Le 19 février 2026, le ministère de l’Économie et des Finances a reconnu une intrusion dans le fichier le plus sensible de l’administration fiscale française. Le piratage FICOBA, du nom du Fichier national des comptes bancaires et assimilés, a exposé les données rattachées à environ 1,2 million de comptes. Un assaillant a utilisé des identifiants volés appartenant à un agent autorisé, puis a copié une base contenant des coordonnées bancaires et des informations d’identité. Aucune transaction n’a été réalisée, mais l’onde de choc dépasse largement le périmètre technique de l’incident.

Cette affaire arrive dans un contexte déjà tendu. En janvier 2026, la CNIL a infligé une amende de 5 millions d’euros à France Travail pour la fuite de 2024, qui avait touché jusqu’à 43 millions de personnes. La France enchaîne les compromissions de registres publics massifs, et le FICOBA piraté pose une question simple : comment un fichier qui recense la quasi-totalité des comptes ouverts dans le pays a-t-il pu être consulté avec de simples identifiants dérobés ? Cette analyse fait le point sur les faits, l’impact pour les victimes, la réponse des autorités et ce que l’incident révèle de la sécurité des grands fichiers de l’État.

Piratage FICOBA : ce que l’on sait des faits

L’intrusion a été détectée fin janvier 2026, puis rendue publique le 19 février 2026 par le ministère de l’Économie. Selon les éléments communiqués, un acteur malveillant a obtenu les identifiants de connexion d’un utilisateur habilité, vraisemblablement un agent public disposant d’un accès légitime au registre. Avec ces identifiants, l’assaillant a interrogé le fichier et exfiltré une base portant sur près de 1,2 million de comptes bancaires.

Le point décisif n’est pas une faille logicielle dans le registre lui-même. Il s’agit d’une compromission d’identité et d’accès : un compte légitime détourné. Cette distinction compte, car elle déplace la responsabilité de la qualité du code vers la gestion des comptes à privilèges. Selon le rapport de veille publié par Check Point Research le 23 février 2026, l’accès non autorisé au registre FICOBA a permis la consultation de données sensibles sans exploitation d’une vulnérabilité technique connue.

Le ministère a précisé plusieurs limites importantes. L’intrus ne pouvait ni consulter les soldes des comptes, ni déclencher la moindre opération bancaire. FICOBA ne contient pas les montants détenus ni les historiques de transactions : il recense l’existence des comptes, leur titulaire et l’établissement gestionnaire. Cette architecture a limité le préjudice financier direct, mais elle n’a rien retiré au risque de fraude par rebond, qui constitue le véritable danger de cette fuite.

FICOBA : qu’est-ce que ce fichier et qui le gère ?

Le FICOBA, ou Fichier des comptes bancaires et assimilés, est le registre national qui recense l’ensemble des comptes ouverts en France : comptes courants, livrets, comptes-titres, comptes à terme, coffres-forts. Chaque ouverture, modification ou clôture de compte y est déclarée par les établissements bancaires. Le fichier est géré par la Direction générale des Finances publiques (DGFiP), qui dépend du ministère de l’Économie.

FICOBA n’est pas un fichier obscur. Il sert quotidiennement aux administrations, aux notaires lors des successions, aux huissiers pour les saisies, et aux services fiscaux. Les requêtes « ficoba dgfip » et « ficoba consultation » totalisent à elles seules plus d’un millier de recherches mensuelles en France, signe que le sujet intéresse bien au-delà des seuls spécialistes. La popularité du mot-clé « ficoba », avec environ 22 200 recherches par mois, a bondi après la révélation de l’incident.

La sensibilité du registre tient à son exhaustivité. Parce qu’il couvre la quasi-totalité des comptes du pays, l’accès même partiel à son contenu donne une vue rare sur l’identité bancaire des citoyens. C’est précisément ce qui rend la consultation d’un sous-ensemble de 1,2 million de comptes aussi préoccupante : les données touchées ne sont pas anodines, elles relient une personne, une adresse et un identifiant bancaire.

