Skip to content
Bourrage d’identifiantsContenu

McDonald’s touché par une cyberattaque : des comptes fidélité utilisés à l’insu des clients

Le 21 mai 2026, McDonald’s France a confirmé une campagne de credential stuffing ayant détourné des comptes fidélité McDo+, des fraudeurs vidant les points accumulés pour des commandes gratuites ; aucune donnée bancaire n’a été touchée et un changement massif de mots de passe a été lancé.

Victime
McDonald’s

Le 21 mai 2026, McDonald’s — la filiale française de la chaîne de restauration rapide et son programme de fidélité McDo+ — a confirmé un incident de sécurité au cours duquel des attaquants ont obtenu un accès frauduleux à des comptes fidélité de clients et dépensé les points qui y étaient stockés à l’insu de leurs titulaires.

L’intrusion porte les marques d’une campagne de credential stuffing plutôt que d’une compromission des systèmes propres de McDonald’s : l’enseigne a souligné que ce type d’attaque « réutilise des identifiants récupérés lors de précédentes fuites de données sur d’autres plateformes ». Les fraudeurs ont obtenu ou acheté des identifiants McDo+ valides, puis passé des commandes pour convertir les points accumulés en réductions et produits gratuits. Les comptes volés étaient ouvertement revendus via des groupes Discord et Telegram dédiés, et des dizaines de victimes ont témoigné sur Reddit, TikTok et X.

Les données et actifs exposés se limitaient à la couche fidélité :

  • Identifiants des comptes McDo+ (identifiant / mot de passe)
  • Points de fidélité accumulés, vidés par des commandes frauduleuses
  • Identifiants de compte permettant des commandes non autorisées

McDonald’s a indiqué qu’aucune donnée bancaire ni information financière sensible n’avait été consultée, le programme de fidélité fonctionnant indépendamment des systèmes de paiement. L’entreprise a précisé que deux partenaires avaient détecté les accès non autorisés, a mis en place des mesures correctives, lancé une réinitialisation générale des identifiants McDo+ et désactivé temporairement certaines cartes virtuelles Apple Wallet et Google Wallet. Les clients ont été invités à changer leur mot de passe et à vérifier leur historique de commandes ainsi que leur solde de points pour repérer toute activité suspecte. McDonald’s France n’a pas communiqué le nombre de comptes concernés.

Sources

  1. cyberattaque.orghttps://www.cyberattaque.org/mcdonalds-touche-par-une-cyberattaque-des-comptes-fidelite-utilises-a-linsu-des-clients/
  2. journaldugeek.comhttps://www.journaldugeek.com/2026/05/21/des-comptes-mcdonalds-pirates-en-france-vos-points-fidelite-ont-ils-ete-voles/
  3. economiematin.frhttps://www.economiematin.fr/mcdonalds-fuite-donnees-fidelite-programme

Incidents liés

Fuite de donnéesInconnu

18 140 personnes touchées par une fuite revendiquée chez AVEA Vacances

Le 23 mai 2026, AVEA Vacances, association française organisant des séjours éducatifs et colonies de vacances pour enfants et adolescents, a été visée par une fuite sur forum d'environ 46 000 enregistrements (128 Mo), dont un fichier de 18 140 lignes de données de postiers et CSE ainsi que des documents de réservation et comptables.

Victim
AVEA Séjours / AVEA Vacances
Records
18.1K