McDonald’s France indique avoir pris des mesures correctives après un incident de sécurité ayant permis une utilisation frauduleuse des comptes de fidélisation de ses clients. Les points de fidélité étaient débités à l’insu de leurs détenteurs, puis utilisés pour obtenir des réductions sur des commandes parfois passées à plusieurs centaines de kilomètres de leur domicile.
Les comptes de McDonald’s circulent en groupes fermés
Le problème a été rapporté par de nombreux témoignages publiés ces derniers jours sur Reddit, X et TikTok, comme l’indique 01net. Plusieurs clients déclarent avoir perdu plusieurs centaines de points de fidélité, soit quelques dizaines d’euros de valeur, sans avoir eux-mêmes validé les commandes concernées.
L’affaire ressemble plus à un vol ciblé de comptes de fidélité qu’à une escroquerie classique. McDonald’s France assure également qu’aucune donnée sensible ou financière n’a été consultée, tout en reconnaissant que des tentatives d’accès aux informations clients ont été détectées au sein du programme de fidélité.
Les fraudeurs se sont appuyés sur des groupes sur Telegram et Discord pour vendre des comptes de fidélité ainsi que des reçus. Les pages de paiement associées à des transactions frauduleuses ressemblent également fortement à des pages de phishing.
La faille a été exploitée suite à une modification de la sécurité du système de connexion. A ce stade, McDonald’s France ne détaille ni le nombre de comptes potentiellement concernés ni la période exacte durant laquelle l’incident s’est produit.
McDonald’s réinitialise ses identifiants
Le groupe explique que deux de ses partenaires ont récemment détecté ces tentatives d’accès. Dès leur découverte, des mesures ont été prises pour sécuriser l’environnement et contenir l’incident. «Les mesures correctives mises en place ont permis de contenir l’incident»a déclaré la chaîne de restauration rapide à l’AFP. « McDonald’s France et ses partenaires prennent la protection des données très au sérieux »ajoute le groupe.
Par précaution, McDonald’s France a également lancé en fin de semaine dernière une procédure de réinitialisation des identifiants des comptes clients. L’entreprise indique enfin que les personnes concernées peuvent déposer une plainte auprès du service client.
La réponse de McDonald’s clôt le débat sur un point : il y a bien eu un incident affectant le programme de fidélité. En revanche, l’entreprise reste très floue sur son ampleur réelle, alors que les témoignages accumulés donnent l’image d’une fraude déjà largement visible côté client.
Au-delà de la réinitialisation des accès, la question est de savoir combien de comptes ont été exposés, combien de points ont été détournés et comment une telle brèche aurait pu se développer suffisamment pour alimenter des circuits de revente organisés.
Précisons toutefois qu’aucune donnée bancaire sensible n’a été consultée.
