Des dizaines de témoignages ont fleuri ces derniers jours sur Reddit, TikTok et X. Des clients de McDonald’s France découvrent que leurs points fidélité McDo+ ont été utilisés à leur insu pour passer des commandes gratuites, parfois à plusieurs centaines de kilomètres de chez eux. L’enseigne a fini par confirmer un incident de sécurité à la suite d’un article de 01net. Cette faille de sécurité a permis l’utilisation frauduleuse de comptes fidélité, et le trafic semble s’être organisé via des groupes spécialisés.
Ce qui s’est passé
McDo+ est l’application fidélité de la chaîne de fast-food utilisée pour commander, accumuler des points et les échanger contre un menu ou une réduction. Sauf que depuis plusieurs jours, des cagnottes entières se vident sans que les titulaires aient validé la moindre commande. Plusieurs clients disent avoir perdu des centaines de points fidélité, soit quelques dizaines d’euros de repas. Dans certains cas, c’est discret : une centaine de points qui disparaît après une commande passée dans une ville inconnue. Dans d’autres, c’est la totale.
Contacté par l’AFP, McDonald’s France évoque une utilisation frauduleuse de comptes fidélité de clients. L’enseigne assure qu’aucune donnée sensible ou financière n’a été consultée, tout en reconnaissant que des tentatives d’accès à des informations clients ont bien été détectées au sein du programme de fidélité.
À ce stade, McDonald’s France ne détaille ni le nombre de comptes potentiellement touchés ni la période exacte pendant laquelle l’incident s’est produit.
Un marché noir des comptes McDo+ sur Discord et Telegram
Plusieurs vidéos TikTok montrent des individus expliquant comment commander gratuitement chez McDonald’s grâce à des comptes qui ne leur appartiennent pas, et derrière se cacheraient des groupes Discord ou Telegram spécialisés dans la revente de comptes fidélité. Le mode d’emploi est répétitif : les acheteurs déboursent quelques euros pour récupérer un identifiant volé et déjà rempli de points. Il ne leur reste plus qu’à scanner un code QR usurpé à la borne pour utiliser les récompenses de quelqu’un d’autre.
L’origine de la faille reste, elle, floue. McDonald’s France explique à l’AFP que « deux de [ses] partenaires ont récemment détecté des tentatives d’accès à des informations clients » au sein du programme de fidélité, après une modification dans la sécurité du système de connexion. Traduction : pas de fuite massive de coordonnées bancaires confirmée, mais un vol d’identifiants suffisant pour vider des cagnottes à la chaîne. Et ironie du sort, certaines plateformes revendant les codes QR sont en réalité des tentatives de phishing pour arnaquer les personnes pensant profiter d’un bon plan facile.
De son côté, McDonald’s affirme que des « mesures correctives » ont été mises en place pour contenir l’incident. Le groupe a aussi lancé une réinitialisation générale des identifiants McDo+ et a désactivé temporairement certaines cartes virtuelles Apple Wallet et Google Wallet.
Ce qu’il faut faire si vous avez un compte McDo+
Si vous avez un compte McDo+, pensez à ouvrir l’application et vérifier l’historique des commandes ainsi que le solde de points. Si vous voyez une commande dans une ville où vous n’avez jamais mis les pieds, alors votre compte est sans doute compromis.
Il faut alors immédiatement changer de mot de passe et vérifier que le numéro de téléphone associé au compte est bien le vôtre (un attaquant peut l’avoir remplacé).
Les bons réflexes en cas de piratage
Si vous avez été victime d’un piratage ou d’une fuite de données, quelques bonnes pratiques sont à garder en tête pour mieux vous protéger. Frandroid en a fait une liste :
- Changer sans attendre les mots de passe des comptes concernés ;
- En profiter pour changer aussi les mots de passe identiques ou similaires sur d’autres services ;
- Utiliser des mots de passe uniques et solides (avec, pourquoi pas, un gestionnaire de mots de passe) ;
- Activer la double authentification (2FA) partout où c’est possible ;
- Activer les Passkeys quand c’est possible ;
- Dans les semaines à venir, se méfier des emails, SMS ou appels suspects, même s’ils semblent crédibles ;
- Ne jamais cliquer sur un lien ou télécharger une pièce jointe en cas de doute ;
- Prévenir ses contacts si le piratage peut les concerner ;
- Mettre à jour ses appareils et logiciels pour corriger d’éventuelles failles de sécurité ;
- En cas de virements frauduleux, faire un signalement sur la plateforme Perceval.
Chaque matin, WhatsApp s’anime avec les dernières nouvelles tech. Rejoignez notre canal Frandroid pour ne rien manquer !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et .
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.