Un Big Mac d’IA, sauce faille de sécurité
L’idée paraissait pratique : automatiser le recrutement dans les fast-foods via une intelligence artificielle.
C’est ainsi qu’Olivia, un chatbot développé par la boîte américaine Paradox.ai, a débarqué dans les coulisses RH de McDonald’s.
Objectif : faire passer les premiers entretiens, collecter les CV, tester la motivation… sans humain, ni ketchup.
Mais derrière ce programme bien huilé, une négligence numérique digne d’un mauvais script de science-fiction.
Un mot de passe « 123456 », un accès admin ouvert comme un sandwich oublié au soleil… et voilà comment les infos de millions de candidats se sont retrouvées potentiellement exposées.
McHire ou McHacked ?
Sur le site McHire, utilisé dans plusieurs pays, Olivia pose ses questions et trie les profils. CV, mails, téléphone, tout est archivé… proprement ? Pas vraiment.
Deux chercheurs en cybersécurité, Ian Carroll et Sam Curry (aka les McInspecteurs), ont flairé le bug : en testant les accès internes, ils tombent dès la deuxième tentative sur un compte admin actif. Login : « admin ». Mot de passe : « 123456 ». Pas besoin d’un hacker russe, juste d’un peu de curiosité.
Et là, jackpot : en bidouillant les URLs, ils peuvent consulter les candidatures comme s’ils lisaient une vieille liste Excel de café internet.
Des fiches entières, des historiques de chats avec Olivia, et une estimation effarante : 64 millions de dossiers concernés. Oui, 64 millions.
Le mot de la fin : Olivia, t’as pas assuré
Cette histoire ferait presque sourire si elle ne révélait pas à quel point nos données sont baladées à la va-vite.
Une IA pas bien verrouillée, un mot de passe digne d’un compte MSN en 2008, et hop, ta candidature pour un poste étudiant peut te coller une arnaque au faux recruteur.
Moralité ? Même les robots peuvent faire des erreurs humaines. Et chez nous, tant que l’IA ne remplacera pas tonton Rachid qui connaît un recruteur chez KFC, on a peut-être encore une chance de garder nos infos bien au chaud.
