Tout commence par la promesse de nuggets gratuits. Bobdahacker, spécialisée dans la sécurité informatique mais aussi consommatrice, découvre fortuitement que le système de fidélité de l’application McDonald’s ne vérifie les points cumulés que côté client, et non serveur. En pratique, n’importe quel utilisateur un tant soit peu averti peut donc manipuler les paramètres de l’application pour obtenir des récompenses sans débourser le moindre centime.
Immédiatement, la hackeuse contacte un informaticien de McDonald’s. Première déconvenue : il se montre peu pressé de corriger la faille. Il faudra insister, et évoquer la possibilité de livraisons gratuites à l’infini, pour qu’un correctif voie le jour quelques jours plus tard. Face à la lenteur de l’équipe informatique de McDonald’s, Bobdahacker décide d’aller plus loin dans ses investigations.
Menu Maxi Best of Big Failles
Curieuse et méthodique, Bobdahacker examine les autres outils numériques de McDonald’s. Elle découvre que la plateforme mondiale interne de marketing, censée être ultra-sécurisée, repose sur une protection dérisoire : un mot de passe enregistré côté client, facilement contournable. Lors de la création d’un nouveau compte, un simple changement d’URL — de « login » à « register » — permet de s’y inscrire comme si l’on était un membre légitime du personnel. Pis, le mot de passe est envoyé en clair par email, une pratique archaïque que les experts bannissent depuis plus de dix ans.
Son enquête ne s’arrête pas là. Clés API laissées en accès libre (ouvrant la voie à des campagnes de phishing sophistiquées), dysfonctionnement de la recherche interne exposant des informations sensibles sur des employés, mauvaise configuration OAuth permettant à de simples équipiers d’accéder à des données réservées à la direction… Bobdahacker accumule les preuves d’un système de sécurité indigne d’une entreprise aussi puissante.
Pour tester la vulnérabilité la plus critique, elle fait appel à un ami employé : grâce à ses instructions, ce dernier accède sans difficulté à des informations professionnelles, voire personnelles, sur n’importe quel salarié, des équipiers jusqu’au PDG.
Cette accumulation de failles pousse Bobdahacker à remonter ses découverters à McDonald’s. Problème : McDonald’s ne met pas à disposition de fichier « security.txt » pour les chercheurs en sécurité. Bobdahacker doit donc passer par le standard téléphonique et contacter, au hasard, des responsables sécurité identifiés sur LinkedIn. Pire encore : après avoir apporté son aide à la hackeuse, l’ami employé est licencié pour « raisons de sécurité ». Palapapapa !
- Une faille permettait d’obtenir des nuggets gratuits sur l’application McDonald’s
- En multipliant les tests, une hackeuse a découvert une multitude de brèches
- Malgré le signalement et la correction de ces failles, l’amie employée de la hackeuse a été licenciée et l’entreprise a tardé à réagir
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
