Un mot de passe par défaut utilisé sur la plateforme McHire a permis à deux chercheurs de consulter les données de dizaines de millions de postulants chez McDonald’s. L’entreprise incriminée, Paradox.ai, a reconnu sa responsabilité.
Pour candidater chez McDonald’s, mieux vaut désormais éviter de passer par Olivia les yeux fermés. Ce chatbot, utilisé dans près de 90 % des restaurants franchisés aux États-Unis, au Canada, au Royaume-Uni et en Irlande, a servi de point d’entrée à deux chercheurs en cybersécurité. En quelques minutes, ils ont pu accéder aux données de dizaines de millions de candidats. Mot de passe utilisé : « 123456 ».
Le site McHire, développé par l’entreprise américaine Paradox.ai, centralise une partie des recrutements pour McDonald’s. Il s’agit d’un portail automatisé qui guide les utilisateurs avec un assistant conversationnel, collecte leurs informations et les oriente parfois vers un test de personnalité. Le tout sans qu’un seul humain n’intervienne. Sauf que derrière cette vitrine numérique, la sécurité laissait à désirer. Très sérieusement.
Deux tentatives ont suffi pour accéder aux fichiers internes
Quand on le connaît, on se dit que c'est à peine croyable d'avoir pu enregistrer un tel mot de passe, pourtant parmi les plus utilisés. Encore fallait-il y penser. Ian Carroll et Sam Curry n’avaient pas prévu d’entrer aussi loin dans le système. À l’origine, ils s’intéressaient simplement à la manière dont un chatbot gérait les entretiens d’embauche. Ils ont commencé à discuter avec Olivia, puis se sont demandé ce qui se passait en coulisses. L’un d’eux a remarqué un lien d’administration sur la page McHire. Il a saisi “admin” comme identifiant, puis “123456” comme mot de passe. L’accès a été validé.
« C’est plus fréquent qu’on ne le croit », a expliqué Ian Carroll à Wired. Aucun second facteur d’authentification ne bloquait la connexion. Le compte concerné n’avait pas été utilisé depuis 2019. Il s’agissait d’un environnement de test, mais parfaitement relié aux bases de données de production. En consultant leur propre candidature, créée pour l’expérience, les chercheurs ont compris qu’il suffisait de modifier un chiffre dans l’adresse de l’API pour consulter les données d’un autre candidat. Puis d’un autre. Et encore un autre.
Jusqu’à 64 millions de candidatures exposées à des risques de phishing
Les chercheurs ont choisi de limiter leur exploration. Ils n’ont consulté que quelques profils pour éviter toute accusation d’intrusion. Selon leurs estimations, plus de 60 millions de candidatures étaient accessibles via cette méthode. Paradox.ai évoque pour sa part sept dossiers effectivement ouverts par les chercheurs, dont cinq contenant des informations personnelles.
Dans les profils visibles figuraient les noms, adresses mail, numéros de téléphone, et parfois les résultats aux tests de personnalité. Les adresses IP et données de géolocalisation figuraient aussi parmi les champs renseignés. Aucun RIB ni numéro de sécurité sociale n’a été retrouvé, mais cela ne change pas grand-chose selon Sam Curry. « Le risque de phishing est énorme. Il s’agit de personnes en attente d’une réponse pour un emploi. Il aurait suffi d’un faux mail bien rédigé pour leur demander des coordonnées bancaires », a-t-il résumé.
L’accès à ce type d’information aurait aussi pu servir à de fausses promesses de recrutement ou à des escroqueries ciblées. Pour les chercheurs, le problème n’est pas uniquement technique. Il tient à la combinaison d’un système automatisé, peu contrôlé, et d’un public particulièrement exposé.
Interrogée par Wired, Paradox.ai a confirmé les faits. L’entreprise a publié un billet de blog en amont, dans lequel elle assume sa responsabilité. Elle affirme avoir fermé l’accès le jour même de la révélation. Le compte vulnérable aurait dû être désactivé depuis longtemps. L’éditeur annonce également le lancement d’un programme de bug bounty destiné à repérer d’autres failles à l’avenir.
McDonald’s, de son côté, rejette la faute sur son prestataire. « Nous sommes déçus par cette vulnérabilité inacceptable chez un fournisseur tiers », a indiqué l’entreprise. Elle affirme avoir exigé une correction immédiate, sans délai.
Paradox a remercié les chercheurs pour leur démarche responsable et rappelle que les identifiants n’ont pas été utilisés par d’autres tiers, selon les éléments à sa disposition.
