Un incident de cybersécurité majeur frappe l’administration fiscale française. La Direction générale des Finances publiques (DGFiP) a confirmé l’existence d’accès illégitimes au fichier national des comptes bancaires, le Fichier des comptes bancaires (FICOBA). Environ 1,2 million de comptes seraient concernés.
Contrairement à certaines cyberattaques exploitant des failles techniques, l’origine de cet incident est liée à l’usurpation des identifiants d’un fonctionnaire disposant d’habilitations dans le cadre d’échanges d’informations entre ministères. Autrement dit, l’accès était légitime à l’origine — c’est l’identité numérique de l’agent qui a été compromise.
Une intrusion détectée après plusieurs jours
Les accès non autorisés ont débuté à la fin janvier 2026. Une fois l’anomalie identifiée, des mesures de restriction immédiates ont été mises en œuvre afin d’interrompre l’attaque, de limiter les consultations et extractions de données, et d’empêcher toute nouvelle exploitation.
Des travaux sont actuellement engagés pour rétablir le service dans des conditions de sécurité renforcées. Les usagers concernés recevront une notification individuelle les informant que leurs données ont pu être consultées.
L’incident a été notifié à la Commission nationale de l'informatique et des libertés (CNIL), et une plainte a été déposée. Les équipes informatiques de la DGFiP travaillent en coordination avec le service du haut fonctionnaire de défense et de sécurité (HFDS) ainsi qu’avec l’Agence nationale de la sécurité des systèmes d'information (ANSSI).
FICOBA : une base sensible par nature
Le FICOBA recense l’ensemble des comptes bancaires ouverts dans les établissements français. Il contient notamment :
- Les coordonnées bancaires (RIB / IBAN)
- L’identité du titulaire
- L’adresse postale
- Dans certains cas, l’identifiant fiscal
Il ne s’agit pas d’une base transactionnelle — les soldes ou opérations n’y figurent pas — mais les informations stockées suffisent à établir un profil financier complet.
Cette centralisation, indispensable pour certaines missions administratives et judiciaires, en fait aussi une cible stratégique pour les cybercriminels.
Pourquoi cette fuite est préoccupante
Un IBAN seul ne permet pas de prélever de l’argent sans autorisation. En revanche, lorsqu’il est associé à l’identité, à l’adresse et à un identifiant fiscal, il devient un outil redoutable pour les escroqueries ciblées.
Le risque principal réside dans :
- Le phishing personnalisé
- L’ingénierie sociale avancée
- L’usurpation d’identité
- Les tentatives de modification frauduleuse de coordonnées bancaires
- Les fraudes administratives
Un message mentionnant des informations exactes inspire confiance. C’est précisément ce levier psychologique que recherchent les attaquants.
Les campagnes frauduleuses pourraient se multiplier dans les semaines suivant la médiatisation de l’incident.
Un rappel clair : l’administration ne demande jamais vos identifiants
La DGFiP insiste sur un point fondamental : elle ne sollicite jamais d’identifiants de connexion ni de numéro de carte bancaire par e-mail ou SMS.
En cas de doute :
- Ne répondez pas directement au message reçu.
- Connectez-vous uniquement via votre espace officiel.
- Contactez votre centre des impôts via la messagerie sécurisée ou par téléphone.
Les fraudeurs exploitent souvent un sentiment d’urgence : remboursement fictif, régularisation immédiate, menace de pénalité. La pression émotionnelle est une technique classique.
Ce que doivent faire les personnes concernées
Même sans notification officielle, certaines mesures de prudence sont recommandées.
Surveiller ses comptes
Activez les alertes bancaires pour chaque opération inhabituelle. Une réaction rapide limite les conséquences financières.
Conserver toute preuve suspecte
En cas de tentative frauduleuse, conservez les e-mails, SMS, adresses web et captures d’écran. Ces éléments peuvent être utiles lors d’un signalement.
Vérifier son exposition numérique
Des données issues de fuites peuvent circuler sur des forums clandestins pendant des années. Une veille régulière sur ses informations personnelles permet de détecter des anomalies précoces.
Se former aux réflexes de base
- Vérifier l’URL complète d’un site
- Se méfier des pièces jointes inattendues
- Utiliser des mots de passe uniques
- Activer l’authentification à deux facteurs
La cybersécurité individuelle devient une composante essentielle de la protection collective.
Une attaque révélatrice d’un problème structurel
Ce type d’incident met en lumière un enjeu central : la gestion des accès privilégiés.
Lorsqu’un agent dispose de droits étendus, son compte devient une cible prioritaire. Les attaquants privilégient souvent la compromission d’identifiants via hameçonnage, malware ou réutilisation de mots de passe plutôt que l’exploitation de vulnérabilités complexes.
La surface d’attaque ne cesse d’augmenter avec la multiplication des interconnexions entre administrations. Plus les systèmes communiquent, plus la gestion fine des habilitations devient critique.
Les organisations publiques doivent désormais intégrer :
- La détection comportementale des connexions inhabituelles
- La segmentation stricte des accès
- La rotation régulière des identifiants sensibles
- Une formation continue des agents
Un seul compte compromis a suffi à exposer plus d’un million de références bancaires.
Un impact durable
Les données bancaires et fiscales ont une longévité élevée. Un IBAN ne change pas fréquemment. L’identité et l’adresse sont des informations stables. Cela signifie que les données exfiltrées peuvent rester exploitables longtemps.
Les cybercriminels stockent et recoupent les bases issues de différentes fuites. Avec le temps, ces ensembles de données deviennent encore plus précis et dangereux.
La vigilance ne doit donc pas se limiter aux semaines suivant l’incident. Elle doit s’inscrire dans la durée.
Ce qu’il faut retenir
- L’attaque repose sur l’usurpation d’identifiants d’un agent habilité.
- Environ 1,2 million de comptes sont concernés.
- Les données incluent IBAN, identité, adresse et parfois identifiant fiscal.
- Les risques majeurs concernent l’ingénierie sociale et l’usurpation d’identité.
- Une notification individuelle est prévue pour les usagers concernés.
Cet épisode rappelle une réalité fondamentale : la protection des données financières ne dépend pas uniquement des banques. Elle repose sur l’ensemble de l’écosystème administratif et sur la capacité collective à anticiper les menaces numériques.
Dans un contexte où les escroqueries évoluent sans cesse, l’information et la vigilance restent les premières lignes de défense.