Piratage du FICOBA : 1,2 million de Français exposés aux arnaques bancaires

Par rac le 20.02.2026 20.02.2026

Illustration cybersécurité : piratage du fichier FICOBA de la DGFiP exposant les coordonnées bancaires de 1,2 million de Français

Un « acteur malveillant » a exfiltré les noms, adresses, IBAN et identifiants fiscaux de 1,2 million de titulaires de comptes bancaires en piratant le fichier FICOBA, géré par la Direction générale des finances publiques. Révélée le 18 février, cette intrusion active depuis fin janvier ouvre la porte à des campagnes massives de prélèvements frauduleux, de phishing et d'escroqueries ciblées.

C'est l'un des fichiers les plus sensibles de l'État français qui a été compromis. Le FICOBA – Fichier national des comptes bancaires et assimilés – recense près de 300 millions de comptes ouverts dans les établissements bancaires du pays. Il contient, pour chaque compte, l'identité du titulaire, ses coordonnées bancaires complètes (RIB et IBAN), son adresse postale et, dans certains cas, son identifiant fiscal, sa date et son lieu de naissance.

Selon le ministère de l'Économie, le pirate a usurpé les identifiants d'un fonctionnaire disposant d'accès inter-ministériels pour s'introduire dans le système. L'intrusion, restée active pendant plusieurs semaines avant d'être détectée, a permis la consultation et l'extraction des données de 1,2 million de comptes. « Des mesures de restriction d'accès ont été mises en œuvre dès la détection afin de stopper l'attaque et limiter l'ampleur des données consultées et extraites », a indiqué la DGFiP dans un communiqué.

Des données idéales pour des arnaques sur mesure

Si la DGFiP assure que l'accès au fichier « ne permet pas de consulter les soldes des comptes bancaires, a fortiori de faire des opérations », les informations dérobées constituent un arsenal redoutable pour les cybercriminels. La combinaison IBAN, identité, adresse et identifiant fiscal permet de construire des messages d'hameçonnage à très forte crédibilité : un escroc peut se présenter comme un interlocuteur bancaire ou fiscal en citant des éléments personnels vérifiables par la victime.

Le risque le plus immédiat concerne les prélèvements frauduleux. Avec un IBAN et l'identité du titulaire, un fraudeur peut tenter de mettre en place des mandats de prélèvement SEPA au nom de faux créanciers. Les victimes ne s'en aperçoivent souvent qu'en consultant leur relevé bancaire, parfois plusieurs semaines après les faits.

La Fédération bancaire française (FBF) a d'ores et déjà appelé à la « plus grande vigilance ». Elle recommande de surveiller au moins une fois par semaine les opérations par prélèvement débitées sur son compte et de vérifier régulièrement la liste des créanciers autorisés depuis son espace bancaire en ligne. En cas de prélèvement non autorisé, le Code monétaire et financier protège les victimes, qui disposent de treize mois pour contester l'opération auprès de leur banque.

Des failles systémiques dans la sécurité de l'État

Cette affaire soulève des interrogations sur les dispositifs de protection des fichiers administratifs les plus sensibles du pays. L'attaque a été rendue possible par la simple usurpation d'identifiants d'un agent – ce qui pose la question de l'authentification forte. Le FICOBA était-il protégé par une double authentification ? Des mécanismes de détection d'anomalies ou de surveillance des connexions atypiques étaient-ils en place ?

Le syndicat Solidaires Finances Publiques a réagi fermement : « La sécurité n'est pas une option », dénonçant des moyens insuffisants alloués à la protection des systèmes d'information de l'administration fiscale. L'incident a été notifié à la CNIL et fait l'objet d'un dépôt de plainte. L'ANSSI, l'agence nationale de sécurité des systèmes d'information, a été mobilisée pour renforcer les protocoles de sécurité.

Ce piratage s'inscrit dans une série préoccupante de fuites de données touchant les administrations françaises. Fin 2025, le ministère de l'Intérieur avait déjà été visé, exposant les données de 16 millions de citoyens. Plus récemment, la plateforme HubEE, utilisée pour les échanges entre administrations, a vu 160 000 documents sensibles dérobés. Chaque nouvel incident fragilise un peu plus la confiance entre les citoyens et leurs institutions – un lien pourtant essentiel au consentement à l'impôt.

Les usagers concernés recevront dans les prochains jours une notification individuelle de la DGFiP. En attendant, la vigilance reste le meilleur rempart : ne jamais communiquer ses identifiants bancaires par e-mail ou SMS, même à un interlocuteur se présentant comme un agent du fisc.