Mise à jour du 14 avril 2026
Quelques heures après avoir communiqué au sujet de la fuite de données, Basic-Fit est monté au créneau pour tenter de minimiser la gravité de l’incident. Dans une réaction adressée à la presse luxembourgeoise, l’enseigne néerlandaise souligne que « ce n’est pas la totalité des données bancaires qui a été volée ». Seul l’IBAN des utilisateurs, en plus de leurs coordonnées personnelles, a été dérobées. Pour Basic-Fit, « avec l’IBAN seul on ne peut rien faire ». De facto, le « principal risque est de recevoir des mails qui demandent de cliquer sur un lien ».
C’est complètement faux. Par le passé, 01net a pu démontrer qu’il était possible de faire des prélèvements frauduleux sur votre compte en se servant uniquement de l’IBAN. Dans le sillage du hack du fichier national des comptes bancaires (FICOBA), la Fédération bancaire française avait rappelé que « de faux créanciers peuvent demander l’exécution de prélèvements » à partir d’un simple IBAN. Un IBAN isolé permet déjà d’émettre de faux ordres de prélèvement SEPA. Cependant, pour que l’attaque soit imparable, le fraudeur a besoin de quelques données supplémentaires, comme le nom complet de la victime, son adresse postale et son numéro de téléphone. Toutes ces informations ont bien été compromises lors du piratage de Basic-Fit. Les risques de prélèvements frauduleux sont réels. « Il ne s’est passé que dix minutes entre la détection de la cyberattaque et le moment où ce fut réglé. Mais, en ce court laps de temps, les pirates ont pu télécharger pas mal de choses », concède le groupe.
Comme l’indique le chercheur Clément Domingo sur X, il faut « vérifier régulièrement vos relevés bancaires pour vous assurer qu’aucun prélèvement non autorisé n’a été effectué ».
🚨🔴❌️ Cyberattaque BASIC-FIT : «Avec l’IBAN seul on ne peut rien faire, le principal risque est de recevoir des mails qui demandent de cliquer sur un lien. Nous en avons informé les clients»
P*TAIN MAIS C’EST FAUX ! ARCHI FAUX ! !! !!! 🤬🤬🤬
Une entreprise se fait pirater… pic.twitter.com/2b9n8pxOj4
— SaxX ¯\_(ツ)_/¯ (@_SaxX_) April 14, 2026
Basic-Fit, la chaîne de salles de sport présente dans toute l’Europe, a été victime d’une cyberattaque. Dans un mail adressé aux clients touchés, la chaîne de fitness néerlandaise indique avoir « identifié un accès non autorisé au système qui enregistre les visites des membres dans les clubs ». Ce type de système, souvent connecté à l’application mobile et aux tourniquets d’accès, centralise des données à la fois pratiques et très personnelles. Cet accès s’est donc soldé par le vol d’une montagne de données personnelles. La chaîne revendique 5,8 millions de membres et plus de 2150 clubs dans toute l’Europe.
À lire aussi : une fuite de données géante expose 4,5 millions d’adresses e-mail françaises
Des données bancaires ont été compromises
Selon le communiqué officiel de Basic-Fit, les données dérobées comprennent les noms et prénoms des membres, leurs adresses postales, numéros de téléphone, adresses e-mail, dates de naissance, mais aussi leurs numéros de compte bancaire et le nom du titulaire du compte. Des informations relatives à l’abonnement ont aussi été siphonnées dans la foulée, comme le type de contrat, le solde de paiement, le numéro de pass, l’historique des visites sur la semaine écoulée, et même le nom de l’appareil mobile utilisé. C’est « le nom de votre appareil, par exemple iPhone ou Samsung, ou le nom que vous avez choisi », explique Basic-Fit.
C’est bien plus d’informations qu’il n’en faut pour piéger les utilisateurs avec des arnaques bien ficelées. L’entreprise assure que les mots de passe du compte n’ont pas été compromis. Basic-Fit indique que l’accès non autorisé a été bloqué quelques minutes après sa détection par ses équipes. Comme l’exige le Règlement général sur la protection des données (RGPD), les autorités compétentes ont été prévenues, vraisemblablement dans tous les pays concernés, dont la France, la Belgique, l’Allemagne, l’Espagne, le Luxembourg et les Pays-Bas. Près d’un million de membres sont touchés, explique Basic-Fit à l’AFP.
À lire aussi : Nouvelle fuite chez Mondial Relay- des « données personnelles et logistiques » ont été piratées
Gare aux attaques phishing
Pour le moment, rien n’indique que les données ont été partagées sur des marchés noirs du dark web. Dans son communiqué, Basic-Fit explique surveiller « de près si les données téléchargées sont rendues publiques » avec l’aide de « spécialistes externes ». Basic-Fit indique qu’aucune action immédiate n’est requise de la part des membres. Il est conseillé de surveiller attentivement vos relevés bancaires dans les prochaines semaines, de ne jamais communiquer de mot de passe ou d’informations sensibles suite à un message non sollicité, et de signaler toute tentative de phishing directement à votre banque ou à Basic-Fit via l’adresse [email protected]. Si vous pensez être victime d’une fraude, contactez immédiatement votre établissement bancaire pour faire opposition.
Ce n’est pas la première fois que Basic-Fit se retrouve mêlé à une histoire de données volées. Quelques mois plus tôt, un cybercriminel avait revendiqué l’accès aux systèmes de MaSalleDeSport, un prestataire informatique commun à plus de 2 000 salles de sport en France, parmi lesquelles Basic-Fit, Fitness Park et l’Orange Bleue. Là encore, des données personnelles avaient été compromises. Avec le hack d’avril, Basic-Fit s’ajoute à la longue liste des entreprises présentes en Europe victimes d’une cyberattaque, aux côtés de KFC, Mondial Relay, Free, Orange, ou encore Chronopost.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
