64 millions de candidats McDonald potentiellement exposés à une fuite de donnée massive

Un hacker vu de dos dans une pièce sombre, faisant face à un écran d'ordinateur lumineux. L'écran montre une conversation avec un chatbot et des icônes de données personnelles qui s'en échappent. Un cadenas numérique rouge et brisé est superposé, avec le texte "123456" visible.

McHire, le recrutement par IA de McDonald’s : une porte d’entrée pour les hackers avec le mot de passe « 123456 »

Une enquête menée par deux chercheurs en sécurité a mis en lumière des failles de sécurité jugées « absurdes » dans la plateforme de recrutement par intelligence artificielle utilisée par de nombreuses franchises McDonald’s. Le système, développé par la firme Paradox.ai, a laissé les données personnelles de millions de candidats à la merci de quiconque aurait tenté d’utiliser l’un des mots de passe les plus faibles au monde.

Tout a commencé lorsque les chercheurs Ian Carroll et Sam Curry, intrigués par le processus de recrutement « dystopique » de McDonald’s impliquant un chatbot nommé Olivia, ont décidé d’en tester la sécurité. Leur curiosité les a menés à une page de connexion destinée au personnel de Paradox.ai. Par simple curiosité, ils ont essayé la combinaison utilisateur/mot de passe « 123456 » et ont obtenu un accès administrateur à un compte de test.

À partir de là, ils ont découvert une autre faille critique. En manipulant l’identifiant numérique d’une candidature, ils pouvaient accéder aux dossiers d’autres postulants, incluant leur nom, numéro de téléphone, adresse e-mail et l’historique de leur conversation avec le chatbot. D’après les chercheurs, le système contenait potentiellement 64 millions de dossiers.

La société Paradox.ai a reconnu l’incident mais a tenu à préciser le contexte. Dans un communiqué, l’entreprise explique que le compte de test n’avait pas été utilisé depuis 2019 et que ses standards de sécurité ont évolué depuis. Paradox.ai affirme que seuls les deux chercheurs ont accédé à ce compte et qu’ils n’ont consulté les informations personnelles que de cinq candidats pour valider leur découverte. La société insiste sur le fait qu’aucune donnée n’a été publiquement divulguée.

Un doute sur votre exposition ?

Réaliser mon diagnostic

McDonald’s a rapidement réagi en qualifiant la vulnérabilité « d’inacceptable » et en reportant l’entière responsabilité sur son prestataire. « Nous tenons nos fournisseurs tiers responsables du respect de nos normes de protection des données », a déclaré la chaîne de restauration rapide.

Les chercheurs soulignent le risque majeur de phishing qu’une telle faille représente. Des fraudeurs auraient pu se faire passer pour des recruteurs afin d’escroquer des candidats en attente d’une réponse pour un emploi. En réponse à cet événement, Paradox.ai a corrigé les failles et s’est engagé à renforcer sa sécurité, notamment par la mise en place d’un programme de récompense pour la découverte de failles (Bug Bounty).