Un informaticien nord-coréen embauché par une entreprise américaine de cybersécurité. Premier jour. En moins de 25 minutes, il tente de déployer un malware sur le réseau interne. Ce n'est pas une blague. C'est arrivé chez KnowBe4, l'un des leaders mondiaux de la sensibilisation à la cybersécurité.
L'ironie s'écrit parfois toute seule. Mais au-delà de l'anecdote, cette affaire révèle une vulnérabilité systémique que l'IA générative est en train d'amplifier de manière exponentielle. Et si vous pensez que ça ne peut arriver qu'aux américains, détrompez-vous.
L'anatomie d'une infiltration parfaite
Le candidat — appelons-le « Kyle » — avait coché toutes les cases du recrutement classique. Quatre entretiens vidéo réussis. Des compétences techniques solides, vérifiées par des tests concrets. Des références qui tenaient la route. Un poste 100 % remote, comme des millions d'emplois tech aujourd'hui. Le laptop de l'entreprise lui a été envoyé à une adresse dans l'État de Washington.
Sauf que Kyle n'existe pas.
Quand le FBI se rend à l'adresse, ils trouvent bien le laptop. Mais derrière l'écran, un intermédiaire américain. Le « salarié » travaille en réalité depuis la Chine. Un informaticien nord-coréen, connecté via VPN et bureau distant, qui travaille de nuit pour correspondre aux horaires américains. Sa photo LinkedIn ? Une image générée par IA à partir de stock photos. Suffisamment réaliste pour passer quatre entretiens vidéo. Suffisamment altérée pour ne pas être détectée en recherche inversée.
Et Kyle n'est qu'un parmi des centaines.
Une opération industrialisée, pas un cas isolé
Les chercheurs de Mandiant (Google) ont déroulé le fil. Plus de 300 entreprises américaines et britanniques infiltrées. Des Fortune 500. Des acteurs de la défense, des médias, de l'industrie. Une seule intermédiaire américaine a utilisé des dizaines d'identités volées pour faire embaucher des Nord-Coréens dans plus de 300 entreprises. Revenus générés : plusieurs millions de dollars. Elle vient d'écoper de plusieurs années de prison.
Le schéma est industrialisé :
- Sur les CV : diplômes obtenus à l'étranger (difficiles à vérifier), adresses américaines « propres », demandes d'envoi du laptop à une autre adresse, phrases identiques d'un CV à l'autre.
- En entretien : personas testés et optimisés (oui, du A/B testing de profils de candidats), des profils qui décrochent le job puis passent le relais à l'opérateur réel.
Ces informaticiens sont liés à l'unité UNC 5267, rattachée au Bureau 121, l'unité de cyberguerre nord-coréenne. Le même écosystème que le Lazarus Group — Sony Pictures, WannaCry, milliards volés en crypto. Les objectifs sont limpides : financer le régime, maintenir des accès dormants dans des systèmes critiques, et pratiquer l'espionnage industriel à grande échelle.
L'IA générative change complètement la donne
Ce qui rend cette menace particulièrement inquiétante en 2026, c'est la démocratisation de l'IA générative. Les outils qui étaient réservés aux agences de renseignement il y a cinq ans sont désormais accessibles à quiconque dispose d'un navigateur.
Photos générées par IA : les modèles actuels produisent des visages photorĂ©alistes indiscernables de vraies photos. Plus besoin de voler l'identité de quelqu'un — vous pouvez en créer une de toutes pièces. Deepfakes vidéo en temps réel : les entretiens vidéo, longtemps considérés comme un rempart, deviennent contournables. Clonage vocal : quelques secondes d'audio suffisent pour reproduire une voix. Génération de documents : CV, lettres de motivation, références — tout peut être fabriqué avec une cohérence troublante.
Dans mes missions de conseil, je vois déjà des organisations qui reçoivent des candidatures générées en masse par IA. Le volume de faux profils crédibles explose. Et nos processus de vérification n'ont quasiment pas évolué.
Nos processus de recrutement sont construits pour un autre monde
Ce que cette histoire révèle est inconfortable. Nos processus de recrutement reposent sur la confiance : CV déclaratifs que personne ne vérifie vraiment, diplômes étrangers rarement authentifiés, références survolées par téléphone, photos jamais contrôlées, entretiens vidéo « approximatifs » devenus la norme depuis le COVID.
Face à un État hostile qui industrialise la fraude avec de l'IA et des années d'optimisation, ces défenses sont dérisoires. Et il ne s'agit pas que de la Corée du Nord. Tout groupe organisé — étatique ou criminel — peut reproduire ce schéma avec les outils disponibles aujourd'hui.
Sur le terrain, je constate que la plupart des entreprises n'ont même pas formalisé de politique de vérification d'identité pour leurs recrutements remote. C'est un angle mort majeur.
Les mesures concrètes à mettre en place
La réponse ne peut pas être uniquement technique. Elle doit être organisationnelle et culturelle.
Vérification d'identité renforcée : Authentification vidéo en direct avec vérification de pièce d'identité, pas seulement un entretien Zoom. Des services spécialisés existent (Veriff, Jumio, Onfido) et coûtent une fraction de ce que coûte une faille de sécurité.
Contrôle des diplômes et références : Systématiser la vérification directe auprès des établissements. Les diplômes étrangers ne sont pas invérifiables — ils demandent juste plus d'effort.
Zero Trust dès le premier jour : Aucun nouvel employé ne devrait avoir accès au réseau interne complet dès le premier jour. Le principe du moindre privilège n'est pas nouveau, mais il est rarement appliqué au onboarding.
Monitoring comportemental : Détecter les comportements anormaux dans les premières semaines : connexions depuis des fuseaux horaires inhabituels, installation de logiciels non autorisés, accès à des ressources hors périmètre.
Red flags à systématiser : Demande d'envoi de matériel à une adresse différente de l'adresse déclarée, refus systématique de la caméra en vidéo, horaires de connexion incohérents avec le fuseau horaire déclaré.
Un signal d'alarme pour toutes les organisations
L'affaire KnowBe4 n'est pas une curiosité géopolitique. C'est un signal d'alarme pour toute organisation qui recrute en remote — c'est-à-dire, en 2026, pratiquement toutes.
L'ironie suprême de cette histoire, c'est qu'elle touche une entreprise dont le métier est justement de sensibiliser à la cybersécurité. Si KnowBe4 s'est fait avoir, imaginez le niveau de risque pour les organisations qui n'ont même pas commencé à y réfléchir.
La prochaine fois que vous recrutez un profil tech en remote, avec un diplôme étranger et une demande d'envoi de laptop à une adresse différente, posez-vous la question : vos processus sont-ils calibrés pour le monde dans lequel vous vivez, ou pour celui d'il y a dix ans ?
J'accompagne les organisations dans l'intégration de l'IA et la sécurisation de leurs processus face à ces nouvelles menaces. Si vous voulez évaluer votre exposition, parlons-en.