Une américaine condamnée à 8 ans de prison pour avoir hébergé une « ferme d'ordinateurs portables » qui a permis à des cyberagents nord-coréens de se faire passer pour des télétravailleurs américains

La Corée du Nord infiltre les États-Unis grâce au télétravail : une américaine condamnée à 8 ans de prison pour avoir hébergé une « ferme d'ordinateurs portables »
qui a permis à des cyberagents nord-coréens de se faire passer pour des télétravailleurs américains

Une femme de l'Arizona a été condamnée jeudi à plus de huit ans de prison pour avoir hébergé une « ferme d'ordinateurs portables » qui permettait à des cyberagents nord-coréens de se faire passer pour des informaticiens à distance dans plus de 300 entreprises américaines. Cette peine est l'une des plus lourdes jamais prononcées à l'encontre d'un ressortissant américain pour son rôle dans ce stratagème, qui a rapporté des centaines de millions de dollars au régime nord-coréen.

Christina Marie Chapman a participé à une opération qui, selon le ministère de la Justice, a rapporté au total plus de 17 millions de dollars au régime nord-coréen entre 2020 et 2023. Chapman supervisait au moins 90 ordinateurs portables chez elle, envoyés par des entreprises américaines peu méfiantes qui avaient été dupées en embauchant des Nord-Coréens comme employés à distance.

Christina Chapman, une femme originaire de l'Arizona, vient d'être condamnée à 102 mois de prison pour avoir aidé des pirates informatiques nord-coréens à voler des identités américaines afin d'obtenir des emplois informatiques « à distance » dans plus de 300 entreprises américaines. Ce stratagème a permis de rapporter des millions de dollars à l'État nord-coréen.

Pourquoi Chapman a-t-elle agi ainsi ? Dans une lettre envoyée cette semaine au juge, Chapman a déclaré :

La gestion de toute cette fraude a nécessité beaucoup de démarches administratives fastidieuses. Les Nord-Coréens ont bien sûr dû voler des identités américaines, mais ils ont également dû... se faire embaucher. Cela impliquait une paperasserie interminable, comme rédiger des CV et remplir des formulaires I-9 pour prouver leur admissibilité à travailler aux États-Unis. (Dans une conversation, Chapman a déclaré qu'elle était disposée à envoyer les formulaires I-9 depuis son domicile, mais qu'elle préférait ne pas « s'occuper de la paperasserie » elle-même, car « je risque la prison fédérale pour falsification de documents fédéraux »).

Comment la situation en est arrivée là ?

Lorsque Christina Marie Chapman s'est retrouvée par hasard impliquée dans une intrigue internationale en 2020, elle essayait de changer de vie. Elle vivait dans la petite ville de Brook Park, dans le Minnesota, dans une caravane délabrée située sur une propriété rurale appartenant à sa mère. Au cours de sa vie d'adulte, Chapman a vécu au Texas, en Angleterre et au Colorado, passant d'un emploi à l'autre dans des grandes surfaces, des chaînes de restauration rapide, des casinos, des agences de crédit immobilier... « Rien de ce dont je rêvais quand j'étais enfant », se souvient-elle.

Elle a contracté des emprunts pour suivre une formation intensive en programmation, dans l'espoir de sortir du marasme des emplois sans avenir. Après cinq mois et des milliers de dollars, elle a enfin terminé sa formation et créé un profil LinkedIn pour mettre en avant ses nouvelles compétences. Profession : ingénieure logicielle.

C'est là, en février, qu'elle a reçu un message non sollicité d'un homme se faisant appeler Zhonghua. Il lui a dit qu'il travaillait pour une société de logiciels basée en Chine qui cherchait à mettre en relation des travailleurs étrangers avec des emplois américains. (Le nom de la société, se souvient Chapman, était écrit en caractères chinois.) Ils avaient besoin d'un représentant américain pour servir d'intermédiaire entre les travailleurs et les employeurs, lui a dit Zhonghua. « Il m'a dit qu'ils avaient examiné mes projets et mon parcours scolaire », raconte-t-elle, et qu'elle était parfaite pour ce poste. Ils voulaient faire d'elle « le visage de l'entreprise », lui a dit Zhonghua.

