Le candidat s’appelle « Motoki », se présente comme développeur japonais et passe un entretien en anglais. Quand le recruteur lui demande de se présenter en japonais, il panique, fouille son écran du regard, arrache son casque et coupe la caméra. Il n’était ni japonais, ni développeur. Selon les enquêteurs de Telefónica, il travaillait pour la Corée du Nord.
Un test absurde qui fonctionne vraiment
La scène a été filmée en février par Heiner Garcia, expert en cybermenaces chez Telefónica. Garcia avait créé un faux profil de chasseur de têtes sur Telegram fin janvier pour piéger un suspect repéré sur GitHub. Pendant l’entretien, « Motoki » prononce les « r » comme des « l » et accentue durement les « p », deux marqueurs phonétiques typiques du coréen. Quand Garcia lui demande de se présenter en japonais (« Jiko shōkai o onegaishimasu »), le candidat cherche frénétiquement un script sur son écran, puis quitte l’appel sans un mot.
Un autre piège, plus brutal encore, circule dans les milieux du recrutement tech : demander au candidat d’insulter Kim Jong Un. En Corée du Nord, critiquer le dirigeant est passible de camp de travail, voire de la peine de mort. Les agents se figent, bafouillent ou quittent l’appel. « Je n’en ai pas encore croisé un seul capable de le faire », rapporte un recruteur interrogé par TechCrunch. La parade ne durera pas éternellement, car les agents postés en Chine ou en Russie sont moins surveillés, mais pour l’instant, elle trie efficacement.
800 millions de dollars par an, rien que les salaires
Derrière ces entretiens truqués se cache une opération d’État. Selon les Nations unies, le programme de faux travailleurs IT nord-coréens génère entre 600 et 800 millions de dollars par an. Le Département d’État américain place le chiffre à 800 millions pour la seule année 2024. L’argent finance directement le programme nucléaire et balistique du régime, selon le FBI.
Le mécanisme est rôdé. Des agents basés en Chine, en Russie ou en Asie du Sud-Est postulent à des emplois de développeur dans des entreprises occidentales. Ils utilisent des identités volées (68 identités américaines détournées dans un seul réseau), des photos retouchées par IA et des deepfakes vidéo pour passer les entretiens. Une fois embauchés, jusqu’à 90 % de leur salaire remonte vers Pyongyang. Certains gagnent plus de 300 000 dollars par an, soit davantage que la plupart des développeurs qu’ils imitent.
300 entreprises piégées par une seule complice
Le volet judiciaire américain a déjà produit des condamnations. Christina Chapman, une habitante de l’Arizona de 44 ans, a écopé de huit ans et demi de prison fédérale pour avoir dirigé une « ferme à ordinateurs portables » : 90 machines installées chez elle qui servaient de relais physiques aux agents nord-coréens. Son réseau a infiltré plus de 300 entreprises américaines, dont des agences gouvernementales, et généré 17 millions de dollars de revenus illicites.
Chapman n’est pas un cas isolé. Le ministère de la Justice a inculpé au moins dix facilitateurs américains, dont un militaire en service actif. Un autre complice, Kejia « Tony » Wang, a plaidé coupable après avoir réceptionné plus de 100 ordinateurs d’entreprises, y compris ceux d’un sous-traitant de la défense californien. Un agent nord-coréen a été inculpé séparément pour le vol de plus de 700 000 dollars en cryptomonnaies à une entreprise de Géorgie.
Le Fortune 500 presque entièrement touché
L’ampleur du phénomène dépasse le cadre des start-ups. Selon Mandiant, la filiale cybersécurité de Google, la quasi-totalité des responsables sécurité du Fortune 500 interrogés admettent avoir embauché au moins un travailleur nord-coréen à leur insu. CrowdStrike a mesuré une hausse de 220 % des recrutements frauduleux en 2025.
Les chiffres donnent le vertige. Vingt agents nord-coréens ont candidaté à 160 000 postes en trois mois, selon NBC News. Un seul individu a envoyé 5 000 candidatures en un an. Grâce à l’intelligence artificielle, ces opérateurs cumulent jusqu’à six ou sept emplois simultanés, modifient leur apparence en temps réel et génèrent du code fonctionnel sans maîtriser la programmation. Un rapport d’Anthropic publié en août 2025 décrit des agents « entièrement dépendants de l’IA » pour coder, déboguer et communiquer avec leurs collègues.
Nike figure parmi les victimes identifiées publiquement : l’entreprise a versé 75 000 dollars sur cinq mois à un agent qui se faisait passer pour un prestataire technique.
La taupe change de costume
Le FBI reconnaît que la pandémie de Covid a « ouvert la boîte de Pandore » en généralisant le télétravail. Depuis, les agents nord-coréens ne se cantonnent plus au développement logiciel. Ils se glissent dans le support client, la finance, l’assurance, la traduction. Certains visent des postes d’encadrement intermédiaire. Le dispositif s’internationalise aussi : des fermes à ordinateurs ont été repérées en Roumanie et en Pologne, bien loin des bases traditionnelles chinoises et russes.
Le réseau de blanchiment passe par le sud de la Chine, le Myanmar et le Cambodge. Le groupe Huione, basé à Phnom Penh, a été coupé du système financier américain après avoir brassé plus de 37 millions de dollars en cryptomonnaies liées à Pyongyang. Pour Nick Carlsen, analyste chez TRM Labs, « c’est un jeu de taupe, virtuellement impossible à démanteler complètement ».
Le Département du Trésor américain a sanctionné six individus et deux entités en 2025 pour leur rôle dans ces réseaux. Le FBI a ouvert une page dédiée au signalement des cas suspects. Le prochain front s’annonce déjà : les agents nord-coréens commencent à sous-traiter leur travail à des développeurs au Pakistan, au Nigeria et en Inde, ce qui rend la chaîne encore plus difficile à remonter.
