Une hackeuse professionnelle, connue sous le pseudonyme « Bobdahacker », raconte comment sa chasse aux vulnérabilités chez McDonald’s, entamée par une simple commande de nuggets gratuits, a révélé d’autres failles de sécurité et conduit au licenciement d’une employée qui avait accepté de l’aider. Un rapport de sécurité qui déroule les étapes d’une enquête aussi efficace que surprenante.
Dans le monde de la cybersécurité, il existe plusieurs catégories de hackers. Certains sont des cybercriminels qui nuisent aux entreprises en lançant des attaques par ransomware, par exemple. D’autres, au contraire, cherchent à les aider en révélant les failles qu’ils découvrent.
Bobdahacker appartient justement à cette seconde catégorie . Cette hackeuse dite « éthique » a publié le 17 août 2025 un rapport détaillant ses découvertes sur le géant américain de la restauration rapide McDonald’s.
Mais cette enquête, censée être salutaire pour la sécurité de l’entreprise, n’a pas reçu l’accueil espéré. Entre difficultés à alerter les bons interlocuteurs et licenciement d’une employée ayant soutenu sa traque aux vulnérabilités, l’opération de white hacking de Bobdahacker a pris des tournants inattendus.

« Comment j’ai hacké McDonald’s »
Tout commence lorsque Bobdahacker s’aperçoit que l’application de McDonald’s ne vérifiait pas les points de fidélité côté serveur, mais uniquement côté client. Une faille dans le fonctionnement de l’application qui permettait donc à toute personne habile de tromper Ronald pour bénéficier de récompenses gratuites.


Vos données méritent d’être mieux protégées.
Les escroqueries, les virus et les ransomwares ne sont plus une fatalité. Protégez votre vie privée et vos données personnelles avec Bitdefender et profitez de votre vie numérique en toute sérénité.
Ravie de sa découverte, notre hackeuse éthique contacte un informaticien de McDonald’s. D’abord, celui-ci se dit trop occupé pour traiter le problème. Mais lorsque Bobdahacker mentionne que la faille permettrait à quiconque de se faire livrer de la nourriture gratuitement, la société réagit enfin et le bug est corrigé en quelques jours.
Un premier contact mitigé, mais Bobdahacker décide de poursuivre son exploration des outils internes de McDonald’s et découvre que la plateforme mondiale de ressources marketing de l’entreprise, censée être réservée aux employés et partenaires, n’est protégée que par un mot de passe côté client, donc facilement contournable.
Nouveau signalement, et l’entreprise mettra presque trois mois à instaurer un nouveau système d’accès.
Mais là encore, la sécurité reste biaisée, Bobdahacker prouve qu’il suffit de modifier l’URL (passer de « login » à « register ») pour créer un compte en fournissant les bons champs. Pire encore, le mot de passe généré est envoyé en clair par e-mail, une pratique particulièrement obsolète.
Des failles en cascade et des conséquences inattendues
S’en suivent plusieurs autres découvertes : des clés API laissées visibles, permettant à un attaquant de lister les utilisateurs et d’organiser des campagnes de phishing très convaincantes, ou encore la configuration du moteur de recherche interne, qui exposait des informations personnelles sur de nombreux employés.
L’enquête rapporte aussi un autre constat inquiétant : à cause d’une mauvaise configuration OAuth, il était possible pour un simple « crew member » d’accéder à des portails réservés au niveau exécutif. Pour prouver cette faille, Bobdahacker fait tester l’accès par un ami employé : ce dernier peut entre autres afficher les informations professionnelles, emails et parfois personnels, de n’importe quel salarié, du responsable de restaurant jusqu’au PDG.
Si trouver des vulnérabilités s’avère aisé pour Bobdahacker, signaler les failles se révèle plus complexe. McDonald’s ne dispose pas de fichier security.txt, un fichier permettant habituellement aux chercheurs d’avertir la société. Déterminée, la hackeuse passe par le standard téléphonique du siège, égraine au hasard des noms d’employés sécurité trouvés sur LinkedIn, jusqu’à ce qu’enfin quelqu’un de concerné la rappelle et lui indique comment transmettre ses découvertes.
Depuis, la majorité des failles ont été corrigées, mais ce travail ne semble pas avoir été jugé à sa juste valeur. Après avoir aidé Bobdahacker, son ami employé a été licencié pour « raisons de sécurité » par la direction.

Toute l’actu tech en un clin d’œil
Ajoutez Numerama à votre écran d’accueil et restez connectés au futur !