McDonald’s France a confirmé le 21 mai avoir subi une fuite de données ayant permis à des fraudeurs d’accéder à des comptes du programme de fidélité McDo+ et d’en utiliser les points à l’insu de leurs titulaires.
L’affaire a été révélée par le média spécialisé 01net avant d’être reconnue par l’enseigne auprès de l’AFP.
Ce qu’il s’est passé
Des clients ont découvert ces derniers jours que leurs points de fidélité avaient été utilisés sans leur autorisation. Les fraudeurs ont ainsi bénéficié de réductions sur des commandes en exploitant les avantages accumulés par d’autres utilisateurs. McDonald’s France indique que deux de ses partenaires techniques ont détecté les tentatives d’accès et ont sécurisé l’environnement concerné dès leur découverte. L’enseigne affirme qu’aucune donnée sensible ou financière n’a été consultée.
Le nombre de comptes compromis n’a pas été communiqué. McDonald’s France reconnaît l’incident sans préciser ni le nombre de comptes concernés ni la date exacte de la fuite.
Le vecteur probable : credential stuffing
Bien que l’enseigne n’ait pas officiellement dévoilé le vecteur technique de l’attaque, ce type de piratage massif de cagnottes repose généralement sur le credential stuffing, ou bourrage d’identifiants. Cette technique consiste à tester automatiquement des adresses e-mail et mots de passe déjà compromis lors de fuites antérieures sur d’autres services, en misant sur la réutilisation des mêmes identifiants par les utilisateurs.
Sur le dark web et certains canaux Telegram spécialisés, les comptes de fidélité piratés — restauration, grande distribution, compagnies aériennes — se revendent par lots pour quelques euros. Les acheteurs utilisent ensuite les QR codes volés directement aux bornes de commande ou revendent des menus à prix réduit à des tiers. Ce mode opératoire contourne les dispositifs de sécurité classiques centrés sur la protection des données bancaires.
Par mesure de précaution, McDonald’s France a lancé une procédure de réinitialisation des identifiants des comptes clients en fin de semaine dernière. Une assistance en ligne est disponible sur l’application et le site de l’enseigne pour toute question relative aux points de fidélité.
L’obligation de notification à la CNIL
Conformément au RGPD, McDonald’s France est dans l’obligation de notifier cette violation de données à la CNIL dans un délai maximal de 72 heures après en avoir pris connaissance. À l’heure où ces lignes sont publiées, aucune déclaration publique de la CNIL sur ce dossier n’a été confirmée.
Ces plateformes attirent les attaquants car elles agrègent des données personnelles, des historiques de consommation et des avantages directement monétisables. Pour les équipes sécurité, le cas McDonald’s illustre une réalité souvent reléguée au second plan dans les analyses de risques : les applications grand public adossées à des programmes de récompense constituent des cibles à part entière, distinctes des systèmes de paiement, et dont la compromission peut intervenir via la chaîne de partenaires techniques sans toucher directement les systèmes centraux de l’entreprise.
Pour les DSI dont les organisations déploient ce type de programme — en propre ou via un prestataire — plusieurs questions méritent d’être posées sans délai : les politiques d’authentification appliquées par les partenaires sont-elles auditées ? Des mécanismes de détection d’accès anormaux (volume de connexions, géolocalisation inhabituelle, utilisation atypique de points) sont-ils en place ? Le délai de notification en cas d’incident est-il contractuellement encadré ?
