McDonald’s touché par une cyberattaque : des comptes fidélité utilisés à l’insu des clients
Le 21 mai 2026, McDonald’s France a confirmé une campagne de credential stuffing ayant détourné des comptes fidélité McDo+, des fraudeurs vidant les points accumulés pour des commandes gratuites ; aucune donnée bancaire n’a été touchée et un changement massif de mots de passe a été lancé.
- Victime
- McDonald’s
Le 21 mai 2026, McDonald’s — la filiale française de la chaîne de restauration rapide et son programme de fidélité McDo+ — a confirmé un incident de sécurité au cours duquel des attaquants ont obtenu un accès frauduleux à des comptes fidélité de clients et dépensé les points qui y étaient stockés à l’insu de leurs titulaires.
L’intrusion porte les marques d’une campagne de credential stuffing plutôt que d’une compromission des systèmes propres de McDonald’s : l’enseigne a souligné que ce type d’attaque « réutilise des identifiants récupérés lors de précédentes fuites de données sur d’autres plateformes ». Les fraudeurs ont obtenu ou acheté des identifiants McDo+ valides, puis passé des commandes pour convertir les points accumulés en réductions et produits gratuits. Les comptes volés étaient ouvertement revendus via des groupes Discord et Telegram dédiés, et des dizaines de victimes ont témoigné sur Reddit, TikTok et X.
Les données et actifs exposés se limitaient à la couche fidélité :
- Identifiants des comptes McDo+ (identifiant / mot de passe)
- Points de fidélité accumulés, vidés par des commandes frauduleuses
- Identifiants de compte permettant des commandes non autorisées
McDonald’s a indiqué qu’aucune donnée bancaire ni information financière sensible n’avait été consultée, le programme de fidélité fonctionnant indépendamment des systèmes de paiement. L’entreprise a précisé que deux partenaires avaient détecté les accès non autorisés, a mis en place des mesures correctives, lancé une réinitialisation générale des identifiants McDo+ et désactivé temporairement certaines cartes virtuelles Apple Wallet et Google Wallet. Les clients ont été invités à changer leur mot de passe et à vérifier leur historique de commandes ainsi que leur solde de points pour repérer toute activité suspecte. McDonald’s France n’a pas communiqué le nombre de comptes concernés.
Sources
- cyberattaque.orghttps://www.cyberattaque.org/mcdonalds-touche-par-une-cyberattaque-des-comptes-fidelite-utilises-a-linsu-des-clients/
- journaldugeek.comhttps://www.journaldugeek.com/2026/05/21/des-comptes-mcdonalds-pirates-en-france-vos-points-fidelite-ont-ils-ete-voles/
- economiematin.frhttps://www.economiematin.fr/mcdonalds-fuite-donnees-fidelite-programme