Le chatbot d'IA de recrutement de McDonald's expose les données de millions de candidats, les chercheurs ont obtenu un accès administrateur en essayant le nom d'utilisateur et le mot de passe "123456"

Le chatbot d'IA de recrutement de McDonald's expose les données de millions de candidats, les chercheurs ont obtenu un accès administrateur en essayant le nom d'utilisateur et le mot de passe "123456"

L'outil d'IA de recrutement utilisé par McDonald's présentait une faille de sécurité majeure. Les chercheurs en sécurité Ian Carroll et Sam Curry ont piraté le backend du système de recrutement McHire de McDonald's en saisissant le nom d'utilisateur et le mot de passe "123456". Il faut moins d'une seconde pour le déchiffrer. L'équipe a ainsi obtenu un accès administrateur à la plateforme et a pu consulter les données de plus de 64 millions de candidats qui avaient interagi avec « Olivia », le chatbot d'IA de recrutement de McDonald's conçu par l'entreprise Paradox.ai. Cette faille élémentaire relance le débat sur les pratiques de sécurité dans les grandes entreprises.

Les candidats à un poste chez McDonald’s peuvent être pris en charge par « Olivia ». Olivia n'est en fait pas un être humain, mais u un chatbot d'IA qui sélectionne les candidats, leur demande leurs coordonnées et leur CV, les dirige vers un test de personnalité et les rend parfois « fous » en se trompant à plusieurs reprises sur leurs questions les plus élémentaires. Le chatbot d'IA est hébergé sur le site Web « McHire.com » conçu par la société Paradox.ai.

Jusqu'au début de ce mois, la plateforme McHire souffrait d'une faille de sécurité que les experts considèrent comme « absurde ». Par conséquent, pratiquement n'importe quel pirate aurait pu accéder aux enregistrements de toutes les conversations que le chatbot Olivia avait eues avec les candidats de McDonald's, y compris leurs informations personnelles, grâce à des astuces aussi simples que de deviner le nom d'utilisateur et le mot de passe "123456".

Cette découverte a été signalée le 2 juillet 2025 par les chercheurs en sécurité Ian Carroll et Sam Curry. Selon eux, ce manque de sécurité leur permettait d'accéder à un compte Paradox.ai et d'interroger les bases de données de McDonald’s qui contenaient les conversations de chaque utilisateur de McHire avec Olivia. Les données comprennent jusqu'à 64 millions d'enregistrements, dont les noms, les adresses électroniques et les numéros de téléphone.


Ian Carroll dit avoir découvert cet effroyable manque de sécurité autour des informations des candidats après avoir été intrigué par la décision de McDonald's de soumettre ses nouvelles recrues potentielles à un chatbot d'IA de sélection et à un test de personnalité. « Je me suis dit que c'était assez dystopique par rapport à un processus d'embauche normal, n'est-ce pas ? Et c'est ce qui m'a donné envie de m'y intéresser de plus près », a déclaré le chercheur.

« J'ai donc commencé à postuler à un emploi et, au bout de 30 minutes, nous avions un accès complet à pratiquement toutes les candidatures qui avaient été déposées chez McDonald's depuis des années », a-t-il ajouté. Cette violation met en évidence les failles critiques en matière de cybersécurité des systèmes de recrutement basés sur l'IA et soulève des préoccupations quant à la protection des données dans les processus de recrutement automatisés.

L'utilisation de mots de passe faibles reste largement répandue, y compris auprès des professionnels. Selon NordPass, le pire mot de passe le plus utilisé dans le monde en 2023 était de loin "123456". Rien qu'en France, l'entreprise avait compté plus de 86 000 entrées de ce mot de passe. Presque la totalité des dix premiers mots de passe les plus utilisés dans le monde peut être déchiffrée en moins d'une seconde à l'aide de simples outils de force brute.

