Passer au contenu principal

Breach FICOBA : 1,2 million de comptes bancaires compromis par vol de credentials

Romain Grosos

Breach FICOBA : 1,2 million de comptes bancaires compromis par vol de credentials

Fin janvier 2026, un acteur malveillant a accédé illégalement au FICOBA (Fichier National des Comptes Bancaires et Assimilés), le registre tenu par la DGFiP recensant l'ensemble des comptes bancaires ouverts en France. L'intrusion s'est étendue sur plusieurs semaines avant détection. 1,2 million de comptes ont été consultés et exfiltrés. Le Ministère de l'Économie a communiqué le 18 février 2026.

L'incident est présenté dans le communiqué officiel comme « rapidement maîtrisé ». Cette formulation mérite d'être questionnée.

FICOBA : un fichier à 300 millions d'entrées

Le FICOBA ne recense pas 1,2 million de comptes. Il en recense environ 300 millions : comptes courants, livrets d'épargne, comptes-titres, comptes de sociétés, ouverts dans tous les établissements financiers opérant en France. Pour chaque compte, le fichier contient :

  • Coordonnées bancaires : RIB complet, IBAN
  • Identité du titulaire : nom, prénom, date et lieu de naissance
  • Adresse postale du titulaire
  • Établissement bancaire
  • Identifiant fiscal (SPI) dans certains cas

Ce fichier est géré par la DGFiP et consulté dans le cadre d'échanges inter-ministériels légitimes : contrôle fiscal, recouvrement, judiciaire, lutte contre la fraude. Il n'est pas accessible au grand public. Les 1,2 million de comptes exfiltrés représentent environ 0,4 % du total, mais la portée de l'exposition est sans rapport avec ce pourcentage.

Credential compromise : l'attaquant avait la clé

Le communiqué indique explicitement que l'attaquant « a usurpé les identifiants d'un fonctionnaire disposant d'accès dans le cadre de l'échange d'information entre ministères ». Il ne s'agit pas d'une exploitation de vulnérabilité applicative, pas d'un SQLi, pas d'une RCE. L'attaquant avait des credentials légitimes. Ses requêtes au fichier étaient conformes du point de vue du système : un agent autorisé consultait des fiches.

Le vecteur précis de compromission des credentials (phishing ciblé, infostealer, accès au poste de l'agent) n'a pas été officiellement communiqué à ce jour.

Ce que l'architecture n'a pas fait

L'intrusion s'est étendue sur plusieurs semaines avant détection. Cela implique a minima l'absence de deux mécanismes pourtant standards pour des bases aussi sensibles :

  • Authentification à facteurs multiples (MFA) : un identifiant compromis suffit à ouvrir l'accès. Sur les services bancaires en ligne grand public, le MFA est obligatoire depuis la directive DSP2. Sur le FICOBA, il ne l'était visiblement pas.
  • Alerting sur les volumes de consultation : exfiltrer 1,2 million d'entrées génère un volume de requêtes anormal. L'absence d'alerte pendant plusieurs semaines indique soit un défaut de surveillance comportementale (UEBA), soit des seuils d'alerte inexistants ou non calibrés.

S'y ajoute la question du principe du moindre privilège : un fonctionnaire dont la mission ne nécessite pas l'accès à des centaines de milliers d'entrées ne devrait pas pouvoir en exfiltrer autant. La granularité des droits d'accès au FICOBA n'a pas été documentée publiquement.

Le risque réel : bien au-delà du phishing générique

Les données compromises ne permettent pas d'effectuer un achat en ligne ou un virement. Ce n'est pas de la fraude à la carte. C'est plus précis, et potentiellement plus durable.

Prélèvement SEPA frauduleux

Un IBAN suffit pour initier un prélèvement SEPA Core. Le mécanisme : un créancier (réel ou fictif) crée un mandat de prélèvement, le signe et le transmet à sa banque. La banque exécute. Le débiteur est prélevé. Il dispose de 8 semaines pour contester, 13 mois s'il n'a pas autorisé le mandat. Le délai de détection et de contestation est long, et le processus impose au débiteur d'agir.

Avec 1,2 million d'IBAN dans la nature, les tentatives de prélèvements frauduleux vont mécaniquement augmenter. Le scénario cible en priorité les particuliers peu attentifs à leurs relevés et les TPE/PME dont la gestion des prélèvements entrants est peu surveillée.

Usurpation d'identité fiscale

Le numéro fiscal (SPI), présent dans une partie des données exfiltrées, combiné à l'identité complète et à l'adresse, permet de construire des usurpations d'identité auprès de l'administration fiscale elle-même : demandes de remboursement de trop-perçu, accès à l'espace personnel impots.gouv.fr par réinitialisation d'identifiants. Ce vecteur est moins médiatisé mais plus difficile à détecter pour la victime.

Spear phishing haute crédibilité

La combinaison IBAN + identité + adresse + établissement bancaire + numéro fiscal constitue un kit de phishing ciblé de haute valeur. Un fraudeur peut contacter la victime en se faisant passer pour sa banque, pour la DGFiP, ou pour un créancier, avec des informations qu'un interlocuteur légitime pourrait effectivement détenir. Le Ministère lui-même alerte sur ce risque dans son communiqué. La crédibilité des attaques de ce type est sans commune mesure avec les campagnes de phishing de masse.

