Deuxième au classement mondial des fuites de données, la France, cible prioritaire des hackers avec 40,3 millions de comptes piratés en 2025
Transition vers VIGIK®+ : ce qui change pour les offices
Le fichier national des comptes bancaires et assimilés, FICOBA, outil central de l’administration fiscale, a récemment fait l’objet d’un accès illégitime d’une ampleur exceptionnelle.
En usurpant les identifiants d’un agent habilité, un acteur malveillant a pu consulter les données associées à plus d’un million de comptes. Cet incident rappelle la sensibilité extrême des données bancaires et les conséquences que peut entraîner l’usurpation d’un accès autorisé.
Selon la DGFiP (Direction générale des finances publiques), l’attaquant a usurpé les identifiants d’un fonctionnaire habilité pour consulter une partie du fichier national entre le 28 janvier et le 13 février 2026. L’incident concernerait 1,2 million de comptes, soit moins de 1 % des coordonnées contenues dans le fichier, incluant des informations comme l’état civil, l’adresse postale et les coordonnées bancaires des personnes concernées.
Selon les autorités, cet accès frauduleux ne permettrait ni d’accéder aux soldes des comptes ni d’effectuer directement des opérations bancaires. Pour autant, l’incident ne doit pas être minimisé. Des données de cette nature peuvent nourrir des tentatives d’hameçonnage, des appels frauduleux, des tentatives d’usurpation d’identité ou des prélèvements non autorisés.
La DGFiP a par ailleurs indiqué avoir restreint les accès dès la détection de l’attaque, saisi la CNIL (Commission nationale de l’informatique et des libertés) et déposé plainte, tout en mobilisant ses équipes avec l’ANSSI (Agence nationale de la sécurité des systèmes d’information) pour renforcer la sécurité du système d’information.
Pour les commissaires de justice, cet épisode vaut rappel. Même sans accès direct aux fonds, la donnée bancaire reste une donnée à très forte sensibilité : elle peut suffire à rendre crédible une fraude, à préparer une escroquerie ou à fragiliser un usager déjà en difficulté. L’affaire FICOBA montre aussi que le risque ne provient pas seulement d’une faille technique : l’usurpation d’identifiants légitimes peut, à elle seule, ouvrir l’accès à des informations critiques.
Dans ce contexte, la vigilance ne peut être seulement informatique ; elle doit aussi être organisationnelle. Protection rigoureuse des accès, contrôle des habilitations, attention portée aux sollicitations inhabituelles, sensibilisation des collaborateurs et conservation des preuves en cas de suspicion de fraude : autant de réflexes qui participent directement à la sécurisation des procédures et des données traitées. L’administration fiscale rappelle d’ailleurs qu’elle ne demande jamais d’identifiants ou de coordonnées bancaires par message et invite, au moindre doute, à vérifier directement l’authenticité d’une demande par les canaux officiels.
Source presse.economie.gouv.fr : Accès illégitimes au fichier national des comptes bancaires (FICOBA) – Presse – Ministère des Finances
