Basic-Fit, l’un des leaders européens du fitness, vient de confirmer avoir été la cible d’une cyberattaque ! Près d’un million de clients, dont de nombreux Français, sont concernés par une fuite de données dans laquelle on retrouve des données bancaires ! Voici ce que l’on sait.

Basic-Fit est l’une des plus grandes chaînes de fitness en Europe, avec plus de 5,8 millions de membres au sein de 12 pays. Il y a la marque Basic-Fit et la marque Clever Vit, pour plus de 2 150 clubs au total.

Basic-Fit : un million de membres impactés par le piratage

Chez Basic-Fit, l’abonnement est low cost, et visiblement la sécurité du système informatique aussi. Ce lundi 13 avril 2026, Basic-Fit a officialisé une intrusion dans ses systèmes d’information, et les pirates sont parvenus à mettre la main sur les données d’un million de comptes. La France n’est pas le seul pays impacté puisque Basic-Fit est présent à l’échelle européenne : France, Belgique, Allemagne, Espagne, Luxembourg et Pays-Bas. Dans cette fuite de données, il y aurait 200 000 personnes rien qu’aux Pays-Bas. Pour la France, ce n’est pas précisé.

“Aujourd’hui, Basic-Fit a signalé à l’autorité compétente en matière de protection des données un accès non autorisé au système qui enregistre les visites des adhérents dans les clubs Basic-Fit.”, peut-on lire. Même si l’intrusion a été détectée par les outils de surveillance et arrêtée dans les minutes qui ont suivi, il y a bien eu un téléchargement des données.

Ce qui est préoccupant, c’est la nature des données compromises :

• L’identité complète (nom et prénom)
• Les coordonnées de contact (adresse e-mail, numéro de téléphone, adresse postale)
• La date de naissance
• Les coordonnées bancaires (IBAN, probablement) !
• Des informations liées à l’abonnement Basic-Fit (historique des visites, type de forfait)

Cela aurait pu être encore pire, d’après ce que l’on peut lire dans le communiqué officiel : “Basic-Fit ne conserve pas les pièces d’identité de ses membres et aucun mot de passe n’a été consulté.”

Le risque majeur : encore du phishing

Si l’absence de vol de mots de passe est une bonne nouvelle, la présence des coordonnées bancaires est beaucoup moins réjouissante. Contrairement à un mot de passe que l’on peut changer en 30 secondes, un IBAN est une donnée pérenne.

Avec de telles informations, un cybercriminel peut forger un e-mail ou un SMS crédible et tenter de piéger les victimes. Cette base de données contient assez d’informations pour permettre de rassurer la victime, notamment en lui rappelant ses coordonnées.

Basic-Fit ne précise pas quelle est la nature de cette intrusion (compte compromis, etc.), ni quand cela a eu lieu réellement, cette intrusion.