Comment le géant du fast-food a-t-il été piraté ? Retour technique sur les vulnérabilités exploitées, les données exposées et les leçons à tirer.
En tentant de récupérer un simple avantage via l’application mobile de McDonald’s, un chercheur en sécurité, connu sous le nom de « BobDaHacker », a découvert des failles profondes dans les systèmes en ligne de l’entreprise. Cette découverte a révélé des faiblesses qui permettent un accès non autorisé à des ressources internes, telles que le « Feel-Good Design Hub », utilisé par les employés et agences à travers plus de 120 pays. Les tentatives de Bob pour signaler ces vulnérabilités ont mis en évidence l’absence d’un canal clair pour la divulgation des failles, un problème critique pour une entreprise de cette envergure.
L’une des failles les plus notables identifiées par Bob était liée à une simple modification dans l’URL. En changeant « login » en « register », il a pu créer de nouveaux comptes avec un accès complet. Pire encore, le système envoyait des mots de passe en texte clair par e-mail, une pratique largement désapprouvée depuis longtemps en raison des risques élevés de vol d’identité et d’abus. Comme le souligne TechRadar, ce type de négligence dans la sécurité pose des questions sérieuses en matière de sécurité des données.
Cette situation n’est pas isolée pour McDonald’s. Un mois avant cette découverte, une autre faille avait été révélée : un système stockant des données privées était protégé par le mot de passe « 123456 ». De telles erreurs de sécurité récurrentes soulèvent des doutes quant à l’application de pare-feux, de suites de sécurité ou même de simples revues internes de routine. Pour une multinationale comme McDonald’s, ces vulnérabilités pourraient mettre en péril non seulement les actifs de marketing, mais aussi les informations sensibles des employés et des clients.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Bien que McDonald’s ait corrigé la plupart des vulnérabilités signalées par Bob, l’entreprise n’a pas encore mis en place un canal de signalement fiable pour les divulgations futures. Sans une telle structure, il y a un risque que des failles graves soient ignorées jusqu’à ce qu’elles soient exploitées, ce qui pourrait avoir des conséquences désastreuses à l’échelle mondiale.
Pour en savoir plus
Pourquoi adopter security.txt pour signaler les failles plus efficacement
Simplifiez la réception de rapports de vulnérabilités avec security.txt, un standard clair qui structure le contact entre chercheurs et équipes cybersécurité.
Les Vulnerability-Disclosure-Program (VDP) se développent en Suisse
Un VDP (Vulnerability Disclosure Program) permet à des tiers de signaler des vulnérabilités à une organisation pour améliorer la sécurité proactive de celle-ci. Exemple avec Gobugfree qui offre aujourd’hui en Suisse un VDP gratuit aux entreprises.
Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.
