Points clés

  • Le FBI et le National Intelligence Service sud-coréen révèlent un réseau de faux développeurs nord-coréens utilisant des deepfakes pour décrocher des postes à distance dans des entreprises technologiques occidentales.
  • Au moins 47 entreprises auraient été infiltrées depuis 2024, dont plusieurs sociétés d’IA et de cybersécurité basées aux États-Unis et en Europe.
  • Les agents utilisaient des visages générés par IA, de faux CV et des voix synthétiques pour passer les entretiens vidéo sans éveiller les soupçons.
  • Les revenus générés — estimés à 88 millions de dollars — finançaient directement le programme balistique nord-coréen.
  • L’affaire met en lumière les failles des processus de recrutement à distance et l’urgence de vérifications d’identité renforcées.

Une opération de grande envergure

L’alerte conjointe publiée le 24 mars 2026 par le FBI et les services de renseignement sud-coréens décrit une opération sophistiquée menée par le Bureau 39, l’entité nord-coréenne chargée de générer des devises étrangères pour le régime. Depuis au moins 2024, des agents formés en informatique postulent à des postes de développeur logiciel dans des entreprises occidentales, en se faisant passer pour des ressortissants d’autres pays asiatiques ou des citoyens américains.

Ce qui distingue cette campagne des précédentes tentatives d’infiltration, c’est le recours systématique aux technologies d’IA générative. Les candidats se présentaient aux entretiens vidéo avec des visages entièrement synthétiques, générés en temps réel par des modèles de face-swapping. Leurs voix étaient modifiées par des systèmes de clonage vocal capables de reproduire un accent américain ou européen convaincant. Les CV, portfolios GitHub et profils LinkedIn étaient fabriqués à l’aide de modèles de langage.

Comment les deepfakes ont trompé les recruteurs

Le processus d’infiltration suivait un schéma rodé. L’agent créait d’abord une identité numérique complète : photo de profil générée par IA, historique professionnel fictif mais crédible, dépôts GitHub contenant du code fonctionnel (souvent adapté de projets open source). Il postulait ensuite à des postes de développeur backend, DevOps ou machine learning — des rôles techniques où la demande dépasse largement l’offre.

Lors des entretiens vidéo, un logiciel de face-swapping en temps réel superposait un visage synthétique au visage réel de l’agent. La qualité des deepfakes était suffisante pour tromper des recruteurs non formés à la détection, d’autant que les entretiens se déroulaient sur des plateformes à résolution limitée comme Zoom ou Google Meet. Les tests techniques étaient réussis grâce à une préparation intensive et, dans certains cas, à l’assistance en temps réel d’une équipe en arrière-plan.

Les signaux d’alerte passés inaperçus

Plusieurs indices auraient pu alerter les entreprises ciblées. Les agents refusaient systématiquement d’activer leur caméra en dehors des entretiens formels. Leurs horaires de travail correspondaient au fuseau horaire de Pyongyang plutôt qu’à celui déclaré. Les paiements étaient redirigés vers des comptes dans des pays tiers — principalement en Chine, en Malaisie et aux Émirats arabes unis. Mais dans un contexte de travail à distance généralisé, ces comportements n’ont pas toujours été perçus comme suspects.

L’ampleur financière de l’opération

Le FBI estime que le réseau a généré environ 88 millions de dollars de revenus entre 2024 et début 2026. Les salaires perçus par les faux développeurs — entre 6 000 et 15 000 dollars mensuels selon les postes — étaient en grande partie reversés au régime via des circuits de blanchiment impliquant des cryptomonnaies et des sociétés-écran.

Ce montant, bien que significatif, ne représente qu’une fraction des revenus illicites attribués à la Corée du Nord dans le secteur technologique. Le rapport Morgan Stanley sur l’IA en 2026 mentionnait déjà les cybermenaces étatiques comme un risque croissant pour les entreprises du secteur. L’affaire des faux développeurs confirme que le renseignement nord-coréen a intégré l’IA générative dans son arsenal opérationnel.

