On Air Fitness victime d’une cyberattaque : 512 000 comptes clients dans la nature ?

Publié le et mis à jour le
 
L’enseigne de fitness On Air se retrouve aujourd’hui sous les projecteurs, mais pas pour des performances sportives. Une base de données contenant les informations personnelles de plus d’un demi-million d’adhérents circulerait actuellement sur des forums de cybercriminalité. Entre une communication de crise jugée floue et des clients qui reçoivent des mails moqueurs, l’affaire prend une ampleur inquiétante. Si vous fréquentez ou avez fréquenté l’une de ces salles ces dernières années, la vigilance est plus que jamais de mise face aux risques d’escroqueries qui pourraient en découler.
Page d’accueil On Air Fitness avec un tampon Data Breach (Crédit : capture On Air)
Page d’accueil On Air Fitness avec un tampon Data Breach (Crédit : capture On Air)

Un inventaire fitness qui fait froid dans le dos


C’est un véritable coup de massue pour le monde du fitness hexagonal. Un pirate informatique prétend avoir mis la main sur les archives de l’enseigne On Air Fitness, couvrant une période immense allant de 2009 jusqu’à 2026. On ne parle pas ici d’une petite fuite sans importance, mais bien d’un dossier colossal touchant 512 000 personnes. À l’intérieur, on y trouverait tout ce qui permet d’identifier quelqu’un avec précision : les noms, les prénoms, mais aussi les adresses mail, les numéros de téléphone et même les dates de naissance ou les adresses postales. Ce qui rend l’histoire encore plus pesante, c’est que ces fichiers détailleraient l’historique de 99 clubs différents, exposant ainsi l’intimité géographique des membres.

Publicité

La faille technique qui a tout gâché


Comment une telle quantité d’informations a-t-elle pu se retrouver dans la nature ? D’après les premières analyses partagées par des experts en cybersécurité, le coupable serait une interface de programmation, ce qu’on appelle une API, qui aurait été particulièrement mal sécurisée. Pour faire simple, cette porte d’entrée numérique serait restée ouverte à tous vents, sans aucun système d’authentification pour bloquer les curieux. Le hacker n’aurait donc eu qu’à se servir, aspirant les données sans avoir besoin de forcer un coffre-fort complexe. C’est le genre de négligence qui fait grincer des dents, surtout quand on sait que la protection de la vie privée est censée être une priorité absolue pour toute entreprise gérant des milliers d’abonnés.

Le pirate s’invite directement dans votre boîte mail


L’affaire a pris une tournure presque surréaliste lorsque certains clients ont reçu des messages pour le moins étranges. Le cyberdélinquant ne s’est pas contenté de voler les fichiers, il aurait carrément pris le contrôle de l’outil d’envoi de mails de la société pour narguer les victimes. Imaginez la surprise, ou plutôt l’angoisse, de recevoir un message moqueur provenant directement de votre salle de sport habituelle. Ce geste démontre une intrusion profonde dans les systèmes de l’enseigne et prouve que l’attaquant avait les coudées franches pour agir à sa guise. Cette démonstration de force rend la situation d’autant plus humiliante pour la marque, qui se voit dépossédée de ses propres canaux de communication.
ON AIR Fitness utilise deux prestataires pour gérer vos données : Resamania et MaSalleDeSport
Les deux ont été compromis en l’espace d’une semaine, j’ai toute la base de données ON AIR ainsi que toute leur infrastructure : codes de porte, factures, IBAN des franchises, données personnelles de tous les adhérents en lecture et en écriture
Changez de prestataires, sérieusement, leur code est du niveau première année de licence en informatique
Au moins maintenant vous savez le niveau des gens à qui vous confiez les données de vos clients
PS les clients allez chez Basic Fit
Capture sur X

Une communication de crise un peu brouillonne


Face à l’incendie, la réponse du réseau On Air Fitness semble pour le moment manquer d’unité. Selon plusieurs sources, les différentes franchises ne racontent pas toutes la même histoire. Si certaines admettent une compromission sérieuse, d’autres préfèrent utiliser des termes beaucoup plus vagues, évoquant de simples incidents techniques chez des prestataires externes. Ce manque de transparence agace les adhérents qui cherchent avant tout à savoir si leurs coordonnées bancaires sont en sécurité. Bien qu’une plainte ait été déposée et que la CNIL ait été informée de la situation, le flou qui entoure la fuite exacte des RIB alimente les craintes de phishing massif dans les semaines à venir.
À nos adhérents
Nous souhaitions vous informer qu’un email frauduleux a récemment été envoyé à certains de nos adhérents.
Nous tenons à vous rassurer : il s’agit d’une tentative de déstabilisation.
Aucune action de votre part n’est nécessaire à ce stade. Nous vous invitons à ne pas répondre à ce message et à ne cliquer sur aucun lien.
Merci pour votre confiance
Mail On Air sur X

