Une gardienne de la paix de 25 ans et son « petit ami » de 31 ans ont été arrêtés la semaine passée pour avoir vendu via Snapchat des informations émanant de fichiers policiers.
L’enquête aurait débuté en mai dernier, après que des enquêteurs de l’Office anti-cybercriminalité (OFAC) ont eu découvert une « story » Snapchat proposant d’acheter des accès à des fichiers policiers, rapportent BFMTV et Le Figaro.
Les investigations téléphoniques ont permis de remonter à une policière « affectée à la garde bâtimentaire et donc pas en charge d’enquêtes », précise le parquet de Paris. Depuis début 2024, elle aurait néanmoins effectué 94 consultations frauduleuses du fichier du traitement des antécédents judiciaires (TAJ) et 169 du fichier des personnes recherchées (FPR).
Son compte bancaire a par ailleurs permis d’identifier des virements de 15 à 5 000 euros émanant des personnes concernées, pour un bénéfice estimé à 12 000 euros.
Son petit ami, « très défavorablement connu des services de police » (expression désignant généralement le fait d’avoir été plusieurs fois « mis en cause » – MEC – dans le TAJ), se chargeait de trouver des clients. Les tarifs allaient de 30 euros pour une consultation du système d’immatriculation des véhicules (SIV), 150 euros pour le FPR, jusqu’à 250 euros pour une levée d’immobilisation d’un véhicule.
Les suspects ont été placés sous contrôle judiciaire avec interdiction d’entrer en contact et de quitter le territoire, et interdiction d’exercer toute fonction publique pour la policière, d’ici leur procès prévu pour le 15 juin 2026.
Le Figaro souligne par ailleurs que les affaires relatives aux « atteintes à la probité » dans la police nationale ont « pratiquement doublé en cinq ans », passant de 137 à 234 entre 2020 et l’année dernière. Cette « démocratisation » de la consultation des fichiers policiers résulterait du fait qu’ils sont accessibles à un plus grand nombre de fonctionnaires, ainsi qu’à la numérisation des procédures.
Le dernier rapport de l’Inspection générale de la Police nationale (IGPN, la « police des polices »), révèle que 93 enquêtes ont été ouvertes en 2024 pour « violation du secret professionnel » (soit le même nombre qu’en 2023), et 75 autres pour « détournement de fichiers » (93 en 2023). Ces violations ont donné lieu à 24 enquêtes ouvertes pour « corruption active » et 42 pour corruption passive, soit le double qu’en 2023.
L’IGPN avait alors annoncé vouloir renforcer le contrôle d’accès aux fichiers policiers, précisant qu’un chef de projet et deux « data scientists » travaillaient au développement d’un algorithme capable de détecter les usages « anormaux ».
Plus de 1 800 « agents présumés » de la Corée du Nord ont cherché à être recrutés chez les sous-traitants d’Amazon en un an, en progression de 27 %. Les pirates informatiques nord-coréens ont en outre volé 2,02 milliards de dollars en cryptoactifs en 2025, soit 51 % de plus que l’an passé, pour un total de 6,75 milliards de dollars depuis 2016.
Amazon a « empêché plus de 1 800 agents présumés » de la République populaire démocratique de Corée du Nord (RPDC) de rejoindre leur entreprise depuis avril 2024, et « détecté 27 % de candidatures supplémentaires liées à la RPDC » en un an, indique Stephen Shmidt, le responsable sécurité (CSO) d’Amazon, sur LinkedIn.
La Corée du Nord cherche en effet depuis des années à obtenir des emplois en télétravail dans des entreprises d’informatique afin de reverser leurs salaires pour financer les programmes d’armement du régime, ou encore d’obtenir des accès privilégiés leur permettant d’insérer des malwares, d’exfiltrer des données et plus particulièrement de voler des cryptoactifs.
Stephen Shmidt précise qu’Amazon utilise des systèmes de détection combinant un filtrage basé sur l’IA et une vérification humaine, des vérifications des antécédents et références, à la recherche d’anomalies dans les candidatures et d’incohérences géographiques, et partage plusieurs des techniques, tactiques et procédures (TTP) des pirates nord-coréens :
leurs usurpations d’identité sont devenues plus sophistiquées, ils piratent aussi désormais des comptes LinkedIn inactifs grâce à des identifiants compromis, voire soudoient des comptes actifs contre rémunération ;
ils ciblent de plus en plus les postes liés à l’IA et à l’apprentissage automatique, « probablement parce que ceux-ci sont très demandés à mesure que les entreprises adoptent l’IA » ;
ils travaillent souvent avec des facilitateurs qui gèrent des « fermes d’ordinateurs portables », notamment aux États-Unis, qui font croire aux employeurs qu’ils sont dans le même pays alors qu’ils opèrent à distance depuis l’étranger ;
après avoir initialement prétendu être passés par des universités d’Asie de l’Est, ils tendent désormais à faire croire avoir été formés dans des établissements états-uniens.
« Ce sont les petits détails qui les trahissent. Par exemple, ces candidats indiquent souvent les numéros de téléphone américains avec « + 1 » au lieu de « 1 ». Pris isolément, cela ne signifie rien. Mais combiné à d’autres indicateurs, cela donne une image plus claire. »
Un décalage « à peine perceptible » de quelques dizaines de millisecondes
« Si nous n’avions pas cherché les travailleurs nord-coréens, nous ne les aurions pas trouvés », explique Stephen à Bloomberg, d’autant que ces vrais-faux employés ne sont pas recrutés directement par Amazon, mais par ses sous-traitants.
