Basic-Fit piraté : coordonnées bancaires d’un million de membres volées, destination inconnue

Le numéro un européen du fitness low-cost a reconnu une intrusion dans son système de contrôle d'accès. Six pays touchés, dont la France. Les coordonnées bancaires font partie du butin — mais personne ne sait encore où elles ont atterri.

Nathalie Rousselin
Nathalie Rousselin
9 minutes de lecture 22 vues
Basic-Fit piraté : coordonnées bancaires d'un million de membres volées, destination inconnue
Basic-Fit piraté : coordonnées bancaires d'un million de membres volées, destination inconnue Illustration par Nathalie Rousselin / INFO.FR

Un million de membres de Basic-Fit ont vu leurs données personnelles et bancaires aspirées par des pirates.

L'essentiel — les faits vérifiés
  • Basic-Fit a reconnu le 13 avril 2026 une fuite de données touchant environ un million de membres dans six pays européens dont la France.
  • Les données volées incluent noms, adresses, e-mails, téléphones, dates de naissance et coordonnées bancaires — mais aucune diffusion n'a encore été constatée.
  • L'intrusion a ciblé le système de contrôle d'accès aux clubs, stoppé en quelques minutes selon l'entreprise — un délai difficilement compatible avec le volume exfiltré.
  • En février 2026, le prestataire MaSalleDeSport, partenaire de Basic-Fit, avait déjà subi une cyberattaque — révélant la fragilité structurelle du secteur.
  • Le PDG René Moos n'a pas communiqué publiquement, le délai entre l'intrusion et la notification reste inconnu, et le sort des membres Clever Fit n'est pas précisé.

Le badge bipe, le tourniquet s’ouvre, le membre entre. Chaque jour, dans plus de 2 000 clubs [1] répartis dans plusieurs pays européens, des millions de sportifs passent ce portique sans y penser. C’est précisément ce système - celui qui enregistre les passages - que des pirates ont forcé.

LES ENJEUX
Un million de victimes, six pays
Un million de victimes, six pays
Environ un million de membres touchés dans six pays européens dont la France, avec des coordonnées bancaires dans le butin - le risque de fraude est concret et immédiat, même si aucune diffusion n'a encore été constatée.
Un système de badges qui stocke des IBAN
Un système de badges qui stocke des IBAN
L'intrusion a ciblé le système de contrôle d'accès aux clubs, qui contenait pourtant noms, adresses, e-mails, téléphones, dates de naissance et coordonnées bancaires - un défaut d'architecture ou un mouvement latéral non documenté.
Deux attaques en deux mois: la vulnérabilité structurelle du fitness low-cost
Deux attaques en deux mois: la vulnérabilité du fitness low-cost
En février 2026, MaSalleDeSport, prestataire CRM de plus de 2 000 clubs en France dont Basic-Fit, avait déjà été piraté. Volumes massifs, prestataires mutualisés, budgets IT comprimés: le modèle low-cost est une cible systémique.
RGPD: des sanctions concrètement lourdes
RGPD: des sanctions concrètement lourdes
Les coordonnées bancaires déclenchent automatiquement l'article 34 du RGPD (notification individuelle obligatoire). Le délai entre l'intrusion et la notification publique reste inconnu - c'est le point d'exposition légale majeur. Sanctions possibles: jusqu'à 4 % du CA mondial.
Communication rassurante, zones d'ombre persistantes
Communication rassurante, zones d'ombre persistantes
Basic-Fit affirme que l'accès a été stoppé en quelques minutes, mais un million de fiches complètes ont été exfiltrées. Le PDG René Moos n'a pas pris la parole. Le sort des membres Clever Fit reste inconnu.

Basic-Fit [2] a déclaré à l’Agence France-Presse [3] avoir été victime d’une fuite de données touchant environ un million de membres [4]. Selon l’entreprise, plusieurs pays sont concernés, dont la France, la Belgique, l’Allemagne, l’Espagne, le Luxembourg et les Pays-Bas [5]. Aux Pays-Bas [6], où se situe le siège du groupe, environ 200 000 membres [7] seraient dans le lot.

Le système de passage, porte d’entrée des pirates

L’entreprise a signalé aux autorités « un accès non autorisé au système qui enregistre les passages des membres dans les clubs Basic-Fit [8] ». Un système interne, détecté récemment [9]. Selon Basic-Fit, l’accès aurait été stoppé rapidement après sa découverte.

Même un court laps de temps peut suffire. Les pirates ont téléchargé « les informations d’abonnement, les noms et adresses, les adresses e-mail, les numéros de téléphone, les dates de naissance et les coordonnées bancaires » [10]. Le cocktail parfait pour du phishing ciblé, de l’usurpation d’identité, des prélèvements frauduleux.

