dim. Juil 5th, 2026

Comme beaucoup de grandes entreprises, McDonald’s utilise désormais une plateforme basée sur l’intelligence artificielle pour recruter, McHire.com. Ce système fait appel à un chatbot baptisé Olivia, développé par la société Paradox.ai. Olivia recueille les informations personnelles des candidats, les oriente vers un test de personnalité et répond à des questions basiques sur l’entreprise — même si parfois ses réponses laissent à désirer.

Deux chercheurs en sécurité, Ian Carroll et Sam Curry, ont récemment révélé que cette plateforme présentait, jusqu’à la semaine dernière, des failles de sécurité pour le moins surprenantes (premièrement dévoilées par le très respecté Wired). Si ces vulnérabilités avaient été exploitées par des personnes malveillantes, elles auraient permis d’accéder au contenu de chaque conversation entre Olivia et les candidats, y compris des données personnelles sensibles.

Carroll et Curry ont identifié plusieurs failles graves, parfois d’une simplicité déconcertante, dans l’infrastructure de McHire.com, utilisée par de nombreux franchisés, bien que pas tous. Leur découverte majeure? Ils ont réussi à obtenir les accès à un compte Paradox.ai ainsi qu’aux bases de données contenant toutes les conversations des candidats. Le pire dans cette affaire ? L’accès s’est fait via un compte administrateur protégé par un identifiant et un mot de passe ridiculement faibles : “123456”.

Les informations potentiellement accessibles comprenaient 64 millions de dossiers, incluant noms, adresses e-mail et numéros de téléphone.

« Je trouvais déjà le système de recrutement McHire particulièrement dystopique par rapport à un processus classique, explique Carroll. C’est ce qui m’a donné envie d’explorer davantage le site. En trente minutes, nous avions accès à quasiment toutes les candidatures déposées chez McDonald’s depuis des années. »

Après avoir testé le chatbot, les chercheurs se sont inscrits comme franchisés et ont repéré un lien de connexion destiné au personnel Paradox.ai. Carroll a tenté alors les identifiants usuels : “admin/admin” et “123456/123456”. La seconde tentative a permis de pénétrer le système.

Ce privilège leur a accordé la gestion d’un faux restaurant McDonald’s, où ils ont pu visualiser des offres d’emploi tests et, en modifiant simplement l’ID candidat dans la base, accéder aux conversations d’autres postulants. Au total, ils ont consulté sept comptes, dont cinq contenaient des informations personnelles.

Il faut préciser que ces données n’ont jamais été effectivement piratées ni divulguées à ce jour. La faille a été corrigée depuis, et Carroll et Curry méritent bien un hommage (et peut-être un Big Mac à vie). Cette histoire illustre néanmoins combien des portes dérobées d’une naïveté confondante peuvent exister dans des systèmes gérant des données très sensibles, et à quel point elles sont faciles à exploiter pour de mauvaises intentions.

Paradox.ai a confirmé les conclusions des chercheurs et assuré que le compte “123456” n’a été utilisé par personne d’autre. Stephanie King, responsable juridique, a déclaré : « Même si le problème a été résolu rapidement, nous prenons ce sujet très au sérieux. Nous assumons la responsabilité entière. »

De son côté, McDonald’s a préféré rejeter la faute sur Paradox.ai qualifiant la faille de « vulnérabilité inacceptable » et s’est contenté d’ajouter que le problème avait été réglé le jour même de la notification.

Points à retenir

  • McDonald’s recrute désormais avec une plateforme automatisée, présentant une expérience utilisateur parfois maladroite.
  • Deux chercheurs ont débusqué que l’accès administrateur de cette plateforme se faisait avec un mot de passe tout droit sorti des années 2000 : “123456”.
  • Grâce à cela, ils ont pu consulter des millions d’informations personnelles de candidats, sans aucune barrière technique sérieuse.
  • Les données n’ont pas été compromises mais cette faille démontre une fois de plus que la sécurité informatique peut parfois ressembler à une porte grande ouverte sur un coffre-fort.
  • McDonald’s a joué la carte de la responsabilité limitée en renvoyant la faute à son prestataire, Paradox.ai, qui a reconnu son erreur.
  • Faut-il vraiment s’étonner que dans certains systèmes automatisés, la sécurité soit à ce point négligée ?

Au final, cet incident nous rappelle qu’il vaut mieux ne pas remettre sa vie professionnelle entre les mains d’un chatbot au code bien trop naïf. Mais qui sait, peut-être qu’avec un peu plus de Big Mac et moins de “123456”, les débuts chez McDonald’s deviendront aussi sûrs que délicieux. En attendant, je me dis que si la sécurité du recrutement est aussi rodée, nul doute que la cuisson des fameux burgers fera encore couler beaucoup d’encre — et pas forcément celle d’un ingénieur en cybersécurité.


Partager : X Facebook WhatsApp LinkedIn Reddit

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *