{"id":269,"date":"2026-06-20T04:25:23","date_gmt":"2026-06-20T04:25:23","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/20\/ficoba-piratage-12-millions-comptes-bancaires-2026\/"},"modified":"2026-06-20T04:26:50","modified_gmt":"2026-06-20T04:26:50","slug":"ficoba-piratage-12-millions-comptes-bancaires-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/2026\/06\/20\/ficoba-piratage-12-millions-comptes-bancaires-2026\/","title":{"rendered":"FICOBA : 1,2 Million de Comptes Bancaires Pirat\u00e9s [2026]"},"content":{"rendered":"\n

En janvier 2026, un pirate a utilis\u00e9 les identifiants vol\u00e9s d’un fonctionnaire pour p\u00e9n\u00e9trer dans FICOBA, le registre national des comptes bancaires fran\u00e7ais, et consulter les donn\u00e9es de 1,2 million de comptes.<\/strong> Le Minist\u00e8re de l’\u00c9conomie et des Finances a confirm\u00e9 la violation le 18 f\u00e9vrier 2026 dans un communiqu\u00e9 officiel, r\u00e9v\u00e9lant l’une des atteintes les plus sensibles jamais enregistr\u00e9es dans le secteur financier public fran\u00e7ais. Pas de faille logicielle, pas d’exploit technique : un simple login compromis a suffi pour acc\u00e9der \u00e0 un fichier contenant les IBAN, noms, adresses et num\u00e9ros fiscaux de 1,2 million de titulaires de comptes. Le registre FICOBA recense pr\u00e8s de 300 millions de comptes bancaires li\u00e9s \u00e0 quelque 80 millions de personnes physiques et morales en France. Cette attaque par compromission d’identifiants soul\u00e8ve des questions fondamentales sur la s\u00e9curisation des acc\u00e8s aux syst\u00e8mes interminist\u00e9riels et la protection des donn\u00e9es financi\u00e8res des citoyens fran\u00e7ais.<\/p>\n\n\n\n

La chronologie de l’intrusion : six semaines dans l’ombre<\/h2>\n\n\n\n

L’attaque a d\u00e9but\u00e9 \u00e0 la fin du mois de janvier 2026. Selon le minist\u00e8re, le pirate est parvenu \u00e0 obtenir les identifiants de connexion d’un fonctionnaire disposant d’un acc\u00e8s autoris\u00e9 \u00e0 la plateforme interminist\u00e9rielle de partage d’informations reli\u00e9e \u00e0 FICOBA. Il a ensuite utilis\u00e9 ces credentials pour se connecter de mani\u00e8re r\u00e9p\u00e9t\u00e9e au fichier et consulter des donn\u00e9es bancaires sur plusieurs semaines, sans d\u00e9clencher d’alarme imm\u00e9diate.<\/p>\n\n\n\n

La d\u00e9tection a eu lieu en interne. La Direction G\u00e9n\u00e9rale des Finances Publiques (DGFiP) a identifi\u00e9 l’acc\u00e8s non autoris\u00e9 et mis fin \u00e0 la session de l’intrus. Le minist\u00e8re a imm\u00e9diatement bloqu\u00e9 l’acc\u00e8s du compte compromis, mais \u00e0 ce stade, les donn\u00e9es de 1,2 million de comptes avaient d\u00e9j\u00e0 \u00e9t\u00e9 consult\u00e9es et potentiellement exfiltr\u00e9es. La divulgation publique est intervenue le 18 f\u00e9vrier 2026, soit trois semaines apr\u00e8s le d\u00e9but probable de l’intrusion. BleepingComputer<\/a> et Help Net Security<\/a> ont \u00e9t\u00e9 parmi les premiers m\u00e9dias \u00e0 relayer l’information en d\u00e9tail.<\/p>\n\n\n\n

Le m\u00eame mois, les gouvernements europ\u00e9en et n\u00e9erlandais ont subi des intrusions via des failles zero-day critiques dans les \u00e9quipements Ivanti, le 9 f\u00e9vrier 2026, illustrant une vague d’attaques coordonn\u00e9es contre les infrastructures publiques en Europe au premier trimestre 2026. Le contexte g\u00e9opolitique p\u00e8se lourd : 64 % des organisations mondiales int\u00e8grent d\u00e9sormais le risque cyber dans leur analyse g\u00e9opolitique, selon le rapport Global Cybersecurity Outlook 2026 du Forum \u00c9conomique Mondial.<\/p>\n\n\n\n

