La DGFIP a détecté des accès illégitimes au fichier national des comptes bancaires (FICOBA) ayant permis la consultation des données de 1,2 million de comptes depuis la fin janvier 2026. Les données exposées incluent les coordonnées bancaires (RIB/IBAN), l’identité des titulaires, leur adresse postale et, dans certains cas, leur identifiant fiscal.
Le FICOBA recense l’ensemble des comptes bancaires ouverts dans les établissements français. C’est l’une des bases de données financières les plus sensibles de l’État, normalement accessible uniquement à des agents habilités dans des cadres stricts. Une brèche à cette échelle est donc inédite.
Dans un communiqué, le ministère de l’Économie tempère à sa façon en ce qui concerne gravité immédiate : « l’accès au contenu des comptes ne semble pas concerné ». Les soldes et historiques de transactions n’auraient pas été atteints, ce qui réduit le risque de détournement direct de fonds, sans l’éliminer.
Un vol grâce à l’usurpation d’identifiants
L’acteur malveillant n’a pas contourné de pare-feu ni exploité une faille technique : il a usurpé les identifiants d’un fonctionnaire disposant d’un accès légitime au FICOBA dans le cadre des échanges d’information inter-ministères. Autrement dit, il s’est authentifié avec des identifiants valides, ce qui rend la détection structurellement plus difficile et soulève des questions sur les mécanismes de surveillance des accès aux bases de données sensibles de l’État.
Une fois l’intrusion identifiée par les équipes de la DGFIP, des mesures de restriction d’accès ont été déployées pour stopper l’attaque et limiter le volume de données extraites. Le ministère indique dans son communiqué que ces mesures visaient à « stopper l’attaque, limiter l’ampleur des données consultées et extraites de cette base ».
Les Français vont recevoir une notification
La gestion de l’incident mobilise simultanément les équipes informatiques de la DGFIP, le service du haut fonctionnaire de défense et de sécurité (HFDS) du ministère des Finances, et l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Leur mission couvre à la fois le traitement de l’incident en cours et le renforcement de la sécurité du système d’information pour prévenir toute récidive.
Sur le plan réglementaire, l’incident a été notifié à la Commission nationale de l’informatique et des libertés (CNIL), conformément aux obligations du RGPD en matière de violations de données personnelles. Une plainte a également été déposée.
Les 1,2 million de personnes concernées recevront une notification individuelle dans les prochains jours pour les informer que leurs données ont pu être consultées. Les établissements bancaires ont par ailleurs déjà été contactés et sont appelés à sensibiliser leurs clients à la vigilance.
Ce dernier point est crucial : les données exposées (IBAN, identité et adresse) constituent un profil suffisamment complet pour alimenter des campagnes de phishing ciblées ou des tentatives de fraude par usurpation d’identité. Le risque n’est pas tant le virement frauduleux immédiat que la vague d’arnaques qui pourrait suivre dans les semaines à venir.
![image produit Astérix - Le Domaine des Dieux + Le Secret de la Potion Magique [DVD]](https://kulturegeek.fr/comparateur/img_products/7714/coffret-dvd-asterix-le-secret-de-la-potion-magique-le-domaine-des-dieux-22806_thumb.jpg)
Un commentaire pour cet article :