McDonald's : un mot de passe trop simple expose 64 millions de personnes

"123456" : non ce n'est pas une blague, ni un code (pas très secret) du dernier Mission Impossible. C'est le mot de passe utilisé par la plateforme de recrutement de McDonald's. Résultat ? Un accès non autorisé à des millions de données personnelles. Le tout, déniché par deux chercheurs en cybersécurité.

McDonald's se fait "hacker", enfin si on veut...

Tout commence lorsqu'un duo de white hats (hackers éthiques), Ian Carroll et Sam Curry, décide de tester la sécurité de McHire, la plateforme de recrutement utilisée par McDonald's aux États-Unis. L'objectif était d'analyser le comportement d'Olivia, un chatbot IA proposé sur McHire afin de fluidifier la procédure pour candidater et simplifier alors le processus de recrutement.

Surprise, en cherchant à interagir avec les systèmes de McHire, les deux white hats tombent sur une interface d'administration. Sans trop y croire, ils essaient le mot de passe le plus bête du monde : 123456. Bingo !

Une brèche ouverte depuis 2019 !

Les chercheurs ont alors découvert un compte administrateur de test toujours actif depuis 2019. En quelques minutes seulement, ils ont donc accès à des millions de candidatures et toutes les données qui vont avec : noms, numéros de téléphone, adresses e-mail ainsi que les réponses des candidats au chatbot IA.

Ian Carroll et Sam Curry avaient donc sous les yeux 64 millions de profils potentiellement consultables. Même si les chercheurs affirment n'avoir visionné que sept fiches pour éviter toute infraction éthique, l'ampleur du problème est gigantesque. Sam Curry s'est d'ailleurs exprimé sur le sujet :

C'est une des pires implémentations de sécurité que j'ai vu...

Si à première vue, il ne s'agit "que" de données de candidatures, l'exposition d'infos personnelles à cette échelle peut ouvrir la porte à du phishing massif, de l'usurpation d'identité ou même des escroqueries très ciblées. On en fait d'ailleurs les frais au quotidien avec les nombreux appels ou messages que l'on peut recevoir pour le compte CPF ou des fameux colis non livrés (très en vogue ces derniers jours).

Le chatbot IA Olivia, en fonction de vos réponses, analyse votre comportement et vos données personnelles et peut ainsi permettre à des personnes mal intentionnées de gagner votre confiance beaucoup plus simplement.

Exemple de conversation :

Paradox.ai reconnait son erreur

La plateforme incriminée est en réalité développée par la société Paradox.ai, fournisseur du chatbot Olivia. Paradox admet la faille et affirme avoir corrigé le tir en moins de 24 heures et annonce le lancement d'un programme de "bug bounty" pour éviter que ça ne se reproduise. Il s'agit d'une initiative mise en place pour recomposer financièrement les chercheurs en sécurité qui pourraient découvrir des vulnérabilités dans leurs systèmes.

La société McDonald's se dit "préoccupée" et rappelle qu'aucun autre système interne n'a été compromis.

Il faut maintenant retenir la leçon

L'affaire McDonald's montre qu'un mot de passe trop simple peur créer un désastre monumental, même pour une multinationale. L'IA ne protège pas de la négligence humaine.

Piqure de rappel : sécurisez vos comptes, utilisez des gestionnaires de mots de passe sécurisés et éviter tout ce qui ressemble à un mot de passe beaucoup trop simple. Vous n'êtes pas dans une mauvaise sitcom des années 2000. N'hésitez pas à consulter notre dossier sur comment créer un mot de passe sécurisé.