McDonald’s France a confirmé avoir été victime d’un incident de sécurité ayant conduit à des accès frauduleux à des comptes du programme de fidélité de l’enseigne.
Selon plusieurs témoignages relayés ces derniers jours, des clients ont découvert que leurs points fidélité avaient été utilisés sans leur autorisation pour obtenir des réductions sur des commandes passées par des tiers.
Des comptes fidélité débités à l’insu des clients
D’après les informations publiées par 01net puis confirmées par McDonald’s France, des fraudeurs seraient parvenus à accéder à certains comptes clients liés au programme de fidélité.
Les attaquants auraient ensuite utilisé les points cumulés par les victimes afin de bénéficier de réductions ou de produits gratuits lors de commandes passées via l’application ou les bornes de commande.
À ce stade, McDonald’s France n’a pas communiqué le nombre exact de comptes concernés.
McDonald’s évoque une compromission chez des partenaires
Dans sa communication officielle, l’enseigne explique que « deux partenaires » ont détecté des tentatives d’accès à des informations clients liées au programme de fidélité.
« Les mesures correctives mises en place ont permis de contenir l’incident. »
McDonald’s affirme également qu’aucune donnée bancaire ou information financière sensible n’aurait été consultée durant l’incident.
Réinitialisation des identifiants des clients
Par mesure de précaution, McDonald’s France a lancé une procédure de réinitialisation des identifiants des comptes clients concernés à partir de la semaine dernière.
Les utilisateurs sont invités à modifier leur mot de passe et à vérifier l’historique de leurs points fidélité afin de détecter toute utilisation suspecte.
Une nouvelle cible pour les cybercriminels
Les programmes de fidélité sont devenus des cibles fréquentes pour les cybercriminels. Même sans données bancaires, ces comptes possèdent une valeur directe grâce aux points cumulés, bons d’achat ou avantages utilisables immédiatement.
Les attaques reposent souvent sur du credential stuffing, une technique consistant à réutiliser des identifiants récupérés lors d’anciennes fuites de données sur d’autres plateformes.