Des chercheurs en cybersécurité ont révélé les vulnérabilités de l’intelligence artificielle chargée des embauches chez le géant américain du fast-food. Une méthode de piratage aussi basique que loufoque.
Les postulants à un emploi chez McDonald’s connaissent sans doute « Olivia », l’intelligence artificielle (IA) conversationnelle déployée par l’entreprise américaine sur McHire, sa plateforme de recrutement. Ce que les candidats à l’embauche ignoraient en revanche, ce sont les graves failles de sécurité du site développé par l’entreprise Paradox.ai.
C’est précisément ce que viennent de révéler deux chercheurs en sécurité informatique, Ian Carroll et Sam Curry, qui ont réussi à pirater le système en devinant simplement le mot de passe « 123456 ».
Selon Wired, les deux experts s’étaient intéressés au système après avoir lu des plaintes sur Reddit concernant Olivia, qui remplace le premier filtre humain dans le processus de sélection en examinant CV et autres informations des candidats souhaitant travailler chez Big Arch.
Les utilisateurs se plaignaient en effet de réponses absurdes et de malentendus répétés de la part de ce chatbot censé pourtant mener des échanges naturels en langage courant. Ce qui devait être une simple vérification de vulnérabilités s’est transformé en découverte majeure pour les chercheurs.
Quand la sécurité informatique ressemble à une blague
La facilité avec laquelle les chercheurs ont pénétré le système défie l’entendement. Carroll raconte avoir simplement essayé deux combinaisons de mots de passe parmi les plus courantes : « admin/admin » puis « 123456/123456« . La seconde tentative a fonctionné.
Cette porte dérobée donnait accès à un compte administrateur de test de Paradox.ai qui n’avait pas été utilisé depuis 2019. De quoi accéder à tous les échanges entre les candidats et Olivia en manipulant simplement les numéros d’identification des candidatures.
Cela concerne les conversations, les noms, les adresses email et les numéros de téléphone de 64 millions d’utilisateurs potentiels remontant à plusieurs années d’historique de candidatures traitées par Olivia. Une question émerge à la lumière de cette faille : comment peut-on faire confiance à des systèmes d’IA sophistiqués quand les mots de passe ressemblent à ceux d’un débutant en informatique ?
Des risques potentiellement très graves
« Je pensais que c’était uniquement dystopique, comparé à un processus d’embauche normal. Et c’est ce qui m’a donné envie d’examiner cela de plus près« , dit Carroll dans les colonnes de Wired.
Le risque ne se limite pas à la simple exposition d’informations. Comme l’explique Curry, ces données auraient pu être utilisées par des fraudeurs pour mener des campagnes de phishing ciblées, en pariant notamment sur la vulnérabilité des demandeurs d’emploi.
« Si vous vouliez faire une sorte d’arnaque à la paie, c’est une bonne approche« , renchérit Curry alors que McDonald’s a rejeté la faute sur Paradox.ai, décrivant « une vulnérabilité inacceptable ».