Volées ne veut pas dire diffusées - mais le risque est le même

Publicité

Précision indispensable. À ce stade, aucune source ne documente la mise en circulation des données volées sur un forum du dark web ou un marché de revente. Basic-Fit elle-même déclare que « l’enquête menée jusqu’à présent n’a pas permis de constater que les données étaient disponibles ailleurs ou qu’elles avaient été utilisées à mauvais escient » [11].

Cela ne signifie pas que les données sont en sécurité. Cela signifie qu’elles ont quitté les serveurs de Basic-Fit et que personne - ni l’entreprise, ni les autorités - ne sait où elles se trouvent. En matière de cybersécurité, des données exfiltrées sont considérées comme compromises dès l’instant où elles sortent du périmètre de leur détenteur légitime. Les IBAN, noms, adresses et dates de naissance d’un million de personnes sont désormais entre des mains inconnues. Qu’ils soient revendus demain, dans six mois ou jamais ne change rien à l’exposition immédiate des victimes: le risque de prélèvement frauduleux, d’usurpation d’identité et de hameçonnage ciblé est dès maintenant.

Ce que Basic-Fit dit - et ce que ça cache

La communication de l’entreprise suit le script classique des brèches de données. « Aucun mot de passe n’a été compromis » [12]. Basic-Fit assure ne pas « conserver les pièces d’identité de ses membres » [13]. « Les membres dont les données sont concernées ont été informés » [14]. Les utilisateurs concernés « ont été prévenus individuellement » [15]. L’entreprise « indique avoir signalé cet accès non autorisé aux autorités compétentes » [16].

Et puis cette phrase, glissée dans le communiqué: « L’enquête menée jusqu’à présent n’a pas permis de constater que les données étaient disponibles ailleurs ou qu’elles avaient été utilisées à mauvais escient » [11]. Traduction: Basic-Fit ne sait pas où sont les données. Elle sait seulement qu’elle ne les a pas encore vues circuler. Ce n’est pas la même chose.

Un court laps de temps pour un million de fiches: l’équation impossible

Basic-FitBasic-Fit
Selon Basic-Fit, l'accès a été stoppé rapidement après sa découverte
Basic-Fit
Avril 2026
L'enquête n'a pas permis de constater que les données étaient disponibles ailleurs ou qu'elles avaient été utilisées à mauvais escient
Basic-Fit
Avril 2026

Le paradoxe mérite qu’on s’y arrête longuement. D’un côté, l’intrusion aurait été stoppée rapidement selon Basic-Fit. De l’autre, un million de fiches complètes - avec coordonnées bancaires - ont été aspirées. Un million de lignes contenant chacune au minimum sept champs (informations d’abonnement, nom, adresse, e-mail, téléphone, date de naissance, IBAN) [10], cela représente un volume de données considérable. Même avec une connexion à haut débit et un accès direct à une base non chiffrée, l’exfiltration d’un tel volume en un temps très court suppose un pipeline d’extraction préparé à l’avance - ce qui implique une reconnaissance préalable du système, et donc une présence antérieure à la courte fenêtre revendiquée.

Deux scénarios se dessinent. Premier scénario: le système de contrôle d’accès contenait lui-même l’intégralité de la base d’abonnement - noms, adresses, IBAN compris. Dans ce cas, la question est architecturale: pourquoi un lecteur de badges a-t-il besoin de stocker des coordonnées bancaires? C’est un défaut de conception qui relève de la responsabilité directe de Basic-Fit. Second scénario: l’intrusion initiale dans le système de passage a permis un mouvement latéral vers d’autres bases de données (CRM, facturation, gestion des abonnements), ce qui signifierait que la brèche est plus profonde que ce que l’entreprise décrit publiquement. Dans les deux cas, la responsabilité de Basic-Fit est engagée - soit pour un défaut de cloisonnement des données, soit pour une communication incomplète sur l’étendue réelle de l’intrusion. Aucune source consultée ne permet de trancher entre ces deux hypothèses. Basic-Fit n’a fourni aucun détail technique.

1 millionEnviron un million de membres Basic-Fit en Europe ont vu leurs IBAN, noms, adresses et dates de naissance aspirés par des pirates

Le cadre légal: ce que risque concrètement Basic-Fit

Le Règlement général sur la protection des données (RGPD), en vigueur depuis 2018, impose aux entreprises de notifier toute violation de données à l’autorité de contrôle compétente dans les 72 heures suivant sa découverte (article 33). Lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, l’entreprise doit également informer directement les personnes concernées (article 34). Les sanctions peuvent atteindre 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros.

