Discussion :

[Stéphane le calme]

L'IA sert les imposteurs dans le recrutement IT : faux profils, identités falsifiés, aide en temps réel pendant les entretiens d'embauche,
l’IA redéfinit les risques RH dans la tech

À l’ère de l’intelligence artificielle générative, une nouvelle menace émerge silencieusement dans le monde du recrutement : des candidats qui ne sont pas ceux qu’ils prétendent être. Grâce à une panoplie d’outils technologiques, certains individus réussissent à fabriquer de faux profils professionnels, à générer des pièces d’identité numériques truquées, voire à se faire aider en temps réel pendant les entretiens d’embauche. Cette tendance, encore marginale il y a quelques années, commence à inquiéter sérieusement les recruteurs, notamment dans les secteurs technologiques et les emplois en télétravail. L’objectif : décrocher un poste, parfois très qualifié, sans en avoir ni les compétences, ni l’identité réelle.

Lorsque la startup Pindrop Security, spécialisée dans l'authentification vocale, a publié une offre d'emploi, un candidat s'est démarqué des centaines d'autres.

Le candidat, un codeur russe nommé Ivan, semblait avoir toutes les qualifications requises pour le poste d'ingénieur principal. Cependant, lors de l'entretien vidéo du mois dernier, le recruteur de Pindrop a remarqué que les expressions faciales d'Ivan n'étaient pas du tout en phase avec ses paroles.

C'est parce que le candidat, que l'entreprise a depuis surnommé « Ivan X », était un escroc qui utilisait des logiciels de deepfake et d'autres outils d'IA générative pour tenter de se faire embaucher par l'entreprise technologique, a déclaré le PDG et cofondateur de Pindrop, Vijay Balasubramaniyan.

« L'IA a brouillé la frontière entre ce qu'est un être humain et ce qu'est une machine », a déclaré Balasubramaniyan. « Ce que nous constatons, c'est que des personnes utilisent ces fausses identités, ces faux visages et ces fausses voix pour obtenir un emploi, allant même parfois jusqu'à échanger leur visage avec celui d'une autre personne qui se présente pour le poste ».

Les entreprises luttent depuis longtemps contre les attaques de pirates informatiques qui espèrent exploiter les failles de leurs logiciels, de leurs employés ou de leurs fournisseurs. Aujourd'hui, une autre menace est apparue : Des candidats à l'emploi qui ne sont pas ce qu'ils prétendent être et qui utilisent des outils d'intelligence artificielle pour fabriquer des photos d'identité, générer des historiques d'emploi et fournir des réponses lors des entretiens d'embauche.

Selon le cabinet de recherche et de conseil Gartner, l'essor des profils générés par l'IA signifie que d'ici 2028, un candidat à l'emploi sur quatre sera un faux.

Le risque pour une entreprise d'engager un faux demandeur d'emploi peut varier en fonction des intentions de la personne. Une fois embauché, l'imposteur peut installer un logiciel malveillant pour demander une rançon à l'entreprise, ou voler ses données clients, ses secrets commerciaux ou ses fonds, selon Balasubramaniyan. Dans de nombreux cas, les employés malhonnêtes perçoivent simplement un salaire qu'ils ne pourraient pas toucher autrement, a-t-il ajouté.

Une augmentation « massive »

Les entreprises de cybersécurité et de crypto-monnaies ont connu une récente recrudescence de faux demandeurs d'emploi, ont déclaré des experts du secteur. Comme ces entreprises recrutent souvent pour des postes à distance, elles constituent des cibles précieuses pour les acteurs malveillants, ont déclaré ces personnes.

Ben Sesser, PDG de BrightHire, a déclaré avoir entendu parler de ce problème pour la première fois il y a un an et que le nombre de candidats frauduleux avait « augmenté massivement » cette année. Sa société aide plus de 300 entreprises clientes dans les domaines de la finance, de la technologie et de la santé à évaluer des employés potentiels lors d'entretiens vidéo.

« Les humains sont généralement le maillon faible de la cybersécurité, et le processus d'embauche est un processus intrinsèquement humain, avec de nombreux transferts et de nombreuses personnes impliquées », a déclaré Sesser. « C'est devenu un point faible que les gens essaient d'exposer ».

Mais le problème ne se limite pas à l'industrie technologique. Plus de 300 entreprises américaines ont embauché par inadvertance des imposteurs ayant des liens avec la Corée du Nord pour des travaux informatiques, notamment une grande chaîne de télévision nationale, un fabricant de matériel de défense, un constructeur automobile et d'autres entreprises figurant au classement Fortune 500, selon les allégations du ministère de la justice en mai dernier.

