Début avril, le groupe néerlandais Basic-Fit, qui revendique près de six millions d’adhérents en Europe, a été la cible d’une intrusion informatique majeure. L’attaque a permis à des pirates d’accéder à une base de données interne liée à la gestion des membres, exposant des informations sensibles concernant environ un million de personnes.
La fuite concerne plusieurs pays européens, dont la France, la Belgique, l’Allemagne, l’Espagne, le Luxembourg et les Pays-Bas, où se situe le siège du groupe.
Une intrusion rapide mais aux conséquences potentiellement lourdes
Selon l’entreprise, l’accès frauduleux a été détecté et stoppé « en quelques minutes » grâce aux systèmes de surveillance internes. Pourtant, ce laps de temps a suffi pour permettre le téléchargement de nombreuses données.
Les informations compromises incluent les noms, adresses, e-mails, numéros de téléphone, dates de naissance, ainsi que des données liées aux abonnements. Plus préoccupant encore, des coordonnées bancaires figurent également parmi les données exposées, probablement sous forme d’IBAN utilisés pour les prélèvements mensuels.
L’entreprise assure en revanche qu’aucun mot de passe ni document d’identité n’a été compromis.
Un système d’accès aux clubs en cause
L’attaque aurait ciblé un système spécifique, utilisé pour enregistrer les passages des membres dans les salles. Ce point intrigue, car il ne s’agit pas a priori du cœur du système informatique du groupe, mais d’une interface opérationnelle.
Ce type de faille illustre une tendance croissante dans les cyberattaques : exploiter des systèmes périphériques, souvent moins protégés, pour accéder à des données sensibles.
Dans un communiqué, l’entreprise indique travailler avec des experts en cybersécurité pour comprendre précisément les circonstances de l’incident et renforcer ses dispositifs de protection.
Les abonnés appelés à la vigilance
Les clients concernés ont été informés directement par l’entreprise. À ce stade, aucune exploitation massive des données n’a été confirmée.
Mais les risques demeurent. L’exposition de données bancaires combinée à des informations personnelles ouvre la voie à des tentatives de fraude, notamment via des prélèvements abusifs ou des campagnes de phishing ciblées.
Les autorités et les associations de consommateurs recommandent ainsi de surveiller attentivement ses comptes bancaires et de redoubler de prudence face aux e-mails ou SMS suspects.
Un nouvel épisode dans la multiplication des cyberattaques
Cet incident s’inscrit dans une vague plus large de cyberattaques touchant des entreprises de tous secteurs, y compris des acteurs grand public. Même les salles de sport, longtemps considérées comme des cibles secondaires, deviennent désormais des points d’entrée pour les cybercriminels.
Pour Basic-Fit, dont le modèle repose sur des millions d’abonnements mensuels automatisés, la confiance des utilisateurs est un enjeu crucial. Cette fuite pourrait fragiliser l’image d’un groupe qui s’est imposé comme le leader européen du fitness, avec plus de 2 000 clubs et une présence dans une douzaine de pays.
