Une fuite sans précédent a compromis les données bancaires de plusieurs centaines de milliers de françaises et français… et il n’y a pas grand-chose à faire.
On écrivait hier que la France était le deuxième pays le plus vulnérable aux piratages et fuites de données. On ne pensait pas si bien dire : dans la journée, la Direction générale des finances publiques (DGFiP) annonçait qu’une faille hors norme avait permis la consultation frauduleuse du compte bancaire de 1,2 million de citoyen·nes. Voici ce que l’on sait de ces « accès illégitimes » au lendemain de l’annonce.
Le fichier national des comptes bancaires compromis
Dans son communiqué, la DGFiP retrace l’origine de la fuite jusqu’au fichier national des comptes bancaires (Ficoba). « À compter de la fin janvier 2026, un acteur malveillant, qui a usurpé les identifiants d’un fonctionnaire disposant d’accès dans le cadre de l’échange d’informations entre ministères, a pu consulter une partie de ce fichier qui recense l’ensemble des comptes bancaires ouverts dans les établissements bancaires français », indique Bercy.
Dans le détail, les données concernées sont l’identifiant bancaire Iban, l’identité du titulaire du compte, son adresse postale et, dans certains cas, l’identifiant fiscal de l’usager. La Fédération bancaire française ajoute que la date et le lieu de naissance peuvent aussi figurer dans les données consultées par le ou les « acteurs malveillants ».
Interrogée par l’AFP, la DGFiP tente de rassurer, et précise que le fichier Ficoba « ne permet pas de consulter les soldes des comptes bancaires, a fortiori de faire des opérations ». Dès la détection de ces accès frauduleux, « des mesures immédiates de restriction d’accès ont été mises en œuvre afin de stopper l’attaque » et limiter l’ampleur des dégâts, ajoute encore la Direction générale des finances publiques.
Quels sont les risques pour les usagers ?
Les titulaires des comptes concernés seront notifiés dans les prochains jours, indique Bercy. Dans tous les cas, la plus grande prudence est de mise. Les informations dont il est question sont extrêmement sensibles, et peuvent permettre à des personnes malintentionnées de souscrire des abonnements en ligne ou, pire, d’émettre des demandes de prélèvements bancaires.
« À partir d’un Iban, de faux créanciers peuvent demander l’exécution de prélèvements », explique la DGFIP. Pour ce faire, deux conditions doivent être réunies. La première est que le fraudeur soit enregistré en tant que prestataire de services de paiements. La seconde, qu’il puisse émettre des mandats de prélèvement. Le cas échéant, le cybercriminel peut les « falsifier vers des Iban qu’il a obtenus illégalement et ainsi récupérer les fonds ».
Enfin, comme souvent dans pareille situation, les pirates peuvent croiser ces données avec d’autres obtenues lors de précédents piratages (on rappelle qu’il s’agit déjà de la 28e fuite de données au mois de février, d’après le décompte de Bonjour la fuite) et ainsi mettre en place des méthodes de phishing très élaborées.
