Cybersécurité : un mot de passe efficace est la première règle, mais trop nombreux sont ceux qui l’ignorent encore
Il semble incroyable qu’en 2025, des mots de passe faibles, voire extrêmement faibles, soient encore utilisés, comme « 123456 », et c’est encore plus incroyable que cela ait été fait par une plateforme d’intelligence artificielle utilisée pour recruter des employés d’une multinationale bien connue.
L’entreprise en question est McDonald’s et la plateforme s’appelle McHire, développée par la société d’intelligence artificielle Paradox.ai et était utilisée pour les candidatures d’emploi dans la franchise américaine.
La nouvelle est que pour accéder et postuler, il suffisait apparemment d’entrer les identifiants « 123456 » comme nom d’utilisateur et mot de passe.
Deux chercheurs, Ian Carrol et Sam Curry, ont découvert que les données de 64 millions de personnes étaient facilement accessibles à tous.
Carroll explique qu’il a remarqué cette faille inquiétante car il était curieux de la décision de McDonald’s de soumettre les candidats à une évaluation par chatbot IA et à un test de personnalité.
« Je pensais », a-t-il dit, « que par rapport à un processus de recrutement normal, c’était un choix assez dystopique. Et c’est ce qui m’a donné envie d’enquêter davantage. J’ai donc commencé à postuler et après 30 minutes, j’avais accès à pratiquement toutes les candidatures soumises à McDonald “s pendant des années”. »
Bien que l’accès menait à un panneau avec des données d’employés de Paradox.ai pour un restaurant « test » qui n’était pas réel, les chercheurs ont pu voir les conversations par chatbot avec d’autres candidats.
De là, ils ont pu identifier « une autre vulnérabilité via une » API (Interface de Programmation d’Application, un protocole qui permet à deux services informatiques différents de communiquer entre eux), qui a permis aux deux chercheurs de découvrir également des données non cryptées des candidats : prénom, nom, numéro de téléphone, adresse de résidence, e-mail, etc.
Des données personnelles et sensibles multipliées par 64 millions, tous ceux qui avaient accédé à la plateforme. Une récompense très riche et facile pour tout acteur malveillant.
Le problème a été immédiatement signalé à McDonald’s et Paradox.ai le jour même de sa découverte, le 30 juin dernier. Peu après, les identifiants « 123456 » ont été éliminés et au 7 juillet, tous les problèmes étaient résolus selon l’entreprise d’IA.
Dans une déclaration à Wired, McDonald « s a déclaré » : « Nous sommes déçus par cette vulnérabilité inacceptable d’un fournisseur tiers, Paradox.ai. Dès que nous en avons eu connaissance, nous avons demandé à la » société d’y remédier immédiatement et le problème a été résolu le jour même où il nous a été signalé.
Paradox.ai, de son côté, a tenté de minimiser les dégâts tout en ne cachant pas ses responsabilités.
Selon les enquêtes internes de l’entreprise « , le panneau de test auquel les deux chercheurs ont accédé n’avait pas été utilisé depuis 2019 et oui, il aurait dû être désactivé, mais personne d’autre que les chercheurs ne l’avait jamais utilisé ». Suite à l’incident, un programme de prime aux bugs a également été lancé, une initiative qui récompense financièrement les chercheurs comme Carroll et Curry qui identifient les failles de sécurité et les partagent ensuite avec l’entreprise elle-même.
Mais ce cas McDonald’s n’est que le dernier d’une série d’incidents similaires.
Par exemple, parmi les cas les plus frappants, il y a eu celui du Département de l’Intérieur américain, où en 2023, suite à une enquête interne, il a été découvert que le mot de passe le plus couramment utilisé dans les bureaux était « Password-1234 », ce qui a permis de compromettre les comptes de 14 000 employés en seulement 90 minutes.
Ou l’acte démonstratif d’il y a quelques années qui a permis à des pirates informatiques de pénétrer dans un pétrolier naviguant dans la mer Adriatique en seulement 10 minutes car il protégeait ses systèmes avec le mot de passe « 1234 ».
La « liste pourrait continuer, mais ces quelques exemples suffisent à réitérer que, malgré toutes les campagnes de cybersécurité, il y » a encore beaucoup d’inconscience et de négligence au niveau mondial dans notre utilisation du réseau. Et la responsabilité, au final, retombe toujours sur le facteur humain qui sous-estime souvent les principes de protection de base par négligence.
Dans les cas énumérés dans cet article, nous parlons de la première règle de sécurité : « choisir un mot de passe efficace et le changer fréquemment. Ne pas suivre cette règle montre non seulement de la négligence mais aussi une faible, voire très faible, conscience des risques du réseau, donc une posture numérique qui » n’est certainement pas adaptée à notre époque.
Aujourd’hui, les techniques de défense doivent passer non seulement par la technologie mais aussi par le développement d’une véritable culture de la cybersécurité qui doit devenir partie intégrante de nos vies privées et professionnelles.
En bref, une bonne posture numérique devrait de plus en plus devenir un élément inhérent à chaque individu, acquis dès le plus jeune âge.
C’est pourquoi il serait important de l’enseigner dans les écoles, et peut-être « y arriverons-nous dans un avenir proche. En attendant, puisque nous ne pouvons plus nous permettre d’être en retard ou de prendre du retard sur une technologie qui évolue si rapidement, il » est nécessaire de suivre d’excellents parcours de formation continuellement mis à jour sur les derniers développements criminels et incluant des exercices pratiques et une formation personnalisée.
Considérant que le facteur humain reste le plus vulnérable, la formation, la bonne formation, reste le seul moyen de nous protéger, tant dans la vie privée que professionnelle.
