10-07-2025
McDo a choisi le pire mot de passe pour sa plateforme de recrutement… et s'est fait hacker
INTELLIGENCE ARTIFICIELLE - 123456. C'est le mot de passe simplissime que beaucoup d'entre nous utilisons en cas de manque d'inspiration. Sauf que c'est aussi un mot de passe que McDonald's a choisi pour sa plateforme de recrutement aux États-Unis. Et c'est ce qui a permis à des chercheurs en sécurité de les hacker.
Sur leur site, les hackers Ian Carroll et Sam Curry expliquent en effet qu'en seulement quelques heures, ils ont repéré plusieurs failles de sécurité sur l'interface McHire, qui permet aux Américains de postuler chez McDonald's. Comme l'explique Wired, il est conseillé sur ce site d'interagir avec Olivia, un robot conversationnel développé par une entreprise spécialisée en logiciels d'intelligence artificielle. Olivia est décrite comme une « assistante virtuelle de recrutement », un chatbot qui peut aider les candidats « à chercher un travail » et qui peut leur expliquer « le processus pour postuler ».
Après avoir échangé avec Olivia, Ian Carroll et Sam Curry ont alors essayé de se connecter sur McHire, comme les propriétaires de restaurants McDonald's peuvent se connecter pour voir les candidatures. « Sans trop réfléchir, nous avons écrit '123456' comme nom d'utilisateur et '123456' comme mot de passe et nous étions surpris de voir que nous étions immédiatement connectés ! », expliquent les hackers sur leur site, avec des captures d'écran à l'appui.
Les données de 64 millions de candidats révélées
Une fois connectés, les deux chercheurs ont compris qu'ils avaient accès au compte administrateur d'un faux restaurant, créé pour tester l'interface McHire. Ils ont donc décidé de postuler avec un faux profil afin de voir l'envers du décor depuis le compte administrateur. « Le restaurant peut voir toute la progression des conversations avec 'Olivia' », ont-ils démontré.
Et là, catastrophe : les hackers comprennent qu'en utilisant le numéro de candidature, ici 64 185 742, ils peuvent en réalité, via une interface, avoir accès à toutes les candidatures précédentes. « On a essayé de diminuer ce numéro, et nous avons immédiatement été confrontés avec les données personnelles d'un autre candidat ayant postulé à McDonald's ! », affirment-ils.
La fuite est gigantesque. Les hackers peuvent alors mettre leurs mains sur les noms, les adresses ou encore les numéros de téléphone de millions de candidats, mais aussi toutes leurs conversations avec Olivia le chatbot. Un butin inespéré qui, dans les mains de hackers mal intentionnés, permettrait facilement d'arnaquer les candidats en attente d'une réponse.
Le 30 juin en fin d'après-midi, Ian Carroll et Sam Curry préviennent donc et McDonald's, afin qu'ils puissent résoudre le problème. L'erreur est réglée le 1er juillet. Interrogé par Wired, a assumé, précisant cependant que seule une petite partie des dossiers auxquels les chercheurs ont pu avoir accès contenaient des données personnelles, et que personne mis à part ces deux hackers n'avait trouvé la faille auparavant. Dans un communiqué, McDonald's a de son côté déclaré avoir été déçus « par cette vulnérabilité inacceptable d'un prestataire ».
