L'identité de plus de 80 Américains a été volée suite à des escroqueries impliquant des informaticiens nord-coréens.

Depuis des années, le gouvernement nord-coréen trouve une source florissante de revenus pour contourner les sanctions en demandant à ses citoyens de postuler secrètement à des emplois technologiques à distance en Occident . Une opération de démantèlement récemment révélée par les forces de l'ordre américaines révèle clairement qu'une grande partie des infrastructures utilisées pour mener à bien ces stratagèmes est basée aux États-Unis, et que de nombreuses identités américaines ont été usurpées par les imposteurs nord-coréens pour les mettre en œuvre.

Lundi, le ministère de la Justice a annoncé une vaste opération visant à réprimer les éléments basés aux États-Unis du programme de télétravail informatique nord-coréen. Deux Américains, dont l'un a été arrêté par le FBI, ont été inculpés. Les autorités ont également perquisitionné 29 « fermes d'ordinateurs portables » réparties dans 16 États, censées accueillir et héberger les ordinateurs auxquels les travailleurs nord-coréens accèdent à distance. Environ 200 de ces ordinateurs, ainsi que 21 domaines web et 29 comptes financiers ayant bénéficié des revenus générés par l'opération, ont été saisis. L'annonce et les inculpations du ministère de la Justice révèlent également que les Nord-Coréens n'ont pas simplement créé de fausses identités pour s'infiltrer dans des entreprises technologiques occidentales, selon les autorités, mais qu'ils auraient également usurpé l'identité de « plus de 80 Américains » pour se faire passer pour eux dans plus d'une centaine d'entreprises américaines et ainsi acheminer de l'argent vers le régime de Kim.

« C'est énorme », déclare Michael Barnhart, enquêteur spécialisé dans le piratage et l'espionnage nord-coréens chez DTEX, une société de sécurité spécialisée dans les menaces internes. « Lorsqu'on a une telle batterie d'ordinateurs portables, c'est le point faible de ces opérations. Les démanteler dans autant d'États, c'est énorme. »

Au total, le ministère de la Justice affirme avoir identifié six Américains soupçonnés d'être impliqués dans un stratagème visant à permettre aux employés nord-coréens du secteur technologique de se faire passer pour des imitateurs. Cependant, seuls deux d'entre eux ont été identifiés et inculpés – Kejia Wang et Zhenxing Wang, tous deux basés dans le New Jersey – et seul Zhenxing Wang a été arrêté. Les procureurs accusent les deux hommes d'avoir contribué à usurper l'identité de nombreux Américains pour que les Nord-Coréens puissent se les faire passer pour des individus, d'avoir reçu des ordinateurs portables envoyés par leurs employeurs, d'avoir mis en place un accès à distance permettant aux Nord-Coréens de contrôler ces machines depuis le monde entier – souvent grâce à un dispositif appelé « clavier-vidéo-souris » (KVM) – et d'avoir créé des sociétés écrans et des comptes bancaires permettant au gouvernement nord-coréen de percevoir les salaires qu'ils auraient perçus. Le ministère de la Justice affirme que les deux Américains ont également collaboré avec six complices chinois, selon les documents d'accusation, ainsi qu'avec deux ressortissants taïwanais.

Pour créer les identités des travailleurs nord-coréens, les procureurs affirment que les deux Wang ont accédé aux données personnelles de plus de 700 Américains en effectuant des recherches dans leurs dossiers privés. Mais pour les personnes usurpées par les Nord-Coréens, ils seraient allés bien plus loin, utilisant des scans des permis de conduire et des cartes de sécurité sociale des victimes d'usurpation d'identité pour leur permettre de postuler à des emplois sous leur nom, selon le ministère de la Justice.

Les documents d'accusation ne précisent pas clairement comment ces documents personnels auraient été obtenus. Cependant, M. Barnhart, de DTEX, affirme que les opérations d'usurpation d'identité nord-coréennes obtiennent généralement les documents d'identité des Américains à partir de forums cybercriminels du dark web ou de sites de fuite de données. En réalité, il affirme que les plus de 80 identités volées citées par le DOJ ne représentent qu'un infime échantillon des milliers d'identités américaines qu'il a observées, parfois extraites des infrastructures des opérations de piratage nord-coréennes.

« Ils en ont une multitude », explique Barnhart. « Dès qu'un criminel cherche à obtenir une pièce d'identité, il s'en sert comme d'un appât, car il n'a même pas besoin de commettre l'infraction. L'identité est déjà là. » Barnhart dit avoir vu des imitateurs nord-coréens aller jusqu'à vérifier leurs identités volées pour vérifier leurs antécédents criminels et même choisir de se faire passer pour des Américains résidant dans des États sans impôt sur le revenu afin de maximiser leurs profits.

Outre les accusations portées par le ministère de la Justice contre Kejia Wang et Zhenxing Wang, les procureurs ont également annoncé que le FBI avait perquisitionné 21 autres parcs d'ordinateurs portables présumés dans 14 États américains et saisi environ 137 ordinateurs qui, selon les procureurs, auraient été utilisés dans des opérations de télétravail nord-coréennes. Dans deux autres affaires, les procureurs affirment que des Nord-Coréens ont utilisé l'accès privilégié qu'ils ont obtenu en se faisant passer pour des employés occidentaux d'entreprises de cryptomonnaies pour voler plus de 900 000 dollars de fonds, dont environ 740 000 dollars volés à une entreprise basée à Atlanta.

Si la plupart des stratagèmes d'usurpation d'identité nord-coréens que le DOJ cherchait à démanteler semblaient être axés sur l'argent, les procureurs soulignent également que l'une des entreprises infiltrées par les travailleurs nord-coréens lors de l'opération prétendument facilitée par les deux Wang était un sous-traitant californien du secteur de la défense spécialisé dans les technologies liées à l'IA. Dans ce cas, le gouvernement affirme que les usurpateurs d'identité nord-coréens ont également accédé à des données techniques, probablement volées, dont certaines informations suffisamment sensibles pour être protégées par le règlement sur le trafic international d'armes (ITAR).

Bien que les perquisitions, les inculpations et les arrestations menées par le DOJ et le FBI soient significatives, affirme Barnhart de DTEX, elles sont loin d'être la fin des tentatives de la Corée du Nord d'infiltrer des entreprises occidentales, et plus particulièrement américaines, à des fins lucratives et d'espionnage. Après tout, un seul suspect est en détention, même parmi les individus nommés par le DOJ, et d'innombrables autres Nord-Coréens impliqués dans ce type de stratagèmes restent indemnes à l'intérieur des frontières du régime et dans les régions voisines de la Chine où ils opèrent.

« Cela va sérieusement compromettre leurs activités », explique Barnhart. « Mais à mesure que nous nous adaptons, ils s'adaptent. »