« 123456 » pour mot de passe... La plateforme de recrutement de McDonald’s piratée

Choisir un mot de passe fort et complexe est essentiel en ligne, surtout quand on dispose de millions de données sensibles. C’est la leçon que McDonald’s a apprise début juillet après que sa plateforme de recrutement en ligne McHire a été piratée, rapporte Wired.

Cette plateforme consiste essentiellement en un chatbot, baptisé Olivia, qui échange avec les candidats et recueille leurs informations personnelles et leur CV. Le site est géré par un partenaire de McDonald’s, Paradox.ai, qui met à disposition son intelligence artificielle (IA) pour faire fonctionner le chatbot.

Les données de 64 millions de candidats exposées

Intrigués par cette méthode de recrutement originale basée sur une IA, deux chercheurs en cybersécurité se sont penchés sur la plateforme. En posant des questions au chatbot, ils ont vite identifié ses limites mais ont surtout réussi à accéder très rapidement à un compte administrateur du site en tapant un mot de passe excessivement simple : « 123456 ».

En une trentaine de minutes seulement, ils ont ainsi accédé à toutes les données personnelles récoltées par McHire, soit les noms, adresses e-mail et numéros de téléphone de 64 millions de candidats. Les échanges entre les candidats et Olivia étaient aussi stockés – de quoi lancer, pour des hackers mal intentionnés, une campagne de phishing particulièrement efficace.

McDonald’s en colère

Paradox.ai a confirmé l’intrusion et la simplicité du mot de passe sur son blog ce mercredi, assurant cependant que les données n’avaient jamais été dérobées jusque-là. McDonald’s a aussi réagi, ne prenant aucune responsabilité et blâmant le gestionnaire du site. « Nous sommes très déçus par cette inacceptable vulnérabilité », a déclaré la chaîne américaine, relayée par BFMTV. « Dès que nous en avons eu connaissance, nous leur avons demandé de remédier au problème immédiatement. »