1,2 million de comptes potentiellement concernés après l’accès à des données bancaires par un acteur malveillant
Le ministère de l’Économie a confirmé qu’une attaque FICOBA a permis à “un acteur malveillant” de consulter des données liées à environ 1,2 million de comptes bancaires depuis la fin janvier 2026.
Les services de l’État assurent avoir coupé l’accès frauduleux, lancé des investigations et prévu d’informer les personnes potentiellement touchées. Si le fichier ne donne pas accès aux soldes ni ne permet d’effectuer des opérations, la fuite peut alimenter des arnaques ciblées.
Ce que l’État a reconnu et ce que contient réellement FICOBA
Mercredi 18 février 2026, Bercy a indiqué que des investigations de la DGFiP avaient mis au jour des “accès illégitimes” au fichier national des comptes bancaires et assimilés, FICOBA. Selon le communiqué, un acteur malveillant aurait usurpé les identifiants d’un fonctionnaire disposant d’un accès dans le cadre d’échanges d’informations entre ministères. L’accès frauduleux aurait débuté “à compter de la fin janvier 2026”, avec un volume pouvant concerner 1,2 million de comptes.
FICOBA, pour le grand public, reste souvent un nom un peu opaque. Pourtant, la CNIL rappelle que ce fichier sert à recenser les comptes de toute nature (bancaires, postaux, d’épargne comme le Livret A…) et à fournir aux personnes habilitées des informations sur les comptes détenus par une personne ou une société. Il s’agit d’un registre administratif, pas d’une interface bancaire.
Dans cette affaire, Bercy précise que les données consultées portent sur des éléments d’identification et des coordonnées bancaires. Le ministère cite notamment les RIB/IBAN, l’identité du titulaire, l’adresse, et “dans certains cas” l’identifiant fiscal. Autrement dit, de quoi relier un nom, une adresse et un compte, sans pour autant ouvrir la porte à des virements immédiats.
Attaque FICOBA : pourquoi l’IBAN ne suffit pas… mais peut devenir une arme pour les escrocs
La DGFiP a tenu à rappeler un point central : FICOBA ne permet pas de consulter les soldes, ni d’effectuer des opérations. Plusieurs médias relaient la même précision, et l’idée est importante pour éviter la panique. On ne “vide” pas un compte avec un extrait FICOBA comme on cliquerait sur un bouton.
La Fédération bancaire française a aussi cherché à calmer le jeu en expliquant que ces informations, à elles seules, ne permettent pas de réaliser un virement ou un paiement par carte. En clair, un IBAN ne remplace ni une authentification bancaire, ni une validation d’opération, ni les mécanismes de sécurité des banques. Cela n’empêche pas, en revanche, qu’un IBAN soit une pièce utile dans une fraude plus large.
Car le risque le plus immédiat, c’est celui de l’arnaque “sur mesure”. Avec un nom, une adresse et un IBAN, un fraudeur peut rédiger un message qui sonne juste, viser la bonne banque, et jouer sur l’urgence. Les tentatives de phishing ont d’autant plus de chances de marcher qu’elles s’appuient sur des informations exactes, et c’est là que l’épisode devient sensible.
Dans les prochains jours, beaucoup de personnes pourraient recevoir un courrier ou un message officiel signalant un possible accès à leurs données. Cette période est idéale pour les imitateurs : faux “service antifraude”, faux “conseiller”, faux “espace impots.gouv.fr”, tout est bon pour obtenir un mot de passe, un code reçu par SMS ou une validation sur l’application bancaire. L’enjeu est moins la fuite elle-même que ce qu’elle peut déclencher dans la vraie vie.
Les signaux qui doivent alerter, surtout si vous êtes contacté
Un message qui vous demande de “confirmer” un IBAN, de “sécuriser” votre compte ou de “vérifier votre identité” doit immédiatement éveiller la méfiance. Les organismes sérieux insistent généralement sur un principe simple : ne jamais donner de codes, ne jamais valider une opération à la demande d’un tiers, et reprendre la main en rappelant via un numéro officiel. Sur ce terrain, Cybermalveillance.gouv.fr martèle depuis des années les réflexes contre l’hameçonnage.