Amazon a surveillé la vitesse de transmission des frappes sur le clavier de l’ordinateur portable de l’un d’entre eux, censé se trouver aux États-Unis, qui « auraient dû mettre quelques dizaines de millisecondes pour atteindre le siège social d’Amazon à Seattle ». Or, le temps de transmission depuis cet ordinateur était « supérieur à 110 millisecondes », un décalage « à peine perceptible » mais suggérant que son utilisateur se trouvait à l’autre bout du monde, en Chine.
Un porte-parole d’Amazon a déclaré à Bloomberg News que les pirates nord-coréens passaient par des ordinateurs localisés aux États-Unis et administrés par une femme originaire d’Arizona. En juillet dernier, cette dernière a été condamnée à 8 ans et demi de prison pour les avoir aidés à travailler pour plus de 300 entreprises américaines, générant « plus de 17 millions de dollars de revenus illicites » pour la RPDC.
Des salaires pouvant aller jusqu’à 100 000 dollars par mois
Fin octobre, Chainalysis relevait que « ce qui n’était au départ qu’un simple programme d’emploi s’est transformé en une opération mondiale sophistiquée », mais également que « les informaticiens nord-coréens gagnent désormais entre 3 500 et 10 000 dollars par mois, les plus performants pouvant atteindre 100 000 dollars par mois » :
« Opérant principalement depuis la Chine et la Russie, ces travailleurs utilisent plusieurs fausses identités (parfois jusqu’à 12 par personne) et ciblent spécifiquement des entreprises dans des secteurs stratégiques tels que l’intelligence artificielle (IA), la blockchain et la défense. En outre, il semble que la Corée du Nord cible de plus en plus les entreprises en Allemagne, au Portugal et au Royaume-Uni. »
Un butin cumulé de 6,75 milliards de dollars de cryptoactifs
Un rapport de Chainalysis consacré aux vols de cryptoactifs en 2025 souligne de son côté que la Corée du Nord « continue de représenter la menace la plus importante pour la sécurité des cryptomonnaies, avec une année record en termes de fonds volés, malgré une réduction spectaculaire de la fréquence des attaques ».
En 2025, les attaques des pirates informatiques nord-coréens ont en effet représenté « un record de 76 % de toutes les compromissions de services » (contre 61 % en 2024), et permis de dérober « au moins 2,02 milliards de dollars » en cryptomonnaies, soit 681 millions (et 51 %) de plus qu’en 2024.
Chainalysis rappelle que le groupe nord-coréen Lazarus, responsable d’une majorité des attaques contre des cryptoactifs dans le monde, avait en effet réussi à dérober 1,5 milliard de dollars à la bourse d’échange Bybit en février 2025.
Depuis 2016, ces braquages à répétition leur auraient permis de voler un montant cumulé de 6,75 milliards de dollars de cryptoactifs.
Évolution des montants volés par les pirates nord-coréens – Chainalysis
Chainalysis précise que les montants escroqués seraient les plus importants jamais enregistrés, notamment parce qu’ils parviennent à infiltrer des informaticiens dans des entreprises de cryptos, de l’IA et de la blockchain, « ou en utilisant des tactiques sophistiquées d’usurpation d’identité visant les cadres supérieurs ».
Les pirates nord-coréens chercheraient de plus en plus à infiltrer les entreprises liées aux cryptoactifs afin d’obtenir des accès privilégiés, et de maximiser les montants de leurs braquages, note Chainalysis : « une partie de cette année record reflète probablement une dépendance accrue à l’égard de l’infiltration d’informaticiens dans les bourses, les dépositaires et les entreprises web3, ce qui peut accélérer l’accès initial et les mouvements latéraux avant un vol à grande échelle ».
Des stratégies d’ingénierie sociale ciblant des cadres supérieurs
De plus, et non contents de simplement postuler à des postes afin d’être recrutés en tant qu’employés, « ils se font de plus en plus passer pour des recruteurs de grandes entreprises du web3 et de l’IA, orchestrant de faux processus de recrutement qui aboutissent à des « tests techniques » conçus pour récolter les identifiants, le code source et l’accès VPN ou SSO à l’employeur actuel de la victime ».
Chainalysis évoque également une stratégie similaire d’ingénierie sociale ciblant des cadres supérieurs, et prenant la forme de « fausses prises de contact de la part de prétendus investisseurs ou acquéreurs stratégiques », qui profitent de réunions de présentation et de pseudo-vérifications préalables pour « obtenir des informations sensibles sur les systèmes et des voies d’accès potentielles à des infrastructures de grande valeur ».
À l’instar de ce que Chainalysis avait déjà constaté ces dernières années, « la Corée du Nord continue de mener des attaques d’une valeur nettement supérieure à celles des autres acteurs malveillants ». Entre 2022 et 2025, les piratages qui lui ont été attribués « occupent les fourchettes de valeur les plus élevées, tandis que les piratages non attribués à la Corée du Nord présentent des distributions plus normales pour toutes les tailles de vols », comme le montre le graphique qui suit : « Cette tendance confirme que lorsque les pirates nord-coréens frappent, ils ciblent les grands services et visent un impact maximal ».
Les braquages de cryptos des pirates nord-coréens surclassent les autres – Chainalysis
« La capacité de cet État-nation à mener des attaques moins nombreuses mais beaucoup plus destructrices témoigne d’une sophistication et d’une patience croissantes », conclut Chainalysis.
Connexion