« Je pensais avoir enfin trouvé le travail de mes rêves », dit-elle. « Comme s'ils avaient reconnu en moi quelque chose que je ne voyais pas moi-même. »

Alors que le Covid-19 paralysait le pays au cours des semaines suivantes, Zhonghua proposa un projet test : créer un site web pour une entreprise de toiture et de clôtures au Texas. « Nous devons tous faire des efforts pour apprendre à nous faire confiance », dit-il à Chapman. Il lui ferait confiance pour ne pas prendre le travail à son entreprise. Elle lui ferait confiance pour que l'argent lui soit d'abord versé, puis qu'elle reçoive ses honoraires.

Le travail a été un succès et elle a été payée. Puis Zhonghua est resté silencieux pendant des mois, jusqu'à la fin de l'année 2020, lorsque Chapman dit avoir reçu un colis contenant un ordinateur portable. Le lendemain, elle a reçu un message Skype de quelqu'un qui disait travailler avec Zhonghua. « Ils m'ont dit : "Voici ce que vous allez faire maintenant : vous allez configurer l'ordinateur pour moi afin que je puisse y accéder et travailler" », se souvient-elle. Peu après, d'autres ordinateurs portables sont arrivés. Zhonghua a repris contact avec elle et lui a dit qu'elle recevrait 300 dollars par mois pour chaque ordinateur qu'elle hébergerait. Le travail de ses rêves semblait être à portée de main.

Au contraire, cela allait s'avérer être le début d'un long cauchemar. La société de Zhonghua n'était pas une véritable entreprise, mais une couverture pour des agents du gouvernement nord-coréen, qui utilisaient les ordinateurs portables pour effectuer à distance des tâches informatiques pour des entreprises américaines qui n'en soupçonnaient rien. Et le potentiel qu'il avait reconnu en elle n'était pas celui d'une ingénieure en informatique. C'était celui d'une « laptop farmer », une Américaine fournissant une couverture géographique aux travailleurs informatiques nord-coréens, leur permettant de passer pour des Américains travaillant sur le sol américain. Au total, les Nations Unies estiment que les salaires versés à ces télétravailleurs illégaux rapportent entre 250 et 600 millions de dollars par an au régime, dont une grande partie est directement injectée dans son programme d'armement.


Comment faire croire que tous ces travailleurs à distance vivaient réellement dans le pays ?

Chapman a également joué un rôle clé dans la partie moins évidente et plus technique du stratagème : comment faire croire que tous ces travailleurs à distance vivaient réellement dans le pays ?

Lorsque ses clients étaient embauchés, Chapman recevait leurs ordinateurs portables professionnels par la poste. Parfois, elle les réexpédiait vers « une ville chinoise à la frontière avec la Corée du Nord » (Chapman aurait également 49 ordinateurs portables à l'étranger, dont plusieurs expéditions vers une ville chinoise située à la frontière nord-coréenne, selon le ministère de la Justice).

Mais elle conservait plus de 90 de ces machines chez elle, en Arizona. À l'aide de proxys, de VPN et de logiciels d'accès à distance tels qu'Anydesk, les Nord-Coréens se connectaient à distance à leurs ordinateurs « américains » et apparaissaient alors comme des employés à distance normaux basés aux États-Unis, participant à des réunions du personnel sur Zoom, percevant leur salaire et, parfois, exfiltrant des données ou installant des ransomwares.

Au fur et à mesure que le nombre d'ordinateurs augmentait, Chapman a commencé à les empiler sur des étagères dans sa résidence, en les étiquetant avec des notes autocollantes afin de se souvenir quel « travailleur » et quelle entreprise contrôlaient quelle machine. Lorsque le domicile de Chapman a été perquisitionné, les agents du FBI ont pris des photos de son installation, qui est... vraiment impressionnante.