Les données ne périmèrent pas : un IBAN ne change pas sauf démarche active du titulaire. L'identité, l'adresse fiscale, le numéro fiscal sont stables. La valeur de ce corpus pour un attaquant est donc longue durée.

Des lacunes structurelles plus que techniques

Le syndicat Solidaires Finances Publiques est explicite dans sa réaction : « Ce sont des choix politiques qui ont privilégié les nouveaux projets informatiques, au détriment de la sécurisation d'applications historiques pourtant critiques comme Ficoba. » La formule est syndicale mais l'observation est documentée : le FICOBA est une application ancienne, maintenue dans un contexte de contrainte budgétaire et de réorganisations successives.

Les lacunes identifiées (MFA absent, surveillance comportementale défaillante, cloisonnement des droits) ne sont pas des oublis techniques ponctuels. Elles reflètent un arbitrage entre disponibilité opérationnelle, coût d'intégration et sécurité dans un système inter-ministériel vieillissant. Les échanges de données entre administrations multiplient les points d'accès : chaque nouvelle interconnexion crée une surface d'attaque supplémentaire si elle n'est pas accompagnée d'une révision des contrôles d'accès.

Ce n'est pas un incident isolé. Le site bonjourlafuite.eu.org recense les fuites dans les administrations françaises : le Ministère de l'Intérieur aurait également été touché fin 2025. La DGFiP n'est pas un cas particulièrement défaillant : elle est la cible la plus visible d'une tendance de fond.

Réponse et notifications

Dès détection : restriction immédiate des accès compromis, mobilisation du HFDS et de l'ANSSI, notification à la CNIL (article 33 RGPD, obligation sous 72h), dépôt de plainte. La DGFiP a confirmé qu'elle contactera individuellement les 1,2 million d'usagers concernés, par courriel et via leurs banques.

Les personnes concernées peuvent signaler toute tentative de fraude sur cybermalveillance.gouv.fr. La vigilance porte en priorité sur les mouvements de compte inhabituels, les demandes de validation de mandat SEPA non sollicitées, et toute communication prétendant émanant de la DGFiP ou d'un établissement bancaire.

Sources

Accès illégitimes au fichier national des comptes bancaires (FICOBA) - Presse - Ministère des Finances
COMMUNIQUÉ DE PRESSE Paris, le 18 février 2026 N°401 Accès illégitimes au fichier national des comptes bancaires (FICOBA) Des investigations menées par la Direction Générale des Finances publiques (DGFiP) ont permis d’identifier des accès illégitimes au fichier national des comptes bancaires (FICOBA). A compter de la fin janvier 2026, un acteur malveillant, […]
Presse - Ministère des FinancesElvire MACE
Fuite de données personnelles du fichier national des comptes bancaires (FICOBA) : la Banque de France invite à adopter les bons réflexes pour se prémunir contre les risques de fraudes | Banque de France
La direction générale des Finances publiques (DGFiP) a indiqué que « des accès illégitimes » au fichier national des comptes bancaires (FICOBA) ont été effectués par un « acteur malveillant ». Les données personnelles divulguées comprennent des « coordonnées bancaires (RIB / IBAN), l’identité du titulaire, l’adresse, et, dans certains cas, l’identifiant fiscal de l’usager ». Les personnes concernées seront alertées dans les prochains jours qu’ « un accès à leurs données a pu être constaté ».
Banque de France
Fichier bancaire piraté : le hacker a usurpé les accès d’un agent public
Un pirate a usurpé les identifiants d’un fonctionnaire pour accéder au Ficoba, le registre de tous les comptes bancaires ouverts en France. 1,2 million de personnes sont concernées. Un expert analyse cette nouvelle fuite d’ampleur.
La Tribune
Vol des données FICOBA : ce n’est pas un couac administratif, c’est une catastrophe. Voici pourquoi. - Droit & Technologies
FICOBA : 1,2 million de comptes exposés. Pourquoi ce n’est pas un incident administratif, mais un risque concret de fraude.
Droit & TechnologiesEtienne Wery
Fuite de données à la DGFiP : la sécurité n’est pas une option !
Ce 18 février , les médias révélaient qu’une fuite de données avait touché l’application Ficoba (Fichier National des comptes bancaires) de la Dire…
Solidaires Finances PubliquesSolidaires Finances Publiques
CHAPITRE IV - Responsable du traitement et sous-traitant
Modifié par Rectificatif au règlement (UE) 2016/679 JOUE L127 2 du 23/05/2018 Section 1 - Obligations générales
Accueil
Que faire en cas de phishing ou hameçonnage ?
Qu’est-ce que le phishing ou hameçonnage ? Victime de phishing par email, que faire ? Comment signaler un mail de phishing ? Comment s’en protéger ? Les recommandations de Cybermalveillance.gouv.fr pour votre cybersécurité.
CybermalveillanceCybermalveillance