Des candidats se plaignent des réponses absurdes du chatbot Olivia

La plateforme Olivia représente un changement significatif vers une gestion des ressources humaines basée sur l'IA, où les algorithmes d'apprentissage automatique remplacent les recruteurs humains traditionnels dans les premières étapes du processus d'embauche. Cette pratique se répand rapidement sur le marché de l'emploi. Le robot Olivia utilise des algorithmes de traitement du langage naturel (NLP) pour interagir avec les demandeurs d'emploi.


Cependant, de nombreux candidats ont fait part de leur frustration face à l'incapacité de l'IA à comprendre correctement des questions simples. Le chercheur en sécurité Ian Carroll a déclaré à Wired qu'il s'est intéressé à la sécurité du site Web McHire après avoir repéré une publication sur Reddit qui se plaignait du fait que le chatbot de recrutement de McDonald's faisait perdre du temps aux candidats avec des réponses absurdes et des malentendus.

Les deux chercheurs ont commencé à parler eux-mêmes au chatbot, le testant pour détecter des vulnérabilités de type « prompt injection », qui peuvent permettre à quelqu'un de contourner les garde-fous d'un grand modèle de langage (LLM) en lui envoyant certaines commandes. N'ayant trouvé aucune faille de ce type, ils ont décidé de voir ce qui se passerait s'ils s'inscrivaient en tant que franchisés McDonald's pour accéder au backend du site Web.

Les chercheurs ont ensuite repéré un curieux lien de connexion sur McHire.com pour le personnel de Paradox.ai, le créateur de la plateforme. Sur un coup de tête, Ian Carroll dit avoir essayé deux des jeux d'identifiants les plus courants : le nom d'utilisateur et le mot de passe "admin", puis le nom d'utilisateur et le mot de passe "123456". Le deuxième de ces deux essais a fonctionné. « C'est plus courant qu'on ne le pense », a déclaré Ian Carroll.

Il ne semble pas y avoir d'authentification multifactorielle sur la page de connexion de Paradox.ai. L'équipe a obtenu un accès administrateur à un « restaurant » McDonald's test sur McHire, et ils ont compris que tous les employés répertoriés semblaient être des développeurs de Paradox.ai, apparemment basés au Vietnam. L'équipe a trouvé un lien sur la plateforme vers des offres d'emploi test apparentes pour ce restaurant McDonald's inexistant.


En cliquant sur une offre, ils ont postulé et ont pu voir leur propre candidature sur le backend du système. C'est à ce moment-là qu'ils ont découvert la seconde vulnérabilité critique de McHire : lorsqu'ils ont commencé à manipuler le numéro d'identification du candidat pour leur demande, ils ont constaté qu'ils pouvaient l'incrémenter jusqu'à un nombre plus petit et voir les journaux de discussion et les informations de contact de quelqu'un d'autre.

McDonald's condamne l'erreur inacceptable de son fournisseur tiers

Paradox.ai a publié un article de blogue qui confirme les conclusions de chercheurs en sécurité Ian Carroll et Sam Curry. L'entreprise a fait remarquer que seule une fraction des enregistrements auxquels Ian Carroll et Sam Curry ont accédé contenait des informations personnelles, et a déclaré avoir vérifié que « le compte avec le mot de passe "123456" qui a exposé les informations n'a pas été accédé par un tiers » autre que les chercheurs en sécurité.

Ian Carroll et Sam Curry ont une longue expérience des tests de sécurité indépendants. Les chercheurs ont signalé cette faille à McDonald's et à Paradox.ai, qui a depuis corrigé la vulnérabilité. Dans sa propre déclaration transmise à Wired, McDonald's a reconnu que Paradox.ai est à blâmer :

« Nous sommes déçus par cette vulnérabilité inacceptable de la part d'un fournisseur tiers, Paradox.ai. Dès que nous avons eu connaissance du problème, nous avons demandé à Paradox.ai d'y remédier immédiatement, et il a été résolu le jour même où il nous a été signalé. Nous prenons au sérieux notre engagement en matière de cybersécurité et nous continuerons à exiger de nos fournisseurs qu'ils respectent nos normes de protection des données ».


