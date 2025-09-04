par AJ Vicens et Raphael Satter

Des pirates informatiques nord-coréens misent sur des offres d'emploi crédibles pour leurrer des travailleurs du secteur des cryptomonnaies et voler des jetons numériques, a appris Reuters à partir, notamment, des témoignages de 25 membres du secteur qui évoquent un problème omniprésent.

La chose est devenue tellement courante que les candidats ont désormais pris le réflexe de vérifier les organisations ou individus publiant les offres d'emploi pour s'assurer qu'il n'y a pas de lien avec Pyongyang.

"Cela m'arrive tout le temps et je suis sûr que cela arrive à tout le monde dans le secteur", témoigne Carlos Yanez, responsable du développement commercial chez Global Ledger, une société d'analyse de blockchain basée en Suisse. Il fait partie des individus récemment ciblés par des hackers, selon les données fournies par les sociétés de cybersécurité SentinelOne et Validin qui publient jeudi un rapport sur les menaces cyber.

Carlos Yanes précise que les hackers nord-coréens se sont améliorés de façon "effrayante" au cours de l'année précédente alors qu'ils auraient dérobé au total pour 1,34 milliard de dollars de cryptomonnaie grâce à ce stratagème, selon Chainalysis.

Les sommes dérobées soutiendraient le programme d'armement de Pyongyang, affirment des observateurs américains et onusiens.

Fin 2024 déjà, le Federal Bureau of Investigation (FBI) avait mis en garde le public contre des stratagèmes d'ingénierie sociale "complexes et élaborés" nord-coréens ciblant le secteur des cryptomonnaies.

Mais les hackers utilisent de fines approches pour leurrer leurs victimes, selon sept tentatives que Reuters a pu documenter.

LINKEDIN ET TELEGRAM

Victoria Perepel, par exemple, a d'abord été contactée sur LinkedIn ou Telegram au sujet d'un emploi lié à la blockchain. "Nous agrandissons actuellement notre équipe", affirmait un message envoyé à Victoria Perepel sur le réseau professionnel le 20 janvier par un recruteur se faisant passer pour un représentant de Bitwise Asset Management.

Après un bref échange sur le poste et la rémunération envisagés, le recruteur incitait les candidats potentiels à consulter un site web obscur pour effectuer un test de compétences et enregistrer une vidéo. À ce stade, plusieurs cibles ont commencé à se méfier.

Pourquoi ne pas simplement réaliser un entretien en direct sur une plateforme vidéo plus connue, comme Google Meet ou Zoom? S'est ainsi demandé le 21 janvier Olof Haglund, entrepreneur dans l'intelligence artificielle, lorsqu’il a été contacté par Wieslaw Slizewski, qui se présentait comme un recruteur pour Robinhood.

"Nous suivons un processus d’embauche structuré et l’évaluation vidéo est un élément clé de notre évaluation pour garantir la cohérence et l’équité pour tous les candidats", expliquait le faux recruteur dans un message LinkedIn.

Olof Haglund a fini par mettre fin à l'entretien, contrairement à d'autres, à l'image d'un employé d'une entreprise américaine du secteur qui reconnaît avoir enregistré la vidéo et l'avoir envoyée à une personne prétendant recruter pour ripple Labs, une entreprise de cryptomonnaies. Ce n'est que le soir même, lorsqu'il a constaté que 1.000 dollars d'ethers et de Solana avaient disparu du portefeuille numérique qu'il conservait sur son ordinateur, qu'il a compris qu'il avait été roulé dans la farine.

Autre exemple: Ben Humbert, consultant, discutait via LinkedIn avec Mirela Tafili, une recruteuse prétendant agir pour le compte de la plateforme d'échange de cryptomonnaies Kraken, au sujet d'un poste de gestionnaire de projet. Elle lui a demandé de passer un "bref entretien virtuel" et lui a fourni un lien qui, selon elle, permettrait d'accélérer le processus et de le faire passer à l'étape suivante. Suspicieux, il a préféré mettre fin à la discussion.

OPERATION "CONTAGION INTERVIEW"

Joints, Ripple et Bitwise n'ont pas répondu aux demandes de commentaires tandis que Robinhood a indiqué dans un communiqué avoir été informé d'une campagne lancée plus tôt cette année visant à usurper l'identité de plusieurs sociétés de cryptomonnaies, dont Robinhood. La société affirme avoir pris des mesures pour désactiver les domaines web liés à cette arnaque.

LinkedIn a indiqué dans un communiqué que les faux comptes de recruteurs identifiés par Reuters avaient déjà fait l'objet de mesures, tout comme Telegram qui a expliqué que les arnaques avaient été éliminées partout où elles étaient détectées.

SentinelOne et Validin attribuent ces vols à une opération nord-coréenne précédemment baptisée "Contagion Interview" par la société de cybersécurité Palo Alto Networks. Les chercheurs qui ont suivi cette campagne ont conclu que les Nord-Coréens en étaient responsables, en se basant notamment sur l'utilisation d'adresses IP et d'adresses e-mail liées à de précédentes activités de piratage nord-coréen.

Dans le cadre de leur enquête, les chercheurs ont découvert des fichiers accidentellement exposés par les pirates informatiques affichant les adresses e-mail et IP de plus de 230 personnes – codeurs, influenceurs, comptables, consultants, cadres, spécialistes du marketing et plus encore – ciblées entre janvier et mars.

INFIME FRACTION DES VICTIMES POTENTIELLES

Reuters a contacté toutes les cibles pour les alerter de cette activité malveillante. Les dix-neuf personnes interrogées par l'agence de presse ont toutes confirmé avoir été ciblées à cette époque.

Reuters n'a pas été en mesure de joindre les pirates informatiques tandis que la mission de la Corée du Nord auprès des Nations Unies n'a pas répondu aux sollicitations.

Les cibles identifiées par Reuters ne représentaient qu'une "infime fraction" des victimes potentielles de Contagious Interview qui n'est elle-même qu'une opération parmi d'autres de Pyongyang pour dérober des jetons numériques, a déclaré Aleksandar Milenkoski, chercheur chez SentinelOne qui co-signe le rapport.

Percoco, le dirigeant de Kraken, explique que l'entreprise avait commencé à détecter des arnaques au recrutement à la fin de l'année dernière, et que des signalements persistaient en mars, avril et mai. L'entreprise utilise des outils pour détecter les faux comptes se faisant passer pour des recruteurs, mais reçoit également des signalements de personnes extérieures qui la contactent pour faire état de faux entretiens usurpant l'identité de l'entreprise.

"N’importe qui peut dire qu’il est recruteur", prévient-il.

(Reportage d'AJ Vicens et Raphael Satter ; version française Bertrand De Meyer, édité par Augustin Turpin)