{"id":72,"date":"2026-06-12T04:27:59","date_gmt":"2026-06-12T04:27:59","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/12\/ficoba-piratage-comptes-bancaires-2026\/"},"modified":"2026-06-12T04:29:20","modified_gmt":"2026-06-12T04:29:20","slug":"ficoba-piratage-comptes-bancaires-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/2026\/06\/12\/ficoba-piratage-comptes-bancaires-2026\/","title":{"rendered":"FICOBA pirat\u00e9 : 1,2 million de comptes expos\u00e9s [2026]"},"content":{"rendered":"\n

Le 19 f\u00e9vrier 2026, le minist\u00e8re de l’\u00c9conomie et des Finances a reconnu une intrusion dans le fichier le plus sensible de l’administration fiscale fran\u00e7aise. Le piratage FICOBA<\/strong>, du nom du Fichier national des comptes bancaires et assimil\u00e9s, a expos\u00e9 les donn\u00e9es rattach\u00e9es \u00e0 environ 1,2 million de comptes<\/strong>. Un assaillant a utilis\u00e9 des identifiants vol\u00e9s appartenant \u00e0 un agent autoris\u00e9, puis a copi\u00e9 une base contenant des coordonn\u00e9es bancaires et des informations d’identit\u00e9. Aucune transaction n’a \u00e9t\u00e9 r\u00e9alis\u00e9e, mais l’onde de choc d\u00e9passe largement le p\u00e9rim\u00e8tre technique de l’incident.<\/p>\n\n\n\n

Cette affaire arrive dans un contexte d\u00e9j\u00e0 tendu. En janvier 2026, la CNIL a inflig\u00e9 une amende de 5 millions d’euros \u00e0 France Travail pour la fuite de 2024, qui avait touch\u00e9 jusqu’\u00e0 43 millions de personnes. La France encha\u00eene les compromissions de registres publics massifs, et le FICOBA pirat\u00e9<\/strong> pose une question simple : comment un fichier qui recense la quasi-totalit\u00e9 des comptes ouverts dans le pays a-t-il pu \u00eatre consult\u00e9 avec de simples identifiants d\u00e9rob\u00e9s ? Cette analyse fait le point sur les faits, l’impact pour les victimes, la r\u00e9ponse des autorit\u00e9s et ce que l’incident r\u00e9v\u00e8le de la s\u00e9curit\u00e9 des grands fichiers de l’\u00c9tat.<\/p>\n\n\n\n

Piratage FICOBA : ce que l’on sait des faits<\/h2>\n\n\n\n

L’intrusion a \u00e9t\u00e9 d\u00e9tect\u00e9e fin janvier 2026, puis rendue publique le 19 f\u00e9vrier 2026 par le minist\u00e8re de l’\u00c9conomie. Selon les \u00e9l\u00e9ments communiqu\u00e9s, un acteur malveillant a obtenu les identifiants de connexion d’un utilisateur habilit\u00e9, vraisemblablement un agent public disposant d’un acc\u00e8s l\u00e9gitime au registre. Avec ces identifiants, l’assaillant a interrog\u00e9 le fichier et exfiltr\u00e9 une base portant sur pr\u00e8s de 1,2 million de comptes bancaires.<\/p>\n\n\n\n

Le point d\u00e9cisif n’est pas une faille logicielle dans le registre lui-m\u00eame. Il s’agit d’une compromission d’identit\u00e9 et d’acc\u00e8s : un compte l\u00e9gitime d\u00e9tourn\u00e9. Cette distinction compte, car elle d\u00e9place la responsabilit\u00e9 de la qualit\u00e9 du code vers la gestion des comptes \u00e0 privil\u00e8ges. Selon le rapport de veille publi\u00e9 par Check Point Research le 23 f\u00e9vrier 2026, l’acc\u00e8s non autoris\u00e9 au registre FICOBA a permis la consultation de donn\u00e9es sensibles sans exploitation d’une vuln\u00e9rabilit\u00e9 technique connue.<\/p>\n\n\n\n