Qu’est-ce que FICOBA ? Le registre de 300 millions de comptes<\/h2>\n\n\n\n

FICOBA (Fichier des Comptes Bancaires et Assimil\u00e9s) est un fichier administr\u00e9 par la Direction G\u00e9n\u00e9rale des Finances Publiques (DGFiP). Cr\u00e9\u00e9 pour centraliser les informations sur les comptes bancaires ouverts en France, il sert d’outil de r\u00e9f\u00e9rence pour l’administration fiscale, judiciaire et sociale. Son acc\u00e8s est strictement encadr\u00e9 par la loi : seuls certains fonctionnaires accr\u00e9dit\u00e9s, des magistrats et des services autoris\u00e9s peuvent le consulter.<\/p>\n\n\n\n

L’ampleur du registre est colossale. FICOBA recense environ 300 millions de comptes bancaires<\/strong> associ\u00e9s \u00e0 quelque 80 millions de personnes<\/strong> physiques et morales. Il s’agit de l’un des r\u00e9pertoires financiers les plus denses de l’Union europ\u00e9enne. Pour chaque compte, le fichier contient l’IBAN, le titulaire, son adresse, et souvent son num\u00e9ro fiscal. C’est pr\u00e9cis\u00e9ment cette richesse qui en fait une cible de premier choix pour les cybercriminels. Un acc\u00e8s \u00e0 FICOBA, m\u00eame partiel, livre une cartographie compl\u00e8te de l’identit\u00e9 financi\u00e8re d’un individu.<\/p>\n\n\n\n

L’enqu\u00eate pr\u00e9liminaire de TV5 Monde et du journal Le Monde<\/em> a r\u00e9v\u00e9l\u00e9 que le pirate avait obtenu les identifiants d’un agent civil autoris\u00e9 \u00e0 utiliser la plateforme de partage interminist\u00e9rielle. Ce n’\u00e9tait pas une faille dans le code de FICOBA lui-m\u00eame, mais une faiblesse dans la cha\u00eene d’acc\u00e8s humaine. Un simple compte compromis, avec les bons droits d’acc\u00e8s, a ouvert une br\u00e8che dans l’un des fichiers les plus sensibles de l’administration fran\u00e7aise.<\/p>\n\n\n\n

Les donn\u00e9es expos\u00e9es : IBAN, identit\u00e9 et num\u00e9ro fiscal<\/h2>\n\n\n\n

Le Minist\u00e8re de l’\u00c9conomie a pr\u00e9cis\u00e9 dans son communiqu\u00e9 que l’intrus avait pu acc\u00e9der \u00e0 “des parties du fichier de tous les comptes ouverts dans les banques fran\u00e7aises et qui contient des donn\u00e9es personnelles telles que les num\u00e9ros de compte bancaire, le nom du titulaire du compte, l’adresse et dans certains cas le num\u00e9ro fiscal du propri\u00e9taire du compte”<\/strong>. Les 1,2 million de comptes concern\u00e9s repr\u00e9sentent environ 0,4 % du total des comptes r\u00e9pertori\u00e9s dans FICOBA.<\/p>\n\n\n\n

Type de donn\u00e9es<\/th>Expos\u00e9<\/th>Risque associ\u00e9<\/th><\/tr><\/thead>
Num\u00e9ro IBAN\/RIB<\/td>Oui<\/td>Fraude au pr\u00e9l\u00e8vement SEPA, usurpation<\/td><\/tr>
Nom et pr\u00e9nom du titulaire<\/td>Oui<\/td>Hame\u00e7onnage cibl\u00e9, usurpation d’identit\u00e9<\/td><\/tr>
Adresse postale<\/td>Oui<\/td>Arnaques courrier, reconnaissance physique<\/td><\/tr>
Num\u00e9ro d’identification fiscale (NIF\/num\u00e9ro fiscal)<\/td>Partiellement<\/td>Fraude fiscale, v\u00e9rification d’identit\u00e9 renforc\u00e9e<\/td><\/tr>
Solde du compte<\/td>Non<\/td>N\/A<\/td><\/tr>
Historique des transactions<\/td>Non<\/td>N\/A<\/td><\/tr>
Num\u00e9ro de carte bancaire<\/td>Non<\/td>N\/A<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Ce qui n’a pas \u00e9t\u00e9 expos\u00e9<\/h3>\n\n\n\n

