de stockage en ligne des documents relatifs à des tentatives de travailleurs informatiques nord-coréens d’obtenir un emploi en tant que travailleurs à distance. Selon des documents judiciaires, l’entreprise a estimé avec un « haut degré de confiance » que ces documents pouvaient être attribués à un groupe d’espionnage lié à la Corée du Nord. L’entreprise a déclaré : « Plusieurs des documents que nous avons découverts contenaient des informations qui désignaient plus clairement la Corée du Nord. De nombreux mots de passe associés à ces documents ont été créés en coréen et tapés sur un clavier américain, et certains mots de passe contiennent des termes uniquement utilisés en Corée du Nord. En outre, des paramètres de langue du clavier coréen ont été trouvés sur les ordinateurs utilisés par les acteurs de la menace à l’origine de ces campagnes ».

Les documents comprenaient des guides et des conseils sur la recherche d’emploi, la rédaction d’une lettre de motivation, l’élaboration d’un CV, des exemples de CV de prétendus informaticiens et des scripts d’entretien. Plusieurs documents concernaient des offres d’emploi en ligne à la recherche d’employés que des informaticiens nord-coréens avaient obtenus, y compris des emplois auprès d’employeurs américains qui ont ensuite été reliés, par le biais de documents commerciaux, aux ordinateurs trouvés au domicile de Mme Chapman (les procureurs affirment que les activités de Didenko et de Chapman étaient liées).

L’un des clients de M. Didenko travaillant dans l’informatique à l’étranger a également demandé qu’un ordinateur portable soit envoyé de l’une des fermes d’ordinateurs portables de M. Didenko aux États-Unis à la ferme d’ordinateurs portables de Mme Chapman, ce qui montre l’interconnectivité de ces cellules au sein du réseau nord-coréen de travailleurs de l’informatique à l’étranger. Des mandats de perquisition visant quatre résidences américaines associées à des fermes d’ordinateurs portables contrôlées par M. Didenko ont été délivrés dans le district sud de Californie, le district est du Tennessee et le district est de Virginie.

S’il est reconnu coupable, M. Didenko risque une peine maximale de 67,5 ans de prison, dont une peine minimale obligatoire de deux ans pour le chef d’accusation d’usurpation d’identité aggravée. Les autorités polonaises ont arrêté M. Didenko le 6 mai à la demande des États-Unis, qui réclament son extradition de Pologne.

Les documents judiciaires n’indiquent pas si M. Didenko a obtenu une représentation juridique américaine.

Alertes concernant les informaticiens nord-coréens 

En 2022, le FBI et les départements d’État et du Trésor ont publié un avis pour alerter la communauté internationale, le secteur privé et le public sur la menace que représentent les informaticiens nord-coréens. Ce guide de 16 pages fournit des informations détaillées sur le mode de fonctionnement des informaticiens nord-coréens, des signaux d’alerte pour les entreprises qui recrutent des développeurs indépendants et pour les plateformes de freelance et de paiement afin d’identifier ces travailleurs, ainsi que des mesures générales d’atténuation pour les entreprises afin de mieux se protéger contre l’embauche par inadvertance ou la facilitation des opérations de ces travailleurs.

Les États-Unis et la Corée du Sud ont publié des directives actualisées en octobre 2023. Elles comprennent de nouveaux indicateurs à surveiller qui correspondent à une fraude de travailleurs informatiques nord-coréens et des mesures de diligence raisonnable supplémentaires que la communauté internationale, le secteur privé et le public peuvent prendre pour empêcher l’embauche de travailleurs informatiques nord-coréens.

Le FBI encourage les entreprises américaines à signaler toute activité suspecte, y compris toute activité présumée de travailleurs informatiques nord-coréens, aux bureaux locaux.

À lire également : Tout le monde est plus productif grâce à l’IA. Même les cybercriminels !