La DGFIP a détecté des accès illégitimes au fichier national des comptes bancaires (FICOBA) ayant permis la consultation des données de 1,2 million de comptes depuis la fin janvier 2026. Les données exposées incluent les coordonnées bancaires (RIB/IBAN), l’identité des titulaires, leur adresse postale et, dans certains cas, leur identifiant fiscal.
Le FICOBA recense l’ensemble des comptes bancaires ouverts dans les établissements français. C’est l’une des bases de données financières les plus sensibles de l’État, normalement accessible uniquement à des agents habilités dans des cadres stricts. Une brèche à cette échelle est donc inédite.
Dans un communiqué, le ministère de l’Économie tempère à sa façon en ce qui concerne la gravité immédiate : « l’accès au contenu des comptes ne semble pas concerné ». Les soldes et historiques de transactions n’auraient pas été atteints, ce qui réduit le risque de détournement direct de fonds, sans l’éliminer.
Un vol grâce à l’usurpation d’identifiants
L’acteur malveillant n’a pas contourné de pare-feu ni exploité une faille technique : il a usurpé les identifiants d’un fonctionnaire disposant d’un accès légitime au FICOBA dans le cadre des échanges d’information inter-ministères. Autrement dit, il s’est authentifié avec des identifiants valides, ce qui rend la détection structurellement plus difficile et soulève des questions sur les mécanismes de surveillance des accès aux bases de données sensibles de l’État.
Une fois l’intrusion identifiée par les équipes de la DGFIP, des mesures de restriction d’accès ont été déployées pour stopper l’attaque et limiter le volume de données extraites. Le ministère indique dans son communiqué que ces mesures visaient à « stopper l’attaque, limiter l’ampleur des données consultées et extraites de cette base ».
Les Français vont recevoir une notification
La gestion de l’incident mobilise simultanément les équipes informatiques de la DGFIP, le service du haut fonctionnaire de défense et de sécurité (HFDS) du ministère des Finances, et l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Leur mission couvre à la fois le traitement de l’incident en cours et le renforcement de la sécurité du système d’information pour prévenir toute récidive.
Sur le plan réglementaire, l’incident a été notifié à la Commission nationale de l’informatique et des libertés (CNIL), conformément aux obligations du RGPD en matière de violations de données personnelles. Une plainte a également été déposée.
Les 1,2 million de personnes concernées recevront une notification individuelle dans les prochains jours pour les informer que leurs données ont pu être consultées. Les établissements bancaires ont par ailleurs déjà été contactés et sont appelés à sensibiliser leurs clients à la vigilance.
Ce dernier point est crucial : les données exposées (IBAN, identité et adresse) constituent un profil suffisamment complet pour alimenter des campagnes de phishing ciblées ou des tentatives de fraude par usurpation d’identité. Le risque n’est pas tant le virement frauduleux immédiat que la vague d’arnaques qui pourrait suivre dans les semaines à venir.
Avec un IBAN zencore une fois on fait pas grand chose SAUF un virement vers cette IBAN (et pas un virement de cet IBAN vers un autre), donc au pire on recevra de l’argent.
Quand votre banque est serieuse, pour tout virement vers une societe, elle DOIT vous demander si c’est OK et vous devez signer une demande SEPA donc encore une fois no stress (si c’est pas le cas c’est la banque qui vous remboursera, vous verra dans ce cas, la banque réagit tres vite).
Cas ou on vous contacte pour vous soutirer vos coordonnées bancaires, il faut se mettre à la page, aller sur internet pour recuperer des formations voous disant comment faire attention , de quoi se mefier, des ascctuces, des mots clés devant déclancher chez vous des warning MAIS que l’on vous volé votre IBAN ou pas ça ne change strictement rien. Si on vous vous voler vos coordonnées, les voleurs essayeront avec ou sans IBAN.
Donc on ne stresse pas et on ne se noie pas dans un verre d’eau.
pour finir, la seccurité bullet proof n’existe pas ou pas encore et si l’humain est dans le process, alors ce sera tréééééés souvent lui le maillon faible sur lequel compte les voleurs.