Quelles données ont fuité dans le piratage FICOBA

Les données exposées concernent l’identité et l’identification bancaire des titulaires, et non leurs avoirs. D’après les éléments rapportés par plusieurs médias spécialisés, dont Help Net Security et SecurityWeek, la base copiée comprenait des coordonnées bancaires (IBAN/RIB), le nom du titulaire, son adresse, et dans certains cas un identifiant fiscal. Le tableau ci-dessous récapitule le périmètre exact de l’incident.

ÉlémentDétail confirmé
Fichier viséFICOBA, registre national des comptes bancaires
GestionnaireDirection générale des Finances publiques (DGFiP)
Date de détectionFin janvier 2026
Date de divulgation19 février 2026
Comptes concernésEnviron 1,2 million
Vecteur d’attaqueIdentifiants volés d’un utilisateur habilité
Données exposéesIBAN/RIB, nom, adresse, identifiant fiscal (selon les cas)
Données NON exposéesSoldes, historiques, moyens de paiement
Opérations frauduleusesAucune recensée à ce stade

La combinaison IBAN plus identité est plus dangereuse qu’elle n’en a l’air. Un IBAN ne permet pas à lui seul de vider un compte, mais il ouvre la voie à la fraude au prélèvement (SEPA), aux fausses factures et à l’usurpation. Croisé avec une adresse et un nom exacts, il rend les tentatives d’hameçonnage beaucoup plus crédibles, car l’escroc connaît déjà des informations qu’une victime croit confidentielles.

Comment l’attaque a été menée : le facteur identifiant

Le scénario décrit par les autorités et les chercheurs en sécurité est celui d’un accès à privilèges détourné. L’attaquant ne s’est pas introduit en cassant un chiffrement ou en exploitant une vulnérabilité « zero-day ». Il s’est connecté comme un utilisateur autorisé, avec des identifiants valides. Ce mode opératoire est devenu la première cause de compromission des grands systèmes publics, devant les failles logicielles.

Reste la question de l’origine des identifiants. Trois hypothèses dominent dans ce type d’affaire : un hameçonnage ciblé visant un agent, une réutilisation de mot de passe déjà compromis ailleurs, ou un poste de travail infecté par un logiciel voleur d’informations (infostealer). Les infostealers, qui aspirent les identifiants enregistrés dans les navigateurs, ont connu une croissance massive en 2025 et alimentent un marché florissant d’accès volés. La robustesse des mots de passe et l’authentification à plusieurs facteurs jouent ici un rôle déterminant.

« L’incident relève d’une compromission d’identité, pas d’une faille du registre, ce qui signifie que la protection des comptes à privilèges constitue le contrôle central », résume l’analyse publiée par Check Point Research. Cette lecture est partagée par les fournisseurs de sécurité : la firme Enzoic, qui a publié une note sur l’affaire le 30 mai 2026, souligne que l’authentification forte et la surveillance des identifiants exposés auraient pu bloquer l’accès initial.

Réponse de la DGFiP et de Bercy

Après la détection, l’accès incriminé a été restreint et le ministère a engagé une procédure de notification des personnes concernées, conformément au RGPD. Bercy a martelé un message rassurant sur le plan strictement financier : aucun virement, aucun paiement par carte n’a pu être déclenché grâce aux données consultées. Le ministère a parallèlement lancé une mise en garde explicite contre les campagnes d’escroquerie qui ne manqueraient pas d’exploiter les informations dérobées.

La Fédération bancaire française a relayé cette vigilance. Tout en confirmant que les soldes et les moyens de paiement n’étaient pas exposés, elle a alerté sur le risque de fraude au prélèvement, de fausses factures et d’usurpation d’identité rendus possibles par la divulgation de l’IBAN et des données d’identité. Le message des banques aux clients touchés est sans ambiguïté : surveiller les relevés, contester sans délai tout prélèvement non reconnu et se méfier de toute sollicitation se réclamant de la banque ou de l’administration.

Sur le plan institutionnel, l’ANSSI, via son CERT-FR, et la CNIL ont vocation à intervenir respectivement sur le volet technique et sur le volet conformité. La CNIL, qui a déjà sanctionné France Travail pour un manquement de sécurité comparable, pourrait ouvrir une instruction si des défaillances dans la protection des accès au registre étaient établies. L’ANSSI documente régulièrement la hausse des compromissions par identifiants volés dans le secteur public.

FICOBA face aux autres fuites françaises : le tableau comparatif

Le piratage FICOBA n’est pas un événement isolé. La France traverse une vague de compromissions de fichiers publics et privés à très grande échelle depuis 2024. La comparaison ci-dessous met l’incident en perspective avec les fuites les plus marquantes documentées sur la période.

IncidentDatePersonnes / comptes touchésType de données
France TravailFévrier-mars 2024Jusqu’à 43 M (révisé à 36,8 M)Identité, NIR, coordonnées
FICOBAJanvier-février 2026~1,2 M de comptesIBAN, identité, adresse
France Travail (2e fuite)Juillet 2025~340 000 demandeurs d’emploiDonnées de candidature
Faille Ivanti (UE)Février 2026Institutions UE et Pays-BasAccès aux systèmes internes

La fuite France Travail de 2024 reste la plus massive jamais documentée en France. Survenue entre le 6 février et le 5 mars 2024, elle a exposé les noms, numéros de sécurité sociale, dates de naissance et coordonnées de dizaines de millions de personnes. L’estimation initiale de 43 millions a été ramenée à 36,8 millions. Le mot de passe et les données bancaires n’étaient pas concernés, à la différence du FICOBA où l’IBAN figure justement parmi les données exposées.

Ce qui rapproche ces affaires, c’est le mode opératoire : l’ingénierie sociale et le détournement d’accès légitimes plutôt que l’exploitation de failles techniques sophistiquées. Pour une vue d’ensemble des mécanismes en jeu, notre dossier sur les fuites de données détaille comment ces compromissions surviennent et comment s’en protéger. La référence sectorielle d’UpGuard sur les plus grandes fuites françaises confirme cette tendance de fond.

Le précédent France Travail et l’amende de la CNIL

L’amende infligée à France Travail donne la mesure de ce que pourrait coûter une défaillance avérée. Le 22 janvier 2026, la CNIL a sanctionné l’opérateur public d’une amende de 5 millions d’euros pour avoir manqué à son obligation d’assurer la sécurité des données des demandeurs d’emploi. La décision pointait des lacunes dans la gestion des accès, exactement le type de faiblesse qui semble au cœur de l’affaire FICOBA.

Cette sanction marque un durcissement. Pendant des années, les organismes publics ont semblé moins exposés aux foudres du régulateur que les acteurs privés. Le précédent France Travail rompt avec cette tolérance : la CNIL applique désormais aux administrations le même standard de sécurité qu’aux entreprises. Le détail de la procédure figure sur la page officielle de la CNIL consacrée à cette sanction.

Pour la DGFiP, l’enjeu dépasse l’amende potentielle. Le FICOBA est un fichier de souveraineté. Une sanction publique de la CNIL contre l’administration fiscale enverrait un signal politique fort sur l’état de la sécurité des systèmes régaliens, dans un pays qui revendique une ambition cyber affirmée à travers sa stratégie nationale de cybersécurité.

Impact pour les 1,2 million de victimes

Pour les personnes concernées, le risque n’est pas le vol immédiat d’argent mais l’exploitation différée des données. Trois menaces dominent. La première est la fraude au prélèvement SEPA : avec un IBAN valide, un escroc peut tenter d’enregistrer un mandat de prélèvement frauduleux. La deuxième est l’hameçonnage de précision, où l’attaquant se fait passer pour la banque ou les impôts en citant des données réelles pour gagner la confiance de la victime. La troisième est l’usurpation d’identité, l’IBAN et l’adresse servant de briques à des dossiers frauduleux.

Que faire si vous êtes concerné

  • Vérifier les relevés bancaires et la liste des prélèvements autorisés au moins une fois par semaine pendant plusieurs mois.
  • Contester immédiatement tout prélèvement non reconnu : la réglementation SEPA permet le remboursement d’un prélèvement contesté pendant huit semaines, voire treize mois pour un mandat non autorisé.
  • Ne jamais communiquer de code, mot de passe ou identifiant à la suite d’un appel, d’un SMS ou d’un e-mail, même si l’interlocuteur connaît vos coordonnées bancaires.
  • Activer l’authentification à plusieurs facteurs sur l’espace bancaire en ligne et sur la messagerie associée.
  • Signaler toute tentative de fraude sur la plateforme officielle et conserver les preuves.

