Basic-Fit et Booking.com : fuite de données bancaires et personnelles de grande ampleur

La chaîne européenne de salles de sport Basic-Fit a annoncé, le 13 avril 2026, qu'une intrusion dans ses systèmes survenue le 8 avril a exposé les données personnelles et bancaires d'environ un million de membres en Europe. Parmi les clients touchés figurent quelque 200 000 résidents aux Pays-Bas et entre 150 000 et 200 000 membres en Belgique. Les données dérobées comprennent les noms, adresses postales, courriels, numéros de téléphone, dates de naissance, coordonnées bancaires ainsi que des informations détaillées sur les abonnements. Bien que la faille ait été détectée et colmatée en quelques minutes, des données avaient déjà été téléchargées. Le même jour, la plateforme de voyage en ligne Booking.com a séparément indiqué que des tiers non autorisés avaient pu accéder aux détails de réservation et aux coordonnées de certains de ses utilisateurs.

Coordonnées bancaires et historiques de fréquentation parmi les données volées L'étendue des données compromises chez Basic-Fit dépasse les simples coordonnées de contact. Selon l'entreprise, la fuite concerne également le type d'abonnement, le solde des paiements, le numéro de badge, un identifiant interne et les registres de fréquentation des salles au cours de la semaine précédant l'incident, précisant les établissements visités et les horaires de passage. Le modèle d'appareil mobile utilisé pour valider l'entrée — comme la marque du téléphone — figure aussi parmi les informations extraites. Basic-Fit a précisé que les mots de passe et les documents d'identité n'ont pas été compromis, soulignant que la société ne conserve pas de copies des pièces d'identité de ses membres. L'entreprise a déclaré n'avoir trouvé aucun indice d'une utilisation malveillante ou d'une mise en ligne des données, tout en ayant sollicité des experts externes pour surveiller le Web.

Incident signalé au régulateur néerlandais dans le délai légal de 72 heures Basic-Fit a confirmé avoir notifié l'incident à l' Autorité néerlandaise de protection des données dans le délai de 72 heures requis par la loi. La faille concerne des membres répartis dans les six pays où le groupe est présent : les Pays-Bas, la Belgique, la France, l'Espagne, le Luxembourg et l'Allemagne. Avec plus de 2 150 clubs et environ cinq millions d'adhérents en Europe, cela signifie qu'un membre sur cinq est concerné par ce téléchargement de données. La direction a informé les clients touchés qu'aucune mesure immédiate n'était nécessaire de leur part, tout en les appelant à la vigilance face à toute communication suspecte. En Espagne, l'association de consommateurs Consumur a recommandé aux membres de suivre de près leurs comptes bancaires pour détecter d'éventuels retraits inhabituels.

Booking.com alerte sur les risques de phishing après un incident de sécurité distinct Booking.com a averti ses clients par courriel que des tiers tiers avaient pu accéder à des informations de réservation, incluant noms, adresses électroniques et physiques, ainsi que numéros de téléphone. Dans certains cas, des données partagées avec les hébergeurs ont également pu être consultées. Un porte-parole de Booking.com a toutefois affirmé que les données financières n'étaient pas visibles pour les auteurs de l'intrusion. Par précaution, la plateforme a modifié les codes d'accès personnels des utilisateurs concernés et assure que l'incident est désormais résolu. Booking.com a refusé de préciser le nombre de clients touchés ou la durée de l'accès non autorisé. L'entreprise a exhorté ses utilisateurs à la vigilance concernant les messages ou appels usurpant son identité ou celle d'hôtels, rappelant qu'elle ne demande jamais de coordonnées de carte bancaire par courriel, téléphone, SMS ou WhatsApp. L'incident a également été rapporté aux autorités de protection des données compétentes.

Le RGPD de l'UE oblige les entreprises à notifier les failles de sécurité dans un délai strict. Les attaques par hameçonnage — ou phishing — constituent un risque secondaire majeur après de tels incidents. Le vol combiné de noms, de numéros de téléphone et d'IBAN permet en effet aux fraudeurs de concevoir des messages frauduleux particulièrement crédibles.

Les deux entreprises appellent à la prudence face aux sollicitations non sollicitées. Basic-Fit rappelle de ne jamais communiquer de mot de passe ou d'informations financières par téléphone ou courriel. En Espagne, l'Institut national de cybersécurité a mis à disposition sa ligne d'assistance gratuite, le 017, pour répondre aux interrogations des citoyens. Au 13 avril 2026, l'identité des auteurs de ces deux cyberattaques restait inconnue.