La DGFiP a tenu \u00e0 clarifier les limites de l’acc\u00e8s obtenu par le pirate. Les soldes de comptes, l’historique des virements et les donn\u00e9es de carte bancaire n’\u00e9taient pas accessibles via FICOBA<\/strong> et ne figurent pas dans le registre. La br\u00e8che n’offre donc pas \u00e0 l’attaquant la possibilit\u00e9 d’initier directement un virement depuis les comptes affect\u00e9s. Cette pr\u00e9cision est cruciale : elle conditionne le type de risque r\u00e9el auquel s’exposent les victimes. Mais elle ne doit pas minimiser la gravit\u00e9 de l’incident. Les donn\u00e9es combin\u00e9es (IBAN + nom + adresse + num\u00e9ro fiscal) constituent un profil d’identit\u00e9 financi\u00e8re complet, suffisant pour mener des attaques secondaires sophistiqu\u00e9es sur les mois qui suivent.<\/p>\n\n\n\n

Vol de credentials : la technique la plus rentable en 2026<\/h2>\n\n\n\n

La br\u00e8che FICOBA illustre une tendance document\u00e9e par toutes les grandes \u00e9tudes de cybers\u00e9curit\u00e9 en 2025-2026 : le vol d’identifiants est de loin le vecteur d’attaque le plus utilis\u00e9<\/strong>. Le rapport Data Breach Investigations Report de Verizon le confirme ann\u00e9e apr\u00e8s ann\u00e9e : “credential abuse” reste le premier vecteur de violation, devant l’exploitation de vuln\u00e9rabilit\u00e9s logicielles. Les attaquants ont compris qu’un credentials valide vaut mieux que l’exploit le plus sophistiqu\u00e9.<\/p>\n\n\n\n

Les \u00e9quipes IBM X-Force l’ont formul\u00e9 clairement dans leur analyse de la menace cyber 2026 : “le risque majeur reste le volume et la sophistication croissants du vol d’identifiants, aliment\u00e9 par le hame\u00e7onnage assist\u00e9 par l’IA et les maliciels de type infostealer.”<\/strong> En 2025, les chercheurs d’IBM X-Force ont recens\u00e9 plus de 300 000 identifiants ChatGPT mis en vente sur le dark web<\/strong>. Sur les 40 000 vuln\u00e9rabilit\u00e9s suivies en 2025, 56 % pouvaient \u00eatre exploit\u00e9es sans authentification, mais dans le cas de FICOBA, l’attaquant a pr\u00e9f\u00e9r\u00e9 la voie de la compromission d’identit\u00e9, moins d\u00e9tectable et plus rapide qu’une exploitation de faille.<\/p>\n\n\n\n

KnowBe4 rapporte que 2 892 278 identifiants li\u00e9s au secteur financier ont \u00e9t\u00e9 vendus sur des march\u00e9s criminels en 2025<\/strong>, surpassant toutes les autres cat\u00e9gories de donn\u00e9es compromises. Les infostealers (LummaC2, RedLine, Vidar) ont collect\u00e9 ces credentials via des campagnes de phishing ou des logiciels malveillants install\u00e9s sur les postes de fonctionnaires. L’hypoth\u00e8se d’un infostealer d\u00e9ploy\u00e9 sur la machine du fonctionnaire victime reste plausible, bien qu’aucune confirmation officielle n’ait \u00e9t\u00e9 apport\u00e9e \u00e0 ce jour. Mimecast confirme que 95 % des violations de donn\u00e9es impliquent une erreur humaine<\/strong>, qu’il s’agisse d’un clic sur un lien malveillant ou d’un mot de passe r\u00e9utilis\u00e9 sur plusieurs services.<\/p>\n\n\n\n

Dans le cas FICOBA, cette erreur humaine prend la forme d’un fonctionnaire dont les credentials ont \u00e9t\u00e9 compromis, sans que la plateforme interminist\u00e9rielle ne d\u00e9tecte l’anomalie de connexion pendant plusieurs semaines. C’est un \u00e9chec du principe de d\u00e9tection des comportements anormaux (UEBA) autant qu’un \u00e9chec de la politique de gestion des identit\u00e9s et des acc\u00e8s (IAM).<\/p>\n\n\n\n

