Une erreur banale dans l’application McDonald’s a conduit un chercheur indépendant à découvrir une série de failles majeures dans l’infrastructure numérique du géant du fast-food.
D’un bug de fidélité à une plongée dans les systèmes internes
CTI ZATAZ – Scannez les menaces vous concernant avant qu’il ne soit trop tard.
Confidentiel. Instantané. Sécurisé. Zéro intermédiaire. 100 % Made in France.
Des clés exposées et des données personnelles en libre accès
En fouillant les scripts associés au portail marketing, BobDaHacker tombe sur des clés API Magicbell laissées visibles. Ces identifiants donnaient la possibilité d’envoyer de faux messages au nom de l’infrastructure McDonald’s, ouvrant la porte à des campagnes massives de phishing.
Les indices de recherche Algolia, eux aussi accessibles sans restriction, contenaient des données personnelles sensibles : noms, adresses e-mail et historique de demandes d’accès à des systèmes internes. Autrement dit, toute personne un peu expérimentée pouvait exploiter ces informations pour cartographier l’organisation interne du groupe et préparer des attaques ciblées.
Le chercheur révèle ensuite que plusieurs portails internes permettent à des comptes ordinaires de franchir les niveaux hiérarchiques. Le service TRT, censé aider à identifier les employés, expose leurs adresses personnelles et autorise une fonction d’« usurpation » permettant de se faire passer pour un autre utilisateur. Ce type de dérive est une invitation directe à l’espionnage industriel.
Même le système GRS, dédié aux franchisés, se montrait vulnérable. Sans authentification, il était possible de modifier l’interface et d’accéder à des fonctions administratives sensibles. La logique de cloisonnement, élément de base en cybersécurité, semblait largement absente.
CosMc’s, process de signalement et faille de gouvernance
La découverte s’étend jusqu’au projet expérimental CosMc’s, vitrine d’innovation du groupe. Là encore, un défaut banal : le code promotionnel destiné aux nouveaux clients pouvait être utilisé sans limite. Plus grave, BobDaHacker parvient à injecter des données arbitraires dans les commandes, ce qui lui donnait un levier direct sur le traitement opérationnel.
Rapporter ces découvertes s’est révélé encore plus difficile que les trouver. Le fichier « security.txt », qui indiquait autrefois un canal officiel pour les signalements, avait été supprimé. Le chercheur se résout à appeler directement le siège et à contacter des employés via LinkedIn pour obtenir une réponse. Ce n’est qu’après plusieurs relances qu’il parvient à transmettre ses informations à la bonne équipe.
Cette lenteur illustre un point clé : McDonald’s ne dispose pas de programme de bug bounty, ni d’un processus transparent pour la divulgation responsable. Sans canal dédié, les chercheurs indépendants se heurtent à des murs administratifs, ce qui dissuade la coopération et accroît le risque que des failles soient exploitées par des acteurs malveillants.
L’épisode a eu un coût humain. Un ami de BobDaHacker, dont le compte fut utilisé pour certaines démonstrations, a perdu son emploi. Une conséquence révélatrice du décalage entre le besoin d’amélioration sécuritaire et la manière dont l’entreprise gère les lanceurs d’alerte techniques.
Derrière la recherche légère de nuggets gratuits se cache une démonstration redoutable : même un géant mondial peut laisser passer des erreurs élémentaires de cybersécurité. McDonald’s, avec ses milliards de chiffre d’affaires et sa présence dans 120 pays, n’a pas su instaurer un dialogue clair avec les chercheurs ni bâtir une défense adaptée. La question reste ouverte : combien d’entreprises de taille comparable traînent encore les mêmes failles invisibles, prêtes à être exploitées par des acteurs bien moins bienveillants ?
Rejoignez-nous sur les réseaux sociaux
Aucun spam – Désinscription en un clic – Vie privée respectée
