Porte de coffre-fort ancienne symbolisant la sécurité des données bancaires et le piratage du fichier FICOBA

Piratage FICOBA : 1,2 million de comptes bancaires exposés: Ce que vous risquez vraiment

par

Temps de lecture estimé : 12 minutes

Il est 10h43.

Vous recevez un SMS de votre banque.

« Un nouveau créancier a été enregistré sur votre compte. »

Vous n’avez rien fait.

Votre IBAN circule depuis des semaines entre des mains inconnues.

Ce qui s’est passé : les faits

Le 18 février 2026, le ministère de l’Économie a publié un communiqué discret mais lourd de conséquences.

La Direction Générale des Finances Publiques (DGFiP) a confirmé qu’un acteur malveillant avait accédé de manière illégitime au FICOBA — le Fichier national des Comptes Bancaires et Assimilés — à compter de la fin janvier 2026.

Les données de 1,2 million de comptes bancaires ont été consultées et extraites.

Ce n’est pas une rumeur. Ce n’est pas une fuite présumée. C’est une confirmation officielle, notifiée à la CNIL et ayant fait l’objet d’un dépôt de plainte.

Qu’est-ce que le FICOBA ?

Le FICOBA est l’un des fichiers les plus sensibles que l’État français possède sur vous.

Créé en 1971, il recense l’intégralité des comptes bancaires ouverts en France : comptes courants, comptes d’épargne, comptes-titres, coffres-forts. Il enregistre chaque ouverture, modification et clôture de compte.

En chiffres : 300 millions de références de comptes. Tous les Français qui possèdent un compte bancaire y figurent.

Ce fichier n’est pas accessible au public. Il est réservé à des profils institutionnels spécifiques — administrations fiscales, tribunaux, services sociaux — dans un cadre légal précis. C’est précisément ce cadre qui a été exploité.

Comment l’attaque s’est déroulée

Le vecteur d’attaque documenté par la DGFiP est remarquablement simple pour ce niveau de dommage.

L’attaquant n’a pas piraté le FICOBA directement. Il n’a pas cassé un chiffrement ou exploité une faille technique spectaculaire.

Il a volé l’identité numérique d’un fonctionnaire.

Ce fonctionnaire disposait d’accès légitimes au FICOBA dans le cadre des échanges d’information entre ministères. En usurpant ses identifiants, l’attaquant a pu se connecter au système comme s’il était cet agent — sans déclencher d’alerte immédiate sur les systèmes de contrôle d’accès.

L’intrusion a été active pendant plusieurs semaines, de fin janvier jusqu’à sa détection en février.

Note technique : Cette classe d’attaque s’appelle une attaque par identifiants compromis (credential compromise). Elle est l’une des plus redoutables car elle contourne les protections périmètriques — pare-feux, cloisonnement réseau, contrôles d’accès — en empruntant une identité disposant de droits légitimes. Les systèmes voient une connexion normale. Rien ne clignote.

La question qui reste posée publiquement : l’accès à un fichier contenant les données bancaires de millions de Français était-il protégé par une authentification forte à double facteur ? Les circonstances suggèrent que non.

Ce qui a fuité sur vous

Voici ce que l’attaquant a potentiellement extrait sur les 1,2 million de comptes concernés :

  • Vos coordonnées bancaires complètes : RIB et IBAN
  • Votre identité : nom, prénom
  • Votre adresse postale
  • Dans certains cas : votre identifiant fiscal

Ce qui n’a pas fuité :

  • Le solde de vos comptes
  • Vos mots de passe bancaires
  • Vos informations de connexion à votre espace client

La DGFiP tient à rassurer sur ce point : le FICOBA ne permet pas de consulter les soldes ni d’effectuer des opérations directement. Mais ce qui a fuité suffit largement pour vous cibler.

Les risques concrets : ce qu’un attaquant peut faire avec votre IBAN

C’est ici que beaucoup de gens se trompent.

