Depuis le printemps 2026, des dizaines de clients McDonald’s France découvrent que leurs points de fidélité McDo+ ont été utilisés par des inconnus pour passer des commandes gratuites. Le phénomène, documenté par plusieurs médias spécialisés en cybersécurité et relayé massivement sur les réseaux sociaux, ne relève pas d’un piratage spectaculaire de la base de données McDonald’s. Le mécanisme est à la fois plus banal et plus difficile à endiguer.
Credential stuffing : la technique derrière le vol de comptes McDo
Les comptes fidélité McDonald’s n’ont pas été percés par une faille propre à l’enseigne. Selon les analyses relayées par ZATAZ en mai 2026, les attaquants exploitent des bases d’identifiants issues de fuites anciennes, provenant d’autres services en ligne. Ces couples e-mail/mot de passe, agrégés depuis des années, sont testés automatiquement et massivement sur les comptes McDo+.
Lire également : Découvrez la plateforme qui révolutionne la gestion de vos projets de maison
Cette méthode porte un nom : le credential stuffing. Un script automatisé essaie des milliers de combinaisons par minute sur la page de connexion McDonald’s. Chaque fois qu’un client réutilise le même mot de passe sur plusieurs sites, son compte devient vulnérable, même si McDonald’s n’a pas été directement compromis.
Le témoignage d’un utilisateur Reddit illustre bien la confusion que cela génère : mot de passe unique, généré aléatoirement, et pourtant compte vidé. Plusieurs hypothèses circulent (malware sur le téléphone, session volée, token d’authentification intercepté), mais dans la majorité des cas documentés, la réutilisation de mots de passe reste la cause principale. Les retours terrain divergent sur ce point, car certains utilisateurs affirment avoir des mots de passe uniques sans que la compromission puisse être formellement expliquée.
A lire également : Peut-on vraiment faire confiance aux comparateurs de devis travaux en ligne ?
Un article détaillé revient sur le vol de points de fidélité McDo et les techniques employées par les attaquants pour cibler les programmes de restauration rapide.
Pourquoi les points de fidélité intéressent les cybercriminels
Voler des points McDo peut sembler dérisoire comparé au piratage d’un compte bancaire. La réalité est différente. ZATAZ note depuis 2024 une montée des attaques ciblant spécifiquement les programmes à points, tous secteurs confondus : restauration rapide, compagnies aériennes, hôtellerie, grande distribution.
Plusieurs raisons expliquent cet intérêt croissant :
- Les comptes fidélité sont rarement protégés par une authentification à deux facteurs, contrairement aux comptes bancaires ou aux messageries.
- Les victimes mettent souvent des semaines à remarquer la disparition de leurs points, ce qui laisse le temps aux fraudeurs d’agir.
- Certains groupes criminels se spécialisent désormais dans le vol de points plutôt que dans les cartes bancaires classiques, car le risque judiciaire perçu est plus faible pour un butin apparemment mineur.
Le basculement est net : les points de fidélité sont devenus une monnaie parallèle avec une valeur réelle sur les marchés souterrains.
Revente sur Telegram : la filière de monétisation des comptes volés
Une fois les comptes McDo+ compromis, les points ne sont pas simplement utilisés par le pirate pour se payer un menu. ZATAZ documente l’existence de bots Telegram et de places de marché fermées où les comptes à points sont revendus à prix cassés. L’acheteur final passe une commande (souvent en livraison) aux frais du titulaire légitime du compte.
Cette logistique n’a rien d’artisanal. Les mêmes circuits servaient déjà à revendre des accès Netflix ou Spotify volés. L’infrastructure est rodée : catalogue de comptes classés par solde de points, paiement en cryptomonnaie, livraison quasi instantanée du compte au client frauduleux.
Le problème pour McDonald’s (et pour les autres enseignes touchées) est que cette économie parallèle rend chaque compte fidélité monétisable, même ceux avec un solde modeste. Le volume compense la faible valeur unitaire.
Réponse de McDonald’s France et limites des mesures actuelles
McDonald’s France a réagi en envoyant à ses clients un message annonçant le renouvellement de leur identifiant fidélité et la désactivation de leur carte McDo+ dans Apple Wallet et Android Wallet. L’enseigne a indiqué mettre « tout en œuvre pour garantir la protection des données et la sécurité du compte McDo+ ».
En pratique, cette réinitialisation force les utilisateurs à générer une nouvelle carte virtuelle. Comme le signalait un utilisateur sur TikTok, refaire un compte ne suffit pas : il faut demander un nouveau numéro de carte avec transfert des points restants, sans quoi le problème peut se reproduire sur le même identifiant compromis.
Les données disponibles ne permettent pas de conclure sur l’ampleur exacte de la fuite. McDonald’s n’a pas communiqué de chiffre précis sur le nombre de comptes affectés. En revanche, la multiplication des témoignages sur Reddit, TikTok et les forums spécialisés suggère que le phénomène dépasse l’incident isolé.
Protéger son compte fidélité : ce qui fonctionne réellement
La protection d’un compte McDo+ repose sur quelques principes simples mais rarement appliqués :
- Utiliser un mot de passe unique pour chaque service, généré par un gestionnaire de mots de passe dédié (pas seulement celui du navigateur).
- Vérifier régulièrement l’historique de commandes et le solde de points, pour repérer toute activité suspecte avant que le compte ne soit entièrement vidé.
- Activer l’authentification à deux facteurs si l’application le propose (ce qui, à ce jour, reste limité sur l’application McDonald’s France).
- Contrôler si son adresse e-mail figure dans des fuites connues, via des services comme Have I Been Pwned.
Changer de mot de passe après chaque fuite connue d’un autre service est le geste le plus efficace contre le credential stuffing, car c’est précisément la réutilisation qui alimente ces attaques. Le vol de points McDo n’est qu’un symptôme d’un problème plus large : la gestion des identifiants numériques reste le maillon faible de la sécurité pour la majorité des utilisateurs.