Cette exposition est un risque important pour les victimes, notamment en ce qui concerne les attaques de phishing ciblées, dans lesquelles des fraudeurs pourraient se faire passer pour des recruteurs de McDonald's afin de récolter des informations financières à des fins d'escroquerie. Selon Paradox.ai, le compte test compromis était inactif depuis 2019 et aurait dû être désactivé, mettant en évidence le manque de sécurité dans ses pratiques de développement.

Selon les chercheurs, les informations exposées par les failles de sécurité de Paradox.ai ne sont pas des plus sensibles. Paradox.ai a ajouté qu'il met en place un programme de prime au bogue afin de mieux détecter les failles de sécurité à l'avenir. « Nous ne prenons pas cette affaire à la légère, même si elle a été résolue rapidement et efficacement. Nous en sommes responsables », a déclaré Stephanie King, responsable juridique de Paradox.ai, à Wired.

Conclusion

Le marché du recrutement a connu une mutation radicale ces dernières années. Face à la croissance exponentielle des candidatures en ligne et à la pression pour réduire les délais d’embauche les entreprises se tournent massivement vers des assistants virtuels de recrutement basés sur l’IA. Ces nouveaux outils d'IA promettent d’automatiser le tri des CV, de fluidifier les échanges avec les candidats et de rationaliser les décisions d’embauche.

Olivia, le chatbot d'IA utilisé sur la plateforme McHire de McDonald's, illustre cette nouvelle tendance. Ces chatbots d'IA accueillent les candidats, simulent des entretiens, évaluent les réponses des postulants et programment même des rendez-vous, le tout sans intervention humaine.

Mais ce virage se fait souvent au détriment des fondamentaux : sécurité, transparence et gouvernance. De nombreuses entreprises adoptent ces technologies sans comprendre leur impact réel. Elles délèguent leurs processus de recrutement à des prestataires technologiques — comme Paradox.ai dans le cas de McDonald’s — sans s’assurer que ces derniers respectent des standards de sécurité adaptés à la sensibilité des données traitées.

La plateforme de Paradox.ai a été déployée dans des conditions qui, selon certains, relèvent de l’amateurisme. Par ailleurs, certains critiques, comme le chercheur en sécurité Ian Carroll, trouvent que le fait de soumettre les candidats à des tests de sélection dirigés par l'IA est « déshumanisant ». Mais à l'ère de l'IA, les recruteurs sont submergés par une masse insoutenable de CV générés par l'IA. Ils font à leur appel à l'IA pour traiter ce flot de candidatures.

Sources : billet de blogue, Paradox.ai

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous des failles de sécurité dont souffrait la plateforme de recrutement McHire de McDonald's ?
Le compte test compromis aurait dû être désactivé, mais cela n'a pas été le cas. Qu'en pensez-vous ?
Selon vous, qu'est-ce que cette découverte suggère sur les pratiques de Paradox.ai en matière de sécurité ?
Que pensez-vous du remplacement des humains par des algorithmes d'IA dans le processus de recrutement ?
Certains critiques affirment que cette pratique est déshumanisante pour les demandeurs d'emploi. Qu'en pensez-vous ?

Voir aussi

L'IA pousse 91 % des responsables de la sécurité à réévaluer les risques liés au cloud hybride, selon une étude de Gigamon

Le pire mot de passe le plus utilisé en France en 2023 est de loin "123456" avec plus de 86 000 entrées sur le Web, il faut moins d'une seconde à un pirate pour le déchiffrer

Les employeurs sont submergés par une masse insoutenable de CV générés par l'IA qui manquent de nuance et d'éléments personnels, les recruteurs décrivent ces CV comme « une bouillie » d'informations