S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Piratage chez Basic-Fit : les données d’un million de membres compromises

Les fuites de données se suivent, elles finissent par se ressembler, mais malheureusement elles continuent de mettre en danger des millions d’utilisateurs. Le géant européen des salles de fitness Basic-Fit, qui possède 2 150 clubs dont 894 en France, a essuyé un « accès non autorisé » à son infrastructure informatique. En l’occurrence, le système qui enregistre les visites des membres dans ses clubs a été visé. Les clients français sont concernés, ainsi que ceux belges, allemands, espagnols, luxembourgeois et hollandais.

© Basic-Fit

Les autorités compétentes en matière de protection des données (la CNIL en France) ont été prévenues par l’entreprise, qui exploite aussi le réseau Clever Fit. Le piratage, détecté par les systèmes de surveillance du groupe, a été interrompu « en quelques minutes après sa découverte ». Les hackers ont pu s’emparer d’une partie des données d’adhésion, des noms et adresses postales, des adresses email, numéros de téléphone, dates de naissance et coordonnées bancaires.

Basic-Fit indique ne pas conserver les documents d’identité. Si le vol de données n’a pas compromis les mots de passe des membres, ces informations en fuite n’en restent pas moins un coffre au trésor précieux pour les escrocs. Ils peuvent en effet s’en servir pour piéger leurs victimes via des tentatives d’hameçonnage, en se faisant passer pour Basic-Fit avec des infos crédibles. 

Un million de membres sont touchés (dont 200 000 aux Pays-Bas, siège social du groupe), sur un total de 5,8 millions de clients. Basic-Fit ne précise pas le nombre en France, mais tous ont été informés selon le communiqué de l’entreprise. Pour le moment du moins, aucune exploitation malveillante de ces données ne serait à déplorer.

Commentaires (32)

votre avatar
Basic Fuite... :roule2:
votre avatar
Je rate peut être quelque chose pais pourquoi faut-il donner des documents d'identité à une salle de sport ?
votre avatar
pour être sur et certain que c'est bien toi qu'ils revendent ou revendront, à qui ? je vous laisse deviner…
PS je viens de lire ça, sans doute déjà connu ici, mais en lisant également les liens c'est assez édifiant : https://ploum.net/2026-04-10-rien-a-penser.html
Se demander aussi pourquoi vos coordonnées sont demandées en caisses, même de petits commerces… et se demander ensuite pourquoi la majorité répond…
votre avatar
Lien ploum
votre avatar
Parce que l'abonnement est nominatif. Vu que ce sont des badges illimités dans des salles 24/24 partout en France, ils ont intérêt à savoir qui paye et à pouvoir vérifier qui veut rentrer.

En tout cas, ça me conforte dans mon choix de ne pas m'inscrire à une salle de sport, c'est pour la protection de mes données personnelles :mdr:
votre avatar
Je comprends la logique mais un badge avec photo ferait très bien le travail. Comme un autre lecteur le dit, il faudrait limiter les données collectées. D'autant plus qu'il y a chaque jour une nouvelle fuite de données
votre avatar
On peut s'interroger sur l'intérêt de la date de naissance (sûrement pour les doublons, les cadeaux d'anniversaire, etc), le reste ça me choque pas vraiment que pour souscrire un contrat d'abonnement avec prélèvement automatique, il faille confirmer son identité, ne serait-ce que pour indiquer qu'on est bien le titulaire de l'IBAN qu'on présente.

Ils précisent bien d'ailleurs que la pièce d'identité n'est pas stockée, à mon avis ils la demandent au comptoir et elle est même pas numérisée (ou alors juste pour faire de l'OCR en live).
votre avatar
Pourquoi faudrait il être titulaire du compte qui paie l'abonnement ?
C'est comme certaines personnes qui me disent qu'il faut avoir le permis de conduire pour acheter une voiture ???
votre avatar
J'en sais rien si c'est le cas, c'était une supposition.
Dans tous les cas, ça me choque pas qu'une société qui te donne accès à ses locaux H24 partout en France sache qui tu es avec plus que sur la seule foi de ta déclaration orale à l'inscription.

