Basic-Fit piraté : noms, adresses et coordonnées bancaires d’un million de membres dans la nature
La plus grande chaîne de fitness d’Europe vient de confirmer une très mauvaise nouvelle à ses abonnés. Basic-Fit a été victime d’un piratage massif : environ un million de membres sont concernés, et les données volées ne se limitent pas à de simples adresses mail. Les coordonnées bancaires font partie du butin. Six pays sont touchés, dont la France. Voici tout ce qu’on sait — et surtout, ce que vous devez vérifier dès maintenant si vous êtes client.
Un accès non autorisé repéré sur le système de passages en club
C’est Basic-Fit elle-même qui a révélé l’information lundi à l’AFP. L’entreprise a signalé aux autorités compétentes « un accès non autorisé au système qui enregistre les passages des membres dans les clubs Basic-Fit ». En clair, les pirates ont réussi à s’infiltrer dans une base de données qui, en théorie, sert juste à tracer les entrées et sorties des adhérents.
Sauf que cette base contenait bien plus que de simples horodatages. Les hackers ont pu télécharger les informations d’abonnement, les noms, les adresses postales, les adresses e-mail, les numéros de téléphone, les dates de naissance… et les coordonnées bancaires. Un cocktail explosif pour n’importe quel cybercriminel.
La fuite ne concerne pas uniquement la France. La Belgique, l’Allemagne, l’Espagne, le Luxembourg et les Pays-Bas — où se trouve le siège social de Basic-Fit — sont également touchés. Ce n’est d’ailleurs pas la première fois qu’une grande entreprise voit des données bancaires exposées à grande échelle ces derniers mois.
Ce que les pirates ont volé — et ce qu’ils n’ont pas eu
Détaillons précisément ce qui se retrouve potentiellement entre de mauvaises mains. Le butin comprend six catégories de données : les infos d’abonnement (type de forfait, date de souscription), l’identité complète (nom, prénom, adresse), les contacts numériques (mail et téléphone), la date de naissance et, cerise amère sur le gâteau, les coordonnées bancaires — vraisemblablement les IBAN utilisés pour les prélèvements mensuels.
En revanche, Basic-Fit a tenu à rassurer sur deux points. Premièrement, « aucun mot de passe n’a été compromis ». Le système piraté n’était pas celui qui gère les identifiants de connexion. Deuxièmement, l’entreprise affirme ne pas conserver les pièces d’identité de ses membres. Pas de carte d’identité ni de passeport dans la nature, donc.
Mais ne vous y trompez pas : un IBAN couplé à un nom, une adresse, une date de naissance et un numéro de téléphone, c’est largement suffisant pour monter des arnaques redoutables. Faux prélèvements, usurpation d’identité, tentatives de phishing ultra-ciblées… Les possibilités sont nombreuses.
5,8 millions de membres : pourquoi Basic-Fit est une cible de choix
Pour comprendre l’ampleur du problème, il faut mesurer la taille du géant visé. Basic-Fit revendique la position de « plus grande chaîne de fitness en Europe ». Le groupe est présent dans douze pays sous deux marques — Basic-Fit et Clever Fit — avec plus de 2 150 clubs et 5,8 millions de membres au total.
Son modèle économique repose sur des prix très bas, dans la fourchette la plus basse du secteur. C’est précisément ce positionnement low cost qui lui a permis de croître aussi vite. Mais qui dit base massive de clients dit aussi base massive de données personnelles. Et quand la sécurité ne suit pas la croissance, ça finit par se payer.
Un million de comptes sur 5,8 millions, cela représente environ 17 % de la base totale. C’est considérable. Et ce chiffre pourrait encore évoluer au fil de l’enquête. Rappelons que Free avait subi un scénario similaire avec le vol de 100 000 IBAN, déjà jugé très préoccupant à l’époque.
À lire aussi
Si vous êtes membre, voici les réflexes à adopter immédiatement
Basic-Fit assure que « les membres dont les données sont concernées ont été informés ». Si vous n’avez rien reçu, vous êtes a priori épargné. Mais ne baissez pas la garde pour autant : les notifications peuvent mettre du temps à arriver, et certaines atterrissent dans les spams.
Premier réflexe : surveillez vos relevés bancaires. Vérifiez chaque prélèvement, même les petits montants. Les fraudeurs testent souvent avec des sommes dérisoires avant de passer à des montants plus importants. Si vous repérez un prélèvement suspect, contactez votre banque sans attendre pour le contester.
Deuxième réflexe : méfiez-vous des mails et SMS que vous allez recevoir dans les prochaines semaines. Les pirates disposent désormais de votre nom, votre mail, votre téléphone et votre date de naissance. De quoi créer des messages de phishing extrêmement crédibles, se faisant passer pour Basic-Fit, votre banque ou un service public.
Troisième réflexe : vérifiez si vos informations circulent déjà. Google propose un outil gratuit qui permet de scanner le Dark Web à la recherche de vos données personnelles. Ça prend deux minutes et ça peut vous éviter de mauvaises surprises.
Les cyberattaques contre les entreprises françaises s’accélèrent
Le piratage de Basic-Fit s’inscrit dans une tendance lourde. Ces derniers mois, les cyberattaques visant des entreprises grand public se sont multipliées en France. Darty a vu 80 000 comptes exposés. France Travail a subi le vol de 340 000 dossiers. Orange a été visé, perturbant ses services pendant plusieurs jours.
Le schéma est souvent le même : un système secondaire mal protégé sert de porte d’entrée. Ici, c’est le système de badgeage des clubs qui a été compromis. Un point d’accès que personne n’imagine comme sensible — et c’est justement pour ça que les hackers le ciblent.
Les logiciels espions et les techniques d’intrusion évoluent plus vite que les défenses de la plupart des entreprises. Et les utilisateurs finaux — c’est-à-dire vous et moi — en paient systématiquement le prix. Il existe heureusement quelques mesures concrètes pour protéger vos comptes, à commencer par supprimer certaines applications douteuses de votre téléphone.
En attendant d’en savoir plus sur l’ampleur exacte des dégâts, une chose est sûre : si vous avez un abonnement Basic-Fit, votre prochaine séance de sport peut attendre. Vos relevés bancaires, eux, ne peuvent pas.
