La direction générale des Finances publiques a révélé mercredi 18 février une violation sans précédent du fichier national des comptes bancaires. Plus d’un million de numéros de comptes, accompagnés de données d’identité, ont été dérobés par des pirates informatiques. Voici ce que vous risquez et comment vous protéger.
Qu’est-ce que le fichier Ficoba ?
Le fichier national des comptes bancaires et assimilés (Ficoba) est une base de données gérée par l’administration fiscale française. Il recense l’ensemble des comptes bancaires, postaux et d’épargne ouverts dans les établissements financiers français. À chaque ouverture de compte, les informations du titulaire y sont automatiquement enregistrées.
Contrairement à ce que l’on pourrait craindre, Ficoba ne contient ni les soldes des comptes ni le détail des opérations bancaires. En revanche, il centralise des données à forte valeur pour les fraudeurs : les numéros de comptes (RIB/IBAN), l’identité complète des titulaires, leurs adresses postales et, dans certains cas, leur identifiant fiscal.
L’ampleur de la fuite
Selon la DGFiP, ce sont 1,2 million de comptes bancaires qui sont concernés par cette violation de données — un chiffre inédit pour un fichier de cette nature. L’intrusion a été rendue publique le mercredi 18 février, mais l’administration n’a pas précisé la date exacte du piratage ni l’identité des responsables.
La Commission nationale de l’informatique et des libertés (CNIL) a été informée de la violation, conformément aux obligations légales du RGPD, qui impose une notification dans les 72 heures suivant la découverte d’un incident de sécurité.
Quels sont les risques concrets ?
La possession d’un IBAN ouvre la porte à deux types de fraudes bien documentées.
Les prélèvements non autorisés. Un IBAN suffit techniquement pour initier un prélèvement SEPA — notamment pour souscrire à un abonnement téléphonique ou à un service en ligne. Si les banques sont tenues de vérifier que les mandats de prélèvement sont signés par le titulaire du compte, ces contrôles restent dans la pratique insuffisants et de nombreuses fraudes passent au travers des mailles du filet.
Le hameçonnage ciblé (phishing). En combinant IBAN, nom, prénom et adresse, un escroc peut construire un scénario d’usurpation très crédible. La technique la plus répandue consiste à se faire passer pour un conseiller bancaire, à citer les informations volées pour inspirer confiance, puis à convaincre la victime de virer ses fonds vers un compte soi-disant « sécurisé » — qui est en réalité contrôlé par le fraudeur.
Comment savoir si vous êtes concerné ?
La DGFiP s’est engagée à contacter directement par courriel chacune des personnes dont les données ont été compromises. La banque Société Générale a confirmé cette procédure sur le réseau social X (ex-Twitter), en précisant que les notifications seraient envoyées « dans les prochains jours ».
En attendant, il est conseillé de prendre les devants en contactant votre établissement bancaire pour demander l’activation d’une liste blanche de prélèvements SEPA — un dispositif qui restreint les prélèvements aux seuls organismes que vous avez explicitement autorisés.
Les bons réflexes à adopter
Sur le front des prélèvements frauduleux :
- Surveiller de près les débits sur votre compte bancaire dans les semaines à venir.
- Contacter votre banque pour activer une liste blanche de prélèvements SEPA autorisés.
- En cas de prélèvement illégitime, sachez que vous avez huit semaines pour en demander le remboursement, sans condition ni justificatif, comme le rappelle la Fédération bancaire française.
Face aux tentatives d’escroquerie :
- Votre banque ne vous demandera jamais vos identifiants, codes ou mots de passe par téléphone, SMS ou e-mail. Raccrochez immédiatement et rappelez votre agence par les canaux officiels.
- Ne cliquez pas sur les liens contenus dans des SMS ou e-mails prétendument envoyés par votre banque. Passez systématiquement par votre application mobile ou votre espace en ligne habituel.
Méfiez-vous des interlocuteurs qui citent vos données personnelles pour paraître légitimes — c’est précisément ce que permettent les données volées.
Bonnes pratiques générales de cybersécurité :
- Changer les mots de passe des comptes potentiellement compromis, et en profiter pour sécuriser ceux utilisant le même mot de passe ailleurs.
- Utiliser un gestionnaire de mots de passe pour créer des identifiants uniques et robustes.
- Activer la double authentification (2FA) partout où c’est possible.
- Mettre à jour régulièrement vos appareils et applications pour corriger les failles de sécurité connues.
En cas de fraude avérée
Si vous êtes victime d’une escroquerie en lien avec cette fuite, plusieurs démarches s’imposent : faire opposition auprès de votre banque dans les plus brefs délais, conserver toutes les preuves de la fraude (captures d’écran, relevés, correspondances) et déposer plainte auprès des autorités. Le portail étatique cybermalveillance.gouv.fr centralise les conseils et les procédures à suivre. En cas de virements frauduleux, un signalement peut également être effectué sur la plateforme Perceval.
Ce piratage rappelle que les données bancaires de base — nom, adresse, IBAN — constituent un capital d’escroquerie redoutable, même sans accès aux soldes ou aux mots de passe. La vigilance doit être de mise dans les semaines qui viennent.