McDonald’s fait face à une polémique un peu embarrassante liée à son IA censée recruter automatiquement. Le géant du fast-food a fait face à une faille de sécurité alarmante qui a exposé les données des candidats.
McDonald’s s’est doté d’une IA appelée Olivia, développée par la société étasunienne Paradox.ai. Une partie du recrutement est gérée via la plateforme McHire, qui permet aux candidats d’uploader leurs coordonnées et CV avant d’être redirigés vers un test. Le système n’est pas utilisé en France, mais traite des millions de candidatures dans d’autres pays.
À lire : Pourquoi ChatGPT ne comprend rien à ce que vous lui racontez ?
Les données des candidats de McDonald’s exposées par l’IA
Des chercheurs en cybersécurité, Ian Carroll et Sam Curry, ont découvert des failles de sécurité qui permettent d’accéder aux données des candidats. Sur McHire, les experts ont repéré un lien de connexion pour le personnel de Paradox.ai et ont tenté de s’y connecter par curiosité.
L’accès a été d’une facilité déconcertante, puisqu’il n’a suffi que de deux essais pour trouver les identifiants. Et pour cause : le nom d’utilisateur était “Admin” et le mot de passe “123456”. Bref, une négligence de sécurité que l’on peut facilement qualifier d’irresponsable pour McDonald’s.
Une fois connectés, les chercheurs ont eu un accès administrateur à un compte de test sur McHire et ont découvert que chaque candidat est identifié par un numéro unique dans l’URL. Il suffisait simplement de modifier cet identifiant pour consulter les fiches des candidats.
Parmi les données exposées, on trouve les noms, les adresses mail, les numéros de téléphone et les historiques de conversation avec le chatbot Olivia. On parle de 64 millions de dossiers accessibles via cette méthode simple de manipulation d’URL. Si ces informations ne sont pas ultra sensibles, elles exposent les candidats à des risques réels de phishing et d’arnaques au faux recrutement. “Ça arrive plus souvent qu’on ne le pense. Mais un mot de passe aussi fragile, sans protection, pour un système avec des millions de données personnelles, c’est juste lamentable”, déplore Ian Carroll.
McDonald’s a rapidement pointé la responsabilité de son prestataire. “Nous sommes très déçus par cette faille inacceptable de la part de notre partenaire Paradox.ai. Dès que nous l’avons apprise, nous leur avons demandé de corriger le problème immédiatement, ce qui a été fait en une journée.” Paradox.ai a admis la faille et a annoncé une correction.
Une affaire qui montre les risques lorsque l’on externalise des systèmes critiques sans contrôle de la sécurité. Une négligence qui pose aussi des questions sur le choix des partenaires par les grandes entreprises. L’utilisation croissante de l’IA dans le processus RH demande une vigilance accrue pour protéger les données personnelles des candidats.
Source : Wired
Réagissez à cet article !