Skip to content
Retour au blog
fuites-donnéescybersécuritédonnées-personnellesFrance

DGFiP : 1,2 million de comptes bancaires exposés via le fichier FICOBA

En février 2026, un attaquant a accédé au fichier national des comptes bancaires (FICOBA) de la DGFiP pendant 16 jours grâce à des identifiants usurpés d'un fonctionnaire. IBAN, identités, adresses : retour sur une fuite qui fragilise la confiance dans l'administration fiscale.

Thomas Ferreira13 min de lecture

Le 18 février 2026, le ministère de l'Économie annonce ce que beaucoup redoutaient depuis des mois : le fichier national des comptes bancaires a été piraté. 1,2 million de comptes bancaires exposés. Pas un simple fichier clients d'une enseigne commerciale — le registre central qui recense la totalité des comptes ouverts dans les établissements bancaires français.

Le fichier en question s'appelle FICOBA. Il est géré par la Direction Générale des Finances Publiques (DGFiP), l'administration fiscale française. Il contient les données de plus de 300 millions de comptes rattachés à 80 millions de personnes. Et pendant 16 jours, un intrus a pu y naviguer sans être détecté.

Ce qui s'est passé

FICOBA : le registre que personne ne connaît

FICOBA — Fichier national des comptes bancaires et assimilés — est une base de données créée en 1971. Son rôle est simple : recenser tous les comptes bancaires, comptes d'épargne, comptes-titres et coffres-forts ouverts en France. Chaque ouverture, modification ou clôture de compte est transmise à ce fichier par les établissements bancaires.

Ce fichier est utilisé quotidiennement par l'administration fiscale, les notaires dans le cadre des successions, les huissiers dans le cadre du recouvrement, et d'autres services de l'État dans le cadre des échanges interministériels. C'est un outil de travail courant — et c'est précisément ce qui en fait une cible de choix.

Un fonctionnaire fantôme pendant 16 jours

L'attaque n'a pas mobilisé de faille technique. Pas d'exploit zero-day, pas de logiciel malveillant, pas de porte dérobée dans le code. L'attaquant a fait bien plus simple : il a volé les identifiants d'un fonctionnaire.

Ce fonctionnaire disposait d'un accès à FICOBA dans le cadre de l'échange d'informations entre ministères — un accès légitime, prévu par les procédures. L'attaquant a usurpé ces identifiants et s'est connecté au système comme s'il était ce fonctionnaire.

Du 28 janvier au 13 février 2026, soit pendant 16 jours consécutifs, il a consulté et extrait des données. Les équipes de la DGFiP ont détecté l'activité suspecte et coupé l'accès le 13 février. Le communiqué officiel est arrivé cinq jours plus tard, le 18 février.

Ce qui a fuité

Pour chacun des 1,2 million de comptes consultés, les données exposées sont :

  • Coordonnées bancaires complètes : RIB et IBAN
  • Identité du titulaire : nom, prénom
  • Adresse postale
  • Date et lieu de naissance
  • Identifiant fiscal (dans certains cas)

La DGFiP a tenu à préciser que les soldes des comptes n'étaient pas accessibles via FICOBA et que les données extraites ne permettent pas, en elles-mêmes, de réaliser des opérations bancaires.

C'est techniquement exact. C'est aussi très insuffisant comme réponse.

L'IBAN, une arme entre de mauvaises mains

La communication officielle insiste sur le fait que les données volées « ne suffisent pas à la réalisation d'opérations bancaires ». C'est un message que la Fédération bancaire française (FBF) a relayé pour rassurer les clients. Mais les experts en cybersécurité sont nettement moins optimistes.

Des prélèvements frauduleux bien réels

Un IBAN, combiné à l'identité et à l'adresse du titulaire, permet d'émettre des mandats de prélèvement SEPA. Un fraudeur enregistré auprès d'un prestataire de services de paiement comme créancier autorisé peut initier des prélèvements sur un compte dont il possède l'IBAN. La victime ne s'en aperçoit qu'en consultant ses relevés — parfois plusieurs semaines après le fait.

L'Observatoire de la sécurité des moyens de paiement recommande aux personnes potentiellement concernées de vérifier et mettre à jour la liste des créanciers autorisés ou interdits sur leur espace bancaire en ligne. C'est un conseil pertinent, mais combien de titulaires de compte savent seulement que cette fonctionnalité existe ?

L'enrichissement par croisement de données

Un fichier de 1,2 million d'IBAN avec noms, adresses et dates de naissance est un outil d'enrichissement redoutable. La France a connu ces derniers mois une série de fuites majeures — Free Mobile, SFR, Boulanger, France Travail, Viamedis — qui ont disséminé des millions d'adresses email, de numéros de téléphone et de numéros de Sécurité sociale.

