McDonald’s : une faille de sécurité géante dans sa plateforme de recrutement par IA

👨 Alexandre Godard
Il y a 2 jours
💬 2 coms

Faille

McDonald’s fait face à une polémique après la découverte d’une faille de sécurité majeure dans sa plateforme de recrutement par intelligence artificielle. Des millions de candidatures auraient pu être consultées à cause d’un mot de passe ridiculement faible et d’un accès mal sécurisé.

McDo : Faites-vous livrer (vos données)

Une grave faille de sécurité a été découverte dans McHire, la plateforme de recrutement utilisée par McDonald’s et développée par l’entreprise Paradox.ai. Ce bug aurait exposé les données personnelles de dizaines de millions de candidats à travers le monde.

Un mot de passe ridicule

Deux chercheurs en cybersécurité ont découvert que l’accès à l’interface d’administration de la plateforme était protégé… par le mot de passe “123456”. Aucune vérification d’identité supplémentaire, comme l’authentification à deux facteurs, n’était activée. Une fois connectés, ils avaient accès à des millions de données internes.

Une faille dans le système

Grâce à une faille appelée IDOR (Insecure Direct Object Reference), les chercheurs ont pu consulter les candidatures d’autres personnes en changeant simplement un chiffre dans l’URL. En faisant défiler les identifiants, ils sont tombés sur des noms, prénoms, adresses, numéros de téléphone et échanges avec le chatbot Olivia, utilisé pour présélectionner les candidats.

64 millions de dossiers concernés

La plateforme contenait environ 64 millions d’historiques de conversations. Plusieurs d’entre eux contenaient des informations personnelles sensibles. Ces données auraient pu être exploitées pour des tentatives de phishing, des arnaques à l’emploi ou même des usurpations d’identité.

McDonald’s réagit

Les deux entreprises ont été averties immédiatement. La faille a été corrigée dans les 24 heures. Paradox.ai, responsable du logiciel, a annoncé qu’un programme de chasse aux bugs allait être mis en place pour éviter que cela ne se reproduise. McDonald’s, de son côté, rappelle que la plateforme est gérée par un prestataire externe, mais qu’il reste vigilant sur la sécurité de ses outils numériques.

Une leçon pour l’IA dans les RH

Cette affaire montre que même les outils d’intelligence artificielle les plus avancés ne sont pas à l’abri de failles basiques, si la sécurité n’est pas prise au sérieux. Un simple mot de passe faible et une mauvaise gestion des accès ont suffi à mettre en danger les données de millions de personnes. Merci aux chercheurs en sécurité.

Source