DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
Navigation
  • Cyber-attaques / fraudes
  • Intelligence artificielle
  • Failles / vulnérabilités
  • Pertes / vols de données
  • Cybercrime
  • Législation
Les derniers articles
  • Page de garde du Rapport annuel consolidé 2025 de l'ENISA à côté d'une carte en relief illustrant comment l'Europe s'unit, avec le logo de DCOD.
    Rapport annuel consolidé 2025 de l’ENISA : l’Europe s’unit
  • Photographie d'illustration pour la veille cyberattaque : une silhouette portant un sweat à capuche noir est assise de dos devant plusieurs écrans d'ordinateur affichant du code vert complexe et des données. L'environnement est une salle serveur sombre, éclairée par les lueurs bleues des écrans et des lumières oranges en arrière-plan, évoquant un hacker ou un analyste en action.
    Cyberattaques : les 15 incidents majeurs du 14 juillet 2026
  • Gros plan sur un clavier d'ordinateur avec une touche sécurisée « cyber security » sous un bandeau vert #CYBERASSURANCE, évoquant la réaction ultra-rapide des entreprises face aux cybermenaces dopées par l'IA. Logo dcod.ch.`
    Cyberassurance : l’IA impose une réaction ultra-rapide
  • Visuel d'annonce où la Trust Valley intègre Adnovum comme nouveau partenaire contributeur pour stimuler l'innovation. Les logos de Trust Valley et d'Adnovum s'affichent sur un arrière-plan des vignobles de Lavaux et du lac Léman avec le logo dcod.ch.
    La Trust Valley intègre Adnovum pour stimuler l’innovation
  • Illustration 3D pour la veille sur les vulnérabilités : un cadenas métallique ouvert est posé sur un circuit imprimé complexe. De vifs flux lumineux oranges et des triangles d'alerte rouges clignotants émanent du cadenas, symbolisant des failles de sécurité actives et des brèches dans un système informatique.
    Vulnérabilités : les 13 alertes critiques du 13 juillet 2026
Suivez en direct
DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
Cybersécurité • IA • Tech

Capter l'info, retenir l'essentiel. Pour les pros et passionnés.

DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
  • Cyberattaques
  • Vulnérabilités
  • Vols de données
  • Cybercrime
  • IA & Tech
Cybersécurité • IA • Tech

Capter l'info, retenir l'essentiel. Pour les pros et passionnés.

  • Cybercrime

Amazon démasque un faux admin nord-coréen grâce à 110 ms de latence

  • Marc Barbezat
  • 29 décembre 2025
  • 5 minutes de lecture
Gros plan sur des mains utilisant un ordinateur portable sur un bureau, illustrant un usage professionnel quotidien et la dépendance croissante au poste de travail numérique.

En analysant la latence clavier d’un salarié, Amazon a découvert une opération d’infiltration nord-coréenne exploitant télétravail, fausses identités et fermes de portables américaines.

TL;DR : L’essentiel

  • Un employé présenté comme administrateur système basé aux États-Unis a été démasqué lorsque la latence de ses frappes au clavier, bien supérieure à la normale, a déclenché une enquête de sécurité interne chez Amazon.
  • L’analyse des données réseau a montré qu’un ordinateur portable physiquement situé en Arizona était en réalité contrôlé à distance depuis l’étranger, permettant à un acteur nord-coréen de se faire passer pour un salarié légitime à plein temps.
  • Depuis avril 2024, Amazon a bloqué plus de 1 800 tentatives d’infiltration menées par des travailleurs informatiques nord-coréens, avec une hausse de près de 30 % d’un trimestre à l’autre, illustrant une campagne persistante et structurée.
  • Le schéma repose sur des « fermes de portables » hébergées aux États-Unis, opérées par des complices locaux, qui louent adresses internet et matériel pour rendre l’activité des acteurs nord-coréens indétectable ou presque pour les contrôles classiques.
▾ Sommaire
TL;DR : L’essentielLatence des frappes, fermes de portables et nouvelles tactiques d’infiltrationObjectifs financiers, espionnage et rôle clé de la vigilance humaine

Derrière la découverte d’un faux administrateur système se cache une opération d’infiltration bien plus vaste visant à exploiter le télétravail et les contrôles d’embauche à distance. Ce cas, mis en lumière par les équipes de sécurité d’Amazon, illustre la manière dont des travailleurs informatiques nord-coréens tentent d’accéder à des postes stratégiques dans de grandes entreprises technologiques en se faisant passer pour des professionnels basés aux États-Unis.

