On a longtemps cru que les faux CV et les photos retouchées étaient le cœur de la manœuvre. En 2025, la technique s’est raffinée au point de ne presque plus laisser de traces.
Par Emmanuel Roux
Dernière mise à jour
4 mins de lecture
Le recrutement suit un script éprouvé. Premier contact sur une plateforme, puis bascule rapide sur Telegram ou Discord.
On « aide » la cible à installer AnyDesk ou Chrome Remote Desktop, on lui explique comment rester en ligne pendant les heures de bureau, on fournit même parfois un diaporama d’onboarding clé en main.
Le titulaire du compte touche une fraction, souvent autour d’un cinquième, assez pour que l’arrangement paraisse crédible.
Read the FBI’s new PSA on North Korean IT workers illegally obtaining remote jobs with U.S. companies to generate profit for North Korea. Recently, these workers have leveraged their unlawful access to steal data and extort companies: https://t.co/8QEf3NQacn pic.twitter.com/Kg0Pa2sFMq
— FBI (@FBI) January 24, 2025
Les opérateurs, eux, récupèrent le reste via crypto ou virement sur des comptes tampons. Ils peuvent ainsi enchaîner les missions sous des identités propres, déplacer l’activité quand un profil est signalé, et maintenir un flux quasi industriel d’accès à des environnements sensibles.
Les algorithmes anti-fraude s’apaisent quand tout concorde sur le papier. Et quand une alerte finit par tomber, la solution est triviale : ouvrir un nouveau compte au nom d’un proche, repartir le lendemain, même ville, même FAI, même décor.
Les dossiers judiciaires récents ont fait sortir de l’ombre la logistique qui soutient ces opérations.
On a vu émerger des « laptop farms » hébergées chez des particuliers, des boîtes aux lettres utilisées pour recevoir du matériel d’entreprise, des sociétés écrans qui facturent en bonne et due forme.
Parfois, les recrues ne touchent jamais un IDE. Elles se contentent de vérifier des comptes, d’ouvrir une ligne téléphonique, de rester connectées.
Les opérateurs prennent les entretiens techniques, livrent des artefacts plausibles, engrangent les salaires.
Le plus troublant, c’est que les victimes directes sont souvent des TPE sans moyens, mais l’accès obtenu sert ensuite à viser plus haut : dépôts privés, pipelines CI/CD, clés d’API de prestataires, back-offices de plateformes crypto.
On voudrait croire que cela ne concerne que la finance on-chain. Ce n’est plus vrai.
Les mêmes méthodes servent à décrocher des contrats en architecture, en support client, en design. Dès qu’un poste s’exerce à distance et que l’identité prime sur la présence, la porte s’entrouvre.
L’argument « c’est de la crypto, donc c’est à risque » rate la cible. Le risque, ici, c’est la désintermédiation des vérifications par la location de personnes réelles.
Le modèle tire sa force d’une évidence gênante : ce que voit un système de conformité est vrai. Le passeport est scanné, l’IP est du pays, les horaires collent, la webcam montre l’appartement de la bonne ville.
Les signaux faibles n’apparaissent qu’après coup. Un compte qui se met à produire à des cadences étranges.
Un « développeur » incapable de tenir une conversation dans la langue qu’il prétend maîtriser, mais qui répond vite en texte. Une dépendance soudaine à des outils d’accès à distance.
WARNING: The FBI continues warning that North Korean IT workers are using a variety of tactics to disguise identities to gain fraudulent employment, access to US company networks, and generate revenue for the North Korean regime. Protect your business, and help the FBI Defend the… pic.twitter.com/vpCnmU2sp5
— FBI Pittsburgh (@FBIPittsburgh) July 29, 2025
Et quand la plate-forme suspend, l’écosystème réplique déjà : on migre sur une autre identité, on réinstalle, on réattaque. Les entreprises croisent des profils proprets qui passent tous les filtres et confondent « conformité » et « confiance ».
Or la confiance se construit ailleurs, sur des preuves d’authenticité en situation, pas sur des scans.
Il y a une part d’angle mort humain. Les recrues ne se pensent pas complices.
Elles voient une sous-traitance déguisée, une chance de gagner un peu sans bouger de chez elles. Certaines savent très bien ce qu’elles font, d’autres non.
La bonne réponse n’est pas de tout bloquer ni de débarquer au bureau de chaque remote. Elle ressemble plutôt à une superposition de tests qui rendent le camouflage coûteux.
Demander une prise de parole spontanée dans la langue locale en visio, à froid, sans scripts. Exiger que les entretiens techniques incluent un partage d’écran sur la machine personnelle, avec un œil sur les process actifs.
C’est leur exécution qui compte, surtout quand la pression de recruter vite pousse à baisser la garde. Selon les autorités américaines, ces schémas d’infiltration représentent une menace sophistiquée nécessitant une vigilance constante.
À lire aussi :
Issu de la finance traditionnelle, j’ai naturellement basculé vers l’univers crypto, attiré par son potentiel. Je souhaite y apporter mon approche analytique et rationnelle, tout en conservant ma curiosité. En dehors de l’écran, je lis beaucoup (économie, essais, un peu de science-fiction) et je prends plaisir à bricoler. Le DIY, pour moi, c’est comme la crypto : comprendre, tester, construire soi-même.