En analysant la latence clavier d’un salarié, Amazon a découvert une opération d’infiltration nord-coréenne exploitant télétravail, fausses identités et fermes de portables américaines.
TL;DR : L’essentiel
- Un employé présenté comme administrateur système basé aux États-Unis a été démasqué lorsque la latence de ses frappes au clavier, bien supérieure à la normale, a déclenché une enquête de sécurité interne chez Amazon.
- L’analyse des données réseau a montré qu’un ordinateur portable physiquement situé en Arizona était en réalité contrôlé à distance depuis l’étranger, permettant à un acteur nord-coréen de se faire passer pour un salarié légitime à plein temps.
- Depuis avril 2024, Amazon a bloqué plus de 1 800 tentatives d’infiltration menées par des travailleurs informatiques nord-coréens, avec une hausse de près de 30 % d’un trimestre à l’autre, illustrant une campagne persistante et structurée.
- Le schéma repose sur des « fermes de portables » hébergées aux États-Unis, opérées par des complices locaux, qui louent adresses internet et matériel pour rendre l’activité des acteurs nord-coréens indétectable ou presque pour les contrôles classiques.
Derrière la découverte d’un faux administrateur système se cache une opération d’infiltration bien plus vaste visant à exploiter le télétravail et les contrôles d’embauche à distance. Ce cas, mis en lumière par les équipes de sécurité d’Amazon, illustre la manière dont des travailleurs informatiques nord-coréens tentent d’accéder à des postes stratégiques dans de grandes entreprises technologiques en se faisant passer pour des professionnels basés aux États-Unis.
Au cœur de l’affaire, un détail purement technique a tout déclenché : la latence des frappes au clavier. Pour un salarié authentiquement connecté depuis le territoire américain, les données de saisie atteignent normalement les systèmes internes de l’entreprise en quelques dizaines de millisecondes. Dans ce dossier, les équipes de sécurité ont constaté un délai supérieur à 110 millisecondes entre la frappe et la réception des données, un écart suffisant pour éveiller des soupçons.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Cette différence, en apparence minime, est liée au temps que met le signal pour parcourir de longues distances sur internet. En pratique, une latence inhabituellement élevée suggère que l’utilisateur n’est pas là où il affirme se trouver. Selon Cyber Security News, c’est précisément cette anomalie de latence qui a déclenché une investigation approfondie sur le poste concerné, révélant un schéma de fraude sophistiqué reposant sur des connexions à distance et un routage trompeur.
Les investigations ont ainsi montré que l’ordinateur utilisé pour travailler était physiquement installé en Arizona, mais contrôlé à distance depuis l’étranger. L’acteur malveillant opérait donc en se connectant à ce portable depuis plusieurs milliers de kilomètres, afin de bénéficier d’une adresse internet et d’un environnement matériel typiquement américains. Le profil semblait donc, en surface, parfaitement conforme aux critères habituels d’un télétravailleur basé aux États-Unis, ce qui explique pourquoi des vérifications classiques n’avaient pas permis de le repérer plus tôt.
Latence des frappes, fermes de portables et nouvelles tactiques d’infiltration
Le cas mis au jour par Amazon met en lumière une technique de détection peu connue du grand public : l’analyse de la latence des frappes au clavier, parfois appelée « keystroke latency ». Concrètement, chaque fois qu’un utilisateur tape sur son clavier, les données sont envoyées à travers le réseau vers les serveurs de l’entreprise. En mesurant le temps exact entre la frappe et la réception, les équipes de sécurité peuvent estimer la distance ou le chemin parcouru par la connexion.
Dans un contexte de télétravail massif, ce métrique devient un indicateur précieux. Une connexion locale ou nationale génère généralement une latence de l’ordre de quelques dizaines de millisecondes. Un délai supérieur à 110 millisecondes, comme observé dans ce cas, suggère un trajet réseau beaucoup plus long, caractéristique de connexions transcontinentales. Cette méthode ne repose ni sur les documents fournis par le candidat ni sur les déclarations de localisation, mais sur un comportement technique difficile à falsifier sans un contrôle très fin de l’infrastructure.
Les investigations ont également révélé la présence d’une « ferme de portables » basée en Arizona. Ce terme désigne un ensemble d’ordinateurs physiques installés sur le sol américain, mis à disposition d’acteurs étrangers afin qu’ils puissent y accéder à distance. Une résidente locale, impliquée dans ce dispositif, hébergeait l’infrastructure matérielle permettant à des travailleurs informatiques nord-coréens de faire transiter leur trafic via des adresses internet de type domestique ou professionnel américain. Cette intermédiaire a été condamnée à une peine de prison plus tôt dans l’année, illustrant la dimension pénale de ce type de collaboration.
Les responsables sécurité d’Amazon soulignent que ce cas n’est qu’un exemple d’une campagne bien plus large. Depuis avril 2024, le groupe affirme avoir bloqué plus de 1 800 tentatives d’infiltration attribuées à des travailleurs informatiques nord-coréens, avec une augmentation de près de 30 % d’un trimestre à l’autre. Ces chiffres traduisent une industrialisation de la fraude, où l’objectif est d’obtenir des postes légitimes au sein de grandes entreprises pour accéder à des systèmes sensibles, à du code propriétaire ou à des informations stratégiques.
Objectifs financiers, espionnage et rôle clé de la vigilance humaine
Les motivations derrière ces opérations d’infiltration sont clairement identifiées par l’entreprise : générer des revenus directs pour le régime nord-coréen, tout en ouvrant la porte à d’éventuelles opérations d’espionnage ou de sabotage ciblant des acteurs technologiques majeurs. En réussissant à se faire embaucher comme travailleurs à distance, ces profils accèdent à des environnements internes, à des dépôts de code, à des outils d’administration ou à des données stratégiques. Même si tous les postes ne sont pas critiques, chaque accès légitime obtenu constitue un point d’entrée potentiel.
Face à cette menace, les équipes de sécurité d’Amazon insistent sur la nécessité d’une approche dite « multi-couches ». Cela signifie combiner plusieurs niveaux de protection : analyse technique fine des flux réseau, corrélation de signaux discrets comme la latence clavier, contrôles renforcés sur les terminaux utilisés, mais aussi vigilance humaine sur les comportements et la communication écrite. Comme le rappelle Hackread, les responsables sécurité soulignent que, sans une démarche volontaire de recherche proactive de ces profils nord-coréens, beaucoup de tentatives seraient passées inaperçues.
Au-delà des signaux techniques, certains indices linguistiques peuvent aussi trahir ces imposteurs. Les équipes en charge de la sécurité évoquent, dans leurs alertes internes, des incohérences subtiles dans l’usage des idiomes américains, des erreurs récurrentes sur les articles en anglais ou des tournures de phrase jugées peu naturelles dans des échanges écrits pourtant supposés émaner de professionnels expérimentés. Ces signaux ne suffisent pas à eux seuls pour accuser un collaborateur, mais ils alimentent une grille d’analyse plus large lorsqu’ils se combinent à des anomalies techniques comme la latence réseau.
Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.
