Vous avez peut-être reçu il y a quelques jours dans votre boîte mail un message envoyé par McDonald’s France pour vous avertir d’un renouvellement de votre identifiant fidélité et de la désactivation de votre carte McDo+ dans Apple Wallet et Android Wallet, avec la possibilité de générer une nouvelle carte virtuelle.
« Nous mettons tout en œuvre pour garantir la protection de vos données et la sécurité de votre compte McDo+. » explique le géant de la restauration rapide dans son message, sans entrer dans plus de détails quant au pourquoi de ce changement soudain.
McDonald’s France a été victime d’une fraude à la suite d’une fuite de données des comptes fidélité de ses clients. Des margoulins semblent en effet avoir trouvé un trou dans la raquette dans le programme de fidélité de Ronald. Cette brèche leur a permis de récupérer des identifiants fidélité qu’ils ont utilisés (ou revendus) pour obtenir des menus gratuits à votre insu.
Des comptes fidélité McDo revendus sur Telegram
C’est en se connectant par hasard sur l’appli McDo+ pour utiliser nos points fidélité que nous avons découvert le problème. Nos points accumulés au cours des derniers mois ont mystérieusement été utilisés pour réaliser une commande à une borne du restaurant McDonalds situé avenue Jean Médecin à Nice, soit à environ 940 km de là où nous nous trouvons habituellement. Une commande représentant une centaine de points qui aurait tout à fait pu passer inaperçue.
En creusant un peu, nous avons découvert que cette mésaventure était arrivée à un grand nombre de clients. Sur Reddit, mais aussi sur Twitter / X ou encore sur TikTok, les témoignages de clients floués faisant état du même problème pullulent. Certains expliquent même avoir perdu plusieurs centaines de points fidélité, ce qui représente quelques dizaines d’euros de commandes volées.
Compte fidélité Mcdo+ vidé par un gars à 500 km de chez moi, plus de 300 points utilisés. Et apparemment je ne suis pas un cas isolé. @McDonaldsFrance il se passe quoi svp ?
— Khephren84 (@Khephren84) May 14, 2026
@lemondedexu Ca n’arrive pas qu’aux autres !! J’espère qu’ils ont bien mangés !! #mcdo @McDonald’s @McDonald’s France ♬ son original – Le Monde De Xu
Sur TikTok, d’autres vidéos nous ont mis sur la piste de malotrus responsables de ces vols de points. Certains utilisateurs n’hésitent pas à se mettre en scène dans des vidéos montrant comment ils réalisent des commandes « gratuites » en utilisant des comptes fidélité qui ne leur appartiennent pas. Les auteurs de ces vidéos, visiblement habitués à ce genre d’arnaques, renvoient dans les commentaires vers d’autres comptes TikTok, qui renvoient eux-mêmes vers des groupes Discord ou Telegram dédiés à la pratique.
On peut y trouver, des comptes fidélité pour les fast-foods, mais aussi des fausses factures et tickets de caisse (générés via ChatGPT) pour la revente en ligne de produits volés ou contrefaits.
Les conversations qui y sont tenues n’ont qu’un seul but : vous inciter à vous rendre sur un site Web permettant de bénéficier de ce « bon plan ». En réalité, les malfrats y proposent à la vente, des comptes fidélité McDo, mais aussi d’autres fast-foods comme Burger King et KFC, crédités avec un certain nombre de points. Le paiement se fait directement via paypal, mais certains utilisent des pages Web de paiement ressemblant fortement à des pages de phishing.
Les fraudeurs qui achètent ces identifiants ne déjeunent donc pas totalement à l’œil, mais profitent d’une belle ristourne sur chacune de leur commande. Ils n’ont en effet qu’à scanner le code barre (ou à saisir l’identifiant fidélité) acheté frauduleusement à une borne d’un restaurant pour être automatiquement connecté au compte fidélité du client floué et passer tranquillement leur commande servie à table ou à emporter en utilisant les points fidélité qui ne leur appartiennent pas.
Au courant du problème, McDonalds réinitialise les identifiants
Contacté par nos soins, McDonalds nous a indiqué être au courant du problème. Le trou dans la raquette serait visiblement à chercher du côté de prestataires externes.
« McDonald’s France et ses partenaires prennent la protection des données très au sérieux. Deux de nos partenaires ont récemment détecté des tentatives d’accès à des informations clients au sein de notre programme de fidélité. Dès la découverte de ces tentatives, nos partenaires ont immédiatement pris des mesures et sécurisé l’environnement. Aucune donnée sensible ou financière n’a été consultée. Par mesure de précaution, nous avons lancé une procédure de réinitialisation des identifiants des comptes clients. Cette procédure a été réalisée fin de semaine dernière. » nous a ainsi dit la chaîne de restauration.
McDonald’s n’évoque donc que des « tentatives d’accès à des informations clients » et précise que « [ses] partenaires ont immédiatement pris des mesures et sécurisé l’environnement ». Il semble pourtant qu’il s’agisse de bien plus que de simples tentatives d’accès puisque des dizaines de clients ont été victimes de cette fraude. Par ailleurs, le problème n’a pas vraiment l’air d’être nouveau.
En 2023, le Youtubeur Micode évoquait déjà avec un invité dans un épisode de son podcast Underscore_, une pratique similaire. À l’époque, la principale faille était visiblement liée à un manque flagrant de sécurité dans le système de connexion aux comptes McDo qui n’avaient a priori pas de double authentification. Si ce n’est désormais plus le cas (McDo envoie un code par SMS pour s’authentifier en ligne et sur son application), il semble cette fois-ci que les pirates ont trouvé une autre brèche leur ayant permis d’accéder à la base de données des comptes fidélité des clients de McDonald’s.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
