Newsletter

Magazine

Inscription Newsletter

Abonnement Magazine

Une fraude nord-coréenne massive a piégé des travailleurs du secteur technologique et touché 300 entreprises américaines

et
Kelly Phillips Erb

Les procureurs affirment que des informaticiens liés à la Corée du Nord ont infiltré et escroqué des centaines d’entreprises américaines, y compris de grandes entreprises. Il s’agit, selon eux, de la plus grande escroquerie de ce type jamais mise en accusation.

Vous pensez que vos données sont en sécurité grâce à votre service informatique ? Détrompez-vous.

Le ministère de la justice a levé les scellés sur plusieurs documents judiciaires concernant l’usurpation d’identité et d’autres délits liés à la République populaire démocratique de Corée (RPDC ou Corée du Nord). Les procureurs, qui affirment que des informaticiens nord-coréens ont infiltré et escroqué des entreprises américaines, ont déclaré qu’il s’agissait de la plus grande affaire jamais instruite concernant ce type de manœuvre.

Le stratagème

Selon les documents judiciaires, la Corée du Nord a envoyé des milliers d’informaticiens qualifiés dans le monde entier avec des identités volées ou empruntées pour infiltrer les réseaux des entreprises américaines et collecter des fonds pour contribuer au programme d’armement nord-coréen, en violation des sanctions des États-Unis et de l’Organisation des Nations unies (ONU). Les manœuvres ont consisté à escroquer plus de 300 entreprises américaines, dont de nombreuses grandes entreprises bien connues, en utilisant des plateformes de paiement et des comptes de sites d’emploi en ligne américains, des ordinateurs mandataires situés aux États-Unis, ainsi que des personnes et des entités américaines (dont certaines ne se rendaient pas compte qu’elles contribuaient à la réalisation de la fraude).

Les procureurs affirment que la fraude a commencé au début de l’année 2020, lorsqu’un groupe de travailleurs informatiques étrangers a commencé à fournir des services à distance à des entreprises américaines. Pour obtenir ces emplois, les travailleurs ont usurpé l’identité de ressortissants américains et ont postulé à des emplois à distance aux États-Unis. Une fois qu’ils ont obtenu des emplois aux États-Unis – parfois par l’intermédiaire de sociétés de recrutement – ils ont pu accéder aux systèmes internes d’entreprises américaines. Non seulement ils ont volé des données et de l’argent, mais ils ont été payés des millions de dollars pour leur travail et ont faussement déclaré ces informations à l’IRS.

Christina Marie Chapman

L’une des personnes inculpées est Christina Marie Chapman, une citoyenne américaine arrêtée à Litchfield Park, en Arizona, avec ses co-conspirateurs (désignés dans l’acte d’accusation sous le nom de John Does 1-3, sous les pseudonymes de Jiho Han, Haoran Xu et Chunji Jin).

Mme Chapman est accusée d’avoir aidé les informaticiens à valider des informations d’identité volées afin qu’ils puissent se faire passer pour des citoyens américains. Les informaticiens étrangers ont trouvé un emploi dans des entreprises américaines, notamment une chaîne de télévision de premier plan, une entreprise technologique de la Silicon Valley, un constructeur aérospatial, un constructeur automobile américain, un magasin de détail de luxe et une société américaine de médias et de divertissement (désignée dans l’acte d’accusation comme « l’une des sociétés de médias et de divertissement les plus connues au monde »), toutes des entreprises figurant au classement Fortune 500. Les procureurs affirment que les informaticiens étrangers ont également exfiltré (un terme technique sophistiqué pour dire « volé ») des données d’au moins deux entreprises américaines, dont une chaîne de restaurants multinationale et une marque de vêtements américaine.

Le FBI a également exécuté des mandats de perquisition dans des « fermes d’ordinateurs portables » basées aux États-Unis. Les fermes d’ordinateurs portables sont des résidences qui hébergent les ordinateurs portables des informaticiens étrangers, de sorte que ces derniers semblent opérer sur le territoire américain.

