L'outil d'IA de recrutement utilisé par McDonald's présentait une faille de sécurité majeure. Les chercheurs en sécurité Ian Carroll et Sam Curry ont piraté le backend du système de recrutement McHire de McDonald's en saisissant le nom d'utilisateur et le mot de passe "123456". Il faut moins d'une seconde pour le déchiffrer. L'équipe a ainsi obtenu un accès administrateur à la plateforme et a pu consulter les données de plus de 64 millions de candidats qui avaient interagi avec « Olivia », le chatbot d'IA de recrutement de McDonald's conçu par l'entreprise Paradox.ai. Cette faille élémentaire relance le débat sur les pratiques de sécurité dans les grandes entreprises.Les candidats à un poste chez McDonald’s peuvent être pris en charge par « Olivia ». Olivia n'est en fait pas un être humain, mais u un chatbot d'IA qui sélectionne les candidats, leur demande leurs coordonnées et leur CV, les dirige vers un test de personnalité et les rend parfois « fous » en se trompant à plusieurs reprises sur leurs questions les plus élémentaires. Le chatbot d'IA est hébergé sur le site Web « McHire.com » conçu par la société Paradox.ai.
Jusqu'au début de ce mois, la plateforme McHire souffrait d'une faille de sécurité que les experts considèrent comme « absurde ». Par conséquent, pratiquement n'importe quel pirate aurait pu accéder aux enregistrements de toutes les conversations que le chatbot Olivia avait eues avec les candidats de McDonald's, y compris leurs informations personnelles, grâce à des astuces aussi simples que de deviner le nom d'utilisateur et le mot de passe "123456".
Cette découverte a été signalée le 2 juillet 2025 par les chercheurs en sécurité Ian Carroll et Sam Curry. Selon eux, ce manque de sécurité leur permettait d'accéder à un compte Paradox.ai et d'interroger les bases de données de McDonald’s qui contenaient les conversations de chaque utilisateur de McHire avec Olivia. Les données comprennent jusqu'à 64 millions d'enregistrements, dont les noms, les adresses électroniques et les numéros de téléphone.
Ian Carroll dit avoir découvert cet effroyable manque de sécurité autour des informations des candidats après avoir été intrigué par la décision de McDonald's de soumettre ses nouvelles recrues potentielles à un chatbot d'IA de sélection et à un test de personnalité. « Je me suis dit que c'était assez dystopique par rapport à un processus d'embauche normal, n'est-ce pas ? Et c'est ce qui m'a donné envie de m'y intéresser de plus près », a déclaré le chercheur.
« J'ai donc commencé à postuler à un emploi et, au bout de 30 minutes, nous avions un accès complet à pratiquement toutes les candidatures qui avaient été déposées chez McDonald's depuis des années », a-t-il ajouté. Cette violation met en évidence les failles critiques en matière de cybersécurité des systèmes de recrutement basés sur l'IA et soulève des préoccupations quant à la protection des données dans les processus de recrutement automatisés.
L'utilisation de mots de passe faibles reste largement répandue, y compris auprès des professionnels. Selon NordPass, le pire mot de passe le plus utilisé dans le monde en 2023 était de loin "123456". Rien qu'en France, l'entreprise avait compté plus de 86 000 entrées de ce mot de passe. Presque la totalité des dix premiers mots de passe les plus utilisés dans le monde peut être déchiffrée en moins d'une seconde à l'aide de simples outils de force brute.
Des candidats se plaignent des réponses absurdes du chatbot Olivia
La plateforme Olivia représente un changement significatif vers une gestion des ressources humaines basée sur l'IA, où les algorithmes d'apprentissage automatique remplacent les recruteurs humains traditionnels dans les premières étapes du processus d'embauche. Cette pratique se répand rapidement sur le marché de l'emploi. Le robot Olivia utilise des algorithmes de traitement du langage naturel (NLP) pour interagir avec les demandeurs d'emploi.
Administration des utilisateurs de McHire
Cependant, de nombreux candidats ont fait part de leur frustration face à l'incapacité de l'IA à comprendre correctement des questions simples. Le chercheur en sécurité Ian Carroll a déclaré à Wired qu'il s'est intéressé à la sécurité du site Web McHire après avoir repéré une publication sur Reddit qui se plaignait du fait que le chatbot de recrutement de McDonald's faisait perdre du temps aux candidats avec des réponses absurdes et des malentendus.
Les deux chercheurs ont commencé à parler eux-mêmes au chatbot, le testant pour détecter des vulnérabilités de type «...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.