Note importante : l'acteur malveillant n'a pas réussi à accéder aux systèmes de cside. Cet article de blog a uniquement pour but d'avertir d'autres fondateurs de startups et employeurs.
Lors d'un recrutement pour un poste d'ingénieur full-stack senior, nous avons été assez enthousiastes de recevoir rapidement quelques centaines de CV qui semblaient prometteurs.
J'ai passé quelques heures à sélectionner des profils pertinents et leur ai envoyé une évaluation via Coderbyte. Plusieurs candidats m'ont rendu le devoir rapidement avec des résultats corrects, nous avons donc avancé vers un entretien pour discuter du code produit.
En rejoignant l'appel, plusieurs choses ont attiré mon attention.
- Le candidat en question portait un nom à consonance typiquement américaine inventée. Du style « Tommy Jackson ».
- Le candidat avait un bruit de fond similaire à celui d'un centre d'appels.
- L'anglais du candidat était médiocre et il présentait des caractéristiques ethniques clairement associées à la nationalité coréenne.
- Le candidat donnait des réponses qui semblaient très scriptées.
Ayant appris à reconnaître les biais inconscients lors des recrutements, j'ai d'abord pensé que ce n'était rien, mais après avoir eu 3 à 4 conversations quasi identiques, ma curiosité a été piquée. J'ai donc soumis ces candidats à une vérification d'identité via un service tiers et j'ai été surpris de constater qu'ils l'avaient passée.
J'ai alors consulté un autre fondateur pour comprendre ce qui se passait. Peu après, des informations ont circulé sur des entreprises comme KnowBe4 ayant recruté ces personnes et en ayant subi des conséquences immédiates et graves.
On pourrait s'attendre à ce que les tentatives nord-coréennes d'infiltration d'entreprises soient une connaissance commune, mais ce n'était pas le cas.
Ce à quoi nous avons été confrontés, c'était des tentatives organisées et profondément professionnelles d'infiltrer notre entreprise.
J'ai donc pris contact avec un ancien fondateur, Bobbie Johnson, pour creuser bien plus profondément cette opération et trouver un moyen de la faire mieux connaître. Aujourd'hui, l'article complet de Wired a été publié, détaillant les opérations locales de cette arnaque.
Au cours du processus de recrutement, en tant que fondateur solo, j'ai été de plus en plus frustré par le temps perdu à trier des CV pour filtrer les acteurs nord-coréens.
Dans un premier temps, j'ai demandé à notre ami Feross chez Socket si je pouvais emprunter son projet AnnoyingSite pour agacer les acteurs nord-coréens et les inciter à postuler ailleurs. Ce que nous avons fait, avec un certain amusement de ma part, découvrez le « devoir à la maison » ici. Mais ça n'a pas vraiment aidé…
Et puis l'évidence s'est imposée : je dirige une entreprise de sécurité côté client. Il était donc naturel d'utiliser notre intelligence client-side pour identifier des schémas permettant de filtrer ce bruit à la source. Pour améliorer le filtrage des candidats, nous avons commencé à exploiter le fingerprinting d'appareils comme moyen de détecter de manière proactive les comportements suspects liés aux candidats frauduleux.
C'est pourquoi nous annonçons aujourd'hui notre service de détection de fraude aux candidatures en BÊTA fermée anticipée. Notre logiciel de détection de fraude léger offre une solution de prévention sur mesure, spécifiquement conçue pour la vérification des candidats.
Permettant ainsi aux fondateurs de startups et aux recruteurs de consacrer leur temps à l'examen des CV de candidats légitimes.
