En confiant aux victimes qu'un IBAN volé sans autres données bancaires n'expose à aucun risque, Basic-Fit a minimisé les conséquences de sa cyberattaque pour ses clients. Car les données récoltées dans la fuite incluent bien l'identité, l'adresse e-mail et l'adresse des abonnés, tout ce qui rend les arnaques SEPA et le phishing crédibles.

La récente cyberattaque de Basic-Fit a touché près d'un million de personnes victimes d'une fuite de données bancaires - ©ricochet64 / Shutterstock
La récente cyberattaque de Basic-Fit a touché près d'un million de personnes victimes d'une fuite de données bancaires - ©ricochet64 / Shutterstock

Vous faites peut-être partie du million de clients de Basic-Fit victimes de la récente cyberattaque de l'enseigne sportive. Et comme on vous l'expliquait à l'occasion du piratage du FICOBA en février, un cyberpirate ne peut pas vider vos comptes bancaires avec le seul IBAN, mais dispose de suffisemment d'informations pour une tentative de phishing. Et s'il est muni de votre nom, adresse et IBAN, il peut alors tenter de se faire passer pour votre banque ou pour l'administration fiscale afin de vous soutirer codes ou numéro de carte.

À peine les notifications de cyberattaque envoyées aux clients, Adrian Gonzalez, porte-parole de Basic-Fit aux Pays-Bas, a essayé de rassurer les clients inquiets. Il affirmait à notre confrère L'Essentiel qu'« avec l'IBAN seul on ne peut rien faire, le principal risque est de recevoir des mails qui demandent de cliquer sur un lien ». Mais entre un IBAN isolé et un IBAN accompagné d'autres données, il y a une sacrée différence. D'autant plus que dans ce cas précis, les hackers n'ont pas volé des IBAN orphelins. Ils ont emporté nom, prénom, adresse postale, e-mail et identifiants bancaires pour un million de membres à travers l'Europe.

Le droit bancaire français et européen à la rescousse en cas de piratage de compte bancaire

Dans un fichier client, quand à l'IBAN s'ajoutent l'identité complète et des coordonnées, les fraudeurs peuvent initier des prélèvements SEPA sans signer de mandat valide. Adecco l'a découvert à ses dépens, ou plutôt ses intérimaires : des centaines de salariés piratés se sont retrouvés avec des débits de 49,85 euros restés longtemps inaperçus. Des travaux récents estiment que des attaques de spear phishing personnalisées peuvent dépasser 50 % de taux de clic dans certains contextes expérimentaux, même si les données en conditions réelles restent plus difficiles à consolider.

Or, Basic-Fit n'indique pas aux victimes ce qu'elles peuvent réellement faire si leurs comptes en banque était usurpé ou piraté. Beaucoup ignorent que le droit bancaire français et européen leur permet de se défendre. Pour un prélèvement autorisé contesté dans les 8 semaines suivant le débit, le remboursement est garanti sans justification. Si le fraudeur crée un faux mandat, le délai s'étend à 13 mois.

Toutefois, Basic-Fit prévient sur son site contre toutes les tentatives d'escroquerie ou d'usurpation d'identité dont l'enseigne et la marque sont également victimes pour du phishing. Les escrocs imitent les communications officielles via WhatsApp, e-mail, SMS et courriers papier en usurpant le branding et les visuels de Basic-Fit. La suite, on la connaît, quand un client reçoit un message qui prétend provenir de Basic-Fit et qui inclut son nom et ses coordonnées, forcément, il a confiance. Alors il clique sur un lien, transmet des codes d'accès, ou pire autorise un prélèvement qu'elle croit officiel.

Munis de votre nom, adresse et IBAN, des escrocs ont tout ce dont ils ont besoin pour vous faire croire qu'ils sont votre banque ou la DGFiP afin de vous soutirer codes ou numéro de carte - ©xsprtd / Shutterstock
Munis de votre nom, adresse et IBAN, des escrocs ont tout ce dont ils ont besoin pour vous faire croire qu'ils sont votre banque ou la DGFiP afin de vous soutirer codes ou numéro de carte - ©xsprtd / Shutterstock

L'IBAN seul ne suffit pas à vous escroquer, mais le risque zéro n'existe pas

Si vous êtes concernés, pas de panique.

Il faut d'abord surveiller régulièrement vos relevés de compte, une fois par semaine si possible, et signaler sans délai toute opération anormale auprès de votre banque.

Ensuite, refusez les appels non attendus qui prétendent provenir de Basic-Fit, votre banque ou à tout autre organisme. Vérifiez le destinataire de tout e-mail ou SMS avant de cliquer. Basic-Fit rappelle que ses services ne sont commercialisés que via son site officiel et les bornes d'auto-service dans ses clubs. Tout autre canal relève de la fraude.

Reste que le danger véritable provient de la combinaison. Un IBAN seul ne suffit pas à vider un compte. Pour effectuer un vrai prélèvement frauduleux, un escroc devrait créer un faux mandat et s'enregistrer officiellement auprès d'une banque, ce qui, on vous le rappelle, n'est pas à la portée du premier venu. Cependant, munis de votre nom, adresse et IBAN, des escrocs ont tout ce dont ils ont besoin pour vous faire croire qu'ils sont votre banque ou la DGFiP afin de vous soutirer codes ou numéro de carte. Là encore, vous le savez, votre banque et l'administration fiscale ne vous demanderont jamais ces informations par message.

Au moindre doute, consultez cybermalveillance.gouv.fr et prévenez votre banque pour une mise sous vigilance renforcée.

Source : L'essentiel

À découvrir
Meilleur antivirus : le comparatif en avril 2026
Comparatifs services