Risques concrets pour les 1,2 million de victimes<\/h2>\n\n\n\n

Fraude au pr\u00e9l\u00e8vement automatique SEPA<\/h3>\n\n\n\n

La F\u00e9d\u00e9ration Bancaire Fran\u00e7aise (FBF) a publi\u00e9 une mise au point apr\u00e8s la divulgation : les donn\u00e9es expos\u00e9es “ne permettent pas de r\u00e9aliser un virement ou un paiement par carte”<\/strong>. Mais la FBF a ajout\u00e9 un avertissement important : un IBAN combin\u00e9 \u00e0 une identit\u00e9 peut permettre \u00e0 un fraudeur de se faire passer pour un cr\u00e9ancier l\u00e9gitime et de soumettre un mandat de pr\u00e9l\u00e8vement SEPA falsifi\u00e9 aupr\u00e8s d’un prestataire de services de paiement. Ce type de fraude fonctionne si le fraudeur est enregistr\u00e9 comme \u00e9metteur de pr\u00e9l\u00e8vements autoris\u00e9 aupr\u00e8s d’une banque, puis forge un mandat de d\u00e9bit au nom de la victime.<\/p>\n\n\n\n

Ce sc\u00e9nario n’est pas th\u00e9orique. La fraude au pr\u00e9l\u00e8vement SEPA est un ph\u00e9nom\u00e8ne document\u00e9 et en hausse en France. Les victimes n’ont souvent connaissance du d\u00e9bit frauduleux que sur leur relev\u00e9 bancaire mensuel, et le d\u00e9lai de remboursement peut atteindre plusieurs semaines. La FBF a appel\u00e9 les banques \u00e0 redoubler de vigilance dans les mois suivant la divulgation, en particulier pour les mandats de pr\u00e9l\u00e8vement \u00e9manant de nouveaux cr\u00e9anciers non connus du client.<\/p>\n\n\n\n

Hame\u00e7onnage cibl\u00e9 et usurpation d’identit\u00e9<\/h3>\n\n\n\n

Le risque le plus imm\u00e9diat et le plus probable est le spear phishing<\/strong>. Arm\u00e9 d’un IBAN, d’un nom, d’une adresse et d’un num\u00e9ro fiscal, un cybercriminel peut concevoir un courriel ou un SMS extr\u00eamement personnalis\u00e9, imitant par exemple le Tr\u00e9sor public, la DGFiP, ou une banque, et demandant une action urgente de la victime (mise \u00e0 jour de coordonn\u00e9es, validation d’un remboursement, confirmation d’identit\u00e9). Ce type d’attaque a un taux de succ\u00e8s bien sup\u00e9rieur aux campagnes de phishing de masse, pr\u00e9cis\u00e9ment parce que le message contient des informations pr\u00e9cises qui mettent la victime en confiance.<\/p>\n\n\n\n

Le minist\u00e8re a pr\u00e9venu les personnes concern\u00e9es d’\u00eatre “particuli\u00e8rement vigilantes face aux tentatives d’hame\u00e7onnage ou d’usurpation d’identit\u00e9”<\/strong>. Les banques ont \u00e9t\u00e9 alert\u00e9es en parall\u00e8le pour renforcer leurs proc\u00e9dures de v\u00e9rification. Si vous recevez un message invoquant votre situation bancaire ou fiscale avec des d\u00e9tails personnels pr\u00e9cis (IBAN, adresse exacte, num\u00e9ro fiscal), traitez-le comme une tentative d’hame\u00e7onnage cibl\u00e9 et contactez directement votre banque ou la DGFiP via les canaux officiels.<\/p>\n\n\n\n

La r\u00e9action du gouvernement, de l’ANSSI et des banques<\/h2>\n\n\n\n

Le Minist\u00e8re de l’\u00c9conomie a adopt\u00e9 une r\u00e9ponse en quatre temps. Premi\u00e8rement, il a coup\u00e9 imm\u00e9diatement l’acc\u00e8s<\/strong> du compte compromis d\u00e8s la d\u00e9tection de l’intrusion. Deuxi\u00e8mement, il a notifi\u00e9 les \u00e9tablissements bancaires<\/strong> afin qu’ils avertissent leurs clients des risques de fraude. Troisi\u00e8mement, il a d\u00e9pos\u00e9 une plainte p\u00e9nale<\/strong> pour identifier et poursuivre l’auteur de l’attaque. Quatri\u00e8mement, les services informatiques de la DGFiP ont sollicit\u00e9 l’Agence Nationale de la S\u00e9curit\u00e9 des Syst\u00e8mes d’Information (ANSSI) pour s\u00e9curiser les acc\u00e8s au fichier et pr\u00e9parer la remise en service de FICOBA avec des garanties renforc\u00e9es.<\/p>\n\n\n\n