Pour la voiture, il me semble que c'est obligatoire désormais oui (en tout cas, a minima d'être majeur, ce qui n'a pas toujours été le cas et a posé des soucis sur les responsabilités juridiques)
votre avatar
Dans tous les cas, ça me choque pas qu'une société qui te donne accès à ses locaux H24 partout en France sache qui tu es avec plus que sur la seule foi de ta déclaration orale à l'inscription.
Je comprends. Je réagissais sur le fait que le titulaire de l'abonnement devait obligatoirement être le titulaire de l'IBAN payant l'abonnement.
Pour la voiture, il me semble que c'est obligatoire désormais oui (en tout cas, a minima d'être majeur, ce qui n'a pas toujours été le cas et a posé des soucis sur les responsabilités juridiques)
Je comprends pour le fait de majorité (+18 ans) mais je ne vois pas pourquoi l faudrait posséder un permis de conduire pour posséder une voiture. Tu peux très bien avoir une voiture et que ce soit un proche (ou un employé, soyons fou) qui conduise cette voiture.
votre avatar
Je suis aussi intéressé par la réponse. Si on veut limiter l'impact des fuites de données, il faut déjà commencer à limiter les données qu'on collecte.
votre avatar
En effet. Ca me semble disproportionné de devoir donner une copie de carte d'identité dans le but de pouvoir utiliser son abonnement en salle de sport. Je comprends que l'abonnement est nominatif mais je suppose qu'ils ne contrôlent pas l'identité à chaque fois que quelqu'un rentre... ca me laisse perplexe
votre avatar
Basic-Fit indique ne pas conserver les documents d’identité.
On ne parle pas de documents d'identité dans cette fuite
Les hackers ont pu s’emparer d’une partie des données d’adhésion, des noms et adresses postales, des adresses email, numéros de téléphone, dates de naissance et coordonnées bancaires.
Somme toute des données très classiques dans une relation contractuelle (+ la date de naissance puisque c'est une salle de sport qui a besoin de connaître l'âge)
votre avatar
En effet, mais comme Basic Fit précise qu'ils ne sont pas conservés, c'est qu'ils sont bien demandés à un moment. S'il s'agit d'une simple présentation visuelle sans copie, il n'y a alors pas de sujet. Mais dans ce dernier cas, il aurait pas besoin de précision je pense
votre avatar
Ça peut également être pour les inscriptions en ligne. Dans ce cas la transmission d'une carte d'identité (pour prouver son âge notamment) peut être justifiée, d'autant que Basic Fit semble assez pro sur ce point puisqu'ils ne conservent pas les pièces plus longtemps que nécessaire pour vérifier, ce qui n'est pas le cas de toutes les entreprises ayant fuité récemment.
votre avatar
Je n'y avais pas pensé! Toutefois je suis très réservé sur le fait de devoir transmettre de telles données pour une simple salle de sport. Je suis peut être pessimiste mais je trouve que l'on doit de plus en plus transmettre ces documents pour des motifs plus ou moins justifiés.
Dans le cas des salles des sports il s'agit de lieux physiques où il serait possible de faire une validation manuelle la première fois qu'un nouvel abonné se rend dans une salle.
votre avatar
Il n'y a pas forcément de personnel en permanence dans chaque salle de sport qu'ils possèdent, donc potentiellement difficile à mettre en place pour un truc qui se veut dispo H24.
votre avatar
Parce que tout ce qui fonctionne par abonnement doit vérifier que celui qui souscrit est la bonne personne pour:

  • le recouvrement (donc la protection de la société)

  • protéger les gens (pour que je ne puisse pas t'abonner moi-même - ou m'abonner en utilisant ton nom/prénom)



J'ai déjà été l'objet d'une usurpation d'adresse: je recevais des lettres d'huissier dans ma boite à lettres. Hier encore, un de mes collègues a reçu un appel de cofidis pour vérifier qu'il souhaitait bien souscrire un emprunt (réponse: non, ce n'était pas lui, et question: mais comment cofidis a-t-il trouvé le tel - même si c'était la bonne intention et procédure).