Au cœur de l’affaire, un détail purement technique a tout déclenché : la latence des frappes au clavier. Pour un salarié authentiquement connecté depuis le territoire américain, les données de saisie atteignent normalement les systèmes internes de l’entreprise en quelques dizaines de millisecondes. Dans ce dossier, les équipes de sécurité ont constaté un délai supérieur à 110 millisecondes entre la frappe et la réception des données, un écart suffisant pour éveiller des soupçons.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

Cette différence, en apparence minime, est liée au temps que met le signal pour parcourir de longues distances sur internet. En pratique, une latence inhabituellement élevée suggère que l’utilisateur n’est pas là où il affirme se trouver. Selon Cyber Security News, c’est précisément cette anomalie de latence qui a déclenché une investigation approfondie sur le poste concerné, révélant un schéma de fraude sophistiqué reposant sur des connexions à distance et un routage trompeur.

Les investigations ont ainsi montré que l’ordinateur utilisé pour travailler était physiquement installé en Arizona, mais contrôlé à distance depuis l’étranger. L’acteur malveillant opérait donc en se connectant à ce portable depuis plusieurs milliers de kilomètres, afin de bénéficier d’une adresse internet et d’un environnement matériel typiquement américains. Le profil semblait donc, en surface, parfaitement conforme aux critères habituels d’un télétravailleur basé aux États-Unis, ce qui explique pourquoi des vérifications classiques n’avaient pas permis de le repérer plus tôt.

Latence des frappes, fermes de portables et nouvelles tactiques d’infiltration

Le cas mis au jour par Amazon met en lumière une technique de détection peu connue du grand public : l’analyse de la latence des frappes au clavier, parfois appelée « keystroke latency ». Concrètement, chaque fois qu’un utilisateur tape sur son clavier, les données sont envoyées à travers le réseau vers les serveurs de l’entreprise. En mesurant le temps exact entre la frappe et la réception, les équipes de sécurité peuvent estimer la distance ou le chemin parcouru par la connexion.

Dans un contexte de télétravail massif, ce métrique devient un indicateur précieux. Une connexion locale ou nationale génère généralement une latence de l’ordre de quelques dizaines de millisecondes. Un délai supérieur à 110 millisecondes, comme observé dans ce cas, suggère un trajet réseau beaucoup plus long, caractéristique de connexions transcontinentales. Cette méthode ne repose ni sur les documents fournis par le candidat ni sur les déclarations de localisation, mais sur un comportement technique difficile à falsifier sans un contrôle très fin de l’infrastructure.

Les investigations ont également révélé la présence d’une « ferme de portables » basée en Arizona. Ce terme désigne un ensemble d’ordinateurs physiques installés sur le sol américain, mis à disposition d’acteurs étrangers afin qu’ils puissent y accéder à distance. Une résidente locale, impliquée dans ce dispositif, hébergeait l’infrastructure matérielle permettant à des travailleurs informatiques nord-coréens de faire transiter leur trafic via des adresses internet de type domestique ou professionnel américain. Cette intermédiaire a été condamnée à une peine de prison plus tôt dans l’année, illustrant la dimension pénale de ce type de collaboration.

Les responsables sécurité d’Amazon soulignent que ce cas n’est qu’un exemple d’une campagne bien plus large. Depuis avril 2024, le groupe affirme avoir bloqué plus de 1 800 tentatives d’infiltration attribuées à des travailleurs informatiques nord-coréens, avec une augmentation de près de 30 % d’un trimestre à l’autre. Ces chiffres traduisent une industrialisation de la fraude, où l’objectif est d’obtenir des postes légitimes au sein de grandes entreprises pour accéder à des systèmes sensibles, à du code propriétaire ou à des informations stratégiques.

Objectifs financiers, espionnage et rôle clé de la vigilance humaine

Les motivations derrière ces opérations d’infiltration sont clairement identifiées par l’entreprise : générer des revenus directs pour le régime nord-coréen, tout en ouvrant la porte à d’éventuelles opérations d’espionnage ou de sabotage ciblant des acteurs technologiques majeurs. En réussissant à se faire embaucher comme travailleurs à distance, ces profils accèdent à des environnements internes, à des dépôts de code, à des outils d’administration ou à des données stratégiques. Même si tous les postes ne sont pas critiques, chaque accès légitime obtenu constitue un point d’entrée potentiel.