L’ANSSI, qui publie chaque ann\u00e9e un panorama de la menace cyber en France, avait alert\u00e9 d\u00e8s 2025 sur l’augmentation des intrusions ciblant les syst\u00e8mes interminist\u00e9riels via des identifiants compromis. La premi\u00e8re moiti\u00e9 de 2025 avait enregistr\u00e9 une hausse de 65 % des incidents ransomware touchant les organismes gouvernementaux<\/strong> par rapport \u00e0 la m\u00eame p\u00e9riode en 2024, selon les donn\u00e9es de Trend Micro. La br\u00e8che FICOBA s’inscrit dans cette tendance de fond : les administrations publiques, dont les syst\u00e8mes d’authentification sont souvent moins matures que ceux du secteur priv\u00e9, sont d\u00e9sormais des cibles prioritaires pour les groupes criminels et \u00e9tatiques.<\/p>\n\n\n\n

Aucune estimation officielle du d\u00e9lai de remise en service compl\u00e8te de FICOBA n’a \u00e9t\u00e9 communiqu\u00e9e. Plusieurs m\u00e9dias ont rapport\u00e9 que les op\u00e9rations du syst\u00e8me avaient \u00e9t\u00e9 perturb\u00e9es<\/strong> durant la phase de renforcement de s\u00e9curit\u00e9 conduite avec l’ANSSI, affectant temporairement certains services administratifs qui s’appuient sur le registre pour des v\u00e9rifications de solvabilit\u00e9 ou des proc\u00e9dures de saisie. L’identit\u00e9 de l’attaquant n’a pas \u00e9t\u00e9 divulgu\u00e9e. Aucun groupe criminel ou \u00e9tatique n’a revendiqu\u00e9 l’intrusion \u00e0 ce jour.<\/p>\n\n\n\n

La CNIL saisie : quelles suites juridiques possibles ?<\/h2>\n\n\n\n

Conform\u00e9ment au R\u00e8glement G\u00e9n\u00e9ral sur la Protection des Donn\u00e9es (RGPD), le Minist\u00e8re de l’\u00c9conomie a notifi\u00e9 la Commission Nationale de l’Informatique et des Libert\u00e9s (CNIL) dans les 72 heures suivant la d\u00e9tection de la violation. Cette notification est obligatoire pour toute violation susceptible d’engendrer un risque pour les droits et libert\u00e9s des personnes concern\u00e9es. La br\u00e8che FICOBA entre clairement dans ce p\u00e9rim\u00e8tre : donn\u00e9es financi\u00e8res d’identification, risque de fraude et d’usurpation d’identit\u00e9.<\/p>\n\n\n\n

La CNIL dispose de plusieurs leviers. Elle peut ouvrir une enqu\u00eate formelle sur les mesures de s\u00e9curit\u00e9 en vigueur \u00e0 la DGFiP au moment de la br\u00e8che, demander des mesures correctives imm\u00e9diates, voire infliger une amende administrative. Le r\u00e9gulateur fran\u00e7ais a prononc\u00e9 487 millions d’euros d’amendes RGPD en 2025<\/strong>, frappant Google, Free et d’autres acteurs pour des manquements \u00e0 la s\u00e9curit\u00e9 des donn\u00e9es, d’apr\u00e8s notre analyse d\u00e9taill\u00e9e des sanctions CNIL 2025<\/a>. Si la DGFiP est reconnue coupable d’une insuffisance dans la mise en oeuvre des mesures de s\u00e9curit\u00e9 “appropri\u00e9es” au sens de l’article 32 du RGPD, une sanction formelle n’est pas \u00e0 exclure, m\u00eame pour une administration publique.<\/p>\n\n\n\n

Par ailleurs, les 1,2 million de personnes affect\u00e9es doivent \u00eatre notifi\u00e9es individuellement<\/strong> si la CNIL estime que le risque pour leurs droits est \u00e9lev\u00e9. Le minist\u00e8re a annonc\u00e9 vouloir proc\u00e9der \u00e0 ces notifications “dans les prochains jours” suivant la divulgation. Cette obligation de notification individuelle est une cons\u00e9quence directe de l’article 34 du RGPD, et son respect conditionne l’\u00e9valuation globale de la r\u00e9ponse de l’administration \u00e0 cet incident.<\/p>\n\n\n\n

