Une hackeuse professionnelle, connue sous le pseudonyme « Bobdahacker », raconte comment sa chasse aux vulnérabilités chez McDonald’s, entamée par une simple commande de nuggets gratuits, a révélé d’autres failles de sécurité et conduit au licenciement d’une employée qui avait accepté de l’aider. Un rapport de sécurité qui déroule les étapes d’une enquête aussi efficace que surprenante.

Dans le monde de la cybersécurité, il existe plusieurs catégories de hackers. Certains sont des cybercriminels qui nuisent aux entreprises en lançant des attaques par ransomware, par exemple. D’autres, au contraire, cherchent à les aider en révélant les failles qu’ils découvrent.

Bobdahacker appartient justement à cette seconde catégorie . Cette hackeuse dite « éthique » a publié le 17 août 2025 un rapport détaillant ses découvertes sur le géant américain de la restauration rapide McDonald’s.

Mais cette enquête, censée être salutaire pour la sécurité de l’entreprise, n’a pas reçu l’accueil espéré. Entre difficultés à alerter les bons interlocuteurs et licenciement d’une employée ayant soutenu sa traque aux vulnérabilités, l’opération de white hacking de Bobdahacker a pris des tournants inattendus.

En juillet 2025 déjà, une faille de sécurité a exposé les données de 64 millions de candidats sur la plateforme de recrutement McHire de McDonald's, protégée par le mot de passe ridicule «123456». // Source : Flickr/Mike Mozart
En juillet 2025 déjà, une faille de sécurité a exposé les données de 64 millions de candidats sur la plateforme de recrutement McHire de McDonald’s, protégée par le mot de passe ridicule « 123456 ». // Source : Flickr/Mike Mozart

« Comment j’ai hacké McDonald’s »

Tout commence lorsque Bobdahacker s’aperçoit que l’application de McDonald’s ne vérifiait pas les points de fidélité côté serveur, mais uniquement côté client. Une faille dans le fonctionnement de l’application qui permettait donc à toute personne habile de tromper Ronald pour bénéficier de récompenses gratuites.

bitdefender-logo
Bitdefender new Box
Votre vie privée doit rester privée.
Face aux cyberattaques, déjouez les pronostics. Les nouvelles arnaques sont plus complexes et plus sophistiquées, alors ne devenez pas une victime de plus, il existe des solutions performantes et accessibles.
Protéger ma vie privée simplement

Ravie de sa découverte, notre hackeuse éthique contacte un informaticien de McDonald’s. D’abord, celui-ci se dit trop occupé pour traiter le problème. Mais lorsque Bobdahacker mentionne que la faille permettrait à quiconque de se faire livrer de la nourriture gratuitement, la société réagit enfin et le bug est corrigé en quelques jours.

Un premier contact mitigé, mais Bobdahacker décide de poursuivre son exploration des outils internes de McDonald’s et découvre que la plateforme mondiale de ressources marketing de l’entreprise, censée être réservée aux employés et partenaires, n’est protégée que par un mot de passe côté client, donc facilement contournable.

Nouveau signalement, et l’entreprise mettra presque trois mois à instaurer un nouveau système d’accès.

Mais là encore, la sécurité reste biaisée, Bobdahacker prouve qu’il suffit de modifier l’URL (passer de « login » à « register ») pour créer un compte en fournissant les bons champs. Pire encore, le mot de passe généré est envoyé en clair par e-mail, une pratique particulièrement obsolète.

Des failles en cascade et des conséquences inattendues

S’en suivent plusieurs autres découvertes : des clés API laissées visibles, permettant à un attaquant de lister les utilisateurs et d’organiser des campagnes de phishing très convaincantes, ou encore la configuration du moteur de recherche interne, qui exposait des informations personnelles sur de nombreux employés.

L’enquête rapporte aussi un autre constat inquiétant : à cause d’une mauvaise configuration OAuth, il était possible pour un simple « crew member » d’accéder à des portails réservés au niveau exécutif. Pour prouver cette faille, Bobdahacker fait tester l’accès par un ami employé : ce dernier peut entre autres afficher les informations professionnelles, emails et parfois personnels, de n’importe quel salarié, du responsable de restaurant jusqu’au PDG.

Si trouver des vulnérabilités s’avère aisé pour Bobdahacker, signaler les failles se révèle plus complexe. McDonald’s ne dispose pas de fichier security.txt, un fichier permettant habituellement aux chercheurs d’avertir la société. Déterminée, la hackeuse passe par le standard téléphonique du siège, égraine au hasard des noms d’employés sécurité trouvés sur LinkedIn, jusqu’à ce qu’enfin quelqu’un de concerné la rappelle et lui indique comment transmettre ses découvertes.

Depuis, la majorité des failles ont été corrigées, mais ce travail ne semble pas avoir été jugé à sa juste valeur. Après avoir aidé Bobdahacker, son ami employé a été licencié pour « raisons de sécurité » par la direction.

une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Pour ne rien manquer de l’actualité, suivez Numerama sur Google !