La résidence de Mme Chapman fut l’une des résidences perquisitionnées en octobre 2023 en vertu d’un mandat délivré dans le district de l’Arizona. Elle est accusée d’avoir hébergé une ferme d’ordinateurs portables à son domicile afin de contribuer au projet. Les procureurs l’accusent également d’avoir reçu et falsifié des chèques de paie et d’avoir reçu des entreprises américaines des dépôts directs des salaires des informaticiens étrangers sur ses comptes financiers américains.

« L’utilisation d’identités volées de citoyens américains est un crime en soi, mais lorsque vous utilisez ces identités pour procurer un emploi à des ressortissants étrangers ayant des liens avec la Corée du Nord dans des centaines d’entreprises américaines, vous compromettez la sécurité nationale de toute une nation », a déclaré Guy Ficco, chef de l’IRS-CI. « Depuis plus de 100 ans, les agents spéciaux des enquêtes criminelles de l’IRS suivent l’argent, et leur expertise financière a une fois de plus permis d’arrêter les criminels dans leur élan.”

Les procureurs affirment que Mme Chapman a d’abord été approchée pour participer au stratagème sur LinkedIn, où on lui a demandé d’être le « visage américain » d’une entreprise. (Sa page LinkedIn semble avoir été supprimée).

Mme Chapman est spécifiquement accusée de complot en vue de frauder les États-Unis, de complot en vue de commettre une fraude électronique, de complot en vue de commettre une fraude bancaire, de vol d’identité aggravé, de complot en vue de commettre une fraude d’identité, de complot en vue de blanchir des instruments monétaires, d’exploitation d’une entreprise de transfert de fonds sans licence et d’emploi illégal d’étrangers. Les John Does sont accusés de conspiration en vue de commettre un blanchiment d’argent.

Chapman a été inculpé et n’a pas encore plaidé coupable. Si elle est reconnue coupable, Chapman risque une peine maximale de 97,5 ans de prison, dont une peine minimale obligatoire de deux ans pour le chef d’accusation d’usurpation d’identité aggravée.

D’après les documents judiciaires, Mme Chapman est actuellement représentée par un avocat commis d’office.

Les John Does sont toujours en fuite. Le Département d’État américain a annoncé une récompense pouvant aller jusqu’à 5 millions de dollars pour toute information relative aux co-conspirateurs de Chapman. Le ministère de la justice encourage toute personne ayant des informations sur Jiho Han, Haoran Xu, Chunji Jin, Zhonghua, les personnes ou entités associées, ou sur leurs activités de génération de revenus et de blanchiment d’argent, à contacter le bureau des récompenses pour la justice par l’intermédiaire de son canal de signalement basé sur Tor : he5dybnt7sr6cm32xt77pazmtm65flqy6irivtflruqfc5ep7eiodiad.onion (navigateur Tor requis).

Nicole M. Argentieri, procureur général adjoint principal et chef de la division criminelle du ministère de la justice, a déclaré : « Les accusations portées dans cette affaire devraient alerter les entreprises américaines et les agences gouvernementales qui emploient des travailleurs à distance dans le domaine des technologies de l’information. Ces crimes ont profité au gouvernement nord-coréen, lui procurant une source de revenus et, dans certains cas, des informations exclusives volées par les co-conspirateurs. La division criminelle reste ferme dans son engagement à poursuivre les schémas criminels complexes comme celui-ci ».

Oleksandr Didenko

Une plainte pénale a également été déposée dans le district de Columbia, accusant Oleksandr Didenko, originaire de Kiev (Ukraine), d’avoir créé de faux comptes sur des plates-formes américaines de recherche d’emploi dans le secteur des technologies de l’information et auprès de sociétés de transfert de fonds basées aux États-Unis.

Selon la plainte pénale, Didenko dirigeait un site web, upworksell.com, qui prétendait fournir des services aux travailleurs informatiques à distance. Selon la déclaration sous serment à l’appui de la plainte fournie par l’agent spécial du FBI qui a examiné le site, ce dernier offrait aux travailleurs informatiques à distance la possibilité d’acheter ou de louer des comptes au nom d’identités autres que la leur. Le site proposait également la « location de cartes de crédit » dans l’Union européenne et aux États-Unis, ainsi que la location de cartes SIM pour les téléphones portables : les clients envoyaient de l’argent pour qu’il soit chargé sur la carte, et Didenko fournissait les informations relatives à la carte au client après avoir perçu une commission.

