Cette histoire est à peine croyable : le système de recrutement par IA de McDonald’s a été piraté avec le mot de passe “123456”. Derrière cet accès, se cachent les données de 64 millions de candidats !
Un accès administrateur en 30 minutes
Une faille de sécurité d’une simplicité déconcertante impacte le système de recrutement de McDonald’s, propulsé par une IA. Aux États-Unis, les franchisés McDonald’s utilisent la plateforme de recrutement McHire.com, où un chatbot IA nommé “Olivia” est chargé de la première sélection des candidats.
Des chercheurs en sécurité, Ian Carroll et Sam Curry, ont réussi à accéder à la base de données de la plateforme McHire.com, exposant les informations personnelles de millions de candidats, en utilisant un mot de passe plus que basique : 123456. En à peine 30 minutes et en utilisant des techniques de piratage élémentaires, ils sont parvenus à obtenir un accès à toutes les données de la plateforme.
Cet incident de sécurité met en lumière une faiblesse humaine grave de la part du prestataire tiers, à savoir Paradox.ai. Pourtant, à la base, il voulait seulement évaluer la résistance du chatbot IA face à des attaques par prompt injection.
Grâce au mot de passe “123456” et à l’identifiant “123456” (oui, vous avez bien lu), ils sont parvenus à accéder à l’infrastructure backend de la société Paradox.ai, qui opère le service. “Au bout de 30 minutes, nous avions un accès complet à pratiquement toutes les demandes qui ont été faites à McDonald’s depuis des années.”, précisent les chercheurs. Dans un premier temps, ils ont eu accès à un restaurant de test grâce à ces identifiants très faibles.
Source : ian.sh
Mais, pour couronner le tout, une seconde vulnérabilité leur a permis de naviguer librement à travers les dossiers des candidats en modifiant simplement les numéros d’identification dans l’URL du système. Une application dont la sécurité n’avait probablement jamais été évaluée…
“Le paramètre principal de cette requête était le lead_id du chat, qui pour notre candidat test était d’environ 64 185 742. Nous avons essayé de décrémenter ce nombre et nous avons immédiatement été confrontés aux informations personnelles d’un autre candidat de McDonald’s (y compris des données de contact “non masquées”) !”, peut-on lire.
64 millions d’enregistrements dans la base de l’application
L’application stocke une base de données importantes avec environ 64 millions d’enregistrements, contenant les noms, adresses e-mail, adresses postales, numéros de téléphone et même l’historique complet des conversations des candidats avec le recruteur IA. Des informations qui auraient pu constituer une mine d’or pour les cybercriminels, notamment pour mener des campagnes de phishing.
Sam Curry a souligné que des fraudeurs pourraient facilement exploiter ces données pour se faire passer pour des recruteurs de McDonald’s et demander des informations financières, sous prétexte de mettre en place un virement pour le salaire.
Face à cette situation, Paradox.ai n’a pas eu d’autres choix que de reconnaître ses responsabilités… Dans un article de blog, la directrice juridique, Stephanie King, a déclaré : “Nous ne prenons pas cette affaire à la légère, même si elle a été résolue rapidement et efficacement. Nous en sommes responsables.”
Pour tenter de rassurer tout le monde, l’entreprise a confirmé que seuls les chercheurs avaient accédé au compte compromis et a annoncé la mise en place future d’un programme de bug bounty pour identifier d’autres failles. De son côté, McDonald’s s’est dit déçu par son fournisseur.
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.