Donc demander nom/prénom/adresse/tel/carte d'identité est une procédure tout à fait normale si on souscrit un abo de mon point de vue de néophyte (qui se pose des questions quand même).

Par contre si on paye à la prestation, ça ne peut être justifié que pour l'appel des pompes funèbres si tu fais un malaise en essayanr d'impressioner une fille.
votre avatar
Pas besoin de fuite de données, le sac à dos orange et gris faisait déjà tout le travail.
votre avatar
Question technico-légale : est-ce que le Cyber Resilience Act (CRA) va permettre de durcir le ton vis-à-vis de ces fuites de données, qui sont très souvent le fait de manquements (volontaires, directement ou indirectement) en terme de sécurité, car elle est relayée au second plan (quand ce n'est pas au troisième ou plus) ?

Car quand je vois certains clients qui n'ont toujours pas compris ces enjeux...
votre avatar
Y a pas que le sac à dos qui est gratos alors ? y filent les données aussi ? :D
votre avatar
Y'a aussi tout un tas de bactéries offertes sur les différents équipements, bon c'est un peu aléatoire type lootbox, mais tu peux obtenir un staphylocoque doré :yaisse:
votre avatar
Hein ? Jamais entendu causé d'un tel cas là où je vais ... toujours ma serviette, douche avec tongues, etc ... et puis 30% de la population saine est porteuse. Arrête de serrer la main de tes collègues :D
votre avatar
Bon, j'ai galéré à trouver une source pas trop putaclic (forcément c'est relayé chez Topito ce genre d'info), et ça reste pas très objectif mais y'a quelques explications assez logiques chez PLG

En gros, il y a de la transpiration sur les appareils, sur lesquels les utilisateurs enchainent les exercices les uns après les autres et tout ça se termine avec un bon taux d'humidité dans les vestiaires... c'est un petit peu le paradis du développement des bactéries.

Mais oui, on est d'accord qu'il suffit de bons réflexes et d'une salle bien entretenue pour limiter les risques. C'était juste un semi-troll pour rebondir sur les trucs gratos de Basic Fit :D
votre avatar
dans une salle bien tenue, tu es censé passer un coup de papier + lotion sur les machines une fois que tu as fini :bocul:
votre avatar
Et t'es pas censé être :bocul: sur les machines :langue:
votre avatar
Alexandre va p-e dans une salle de sports "spéciale" ... :D
votre avatar
rebondir sur les trucs gratos de Basic Fit
J'avais pigé.
Sinon ton 1er post m'a fait faire des recherches sur le net. Tu as raison c'est tout à fait possible mais apparemment les poignées de mains sont plus 'contaminantes' statistiquement.
votre avatar
Vivement la généralisation du justificatif numérique de France identité en lieu et place du scan de la carte d'identité.
votre avatar
J'en ai transmis un il y a pas longtemps pour une entreprise qui avait besoin de ma pièce d'identité...
Et évidemment, comme quand je tente de proposer la Carte Vitale numérique, on me regarde comme si j'étais un extraterrestre. :mad2:

Et évidemment, sans grande surprise au RDV suivant "Oh mais je connaissais pas, oh mais c'est pas mal. En plus j'avais déjà l'application France Identité pour vérifier. Bon il faudrait quand même que je vous prenne l'originale pour le dossier"
votre avatar
J'ai tenté ma chance de mon côté pour une demande auprès d’Île-de-France mobilité pour l'aide à l'achat d'un vélo à assistance électrique. Je croise les doigts.
votre avatar
Entre les fédérations sportives et ça, je confirme : s'pas bon, le sport !