Les travailleurs utilisaient des identités américaines volées pour postuler à des emplois à distance et déployaient des réseaux à distance et d'autres techniques pour masquer leur véritable emplacement, a déclaré le ministère de la justice. En fin de compte, ils envoyaient des millions de dollars de salaires à la Corée du Nord pour l'aider à financer son programme d'armement, selon le ministère de la justice.

Cette affaire, qui implique un réseau de complices présumés, dont un citoyen américain, n'a révélé qu'une petite partie de ce que les autorités américaines considèrent comme un réseau tentaculaire de milliers de travailleurs des technologies de l'information ayant des liens avec la Corée du Nord. Depuis, le ministère de la justice a déposé d'autres plaintes concernant des informaticiens nord-coréens.

Un secteur en pleine croissance

Les faux demandeurs d'emploi ne faiblissent pas, si l'on en croit l'expérience de Lili Infante, fondatrice et directrice générale de CAT Labs. Sa startup, basée en Floride, se situe à l'intersection de la cybersécurité et des crypto-monnaies, ce qui la rend particulièrement attrayante pour les mauvais acteurs. « Chaque fois que nous publions une offre d'emploi, 100 espions nord-coréens postulent », explique Infante. « Lorsque vous regardez leurs CV, ils sont incroyables ; ils utilisent tous les mots clés pour ce que nous recherchons ».

Infante explique que son entreprise s'appuie sur une société de vérification d'identité pour éliminer les faux candidats, dans le cadre d'un secteur émergent qui comprend des sociétés telles que iDenfy, Jumio et Socure.

Selon Roger Grimes, consultant chevronné en sécurité informatique, l'industrie des faux employés s'est étendue ces dernières années à des groupes criminels situés en Russie, en Chine, en Malaisie et en Corée du Sud, et non plus seulement aux Nord-Coréens.

Paradoxalement, certains de ces travailleurs frauduleux seraient considérés comme les meilleurs dans la plupart des entreprises. « Parfois, ils s'acquittent mal de leur tâche, mais parfois ils le font si bien que certaines personnes m'ont dit qu'elles regrettaient d'avoir dû les licencier », a déclaré Grimes.

Son employeur, la société de cybersécurité KnowBe4, a déclaré en octobre avoir embauché par inadvertance un ingénieur logiciel nord-coréen.

Le travailleur a utilisé l'IA pour modifier une photo de stock, combinée à une identité américaine valide mais volée, et a passé les vérifications d'antécédents, y compris quatre entretiens vidéo, a déclaré l'entreprise. Il n'a été découvert qu'après que l'entreprise a constaté une activité suspecte sur son compte.

Combattre les « deepfakes »

Malgré l'affaire du DOJ et quelques autres incidents rendus publics, les responsables du recrutement de la plupart des entreprises ne sont généralement pas conscients des risques liés aux faux candidats, selon Sesser de BrightHire.

« Ils sont responsables de la stratégie des talents et d'autres choses importantes, mais être en première ligne de la sécurité n'a jamais été l'une d'entre elles », a-t-il déclaré. « Les gens pensent qu'ils ne sont pas concernés, mais je pense qu'il est plus probable qu'ils ne se rendent pas compte de ce qui se passe.

Selon Sesser, il sera de plus en plus difficile d'éviter ce problème à mesure que la qualité de la technologie des « deepfakes » s'améliorera.

Quant à « Ivan X », Balasubramaniyan de Pindrop a déclaré que la startup avait utilisé un nouveau programme d'authentification vidéo qu'elle avait créé pour confirmer qu'il s'agissait d'un deepfake frauduleux.

Alors qu'Ivan prétendait se trouver dans l'ouest de l'Ukraine, son adresse IP indiquait qu'il se trouvait en fait à des milliers de kilomètres à l'est, dans une possible installation militaire russe près de la frontière nord-coréenne, a indiqué l'entreprise.

Pindrop, soutenue par Andreessen Horowitz et Citi Ventures, a été fondée il y a plus de dix ans pour détecter les fraudes dans les interactions vocales, mais pourrait bientôt s'orienter vers l'authentification vidéo. Parmi ses clients figurent certaines des plus grandes banques américaines, des assureurs et des sociétés de santé.

« Nous ne pouvons plus faire confiance à nos yeux et à nos oreilles », a déclaré Balasubramaniyan. « Sans technologie, la situation est pire que celle d'un singe qui tirerait au hasard à pile ou face avec une pièce de monnaie ».