Le minist\u00e8re a pr\u00e9cis\u00e9 plusieurs limites importantes. L’intrus ne pouvait ni consulter les soldes des comptes, ni d\u00e9clencher la moindre op\u00e9ration bancaire<\/strong>. FICOBA ne contient pas les montants d\u00e9tenus ni les historiques de transactions : il recense l’existence des comptes, leur titulaire et l’\u00e9tablissement gestionnaire. Cette architecture a limit\u00e9 le pr\u00e9judice financier direct, mais elle n’a rien retir\u00e9 au risque de fraude par rebond, qui constitue le v\u00e9ritable danger de cette fuite.<\/p>\n\n\n\n

FICOBA : qu’est-ce que ce fichier et qui le g\u00e8re ?<\/h2>\n\n\n\n

Le FICOBA, ou Fichier des comptes bancaires et assimil\u00e9s, est le registre national qui recense l’ensemble des comptes ouverts en France : comptes courants, livrets, comptes-titres, comptes \u00e0 terme, coffres-forts. Chaque ouverture, modification ou cl\u00f4ture de compte y est d\u00e9clar\u00e9e par les \u00e9tablissements bancaires. Le fichier est g\u00e9r\u00e9 par la Direction g\u00e9n\u00e9rale des Finances publiques (DGFiP)<\/strong>, qui d\u00e9pend du minist\u00e8re de l’\u00c9conomie.<\/p>\n\n\n\n

FICOBA n’est pas un fichier obscur. Il sert quotidiennement aux administrations, aux notaires lors des successions, aux huissiers pour les saisies, et aux services fiscaux. Les requ\u00eates \u00ab ficoba dgfip<\/strong> \u00bb et \u00ab ficoba consultation \u00bb totalisent \u00e0 elles seules plus d’un millier de recherches mensuelles en France, signe que le sujet int\u00e9resse bien au-del\u00e0 des seuls sp\u00e9cialistes. La popularit\u00e9 du mot-cl\u00e9 \u00ab ficoba \u00bb, avec environ 22 200 recherches par mois, a bondi apr\u00e8s la r\u00e9v\u00e9lation de l’incident.<\/p>\n\n\n\n

La sensibilit\u00e9 du registre tient \u00e0 son exhaustivit\u00e9. Parce qu’il couvre la quasi-totalit\u00e9 des comptes du pays, l’acc\u00e8s m\u00eame partiel \u00e0 son contenu donne une vue rare sur l’identit\u00e9 bancaire des citoyens. C’est pr\u00e9cis\u00e9ment ce qui rend la consultation d’un sous-ensemble de 1,2 million de comptes aussi pr\u00e9occupante : les donn\u00e9es touch\u00e9es ne sont pas anodines, elles relient une personne, une adresse et un identifiant bancaire.<\/p>\n\n\n\n

Quelles donn\u00e9es ont fuit\u00e9 dans le piratage FICOBA<\/h2>\n\n\n\n

Les donn\u00e9es expos\u00e9es concernent l’identit\u00e9 et l’identification bancaire des titulaires, et non leurs avoirs. D’apr\u00e8s les \u00e9l\u00e9ments rapport\u00e9s par plusieurs m\u00e9dias sp\u00e9cialis\u00e9s, dont Help Net Security<\/a> et SecurityWeek, la base copi\u00e9e comprenait des coordonn\u00e9es bancaires (IBAN\/RIB), le nom du titulaire, son adresse, et dans certains cas un identifiant fiscal. Le tableau ci-dessous r\u00e9capitule le p\u00e9rim\u00e8tre exact de l’incident.<\/p>\n\n\n\n