La vigilance doit s’inscrire dans la durée. Les bases de données volées circulent pendant des années et resurgissent par vagues. Une victime peut ne rien voir pendant six mois, puis recevoir une campagne d’hameçonnage parfaitement calibrée. La consultation de son propre dossier FICOBA, possible auprès de la DGFiP, permet par ailleurs de vérifier l’exactitude des comptes recensés.

Pourquoi les registres publics deviennent des cibles prioritaires

Les grands fichiers d’État concentrent une valeur que peu de bases privées atteignent : l’exhaustivité. Là où une entreprise détient les données de ses clients, un registre public comme FICOBA, le fichier France Travail ou les bases de l’Assurance maladie couvrent des dizaines de millions de personnes, souvent avec des identifiants pérennes comme le numéro de sécurité sociale. Pour un attaquant, un seul accès rentabilise un effort considérable.

Le second facteur est l’interconnexion. Les administrations partagent des plateformes d’accès, des annuaires et des comptes de service. Une fois un identifiant compromis, l’attaquant peut parfois pivoter d’un système à l’autre. Cette surface d’attaque élargie explique pourquoi l’Union européenne a fait de la résilience des entités essentielles une priorité, à travers la directive NIS2 qui impose des obligations de sécurité renforcées aux opérateurs publics et privés critiques.

Le troisième facteur est le décalage entre l’ambition affichée et la réalité opérationnelle. Les États publient des stratégies cyber ambitieuses, mais la sécurisation des accès quotidiens, la rotation des identifiants et la généralisation de l’authentification forte restent inégales. L’ENISA, l’agence européenne de cybersécurité, a organisé les 10 et 11 juin 2026 la 8e édition de l’exercice Cyber Europe, précisément pour tester la coordination des États face à ce type d’incident.

Contexte européen : la France dans une vague d’attaques

Le piratage FICOBA s’inscrit dans un mois de février 2026 particulièrement chargé pour la cybersécurité européenne. Au même moment, la Commission européenne et plusieurs organismes publics néerlandais ont été frappés via des vulnérabilités « zero-day » dans les produits Ivanti, un éditeur de solutions d’accès distant. Cet épisode, que nous avons analysé dans notre dossier sur la faille Ivanti, illustre la diversité des vecteurs : tantôt une faille technique exploitée à grande échelle, tantôt un identifiant volé comme pour FICOBA.

L’Europe se dote d’outils de réaction. La stratégie nationale française de 2026 prévoit que la Réserve cyber de l’Union, composée de prestataires privés de confiance mobilisables au profit des États membres et des institutions européennes, devienne opérationnelle dans l’année. L’objectif est de pouvoir déployer rapidement des équipes de réponse à incident lorsqu’un État est dépassé par une attaque. La France soutient par ailleurs l’émergence d’un socle commun de compétences cyber à l’échelle européenne.

La Commission européenne a aussi tiré la sonnette d’alarme, en mai 2026, sur la capacité des intelligences artificielles avancées à détecter et exploiter des vulnérabilités logicielles cachées. Cette dimension change la donne : si l’affaire FICOBA reste une compromission « classique » par identifiants, la prochaine génération d’attaques pourrait combiner identifiants volés et reconnaissance automatisée à grande échelle.

Analyse de marché : ce que l’affaire change pour la cybersécurité

Sur le plan économique, le piratage FICOBA accélère une tendance déjà nette : la priorisation de la gestion des identités et des accès (IAM) dans les budgets publics. Pendant des années, les administrations ont investi dans le périmètre et le chiffrement. L’affaire démontre que la ligne de défense la plus rentable est désormais le contrôle des identités à privilèges, la détection des identifiants compromis et l’authentification résistante à l’hameçonnage.