Or, dans le cas de Basic-Fit, l’article 34 est automatiquement déclenché. La présence de coordonnées bancaires parmi les données exfiltrées [10] constitue, au sens du RGPD et des lignes directrices du Comité européen de la protection des données, un « risque élevé » caractérisé: les IBAN permettent des prélèvements frauduleux, et combinés aux noms, adresses et dates de naissance, ils ouvrent la porte à l’usurpation d’identité. Basic-Fit affirme avoir informé individuellement les membres concernés [15] - mais un point crucial reste dans l’ombre: le délai. L’entreprise parle d’un accès « détecté récemment » [9] et d’une annonce publique en avril 2026 [17]. Combien de jours, de semaines se sont écoulés entre l’intrusion elle-même et sa « découverte récente »? Et combien entre cette découverte et la notification aux autorités? C’est précisément ce délai qui constitue le point d’exposition légale majeur. Si les 72 heures de l’article 33 n’ont pas été respectées, l’amende potentielle s’alourdit considérablement.

Basic-Fit, dont le chiffre d’affaires est en hausse de 17 % [18], opère sous la juridiction de l’autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens), mais la CNIL française est compétente pour les membres résidant en France. À ce stade, aucune des deux autorités n’a communiqué publiquement. On se souvient que British Airways avait écopé en 2020 d’une amende de 22 millions d’euros de l’ICO britannique pour une fuite de données incluant des informations financières de 400 000 clients - un précédent qui donne la mesure des sanctions possibles lorsque des coordonnées bancaires sont en jeu.

Un secteur sous le feu: la vulnérabilité du fitness low-cost

Quelques semaines plus tôt, MaSalleDeSport [19], un prestataire CRM utilisé par plus de 2 000 clubs en France [20], avait déjà été touché par une attaque informatique. Basic-Fit figurait parmi ses enseignes partenaires [19].

Deux attaques en quelques semaines sur le même écosystème. Ce n’est pas une coïncidence - c’est un schéma. Le fitness low-cost cumule tous les facteurs de vulnérabilité cyber. D’abord, le volume: Basic-Fit revendique plusieurs millions de membres [21] et la position de « plus grande chaîne de fitness en Europe » [22]. Ces bases de données massives, riches en informations personnelles et bancaires, sont des cibles de choix. Ensuite, la mutualisation: des milliers de clubs indépendants ou franchisés partagent les mêmes prestataires CRM - MaSalleDeSport desservait à lui seul 2 000 clubs [20]. Compromettre un seul prestataire, c’est accéder à des centaines de milliers de fiches d’un coup. Enfin, les marges: le modèle low-cost repose sur des abonnements à bas prix et des coûts opérationnels comprimés. Dans cette équation, les budgets consacrés à la cybersécurité - audits de pénétration, chiffrement des données au repos, segmentation des réseaux - sont les premiers sacrifiés. La croissance du chiffre d’affaires de 17 % [18] affichée par Basic-Fit n’a visiblement pas été accompagnée d’un investissement proportionnel dans la protection des données de ses adhérents.

L’angle mort: pourquoi un lecteur de badges stocke-t-il des IBAN?

Ce que personne ne dit. Le système compromis est celui « qui enregistre les passages des membres dans les clubs » [8]. Un système de contrôle d’accès. Sa fonction: vérifier qu’un abonnement est valide quand le badge bipe. Pourquoi ce système contient-il des noms, adresses, e-mails, téléphones, dates de naissance ET coordonnées bancaires [10]?

La réponse probable: chez Basic-Fit [2], le système de passage est connecté à la base d’abonnement complète. Pas de cloisonnement. Pas de segmentation des données. Le badge qui ouvre le tourniquet ouvre aussi le coffre-fort. Aucune source consultée ne précise si d’éventuelles sous-marques du groupe sont incluses dans le million de victimes annoncé ou si leur système de badges est distinct. C’est un angle mort supplémentaire dans la communication de l’entreprise.

Aucune source ne mentionne si Basic-Fit chiffrait les coordonnées bancaires au repos. Aucune ne précise le délai exact entre l’intrusion et sa « découverte récente » [9]. Aucune ne donne le nombre de membres français spécifiquement touchés. Et le PDG du groupe [23], qui vantait en début d’année « une excellence opérationnelle qui continue de tracer notre voie » [24], n’a pas pris la parole publiquement sur cette brèche.