\u00c9l\u00e9ment<\/th>D\u00e9tail confirm\u00e9<\/th><\/tr><\/thead>
Fichier vis\u00e9<\/td>FICOBA, registre national des comptes bancaires<\/td><\/tr>
Gestionnaire<\/td>Direction g\u00e9n\u00e9rale des Finances publiques (DGFiP)<\/td><\/tr>
Date de d\u00e9tection<\/td>Fin janvier 2026<\/td><\/tr>
Date de divulgation<\/td>19 f\u00e9vrier 2026<\/td><\/tr>
Comptes concern\u00e9s<\/td>Environ 1,2 million<\/td><\/tr>
Vecteur d’attaque<\/td>Identifiants vol\u00e9s d’un utilisateur habilit\u00e9<\/td><\/tr>
Donn\u00e9es expos\u00e9es<\/td>IBAN\/RIB, nom, adresse, identifiant fiscal (selon les cas)<\/td><\/tr>
Donn\u00e9es NON expos\u00e9es<\/td>Soldes, historiques, moyens de paiement<\/td><\/tr>
Op\u00e9rations frauduleuses<\/td>Aucune recens\u00e9e \u00e0 ce stade<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

La combinaison IBAN plus identit\u00e9 est plus dangereuse qu’elle n’en a l’air. Un IBAN ne permet pas \u00e0 lui seul de vider un compte, mais il ouvre la voie \u00e0 la fraude au pr\u00e9l\u00e8vement (SEPA), aux fausses factures et \u00e0 l’usurpation. Crois\u00e9 avec une adresse et un nom exacts, il rend les tentatives d’hame\u00e7onnage<\/a> beaucoup plus cr\u00e9dibles, car l’escroc conna\u00eet d\u00e9j\u00e0 des informations qu’une victime croit confidentielles.<\/p>\n\n\n\n

Comment l’attaque a \u00e9t\u00e9 men\u00e9e : le facteur identifiant<\/h2>\n\n\n\n

Le sc\u00e9nario d\u00e9crit par les autorit\u00e9s et les chercheurs en s\u00e9curit\u00e9 est celui d’un acc\u00e8s \u00e0 privil\u00e8ges d\u00e9tourn\u00e9. L’attaquant ne s’est pas introduit en cassant un chiffrement ou en exploitant une vuln\u00e9rabilit\u00e9 \u00ab zero-day \u00bb. Il s’est connect\u00e9 comme un utilisateur autoris\u00e9, avec des identifiants valides. Ce mode op\u00e9ratoire est devenu la premi\u00e8re cause de compromission des grands syst\u00e8mes publics, devant les failles logicielles.<\/p>\n\n\n\n

Reste la question de l’origine des identifiants. Trois hypoth\u00e8ses dominent dans ce type d’affaire : un hame\u00e7onnage cibl\u00e9 visant un agent, une r\u00e9utilisation de mot de passe d\u00e9j\u00e0 compromis ailleurs, ou un poste de travail infect\u00e9 par un logiciel voleur d’informations (infostealer). Les infostealers, qui aspirent les identifiants enregistr\u00e9s dans les navigateurs, ont connu une croissance massive en 2025 et alimentent un march\u00e9 florissant d’acc\u00e8s vol\u00e9s. La robustesse des mots de passe<\/a> et l’authentification \u00e0 plusieurs facteurs jouent ici un r\u00f4le d\u00e9terminant.<\/p>\n\n\n\n

\u00ab L’incident rel\u00e8ve d’une compromission d’identit\u00e9, pas d’une faille du registre, ce qui signifie que la protection des comptes \u00e0 privil\u00e8ges constitue le contr\u00f4le central \u00bb, r\u00e9sume l’analyse publi\u00e9e par Check Point Research. Cette lecture est partag\u00e9e par les fournisseurs de s\u00e9curit\u00e9 : la firme Enzoic, qui a publi\u00e9 une note sur l’affaire le 30 mai 2026, souligne que l’authentification forte et la surveillance des identifiants expos\u00e9s auraient pu bloquer l’acc\u00e8s initial.<\/p>\n\n\n\n

