En novembre dernier, les développeurs de logiciels Lenny Bakkalian et David Albert ont découvert deux failles dans le système allemand de McDonald’s qui leur ont permis de commander une quantité infinie de bouffe gratuite. J’ai rencontré les deux hommes et leur collègue Mats Tesch en décembre dernier dans un McDonald’s de Berlin pour qu’ils me fassent une petite démonstration.

En Allemagne, les tickets de caisse de McDonald’s comportent un lien vers une enquête. Une fois que vous avez répondu à l’enquête, vous recevez un coupon pour une petite boisson gratuite à utiliser dans un délai d’un mois. Un jour, en regardant le code du site, David a remarqué que les informations déclenchant l’émission d’un nouveau coupon par le serveur étaient toujours les mêmes. Ainsi, il était possible de construire un programme reproduisant le code, comme si quelqu’un répondait à l’enquête plusieurs fois de suite. Mais qui veut des boissons à volonté sans rien à se mettre sous la dent ? « J’ai joué avec le générateur de coupons et au bout de cinq heures environ, j’ai découvert une autre vulnérabilité », explique Lenny. Une vulnérabilité qui lui permettait de commander de la nourriture gratuite.

De retour au McDonald’s de Berlin, David commence la démonstration en installant un hotspot Internet avec son smartphone, tandis que Lenny s’y connecte avec un second téléphone et un ordinateur portable. Puis, il transforme l’ordinateur portable en un serveur proxy connecté aux deux téléphones. Il ouvre l’application McDonald’s et saisi un code de coupon généré par le programme de David. L’étape suivante consiste à commander de la nourriture pour un total de 17 euros. La facture est transmise à l’ordinateur portable, qui fixe tous les prix à zéro grâce à un programme créé par Lenny, et renvoie les informations à l’application. Après avoir cliqué sur

« Compléter et payer 0,00 euro », nous recevons un reçu avec notre numéro de commande. Le stratagème a fonctionné.

Le butin.

Mon enthousiasme retombe assez vite quand les mecs me disent qu’ils ne font pas ça dans le but de manger gratuitement – ce n’est qu’une démonstration. « OK, on va récupérer la commande et la payer », me dit David, qui ne veut pas priver une chaîne multimilliardaire de 17 euros. Puis il essaie d’expliquer ce qui est arrivé au caissier. « Ne vous inquiétez pas, mangez, tout va bien », lui répond le responsable du fast-food avant de refuser son argent.

Mais ça ne se passe pas toujours comme ça : quand ils ont essayé de pirater l’application pour quinze hamburgers à Hambourg, le manager a tout simplement annulé leur commande. Mais maintenant qu’ils ont pu tester leur escroquerie, ils se dégonflent. Ils décident de donner la nourriture à un sans-abri rencontré sur place.

Curieux, je leur demande pourquoi ils se sont donné la peine d’inventer un moyen de tromper le système si ce n’est pas pour manger aux frais de Ronald McDonald’s. Au début, David me dit qu’ils avaient peur que « des criminels gagnent de l’argent en générant des coupons et en les vendant en ligne ». Plus tard, il ajoute : « Lenny et Mats sont mes amis, je veux qu’ils puissent postuler pour de bons emplois après l’école et des découvertes comme celle-ci les aidera à le faire. » C’est ce qui les a incités à contacter McDonald’s pour leur expliquer leur piratage en novembre 2019. Un employé du service clientèle a dit qu’ils allaient se pencher sur la question, mais deux semaines plus tard, l’arnaque fonctionnait toujours.

De nombreuses grandes entreprises mettent en œuvre des programmes de « chasse aux bugs » qui récompensent les personnes qui découvrent ce genre de failles dans le code. Lorsque nous avons contacté McDonald’s, une porte-parole n’a pas voulu nous confirmer l’existence d’un tel programme, mais a déclaré que l’application McDonald’s « répondait à toutes les exigences conventionnelles en matière de sécurité ». Elle a ajouté que seule une personne ayant une connaissance approfondie en programmation serait en mesure d’exploiter ces failles et que cela entraînerait des conséquences juridiques. « Cependant, nous nous efforçons toujours de combler ces lacunes, bien sûr », a-t-elle conclu.

Par la suite, Lenny me confirme avoir reçu une sorte de récompense de McDonald’s. Le bug a finalement été corrigé à la mi-décembre. La prochaine fois que vous vous retrouverez à explorer par hasard le code du site McDonald’s, vous devrez donc trouver un autre moyen d’obtenir un repas gratuit.

