Les pirates nord-coréens ont volé 2,02 milliards de dollars en crypto en 2025, soit une hausse de 51 % sur un an, en s’appuyant massivement sur l’infiltration de travailleurs IT à l’intérieur même des entreprises cibles, selon Chainalysis. Les start-up Web3 françaises ne sont plus à l’abri : le groupe DeceptiveDevelopment, documenté par ESET, a élargi son périmètre à l’Europe, avec des cibles confirmées en France, en Pologne, en Ukraine et en Albanie.

L’enjeu dépasse le simple piratage informatique. Un smart contract compromis de l’intérieur, une clé privée exfiltrée, un dépôt GitHub livré à un faux collaborateur : le scénario se répète, de Paris à Lyon, dans des équipes dont les process de recrutement n’ont pas été conçus pour faire face à une menace d’État.

Au programme

  • L’infiltration de faux développeurs dans les start-up Web3 a progressé de 220 % en 2025, selon CrowdStrike, avec des cas documentés en Europe, dont la France
  • Les opérateurs utilisent des identités synthétiques forgées par IA, des deepfakes en entretien vidéo et des façades de sociétés légitimes pour franchir les processus RH classiques
  • Une fois en poste, l’intrus vise smart contracts, clés d’accès et référentiels de code source, avant d’exfiltrer ou de déclencher un vol direct

Qui sont réellement ces faux ingénieurs ?

L’opération baptisée “Wagemole” repose sur l’insertion de travailleurs IT sous de fausses identités, soit à titre individuel, soit via des sociétés-écrans comme DredSoftLabs et Metamint Studio créées spécifiquement à cet effet, afin d’obtenir un accès privilégié aux services crypto. Ce n’est pas une fraude opportuniste.

CrowdStrike a mesuré une hausse de 220 % du nombre d’entreprises occidentales ayant embauché des développeurs nord-coréens frauduleux sur les 12 derniers mois. La procureure fédérale de Washington a qualifié la situation d’“alerte rouge”. Les travailleurs ont infiltré plus de 320 entreprises sur cette même période, en automatisant et en industrialisant chaque étape du processus de candidature.

Selon Pablo Sabbatella, membre de l’organisation d’enquête SEAL, entre 30 et 40 % des candidatures reçues par les entreprises crypto seraient le fait d’opérateurs nord-coréens tentant d’infiltrer ces organisations. Pas rare. Pas exceptionnel. Systématique.

Faux développeurs crypto : chiffres 2025 Trois indicateurs clés documentant l'ampleur de l'infiltration de travailleurs IT nord-coréens dans les entreprises Web3 en 2025 selon Chainalysis et CrowdStrike. Infiltration crypto : les chiffres 2025 +220% Fausses embauches en 1 an (CrowdStrike) 2 Md$ Volés en 2025 dont 1,5 Md$ Bybit 30-40% Candidatures crypto seraient des opérateurs DPRK (SEAL, 2025) Sources : Chainalysis 2026, CrowdStrike 2025 Threat Hunting Report, SEAL

Comment ces profils trompent-ils les recruteurs ?

Le groupe “Famous Chollima”, identifié par CrowdStrike, utilise l’IA générative pour forger des milliers d’identités synthétiques, modifier des photos et automatiser la veille sur les offres d’emploi. Les opérateurs traquent les ouvertures de postes, extraient les compétences requises et génèrent des CV calibrés sur mesure.

En entretien, ils recourent à des deepfakes en temps réel pour masquer leur apparence, laissent une IA les guider dans leurs réponses aux questions techniques et s’appuient sur des LLM pour paraître plus à l’aise en anglais. Une fois en poste, ces mêmes outils leur permettent de tenir plusieurs emplois simultanément.

La mécanique ne s’arrête pas là. Des fiches internes coachent les opérateurs sur la rédaction de CV, les tactiques sur les plateformes d’emploi et l’utilisation d’un numéro Google Voice correspondant à la nationalité revendiquée pour les appels téléphoniques. Des faux recruteurs approchent par ailleurs de vrais développeurs sur LinkedIn et GitHub, leur soumettant un “défi de code” qui, une fois exécuté, installe les maliciels BeaverTail ou OtterCookie.

Pour les start-up françaises qui recrutent à distance sur Upwork, Malt ou LinkedIn, la menace est directe. Un candidat qui coche toutes les cases techniques, refuse poliment les appels vidéo non filtrés et demande à recevoir son matériel à une adresse différente de celle de son CV : autant de signaux que peu d’équipes RH savent encore interpréter. Les bonnes pratiques sur les multi-signatures et les accès à permissions restreintes sont la première ligne de défense, mais elles supposent d’abord de savoir qu’on est visé.

Que volent-ils une fois en poste ?

Une fois infiltrés avec une fausse identité, ces travailleurs peuvent percevoir des salaires reversés au régime, accumuler des renseignements internes ou préparer discrètement le terrain pour des attaques ultérieures de grande ampleur.

Le vol prend 3 formes principales dans les start-up Web3 :

  1. Exfiltration de code source : accès au référentiel Git, copie des smart contracts non encore déployés, récupération des clés de déploiement.
  2. Vol de secrets d’infrastructure : variables d’environnement, accès AWS/GCP, tokens d’API, seed phrases stockées en clair dans des fichiers de configuration.
  3. Extorsion post-accès : les travailleurs ont également dérobé des données internes et s’en sont servis à des fins d’extorsion, selon le FBI en janvier 2025.