R\u00e9ponse de la DGFiP et de Bercy<\/h2>\n\n\n\n

Apr\u00e8s la d\u00e9tection, l’acc\u00e8s incrimin\u00e9 a \u00e9t\u00e9 restreint et le minist\u00e8re a engag\u00e9 une proc\u00e9dure de notification des personnes concern\u00e9es, conform\u00e9ment au RGPD. Bercy a martel\u00e9 un message rassurant sur le plan strictement financier : aucun virement, aucun paiement par carte n’a pu \u00eatre d\u00e9clench\u00e9 gr\u00e2ce aux donn\u00e9es consult\u00e9es. Le minist\u00e8re a parall\u00e8lement lanc\u00e9 une mise en garde explicite contre les campagnes d’escroquerie qui ne manqueraient pas d’exploiter les informations d\u00e9rob\u00e9es.<\/p>\n\n\n\n

La F\u00e9d\u00e9ration bancaire fran\u00e7aise a relay\u00e9 cette vigilance. Tout en confirmant que les soldes et les moyens de paiement n’\u00e9taient pas expos\u00e9s, elle a alert\u00e9 sur le risque de fraude au pr\u00e9l\u00e8vement, de fausses factures et d’usurpation d’identit\u00e9 rendus possibles par la divulgation de l’IBAN et des donn\u00e9es d’identit\u00e9. Le message des banques aux clients touch\u00e9s est sans ambigu\u00eft\u00e9 : surveiller les relev\u00e9s, contester sans d\u00e9lai tout pr\u00e9l\u00e8vement non reconnu et se m\u00e9fier de toute sollicitation se r\u00e9clamant de la banque ou de l’administration.<\/p>\n\n\n\n

Sur le plan institutionnel, l’ANSSI, via son CERT-FR, et la CNIL ont vocation \u00e0 intervenir respectivement sur le volet technique et sur le volet conformit\u00e9. La CNIL, qui a d\u00e9j\u00e0 sanctionn\u00e9 France Travail pour un manquement de s\u00e9curit\u00e9 comparable, pourrait ouvrir une instruction si des d\u00e9faillances dans la protection des acc\u00e8s au registre \u00e9taient \u00e9tablies. L’ANSSI<\/a> documente r\u00e9guli\u00e8rement la hausse des compromissions par identifiants vol\u00e9s dans le secteur public.<\/p>\n\n\n\n

FICOBA face aux autres fuites fran\u00e7aises : le tableau comparatif<\/h2>\n\n\n\n

Le piratage FICOBA n’est pas un \u00e9v\u00e9nement isol\u00e9. La France traverse une vague de compromissions de fichiers publics et priv\u00e9s \u00e0 tr\u00e8s grande \u00e9chelle depuis 2024. La comparaison ci-dessous met l’incident en perspective avec les fuites les plus marquantes document\u00e9es sur la p\u00e9riode.<\/p>\n\n\n\n

Incident<\/th>Date<\/th>Personnes \/ comptes touch\u00e9s<\/th>Type de donn\u00e9es<\/th><\/tr><\/thead>
France Travail<\/td>F\u00e9vrier-mars 2024<\/td>Jusqu’\u00e0 43 M (r\u00e9vis\u00e9 \u00e0 36,8 M)<\/td>Identit\u00e9, NIR, coordonn\u00e9es<\/td><\/tr>
FICOBA<\/td>Janvier-f\u00e9vrier 2026<\/td>~1,2 M de comptes<\/td>IBAN, identit\u00e9, adresse<\/td><\/tr>
France Travail (2e fuite)<\/td>Juillet 2025<\/td>~340 000 demandeurs d’emploi<\/td>Donn\u00e9es de candidature<\/td><\/tr>
Faille Ivanti (UE)<\/td>F\u00e9vrier 2026<\/td>Institutions UE et Pays-Bas<\/td>Acc\u00e8s aux syst\u00e8mes internes<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

La fuite France Travail de 2024 reste la plus massive jamais document\u00e9e en France. Survenue entre le 6 f\u00e9vrier et le 5 mars 2024, elle a expos\u00e9 les noms, num\u00e9ros de s\u00e9curit\u00e9 sociale, dates de naissance et coordonn\u00e9es de dizaines de millions de personnes. L’estimation initiale de 43 millions a \u00e9t\u00e9 ramen\u00e9e \u00e0 36,8 millions. Le mot de passe et les donn\u00e9es bancaires n’\u00e9taient pas concern\u00e9s, \u00e0 la diff\u00e9rence du FICOBA o\u00f9 l’IBAN figure justement parmi les donn\u00e9es expos\u00e9es.<\/p>\n\n\n\n

