Publié le 17 février 2026 à 05h43. Des agents nord-coréens infiltrent des entreprises occidentales en utilisant des profils LinkedIn piratés pour mener des cyberattaques, une tactique qui s’intensifie et cible désormais directement le processus de recrutement.
- Amazon a bloqué 1 500 candidatures suspectes en décembre 2025, suspectant l’implication d’opérateurs nord-coréens.
- Cette campagne marque une « industrialisation » de la manipulation d’identité, combinant données volées, intelligence artificielle et fausses interviews.
- Les entreprises doivent renforcer la gestion des identités et des accès pour contrer cette menace grandissante.
La tendance des professionnels de l’informatique, dont les profils de réseaux sociaux ont été compromis, à postuler dans des entreprises en tant que travailleurs à distance semble en déclin. Les informations disponibles indiquent que cette activité est principalement menée par des individus liés à la République populaire démocratique de Corée (RPDC).
Contrairement aux attaques de phishing ou de « spoofing » classiques, cette nouvelle méthode cible directement le processus de recrutement. Les attaquants usurpent l’identité de personnes réelles, utilisent des adresses électroniques d’entreprise vérifiées et construisent des parcours professionnels crédibles pour contourner les vérifications d’antécédents. Une fois embauchés à distance, ils redirigent les ordinateurs portables de l’entreprise vers des « fermes d’ordinateurs portables » afin de maintenir l’illusion d’une main-d’œuvre locale. Si le détournement de salaire sert à financer le régime nord-coréen, le risque stratégique majeur réside dans l’accès permanent aux systèmes internes, par exemple via l’installation de logiciels malveillants ou le vol de propriété intellectuelle.
Amazon a été l’une des premières entreprises à réagir, bloquant environ 1 500 candidatures suspectes en décembre 2025. L’entreprise suspectait que des agents de la RPDC étaient à l’origine de ces demandes frauduleuses. Selon des informations rapportées par IT-Daily, cette escroquerie représente une escalade significative des cybermenaces, où les mesures de sécurité périmétrique traditionnelles s’avèrent limitées.
Les récentes révélations concernant l’infiltration d’entreprises par des acteurs de la RPDC via LinkedIn doivent être considérées comme un renforcement structurel et une escalade des risques cybernétiques. Il ne s’agit plus d’une campagne de fraude isolée, mais d’une véritable industrialisation de la manipulation d’identité. Ces acteurs étatiques combinent des données personnelles volées, des images générées par l’intelligence artificielle et de fausses interviews vidéo pour infiltrer les organisations de manière discrète.
Face à cette menace, les entreprises doivent reconnaître une nouvelle réalité : l’identité est devenue la principale surface d’attaque. Dans un contexte de travail de plus en plus distant et hybride, les mesures de sécurité périmétrique classiques offrent une protection limitée lorsque les attaquants utilisent des informations d’identification et des appareils légitimes. Les organisations doivent donc renforcer la gestion des identités tout au long du cycle de vie des employés, en adoptant les mesures suivantes :
- Des contrôles d’identité stricts lors de l’intégration des nouveaux employés.
- L’authentification multifacteur résistante au phishing comme norme.
- Le principe du moindre privilège pour les droits d’accès, dès le premier jour.
- Une surveillance continue pour détecter les comportements suspects.
Les accès particulièrement privilégiés doivent être strictement contrôlés et régulièrement audités. Cette campagne souligne la nécessité de gagner et de vérifier continuellement la confiance dans les identités numériques. Sans des systèmes robustes de gestion des identités et des accès, les organisations risquent d’accorder un accès interne étendu aux acteurs malveillants qu’elles tentent de contrer.