Voilà une polémique dont McDonald’s se serait certainement bien passé. Comme de nombreuses entreprises, le géant de la junk food exploite l’intelligence artificielle (IA) pour améliorer plusieurs pans de ses activités, dont les embauches. Mais son dispositif n’est malheureusement pas très sécurisé.
Un chatbot nommé Olivia
Ainsi, un chatbot baptisé Olivia, développé par la société américaine Paradox.ai, gère une partie du recrutement. Les candidats interagissent avec celui-ci via la plateforme McHire, qui permet à l’enseigne d’embaucher des travailleurs, mais n’est pas utilisée en France. Ils lui transmettent leurs coordonnées, CV, puis sont dirigés vers un test de personnalité.
Jusque-là, rien de bien anormal. Mais des chercheurs en cybersécurité, Ian Carroll et Sam Curry, ont révélé que des failles de sécurité élémentaires permettaient d’accéder aux données des candidats postulant via Olivia. Sur le site McHire, ils ont repéré un lien de connexion destiné au personnel de Paradox.ai et, par curiosité, ont tenté de s’y connecter avec des identifiants extrêmement extrêmement basiques.
Ils y sont parvenus au bout de la seconde combinaison, avec le nom d’utilisateur « admin » et le mot de passe « 123456 ». Et ce qu’ils ont découvert n’est pas vraiment rassurant pour les personnes ayant postulé chez McDonald’s.
Les données de millions de candidats possiblement exposées
Une fois connectés, les experts ont obtenu un accès administrateur à un compte de test sur McHire.com, puis ont découvert que chaque candidature était identifiée par un numéro unique. En modifiant simplement cet identifiant dans l’URL, par exemple en le diminuant ou en l’incrémentant, ils ont pu consulter les fiches d’autres candidats, avec leur nom, adresse e-mail, numéro de téléphone et historique de conversation avec le chatbot Olivia.
Au total, jusqu’à 64 millions de dossiers étaient accessibles de cette façon. Bien que les données ne soient pas très sensibles, elles exposaient les candidats à des risques réels de phishing ou d’arnaques au faux recrutement. « C’est plus courant qu’on ne le pense. Mais voir un mot de passe aussi faible, sans protection supplémentaire, pour un système contenant des millions de données personnelles, c’est aberrant », estime Ian Carroll.
De son côté, McDonald’s a pointé la responsabilité de Paradox.ai, qui a reconnu la faille et annoncé des mesures de sécurité correctives : « Nous sommes très déçus par cette inacceptable vulnérabilité de la part d’un partenaire tiers, Paradox.ai. Dès que nous en avons eu connaissance, nous leur avons demandé de remédier au problème immédiatement, ce qui a été fait dans la journée », a réagi l’enseigne.
- McDonald’s utilise une IA nommée Olivia pour présélectionner ses candidats, mais une grave faille de sécurité a exposé les données de millions de postulants.
- Des chercheurs ont pu accéder à la plateforme avec des identifiants ridiculement simples et consulter jusqu’à 64 millions de dossiers.
- McDonald’s rejette la faute sur son prestataire Paradox.ai, qui reconnaît l’erreur et promet des mesures correctives.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