On entend souvent : « Mon IBAN, tout le monde l’a déjà — je le donne à mon employeur, à mon propriétaire… »

C’est vrai. Mais il y a une différence fondamentale entre donner votre IBAN à un créancier que vous connaissez, dans un contexte maîtrisé, et voir votre IBAN circuler avec votre nom, votre adresse et votre identifiant fiscal dans les mains d’un acteur malveillant.

La fraude au prélèvement SEPA

Avec votre IBAN, un escroc peut théoriquement :

  1. S’enregistrer comme créancier auprès d’un prestataire de services de paiement
  2. Créer un mandat de prélèvement SEPA à votre nom
  3. Initier un prélèvement sur votre compte

Le système SEPA repose sur la confiance : un prélèvement est exécuté d’abord, et vous disposez ensuite d’un délai pour le contester (8 semaines pour un prélèvement autorisé, 13 mois pour un prélèvement non autorisé). Mais si vous ne surveillez pas votre compte régulièrement, la fraude peut passer inaperçue.

Le phishing ultra-ciblé

C’est probablement le risque le plus immédiat.

L’attaquant connaît maintenant votre nom, votre adresse, votre banque (déduite de l’IBAN) et parfois votre identifiant fiscal. Il peut construire un email ou un SMS d’une crédibilité redoutable :

« Monsieur [Nom], suite à la détection d’une activité suspecte sur votre compte [Banque], veuillez confirmer votre identité en cliquant ici. »

Le message peut arriver en se faisant passer pour votre banque, pour la DGFiP elle-même, ou pour la CNIL. C’est ce qu’on appelle le spear phishing — un hameçonnage personnalisé, avec vos vraies données, infiniment plus convaincant qu’un email générique.

L’usurpation d’identité

Avec votre nom, adresse et identifiant fiscal, un attaquant dispose d’un profil suffisamment complet pour tenter des démarches administratives en votre nom ou ouvrir des comptes frauduleux.

Ce que vous devez faire maintenant

Pas de panique. Pas d’action spectaculaire. Des gestes simples, dans l’ordre.

✅ Action N°1 — Activez les alertes sur votre compte bancaire

C’est la mesure la plus immédiate et la plus efficace.

Connectez-vous à votre espace bancaire en ligne et activez les notifications SMS ou email pour chaque opération : prélèvements, virements, paiements par carte.

Vous serez alerté en temps réel de toute activité suspecte, ce qui vous permettra de réagir rapidement.

✅ Action N°2 — Créez une liste blanche de prélèvements autorisés

La plupart des banques permettent de définir la liste des créanciers autorisés à effectuer des prélèvements sur votre compte.

Connectez-vous à votre espace client et cherchez la section « gestion des prélèvements » ou « liste des créanciers autorisés ». Tout créancier non présent sur cette liste se verra automatiquement refuser le prélèvement.

C’est gratuit. C’est immédiat. C’est probablement la protection la plus sous-utilisée en France.

✅ Action N°3 — Ne cliquez jamais sur un lien reçu par message

Dans les semaines qui viennent, vous allez recevoir des communications qui prétendront venir de votre banque ou de la DGFiP.

La règle est simple et absolue : ne cliquez jamais sur un lien reçu par SMS ou email, quelle que soit l’urgence apparente du message.

Pour vérifier une information concernant votre compte bancaire, tapez directement l’adresse de votre banque dans votre navigateur. Pour contacter la DGFiP, utilisez la messagerie sécurisée de votre espace personnel sur impots.gouv.fr.

✅ Action N°4 — Vérifiez si vous êtes concerné

La DGFiP a annoncé que les 1,2 million d’usagers concernés recevront une information individuelle dans les prochains jours.

Si vous pensez être parmi eux et que vous n’avez rien reçu, vous pouvez contacter directement votre service des impôts via la messagerie sécurisée de votre espace personnel sur impots.gouv.fr, ou appeler le 0 809 401 401 (numéro non surtaxé).

✅ Action N°5 — Renforcez votre authentification bancaire

Si votre banque vous propose encore uniquement le SMS comme méthode de validation, c’est le moment d’en discuter avec elle.