Les risques concrets pour les abonnés


Il ne faut pas se voiler la face, une fuite de cette ampleur laisse des traces durables. Avec autant d’informations entre les mains, des escrocs peuvent monter des arnaques redoutables de réalisme. Ils connaissent votre nom, votre club de sport et votre téléphone, de quoi vous appeler en se faisant passer pour votre banquier ou un conseiller de l’enseigne afin de vous soutirer de l’argent. L’usurpation d’identité est aussi un risque majeur, car posséder une adresse complète combinée à une date de naissance est souvent suffisant pour ouvrir certains comptes ou commettre des fraudes en votre nom. Le conseil est simple mais vital : méfiez-vous de chaque appel ou message suspect, même s’il semble venir d’une source officielle.

Publicité

Une surveillance accrue des comptes bancaires


Dans ce contexte de crise, la prudence est la meilleure des défenses. Les spécialistes recommandent vivement aux membres, anciens comme actuels, de garder un œil très attentif sur leurs relevés bancaires. Si des données bancaires ont effectivement fuité comme on le soupçonne, des prélèvements frauduleux pourraient apparaître. Il est aussi recommandé de changer ses mots de passe, surtout si vous utilisez le même pour plusieurs services, car les pirates testent souvent les combinaisons volées sur d’autres plateformes. La route sera longue pour que l’enseigne retrouve la confiance de ses sportifs, et cette affaire rappelle cruellement que derrière chaque abonnement à la muscu, il y a des serveurs informatiques qu’il ne faut jamais oublier de muscler eux aussi.
 

Ce qu’il faut retenir :

  • Une fuite massive de données : Plus de 512 000 clients, anciens comme actuels, verraient leurs informations personnelles (noms, adresses, téléphones, dates de naissance) circuler librement sur le web après une intrusion majeure.
  • Une faille technique évitable : Le piratage proviendrait d’une porte d’entrée numérique (API) restée totalement ouverte et sans mot de passe, facilitant grandement la tâche du hacker sur une période couvrant plus de 15 ans d’historique.
  • Des risques concrets d’arnaques : Avec des détails aussi précis que votre club de sport habituel, les escrocs peuvent monter des tentatives de phishing (hameçonnage) ultra-réalistes par mail, SMS ou téléphone pour vous soutirer de l’argent.
  • Une menace sur les coordonnées bancaires : Bien que la communication de l’enseigne reste floue, des fuites de RIB sont suspectées ; il est impératif de surveiller vos comptes et de ne jamais valider une opération bancaire inhabituelle.
  • Une provocation directe du hacker : L’attaquant a réussi à utiliser les outils de la marque pour envoyer des messages moqueurs aux abonnés, prouvant que le système interne a été profondément compromis.
chabot thierry
chabot thierry
Passionné d'informatique depuis ses débuts sur PC-1512, Thierry est l'expert référent de TheSiteOueb pour les thématiques liées au Web, aux OS et à la sécurité informatique. Acteur engagé de l'entraide communautaire sous le pseudonyme Cthierry, il met son expertise technique au service des utilisateurs pour décrypter l'actualité numérique et résoudre leurs problématiques quotidiennes.
Vous avez aimé cet article ? Commentez-le et partagez-le !
 
Les autres articles en relation dans l'actualité !
 
Page d’accueil officielle OM avec un tampon Data Breach (Crédit : capture OM) Piratage chez Réglo Mobile : les données de 358 000 clients dans la nature
Leroy Merlin Melun Cesson (Crédit : capture Google Maps) Cyberattaque : Les données personnelles des clients de Leroy Merlin dans la nature
Espace client magasins-u.com et tampon Data Breach (Crédit : capture Super U) Cyberattaque chez Super U : des comptes clients de l’espace magasins-u.com compromis
Le flux Instagram de TheSiteOueb (Crédit : capture Instagram) Instagram : 17,5 millions de comptes dans la nature, votre profil est-il en danger ?
 
Les derniers articles qui pourraient vous intéresser... ou pas !
 
Page du site Belambra et tampon Data Breach (Crédit : capture site web) Après Pierre & Vacances, Belambra piraté : le tourisme français dans la tourmente
La France du Nord au Sud et tampon Data Breach (Crédit : capture site web) Fuite de données chez Pierre & Vacances-Center Parcs : 4,5 millions de clients potentiellement concernés
Du télégraphe à la fibre optique et au câble sous-marin (Crédit : Alex.I) Ce qui se passerait si Internet disparaissait demain : l'alerte de la JMTSI 2026
Explosion de faisceaux laser photoniques futuristes multicolores (Crédit : Alex.I) Journée internationale de la lumière 2026 : la photonique, secret d’un avenir vert ?
 
Les commentaires sont la propriété de leur auteur. Nous ne sommes pas responsables de leurs contenus.