L’onde de choc europ\u00e9enne : d’autres registres publics vis\u00e9s<\/h2>\n\n\n\n

La br\u00e8che FICOBA n’est pas un incident isol\u00e9. Le mois de f\u00e9vrier 2026 a constitu\u00e9 un tournant pour la s\u00e9curit\u00e9 des infrastructures publiques europ\u00e9ennes. Le 9 f\u00e9vrier 2026, les gouvernements de l’Union europ\u00e9enne et des Pays-Bas ont annonc\u00e9 des intrusions via des failles zero-day critiques dans les \u00e9quipements Ivanti (solutions d’acc\u00e8s distant). Ces attaques ont touch\u00e9 plusieurs agences gouvernementales et soulev\u00e9 des inqui\u00e9tudes sur l’exposition potentielle de donn\u00e9es institutionnelles sensibles.<\/p>\n\n\n\n

En France, 2026 a d\u00e9j\u00e0 \u00e9t\u00e9 marqu\u00e9e par plusieurs incidents majeurs visant des donn\u00e9es publiques ou para-publiques. L’attaque contre France Titres (ANTS)<\/a> a expos\u00e9 les dossiers de 11,7 millions de demandeurs de documents d’identit\u00e9, avec l’arrestation d’un suspect \u00e2g\u00e9 de 15 ans. Le piratage de Tchap<\/a>, la messagerie s\u00e9curis\u00e9e des agents de l’\u00c9tat, a compromis 73 467 comptes et 643 000 messages. Ces incidents dessinent un sch\u00e9ma pr\u00e9occupant : les syst\u00e8mes gouvernementaux fran\u00e7ais sont devenus des cibles r\u00e9currentes et lucratives.<\/p>\n\n\n\n

Incident<\/th>Pays<\/th>Date<\/th>Volume<\/th>Vecteur<\/th>Type de donn\u00e9es<\/th><\/tr><\/thead>
Br\u00e8che FICOBA (comptes bancaires)<\/td>France<\/td>Jan-F\u00e9v 2026<\/td>1,2 million de comptes<\/td>Vol de credentials<\/td>IBAN, nom, adresse, NIF<\/td><\/tr>
France Titres (ANTS)<\/td>France<\/td>2026<\/td>11,7 millions de dossiers<\/td>Non divulgu\u00e9<\/td>Donn\u00e9es d’identit\u00e9<\/td><\/tr>
Tchap (DGNUM)<\/td>France<\/td>2026<\/td>73 467 agents, 643 000 messages<\/td>Non divulgu\u00e9<\/td>Messages, identit\u00e9s agents<\/td><\/tr>
Syst\u00e8mes Ivanti UE \/ Pays-Bas<\/td>UE, Pays-Bas<\/td>9 F\u00e9v 2026<\/td>Plusieurs agences gouvernementales<\/td>Zero-day Ivanti<\/td>Donn\u00e9es institutionnelles<\/td><\/tr>
Eurail B.V.<\/td>Europe<\/td>Jan 2026<\/td>Non divulgu\u00e9<\/td>Acc\u00e8s non autoris\u00e9<\/td>Passeport, IBAN, donn\u00e9es sant\u00e9<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Ce tableau r\u00e9v\u00e8le un sch\u00e9ma inqui\u00e9tant. Les registres europ\u00e9ens contenant des donn\u00e9es financi\u00e8res et d’identit\u00e9 sont devenus des cibles strat\u00e9giques. Les cybercriminels ont compris la valeur marchande de donn\u00e9es combin\u00e9es (identit\u00e9 + IBAN) pour des op\u00e9rations de fraude \u00e0 grande \u00e9chelle. La combinaison de plusieurs types de violations en peu de mois, en France notamment, sugg\u00e8re que les administrations sont syst\u00e9matiquement sond\u00e9es pour identifier leurs maillons faibles.<\/p>\n\n\n\n

Pourquoi les bases gouvernementales sont les nouvelles cibles prioritaires<\/h2>\n\n\n\n

