Une fuite de données chez McDonald's France a permis à des pirates de siphonner les points des comptes fidélité de nombreux clients. Ces comptes sont ensuite revendus sur des plateformes comme Telegram, permettant d'obtenir des repas à bas prix. En réponse, l'enseigne a procédé à une réinitialisation des identifiants et désactivé les cartes de fidélité virtuelles, sans garantir le remboursement des points volés.
La mauvaise surprise a touché de nombreux habitués de McDonald's en France. En consultant leur application, plusieurs clients ont découvert que leur cagnotte de points fidélité avait été utilisée pour des commandes passées à des centaines de kilomètres de leur domicile. Cette situation est la conséquence directe d'une faille de sécurité qui a exposé les données du programme McDo+.Comment cette fraude à grande échelle a-t-elle été orchestrée ?
L'enquête, menée initialement par des journalistes et confirmée par des témoignages sur les réseaux sociaux comme Reddit, TikTok et X, a révélé un véritable marché noir. Les pirates ont réussi à accéder aux informations des comptes clients, non pas en attaquant directement McDonald's, mais via deux de ses partenaires prestataires. Cette brèche leur a permis de récupérer les identifiants nécessaires pour se connecter aux comptes.
Une fois en possession de ces accès, les fraudeurs ont mis en place un système bien rodé. Sur des canaux Discord et Telegram, ils proposent à la vente ces comptes McDo crédités en points. Pour quelques euros, payables via PayPal, n'importe qui peut acheter un identifiant et l'utiliser aux bornes de commande pour payer son repas avec les points d'une autre personne, réalisant ainsi une importante économie. Le phénomène s'étend également à d'autres enseignes comme Burger King et KFC.Quelle a été la réaction de McDonald's face à cette crise ?
Confrontée à la multiplication des plaintes, la direction de McDonald's France a officiellement reconnu l'incident. L'entreprise a communiqué sur des « tentatives d'accès à des informations clients » détectées chez deux partenaires, assurant que des mesures ont été prises immédiatement pour sécuriser l'environnement. Le groupe insiste sur le fait qu'aucune donnée sensible ou financière, comme les coordonnées bancaires, n'a été consultée.
Concrètement, la chaîne de restauration rapide a lancé une vaste opération de réinitialisation des identifiants de tous les comptes clients concernés. De plus, toutes les cartes de fidélité virtuelles enregistrées dans les applications Apple Wallet et Android Wallet ont été désactivées, obligeant les utilisateurs à en générer de nouvelles. Ces actions visent à rendre les données volées inutilisables par les pirates.
Les clients lésés seront-ils remboursés de leurs points perdus ?C'est la question qui préoccupe le plus les victimes de cette fraude. Pour l'instant, la communication de McDonald's reste floue sur ce point précis. En se contentant d'évoquer des « mesures correctives » et une sécurisation des systèmes, l'enseigne n'a pas officiellement annoncé de procédure de remboursement des points qui ont été frauduleusement dépensés.
Les clients floués sont donc laissés dans l'incertitude. La seule option qui leur est actuellement proposée est de contacter le service client via une page de réclamation disponible sur le site et l'application. La récupération des cagnottes siphonnées reste donc, à ce stade, une démarche individuelle dont l'issue n'est pas garantie.
merci à GNT
La dernière fois que j'y suis entré, voulant prendre un café, j'ai découvert que les commandes se font avec des écrans tactiles, alors je suis sorti pour chercher un bar ailleurs.
