Imaginez-vous en train de vérifier vos emails un matin ordinaire, et soudain, vous découvrez que vos informations personnelles – nom, date de naissance, adresse email et même vos habitudes d’achat – circulent librement sur le dark web. C’est exactement ce qui est arrivé à des dizaines de millions de clients de la marque emblématique Under Armour. Cette affaire, qui éclate au grand jour en janvier 2026, soulève des questions cruciales sur la sécurité des données dans le secteur du sport et du bien-être connecté.
Une fuite de cette ampleur ne se produit pas par hasard. Elle révèle les failles persistantes même chez les géants mondiaux qui collectent des quantités astronomiques d’informations sur leurs utilisateurs. Aujourd’hui, nous plongeons au cœur de cet incident majeur pour comprendre ce qui s’est réellement passé, les implications pour les consommateurs et les leçons que toutes les entreprises – startups comprises – doivent en tirer immédiatement.
Une fuite massive qui secoue le monde du sport connecté
L’histoire commence réellement en novembre 2025, lorsque le groupe de ransomware connu sous le nom d’Everest revendique une intrusion chez Under Armour. À l’époque, l’information passe relativement inaperçue dans le bruit médiatique quotidien. Mais tout bascule en janvier 2026 lorsque le site Have I Been Pwned, référence mondiale en matière de vérification de fuites de données, obtient une copie de la base et alerte directement 72 millions de personnes par email.
Ce chiffre donne le vertige. 72 millions. C’est plus que la population de nombreux pays européens réunis. Et ce ne sont pas seulement des adresses email jetables : les données incluent des informations très personnelles.
- Nom complet et genre
- Date de naissance
- Code postal ou ZIP code (localisation approximative)
- Historique d’achats détaillé
- Adresses email professionnelles (y compris de nombreux employés Under Armour)
Ces éléments, une fois combinés, permettent de dresser un portrait extrêmement précis d’une personne : son âge, son sexe, où elle habite, ce qu’elle achète (et donc potentiellement son niveau de vie, ses passions, ses objectifs sportifs…).
Que dit exactement Under Armour ?
Contactée par plusieurs médias spécialisés, la marque a adopté une posture prudente mais relativement rassurante. Selon son porte-parole, l’entreprise est « consciente des allégations selon lesquelles un tiers non autorisé aurait obtenu certaines données ». Une enquête est en cours avec l’appui d’experts externes en cybersécurité.
Point positif mis en avant : à ce stade, aucune preuve ne montre que le site e-commerce principal (UA.com) ou les systèmes de paiement et de stockage des mots de passe aient été compromis. Under Armour insiste également sur le fait que « le nombre de clients affectés avec des informations potentiellement sensibles reste très faible ».
« Toute suggestion selon laquelle des informations personnelles sensibles de dizaines de millions de clients auraient été compromises est infondée. »
Matt Dornic, porte-parole Under Armour
Cette phrase est importante. Elle tente de limiter la perception publique du sinistre. Pourtant, les 72 millions d’adresses email notifiées par Have I Been Pwned ne sont pas un détail. Même si les données les plus critiques (numéros de carte, mots de passe, adresses précises) semblent absentes, le volume et la qualité des informations restantes suffisent à inquiéter.
Comment les données ont-elles pu être exfiltrées ?
Plusieurs hypothèses circulent parmi les experts en sécurité. La plus probable reste une attaque par exploitation de vulnérabilité zero-day ou mal corrigée sur une application tierce, un logiciel de gestion de base de données, ou un service cloud mal configuré. Les ransomwares modernes comme Everest ne se contentent plus de chiffrer ; ils extraient massivement les données avant de lancer l’opération de chiffrement, créant ainsi une double extorsion : payer pour le déchiffrement ET payer pour la non-publication.
Dans le cas présent, le groupe semble avoir privilégié la publication partielle et la vente du reste. Un échantillon fourni à un journaliste spécialisé montrait des millions de lignes parfaitement structurées, preuve d’une extraction professionnelle et complète d’une ou plusieurs bases de données marketing et/ou CRM.
Les risques réels pour les clients Under Armour
À première vue, on pourrait se dire : « Juste un email et un code postal, où est le drame ? ». Détrompez-vous. Voici pourquoi cette fuite est particulièrement préoccupante.
- Phishing ultra-ciblé : avec date de naissance + nom + email + historique d’achat, les attaquants peuvent créer des emails de réinitialisation de mot de passe ou de « remboursement Under Armour » extrêmement crédibles.
- Ingénierie sociale avancée : les malfaiteurs connaissent vos tailles, vos marques préférées, vos objectifs fitness… Ils peuvent se faire passer pour le support technique de manière très convaincante.
- Combinaison avec d’autres fuites : si votre email apparaît déjà dans d’autres breaches (LinkedIn, Adobe, etc.), le profil devient encore plus complet.