En croisant les données FICOBA avec ces fichiers déjà en circulation, un attaquant peut constituer des profils complets : nom, adresse, email, téléphone, employeur, IBAN, numéro fiscal. Un dossier suffisant pour ouvrir un crédit en ligne, souscrire un abonnement, ou monter une arnaque téléphonique sur mesure.

Le précédent des enlèvements crypto

La fuite FICOBA s'inscrit dans un contexte particulièrement tendu. En juin 2025, une agente des impôts d'Île-de-France, Ghalia C., a été mise en examen pour avoir transmis à des criminels des données fiscales confidentielles extraites du logiciel interne « Mira ». Ces informations ont servi à identifier des investisseurs en cryptomonnaies, qui ont ensuite fait l'objet d'enlèvements et de séquestrations pour extorsion.

Ce cas illustre le danger spécifique des données fiscales : elles permettent d'identifier la richesse — ou la richesse perçue — d'un individu. Un identifiant fiscal, combiné à un IBAN et à une adresse, désigne une cible. La fuite FICOBA n'a pas la même origine (piratage externe vs complicité interne), mais elle met les mêmes types de données dans la nature.

L'absence de double authentification : la faille béante

Plusieurs médias spécialisés et experts en sécurité ont soulevé une question que la DGFiP n'a pas abordée dans ses communiqués : le compte du fonctionnaire dont les identifiants ont été volés était-il protégé par une authentification multi-facteurs (MFA) ?

Benoît Grunemwald, expert chez ESET France, a qualifié l'incident de « défaillance organisationnelle, pas une vulnérabilité technique ». En clair : le système fonctionnait comme prévu, mais les mesures de sécurité autour de l'accès étaient insuffisantes.

Si l'accès à FICOBA reposait sur un simple couple identifiant/mot de passe, sans second facteur d'authentification (code par SMS, application de vérification, clé physique FIDO2), la DGFiP se retrouve en difficulté face à l'article 32 du RGPD, qui impose des « mesures techniques et organisationnelles appropriées » pour protéger les données personnelles.

Pour une base de données contenant les coordonnées bancaires de 80 millions de personnes, le minimum attendu serait une clé physique FIDO2, voire une authentification biométrique. Le silence de la DGFiP sur ce point en dit long.

La détection tardive : 16 jours dans la nature

L'autre question gênante porte sur le délai de détection. L'attaquant a consulté et extrait les données de 1,2 million de comptes en 16 jours. Cela représente un volume de requêtes considérable — environ 75 000 consultations par jour si l'extraction était régulière.

Un système de détection d'anomalies (surveillance du volume de requêtes, analyse des horaires de connexion, détection des comportements atypiques) aurait dû alerter bien avant que 1,2 million de fiches soient aspirées. Le fait que l'attaquant ait pu opérer pendant plus de deux semaines suggère que ces mécanismes étaient soit absents, soit insuffisamment calibrés.

Une administration sous pression

La fuite FICOBA n'est pas un incident isolé. Elle s'ajoute à une liste qui s'allonge de mois en mois.

  • Novembre 2025 : l'URSSAF subit une première fuite via Pajemploi — 1,2 million de personnes, avec IBAN et numéros de Sécurité sociale.
  • Janvier 2026 : l'URSSAF est à nouveau touchée, cette fois via l'API DPAE — 12 millions de salariés exposés.
  • Février 2026 : le ministère de l'Intérieur confirme une fuite de données à son tour.
  • Février 2026 : la DGFiP annonce le piratage de FICOBA — 1,2 million de comptes bancaires.

À chaque épisode, le même schéma se reproduit : des identifiants compromis, un accès légitime détourné, une détection tardive, une communication officielle qui minimise les risques. Le syndicat Solidaires Finances Publiques a réagi en déclarant que « la sécurité n'est pas une option » et en pointant la concentration de données sensibles au sein de systèmes dont la protection n'est pas à la hauteur des enjeux.

La Banque de France elle-même a publié un communiqué invitant les Français à « adopter les bons réflexes » pour se prémunir contre les risques de fraudes liés à la fuite FICOBA. Quand la banque centrale publie des conseils de cybersécurité, c'est que la situation n'est plus ordinaire.

Ce que les entreprises doivent retenir

La fuite FICOBA concerne d'abord les particuliers, mais elle a des implications directes pour les entreprises.

Vos salariés sont des cibles potentielles. Avec les données FICOBA, un attaquant peut envoyer des emails de phishing crédibles : « Suite à un incident de sécurité sur votre compte bancaire [IBAN partiellement visible], merci de confirmer vos coordonnées. » Si vos collaborateurs ne sont pas entraînés à reconnaître ce type de message, ils cliqueront.

Les tentatives de fraude au virement vont se multiplier. Un attaquant qui possède l'IBAN d'un fournisseur ou d'un client peut monter une fraude au faux virement avec un niveau de crédibilité accru. Renforcez les procédures de vérification pour tout changement de coordonnées bancaires.

