Afficher les titres Masquer les titres
Le chatbot Olivia, utilisé par McDonald’s pour filtrer les candidats à l’embauche, est aujourd’hui au cœur d’un scandale de cybersécurité. Développée par la société Paradox.ai, cette intelligence artificielle dialogue avec les postulants, leur demande leurs informations personnelles, leur fait passer un test de personnalité… et, jusqu’à récemment, stockait toutes ces données derrière un mot de passe simpliste : « 123456 ».
McDonald’s : le robot d’embauche Olivia piratée faute d’un mot de passe sécurisé
Deux chercheurs en sécurité, Ian Carroll et Sam Curry, ont révélé que ce mot de passe leur avait permis d’accéder facilement à l’espace administrateur de McHire.com, la plateforme de recrutement de McDonald’s.
Grâce à cette faille, ils ont pu consulter les échanges entre Olivia et des millions de candidats. Noms, adresses mail, numéros de téléphone : jusqu’à 64 millions de données étaient potentiellement à la merci de cybercriminels.
Interrogé par Wired, Ian Carroll raconte pourquoi il a décidé d’approfondir l’affaire. « Je pensais juste que c’était assez dystopique par rapport à un processus d’embauche normal, n’est-ce pas ? Et c’est ce qui m’a donné envie de m’y intéresser davantage ».
À voirMeta prêt à dépenser une somme démentielle pour construire une superintelligence artificielle d’ici 2026« J’ai donc commencé à postuler pour un emploi, puis après 30 minutes, nous avons eu un accès complet à pratiquement toutes les candidatures qui ont été faites chez McDonald’s depuis des années. »
Le duo a d’abord testé le chatbot, qui répondait déjà de manière confuse à certaines questions. Puis, ils ont tenté d’accéder à l’interface d’administration. En essayant les identifiants les plus simples, ils découvrent que « admin / 123456 » fonctionne.
Aucun système d’authentification à deux facteurs n’était activé. De là, ils ont pu explorer les candidatures comme s’ils étaient des recruteurs de McDonald’s.
Paradox.ai assume sa part de responsabilité
Interrogés par le site WIRED, McDonald’s et Paradox.ai ont reconnu la faille. La société Paradox.ai a confirmé l’intrusion et le mot de passe utilisé. Elle affirme qu’aucune tierce personne, en dehors des deux chercheurs, n’a accédé aux données. Un programme de bug bounty serait désormais en place.
À voirMaurice : colère sociale à Port-Louis contre le passage de la retraite à 65 ans« Nous ne prenons pas cette affaire à la légère, même si elle a été résolue rapidement et efficacement », a fait savoir Stéphanie King, directrice juridique de Paradox.ai. « Nous en sommes responsables. »
McDonald’s réagit à la polémique
McDonald’s, de son côté, a rejeté la faute sur son prestataire : « Nous sommes déçus par cette vulnérabilité inacceptable d’un fournisseur tiers, Paradox.ai… Dès que nous avons pris connaissance du problème, nous leur avons demandé de remédier immédiatement, ce qui a été fait dans la journée. »
Heureusement, cette faille n’a pas concerné la France. McDonald’s y utilise d’autres outils de recrutement. À l’ère des IA, peut-on encore confier nos données personnelles sans exiger un minimum de sécurité numérique ?