Ce qui rapproche ces affaires, c’est le mode op\u00e9ratoire : l’ing\u00e9nierie sociale et le d\u00e9tournement d’acc\u00e8s l\u00e9gitimes plut\u00f4t que l’exploitation de failles techniques sophistiqu\u00e9es. Pour une vue d’ensemble des m\u00e9canismes en jeu, notre dossier sur les fuites de donn\u00e9es<\/a> d\u00e9taille comment ces compromissions surviennent et comment s’en prot\u00e9ger. La r\u00e9f\u00e9rence sectorielle d’UpGuard sur les plus grandes fuites fran\u00e7aises<\/a> confirme cette tendance de fond.<\/p>\n\n\n\n

Le pr\u00e9c\u00e9dent France Travail et l’amende de la CNIL<\/h2>\n\n\n\n

L’amende inflig\u00e9e \u00e0 France Travail donne la mesure de ce que pourrait co\u00fbter une d\u00e9faillance av\u00e9r\u00e9e. Le 22 janvier 2026, la CNIL a sanctionn\u00e9 l’op\u00e9rateur public d’une amende de 5 millions d’euros<\/strong> pour avoir manqu\u00e9 \u00e0 son obligation d’assurer la s\u00e9curit\u00e9 des donn\u00e9es des demandeurs d’emploi. La d\u00e9cision pointait des lacunes dans la gestion des acc\u00e8s, exactement le type de faiblesse qui semble au c\u0153ur de l’affaire FICOBA.<\/p>\n\n\n\n

Cette sanction marque un durcissement. Pendant des ann\u00e9es, les organismes publics ont sembl\u00e9 moins expos\u00e9s aux foudres du r\u00e9gulateur que les acteurs priv\u00e9s. Le pr\u00e9c\u00e9dent France Travail rompt avec cette tol\u00e9rance : la CNIL applique d\u00e9sormais aux administrations le m\u00eame standard de s\u00e9curit\u00e9 qu’aux entreprises. Le d\u00e9tail de la proc\u00e9dure figure sur la page officielle de la CNIL<\/a> consacr\u00e9e \u00e0 cette sanction.<\/p>\n\n\n\n

Pour la DGFiP, l’enjeu d\u00e9passe l’amende potentielle. Le FICOBA est un fichier de souverainet\u00e9. Une sanction publique de la CNIL contre l’administration fiscale enverrait un signal politique fort sur l’\u00e9tat de la s\u00e9curit\u00e9 des syst\u00e8mes r\u00e9galiens, dans un pays qui revendique une ambition cyber affirm\u00e9e \u00e0 travers sa strat\u00e9gie nationale de cybers\u00e9curit\u00e9<\/a>.<\/p>\n\n\n\n

Impact pour les 1,2 million de victimes<\/h2>\n\n\n\n

Pour les personnes concern\u00e9es, le risque n’est pas le vol imm\u00e9diat d’argent mais l’exploitation diff\u00e9r\u00e9e des donn\u00e9es. Trois menaces dominent. La premi\u00e8re est la fraude au pr\u00e9l\u00e8vement SEPA : avec un IBAN valide, un escroc peut tenter d’enregistrer un mandat de pr\u00e9l\u00e8vement frauduleux. La deuxi\u00e8me est l’hame\u00e7onnage de pr\u00e9cision, o\u00f9 l’attaquant se fait passer pour la banque ou les imp\u00f4ts en citant des donn\u00e9es r\u00e9elles pour gagner la confiance de la victime. La troisi\u00e8me est l’usurpation d’identit\u00e9, l’IBAN et l’adresse servant de briques \u00e0 des dossiers frauduleux.<\/p>\n\n\n\n

Que faire si vous \u00eates concern\u00e9<\/h3>\n\n\n\n