Les données fiscales de vos dirigeants sont dans la nature. Si des identifiants fiscaux ont fuité pour certains comptes, les dirigeants d'entreprise pourraient être ciblés par des arnaques au président particulièrement documentées.

Pour les particuliers : les gestes à adopter

Si vous détenez un compte bancaire en France, vous faites potentiellement partie des personnes touchées. La DGFiP a annoncé que les personnes concernées recevraient une notification individuelle.

Vérifiez vos relevés bancaires. Passez en revue les prélèvements des dernières semaines. Si un prélèvement vous est inconnu, signalez-le immédiatement à votre banque. Vous disposez d'un délai de 13 mois pour contester un prélèvement SEPA non autorisé.

Mettez à jour votre liste de créanciers autorisés. Sur votre espace bancaire en ligne, accédez à la gestion des mandats de prélèvement. Supprimez les créanciers que vous ne reconnaissez pas, et bloquez les prélèvements non identifiés.

Méfiez-vous des contacts qui connaissent votre IBAN. L'administration fiscale ne demande jamais vos identifiants, votre numéro de carte bancaire ou votre mot de passe par message. Un email, un SMS ou un appel téléphonique mentionnant votre IBAN pour vous inciter à « confirmer vos coordonnées » est frauduleux.

Conservez les preuves. Si vous recevez des messages suspects, faites des captures d'écran et signalez-les sur la plateforme cybermalveillance.gouv.fr.

Le fond du problème

La DGFiP gère les données fiscales et bancaires de la quasi-totalité de la population française. Le fichier FICOBA, à lui seul, contient 300 millions d'enregistrements. C'est une cible d'une valeur inestimable pour les cybercriminels — et la protection de cette cible reposait, selon les éléments disponibles, sur un simple mot de passe.

On peut investir dans des pare-feux, des systèmes de détection d'intrusion, des audits de sécurité. Mais si l'accès quotidien d'un fonctionnaire à la base de données la plus sensible du pays ne requiert pas un second facteur d'authentification, toute la chaîne s'effondre.

Le piratage de FICOBA n'est pas un échec technique. C'est un échec de gouvernance. Et tant que les administrations françaises traiteront la cybersécurité comme un centre de coût plutôt que comme une condition de fonctionnement, les fuites continueront.

Sources :

  • Ministère de l'Économie, communiqué de presse, « Accès illégitimes au fichier national des comptes bancaires (FICOBA) », 18 février 2026 : presse.economie.gouv.fr
  • DGFiP / impots.gouv.fr, « Accès illégitimes au fichier national des comptes bancaires (FICOBA) » : impots.gouv.fr
  • Banque de France, « Fuite de données personnelles du fichier national des comptes bancaires (FICOBA) » : banque-france.fr
  • Franceinfo, « Cinq questions sur le piratage du fichier national des comptes bancaires », février 2026 : franceinfo.fr
  • France Bleu, « Des données bancaires consultées par un acteur malveillant, 1,2 million de comptes potentiellement concernés » : francebleu.fr
  • Solidaires Finances Publiques, « Fuite de données à la DGFiP : la sécurité n'est pas une option ! » : solidairesfinancespubliques.org
  • L'Usine Digitale, « 1,2 million de coordonnées bancaires exposées après le piratage du fichier national des comptes bancaires » : usine-digitale.fr
  • The Record, « Attackers breach France's national bank account database » : therecord.media
  • Moneyvox, « Ficoba piraté : les 3 conseils de la DGFiP face aux fraudes aux comptes bancaires » : moneyvox.fr
  • Cryptoast, « Enlèvements et séquestrations crypto — Cette employée des impôts renseignait un mystérieux commanditaire » : cryptoast.fr

Articles similaires

Bouygues Telecom : 6,4 millions de clients exposés, IBAN compris

Le 6 août 2025, Bouygues Telecom a confirmé une fuite de données touchant 6,4 millions de comptes clients — soit 30 % de sa base d'abonnés. Coordonnées, état civil, données contractuelles et IBAN dans la nature. Analyse de l'incident et des risques concrets pour les victimes.

Éducation nationale : les données personnelles de 243 000 agents dans la nature après le piratage de COMPAS

Le 15 mars 2026, un pirate a accédé au système RH COMPAS du ministère de l'Éducation nationale via un compte compromis. Noms, adresses postales, téléphones de 243 000 enseignants et agents ont été exfiltrés puis mis en vente. Retour sur les faits, les failles, et ce que les personnels concernés doivent savoir.

Fédérations sportives : la vague de cyberattaques qui a exposé des millions de licenciés français

En six mois, plus de trente fédérations sportives françaises ont été piratées. Football, tir, gymnastique, natation, athlétisme : retour sur une série d'attaques qui a exposé les données de millions de licenciés et provoqué des cambriolages ciblés.