C’est l’une des plus importantes violations de données personnelles touchant le secteur du fitness en Europe. Basic-Fit, la chaîne de salles de sport low-cost présente dans six pays européens dont la France, a confirmé cette semaine une fuite de données massique concernant environ un million de ses membres. Parmi les informations compromises figurent des noms, adresses e-mail, numéros de téléphone — et, dans certains cas, des coordonnées bancaires partielles.
Sommaire
Ce qui s’est passé
Selon les premières informations communiquées par Basic-Fit et relayées par plusieurs médias spécialisés, la brèche de sécurité aurait été exploitée pendant plusieurs semaines avant d’être détectée. Des cybercriminels auraient profité d’une vulnérabilité dans le système de gestion des abonnements de l’entreprise pour accéder à une base de données contenant les informations personnelles de membres dans plusieurs pays : France, Belgique, Pays-Bas, Luxembourg, Espagne et Maroc.
L’entreprise assure que les mots de passe n’ont pas été compromis et que les numéros de carte bancaire complets sont chiffrés dans leur système et n’ont pas été exposés. En revanche, des éléments de référence bancaire (IBAN partiels, références de prélèvement) auraient été accessibles, ce qui pourrait théoriquement permettre certaines fraudes.
Quelles données ont été exposées ?
La liste des informations potentiellement compromises est longue et préoccupante. Selon les investigations en cours, les données exposées incluent les noms complets et prénoms, les adresses e-mail, les numéros de téléphone, les dates de naissance, les adresses postales, les informations d’abonnement (type de forfait, date de début), les historiques d’accès aux clubs, et pour une partie des utilisateurs, des références IBAN utilisées pour les prélèvements automatiques mensuels.
Cette combinaison d’informations est particulièrement dangereuse. Elle peut être utilisée pour des campagnes de phishing ciblées (« spear phishing »), dans lesquelles les cybercriminels se font passer pour Basic-Fit pour soutirer des informations supplémentaires ou des paiements frauduleux. Elle peut également alimenter des bases de données de spam ou être revendue sur le dark web.
Que faire si vous êtes membre Basic-Fit ?
Si vous êtes ou avez été membre de Basic-Fit, voici les précautions immédiates à prendre. Premièrement, changez votre mot de passe sur l’application et le site Basic-Fit, même s’il n’est pas confirmé que les mots de passe aient été compromis. La prudence est de mise. Deuxièmement, si vous utilisez le même mot de passe sur d’autres services, changez-le partout immédiatement.
Troisièmement, surveillez vos relevés bancaires avec attention dans les semaines à venir. Signalez toute opération suspecte immédiatement à votre banque. Quatrièmement, soyez vigilant face aux e-mails ou SMS prétendant venir de Basic-Fit : l’entreprise ne vous demandera jamais de cliquer sur un lien pour « vérifier » vos coordonnées bancaires. C’est un classique du phishing post-fuite.
Cinquièmement, vous pouvez déposer une plainte auprès de la CNIL (Commission Nationale de l’Informatique et des Libertés) si vous estimez que vos données personnelles ont été mal protégées. La CNIL dispose de pouvoirs d’enquête et de sanction significatifs depuis le RGPD.
Les responsabilités de Basic-Fit
Sous le Règlement Général sur la Protection des Données (RGPD), Basic-Fit a l’obligation légale de notifier toute fuite de données aux autorités compétentes dans les 72 heures suivant sa découverte. L’entreprise doit également informer les individus concernés « dans les meilleurs délais » si la fuite est susceptible d’engendrer un risque élevé pour leurs droits et libertés. Des amendes allant jusqu’à 4% du chiffre d’affaires mondial annuel peuvent être prononcées en cas de manquement grave.
Basic-Fit a indiqué avoir notifié les autorités de protection des données dans les pays concernés et qu’une enquête interne ainsi qu’une investigation par une firme spécialisée en cybersécurité étaient en cours. L’entreprise dit avoir « rapidement colmaté la brèche » après sa découverte, mais n’a pas précisé combien de temps elle était restée ouverte.
Un secteur du fitness en ligne de mire des hackers
Cette affaire s’inscrit dans une tendance inquiétante : les applications et services liés à la santé et au fitness sont devenus des cibles privilégiées des cybercriminels. Strava, MyFitnessPal, Garmin Connect — tous ont connu des incidents de sécurité ces dernières années. Les raisons sont multiples : ces services collectent des données très personnelles et sensibles, leur valeur marchande sur le dark web est élevée, et la sécurité n’a pas toujours été une priorité absolue dans ce secteur en forte croissance.
En 2018, MyFitnessPal avait été victime d’une fuite touchant 150 millions d’utilisateurs. En 2020, une vulnérabilité dans l’application Polar Flow avait exposé les données de localisation précises de soldats et agents de renseignement. En 2021, c’est Garmin qui avait été victime d’un ransomware paralysant ses services pendant plusieurs jours. Basic-Fit s’ajoute aujourd’hui à cette liste peu glorieuse.
La cybersécurité, un enjeu existentiel pour les entreprises
Au-delà du cas Basic-Fit, cette affaire rappelle une réalité que beaucoup d’entreprises peinent encore à intégrer : la cybersécurité n’est pas une option, c’est une condition de survie. Dans un contexte où les attaques se multiplient, se sophistiquent et où les sanctions réglementaires se durcissent, investir massivement dans la protection des données n’est plus une dépense — c’est un investissement stratégique.
Pour les consommateurs, cet incident est aussi un rappel de l’importance d’utiliser des mots de passe uniques et complexes pour chaque service, d’activer l’authentification à deux facteurs partout où c’est possible, et de rester vigilants face aux tentatives de phishing. Dans un monde toujours plus numérique, la cyberhygiène est devenue une compétence citoyenne essentielle.