Données clés de la cyberattaque Basic-Fit du 13 avril 2026: nombre de membres touchés, pays concernés et ampleur du réseau.
Données clés de la cyberattaque Basic-Fit du 13 avril 2026: nombre de membres touchés, pays concernés et ampleur du réseau.

Ce que ça change pour les membres

👤 Ce que ça change pour vous
Si vous êtes membre Basic-Fit en France, Belgique, Allemagne, Espagne, Luxembourg ou aux Pays-Bas: surveillez vos relevés bancaires. Les coordonnées bancaires font partie des données volées. Changez le mot de passe de votre compte Basic-Fit par précaution, même si l'entreprise affirme qu'aucun mot de passe n'a été compromis. Méfiez-vous de tout e-mail, SMS ou appel mentionnant Basic-Fit dans les semaines à venir - les pirates disposent de vos nom, adresse, e-mail, téléphone et date de naissance, soit le kit complet pour du hameçonnage crédible. Si vous constatez un prélèvement suspect, faites opposition immédiatement auprès de votre banque et signalez-le sur la plateforme Perceval du ministère de l'Intérieur.

Le tourniquet bipe toujours. Le membre entre. Mais ses données, elles, sont déjà sorties.

Sources

6 sources vérifiées · 24 faits sourcés

BFMTV Basic-Fit: la chaîne de salles de sport annonce avoir été victime d’une cyberattaque et rapporte une fuite de données,… 8 faits cités L'Usine Digitale Fuite de données: 200 000 membres des salles de sport Basic-Fit concernés par un vol de données personnelles suite à… 6 faits cités Le Monde Fuite de données chez Basic-Fit: un million de membres concernés, des coordonnées bancaires piratées 5 faits cités charentelibre.fr Vos données chez Basic-Fit sont-elles en danger? Ce que l’on sait sur la fuite 3 faits cités Ouest-France Les données d’un million de membres des salles de sport Basic-Fit ont été compromises, dont des coordonnées bancaires 1 fait cité France Info La chaîne Basic-Fit rapporte une fuite de données de ses membres dans plusieurs pays, dont la France 1 fait cité
Voir le détail de chaque fait sourcé (24)
  1. plus de 2.150 clubs - Nombre de clubs Basic-Fit en Europe
    « Présent dans douze pays, Basic-Fit revendique la position de "plus grande chaîne de fitness en Europe", avec "plus de 2.150 clubs" »
    bfmtv.com ↗
  2. Basic-Fit - Chaîne de salles de sport low cost victime de la fuite de données
    « La chaîne de salles de sport low cost Basic-Fit »
    lemonde.fr ↗
  3. Agence France-Presse (AFP) - Organisme auquel Basic-Fit a déclaré la fuite de données
    « a déclaré, lundi 13 avril, à l'Agence France-Presse (AFP) »
    lemonde.fr ↗
  4. un million de membres - Nombre de membres affectés par la fuite de données
    « qu'elle avait été victime d'une fuite de données personnelles d'environ « un million de membres » »
    lemonde.fr ↗
  5. France, Belgique, Allemagne, Espagne, Luxembourg, Pays-Bas - Pays concernés par la fuite de données
    « Cette fuite concerne la France, la Belgique, l'Allemagne, l'Espagne, le Luxembourg et les Pays-Bas »
    lemonde.fr ↗
  6. Pays-Bas - Pays où est basé le siège social de Basic-Fit et affecté par la cyberattaque
    « L'incident a également concerné 200.000 membres aux Pays-Bas, où est basé le siège social de Basic-Fit. »
    bfmtv.com ↗
  7. 200.000 membres - Nombre de membres affectés aux Pays-Bas
    « L'incident a également concerné 200.000 membres aux Pays-Bas, où est basé le siège social de Basic-Fit. »
    bfmtv.com ↗
  8. un accès non autorisé au système qui enregistre les passages des membres dans les clubs Basic-Fit - Description de l'intrusion par Basic-Fit aux autorités
    « L'entreprise a remonté aux autorités "un accès non autorisé au système qui enregistre les passages des membres dans les clubs Basic-Fit" »
    bfmtv.com ↗
  9. Accès non autorisé à un système interne détecté récemment - Cause de la fuite de données chez Basic-Fit
    « En cause: un accès non autorisé à un système interne, détecté récemment par l'entreprise. »
    charentelibre.fr ↗
  10. les informations d'abonnement, les noms et adresses, les adresses e-mail, les numéros de téléphone, les dates de naissance et les coordonnées bancaires - Données téléchargées par les pirates
    « Cette intrusion a permis aux pirates de télécharger "les informations d'abonnement, les noms et adresses, les adresses e-mail, les numéros de téléphone, les dates de naissance et les coordonnées bancaires" »