Les bases de donn\u00e9es gouvernementales pr\u00e9sentent une combinaison de facteurs qui les rend particuli\u00e8rement attractives pour les cybercriminels. Premi\u00e8rement, elles contiennent des donn\u00e9es v\u00e9rifi\u00e9es et consolid\u00e9es<\/strong> : contrairement aux bases de donn\u00e9es commerciales souvent incompl\u00e8tes, les registres d’\u00c9tat comme FICOBA agr\u00e8gent des informations certifi\u00e9es et mises \u00e0 jour en temps r\u00e9el par les banques elles-m\u00eames. Un IBAN issu de FICOBA est valide avec une quasi-certitude, ce qui augmente sa valeur sur les march\u00e9s criminels.<\/p>\n\n\n\n

Deuxi\u00e8mement, les syst\u00e8mes gouvernementaux souffrent historiquement d’un retard dans l’adoption des meilleures pratiques de s\u00e9curit\u00e9 des identit\u00e9s. L’authentification multifacteur (MFA) n’est pas universellement d\u00e9ploy\u00e9e sur les plateformes interminist\u00e9rielles. La gestion des acc\u00e8s privil\u00e9gi\u00e9s (PAM) et la surveillance comportementale des utilisateurs (UEBA) restent insuffisamment d\u00e9ploy\u00e9es dans de nombreuses administrations. Huntress rapporte que plus de 10 % de toutes les cyberattaques en 2024 ciblaient des agences gouvernementales, et que les infostealers repr\u00e9sentaient 21 % des menaces dans les environnements gouvernementaux<\/strong>.<\/p>\n\n\n\n

Troisi\u00e8mement, le paysage de la menace g\u00e9opolitique s’intensifie. Le Forum \u00c9conomique Mondial note que 64 % des organisations mondiales int\u00e8grent d\u00e9sormais le risque g\u00e9opolitique dans leur strat\u00e9gie cyber en 2026. Les groupes \u00e9tatiques russes, chinois et nord-cor\u00e9ens ciblent les infrastructures financi\u00e8res et administratives europ\u00e9ennes avec une sophistication croissante. Pour la br\u00e8che FICOBA, aucun groupe n’a \u00e9t\u00e9 formellement identifi\u00e9, mais le profil de l’attaque correspond aux m\u00e9thodes d’acteurs cherchant \u00e0 constituer des bases de donn\u00e9es \u00e0 des fins de renseignement ou de fraude organis\u00e9e \u00e0 long terme : acc\u00e8s discret, consultation prolong\u00e9e, donn\u00e9es de haute valeur.<\/p>\n\n\n\n

Ce que les donn\u00e9es 2026 r\u00e9v\u00e8lent sur les attaques par identifiants compromis<\/h2>\n\n\n\n

La br\u00e8che FICOBA est un cas d’\u00e9cole pour comprendre pourquoi la compromission d’identifiants surpasse l’exploitation de vuln\u00e9rabilit\u00e9s comme premier vecteur d’attaque en 2026. Selon IBM, dans un rapport publi\u00e9 en mars 2026, les attaquants pr\u00e9f\u00e8rent de plus en plus utiliser des credentials l\u00e9gitimes car cela r\u00e9duit consid\u00e9rablement le risque de d\u00e9tection<\/strong>. Un utilisateur l\u00e9gitime dont les identifiants sont vol\u00e9s g\u00e9n\u00e8re des traces de connexion indiscernables d’un acc\u00e8s normal, surtout si le pirate respecte les horaires de travail habituels de la victime et ne t\u00e9l\u00e9charge pas de donn\u00e9es en masse d’une seule traite.<\/p>\n\n\n\n

C’est exactement ce qui s’est produit avec FICOBA : l’acc\u00e8s frauduleux a persist\u00e9 pendant plusieurs semaines avant d’\u00eatre d\u00e9tect\u00e9. Les syst\u00e8mes de d\u00e9tection bas\u00e9s sur les signatures de malwares sont ici totalement inefficaces. Seule une surveillance comportementale des entit\u00e9s (UEBA) aurait pu d\u00e9tecter l’anomalie plus t\u00f4t : un fonctionnaire qui consulte soudainement des dizaines de milliers de comptes par jour, bien au-del\u00e0 de ses activit\u00e9s habituelles, devrait d\u00e9clencher une alerte automatique. Sans ce type de d\u00e9tection, la fen\u00eatre d’exposition s’\u00e9tend de plusieurs heures \u00e0 plusieurs semaines, comme l’a d\u00e9montr\u00e9 FICOBA.<\/p>\n\n\n\n

