Le gouvernement français a confirmé le piratage massif du fichier national des comptes bancaires et assimilés (FICOBA), géré par la Direction générale des finances publiques (DGFiP), avec l’exfiltration illégale de données relatives à 1,2 million de comptes. L’incident a été rendu public le 18 février 2026 après détection d’un accès non autorisé utilisant les identifiants usurpés d’un agent habilité, ce qui a permis à un acteur malveillant de consulter cette base sensible sur une période prolongée.
Le fichier FICOBA recense l’ensemble des comptes ouverts en France, incluant comptes courants, comptes d’épargne, comptes-titres et même coffres-forts loués auprès des établissements bancaires. Il comprend des informations administratives telles que le nom et prénom du titulaire, l’établissement bancaire, l’adresse postale, l’IBAN, la date d’ouverture et la nature du compte. En revanche, les soldes, l’historique des opérations, les mots de passe et les codes d’accès bancaires ne sont pas stockés dans FICOBA.
Selon les informations disponibles, aucune transaction directe ou retrait de fonds n’est possible à partir de ces données seules, car elles ne permettent pas l’accès aux plateformes de banque en ligne ni l’exécution d’opérations financières. Malgré cela, les données volées constituent un ensemble suffisamment détaillé pour renforcer significativement les campagnes d’escroquerie ciblée (phishing). Un courriel ou SMS frauduleux mentionnant votre IBAN exact, votre adresse ou d’autres éléments personnels augmente drastiquement la crédibilité des tentatives d’arnaque et peut inciter à fournir des informations sensibles.
Les autorités, dont la DGFiP et l’Agence nationale de la sécurité des systèmes d’information (ANSSI), affirment avoir restreint immédiatement les accès compromis, déposé une plainte pénale et notifié la Commission nationale de l’informatique et des libertés (CNIL) conformément aux obligations du RGPD. Les personnes dont les comptes ont été consultés recevront une notification individuelle et des conseils pour renforcer leur vigilance face aux tentatives de fraude.
Le principal impact attendu n’est donc pas financier immédiat mais comportemental et psychologique : augmentation des messages d’hameçonnage crédibles, usurpation d’identité et fraudes sociales ou fiscales ciblées. Les citoyens sont incités à ignorer les sollicitations qui demandent des informations personnelles ou financières, à contacter directement leur établissement bancaire en cas de doute, et à signaler toute tentative de fraude via les canaux officiels.