Le fichier national des comptes bancaires, le fameux FICOBA, a été illégalement consulté pendant plus deux semaines. Les Finances publiques reviennent sur cet épisode cyber qui concerne 1,2 million de Français.
Du 28 janvier au 13 février 2016, un pirate s'est invité dans le FICOBA, le registre géré par la Direction générale des Finances publiques (DGFiP). Le fichier, l'un des plus sensibles de l'administration française, comporte des informations sur l'état civil, l'adresse postale et les coordonnées bancaires de 1,2 million de personnes. Le cybercriminel y a eu accès après avoir subtilisé les identifiants d'un fonctionnaire. Aujourd'hui, les services de Bercy reviennent sur cet épisode, et en profitent pour faire quelques rappels utiles.
Le FICOBA piraté, retour sur une intrusion qui a duré seize jours dans l'ombre
Le FICOBA est en quelque sorte le grand carnet bancaire de la France. Ce registre recense tous les comptes ouverts dans les établissements français, et il contient de très nombreuses données qui, tombées entre de mauvaises mains, peuvent devenir redoutables. Fin janvier 2026, un acteur malveillant s'y est faufilé, non pas en forçant une porte blindée, mais en empruntant discrètement la clé d'un fonctionnaire autorisé, si l'on devait schématiser.
Plutôt que de s'attaquer frontalement aux serveurs de la DGFiP, une opération autrement plus risquée, le pirate a misé sur l'ingénierie sociale pour voler les identifiants d'un agent pour se connecter comme s'il était chez lui, sans éveiller les soupçons. Une méthode pas forcément très évoluée d'un point de vue technique, mais très efficace face à des systèmes accessibles à des agents issus de nombreux ministères différents.
L'intrusion a duré du 28 janvier au 13 février 2026, date à laquelle la DGFiP a détecté et coupé l'accès. Au bilan, les données de 1,2 million de titulaires ont été consultées, voire peut-être extraites, soit un peu moins de 1% du fichier FICOBA.
Ce que vous risquez vraiment, et les bons réflexes à adopter
Une fois l'intrusion détectée, l'État n'a pas traîné avec des accès coupés, une plainte déposée, la CNIL saisie, et plusieurs services mobilisés en parallèle. Une réaction saluée par les experts, comme Benoit Grünemwald (ESET France), qui y voit « un haut niveau de maturité ». Mais le spécialiste le souligne : si la réponse a été bonne, la faille, elle, était évitable. Trop d'agents issus de trop de ministères différents accédaient au même fichier sensible, sans contrôle suffisant.
Alors quels sont les risques, pour les personnes qui ont vu leurs données être consultées et/ou récoltées ? Pour Bercy, il est inutile de céder à la panique. Les données exposées (nom, adresse, IBAN) ne permettent pas d'accéder à votre compte, de connaître votre solde ou de valider des opérations à votre place. Quant à l'IBAN, il ne suffit pas à vider un compte, puisque pour effectuer un vrai prélèvement frauduleux, un escroc devrait créer un faux mandat et s'enregistrer officiellement auprès d'une banque. Ce n'est pas à la portée du premier venu.
Mais le risque zéro n'existe pas, et pire, tout danger est loin d'être écarté. Car munis de votre nom, adresse et IBAN, des escrocs pourraient tenter de se faire passer pour votre banque ou pour la DGFiP afin de vous soutirer codes ou numéro de carte. Vous devez avoir à l'esprit que ni votre banque ni l'administration fiscale ne vous demanderont jamais ces informations par message. Au moindre doute, consultez la toujours très utile plateforme cybermalveillance.gouv.fr, et prévenez votre banque pour une mise sous vigilance renforcée.
