- 01m21s
3 min de lecture
Fuite de données au fichier national des comptes bancaires : les informations de 1,2 million de comptes consultées par un acteur malveillant
Le ministère de l'Économie a annoncé mercredi que des accès illégitimes au fichier national des comptes bancaires (FICOBA) avaient permis à un acteur malveillant de consulter les informations de quelque 1,2 million de comptes depuis fin janvier. Ce registre national recense l'ensemble des comptes ouverts dans les établissements bancaires français et contient des données comme les RIB et IBAN, mais aussi les adresses communiquées par les déposants.
Un homme tenant une carte bancaire
Crédit : Jantakon Kokthong / EyeEm /Getty Images
Je m'abonne à la newsletter « Infos »
C'est une fuite de données qui vient frapper l'un des fichiers les plus sensibles de l'administration fiscale française. Le ministère de l'Économie vient de révéler que les données de 1,2 million de comptes bancaires avaient été consultées par un acteur malveillant après des "accès illégitimes" au fichier national des comptes bancaires depuis la fin du mois de janvier.
"À compter de la fin janvier 2026, un acteur malveillant, qui a usurpé les identifiants d'un fonctionnaire disposant d'accès (...) a pu consulter une partie de ce fichier qui recense l'ensemble des comptes bancaires ouverts dans les établissements bancaires français et contient des données à caractère personne l: coordonnées bancaires (RIB/IBAN), identité du titulaire, adresse et, dans certains cas, l'identifiant fiscal de l'usager", indique Bercy dans un communiqué publié ce mercredi 18 février.
"Dès la détection de cet incident, des mesures immédiates de restriction d'accès ont été mises en œuvre afin de stopper l'attaque, de limiter l'ampleur des données consultées et extraites de cette base (...) et de prévenir toute nouvelle consultation illégitime", assure Bercy, qui précise que "des travaux sont en cours pour rétablir le service dans les meilleures conditions de protection".
Les usagers concernés recevront dans les prochains jours une information individuelle les alertant qu'un accès à leurs données a pu être constaté. Un contact a également été établi avec les établissements bancaires afin de sensibiliser les clients à la plus grande vigilance. L'incident a également été notifié à la Commission nationale de l'informatique et des libertés (CNIL) et fait l'objet d'un dépôt de plainte.
Un registre sensible de l'administration fiscale qui va servir de carburant à des actes de cybermalveillance
Le fichier FICOBA est un registre tenu par la Direction générale des finances publiques (DGFIP) qui recense tous les comptes bancaires ouverts en France. Il ne contient pas les soldes ni les opérations mais liste l'identité des titulaires (nom, date de naissance, adresse), les établissements bancaires, les types de comptes et les dates d'ouverte et de clôture des comptes. Il comporte aussi la liste des coffres-forts loués en France. Ces informations sont transmises par les banques qui ont l'obligation d'alimenter cette base de données à des fins de lutte contre la fraude et le blanchiment d'argent, notamment.
Seules les personnes habilitées ont la possibilité de consulter ce fichier, à savoir les agents de l'administration fiscale, ceux des autres administrations financières (douanes, TRACFIN, AMF...), les organismes de sécurité sociale, les établissements bancaires, les magistrats et officiers judiciaires, les huissiers de justice et les notaires en charge des successions. Ce registre peut toutefois être interrogé par les particuliers via une procédure strictement encadrée pour vérifier si des comptes n'ont pas été ouvert à leur insu dans le cadre d'une usurpation d'identité. Il peut aussi permettre d'identifier les comptes ouverts au nom d'un défunt dans une procédure d'héritage.
L'accès à ce fichier offre une cartographie complète du patrimoine bancaire d'une personne. Ces informations peuvent être mobilisées par des acteurs malveillants pour mener des tentatives de phishing personnalisées ou des fraudes par manipulation, comme l'arnaque au faux conseiller bancaire, voire faciliter l'usurpation d'identité.
L'exposition des adresses personnelles communiquées aux banques par les déposants fait aussi planer la menace de voir des personnes fortunées ciblées directement à leur domicile, alors que la France est déjà en proie depuis plusieurs mois à une vague de home-jackings, qui vise notamment les détenteurs de cryptomonnaies. Dans son communiqué, Bercy appelle les usagers à la plus grande vigilance face aux "nombreuses tentatives d'escroqueries qui circulent par courriel ou SMS" et rappelle que "l'administration fiscale ne demande jamais les identifiants ou le numéro de carte bancaire par message".
- "Je suis convaincue que mon métier va disparaître" : l’IA va-t-elle bientôt remplacer les mannequins ?
- L'application France Identité pourra être utilisée à l'embarquement dans les aéroports français à partir de cet été
- Arnaque au "faux Brad Pitt", faux conseiller bancaire : les banques sont-elles obligées de rembourser ?
- Explosion des deepfakes sexuels générés par IA : pourquoi il ne faut plus partager de photos de vos enfants sur les réseaux sociaux
- Arnaques, démarchage téléphonique... Comment filtrer les appels indésirables sur iPhone et Android pour ne plus être dérangé ?