- Usurpation d’identité partielle : date de naissance + code postal + nom permettent déjà de tenter certaines démarches administratives ou bancaires simplifiées.
- Marketing malveillant / spam premium : votre profil sportif détaillé intéresse énormément les vendeurs de produits dopants, compléments, régimes miracles, etc.
En résumé : ce n’est pas la fin du monde, mais c’est un très bon kit de démarrage pour un cybercriminel motivé et patient.
Have I Been Pwned : le lanceur d’alerte moderne
Derrière ce nom un peu énigmatique se cache l’un des services les plus utiles et les plus fiables du web moderne. Créé par l’expert en sécurité Troy Hunt, Have I Been Pwned (HIBP) collecte, vérifie et rend accessible au public les grandes fuites de données depuis des années.
Quand HIBP annonce avoir notifié 72 millions de personnes pour une seule marque, cela signifie deux choses :
- la fuite est authentique et massive
- Under Armour n’a pas (ou pas encore) procédé à une notification directe massive de ses clients
Dans de nombreux pays, la loi impose pourtant une notification rapide aux personnes concernées dès lors qu’il y a un risque réel pour leurs droits et libertés. Le silence relatif de la marque sur ce point interroge.
Que peuvent faire les utilisateurs concernés dès maintenant ?
Si vous avez reçu l’email de Have I Been Pwned ou si vous avez déjà utilisé Under Armour (MyFitnessPal appartient aussi au groupe), voici les gestes prioritaires :
- Changez immédiatement votre mot de passe Under Armour (même s’il n’a pas fuité officiellement, mieux vaut prévenir).
- Activez l’authentification à deux facteurs partout où c’est possible, surtout sur les comptes email et sportifs.
- Surveillez votre boîte de réception et vos spams pendant les 6 prochains mois.
- Vérifiez régulièrement votre adresse email sur haveibeenpwned.com.
- Envisagez un service de surveillance de dark web (certains antivirus premium le proposent).
- Si vous avez utilisé le même mot de passe ailleurs, changez-le également.
Ces réflexes, qui paraissent basiques, sont malheureusement encore loin d’être appliqués par la majorité des utilisateurs.
Les leçons pour les startups et scale-ups
Cet incident n’est pas seulement une mauvaise nouvelle pour Under Armour. C’est un rappel douloureux pour toute entreprise qui collecte des données personnelles à grande échelle, en particulier dans les secteurs du bien-être, du sport connecté et de la quantified-self.
Voici les points critiques que les fondateurs et CTO doivent intégrer dès aujourd’hui :
- Segmentation stricte des bases de données : marketing, produit et paiement doivent être isolés.
- Chiffrement systématique des données au repos et en transit.
- Politique de minimization des données collectées : avez-vous vraiment besoin de la date de naissance ?
- Tests réguliers de type red team / pentest approfondis.
- Plan de réponse aux incidents testé et mis à jour annuellement.
- Communication transparente et rapide en cas de fuite avérée.
Les startups qui lèvent des fonds en 2026 et 2027 seront de plus en plus interrogées sur leur posture sécurité. Un incident comme celui-ci peut coûter plusieurs dizaines de millions en perte de confiance, en amendes RGPD et en frais juridiques.
Vers une responsabilisation accrue des géants du sport-tech ?
Under Armour n’est pas un cas isolé. Nike, Adidas, Garmin, Fitbit (Google), Strava… tous ces acteurs ont connu des incidents plus ou moins graves ces dernières années. Le secteur du sport et du bien-être connecté est devenu une cible de choix pour les cybercriminels : des profils riches, des utilisateurs souvent peu sensibilisés à la cybersécurité, et des données à fort potentiel de revente ou d’extorsion.
La question désormais posée est simple : jusqu’où les régulateurs (notamment européens avec le RGPD et le futur DORA) vont-ils durcir les sanctions avant que les grandes marques ne prennent réellement la mesure du risque ?
En attendant, ce sont les utilisateurs qui paient le prix fort : vigilance accrue, perte de confiance, et parfois de véritables usurpations d’identité.
Conclusion : la sécurité ne doit plus être une option
L’affaire Under Armour de 2026 restera probablement comme l’un des plus gros incidents publics du début de l’année. Au-delà des chiffres impressionnants, elle rappelle une vérité brutale : dans un monde où nos données personnelles sont devenues la nouvelle monnaie, personne n’est à l’abri, pas même une marque mondiale iconique du sport.
Pour les consommateurs, c’est le signal qu’il est temps de reprendre le contrôle : mots de passe uniques, 2FA partout, méfiance face aux emails trop beaux pour être vrais. Pour les entreprises, c’est un appel urgent à repenser la sécurité non plus comme un centre de coûts, mais comme une condition sine qua non de survie.
Et vous, avez-vous déjà vérifié si votre adresse apparaît dans cette fuite ? Le simple fait de poser la question pourrait vous éviter bien des désagréments dans les mois à venir.
