Deux chercheurs en cybersécurité, Ian Carroll et Sam Curry, ont découvert que la plateforme McHire.com, utilisée par de nombreuses franchises McDonald’s pour gérer les candidatures, comportait des failles béantes. L’une d’elles permettait de se connecter à un compte administrateur en tapant simplement « 123456 » comme mot de passe. Aucun système d’authentification à deux facteurs n’était activé…
Le bot de McDo cache bien mal ses secrets
En accédant à un compte test de McHire, les chercheurs ont pu consulter les candidatures envoyées à travers le temps. Ils ont estimé que la base contenait plus de 64 millions d’enregistrements : noms, adresses e-mail, numéros de téléphone, et extraits de discussions entre les postulants et le chatbot.
Le problème n’est pas seulement technique. « Le risque de phishing était énorme », explique Sam Curry. En se faisant passer pour McDonald’s, des escrocs auraient pu demander des informations bancaires aux candidats, pour mettre en place un virement de salaire (fictif).
Les deux chercheurs ont exploré cette faille en toute transparence, en partageant leur découverte avec le média WIRED et en évitant d’aller trop loin pour ne pas enfreindre la loi. Ils ont vérifié quelques identifiants dans la base et ont pu confirmer que les données correspondaient bien à de vraies candidatures. Deux personnes contactées ont indiqué avoir postulé chez McDonald’s aux dates indiquées.
Interrogé sur les raisons de ses recherches, Ian Carroll évoque une démarche de curiosité : « C’est en voyant des messages sur Reddit se moquant des réponses absurdes d’Olivia que je me suis dit que ça méritait d’être creusé. » En moins d’une demi-heure, il avait trouvé un accès total au système.
Du côté de Paradox.ai, l’heure est aux excuses. L’entreprise a reconnu la faille dans un billet de blog, assurant que seul le duo de chercheurs avait accédé à ces données, et qu’un programme de chasse aux bugs allait être lancé. « Nous ne prenons pas cette affaire à la légère », a déclaré la responsable juridique de Paradox.ai.
McDonald’s, de son côté, n’a pas nié sa responsabilité indirecte. « Nous sommes déçus de cette vulnérabilité inacceptable chez notre prestataire », a indiqué l’entreprise, tout en affirmant que la faille avait été corrigée dès le jour de sa découverte.
Pour Ian Carroll, cette affaire souligne surtout les limites d’un recrutement trop automatisé : « Voir une IA interroger des gens à la recherche d’un emploi peu qualifié, et en plus stocker leurs données sans les protéger… c’est le genre de chose qui mérite d’être surveillé. »
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