Le marché des solutions de gestion des accès privilégiés et de surveillance des identifiants exposés devrait en bénéficier directement. Les éditeurs spécialisés dans la détection des fuites d’identifiants, dans les clés de sécurité matérielles et dans l’authentification sans mot de passe se positionnent comme les gagnants de cette séquence. Côté assurance cyber, les incidents publics répétés alimentent une hausse des primes et un durcissement des conditions de couverture pour les organismes qui ne démontrent pas un contrôle strict des accès.

Pour les banques, l’enjeu est réputationnel autant que financier. Même si les établissements ne sont pas à l’origine de la fuite, ce sont eux qui gèrent les contestations de prélèvement et rassurent les clients. La charge opérationnelle d’une fuite de 1,2 million d’IBAN se répercute sur les services de fraude des banques, qui doivent surveiller un afflux de prélèvements suspects pendant des mois.

Cinq prédictions après le piratage FICOBA

  • Une instruction de la CNIL probable. Au vu du précédent France Travail à 5 millions d’euros, une enquête sur les conditions de sécurisation des accès au FICOBA est vraisemblable, avec une sanction possible si des manquements sont établis.
  • Généralisation de l’authentification forte dans l’administration. L’incident va accélérer le déploiement de clés de sécurité et de l’authentification multifacteur résistante à l’hameçonnage pour les agents accédant aux fichiers sensibles.
  • Vague d’hameçonnage ciblé. Les données exposées alimenteront des campagnes d’escroquerie « banque » et « impôts » personnalisées dans les douze à dix-huit mois.
  • Renforcement réglementaire. Les obligations issues de NIS2 et la pression sur les comptes à privilèges deviendront un standard de contrôle pour les opérateurs publics français.
  • Marché IAM en hausse. Les budgets de gestion des identités et de surveillance des identifiants compromis progresseront plus vite que la moyenne du secteur cyber en 2026 et 2027.

Questions fréquentes sur le piratage FICOBA

Qu’est-ce que le FICOBA exactement ?

Le FICOBA, ou Fichier des comptes bancaires et assimilés, est le registre national qui recense tous les comptes ouverts en France (comptes courants, livrets, comptes-titres, coffres). Il est géré par la Direction générale des Finances publiques et indique l’existence d’un compte, son titulaire et la banque, mais pas les soldes ni les opérations.

Combien de comptes ont été touchés par le piratage FICOBA ?

Environ 1,2 million de comptes sont concernés selon le ministère de l’Économie. Comme une personne peut détenir plusieurs comptes, le nombre d’individus touchés n’est pas communiqué précisément et reste inférieur à ce chiffre.

Mon argent a-t-il été volé ?

Non. L’attaquant ne pouvait ni consulter les soldes ni déclencher d’opérations. Aucune transaction frauduleuse n’a été recensée. Le risque porte sur l’usage indirect des données, notamment la fraude au prélèvement et l’hameçonnage.

Comment l’attaque a-t-elle été possible ?

L’attaquant a utilisé les identifiants volés d’un utilisateur habilité pour se connecter au registre comme un agent légitime. Il ne s’agit pas d’une faille technique du fichier, mais d’une compromission d’accès à privilèges.

Que dois-je faire si je suis concerné ?

Surveillez vos relevés et vos prélèvements, contestez sans délai toute opération inconnue, ne communiquez jamais de codes par téléphone ou e-mail, activez l’authentification à plusieurs facteurs et méfiez-vous des messages se réclamant de votre banque ou des impôts, même s’ils citent des données exactes.

La CNIL peut-elle sanctionner l’administration ?

Oui. La CNIL a déjà infligé une amende de 5 millions d’euros à France Travail en janvier 2026 pour un défaut de sécurité. Elle applique le même standard aux organismes publics qu’aux entreprises et pourrait instruire le dossier FICOBA.

FICOBA contient-il mon solde bancaire ?

Non. Le fichier recense l’existence des comptes, leurs titulaires et les établissements, mais ne contient ni les soldes, ni les montants, ni l’historique des opérations. C’est ce qui a limité la portée financière directe de la fuite.

Article publié le 12 juin 2026. Les chiffres et déclarations cités proviennent des communications officielles du ministère de l’Économie, de la CNIL, de l’ENISA et des analyses de Check Point Research, Enzoic, Help Net Security et UpGuard.