L'IA de recrutement de McDonald's utilisait 123456 comme mot de passe: les données personnelles de millions de candidats ont été exposées

Non, 123456 n'est pas un mot de passe sûr. Au contraire même: il fait partie de ces mots de passe particulièrement faciles à trouver pour les pirates cherchant a accéder à des informations confidentielles. C'est ce qui s'est passé avec l'IA de recrutement qu'utilise Mcdonalds pour trier les candidatures de ceux souhaitant travailler dans ses restaurants.

Baptisé Olivia, ce chatbot demande plusieurs informations de contact, ainsi que le CV, avant de faire passer aux candidats un test de personnalité. Mais lorsque des chercheurs ont tenté d'en savoir un peu plus sur la méthodologie utilisée, non seulement Olivia a commencé à ne rien comprendre aux demandes, mais il était aussi particulièrement aisé d'accéder à ses coulisses.

Un mot de passe simple pour un compte admin

Ian Carroll et Sam Curry -des hackers éthiques- ont en effet révélé une méthode qui permettait d'entrer dans le mode administration de la plateforme McHire, et ainsi récupérer les données de 64 millions de candidats dont le mail, le nom complet et le numéro de téléphone.

"Je me suis dit que c'était plutôt unique et dystopien (d'utiliser un chatbot) dans le cadre d'un processus de recrutement. C'est ce qui m'a fait creuser davantage," explique amusé Ian Caroll à Wired.

À peine trente minutes après avoir démarré le processus, il disposait d'un large accès aux données du site via un compte de test.

Les hackers se sont très vite retrouvés considérés comme administrateurs de Paradox.ai, qui gère Olivia, grâce à un mot de passe très simple: 123456. Ils ont ensuite eu accès à un lien leur permettant d'accéder à l'ensemble des candidatures. C'est en fouillant davantage que Ian Carrol et Sam Curry ont découvert l'ampleur de la faille, avec plus de 64 millions de numéros d'identifications -et donc de candidats potentiels.

Une faille "inacceptable" pour Mcdonald's

Si en cas d'exploitation de ces données, une campagne de phishing de grande ampleur aurait pu voir le jour, les deux hackers précisent que les données n'étaient pas aussi sensibles. Néanmoins, ils pouvaient avoir accès aux échanges avec les candidats, dans une entreprise qui embauche au minimum horaire aux États-Unis, et où y travailler n'est que peu reluisant, note Wired.

Paradox.ai a publié un article sur son blog, confirmant l'intrusion, mais aussi le mot de passe utilisé sur le compte. Toutefois, son enquête a permis d'établir qu'aucun tiers - i ce n'est les hackers ayant repéré la faille- n'a accédé aux données.

McDonald's s'est de son côté contenté de blamer son partenaire: "Nous sommes très déçu par cette inacceptable vulnérabilité de la part d'un partenaire tiers, Paradox.ai. Dès que nous en avons eu connaisance, nous leur avons demandé de remédier au problème immédiatement, ce qui a été fait dans la journée."

Notons que cette faille ne concernait pas le recrutement en France -Mcdonald's ne fait pas appel à Olivia et Paradox.ai dans l'Hexagone.