Deux chercheurs en sécurité, Ian Carroll et Sam Curry, deux experts en sécurité informatiqueont révélé que la plateforme de Mc Donalds présentait, jusqu’à la semaine dernière, des failles de sécurité pour le moins surprenantes et graves dans l’infrastructure de McHire.com, utilisée par de nombreux franchisés.

Ils ont réussi à obtenir les accès à un compte Paradox.ai ainsi qu’aux bases de données contenant toutes les conversations des candidats. Ils y sont parvenus au bout de la seconde combinaison, avec le nom d’utilisateur « admin » et le mot de passe « 123456 ».

Le chatbot baptisé Olivia, développé par la société américaine Paradox.ai, gère une partie du recrutement de Mc Donald's. Les candidats interagissent avec celui-ci via la plateforme McHire, qui permet à l’enseigne d’embaucher des travailleurs, mais n’est pas utilisée en France.

Les candidats transmettaient leurs coordonnées, CV, puis étaient dirigés vers un test de personnalité

Une fois connectés, les experts ont obtenu un accès administrateur à un compte de test sur McHire.com, puis ont découvert que chaque candidature était identifiée par un numéro unique. En modifiant simplement cet identifiant dans l’URL, par exemple en le diminuant ou en l’incrémentant, ils ont pu consulter les fiches d’autres candidats, avec leur nom, adresse e-mail, numéro de téléphone et historique de conversation avec le chatbot Olivia.

Les informations potentiellement accessibles comprenaient 64 millions de dossiers, incluant noms, adresses e-mail et numéros de téléphone.

« Je trouvais déjà le système de recrutement McHire particulièrement dystopique par rapport à un processus classique, explique Carroll. C’est ce qui m’a donné envie d’explorer davantage le site. En trente minutes, nous avions accès à quasiment toutes les candidatures déposées chez McDonald’s depuis des années. »

Bien que les données ne soient pas très sensibles, elles exposaient les candidats à des risques réels de phishing ou d’arnaques au faux recrutement. « C’est plus courant qu’on ne le pense. Mais voir un mot de passe aussi faible, sans protection supplémentaire, pour un système contenant des millions de données personnelles, c’est aberrant », estime Ian Carroll.

De son côté, McDonald’s a pointé la responsabilité de Paradox.ai, qui a reconnu la faille et annoncé des mesures de sécurité correctives : « Nous sommes très déçus par cette inacceptable vulnérabilité de la part d’un partenaire tiers, Paradox.ai. Dès que nous en avons eu connaissance, nous leur avons demandé de remédier au problème immédiatement, ce qui a été fait dans la journée », a réagi l’enseigne.