1,2 million de comptes bancaires. RIB, IBAN, identité, adresse postale, parfois même le numéro fiscal. Tout ça, accessible pendant des semaines à un inconnu qui avait volé les identifiants d’un fonctionnaire.

Le ministère des Finances a confirmé le 18 février qu’un pirate avait réussi à s’introduire dans FICOBA, le fichier national des comptes bancaires. Ce registre, géré par la Direction générale des Finances publiques (DGFiP), recense la totalité des comptes ouverts dans les banques françaises. C’est, en quelque sorte, l’annuaire bancaire de la France entière.

Comment un seul mot de passe a suffi

L’attaque n’a rien de spectaculaire sur le plan technique. Fin janvier 2026, le pirate a mis la main sur les identifiants d’un agent de l’État qui disposait d’un accès à la plateforme d’échange interministériel. Pas de faille zero-day, pas de malware sophistiqué. Juste un login et un mot de passe, probablement récupérés par phishing ou achetés sur un marché noir.

Avec ces accès, l’intrus a pu consulter une partie de FICOBA pendant plusieurs semaines avant que la DGFiP ne détecte l’anomalie. Le communiqué officiel du ministère parle de « données concernant 1,2 million de comptes » potentiellement exfiltrées. BleepingComputer, qui a révélé l’affaire à l’international, précise que les données volées incluent les coordonnées bancaires complètes, l’identité des titulaires et leur adresse physique.

À lire aussi

Figure, géant fintech du prêt en ligne, confirme une fuite de données massive
Objets connectés : pourquoi votre maison est probablement une passoire de sécurité

L’ANSSI et la CNIL sur le coup

Dès la détection de l’intrusion, les équipes de la DGFiP ont coupé les accès compromis. Le système FICOBA a été mis hors ligne le temps de renforcer sa sécurité. Le ministère travaille avec l’ANSSI (l’agence nationale de cybersécurité) pour colmater les brèches et remettre le service en état.

La CNIL a été notifiée, comme l’exige le RGPD. Les personnes dont les données ont été exposées recevront une notification individuelle « dans les prochains jours », promet le ministère. Les banques françaises ont aussi été prévenues pour qu’elles alertent leurs clients.

Gare aux arnaques qui vont suivre

C’est la conséquence directe de ce type de fuite. Avec un RIB, un nom, une adresse et un numéro fiscal, les escrocs disposent d’un kit parfait pour monter des campagnes de phishing ultra ciblées. Le ministère prévient que « de nombreuses tentatives d’escroqueries circulent par courriel ou SMS » et rappelle que l’administration fiscale ne demande jamais de coordonnées bancaires ni de code de carte par message.

Le timing est redoutable. En pleine période de déclaration de revenus, ce genre de données vaut de l’or pour les arnaqueurs. Un SMS bien ficelé qui mentionne votre banque et votre adresse a toutes les chances de tromper sa cible.

Un mot de passe, zéro barrière

Cette attaque soulève une question gênante. Pourquoi un fichier aussi sensible que FICOBA, qui contient les coordonnées bancaires de millions de Français, était-il accessible avec un simple couple login/mot de passe ? Pas d’authentification multifacteur, visiblement, ou alors elle a été contournée.

Le ministère n’a pas précisé de date de remise en service de FICOBA. Les travaux de sécurisation sont « en cours ». La plainte a été déposée.