L’incident renforce les recommandations de l’ANSSI et du Cyber Resilience Act europ\u00e9en<\/a> : tout acc\u00e8s \u00e0 des fichiers sensibles de niveau gouvernemental devrait exiger une authentification multifacteur (MFA), une tra\u00e7abilit\u00e9 compl\u00e8te des requ\u00eates et des alertes comportementales automatis\u00e9es<\/strong>. Pour FICOBA, ces m\u00e9canismes auraient d\u00fb constituer le socle minimum de protection d’un fichier contenant les donn\u00e9es financi\u00e8res de 80 millions de personnes. IBM X-Force a recens\u00e9 plus de 300 000 identifiants ChatGPT mis en vente<\/strong> sur le dark web en 2025, rappelant que les fonctionnaires qui utilisent des outils d’IA sur leurs postes de travail repr\u00e9sentent un nouveau vecteur d’exposition des credentials professionnels.<\/p>\n\n\n\n

Pour approfondir la compr\u00e9hension des techniques d’infostealers utilis\u00e9es pour voler des credentials, notre analyse sur les 1,8 milliard de credentials vol\u00e9s par les infostealers en 2025<\/a> d\u00e9taille les m\u00e9canismes de collecte et les march\u00e9s de revente.<\/p>\n\n\n\n

Cinq pr\u00e9dictions pour 2026-2027<\/h2>\n\n\n\n

1. FICOBA adoptera l’authentification multifacteur obligatoire pour tous les acc\u00e8s.<\/strong> La DGFiP, sous pression de l’ANSSI et de la CNIL, devrait d\u00e9ployer une MFA renforc\u00e9e pour tous les acc\u00e8s \u00e0 FICOBA dans les 12 prochains mois. L’incident a expos\u00e9 l’absence de cette protection \u00e9l\u00e9mentaire sur un registre pourtant central pour le syst\u00e8me financier fran\u00e7ais. Sans MFA, un seul credentials compromis suffit \u00e0 ouvrir une br\u00e8che dans 300 millions de comptes.<\/p>\n\n\n\n

2. D’autres registres nationaux europ\u00e9ens seront attaqu\u00e9s via la m\u00eame m\u00e9thode.<\/strong> Le profil de l’attaque FICOBA (credentials vol\u00e9s, acc\u00e8s prolong\u00e9 \u00e0 un registre centralis\u00e9) sera reproduit dans d’autres pays europ\u00e9ens disposant de registres similaires. Les groupes criminels savent d\u00e9sormais que ces fichiers sont accessibles via un seul compte compromis, et que la d\u00e9tection peut prendre des semaines.<\/p>\n\n\n\n

3. La CNIL engagera une proc\u00e9dure formelle contre la DGFiP.<\/strong> Si l’enqu\u00eate r\u00e9v\u00e8le une absence de MFA et de surveillance comportementale sur FICOBA, la CNIL aura suffisamment d’\u00e9l\u00e9ments pour ouvrir une mise en demeure formelle au titre de l’article 32 du RGPD. Une sanction symbolique enverrait un signal fort sur le respect du RGPD par l’\u00c9tat lui-m\u00eame, et pas seulement par les entreprises priv\u00e9es.<\/p>\n\n\n\n

4. La France acc\u00e9l\u00e9rera son cadre de gestion des identit\u00e9s interminist\u00e9rielles.<\/strong> L’incident FICOBA mettra en lumi\u00e8re les lacunes du syst\u00e8me de partage interminist\u00e9riel d’identifiants. La mise en oeuvre de solutions PAM (Privileged Access Management) et la r\u00e9vision des politiques d’habilitation deviendront des priorit\u00e9s dans les prochains budgets de la transformation num\u00e9rique de l’\u00c9tat.<\/p>\n\n\n\n

5. Les escroqueries ciblant les victimes FICOBA se multiplieront dans les 6 \u00e0 18 mois.<\/strong> Les donn\u00e9es exfiltr\u00e9es alimenteront des campagnes de fraude au pr\u00e9l\u00e8vement SEPA et de phishing ultra-personnalis\u00e9. Les banques fran\u00e7aises devraient enregistrer une hausse mesurable des tentatives de pr\u00e9l\u00e8vement frauduleux utilisant des IBAN valides issus de cette base, un signal que les enqu\u00eateurs suivront de pr\u00e8s pour remonter vers les acheteurs des donn\u00e9es.<\/p>\n\n\n\n

Couverture connexe<\/h2>\n\n\n\n

Articles li\u00e9s sur shattered.io<\/h3>\n\n\n\n