Certaines banques proposent désormais des applications d’authentification dédiées. D’autres ont renforcé leurs procédures de validation. Prenez contact avec votre conseiller pour connaître les options disponibles sur votre compte.

👉 Pour comprendre pourquoi le SMS bancaire est structurellement fragile et comment renforcer réellement votre sécurité, consultez notre article complet sur l’authentification bancaire et la DSP2.

La question que tout le monde évite

Les communiqués officiels sont rassurants par construction. Mesures prises, ANSSI mobilisée, CNIL notifiée, plainte déposée. La machine institutionnelle tourne.

Mais il y a une question que personne ne pose officiellement.

Pourquoi un accès à 1,2 million de comptes bancaires ne nécessitait-il pas une authentification forte à double facteur ?

En 2026, les recommandations de l’ANSSI sur l’authentification multifacteur sont publiques depuis des années. La CNIL a publié ses propres recommandations en mars 2025. Le principe est simple : pour un accès à des données aussi sensibles, un seul facteur d’authentification — un identifiant et un mot de passe — ne devrait pas suffire.

Si l’accès au FICOBA avait été protégé par une authentification forte, l’usurpation des identifiants d’un fonctionnaire n’aurait pas suffi. Il aurait fallu également compromettre son second facteur.

L’État centralise une quantité croissante de données personnelles sensibles. FICOBA, France Identité, Mon espace santé, FranceConnect — les fichiers se multiplient et se croisent. Chaque centralisation crée un point d’entrée unique. Chaque point d’entrée unique est une cible.

Ce n’est pas une raison de céder à la panique. C’est une raison de comprendre le risque et de prendre en charge sa propre protection, sans attendre que les systèmes soient parfaits. Ils ne le seront jamais.

Ce que cette affaire révèle vraiment

Les cyberattaques les plus dévastatrices ne sont pas les plus techniques.

Elles exploitent les procédures humaines — un agent qui fait confiance à un appel, un système qui n’exige pas assez, une organisation qui n’a pas encore mis en place les protections recommandées depuis des années.

Le FICOBA a été compromis non pas parce que la cryptographie a été cassée ou parce qu’une faille zero-day a été exploitée. Il a été compromis parce qu’un fonctionnaire avait un identifiant et un mot de passe, et que ça a suffi.

C’est une leçon qui vaut pour tout le monde. Votre email principal. Votre espace client bancaire. Votre compte de réseau social. Si ces accès ne reposent que sur un mot de passe, ils sont structurellement vulnérables à la même classe d’attaque.

Résumé : 5 actions prioritaires

  1. Activez les alertes sur chaque opération de votre compte bancaire
  2. Créez une liste blanche de créanciers autorisés dans votre espace client bancaire
  3. Ne cliquez jamais sur un lien reçu par SMS ou email — accédez toujours directement aux sites officiels
  4. Vérifiez si vous êtes concerné via la messagerie sécurisée de votre espace impots.gouv.fr
  5. Renforcez votre authentification bancaire en contactant votre conseiller

Ce ne sont pas des gestes complexes. Ce sont des habitudes qui changent profondément votre niveau de sécurité réel.

Comprendre le risque. Agir simplement. Avancer progressivement.

C’est ainsi que l’on reprend le contrôle.

Sources : Communiqué officiel DGFiP — impots.gouv.fr (18 février 2026) · Franceinfo · IT-Connect · IT Social · La Finance pour Tous · cybermalveillance.gouv.fr · ANSSI — Recommandations relatives à l’authentification multifacteur

⚠️ Note de mise à jour : Les informations de cet article ont été vérifiées à la date de publication. L’enquête sur le piratage FICOBA est en cours. Si des éléments nouveaux sont confirmés, cet article sera mis à jour. Si vous constatez une information obsolète, contactez-nous.

Comprendre le risque.
Agir simplement.
Avancer progressivement.

C’est ainsi que l’on reprend le contrôle.

Marc

Laisser un commentaire