Une hackeuse éthique identifie de graves failles de sécurité chez McDonald’s

La hackeuse éthique Bobdahacker a publié, le 17 août 2025, un rapport détaillé sur les nombreuses failles de sécurité qu’elle a découvertes dans les SI de McDonald’s. Elle a commencé par identifier une erreur dans la configuration du programme de fidélité en ligne, qui permettait de créditer un compte à volonté et d’obtenir des récompenses gratuites. Elle a dû insister pour que l’entreprise prenne le bug au sérieux et le corrige

En analysant en détails les outils numériques de McDonald’s, Bobdahacker a découvert que :

• la plateforme mondiale de ressources marketing n’était protégée, côté client, que par un mot de passe simple, la rendant extrêmement facile à compromettre ;
• des clés API étaient disponibles en clair, permettant à un attaquant de lister les utilisateurs associés ;
• le moteur de recherche interne exposait des informations personnelles sur de nombreux employés.

Mais la vulnérabilité la plus grave était une mauvaise configuration OAuth, qui permettait à un employé non habilité d’accéder à des portails réservés à la direction. Bobdahacker l’a confirmé en menant un test avec un ami travaillant chez McDonald’s.

Désireuse d’informer la chaîne de fast-food, la hackeuse white hat a constaté que McDonald’s ne disposait d’aucun canal dédié au signalement des vulnérabilités. La société a depuis corrigé la majorité des failles, mais n’a ni récompensé ni remercié Bobdahacker, et a même licencié l’employé qui l’avait aidée, invoquant des « raisons de sécurité ».