Même scénario côté banques : un conseiller ne vous demandera pas de lui transmettre un code de validation ou d’installer un outil à distance “pour sécuriser”. Quand un interlocuteur pousse à agir vite, c’est souvent le signal le plus parlant. Une arnaque réussit rarement par la technique seule ; elle réussit parce qu’elle fabrique de la précipitation.
À lire aussi
Ce que l’administration dit avoir fait, et ce qui va se passer pour les usagers
Bercy indique que des “mesures immédiates de restriction d’accès” ont été mises en œuvre dès la détection de l’incident, afin de stopper l’attaque et de prévenir toute nouvelle consultation illégitime. Des travaux seraient aussi en cours pour rétablir le service “dans les meilleures conditions de protection”. Sur le volet institutionnel, une plainte a été déposée et la CNIL a été notifiée.
L’État évoque également une mobilisation conjointe : DGFiP, services du ministère des Finances et ANSSI, l’agence nationale chargée de la cybersécurité. Cette coordination est classique sur ce type d’incident, surtout lorsqu’il touche une base nationale comme France Travail. Reste un point que beaucoup attendent : comprendre comment une usurpation d’identifiants a suffi à ouvrir la porte, et quelles protections supplémentaires seront ajoutées.
Côté usagers, le calendrier annoncé est clair : les titulaires potentiellement concernés doivent recevoir “dans les prochains jours” une information individuelle. Ce passage est crucial, car il marque le début de la phase la plus exposée aux arnaques opportunistes. Plus la communication est massive, plus les escrocs essaient d’en profiter en se glissant dans le bruit.
Concrètement, que faire si vous recevez une alerte ?
D’abord, vérifiez le canal et l’expéditeur sans cliquer dans le message. Ensuite, connectez-vous par vous-même, via vos accès habituels, en tapant l’adresse officielle ou en passant par votre application. Enfin, en cas de doute, appelez votre banque ou l’administration via un numéro trouvé sur un site officiel, pas via un lien reçu.
Le point important, c’est d’éviter de “répondre au scénario” proposé par un inconnu. Un fraudeur peut connaître votre identité et votre IBAN, mais il lui manque souvent l’élément décisif : votre validation. Tant que vous ne donnez pas de code, tant que vous ne validez pas une opération, tant que vous ne partagez pas vos identifiants, il reste bloqué.
Un rappel utile : à quoi sert FICOBA, et comment y accéder légalement
On confond parfois FICOBA avec un outil de surveillance des dépenses, alors qu’il ne recense pas les mouvements ni les soldes. La CNIL et Service-public.fr expliquent surtout que le fichier liste les comptes ouverts en France (comptes bancaires, comptes d’épargne, comptes-titres, et même coffres-forts loués) et précise qui peut y accéder. Depuis 2025, les particuliers peuvent aussi demander la liste des comptes à leur nom via leur espace sur impots.gouv.fr.
Ce rappel n’est pas anecdotique dans le contexte actuel. Après une attaque, beaucoup de personnes vont vouloir vérifier ce qui existe à leur nom, ou repérer un compte oublié, à l’image des fuites de données massives chez Darty par le passé. L’outil peut donc être utile, à condition de passer par les voies officielles, et seulement elles.
Dans les jours qui viennent, la question sera aussi politique et technique : comment sécuriser durablement une base nationale, quand le point d’entrée peut être un simple identifiant compromis. L’incident, lui, rappelle une réalité assez brutale : plus un fichier est central, plus il devient une cible, et plus la moindre faille de contrôle d’accès peut avoir un effet d’ampleur.
– Crédit : Pixabay / SmyrnaPro
Soyez vigilant
L’attaque FICOBA annoncée par Bercy touche potentiellement 1,2 million de comptes, sans permettre d’accéder aux soldes ni de réaliser des opérations bancaires directes. Le danger se déplace plutôt vers les arnaques ciblées, où des données exactes servent à rendre un faux message crédible. À court terme, la meilleure protection reste simple : ne rien valider sous pression, passer par les canaux officiels, et considérer tout contact “urgent” comme suspect.
Retrouvez plus d’article sur le même thème ici
