Amazon a piégé un infiltré dans son personnel à distance pour un détail minime : le « écho » de 110 millisecondes en tapant

Amazon a piégé un infiltré dans son personnel à distance pour un détail minime : le « écho » de 110 millisecondes en tapant
Share on Pinterest Share on LinkedIn

En cybersécurité, parfois, l’essentiel ne réside pas dans l’aspect le plus spectaculaire. Amazon a détecté un infiltré tentant d’opérer en tant qu’employé à distance grâce à un signal si discret que, pour la majorité des personnes, cela passerait inaperçu : un retard d’un peu plus de 110 millisecondes dans la réception des frappes du clavier.

Cette histoire, révélée par Stephen Schmidt, responsable de la sécurité chez Amazon, est devenue une étude de cas pour deux raisons. D’abord, parce qu’elle démontre jusqu’où les réseaux de fraude liés à la Corée du Nord ont perfectionné l’art du « paraître légitime » dans un environnement mondial de recrutement. Ensuite, parce qu’elle confirme une tendance de plus en plus importante : la sécurité ne se limite plus aux antivirus et pare-feux, mais repose désormais sur la capacité à corréler comportement, identité, endpoints et réseau.

Un ordinateur portable en Arizona… et quelqu’un à distance

L’affaire a démarré comme une embauche classique. Un profil technique recruté pour un poste en télétravail a reçu un ordinateur portable d’entreprise, situé physiquement en Arizona. Le prétendu salarié déclarait travailler depuis les États-Unis. Cependant, les systèmes de surveillance d’Amazon ont détecté un comportement étrange : les frappes sur le clavier mettaient trop de temps à “impacter” l’infrastructure interne, notamment lors de commandes et actions qui devraient normalement être exécutées rapidement via une connexion domestique dans le pays.

Le seuil de détection n’était pas excessif. Il ne s’agissait pas de secondes, ni même de centaines de millisecondes, mais d’un retard maintenu, supérieur à 110 millisecondes, suffisamment constant pour laisser penser à une “empreinte” plutôt qu’à une simple coïncidence. Dans un environnement d’entreprise doté d’une télémétrie avancée, la différence entre “normal” et “anormal” peut justement résider dans ces petites déviations, répétées des milliers de fois.

Les investigations ont finalement pointé vers une explication peu souhaitable, mais logique : l’équipement était contrôlé à distance. Une partie du trafic a été tracée jusqu’en Chine, un pays souvent utilisé comme point d’intermédiaire dans des schémas de relais et d’occlusion. L’accès a été bloqué, et l’incident enregistré comme un cas supplémentaire dans un phénomène que Amazon affirme voir régulièrement。

“Si vous ne cherchez pas, vous ne trouvez pas”

La phrase de Schmidt illustre pourquoi ces incidents sont si difficiles à repérer pour les entreprises qui ne surveillent pas activement ce type de signal : si vous ne traquez pas activement ce modèle, il sera simplement considéré comme du bruit. En d’autres termes : la majorité des contrôles traditionnels sont conçus pour empêcher les intrusions techniques, mais pas pour démasquer quelqu’un qui entrerait “par la porte” avec des identifiants valides et un poste attribué.

Amazon assure avoir bloqué plus de 1 800 tentatives d’infiltration de ce type depuis avril 2024, avec une croissance d’environ 27 % trimestre après trimestre en 2025. Ce n’est pas un chiffre négligeable : cela reflète un flux constant de candidats falsifiés ou manipulés passant par des canaux d’embauche, de sous-traitance ou via des tiers.

L’escroquerie de “l’employé informatique à distance” est devenue un modèle industriel

Pendant des années, le risque du télétravail était principalement associé à des Wi-Fi non sécurisés, des ordinateurs portables perdus ou des accès mal configurés. Aujourd’hui, la liste s’allonge pour inclure quelque chose de plus inquiétant : des employés qui ne sont pas ceux qu’ils prétendent être.

Ce schéma se répète souvent avec des variations, mais suit une structure identifiable :

  • Identités fictives ou usurpées : profils avec des documents falsifiés, noms réels utilisés sans autorisation ou “personnes” créées pour passer les filtres.
  • Intermédiaires locaux : une personne en États-Unis reçoit le matériel d’entreprise, le maintient allumé, connecté et prêt à ce que le vrai “travailleur” le contrôle à distance.
  • Contrôle à distance et routes d’évasion : outils d’accès à distance, VPN, relais et sauts de réseau pour “faire croire” à une localisation crédible.

L’élément clé de cette opération est que, si l’entreprise ne valide que “que l’ordinateur se trouve en États-Unis”, l’attaquant dispose d’une crédibilité technique. La latence de frappe, la cadence d’utilisation, les chemins réseau et les signaux du terminal deviennent alors déterminants : ce ne sont pas des adresses physiques qui sont vérifiées, mais un comportement réel.

De la télémétrie à l’attribution : comment établir la preuve

Dans ce genre d’incidents, un seul indicateur ne suffit rarement. Une latence élevée peut avoir mille raisons : mauvaise connexion, routes saturées, VPN d’entreprise, même des problèmes de performance locaux. La différence se joue sur le fait que le signal se maintient et se croise avec d’autres éléments.