Les entreprises touchées

Le FBI n’a pas publié la liste complète des entreprises infiltrées, mais les enquêteurs évoquent 47 sociétés technologiques dans 12 pays. Parmi les secteurs les plus ciblés : les startups d’IA, les entreprises de cybersécurité (comble de l’ironie), les sociétés de développement blockchain et les éditeurs de logiciels SaaS. Plusieurs entreprises du Fortune 500 figureraient également parmi les victimes, bien que leurs noms n’aient pas été divulgués.

Le risque ne se limitait pas à la fraude financière. Les agents avaient potentiellement accès à du code propriétaire, des données clients et des informations stratégiques. Dans au moins trois cas, les enquêteurs ont identifié des tentatives d’exfiltration de code source vers des serveurs situés en Corée du Nord.

Les leçons pour le recrutement à distance

L’affaire expose les failles structurelles du recrutement à distance tel qu’il se pratique en 2026. La vérification d’identité repose encore largement sur la confiance : un CV, un profil LinkedIn et un entretien vidéo suffisent dans la plupart des entreprises. Les contrôles de background check, quand ils existent, vérifient des informations déclaratives sans toujours recouper avec des bases de données biométriques.

Plusieurs experts en IA et emploi recommandent désormais l’intégration de vérifications d’identité biométriques en temps réel, la détection de deepfakes lors des entretiens vidéo et l’analyse comportementale des candidats pendant la période d’essai. Ces mesures soulèvent cependant des questions de vie privée et de discrimination que les législateurs n’ont pas encore tranchées.

La course à la détection de deepfakes

L’affaire a relancé l’intérêt pour les technologies de détection de deepfakes en temps réel. Plusieurs startups — Reality Defender, Sensity AI, Intel FakeCatcher — proposent des solutions capables d’analyser un flux vidéo en direct et de signaler les anomalies caractéristiques d’un face-swap : micro-expressions incohérentes, artefacts de compression, synchronisation labiale imparfaite.

Le problème est que les technologies de génération progressent plus vite que celles de détection. Les modèles de face-swapping utilisés par les agents nord-coréens en 2026 sont nettement supérieurs à ceux de 2024, et les détecteurs actuels affichent un taux de faux négatifs de 15 à 20 % sur les deepfakes de dernière génération. La course entre générateurs et détecteurs rappelle celle entre virus et antivirus dans les années 2000 — une dynamique sans fin prévisible.

FAQ

Comment les faux développeurs nord-coréens ont-ils été découverts ?

La découverte résulte d’une enquête conjointe FBI-NIS lancée après qu’une entreprise de cybersécurité a détecté des connexions suspectes depuis des adresses IP nord-coréennes masquées par des VPN. Le recoupement des profils, des horaires de connexion et des circuits financiers a permis d’identifier le réseau.

Les deepfakes utilisés étaient-ils vraiment indétectables ?

Pas indétectables, mais suffisamment convaincants pour tromper des recruteurs non formés lors d’entretiens vidéo en résolution standard. Les artefacts restent visibles pour un œil entraîné ou un logiciel de détection spécialisé, mais ces outils ne sont pas encore déployés dans la majorité des processus de recrutement.

Mon entreprise peut-elle être ciblée ?

Oui. Toute entreprise qui recrute des développeurs à distance est potentiellement vulnérable. Les secteurs les plus ciblés sont l’IA, la cybersécurité, la blockchain et le SaaS. Les mesures de protection incluent la vérification d’identité biométrique, les background checks approfondis et la surveillance des comportements anormaux pendant la période d’essai.

Les 88 millions de dollars ont-ils été récupérés ?

Une partie des fonds a été gelée par les autorités américaines et sud-coréennes, mais l’essentiel a été blanchi via des cryptomonnaies et reste difficile à tracer. Le FBI a émis des mandats d’arrêt internationaux contre plusieurs intermédiaires identifiés dans le circuit de blanchiment.

Hugo Brenner — Journaliste spécialisé hardware, réseaux et infrastructures technologiques