Comment Amazon a repéré un faux développeur grâce à un « lag » de 110 ms ?
Cette histoire est dingue et pourrait presque donner des idées pour un futur film sur le cyberespionnage. Un développeur système embauché par Amazon, mais qui opérait en réalité pour le compte de la Corée du Nord, a été démasqué grâce à un détail technique : la latence anormale de ses frappes au clavier.
Une latence suspecte de 110 millisecondes
Les indicateurs de compromission (IoC) prennent parfois des formes inattendues, et cette affaire est un excellent exemple. L'équipe de sécurité d'Amazon est parvenue à identifier un télétravailleur suspect grâce à l'analyse de la télémétrie issue d'un poste de travail. Cette personne, supposément basée aux États-Unis, était en réalité en Corée du Nord, contrairement à son ordinateur qui était bien physiquement en Arizona, aux États-Unis. Il avait été employé par Amazon en tant que développeur.
Partons du constat suivant : une personne située aux États-Unis et qui utilise l'ordinateur qu'elle a devant les yeux transmet les données de frappe en quelques dizaines de millisecondes. Dans le cas présent, les experts en sécurité d'Amazon ont noté un délai constant et suspect supérieur à 110 millisecondes, soit une micro-latence en comparaison de la valeur normale.
Suffisant pour mettre la puce à l'oreille des équipes de Stephen Schmidt, le Chief Security Officer (CSO) d'Amazon. Suite à la détection de cette anomalie, une enquête a été ouverte. Elle a permis de déterminer que :
- L'employé n'était pas physiquement devant la machine. L'ordinateur portable, bien que situé physiquement aux États-Unis, était contrôlé à distance par un acteur malveillant opérant depuis l'Asie (Corée du Nord).
- Une femme complice sur le sol américain gérait une "ferme d'ordinateurs" pour permettre à des agents nord-coréens de simuler une présence locale.
Une menace grandissante
Cette découverte peut surprendre, mais pour les équipes d'Amazon, c'est habituel. Ces personnes peuvent chercher à s'infiltrer chez Amazon pour plusieurs raisons, comme l'espionnage et/ou le sabotage.
D'ailleurs, d'après Stephen Schmidt, Amazon fait face à une vague massive de tentatives de ce type. Les chiffres parlent d'eux-mêmes :
- Plus de 1 800 tentatives d'infiltration par des agents nord-coréens ont été déjouées depuis avril 2024.
- L'entreprise note une augmentation de 27 % de ces tentatives d'un trimestre à l'autre.
Amazon effectue donc une surveillance proactive afin de détecter les comportements suspects. Au-delà des anomalies sur le réseau, comme c'était le cas ici, d'autres indices peuvent aider les équipes de sécurité d'Amazon. Par exemple, une maîtrise approximative de l'anglais, caractérisée par une mauvaise utilisation des idiomes américains.