Lorsqu’un équipe de sécurité examine un tel cas, elle recherche généralement :

  • Des preuves de contrôle à distance (logiciels, pilotes, processus, schémas de session).
  • Une cohérence entre localisation déclarée et routes réseau effectives.
  • Des changements de comportement : horaires, rythme, cadence de connexions.
  • Des “signaux faibles” accompagnant les techniques : incohérences dans la communication écrite, expressions hors contexte ou motifs récurrents dans les CV.

Dans le cas d’Amazon, la pièce maîtresse a été un détail subtil, mais la confirmation s’est faite en contextualisant : le retard dans la frappe a permis d’ouvrir la porte, l’enquête a confirmé l’arnaque.

Pourquoi cela inquiète aussi les petites entreprises

Ce type de fraude ne cible pas uniquement les géants technologiques. En réalité, dans de nombreuses campagnes, la cible préférée est justement celle qui dispose de moins de ressources pour enquêter : PME, consultantes, startups, fournisseurs ou réseaux de sous-traitance.

L’argument est simple : cet “accès légitime” à un environnement d’entreprise peut servir à divers fins, du simple salaire au vol d’informations, en passant par des mouvements latéraux ou de l’extorsion. Comme l’ont montré plusieurs affaires judiciaires aux États-Unis, ces réseaux ont infiltré des dizaines d’organisations via des recrutements à distance, des intermédiaires et du matériel géré par des tiers.

La leçon à retenir : la sécurité ne consiste pas toujours à casser, mais parfois à embaucher

Le cas des 110 millisecondes offre une leçon claire : l’attaque n’est pas toujours due à une vulnérabilité ; parfois, elle passe par les Ressources Humaines. Lorsqu’un attaquant obtient un compte, un ordinateur et un rôle, le reste n’est qu’une question de patience et de discipline opérationnelle.

C’est pourquoi les mesures les plus efficaces combinent généralement trois couches :

  1. Identité : vérification renforcée, revalidation régulière et contrôles spécifiques avec des tiers.
  2. Dispositif : endpoints gérés, détection de contrôle à distance, inventaire, posture et alertes comportementales.
  3. Accès : privilèges minimaux, segmentation, permissions temporaires et surveillance des routes/réseaux “incompatibles” avec la localisation déclarée.

Dans un monde où le télétravail devient la norme, la conclusion est presque paradoxale : l’entreprise doit apprendre à douter de ce qui semble fonctionner sans faille. Car le signal d’un infiltré peut n’être qu’un écho de 110 millisecondes, répété encore et encore, jusqu’à ce que quelqu’un décide d’agir.

Questions fréquentes

Qu’est-ce que la fraude des “travailleurs IT à distance” liés à la Corée du Nord ?
C’est un schéma dans lequel des opérateurs utilisent des identités fausses ou volées pour obtenir des emplois techniques à distance, puis accéder légitimement à des environnements d’entreprise, souvent via des intermédiaires locaux gérant le matériel.

Comment détecter un ordinateur portable d’entreprise contrôlé par quelqu’un dans un autre pays ?
Cela se fait généralement en combinant la télémétrie de l’endpoint (outils de contrôle à distance), des signaux réseau (chemins, ASN, relais) et du comportement (latences, horaires, schémas de session) par rapport à la localisation déclarée.

Pourquoi la latence du clavier peut-elle trahir un accès à distance dissimulé ?
Parce que, lorsque la véritable prise de contrôle est éloignée de l’ordinateur physique, les frappes doivent parcourir plusieurs sauts réseau, créant des retards cohérents. Ce n’est pas une preuve définitive, mais une indication utile lorsqu’elle est croisée avec d’autres éléments de preuve.

Quels contrôles minimaux les entreprises doivent-elles exiger lors du recrutement à distance ou via des sous-traitants ?
Vérification renforcée de l’identité, endpoints gérés, interdictions ou contrôles stricts des logiciels d’accès à distance non autorisés, segmentation par rôle, permissions temporaires, et audits réguliers des fournisseurs et sous-traitants.

source : actualités cybersécurité

Share on Pinterest Share on LinkedIn

Info Cloud

le dernier

Amazon a piégé un infiltré dans son personnel à distance pour un détail minime : le « écho » de 110 millisecondes en tapant

Taïwan envisage de renforcer la technologie de TSMC avec une règle « deux générations en arrière » qui pourrait freiner la fabrication avancée aux États-Unis

L’IA augmente la surface d’attaque dans le cloud : 99 % des organisations ont déjà été victimes d’incidents contre leurs systèmes d’IA, selon Palo Alto Networks

Cloudflare active « Code Orange » après plusieurs pannes mondiales : le plan pour que Internet « éclate légèrement »

Coursera et Udemy Fusionnent dans un Accord en Actions pour Créer un Géant Mondial des Compétences à l’Ère de l’IA

Moore Threads rejoint la course de l’« AI PC » avec Yangtze : un SoC avec NPU de 50 TOPS et jusqu’à 64 Go de LPDDR5X