Des techniques de fraude de plus en plus élaborées

Les cas recensés dans plusieurs grandes entreprises tech et ESN révèlent une combinaison inquiétante de technologies :

• CV et lettres de motivation générés par LLM : ChatGPT, Gemini ou Claude permettent de produire des documents calibrés pour répondre aux attentes RH et optimiser le passage des filtres ATS, sans effort réel de la part du fraudeur.
• Faux profils LinkedIn et références fictives : Des réseaux de faux comptes sont utilisés pour construire une crédibilité sociale apparente autour du candidat.
• Pièces d’identité et documents professionnels falsifiés : Grâce à des outils comme Midjourney ou des plateformes d’édition IA d’images, certains fraudeurs génèrent des documents d’apparence officielle, personnalisés au profil inventé.
• Manipulation en temps réel pendant les entretiens : Utilisation de voice cloning, de deepfakes pour synchroniser des mouvements labiaux en visioconférence, et de systèmes de "whispering AI" pour suggérer en direct les réponses techniques attendues.

Ces pratiques touchent particulièrement les profils tech en remote (développeurs, DevOps, data engineers, etc.), où les processus de validation sont souvent plus rapides et dématérialisés.

Pourquoi maintenant ? Un contexte propice à la fraude

Cette vague de fraudes trouve un terreau fertile dans plusieurs dynamiques récentes :

• Généralisation du télétravail : Moins de rencontres physiques et de contrôles renforcent les possibilités de passer inaperçu.
• Pénurie de talents dans certains secteurs : Les recruteurs pressés d’embaucher peuvent se montrer moins rigoureux sur les vérifications de fond.
• Explosion des outils d’IA accessibles : La démocratisation d’outils comme ChatGPT, Midjourney, ou ElevenLabs rend ces techniques accessibles même aux personnes sans compétences techniques.

Les conséquences pour les entreprises

Les impacts peuvent être graves :

• Compromission de la sécurité des systèmes informatiques (si des postes sensibles sont infiltrés).
• Baisse de productivité : Un employé incompétent ou inexistant finit toujours par trahir la supercherie.
• Atteinte à la réputation : Les clients et partenaires peuvent douter du sérieux d’une entreprise qui embauche sans vérification adéquate.
• Risque juridique : En cas de fuite de données ou de litige, la responsabilité peut retomber sur l’employeur.

Comment les entreprises peuvent réagir

Face à cette menace, les entreprises doivent moderniser leur approche du recrutement :

• Renforcer les vérifications d'identité : Utiliser des services de vérification biométrique ou faire appel à des tiers pour valider les documents.
• Multiplier les entretiens et les tests pratiques : Un entretien technique en direct ou une simulation de travail reste un filtre redoutable.
• Croiser les sources : Vérifier les références, comparer les profils LinkedIn à d’autres bases de données professionnelles, analyser les incohérences dans le parcours.
• Former les recruteurs : Sensibiliser les équipes RH aux signaux d’alerte et aux outils d’IA utilisés par les fraudeurs.

Sources : KnowBe4, ministère de la Justice (1, 2)

Et vous ?

Qu'est-ce qui pourrait, selon vous, expliquer cette recrudescence ? Ce phénomène est-il observable dans votre entreprise lors des entretiens ?

Comment une entreprise pourrait faire face à cette situation ?

Jusqu'où une entreprise peut-elle aller pour vérifier l’identité d’un candidat sans porter atteinte à sa vie privée ?

Faut-il réintroduire systématiquement des étapes “en présentiel” pour les postes sensibles ?

Qui est responsable en cas d’embauche d’un imposteur : l’équipe RH, le manager, ou l’entreprise dans son ensemble ?

Les plateformes de freelancing ou LinkedIn ont-elles un rôle à jouer pour mieux contrôler les identités professionnelles ?

Voir aussi :

L'impact de l'IA sur les chercheurs d'emploi : les CV sont analysés par des systèmes d'IA et les entretiens sont menés par des chatbots. Préférez-vous être recruté par une IA ?

37 % des employeurs préfèrent embaucher une IA plutôt qu'un jeune diplômé de la génération Z, selon un rapport qui estime que l'enseignement traditionnel ne prépare pas suffisamment pour le monde du travail

[jnspunk]

Le bon côté des choses, c'est que les entreprises vont devoir rechercher des compétences qui sont en rapport avec le travail demandé plutôt que de privilégier l'embauche d'une personne qui sait se vendre et qui a une belle gueule.