Didenko aurait proposé diverses options pour le payer, notamment en USDT (crypto-monnaie stable TetherTether 0,0 %), BUSD (crypto-monnaie stable Binance), USDCUSDC 0,0 % (crypto-monnaie stable USD Coin) et via des comptes Money Service Transmitter (MST) aux États-Unis.

Les procureurs affirment que ces services faisaient partie d’une « gamme complète de services » qui comprenait également de faux entretiens permettant aux individus de se présenter sous une fausse identité et de se vendre pour du travail informatique à distance auprès d’entreprises peu méfiantes.

(Le domaine upworksell.com a depuis été saisi par le DOJ en vertu d’une décision de justice, et tout le trafic a été dévié vers le FBI. Un message informant de ce fait figure désormais sur le site).

Capture d’écran de la saisie du FBI – © Kelly Phillips Erb

Selon la déclaration sous serment à l’appui de la plainte, Didenko a géré jusqu’à environ 871 identités « proxy », a fourni des comptes proxy pour trois plateformes américaines de recrutement d’informaticiens indépendants et a fourni des comptes proxy pour trois transmetteurs de services monétaires différents basés aux États-Unis. En coordination avec ses complices, Didenko a facilité le fonctionnement d’au moins trois fermes d’ordinateurs portables basées aux États-Unis, hébergeant à un moment donné environ 79 ordinateurs.

Les procureurs affirment que Didenko a reconnu dans des messages qu’il pensait aider des informaticiens nord-coréens. En outre, en novembre 2023, une société américaine de cybersécurité a découvert sur une plateforme de stockage en ligne des documents relatifs aux tentatives des informaticiens nord-coréens d’obtenir un emploi en tant que travailleurs à distance. Selon des documents judiciaires, l’entreprise a estimé avec un « haut degré de confiance » que ces documents pouvaient être attribués à un groupe d’espionnage lié à la Corée du Nord. L’entreprise a déclaré : « Plusieurs des documents que nous avons découverts contenaient des informations qui désignaient de manière plus certaine la Corée du Nord. De nombreux mots de passe associés à ces documents ont été créés en coréen et tapés sur un clavier américain, et certains mots de passe contiennent des mots utilisés uniquement en Corée du Nord. En outre, des paramètres de langue du clavier coréen ont été trouvés sur les ordinateurs utilisés par les acteurs de la menace à l’origine de ces campagnes ».

Les documents comprenaient des guides et des conseils sur l’obtention d’un emploi, la rédaction d’une lettre de motivation, l’élaboration d’un curriculum vitae, des exemples de curriculum vitae de prétendus travailleurs des technologies de l’information et des scripts d’entretien. Plusieurs documents concernaient des offres d’emploi en ligne à la recherche d’employés que des informaticiens nord-coréens avaient obtenus, y compris des emplois auprès d’employeurs américains qui ont ensuite été reliés, par le biais de documents commerciaux, aux ordinateurs trouvés au domicile de Chapman (les procureurs affirment que les activités de Didenko et de Chapman étaient liées).

L’un des clients de Didenko travaillant dans l’informatique à l’étranger a également demandé qu’un ordinateur portable soit envoyé de l’une des fermes d’ordinateurs portables de Didenko aux États-Unis à la ferme d’ordinateurs portables de Chapman, ce qui montre l’interconnectivité de ces cellules au sein du réseau nord-coréen de travailleurs de l’informatique à l’étranger. Des mandats de perquisition visant quatre résidences américaines associées à des fermes d’ordinateurs portables contrôlées par Didenko ont été délivrés dans le district sud de Californie, le district est du Tennessee et le district est de Virginie.

S’il est reconnu coupable, Didenko risque une peine maximale de 67,5 ans de prison, dont une peine minimale obligatoire de deux ans pour le chef d’accusation d’usurpation d’identité aggravée. Les autorités polonaises ont arrêté M. Didenko le 6 mai à la demande des États-Unis, qui réclament son extradition de Pologne.

Les documents judiciaires n’indiquent pas si Didenko a obtenu une représentation juridique américaine.

A la une