Site icon Top Geek Blog

Incroyable : ces failles dans l’IA RH de McDonald’s exposent les données de millions de candidats !

McDonald’s : des failles majeures dans son IA de recrutement exposent des millions de données

Deux chercheurs en sécurité informatique viennent de révéler une vulnérabilité inquiétante dans le système d’intelligence artificielle utilisé par McDonald’s aux États-Unis pour évaluer les candidats à l’embauche. À peine dévoilé, ce chatbot RH baptisé “McHireBot” livre l’accès au backend, ouvrant la porte à des données personnelles sur des millions de postulants.

Une intrusion étonnamment facile dans le backend

Les experts ont d’abord détecté un point d’entrée non protégé sur un sous-domaine associé au service de recrutement. Sans effort particulier, ils ont pu :

Ce manque de sécurisation de l’API interne laisse penser que McDonald’s n’a pas appliqué les protections minimales requises : authentification renforcée, chiffrement au repos et en transit, ni journaux d’accès rigoureux.

Une portée industrielle inédite

McDonald’s n’est pas un petit acteur : chaque année, le géant de la restauration rapide traite plusieurs dizaines de milliers de candidatures aux États-Unis. Le déploiement de McHireBot visait à accélérer le tri des profils, à standardiser les entretiens préalables et à réduire la charge des équipes RH. Las :

Au-delà du préjudice individuel, ces failles compromettent la confiance dans les systèmes d’IA de recrutement. Comment confier des données aussi sensibles à un algorithme si sa plateforme n’est pas blindée ?

Les risques pour les candidats et pour l’entreprise

Plusieurs scénarios d’abus peuvent être envisagés :

Comment McDonald’s doit réagir

Face à cette situation critique, plusieurs mesures immédiates s’imposent :

Sans ces actions, McDonald’s risque non seulement des poursuites judiciaires pour non-conformité au RGPD et au CCPA (California Consumer Privacy Act), mais aussi une perte de confiance des candidats et du grand public.

L’exemple à suivre pour les autres entreprises

Cette affaire cloue au pilori l’idée que l’IA, par nature, serait infaillible ou exempte de risques techniques. À l’heure où de plus en plus d’organisations intègrent des chatbots et des algorithmes pour rationaliser leurs processus, la leçon de McDonald’s devrait résonner :

En exposant publiquement ces défauts, les deux chercheurs ont rendu service à l’ensemble du secteur. Reste maintenant à voir si McDonald’s saura rebondir et redorer son blason en prenant l’exemplarité et la sécurité comme étendard.

Quitter la version mobile