Face à cette menace, les équipes de sécurité d’Amazon insistent sur la nécessité d’une approche dite « multi-couches ». Cela signifie combiner plusieurs niveaux de protection : analyse technique fine des flux réseau, corrélation de signaux discrets comme la latence clavier, contrôles renforcés sur les terminaux utilisés, mais aussi vigilance humaine sur les comportements et la communication écrite. Comme le rappelle Hackread, les responsables sécurité soulignent que, sans une démarche volontaire de recherche proactive de ces profils nord-coréens, beaucoup de tentatives seraient passées inaperçues.

Au-delà des signaux techniques, certains indices linguistiques peuvent aussi trahir ces imposteurs. Les équipes en charge de la sécurité évoquent, dans leurs alertes internes, des incohérences subtiles dans l’usage des idiomes américains, des erreurs récurrentes sur les articles en anglais ou des tournures de phrase jugées peu naturelles dans des échanges écrits pourtant supposés émaner de professionnels expérimentés. Ces signaux ne suffisent pas à eux seuls pour accuser un collaborateur, mais ils alimentent une grille d’analyse plus large lorsqu’ils se combinent à des anomalies techniques comme la latence réseau.

Cette veille vous a fait gagner du temps ?
Aidez DCOD à payer ses serveurs et à rester 100% gratuit et indépendant.

☕ Offrir un café
Etiquettes
  • Amazon
  • Corée du Nord
  • espionnage
  • infiltration
  • latence clavier
  • télétravail
Marc Barbezat

Fondateur et éditeur de DCOD - Restons en contact !

A lire également
Photographie d'illustration réaliste de l'intérieur d'un salon luxueux dans une villa américaine, montrant un grand téléviseur mural et un ordinateur portable, tous deux affichant une carte du monde connectée. Des flux de données lumineux relient les appareils et les équipements réseau, symbolisant le réseau de proxys résidentiels NetNut créé à partir de téléviseurs connectés et de boîtiers de streaming compromis. L'arrière-plan montre une piscine extérieure et des palmiers sous la lumière du jour.
Lire l'article

Proxys résidentiels : Google et le FBI coupent le réseau NetNut

Gros plan d'un costume élégant et d'une cravate noire, illustrant l'ascension du ransomware The Gentlemen qui bouscule le marché du cybercrime avec son split de rançon inédit à 90%.
Lire l'article

Ransomware The Gentlemen bouscule le marché avec un split à 90%

Illustration pour l'alerte du FBI sur les intrusions physiques dans les bureaux : un individu suspect au visage masqué par un émoji orange se présente à l'accueil d'une entreprise pour usurper l'identité d'un technicien.
Lire l'article

Alerte du FBI : des intrusions physiques dans les bureaux

Des idées de lecture recommandées par DCOD

Cybersécurité de 0 à Expert

Vous entendez parler de cyberattaques tous les jours mais vous ne savez pas vraiment comment elles fonctionnent ? Vous voulez comprendre le monde de la cybersécurité sans jargon compliqué ni prérequis techniques ? Ce livre est votre point de départ idéal. Cybersécurité de 0 à Expert est un guide pas à pas qui vous emmène du niveau débutant jusqu’aux bases avancées, en expliquant chaque concept de façon claire et accessible.

📘 Voir sur Amazon
Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

Les fondamentaux de la cybersécurité: Comprendre et appliquer les principes essentiels

À l’ère du numérique, la sécurité informatique est un enjeu crucial pour toute organisation.Sécurité des systèmes et des réseaux, du cloud, des applications, sécurité défensive et offensive, piratage psychologique…

📘 Voir sur Amazon
Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

100 Faits à Savoir sur la Cybersécurité

Vous êtes-vous déjà demandé comment les hackers parviennent à pénétrer des systèmes apparemment sécurisés ? Pourquoi entendons-nous tant parler des botnets et que peuvent-ils vraiment faire ? Et qu'en est-il de ce fameux quantum computing qui menace de bouleverser la cryptographie ?

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.

DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
  • Marc Barbezat
  • À propos de DCOD / Contact
  • Politique de confidentialité
Veille stratégique Cybersécurité, IA & Tech. Produite par Marc Barbezat.

Saisissez vos mots-clés de recherche et appuyez sur Entrée.

DCOD reste gratuit grâce à vous
Vos cafés aident à faire vivre la veille et à couvrir les frais techniques. Merci !
Offrir un café ☕
☕

Soutenir la veille DCOD

DCOD est un site 100% indépendant, maintenu en accès libre grâce à ses lecteurs.
Si cette veille cyber vous est utile, un coup de pouce mensuel aide à la faire vivre et à couvrir les frais techniques.

☕ Soutenir chaque mois