Incidents associés
McDonald's fait face à une vive réaction après une faille de sécurité choquante les données sensibles de près de 64 millions de candidats ont été divulguées. La fuite est due à un mot de passe administrateur par défaut : « 123456 ».
McDonald's fait face à une vive réaction après une faille de sécurité choquante les données sensibles de près de 64 millions de candidats ont été divulguées. La fuite est due à un mot de passe administrateur par défaut : « 123456 ».
Les chercheurs en sécurité Ian Carroll et Sam Curry ont découvert la faille fin juin 2025. Ils examinaient McHire, la plateforme de recrutement basée sur l'IA de McDonald's (https://www.forbes.com/sites/tonybradley/2025/07/15/mcdonalds-ai-breach-reveals-the-dark-side-of-automated-recruitment/). McHire utilise un chatbot appelé Olivia pour sélectionner les candidats et recueillir des informations telles que leurs noms, adresses e-mail, numéros de téléphone, horaires choisis et même les résultats de tests de personnalité.
Les chercheurs ont remarqué que la page de connexion administrateur proposait une option intitulée « Membres de l'équipe Paradox », qui fait référence au créateur d'Olivia, Paradox.ai. En saisissant « 123456 » comme nom d'utilisateur et mot de passe, ils ont immédiatement accédé à l'application. Il ne s'agissait pas simplement d'un environnement de test, mais d'un tableau de bord en temps réel présentant les données réelles des candidats.
Une fois à l'intérieur, ils ont découvert une faille appelée référence d'objet direct non sécurisée (IDOR) dans l'API interne de la plateforme. Ce bug leur permet de modifier les numéros d'identification pour accéder à des données sensibles. Ils peuvent ainsi consulter les profils complets des candidats, les journaux de discussion et même les jetons utilisés pour se faire passer pour des candidats. La quantité et la sensibilité de ces données ont suscité de vives inquiétudes quant à de possibles attaques de phishing, d'usurpation d'identité et d'ingénierie sociale.
McDonald's et Paradox.ai ont réagi rapidement après la révélation du problème le 30 juin. Le 1er juillet, ils ont désactivé les identifiants de connexion par défaut et corrigé le point de terminaison vulnérable. Paradox.ai a également annoncé qu'ils effectueraient des contrôles de sécurité supplémentaires et a précisé que seuls cinq dossiers de candidats avaient été consultés, et uniquement par les chercheurs. Aucune donnée n'a été divulguée publiquement.
Les experts affirment que cet incident met en évidence un problème croissant. Les entreprises se précipitent pour utiliser des outils d'IA sans prendre suffisamment de mesures de cybersécurité. *« Même les systèmes d'IA sophistiqués peuvent être compromis par des négligences élémentaires », a déclaré Aditi Gupta de Black Duck Consulting. Cette faille met également en évidence les risques liés à l'utilisation de plateformes tierces (https://economictimes.indiatimes.com/news/international/us/mcdonalds-in-hot-water-after-ai-tool-with-laughably-weak-password-123456-gets-hacked-data-of-64m-job-seekers-exposed-mcdonalds-data-breach-news/articleshow/122406623.cms?from=mdr), notamment dans les modèles de franchise où les normes de sécurité peuvent varier considérablement.
L'IA jouant désormais un rôle majeur dans le recrutement, cette affaire constitue un signal d'alarme pour les organisations : elles doivent traiter les plateformes de recrutement avec le même niveau de sécurité que leurs systèmes métier.