Un million de membres, six pays, des coordonnées bancaires dans le lot. Basic-Fit, première chaîne de fitness en Europe, a confirmé ce lundi 13 avril avoir subi une intrusion informatique massive. Les hackers ont frappé vite : en quelques minutes, ils ont aspiré les données personnelles et financières d’une fraction considérable de la clientèle.
Le système de badges, maillon faible du réseau
Les attaquants ne se sont pas attaqués aux serveurs centraux ni aux systèmes de paiement en ligne. Leur cible était plus discrète : le dispositif qui enregistre les passages des membres à l’entrée et à la sortie des salles. Ce système, commun à l’ensemble du réseau européen de Basic-Fit, stockait bien plus que de simples horodatages. Noms, prénoms, adresses postales, adresses mail, numéros de téléphone, dates de naissance et coordonnées bancaires y figuraient tous.
L’intrusion a été repérée par les équipes de surveillance internes, qui affirment l’avoir stoppée « en quelques minutes », selon le communiqué officiel de la société. Mais ces quelques minutes ont suffi. Les pirates ont eu le temps d’exfiltrer les informations d’environ un million de membres répartis dans six pays : France, Belgique, Allemagne, Espagne, Luxembourg et Pays-Bas, comme le rapporte The Register.
Pas de mots de passe volés, mais des IBAN dans la nature
Basic-Fit a tenu à préciser ce qui n’a pas été compromis. Aucun mot de passe ne figure dans le butin. L’entreprise ne conserve pas non plus de copies de pièces d’identité dans ce système, ce qui limite un aspect du risque. Mais le reste pose un sérieux problème.
Les coordonnées bancaires font partie des données aspirées. Associées aux noms complets, aux dates de naissance et aux adresses postales, elles constituent un kit de phishing d’une précision redoutable. Un fraudeur armé de votre IBAN, de votre nom et de votre date de naissance peut se faire passer pour votre banque sans éveiller le moindre soupçon. France Bleu rapporte que les abonnés touchés ont reçu un mail d’alerte, sans que le message détaille les mesures concrètes de protection à adopter.
894 salles en France, des millions d’abonnés dans le flou
Avec ses 894 clubs sur le territoire français et 4,9 millions de membres à travers l’Europe (5,8 millions en comptant Clever Fit, sa marque sœur), Basic-Fit domine le marché du fitness low-cost. L’abonnement à 19,99 euros par mois a attiré une clientèle massive, souvent jeune et urbaine. La chaîne exploite plus de 2 150 salles dans douze pays européens.
Le piratage touche environ un membre sur cinq. Aux Pays-Bas, siège social du groupe, 200 000 clients sont directement concernés. Pour la France, premier marché de la chaîne, aucun chiffre précis n’a filtré. La proportion pourrait être la plus élevée du lot, vu le poids de l’Hexagone dans le réseau.
Basic-Fit assure que ses investigations « n’ont pas montré que les données étaient disponibles quelque part, ni en accès libre ni à la vente ». La société a notifié l’autorité néerlandaise de protection des données (AP) et mandaté des experts externes pour remonter la piste des attaquants, rapporte The Record.
Free, Booking.com : les fuites s’empilent en Europe
Ce piratage ne tombe pas dans le vide. Le même jour, Booking.com a confirmé qu’un « accès non autorisé » avait compromis les données de réservation de certains clients : noms, mails, adresses, téléphones liés aux séjours réservés, selon le NL Times. La plateforme n’a pas précisé combien de personnes étaient touchées.
En France, la plaie est encore ouverte. En octobre 2024, Free avait subi une intrusion qui avait exposé les données de 24 millions de contrats, IBAN compris. La CNIL avait répondu par 42 millions d’euros d’amende, prononcés en janvier 2026. Le régulateur avait pointé des mesures de sécurité « insuffisantes » au regard du volume de données détenues. Deux failles béantes, deux géants du quotidien, un même constat : les bases de données massives restent mal verrouillées.
Sur l’ensemble de l’année 2025, les autorités européennes ont distribué 1,15 milliard d’euros de sanctions pour violation du RGPD, un record absolu. Les failles de sécurité représentaient 29 % du total, selon le bilan compilé par Archimag.
La double authentification, nouvelle ligne de front
Depuis le début de l’année 2026, la CNIL impose à toute entreprise gérant une base de plus de deux millions de personnes d’instaurer une double authentification pour les accès distants de ses employés et sous-traitants. Basic-Fit, avec ses 4,9 millions de membres, tombe de plein fouet dans cette catégorie. La question de la conformité de son système de badges aux nouvelles exigences françaises risque de devenir le nœud du dossier dans les semaines qui viennent.
Le RGPD prévoit des sanctions pouvant grimper jusqu’à 4 % du chiffre d’affaires annuel mondial. Pour un groupe qui dépasse le milliard d’euros de revenus, la facture théorique pourrait franchir la barre des 40 millions. Le précédent Free est là pour rappeler que la CNIL n’hésite plus à frapper.
Ce que les abonnés français doivent surveiller
Les clients potentiellement touchés ont intérêt à passer leurs relevés bancaires au peigne fin dans les prochaines semaines. Tout prélèvement inconnu doit être signalé sans tarder à la banque. Le risque de phishing ciblé est réel : un mail ou un SMS mentionnant le nom de votre salle, votre identité et un montant crédible aura toutes les apparences d’un message légitime.
Basic-Fit recommande de ne répondre qu’aux communications transitant par ses canaux officiels. L’Autorité néerlandaise de protection des données examine le dossier. En France, la CNIL pourrait ouvrir sa propre instruction, le pays abritant le premier marché du groupe. Les premières conclusions de l’enquête interne sont attendues d’ici la fin du mois d’avril.