Le maillon d'une chaîne

Le Bureau du contrôle des avoirs étrangers (OFAC) du département du Trésor américain a sanctionné une société écran nord-coréenne et trois personnes associées pour leur implication dans un stratagème frauduleux visant à générer des revenus illicites pour Pyongyang grâce à des travailleurs informatiques à distance. Les sanctions visent la société Korea Sobaeksu Trading Company (alias Sobaeksu United Corporation), ainsi que Kim Se Un, Jo Kyong Hun et Myong Chol Min pour avoir contourné les sanctions imposées par les États-Unis et les Nations unies à l'encontre du gouvernement de la République populaire démocratique de Corée (RPDC).

« Notre engagement est clair : le Trésor, dans le cadre d'un effort gouvernemental global, continuera à demander des comptes à ceux qui cherchent à infiltrer les chaînes d'approvisionnement mondiales et à permettre les activités de contournement des sanctions qui favorisent le programme déstabilisateur du régime de Kim », a déclaré Bradley T. Smith, directeur de l'OFAC.

Cette dernière mesure témoigne des efforts continus du gouvernement américain pour démanteler les vastes réseaux de génération de revenus de la Corée du Nord et financer ses programmes illégaux d'armement nucléaire et balistique.

Le programme des travailleurs informatiques, qui s'est transformé en une menace mondiale, consiste pour le régime nord-coréen à envoyer des travailleurs informatiques hautement qualifiés dans divers endroits, notamment en Chine, en Russie et au Vietnam, afin d'obtenir des emplois à distance et d'infiltrer des entreprises américaines et autres en utilisant une combinaison de documents frauduleux, d'identités volées et de fausses identités, souvent avec l'aide de facilitateurs qui gèrent des fermes de serveurs.

Dans ce qui a été décrit comme un thème récurrent, voire « déconcertant », bon nombre de ces faux travailleurs ont été surpris en train d'utiliser des personnages de Minions et d'autres personnages de Despicable Me dans leurs profils sur les réseaux sociaux et leurs adresses électroniques.

« Le gouvernement nord-coréen retient la plupart des salaires gagnés par les travailleurs informatiques, générant ainsi des centaines de millions de dollars de revenus pour soutenir les programmes illégaux d'armes de destruction massive et de missiles balistiques du régime nord-coréen », a déclaré le Trésor. « Dans certains cas, ces travailleurs informatiques nord-coréens ont introduit des logiciels malveillants dans les réseaux des entreprises afin d'exfiltrer des données confidentielles et sensibles. »

Cette évolution intervient quelques semaines seulement après que l'OFAC ait sanctionné Song Kum Hyok, un membre de 38 ans d'un groupe de pirates informatiques nord-coréen appelé Andariel, pour son rôle dans le programme des travailleurs informatiques.

De son côté, en plus de sa peine de 8,5 ans, Chapman devra purger trois ans de « liberté surveillée », verser 284 555 dollars destinés aux Nord-Coréens et rembourser 176 850 dollars de sa poche.

Ces escroqueries liées au « travail à distance » sont devenues de plus en plus courantes ces dernières années, la plupart provenant de Corée du Nord, et le FBI a publié à plusieurs reprises des conseils sur les éléments à prendre en compte lors du recrutement de travailleurs à distance.

Sources : lettre envoyée par Christina Chapman au juge, ligne de défense de Chapman, ministère de la Justice, département du Trésor américain, département d’État

Et vous ?

Quelle lecture faites-vous de la situation ?

Que pensez-vous des arguments avancés par Christina Marie Chapman pour indiquer qu'elle ne se doutait pas être complice d'une telle activité ? Les trouvez-vous crédibles ou pertinents ?

Les procédures de vérification d’identité des télétravailleurs doivent-elles devenir aussi strictes que celles d’un employé en présentiel ?

Faut-il créer des certifications de « freelances de confiance » pour le travail à distance dans les secteurs sensibles ?