Dans un cas documenté, des développeurs nord-coréens embauchés dans une start-up crypto ont siphonné plus de 900 000 dollars en actifs numériques directement chez leur employeur. Côté blanchiment, les fonds transitent par des services de transfert en langue chinoise, des bridges et des protocoles de mixage, selon un cycle de 45 jours après chaque vol majeur.

Pour les équipes travaillant sur des protocoles DeFi, le risque est amplifié par la nature même du code on-chain. Un smart contract déployé avec une backdoor discrète, une fonction de retrait masquée dans une mise à jour : l’audit après coup reste la seule parade, d’où l’importance croissante des audits de sécurité DeFi.

Quels signaux d’alerte surveiller au recrutement ?

Les équipes de sécurité conseillent de surveiller les incohérences de localisation, les horaires de connexion inhabituels, les problèmes répétés en appel vidéo et la pression pour utiliser des appareils personnels ou des logiciels d’accès à distance.

Liste des signaux forts identifiés par les enquêteurs :

  • CV sur-calibré : le profil colle trop parfaitement à l’offre, sans aspérités ni lacunes. Les opérateurs utilisent l’IA pour ajuster chaque candidature à la description de poste.

  • Caméra systématiquement défaillante : refus ou impossibilité technique répétée de passer en vidéo non filtrée lors des entretiens et après l’embauche.

  • Adresse de livraison différente : quand le matériel doit être envoyé, l’adresse fournie ne correspond pas à celle du CV. La firme Nisos a retracé les connexions d’un suspect via le VPN Astrill, puis constaté que l’adresse de livraison fournie était sans lien avec l’identité revendiquée.

  • Demande de paiement en crypto ou via un intermédiaire étranger : le routage de paie en crypto ou via des services de transfert étrangers doit déclencher une alerte immédiate, car c’est le point de départ du rapatriement des fonds vers Pyongyang.

  • Activité GitHub récente mais historique vide : profils créés récemment, avec des commits bien présentés mais aucun historique de contribution sur plusieurs années.

Lecture CryptoActu La menace des faux développeurs illustre un basculement stratégique : les attaquants étatiques ne cherchent plus seulement à pirater les systèmes de l’extérieur. Ils se font embaucher. Pour les start-up Web3 françaises, souvent sous-dotées en ressources RH spécialisées et avides de talents distants, le risque est structurellement plus élevé que pour une grande entreprise. L’obtention d’un agrément PSAN impose désormais un niveau de conformité opérationnelle qui contraint à formaliser ces process : un effet collatéral positif.

Comment se protéger concrètement ?

Okta recommande une vérification d’identité rigoureuse avec pièce officielle, croisement des données de géolocalisation et de domiciliation, et le démarrage de tout nouveau collaborateur distant avec des droits d’accès minimalistes.

Les experts du rapport Flare/IBM X-Force conseillent d’exiger une présence en personne pour les rôles distants sensibles quand c’est possible, de traiter toute incohérence entre CV et réponses en entretien comme un signal sérieux, et d’instaurer des interactions vidéo régulières non planifiées, les opérateurs ayant tendance à quitter les postes où la présence à l’écran est exigée.

Pour les protocoles DeFi, les multi-signatures sur les fonctions critiques (déploiement, mise à niveau de proxy, accès aux fonds de trésorerie) limitent mécaniquement ce qu’un seul développeur compromis peut faire seul. La gestion des clés privées doit être revue : aucun secret ne doit transiter dans un dépôt de code, même privé. Les outils d’analyse de comportement on-chain comme Chainalysis permettent par ailleurs de détecter des mouvements suspects après les faits.

L’ANSSI, dans son Panorama de la cybermenace 2025, décrit un environnement où les frontières entre acteurs étatiques et cybercriminels s’effacent progressivement, avec un “brouillard technologique et organisationnel” où méthodes et outils circulent entre des groupes aux motivations pourtant différentes. La menace Wagemole s’inscrit pleinement dans ce continuum. Les start-up Web3 françaises qui souhaitent accéder aux plateformes conformes AMF ou lever des fonds institutionnels devront tôt ou tard formaliser leur politique de vérification des identités. Mieux vaut anticiper que subir.

Questions fréquentes

Comment savoir si un candidat développeur est en réalité un opérateur infiltré ?

Les principaux signaux sont : un CV trop bien aligné sur l’offre, une caméra défaillante lors des entretiens vidéo, une adresse de livraison différente du domicile déclaré et une demande de paiement via crypto ou intermédiaire étranger. Croiser plusieurs de ces signaux doit déclencher une vérification approfondie de l’identité avant tout accès aux systèmes.

Les start-up françaises sont-elles réellement ciblées ?

Oui. ESET a documenté des cibles confirmées en France dans le cadre de la campagne DeceptiveDevelopment, aux côtés de la Pologne, l’Ukraine et l’Albanie. Le travail à distance et la forte demande de talents Solidity ou Rust en font des cibles attrayantes, d’autant que les process RH des jeunes structures sont rarement conçus pour ce niveau de menace. Consulter notre guide sur les smart contracts pour comprendre ce qui est en jeu au niveau technique.

Que faire si l’on soupçonne avoir embauché un faux développeur ?

Révoquer immédiatement tous les accès (dépôts, variables d’environnement, clés API, wallets), changer toutes les seed phrases et secrets compromis, et signaler l’incident à l’ANSSI via le portail cybermalveillance.gouv.fr. Payer un ressortissant nord-coréen, même involontairement, constitue une violation des sanctions internationales : l’entreprise, et pas seulement le salarié, est exposée légalement.

Retrouvez toutes nos investigations sur notre page enquêtes.

Sources

Nous ajouter à vos sources préférées sur Google