Fin janvier 2026, un intrus a consulté FICOBA après l’usurpation d’identifiants d’un agent habilité. La DGFiP a coupé des accès, alerté banques et autorités. 1,2 millions de français concernés !La DGFiP a détecté des accès illégitimes au fichier national des comptes bancaires, FICOBA, à partir de la fin janvier 2026. Un acteur malveillant a utilisé les identifiants usurpés d’un fonctionnaire disposant d’un droit d’accès lié aux échanges d’informations entre ministères. Une partie de la base a été consultée, avec des données personnelles, dont RIB ou IBAN, identité, adresse et, parfois, identifiant fiscal. Les mesures de restriction ont stoppé l’attaque et limité les consultations et extractions, portant sur 1,2 million de comptes.
Un accès détourné, un fichier sensible exposé
Tout commence par un signal interne, puis par la confirmation d’un scénario classique en cyber, la compromission d’un compte légitime. Selon la DGFiP, l’attaque débute à compter de la fin janvier 2026, lorsqu’un acteur malveillant parvient à se connecter en se faisant passer pour un fonctionnaire habilité. L’accès en question s’inscrit dans un cadre précis, celui de l’échange d’informations entre ministères, un canal nécessaire au fonctionnement administratif, mais qui devient une surface d’attaque dès qu’un identifiant est volé ou réutilisé par un tiers. Le pirate est-il passé par un infostealer ?
La cible, FICOBA, n’est pas une base anodine. Elle recense l’ensemble des comptes bancaires ouverts dans les établissements français. Les données évoquées par l’administration décrivent un niveau de granularité suffisant pour intéresser des fraudeurs, coordonnées bancaires de type RIB ou IBAN, identité du titulaire, adresse, et dans certains cas l’identifiant fiscal. Même sans mot de passe bancaire, ce mélange d’éléments personnels est un carburant pour l’ingénierie sociale, car il permet d’écrire des messages crédibles, de personnaliser une approche, et de lever des doutes chez la victime.
L’ampleur identifiée, à ce stade, est chiffrée par la DGFiP à 1,2 million de comptes concernés par des consultations et des extractions. Le texte administratif insiste sur la notion de « partie » du fichier, signe que l’investigation cherche à qualifier précisément ce qui a été vu, copié ou potentiellement réutilisé. Dans ce type d’incident, l’enjeu ne se limite pas à l’intrusion initiale, il s’étend à la traçabilité, à la compréhension des parcours d’accès, et à la réduction rapide de toute possibilité de récidive.
Réaction de crise, notifications et vigilance anti-escroquerieLa réponse annoncée s’organise autour d’un réflexe prioritaire, réduire la fenêtre d’exposition. Dès la détection, des restrictions d’accès ont été appliquées pour stopper l’attaque, contenir le volume de données consultées ou extraites, et empêcher de nouvelles consultations illicites. En parallèle, des travaux sont engagés pour rétablir le service “dans les meilleures conditions de protection”, ce qui suggère une remise à plat de contrôles, de procédures et d’outillages, avant un retour complet à la normale.
La DGFiP précise que ses équipes informatiques sont mobilisées avec les services du ministère des finances, via le haut fonctionnaire de défense et de sécurité, ainsi qu’avec l’ANSSI. Sur le plan de la conformité, l’incident a été notifié à la CNIL et fait l’objet d’un dépôt de plainte. Ce triptyque, technique, réglementaire et judiciaire, est révélateur d’une crise traitée comme un événement de sécurité majeur, où l’objectif est à la fois de corriger, d’informer, et de documenter.
L’autre axe, plus silencieux mais tout aussi déterminant, concerne la prévention des abus secondaires. Un contact a été établi avec les établissements bancaires pour encourager la plus grande vigilance côté clients. L’administration indique aussi que les usagers concernés recevront prochainement une information individuelle signalant qu’un accès à leurs données a pu être constaté. Dans la mécanique des escroqueries, ce type d’alerte est essentiel, car il prépare le terrain, un fraudeur peut exploiter la confusion et se faire passer pour un service public ou une banque, par courriel ou SMS, pour soutirer des informations ou des paiements.
Les informations volées pourraient ressortir demain, dans 6 mois, dans 1 an via un lookup ou toutes autres possibilités pirates.
Au-delà de l’incident, l’affaire rappelle une règle de renseignement numérique, un identifiant volé vaut parfois plus qu’une faille, car il ouvre la porte sans bruit.
merci à ZATAZ