    bfmtv.com ↗
  11. l'enquête menée jusqu'à présent n'a pas permis de constater que les données étaient disponibles ailleurs ou qu'elles avaient été utilisées à mauvais escient - Déclaration de Basic-Fit sur l'utilisation des données volées
    « l'enquête menée jusqu'à présent n'a pas permis de constater que les données étaient disponibles ailleurs ou qu'elles avaient été utilisées à mauvais escient »
    usine-digitale.fr ↗
  12. Aucun mot de passe n'a été compromis - Déclaration de Basic-Fit sur les données non compromises
    « "Aucun mot de passe n'a été compromis", a ajouté la chaîne »
    bfmtv.com ↗
  13. ne pas conserver les pièces d'identité de ses membres - Assurance de Basic-Fit concernant les données qu'elle ne conserve pas
    « qui a assuré ne pas « conserver les pièces d'identité de ses membres » »
    lemonde.fr ↗
  14. Les membres dont les données sont concernées ont été informés - Réponse de Basic-Fit concernant l'information des membres
    « "Les membres dont les données sont concernées ont été informés", selon l'entreprise. »
    bfmtv.com ↗
  15. Les utilisateurs concernés ont été prévenus individuellement - Communication de Basic-Fit aux membres affectés
    « Basic-Fit assure que les utilisateurs concernés ont été prévenus individuellement. »
    charentelibre.fr ↗
  16. L'entreprise a signalé l'accès non autorisé aux autorités compétentes - Action de Basic-Fit suite à la détection de l'intrusion
    « L'entreprise indique avoir signalé cet accès non autorisé aux autorités compétentes. »
    charentelibre.fr ↗
  17. 13 avril 2026 - Date à laquelle Basic-Fit a signalé la fuite de données à l'AFP
    « La chaîne de salles de sport Basic-Fit a indiqué lundi 13 avril 2026 à l'Agence France-Presse (AFP) »
    ouest-france.fr ↗
  18. 17% - Hausse du chiffre d'affaires de Basic-Fit
    « un chiffre d'affaires en hausse de 17% »
    usine-digitale.fr ↗
  19. février 2026 - Date d'une attaque informatique antérieure affectant MaSalleDeSport, prestataire CRM partenaire de Basic-Fit
    « En février 2026, l'entreprise faisait partie des enseignes partenaires de MaSalleDeSport, un prestataire CRM utilisé par plus de 2000 clubs en France, qui a été touché par une attaque informatique »
    usine-digitale.fr ↗
  20. 2000 - Nombre de clubs en France utilisant le prestataire CRM MaSalleDeSport
    « un prestataire CRM utilisé par plus de 2000 clubs en France »
    usine-digitale.fr ↗
  21. 5,8 millions de membres - Nombre total de membres de Basic-Fit
    « Présent dans douze pays, Basic-Fit revendique la position de "plus grande chaîne de fitness en Europe", avec "plus de 2.150 clubs" et "5,8 millions de membres". »
    bfmtv.com ↗
  22. plus grande chaîne de fitness en Europe - Position revendiquée par Basic-Fit
    « la position de "plus grande chaîne de fitness en Europe" »
    franceinfo.fr ↗
  23. René Moos - PDG de Basic-Fit
    « René Moos, son PDG »
    usine-digitale.fr ↗
  24. Forts de ces résultats positifs, nous anticipons la poursuite de la dynamique observée durant les deux premiers mois de 2026, grâce à une croissance intégrée, des investissements maîtrisés et une excellence opérationnelle qui continuent de tracer notre voie - Déclaration de René Moos, PDG de Basic-Fit, suite à l'annonce des résultats financiers
    « Forts de ces résultats positifs, nous anticipons la poursuite de la dynamique observée durant les deux premiers mois de 2026, grâce à une croissance intégrée, des investissements maîtrisés et une excellence opérationnelle qui continuent de tracer notre voie »
    usine-digitale.fr ↗

Sources

Tags : Basic-Fit Clever Fit coordonnées bancaires cyberattaque fitness low-cost fuite de données IBAN MaSalleDeSport René Moos RGPD
Nathalie Rousselin

Nathalie Rousselin

Reporter et journaliste d'investigation. Parcours en sciences sociales et journalisme de terrain. Expertise dans le traitement des faits de société et les enquêtes de fond. Expérience en presse quotidienne régionale. Rejoint INFO.FR pour couvrir l'actualité société et les faits divers.

Twitter LinkedIn Medium Pinterest Voir tous ses articles →
Publicité

Articles qui pourraient vous intéresser

Lien copié !
× Infographie agrandie